Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mithilfe von Azure Active Directory

Hinweis

Microsoft Defender for Cloud Apps (früher als Microsoft Cloud App Security bezeichnet) ist jetzt Teil von Microsoft 365 Defender. Über das Microsoft 365 Defender-Portal können Sicherheitsadministratoren ihre Sicherheitsaufgaben an einem Ort ausführen. Dies vereinfacht Workflows und fügt die Funktionalität der anderen Microsoft 365 Defender-Dienste hinzu. Microsoft 365 Defender dient zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, Daten, Geräte, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Sitzungssteuerelemente in Microsoft Defender for Cloud Apps können für die Verwendung mit beliebigen Web-Apps konfiguriert werden. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Branchen-Apps, nicht ausgewählte SaaS-Apps und lokale Apps integrieren und bereitstellen, die über die Azure Active Directory-Anwendungsproxy (Azure AD) mit Sitzungssteuerungen gehostet werden. Es enthält Schritte zum Erstellen einer Azure AD-Richtlinie für bedingten Zugriff, die App-Sitzungen an Defender für Cloud-Apps weitergibt. Weitere IdP-Lösungen finden Sie unter Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit Nicht-Microsoft IdP.

Eine Liste der Apps, die von Defender für Cloud-Apps bereitgestellt werden, die sofort einsatzbereit funktionieren, finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff in Defender für Cloud-Apps.

Voraussetzungen

Hinzufügen von Administratoren zur App-Onboarding-/Wartungsliste

  1. Wählen Sie in der Menüleiste von Defender for Cloud Apps das Symbol "Einstellungen Zahnradeinstellungen 4 " und dann Einstellungen aus.

  2. Wählen Sie unter App-Steuerung für bedingten Zugriff die Option App-Onboarding/Wartung aus.

  3. Geben Sie den Benutzerprinzipalnamen oder die E-Mail-Adresse für die Benutzer ein, die das Onboarding der App durchführen, und wählen Sie dann Speichern aus.

    Screenshot der Einstellungen für das App-Onboarding und die Wartung.

Überprüfen auf erforderliche Lizenzen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff verwenden zu können:

  • Apps müssen mit einmaligem Anmelden konfiguriert werden.

  • Apps müssen eines der folgenden Authentifizierungsprotokolle verwenden:

    IdP Protokolle
    Azure AD SAML 2.0 oder OpenID Connect

So stellen Sie eine beliebige App bereit

Führen Sie die folgenden Schritte aus, um jede App zu konfigurieren, die von der App-Steuerung für den bedingten Zugriff von Defender für Cloud-Apps gesteuert werden soll.

Hinweis

Zum Bereitstellen der App-Steuerung für bedingten Zugriff für Azure AD-Apps benötigen Sie eine gültige Lizenz für Azure Active Directory Premium P1 oder höher sowie eine Defender for Cloud Apps-Lizenz.

Konfigurieren von Azure AD für die Arbeit mit Defender for Cloud Apps

Hinweis

Wenn Sie eine Anwendung mit SSO in Azure AD oder anderen Identitätsanbietern konfigurieren, ist ein Feld, das als optional aufgeführt werden kann, die Einstellung für die Anmelde-URL. Beachten Sie, dass dieses Feld möglicherweise erforderlich ist, damit die App-Steuerung für bedingten Zugriff funktioniert.

  1. Navigieren Sie in Azure AD zuBedingter Zugriff fürSicherheit>.

  2. Wählen Sie im Bereich Bedingter Zugriff oben auf der Symbolleiste Die Option Neue RichtlinieNeue Richtlinie erstellen> aus.

  3. Geben Sie im Bereich Neu im Textfeld Name den Richtliniennamen ein.

  4. Wählen Sie unter Zuweisungen die Option Benutzer oder Workloadidentitäten aus, weisen Sie die Benutzer zu, die die App integrieren (erste Anmeldung und Überprüfung), und wählen Sie dann Fertig aus.

  5. Wählen Sie unter Zuweisungendie Option Cloud-Apps oder -Aktionen aus, weisen Sie die Apps zu, die Sie mit App-Steuerung für bedingten Zugriff steuern möchten, und wählen Sie dann Fertig aus.

