Onboarding vlastních aplikací mimo Microsoft IdP pro řízení aplikací podmíněného přístupu

Řízení přístupu a relací v Microsoft Defenderu pro cloudové aplikace fungují s katalogem i vlastními aplikacemi. I když se aplikace Microsoft Entra ID automaticky nasadí, aby používaly řízení podmíněného přístupu, pokud pracujete s jiným zprostředkovatele identity než Microsoft, budete muset aplikaci připojit ručně.

Tento článek popisuje, jak nakonfigurovat zprostředkovatele identity tak, aby fungoval s programem Defender for Cloud Apps, a poté také ručně připojit každou vlastní aplikaci. Aplikace katalogu z jiného zprostředkovatele identity než Microsoftu se naopak automaticky nasadí při konfiguraci integrace mezi vaším zprostředkovatele identity a programem Defender for Cloud Apps.

Požadavky

• K používání řízení podmíněného přístupu k aplikacím musí mít vaše organizace následující licence:

  • Licence vyžadovaná vaším poskytovatelem identity (IdP)
  • Microsoft Defender for Cloud Apps

• Aplikace musí být nakonfigurované s jednotným přihlašováním.

• Aplikace musí být nakonfigurované pomocí ověřovacího protokolu SAML 2.0.

Přidání správců do onboardingu nebo seznamu údržby aplikací

1. V XDR v programu Microsoft Defender vyberte Nastavení >> podmíněného přístupu k aplikacím řízení > přístupu k aplikacím, které se připojují a údržby.

2. Zadejte uživatelská jména nebo e-maily všech uživatelů, kteří budou vaši aplikaci připojovat, a pak vyberte Uložit.

Další informace najdete v tématu Diagnostika a řešení potíží pomocí panelu nástrojů Zobrazení pro správu.

Konfigurace zprostředkovatele identity pro práci s Defenderem for Cloud Apps

Tento postup popisuje, jak směrovat relace aplikací z jiných řešení zprostředkovatele identity do Defenderu for Cloud Apps.

Tip

Následující články obsahují podrobné příklady tohoto postupu:

• Konfigurace zprostředkovatele identity PingOne
• Konfigurace zprostředkovatele identity služby AD FS
• Konfigurace zprostředkovatele identity Okta

Konfigurace zprostředkovatele identity pro práci s Defenderem for Cloud Apps:

1. V XDR v programu Microsoft Defender vyberte Nastavení > aplikací připojených ke cloudovým aplikacím >> podmíněný přístup k aplikacím řízení přístupu.

2. Na stránce Aplikace řízení podmíněného přístupu vyberte + Přidat.

3. V dialogovém okně Přidat aplikaci SAML s vaším poskytovatelem identity vyberte rozevírací seznam Hledat aplikaci a pak vyberte aplikaci, kterou chcete nasadit. Vyberte aplikaci a vyberte Průvodce startem.

4. Na stránce INFORMACE O APLIKACI průvodce buď nahrajte soubor metadat z aplikace, nebo zadejte data aplikace ručně.

   Nezapomeňte zadat následující informace:

   • Adresa URL služby Kontrolní příjemce. Toto je adresa URL, kterou vaše aplikace používá k příjmu kontrolních výrazů SAML z vašeho zprostředkovatele identity.
   • Pokud vaše aplikace poskytuje certifikát SAML. V takových případech vyberte použít ... Možnost certifikátu SAML a pak nahrajte soubor certifikátu.

   Až budete hotovi, pokračujte výběrem možnosti Další .

5. Na stránce ZPROSTŘEDKOVATELE IDENTITY průvodce nastavte novou vlastní aplikaci na portálu zprostředkovatele identity podle pokynů.

   Poznámka:

   Požadované kroky se můžou lišit v závislosti na vašem zprostředkovatele identity. Doporučujeme provést externí konfiguraci, jak je popsáno z následujících důvodů:

   • Někteří zprostředkovatelé identity neumožňují změnit atributy SAML nebo vlastnosti adresy URL aplikace galerie nebo katalogu.
   • Když nakonfigurujete vlastní aplikaci, můžete aplikaci otestovat pomocí programu Defender for Cloud Apps a řízení relací, aniž byste změnili stávající nakonfigurované chování vaší organizace.

   Zkopírujte informace o konfiguraci jednotného přihlašování vaší aplikace pro pozdější použití v tomto postupu. Až budete hotovi, pokračujte výběrem možnosti Další .

6. Pokračujte na stránce ZPROSTŘEDKOVATELE IDENTITY v průvodci tak, že buď nahrajete soubor metadat z vašeho zprostředkovatele identity, nebo zadáte data aplikace ručně.

   Nezapomeňte zadat následující informace:

   • Adresa URL služby jednotného přihlašování. Toto je adresa URL, kterou váš zprostředkovatele identity používá k přijímání žádostí o jednotné přihlašování.
   • Certifikát SAML, pokud ho váš zprostředkovatele identity poskytuje. V takových případech vyberte možnost Použít certifikát SAML zprostředkovatele identity a pak soubor certifikátu nahrajte.

7. Pokračujte na stránce ZPROSTŘEDKOVATELE IDENTITY průvodce, zkopírujte adresu URL jednotného přihlašování i všechny atributy a hodnoty pro pozdější použití v tomto postupu.

