Sdílet prostřednictvím

Onboarding aplikací katalogu jiných společností než Microsoft IdP pro řízení aplikací podmíněného přístupu

  • Článek

Řízení přístupu a relací v Microsoft Defenderu pro cloudové aplikace fungují s katalogem i vlastními aplikacemi. I když se aplikace Microsoft Entra ID automaticky nasadí, aby používaly řízení podmíněného přístupu, pokud pracujete s jiným zprostředkovatele identity než Microsoft, budete muset aplikaci připojit ručně.

Tento článek popisuje, jak nakonfigurovat zprostředkovatele identity tak, aby fungoval s Programem Defender for Cloud Apps. Integrace zprostředkovatele identity s programem Defender for Cloud Apps automaticky nasadí všechny aplikace katalogu z vašeho zprostředkovatele identity pro řízení podmíněného přístupu.

Požadavky

  • K používání řízení podmíněného přístupu k aplikacím musí mít vaše organizace následující licence:

    • Licence vyžadovaná vaším poskytovatelem identity (IdP)
    • Microsoft Defender for Cloud Apps

  • Aplikace musí být nakonfigurované s jednotným přihlašováním.

  • Aplikace musí být nakonfigurované pomocí ověřovacího protokolu SAML 2.0.

Úplné provádění a testování postupů v tomto článku vyžaduje, abyste nakonfigurovali zásady relace nebo přístupu. Další informace naleznete v tématu:

Konfigurace zprostředkovatele identity pro práci s Defenderem for Cloud Apps

Tento postup popisuje, jak směrovat relace aplikací z jiných řešení zprostředkovatele identity do Defenderu for Cloud Apps.

Tip

Následující články obsahují podrobné příklady tohoto postupu:

Konfigurace zprostředkovatele identity pro práci s Defenderem for Cloud Apps:

  1. V XDR v programu Microsoft Defender vyberte Nastavení > aplikací připojených ke cloudovým aplikacím >> podmíněný přístup k aplikacím řízení přístupu.

  2. Na stránce Aplikace řízení podmíněného přístupu vyberte + Přidat.

  3. V dialogovém okně Přidat aplikaci SAML s vaším poskytovatelem identity vyberte rozevírací seznam Hledat aplikaci a pak vyberte aplikaci, kterou chcete nasadit. Vyberte aplikaci a vyberte Průvodce startem.

  4. Na stránce INFORMACE O APLIKACI průvodce buď nahrajte soubor metadat z aplikace, nebo zadejte data aplikace ručně.

    Nezapomeňte zadat následující informace:

    • Adresa URL služby Kontrolní příjemce. Toto je adresa URL, kterou vaše aplikace používá k příjmu kontrolních výrazů SAML z vašeho zprostředkovatele identity.
    • Pokud vaše aplikace poskytuje certifikát SAML. V takových případech vyberte použít ... Možnost certifikátu SAML a pak nahrajte soubor certifikátu.

    Až budete hotovi, pokračujte výběrem možnosti Další .

  5. Na stránce ZPROSTŘEDKOVATELE IDENTITY průvodce nastavte novou vlastní aplikaci na portálu zprostředkovatele identity podle pokynů.

    Poznámka:

    Požadované kroky se můžou lišit v závislosti na vašem zprostředkovatele identity. Doporučujeme provést externí konfiguraci, jak je popsáno z následujících důvodů:

    • Někteří zprostředkovatelé identity neumožňují změnit atributy SAML nebo vlastnosti adresy URL aplikace galerie nebo katalogu.
    • Když nakonfigurujete vlastní aplikaci, můžete aplikaci otestovat pomocí programu Defender for Cloud Apps a řízení relací, aniž byste změnili stávající nakonfigurované chování vaší organizace.

    Zkopírujte informace o konfiguraci jednotného přihlašování vaší aplikace pro pozdější použití v tomto postupu. Až budete hotovi, pokračujte výběrem možnosti Další .

  6. Pokračujte na stránce ZPROSTŘEDKOVATELE IDENTITY v průvodci tak, že buď nahrajete soubor metadat z vašeho zprostředkovatele identity, nebo zadáte data aplikace ručně.

    Nezapomeňte zadat následující informace:

    • Adresa URL služby jednotného přihlašování. Toto je adresa URL, kterou váš zprostředkovatele identity používá k přijímání žádostí o jednotné přihlašování.
    • Certifikát SAML, pokud ho váš zprostředkovatele identity poskytuje. V takových případech vyberte možnost Použít certifikát SAML zprostředkovatele identity a pak soubor certifikátu nahrajte.