  6. Wählen Sie unter Zugriffssteuerungendie Option Sitzung aus, wählen Sie App-Steuerung für bedingten Zugriff verwenden aus, und wählen Sie eine integrierte Richtlinie (Nur Überwachen oder Herunterladen blockieren) oder Benutzerdefinierte Richtlinie zum Festlegen einer erweiterten Richtlinie in Defender für Cloud-Apps verwenden aus, und klicken Sie dann auf Auswählen.

    Bedingter Azure AD-Zugriff.

  7. Fügen Sie optional Nach Bedarf Bedingungen hinzu und gewähren Sie Steuerelemente.

  8. Legen Sie Richtlinie aktivieren auf Ein fest, und wählen Sie dann Erstellen aus.

Anwendungen im App-Katalog werden automatisch in die Tabelle unter Verbundene Apps aufgefüllt. Überprüfen Sie, ob die App, die Sie bereitstellen möchten, erkannt wird, indem Sie dorthin navigieren.

  1. Wählen Sie in der Menüleiste von Defender für Cloud-Apps das Symbol " Zahnradeinstellungen, und wählen Sie die Registerkarte App-Steuerung für bedingten Zugriff aus, um auf eine Tabelle mit Anwendungen zuzugreifen, die mit Zugriffs- und Sitzungsrichtlinien konfiguriert werden können.

    Onboarding mit Sitzungssteuerung.

    Apps für die App-Steuerung für bedingten Zugriff.

  2. Wählen Sie das Dropdownmenü App: Apps auswählen... aus, um zu filtern und nach der App zu suchen, die Sie bereitstellen möchten.

    App auswählen: Wählen Sie Apps aus, um nach der App zu suchen.

  3. Wenn die App dort nicht angezeigt wird, müssen Sie sie manuell hinzufügen.

Manuelles Hinzufügen einer nicht identifizierten App

  1. Wählen Sie im Banner Neue Apps anzeigen aus.

    App-Steuerung für bedingten Zugriff: Anzeigen neuer Apps.

  2. Wählen Sie in der Liste der neuen Apps für jede App, die Sie integrieren, das + Zeichen aus, und wählen Sie dann Hinzufügen aus.

    Hinweis

    Wenn eine App nicht im Defender for Cloud Apps-App-Katalog angezeigt wird, wird sie im Dialogfeld unter nicht identifizierten Apps zusammen mit der Anmelde-URL angezeigt. Wenn Sie für diese Apps auf das Pluszeichen (+) klicken, können Sie die App als benutzerdefinierte App integrieren.

    Die App-Steuerung für bedingten Zugriff hat Azure AD-Apps ermittelt.

Durch das Zuordnen der richtigen Domänen zu einer App kann Defender für Cloud-Apps Richtlinien und Überwachungsaktivitäten erzwingen.

Wenn Sie beispielsweise eine Richtlinie konfiguriert haben, die das Herunterladen von Dateien für eine zugeordnete Domäne blockiert, werden Dateidownloads von der App aus dieser Domäne blockiert. Dateidownloads von der App aus Domänen, die nicht der App zugeordnet sind, werden jedoch nicht blockiert, und die Aktion wird nicht im Aktivitätsprotokoll überwacht.

Hinweis

Defender für Cloud-Apps fügt Domänen, die nicht der App zugeordnet sind, weiterhin ein Suffix hinzu, um eine nahtlose Benutzererfahrung zu gewährleisten.

  1. Wählen Sie innerhalb der App auf der Defender for Cloud Apps-Administratorsymbolleiste ermittelte Domänen aus.

    Hinweis

    Die Administratorsymbolleiste ist nur für Benutzer mit Berechtigungen für das Onboarding oder die Wartung von Apps sichtbar.

  2. Notieren Sie sich im Bereich Ermittelte Domänen die Domänennamen, oder exportieren Sie die Liste als .csv Datei.

    Hinweis

    Im Bereich wird eine Liste der ermittelten Domänen angezeigt, die nicht in der App zugeordnet sind. Die Domänennamen sind voll qualifiziert.

  3. Wechseln Sie zu Defender für Cloud-Apps, wählen Sie in der Menüleiste das Symbol "Einstellungen Zahnradeinstellungen 2 " aus, und wählen Sie App-Steuerung für bedingten Zugriff aus.

  4. Wählen Sie in der Liste der Apps in der Zeile, in der die bereitgestellte App angezeigt wird, die drei Punkte am Ende der Zeile aus, und wählen Sie dann unter APP-DETAILSdie Option Bearbeiten aus.

