Nasazení řízení podmíněného přístupu k aplikacím pro vlastní aplikace pomocí Microsoft Entra ID

  • Článek

Ovládací prvky relací v programu Microsoft Defender for Cloud Apps je možné nakonfigurovat tak, aby fungovaly s libovolnými webovými aplikacemi. Tento článek popisuje, jak nasadit a nasadit vlastní obchodní aplikace, neoceněné aplikace SaaS a místní aplikace hostované prostřednictvím proxy aplikací Microsoft Entra s ovládacími prvky relací. Poskytuje postup vytvoření zásad podmíněného přístupu Microsoft Entra, které směruje relace aplikací do Defenderu pro Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Nasazení řízení podmíněného přístupu k aplikacím pro vlastní aplikace s jiným programem než Microsoft IdP.

Seznamaplikacích programem Defender for Cloud Apps najdete v tématu Ochrana aplikací s podmíněným přístupem k aplikacím Defender for Cloud Apps.

Požadavky

Před zahájením procesu onboardingu musíte provést následující kroky:

Přidání správců do seznamu onboardingu/údržby aplikace

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikace.

  3. Zadejte hlavní název uživatele nebo e-mail pro uživatele, kteří budou aplikaci připojovat, a pak vyberte Uložit.

    Screenshot of settings for App onboarding and maintenance.

Kontrola potřebných licencí

  • K používání řízení podmíněného přístupu k aplikacím musí mít vaše organizace následující licence:

  • Aplikace musí být nakonfigurované s jednotným přihlašováním.

  • Aplikace musí používat jeden z následujících ověřovacích protokolů:

    Federační Protokoly
    Microsoft Entra ID SAML 2.0 nebo OpenID Připojení

Nasazení libovolné aplikace

Pokud chcete nasadit aplikaci, která se bude řídit pomocí řízení podmíněného přístupu Defenderu pro Cloud Apps, budete muset:

Postupujte podle následujících kroků a nakonfigurujte libovolnou aplikaci, která má být řízena programem Defender for Cloud Apps– Podmíněný přístup k aplikacím.

Poznámka:

Pokud chcete nasadit řízení podmíněného přístupu aplikací pro aplikace Microsoft Entra, potřebujete platnou licenci pro Microsoft Entra ID P1 nebo vyšší a také licenci Defender for Cloud Apps.

Konfigurace ID Microsoft Entra pro práci s Defenderem pro Cloud Apps

Poznámka:

Při konfiguraci aplikace s jednotným přihlašováním v Microsoft Entra ID nebo jiných zprostředkovatelů identity je jedno pole, které může být uvedeno jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být vyžadováno, aby řízení podmíněného přístupu k aplikacím fungovalo.

  1. V Microsoft Entra ID přejděte k podmíněnému přístupu zabezpečení>.

  2. V podokně Podmíněný přístup na panelu nástrojů v horní části vyberte Nová zásada -> Vytvořit novou zásadu.

  3. V podokně Nový zadejte do textového pole Název název zásady.

  4. V části Přiřazení vyberte Uživatelé nebo identity úloh, přiřaďte uživatele, kteří budou aplikaci připojovat (počáteční přihlášení a ověření), a pak vyberte Hotovo.

  5. V části Přiřazení vyberte Cloudové aplikace nebo akce, přiřaďte aplikace, které chcete řídit pomocí řízení podmíněného přístupu k aplikacím, a pak vyberte Hotovo.

  6. V části Řízení přístupu vyberte Relace, vyberte Použít řízení podmíněného přístupu aplikací a zvolte předdefinované zásady (jenom monitorování nebo blokování stahování) nebo Použijte vlastní zásady k nastavení rozšířených zásad v programu Defender for Cloud Apps a potom klikněte na Vybrat.

    Microsoft Entra Conditional Access.

  7. Volitelně můžete podle potřeby přidat podmínky a udělit ovládací prvky.

  8. Nastavte možnost Povolit zásadu na Zapnuto a pak vyberte Vytvořit.

Aplikace v katalogu aplikací se automaticky vyplní do tabulky v části Připojení ed Apps. Odhlaste se z aplikace, pokud máte aktivní relaci a znovu se přihlaste, abyste aplikaci umožnili zjistit. Zkontrolujte, jestli je aplikace, kterou chcete nasadit, rozpoznána tak, že tam přejdete.

