Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu pomocí Azure AD
Poznámka:
Microsoft Defender for Cloud Apps je teď součástí Programu Microsoft 365 Defender, který koreluje signály z celé sady Microsoft Defenderu a poskytuje možnosti detekce, vyšetřování a výkonné reakce na úrovni incidentů. Další informace najdete v programu Microsoft Defender for Cloud Apps v Programu Microsoft 365 Defender.
Řízení přístupu a relací v Programu Microsoft Defender for Cloud Apps pracují s aplikacemi z katalogu cloudových aplikací a s vlastními aplikacemi. Seznam aplikací, které jsou předpřipravené a připravené, najdete v tématu Ochrana aplikací pomocí Defenderu for Cloud Apps – Řízení podmíněného přístupu k aplikacím.
Předpoklady
K používání řízení podmíněného přístupu k aplikacím musí mít vaše organizace následující licence:
- Azure Active Directory (Azure AD) Premium P1 nebo vyšší
- Microsoft Defender for Cloud Apps
Aplikace musí být nakonfigurované s jednotným přihlašováním.
Aplikace musí používat jeden z následujících ověřovacích protokolů:
Federační Protokoly Azure AD SAML 2.0 nebo OpenID Připojení Jiný důvod SAML 2.0
Nasazení aplikací katalogu
Postupujte podle následujících kroků a nakonfigurujte aplikace katalogu tak, aby byly řízeny řízením podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps.
Konfigurace integrace s Azure AD
Poznámka:
Při konfiguraci aplikace s jednotným přihlašováním v Azure AD nebo jiných zprostředkovatelů identity je jedno pole, které může být uvedeno jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být vyžadováno, aby řízení podmíněného přístupu k aplikacím fungovalo.
Pomocí následujícího postupu vytvořte zásadu podmíněného přístupu Azure AD, která směruje relace aplikací do Defenderu pro Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Konfigurace integrace s jinými řešeními zprostředkovatele identity.
V Azure AD přejděte k podmíněnému přístupu zabezpečení>.
V podokně Podmíněný přístup na panelu nástrojů v horní části vyberte Nová zásada -> Vytvořit novou zásadu.
V podokně Nový zadejte do textového pole Název název zásady.
V části Přiřazení vyberte Uživatele nebo identity úloh a přiřaďte uživatele a skupiny, které budou aplikaci připojovat (počáteční přihlášení a ověření).
V části Přiřazení vyberte Cloudové aplikace nebo akce a přiřaďte aplikace a akce, které chcete řídit pomocí řízení podmíněného přístupu k aplikacím.
V části Řízení přístupu vyberte Možnost Relace, vyberte Použít řízení podmíněného přístupu aplikace a zvolte předdefinované zásady (jenom monitorování (Preview) nebo Blokovat stahování (Preview)) nebo Použití vlastních zásad k nastavení rozšířených zásad v Programu Defender for Cloud Apps a pak vyberte Vybrat.
Volitelně můžete podle potřeby přidat podmínky a udělit ovládací prvky.
Nastavte možnost Povolit zásadu na Zapnuto a pak vyberte Vytvořit.
Poznámka:
Než budete pokračovat, nezapomeňte se nejprve odhlásit z existujících relací.
Po vytvoření zásady se přihlaste ke každé aplikaci nakonfigurované v této zásadě. Ujistěte se, že se přihlašujete pomocí uživatele nakonfigurovaného v zásadách.
Defender for Cloud Apps synchronizuje podrobnosti o zásadách se svými servery pro každou novou aplikaci, ke které se přihlašujete. To může trvat až jednu minutu.
Předchozí pokyny vám pomohly vytvořit předdefinované zásady Defenderu for Cloud Apps pro aplikace katalogu přímo v Azure AD. V tomto kroku ověřte, že jsou pro tyto aplikace nakonfigurované řízení přístupu a relací.
Na portálu Microsoft 365 Defender vyberte Nastavení. Pak zvolte Cloud Apps.
V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu. Podívejte se na sloupec Dostupné ovládací prvky a ověřte, že se pro vaše aplikace zobrazí řízení přístupu i podmíněný přístup Azure AD a řízení relací.
Poznámka:
Pokud aplikace není povolená pro řízení relace, můžete ji přidat tak, že vyberete onboarding s ovládacími prvky relace a zaškrtnete možnost Použít tuto aplikaci s ovládacími prvky relace.
Jakmile budete připraveni aplikaci povolit pro použití v produkčním prostředí vaší organizace, proveďte následující kroky.
Na portálu Microsoft 365 Defender vyberte Nastavení. Pak zvolte Cloud Apps.
V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu. V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.
Vyberte Použít aplikaci s ovládacími prvky relace a pak vyberte Uložit.
Nejprve se odhlaste z existujících relací. Pak se zkuste přihlásit ke každé aplikaci, která byla úspěšně nasazena. Přihlaste se pomocí uživatele, který odpovídá zásadám nakonfigurovaným v Azure AD, nebo pro aplikaci SAML nakonfigurovanou s vaším zprostředkovatelem identity.
Na portálu Microsoft 365 Defender v části Cloud Apps vyberte protokol aktivit a ujistěte se, že se pro každou aplikaci zaznamenávají aktivity přihlášení.
Můžete filtrovat výběrem možnosti Upřesnit a následným filtrováním pomocí ovládacího prvku Řízení přístupu se rovná zdroji.
Doporučujeme se přihlásit k mobilním a desktopovým aplikacím ze spravovaných a nespravovaných zařízení. Tím zajistíte, aby se aktivity správně zaznamenávaly v protokolu aktivit.
Pokud chcete ověřit, že je aktivita správně zachycená, vyberte aktivitu jednotného přihlašování, aby se otevřela zásuvka aktivity. Ujistěte se , že značka uživatelského agenta správně odráží, jestli je zařízení nativním klientem (to znamená mobilní nebo desktopová aplikace), nebo je spravované zařízení (kompatibilní, připojené k doméně nebo platný klientský certifikát).
Poznámka:
Po nasazení není možné aplikaci odebrat ze stránky Řízení podmíněného přístupu k aplikacím. Pokud v aplikaci nenastavíte zásady relace ani přístupu, řízení podmíněného přístupu k aplikaci nezmění žádné chování aplikace.
Další kroky
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.