    Tipp

    Um die Liste der in der App konfigurierten Domänen anzuzeigen, wählen Sie App-Domänen anzeigen aus.

  5. Geben Sie unter Benutzerdefinierte Domänen alle Domänen ein, die Sie dieser App zuordnen möchten, und wählen Sie dann Speichern aus.

    Hinweis

    Sie können das Platzhalterzeichen * als Platzhalter für ein beliebiges Zeichen verwenden. Entscheiden Sie beim Hinzufügen von Domänen, ob Sie bestimmte Domänen (sub1.contoso.com,sub2.contoso.com) oder mehrere Domänen (*.contoso.com) hinzufügen möchten.

  6. Wiederholen Sie die folgenden Schritte, um die selbstsignierten Stammzertifikate Current CA und Next CA zu installieren.

    1. Wählen Sie das Zertifikat aus.
    2. Wählen Sie Öffnen aus, und wählen Sie erneut Öffnen aus.
    3. Wählen Sie Zertifikat installieren aus.
    4. Wählen Sie entweder Aktueller Benutzer oder lokaler Computer aus.
    5. Wählen Sie Alle Zertifikate im folgenden Speicher platzieren und dann Durchsuchen aus.
    6. Wählen Sie Vertrauenswürdige Stammzertifizierungsstellen und dann OK aus.
    7. Wählen Sie Fertig stellen aus.

    Hinweis

    Damit die Zertifikate erkannt werden, müssen Sie nach der Installation des Zertifikats den Browser neu starten und zur gleichen Seite wechseln.<! –- Sie sehen ein Häkchen mit den Zertifikatlinks, die bestätigen, dass sie installiert sind.--

  7. Wählen Sie Weiter.

  8. Überprüfen Sie, ob die Anwendung in der Tabelle verfügbar ist.

    Onboarding mit Sitzungssteuerung.

Um zu überprüfen, ob die Anwendung proxied wird, führen Sie zunächst eine harte Abmeldung von Browsern aus, die der Anwendung zugeordnet sind, oder öffnen Sie einen neuen Browser mit Inkognitomodus.

Öffnen Sie die Anwendung, und führen Sie die folgenden Überprüfungen aus:

  • Überprüfen Sie, ob die URL das .mcas Suffix enthält.
  • Besuchen Sie alle Seiten innerhalb der App, die Teil des Arbeitsprozesses eines Benutzers sind, und überprüfen Sie, ob die Seiten ordnungsgemäß gerendert werden.
  • Vergewissern Sie sich, dass das Verhalten und die Funktionalität der App nicht beeinträchtigt werden, indem Sie allgemeine Aktionen ausführen, z. B. das Herunterladen und Hochladen von Dateien.
  • Überprüfen Sie die Liste der Domänen, die der App zugeordnet sind.

Wenn Fehler oder Probleme auftreten, verwenden Sie die Symbolleiste des Administrators, um Ressourcen wie .har Dateien und aufgezeichnete Sitzungen für die Einreichung eines Supporttickets zu sammeln.

Sobald Sie bereit sind, die App für die Verwendung in der Produktionsumgebung Ihrer Organisation zu aktivieren, führen Sie die folgenden Schritte aus.

  1. Wählen Sie in Defender für Cloud-Apps das Symbol " Zahnradeinstellungen, und wählen Sie dann App-Steuerung für bedingten Zugriff aus.
  2. Wählen Sie in der Liste der Apps in der Zeile, in der die Von Ihnen bereitgestellte App angezeigt wird, die drei Punkte am Ende der Zeile aus, und wählen Sie dann App bearbeiten aus.
  3. Wählen Sie App mit Sitzungssteuerelementen verwenden und dann Speichern aus.
  4. Wählen Sie in Azure AD unter Sicherheitdie Option Bedingter Zugriff aus.
  5. Aktualisieren Sie die zuvor erstellte Richtlinie so, dass sie die relevanten Benutzer, Gruppen und Steuerelemente einschließt, die Sie benötigen.
  6. Wenn Sie unterApp-Steuerung für bedingten Zugriff auf Sitzung> verwenden die Option Benutzerdefinierte Richtlinie verwenden ausgewählt haben, wechseln Sie zu Defender für Cloud-Apps, und erstellen Sie eine entsprechende Sitzungsrichtlinie. Weitere Informationen finden Sie unter Sitzungsrichtlinien.

Nächste Schritte

Weitere Informationen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.