Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit nicht microsoft-IdP

Hinweis

  • Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen werden wir die Screenshots und Anweisungen hier und auf verwandten Seiten aktualisieren. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

  • Microsoft Defender for Cloud Apps ist jetzt Teil Microsoft 365 Defender. Das Microsoft 365 Defender Portal ermöglicht Sicherheitsadministratoren, ihre Sicherheitsaufgaben an einem Ort auszuführen. Dadurch werden Workflows vereinfacht und die Funktionalität der anderen Microsoft 365 Defender Dienste hinzugefügt. Microsoft 365 Defender ist das Zuhause für die Überwachung und Verwaltung der Sicherheit in Ihren Microsoft-Identitäten, Daten, Geräten, Apps und Infrastruktur. Weitere Informationen zu diesen Änderungen finden Sie unter Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Sitzungssteuerelemente in Microsoft Defender for Cloud Apps können so konfiguriert werden, dass sie mit allen Web-Apps arbeiten. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Branchen-Apps, nicht empfohlene SaaS-Apps und lokale Apps integrieren und bereitstellen, die über die Azure Active Directory (Azure AD) Anwendungsproxy mit Sitzungssteuerelementen gehostet werden. Es enthält Schritte zum Weiterleiten von App-Sitzungen von anderen IdP-Lösungen an Defender für Cloud Apps. Informationen zu Azure AD finden Sie unter Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit Azure Active Directory.

Eine Liste von Apps, die von Defender für Cloud Apps zum Ausführen von Out-of-the-Box bereitgestellt werden, finden Sie unter Schützen von Apps mit Defender für Cloud App-Steuerelement für bedingten Zugriff von Apps.

Voraussetzungen

Hinzufügen von Administratoren zur App-Onboarding-/Wartungsliste

  1. Wählen Sie in der Menüleiste von Defender für Cloud Apps die Einstellungen settings icon 4 aus, und wählen Sie Einstellungen aus.

  2. Wählen Sie unter "App-Steuerung für bedingten Zugriff"die Option "App-Onboarding/Wartung" aus.

  3. Geben Sie den Benutzerprinzipalnamen oder die E-Mail für die Benutzer ein, die die App integrieren werden, und wählen Sie dann "Speichern" aus.

    Screenshot of settings for App onboarding and maintenance.

Überprüfen auf erforderliche Lizenzen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Die von Ihrer IdP-Lösung (Identity Provider) erforderliche Lizenz
    • Microsoft Defender for Cloud Apps
  • Apps müssen mit einmaligem Anmelden konfiguriert werden.

  • Apps müssen die folgenden Authentifizierungsprotokolle verwenden:

    IdP Protokolle
    Andere SAML 2.0

So stellen Sie eine beliebige App bereit

Führen Sie die folgenden Schritte aus, um jede App zu konfigurieren, die durch Defender für Cloud App-Steuerung für den bedingten Zugriff von Apps gesteuert werden soll.

  1. Konfigurieren Des IdP für die Arbeit mit Defender für Cloud Apps

  2. Konfigurieren der App, die Sie bereitstellen

  3. Überprüfen, ob die App ordnungsgemäß funktioniert

  4. Aktivieren der App für die Verwendung in Ihrer Organisation

Hinweis

Zum Bereitstellen der App-Steuerung für bedingten Zugriff für Azure AD-Apps benötigen Sie eine gültige Lizenz für Azure Active Directory Premium P1 oder höher sowie eine Defender für Cloud Apps-Lizenz.

Schritt 1: Konfigurieren Des IdP für die Arbeit mit Defender für Cloud Apps

Hinweis

Beispiele zum Konfigurieren von IdP-Lösungen finden Sie unter:

  1. Navigieren Sie in Defender für Cloud Apps zur Untersuchung>verbundener Apps> zurApp-Steuerung mit bedingtem Zugriff.

  2. Wählen Sie das Pluszeichen (+) und im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  3. Füllen Sie auf der Seite "APP INFORMATION " das Formular mithilfe der Informationen auf der Konfigurationsseite für einmaliges Anmelden Ihrer App aus, und wählen Sie dann " Weiter" aus.