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace řízení podmíněného přístupu, abyste získali přístup k tabulce aplikací, které je možné nakonfigurovat pomocí zásad přístupu a relací.

    Conditional access app control apps.

  3. Vyberte aplikaci: Vyberte aplikace... rozevírací nabídku pro filtrování a hledání aplikace, kterou chcete nasadit.

    Select App: Select apps to search for the app.

  4. Pokud tam aplikaci nevidíte, budete ji muset přidat ručně.

Ruční přidání neidentifikované aplikace

  1. V banneru vyberte Zobrazit nové aplikace.

    Conditional access app control view new apps.

  2. V seznamu nových aplikací vyberte pro každou aplikaci, kterou zprovozníte, + symbol a pak vyberte Přidat.

    Poznámka:

    Pokud se aplikace v katalogu aplikací Defender for Cloud Apps nezobrazí, zobrazí se v dialogovém okně pod neidentifikovanými aplikacemi spolu s přihlašovací adresou URL. Když kliknete na symbol + pro tyto aplikace, můžete aplikaci připojit jako vlastní aplikaci.

    Conditional access app control discovered Microsoft Entra apps.

Přidružení správných domén k aplikaci umožňuje Defenderu for Cloud Apps vynucovat zásady a aktivity auditu.

Pokud jste například nakonfigurovali zásadu, která blokuje stahování souborů pro přidruženou doménu, zablokuje se stahování souborů aplikací z této domény. Soubory stažené aplikací z domén, které nejsou přidružené k aplikaci, ale nebudou blokovány a akce se nebude auditovat v protokolu aktivit.

Poznámka:

Defender for Cloud Apps stále přidává příponu k doménám, které nejsou přidružené k aplikaci, aby se zajistilo bezproblémové uživatelské prostředí.

  1. V aplikaci na panelu nástrojů správce Defender for Cloud Apps vyberte Zjištěné domény.

    Select Discovered domains.

    Poznámka:

    Panel nástrojů správce je viditelný jenom uživatelům s oprávněními k onboardingu nebo údržbě aplikací.

  2. Na panelu Zjištěné domény si poznamenejte názvy domén nebo seznam exportujte jako soubor .csv.

    Poznámka:

    Na panelu se zobrazí seznam zjištěných domén, které nejsou v aplikaci přidružené. Názvy domén jsou plně kvalifikované.

  3. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  4. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.

  5. V seznamu aplikací vyberte na řádku, ve kterém se aplikace nasazuje, tři tečky na konci řádku a pak vyberte Upravit aplikaci.

    Edit app details.

    Tip

    Pokud chcete zobrazit seznam domén nakonfigurovaných v aplikaci, vyberte Zobrazit domény aplikace.

    • Uživatelem definované domény: Domény přidružené k aplikaci. Přejděte do aplikace a pomocí panelu nástrojů Správa můžete identifikovat domény přidružené k aplikaci a určit, jestli některé z nich chybí. Všimněte si, že chybějící doména může způsobit, že chráněná aplikace se nevykresluje správně.

    • Zacházet s přístupovým tokenem jako s žádostmi o přihlášení: Některé aplikace jako přihlašovací údaje aplikace používají přístupové tokeny a žádosti o kód. To dává možnost zpracovávat žádosti o přístupový token a kód jako přihlášení při připojování aplikací pro přístup a řízení relací, aby se aplikace správně vykreslila. Při onboardingu aplikace se vždy ujistěte, že je zaškrtnuté.

    • Použití aplikace s řízením relace: Pokud chcete této aplikaci povolit použití nebo nepoužívat s ovládacími prvky relace. Při onboardingu aplikace se vždy ujistěte, že je zaškrtnuté.