   Až budete hotovi, pokračujte výběrem možnosti Další .

8. Přejděte na portál zprostředkovatele identity a zadejte hodnoty, které jste zkopírovali do konfigurace zprostředkovatele identity. Tato nastavení se obvykle nacházejí v oblasti nastavení vlastní aplikace vašeho zprostředkovatele identity.

   1. Zadejte adresu URL jednotného přihlašování vaší aplikace, kterou jste zkopírovali z předchozího kroku. Někteří poskytovatelé můžou odkazovat na adresu URL jednotného přihlašování jako na adresu URL odpovědi.

   2. Přidejte atributy a hodnoty, které jste zkopírovali z předchozího kroku, do vlastností aplikace. Někteří poskytovatelé je můžou označovat jako atributy uživatele nebo deklarace identity.

      Pokud jsou vaše atributy omezené na 1024 znaků pro nové aplikace, nejprve vytvořte aplikaci bez relevantních atributů a potom je přidejte úpravou aplikace.

   3. Ověřte, že je váš identifikátor jména ve formátu e-mailové adresy.

   4. Až budete hotovi, nezapomeňte nastavení uložit.

9. Zpátky v Defenderu pro Cloud Apps na stránce ZMĚNY APLIKACE průvodce zkopírujte adresu URL jednotného přihlašování SAML a stáhněte certifikát SAML pro Microsoft Defender for Cloud Apps. Adresa URL jednotného přihlašování SAML je přizpůsobená adresa URL pro vaši aplikaci při použití s řízením podmíněného přístupu k aplikacím Defender for Cloud Apps.

10. Přejděte na portál vaší aplikace a nakonfigurujte nastavení jednotného přihlašování následujícím způsobem:

    1. (Doporučeno) Vytvořte zálohu aktuálního nastavení.
    2. Hodnotu pole adresy URL pro přihlášení zprostředkovatele identity nahraďte adresou URL jednotného přihlašování SAML pro Defender for Cloud Apps, kterou jste zkopírovali z předchozího kroku. Konkrétní název tohoto pole se může lišit v závislosti na vaší aplikaci.
    3. Nahrajte certifikát SAML pro Defender for Cloud Apps, který jste stáhli v předchozím kroku.
    4. Nezapomeňte změny uložit.

11. V průvodci vyberte Dokončit a dokončete konfiguraci.

Po uložení nastavení jednotného přihlašování aplikace s hodnotami přizpůsobenými defenderem pro Cloud Apps se všechny přidružené žádosti o přihlášení do aplikace směrují, i když Defender for Cloud Apps a řízení aplikací podmíněného přístupu.

Poznámka:

Certifikát SAML pro Defender for Cloud Apps je platný po dobu 1 roku. Po vypršení platnosti budete muset vygenerovat nový.

Onboarding aplikace pro řízení podmíněného přístupu

Pokud pracujete s vlastní aplikací, která není automaticky vyplněná v katalogu aplikací, budete ji muset přidat ručně.

Pokud chcete zkontrolovat, jestli už je vaše aplikace přidaná:

1. V XDR v programu Microsoft Defender vyberte Nastavení > aplikací připojených ke cloudovým > aplikacím > podmíněné řízení přístupu k aplikacím.

2. Vyberte aplikaci: Vyberte aplikace... rozevírací nabídku a vyhledejte aplikaci.

Pokud už je vaše aplikace uvedená, pokračujte postupem pro aplikace katalogu.

Ruční přidání aplikace:

1. Pokud máte nové aplikace, v horní části stránky se zobrazí banner s oznámením, že máte nové aplikace k onboardingu. Výběrem odkazu Zobrazit nové aplikace je zobrazíte.

2. V dialogovém okně Zjištěné aplikace Azure AD vyhledejte aplikaci, například podle hodnoty Přihlašovací adresa URL . + Vyberte tlačítko a pak ho přidejte jako vlastní aplikaci.

Instalace kořenových certifikátů

Ujistěte se, že pro každou aplikaci používáte správnou aktuální certifikační autoritu nebo certifikáty další certifikační autority .

Certifikáty nainstalujete tak, že pro každý certifikát zopakujete následující krok:

1. Otevřete a nainstalujte certifikát a vyberte aktuálního uživatele nebo místní počítač.

2. Po zobrazení výzvy k umístění certifikátů přejděte na důvěryhodné kořenové certifikační autority.

3. Podle potřeby vyberte OK a Dokončit a dokončete postup.

4. Restartujte prohlížeč, znovu otevřete aplikaci a po zobrazení výzvy vyberte Pokračovat .

5. V XDR v programu Microsoft Defender vyberte Nastavení > aplikací připojených ke cloudovým > aplikacím > Podmíněné řízení přístupu k aplikacím a ujistěte se, že je vaše aplikace stále uvedená v tabulce.

Další informace najdete v tématu Aplikace se nezobrazuje na stránce aplikace Řízení podmíněného přístupu k aplikacím.

Související obsah

• Ochrana aplikací pomocí řízení podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps
• Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu s poskytovateli identity jiných společností než Microsoft
• Řešení potíží s řízením přístupu a relací

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.