    • Wenn Ihr IdP eine Metadatendatei für einmaliges Anmelden für die ausgewählte App bereitstellt, wählen Sie Hochladen Metadatendatei aus der App aus, und laden Sie die Metadatendatei hoch.
    • Oder wählen Sie "Daten manuell ausfüllen " aus, und geben Sie die folgenden Informationen an:
      • Assertion consumer service URL
      • Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie app_name> SAML-Zertifikat verwenden < und die Zertifikatdatei hochladen.

    Screenshot showing app information page

  4. Verwenden Sie auf der Seite IDENTITÄTSANBIETER die bereitgestellten Schritte, um eine neue Anwendung im IdP-Portal einzurichten, und wählen Sie dann "Weiter" aus.

    1. Wechseln Sie zum IdP-Portal, und erstellen Sie eine neue benutzerdefinierte SAML-App.
    2. Kopieren Sie die Single Sign-On-Konfiguration der vorhandenen <app_name> App in die neue benutzerdefinierte App.
    3. Weisen Sie benutzern die neue benutzerdefinierte App zu.
    4. Kopieren Sie die Konfigurationsinformationen für einmaliges Anmelden in Apps. Sie benötigen ihn im nächsten Schritt.

    Screenshot showing gather identity provider information page

    Hinweis

    Diese Schritte können sich je nach Identitätsanbieter geringfügig unterscheiden. Dieser Schritt wird aus folgenden Gründen empfohlen:

    • Einige Identitätsanbieter ermöglichen es Ihnen nicht, die SAML-Attribute oder URL-Eigenschaften einer Katalog-App zu ändern.
    • Durch das Konfigurieren einer benutzerdefinierten App können Sie diese Anwendung mit Zugriffs- und Sitzungssteuerelementen testen, ohne das vorhandene Verhalten für Ihre Organisation zu ändern.
  5. Füllen Sie auf der nächsten Seite das Formular mithilfe der Informationen auf der Konfigurationsseite für einmaliges Anmelden Ihrer App aus, und wählen Sie dann " Weiter" aus.

    • Wenn Ihr IdP eine Metadatendatei für einmaliges Anmelden für die ausgewählte App bereitstellt, wählen Sie Hochladen Metadatendatei aus der App aus, und laden Sie die Metadatendatei hoch.
    • Oder wählen Sie "Daten manuell ausfüllen " aus, und geben Sie die folgenden Informationen an:
      • Assertion consumer service URL
      • Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie app_name> SAML-Zertifikat verwenden < und die Zertifikatdatei hochladen.

    Screenshot showing enter identity provider information page

  6. Kopieren Sie auf der nächsten Seite die folgenden Informationen, und wählen Sie dann "Weiter" aus. Sie benötigen die Informationen im nächsten Schritt.

    • Url für einmaliges Anmelden
    • Attribute und Werte

    Screenshot showing gather identity providers SAML information page

  7. Gehen Sie im IdP-Portal wie folgt vor:

    Hinweis

    Die Einstellungen werden häufig auf der Seite "Benutzerdefinierte App-Einstellungen" des IdP-Portals gefunden.

    1. Empfohlen – Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.

    2. Ersetzen Sie den Url-Wert für einmaliges Anmelden durch die zuvor erwähnte DEFENDER FÜR CLOUD SamL-Single Sign-On-URL.

      Hinweis

      Einige Anbieter verweisen möglicherweise auf die URL für einmaliges Anmelden als Antwort-URL.

    3. Fügen Sie die Attribute und Werte hinzu, die Sie zuvor an die Eigenschaften der App notieren haben.

      Hinweis

      • Einige Anbieter verweisen möglicherweise auf sie als Benutzerattribute oder Ansprüche.
      • Beim Erstellen einer neuen SAML-App beschränkt der Okta Identitätsanbieter Attribute auf 1024 Zeichen. Um diese Einschränkung zu verringern, erstellen Sie zuerst die App ohne die relevanten Attribute. Nachdem Sie die App erstellt haben, bearbeiten Sie sie, und fügen Sie dann die relevanten Attribute hinzu.
    4. Stellen Sie sicher, dass sich der Namebezeichner im E-Mail-Adressformat befindet.

    5. Speichern Sie die Einstellungen.

  8. Führen Sie auf der Seite "APP-ÄNDERUNGEN " die folgenden Schritte aus, und wählen Sie dann " Weiter" aus. Sie benötigen die Informationen im nächsten Schritt.