    • Proveďte druhé přihlášení: Pokud aplikace používá nonce, je potřeba druhé přihlášení k účtu pro zpracování nesouvisecích. Aplikace používají jiné přihlášení než druhé přihlášení, aby se zajistilo, že přihlašovací token, který pro uživatele vytvoří zprostředkovatele identity, lze použít pouze jednou, a ne odcizení a opakované použití někým jiným. Nece zkontroluje poskytovatel služeb tak, aby odpovídal očekávání, a ne něco, co se už použilo, což by mohlo znamenat útok na přehrání. Když zvolíme tuto možnost, zajistíme, že se z relace s příponou aktivuje druhé přihlášení, které zajistí úspěšné přihlášení. Kvůli lepšímu výkonu by se to mělo povolit.

      Perform a second login.

  6. V uživatelem definovaných doménách zadejte všechny domény, které chcete k této aplikaci přidružit, a pak vyberte Uložit.

    Poznámka:

    Zástupný znak * můžete použít jako zástupný znak pro libovolný znak. Při přidávání domén se rozhodněte, jestli chcete přidat konkrétní domény (sub1.contoso.com,sub2.contoso.com) nebo více domén (*.contoso.com). To se podporuje jenom pro konkrétní domény (*.contoso.com) a ne pro domény nejvyšší úrovně (*.com).

  7. Opakujte následující kroky a nainstalujte kořenové certifikáty podepsané svým držitelem aktuální certifikační autority a další certifikační autority .

    1. Vyberte certifikát.
    2. Vyberte Otevřít a po zobrazení výzvy znovu vyberte Otevřít .
    3. Vyberte Nainstalovat certifikát.
    4. Zvolte aktuálního uživatele nebo místní počítač.
    5. Vyberte Umístit všechny certifikáty do následujícího úložiště a pak vyberte Procházet.
    6. Vyberte důvěryhodné kořenové certifikační autority a pak vyberte OK.
    7. Vyberte Dokončit.

    Poznámka:

    Aby se certifikáty rozpoznaly, musíte po instalaci certifikátu restartovat prohlížeč a přejít na stejnou stránku.

  8. Zvolte Pokračovat.

  9. Zkontrolujte, jestli je aplikace dostupná v tabulce.

    Onboard with session control.

Pokud chcete ověřit, že je aplikace chráněná, nejprve proveďte pevné odhlášení z prohlížečů přidružených k aplikaci nebo otevřete nový prohlížeč s anonymním režimem.

Otevřete aplikaci a proveďte následující kontroly:

  • Zkontrolujte, jestli se v prohlížeči zobrazuje ikona zámku nebo jestli pracujete v jiném prohlížeči než Microsoft Edge, zkontrolujte, jestli adresa URL vaší aplikace obsahuje příponu .mcas . Další informace najdete v tématu Ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).</a0>
  • Navštivte všechny stránky v aplikaci, které jsou součástí pracovního procesu uživatele, a ověřte, že se stránky vykreslují správně.
  • Ověřte, že chování a funkce aplikace nejsou nepříznivě ovlivněné prováděním běžných akcí, jako je stahování a nahrávání souborů.
  • Zkontrolujte seznam domén přidružených k aplikaci.

Pokud narazíte na chyby nebo problémy, pomocí panelu nástrojů pro správu shromážděte prostředky, jako .har jsou soubory a zaznamenané relace pro vytvoření lístku podpory.

Jakmile budete připraveni aplikaci povolit pro použití v produkčním prostředí vaší organizace, proveďte následující kroky.

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.
  2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.
  3. V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.
  4. Vyberte Použít aplikaci s ovládacími prvky relace a pak vyberte Uložit.
  5. V části Microsoft Entra ID vyberte v části Zabezpečení podmíněný přístup.
  6. Aktualizujte zásady, které jste vytvořili dříve, aby zahrnovaly relevantní uživatele, skupiny a ovládací prvky, které potřebujete.
  7. Pokud jste vybrali Možnost Použít vlastní zásady, přejděte v části Řízení podmíněného přístupu k aplikaci Pro správu podmíněného přístupu k programu>Defender for Cloud Apps a vytvořte odpovídající zásady relace. Další informace najdete v tématu Zásady relací.

Další kroky

PŘEDCHOZÍ: Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu

DALŠÍ: Jak vytvořit zásadu relace

Viz také

Úvod do řízení podmíněného přístupu k aplikacím

Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.