  7. Pokračujte na stránce ZPROSTŘEDKOVATELE IDENTITY průvodce, zkopírujte adresu URL jednotného přihlašování i všechny atributy a hodnoty pro pozdější použití v tomto postupu.

    Až budete hotovi, pokračujte výběrem možnosti Další .

  8. Přejděte na portál zprostředkovatele identity a zadejte hodnoty, které jste zkopírovali do konfigurace zprostředkovatele identity. Tato nastavení se obvykle nacházejí v oblasti nastavení vlastní aplikace vašeho zprostředkovatele identity.

    1. Zadejte adresu URL jednotného přihlašování vaší aplikace, kterou jste zkopírovali z předchozího kroku. Někteří poskytovatelé můžou odkazovat na adresu URL jednotného přihlašování jako na adresu URL odpovědi.

    2. Přidejte atributy a hodnoty, které jste zkopírovali z předchozího kroku, do vlastností aplikace. Někteří poskytovatelé je můžou označovat jako atributy uživatele nebo deklarace identity.

      Pokud jsou vaše atributy omezené na 1024 znaků pro nové aplikace, nejprve vytvořte aplikaci bez relevantních atributů a potom je přidejte úpravou aplikace.

    3. Ověřte, že je váš identifikátor jména ve formátu e-mailové adresy.

    4. Až budete hotovi, nezapomeňte nastavení uložit.

  9. Zpátky v Defenderu pro Cloud Apps na stránce ZMĚNY APLIKACE průvodce zkopírujte adresu URL jednotného přihlašování SAML a stáhněte certifikát SAML pro Microsoft Defender for Cloud Apps. Adresa URL jednotného přihlašování SAML je přizpůsobená adresa URL pro vaši aplikaci při použití s řízením podmíněného přístupu k aplikacím Defender for Cloud Apps.

  10. Přejděte na portál vaší aplikace a nakonfigurujte nastavení jednotného přihlašování následujícím způsobem:

    1. (Doporučeno) Vytvořte zálohu aktuálního nastavení.
    2. Hodnotu pole adresy URL pro přihlášení zprostředkovatele identity nahraďte adresou URL jednotného přihlašování SAML pro Defender for Cloud Apps, kterou jste zkopírovali z předchozího kroku. Konkrétní název tohoto pole se může lišit v závislosti na vaší aplikaci.
    3. Nahrajte certifikát SAML pro Defender for Cloud Apps, který jste stáhli v předchozím kroku.
    4. Nezapomeňte změny uložit.

  11. V průvodci vyberte Dokončit a dokončete konfiguraci.

Po uložení nastavení jednotného přihlašování aplikace s hodnotami přizpůsobenými defenderem pro Cloud Apps se všechny přidružené žádosti o přihlášení do aplikace směrují, i když Defender for Cloud Apps a řízení aplikací podmíněného přístupu.

Poznámka:

Certifikát SAML pro Defender for Cloud Apps je platný po dobu 1 roku. Po vypršení platnosti budete muset vygenerovat a nahrát nový.

Přihlaste se k aplikaci pomocí uživatele s vymezeným oborem zásad.

Po vytvoření zásad přístupu nebo relace se přihlaste ke každé aplikaci nakonfigurované v zásadách. Ujistěte se, že jste se nejprve odhlásili ze všech existujících relací a že jste se přihlásili pomocí uživatele nakonfigurovaného v zásadách.

Defender for Cloud Apps synchronizuje podrobnosti o zásadách se svými servery pro každou novou aplikaci, ke které se přihlašujete. To může trvat až jednu minutu.

Další informace naleznete v tématu:

Ověřte, že jsou aplikace nakonfigurované tak, aby používaly řízení přístupu a relací.

Tento postup popisuje, jak ověřit, že jsou vaše aplikace nakonfigurované tak, aby používaly řízení přístupu a relací v Defenderu pro Cloud Apps a v případě potřeby tato nastavení nakonfigurujete.

Poznámka:

I když nemůžete odebrat nastavení řízení relace pro aplikaci, žádné chování se nezmění, dokud nebudete mít nakonfigurovanou zásadu relace nebo přístupu pro aplikaci.

  1. V XDR v programu Microsoft Defender vyberte Nastavení > aplikací připojených ke cloudovým > aplikacím > podmíněné řízení přístupu k aplikacím.

  2. V tabulce aplikací vyhledejte aplikaci a zkontrolujte hodnotu sloupce typu ZDP. Ujistěte se, že se pro vaši aplikaci zobrazí ověřovací aplikace bez MS a řízení relace.

Související obsah

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.