    • Kopieren der URL für einmaliges Anmelden
    • Herunterladen des SAML-Zertifikats für Defender für Cloud Apps

    Screenshot showing gather Defender for Cloud Apps SAML information page

  9. Führen Sie im Portal Ihrer App in den Einstellungen für einmaliges Anmelden folgendes aus:

    1. Empfohlen – Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.
    2. Geben Sie im Feld "Single Sign-On-URL" die Defender für Cloud App-Single Sign-On-URL ein, die Sie zuvor notieren haben.
    3. Hochladen das Defender für Cloud Apps SAML-Zertifikat, das Sie zuvor heruntergeladen haben.

    Hinweis

    • Nach dem Speichern Ihrer Einstellungen werden alle zugeordneten Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.
    • Das Defender für Cloud SamL-Zertifikat für Apps ist für ein Jahr gültig. Nach Ablauf muss ein neues Zertifikat generiert werden.

Schritt 2: Manuelles Hinzufügen der App und Installieren von Zertifikaten bei Bedarf

Anwendungen im App-Katalog werden automatisch in die Tabelle unter "Verbundene Apps" aufgefüllt. Überprüfen Sie, ob die App, die Sie bereitstellen möchten, erkannt wird, indem Sie dort navigieren.

  1. Wählen Sie in der Menüleiste von Defender für Cloud Apps die Einstellungen settings icon 1aus, und wählen Sie die Registerkarte "App-Steuerung für bedingten Zugriff" aus, um auf eine Tabelle mit Anwendungen zuzugreifen, die mit Zugriffs- und Sitzungsrichtlinien konfiguriert werden können.

    Conditional access app control apps

  2. Wählen Sie die App: Wählen Sie das Dropdownmenü "Apps" aus, um nach der App zu filtern und zu suchen, die Sie bereitstellen möchten.

    Select App: Select apps to search for the app

  3. Wenn die App dort nicht angezeigt wird, müssen Sie sie manuell hinzufügen.

Manuelles Hinzufügen einer nicht identifizierten App

  1. Wählen Sie im Banner "Neue Apps anzeigen" aus.

    Conditional access app control view new apps

  2. Wählen Sie in der Liste der neuen Apps für jede App, die Sie integrieren, das + Signieren aus, und wählen Sie dann "Hinzufügen" aus.

    Hinweis

    Wenn eine App nicht im Defender für Cloud App-Katalog angezeigt wird, wird sie im Dialogfeld unter nicht identifizierten Apps zusammen mit der Anmelde-URL angezeigt. Wenn Sie für diese Apps auf das Pluszeichen (+) klicken, können Sie die App als benutzerdefinierte App integrieren.

    Conditional access app control discovered Azure AD apps

So fügen Sie Domänen für eine App hinzu

Durch das Zuordnen der richtigen Domänen zu einer App können Defender für Cloud Apps Richtlinien und Überwachungsaktivitäten erzwingen.

Wenn Sie beispielsweise eine Richtlinie konfiguriert haben, die das Herunterladen von Dateien für eine zugeordnete Domäne blockiert, werden Dateidownloads von der App aus dieser Domäne blockiert. Dateidownloads der App aus Domänen, die der App nicht zugeordnet sind, werden jedoch nicht blockiert, und die Aktion wird im Aktivitätsprotokoll nicht überwacht.

Hinweis

Defender für Cloud Apps fügt weiterhin ein Suffix zu Domänen hinzu, die der App nicht zugeordnet sind, um eine nahtlose Benutzererfahrung sicherzustellen.

  1. Wählen Sie in der App auf der Symbolleiste Defender für Cloud Apps-Administrator die Option "Ermittelte Domänen" aus.

    Hinweis

    Die Administratorsymbolleiste ist nur für Benutzer mit Berechtigungen für das Onboarding oder die Wartung von Apps sichtbar.

  2. Notieren Sie im Bereich "Ermittelte Domänen" domänennamen, oder exportieren Sie die Liste als .csv Datei.

    Hinweis

    Im Bereich wird eine Liste der ermittelten Domänen angezeigt, die nicht der App zugeordnet sind. Die Domänennamen sind vollqualifizierte.

  3. Wechseln Sie zu Defender für Cloud Apps in der Menüleiste, wählen Sie die Einstellungen settings icon 2 aus, und wählen Sie "App-Steuerelement für bedingten Zugriff" aus.
  4. Wählen Sie in der Liste der Apps in der Zeile, in der die App angezeigt wird, die Sie bereitstellen, die drei Punkte am Ende der Zeile aus, und wählen Sie dann unter APP-DETAILS"Bearbeiten" aus.

    Tipp

    Um die Liste der in der App konfigurierten Domänen anzuzeigen, wählen Sie "App-Domänen anzeigen" aus.

  5. Geben Sie in benutzerdefinierten Domänen alle Domänen ein, die Sie dieser App zuordnen möchten, und wählen Sie dann "Speichern" aus.

    Hinweis

    Sie können das Platzhalterzeichen * als Platzhalter für jedes Zeichen verwenden. Wenn Sie Domänen hinzufügen, entscheiden Sie, ob Sie bestimmte Domänen (,sub2.contoso.com) oder mehrere Domänen (*.contoso.comsub1.contoso.com) hinzufügen möchten.

Installieren von Stammzertifikaten

  1. Wiederholen Sie die folgenden Schritte zum Installieren der selbstsignierten Stammzertifikate der aktuellen Zertifizierungsstelle und der nächsten Zertifizierungsstelle .

    1. Wählen Sie das Zertifikat aus.
    2. Wählen Sie "Öffnen" aus, und wählen Sie bei aufforderung erneut " Öffnen " aus.
    3. Wählen Sie " Zertifikat installieren" aus.
    4. Wählen Sie entweder aktuellen Benutzer oder lokalen Computer aus.
    5. Wählen Sie "Alle Zertifikate im folgenden Speicher platzieren " aus, und wählen Sie dann "Durchsuchen" aus.
    6. Wählen Sie "Vertrauenswürdige Stammzertifizierungsstellen " und dann "OK" aus.
    7. Wählen Sie Fertig stellenaus.

    Hinweis

    Damit die Zertifikate erkannt werden, müssen Sie nach der Installation des Zertifikats den Browser neu starten und zur gleichen Seite wechseln.

  2. Wählen Sie Weiter.

  3. Überprüfen Sie, ob die Anwendung in der Tabelle verfügbar ist.

    Check if app is available in table

Schritt 3: Überprüfen, ob die App ordnungsgemäß funktioniert

Um zu überprüfen, ob die Anwendung proxiziert wird, führen Sie zunächst entweder eine harte Abmeldung von Browsern aus, die der Anwendung zugeordnet sind, oder öffnen Sie einen neuen Browser mit inkognito-Modus.

Öffnen Sie die Anwendung, und führen Sie die folgenden Prüfungen aus:

  • Überprüfen Sie, ob die URL das .mcas Suffix enthält.
  • Besuchen Sie alle Seiten in der App, die Teil des Arbeitsprozesses eines Benutzers sind, und überprüfen Sie, ob die Seiten korrekt gerendert werden.
  • Stellen Sie sicher, dass das Verhalten und die Funktionalität der App durch das Ausführen gängiger Aktionen wie herunterladen und hochladen von Dateien nicht beeinträchtigt werden.
  • Überprüfen Sie die Liste der Domänen, die der App zugeordnet sind. Weitere Informationen finden Sie unter Hinzufügen der Domänen für die App.

Wenn Fehler oder Probleme auftreten, verwenden Sie die Administratorsymbolleiste, um Ressourcen wie .har Dateien und aufgezeichnete Sitzungen zum Einreichen eines Supporttickets zu sammeln.

Schritt 4: Aktivieren der App für die Verwendung in Ihrer Organisation

Nachdem Sie bereit sind, die App für die Verwendung in der Produktionsumgebung Ihrer Organisation zu aktivieren, führen Sie die folgenden Schritte aus.

  1. Wählen Sie in Defender für Cloud Apps die Einstellungen settings icon 3aus, und wählen Sie dann die App-Steuerung für bedingten Zugriff aus.

  2. Wählen Sie in der Liste der Apps in der Zeile, in der die App angezeigt wird, die Sie bereitstellen, die drei Punkte am Ende der Zeile aus, und wählen Sie dann "App bearbeiten" aus.

  3. Wählen Sie "Verwenden" mit App-Steuerelement für bedingten Zugriff aus, und wählen Sie dann "Speichern" aus.

    Enable session controls pop-up

Nächste Schritte

Weitere Informationen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.