Bereitstellen der App-Steuerung für bedingten Zugriff für Katalog-Apps mit einem anderen IdP als Microsoft

  • Artikel

Zugriffs- und Sitzungssteuerelemente in Microsoft Defender for Cloud Apps arbeiten mit Anwendungen aus dem Cloud-App-Katalog und mit benutzerdefinierten Anwendungen. Eine Liste der Apps, die von Defender for Cloud Apps unterstützt werden und sofort funktionieren, finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff in Defender for Cloud Apps.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Die von Ihrer IdP-Lösung (Identity Provider) erforderliche Lizenz
    • Microsoft Defender for Cloud Apps

  • Apps müssen mit Single Sign-On konfiguriert werden.

  • Apps müssen eines der folgenden Authentifizierungsprotokolle verwenden:

    IdP Protokolle
    Microsoft Entra ID SAML 2.0- oder OpenID Connect
    Andere SAML 2.0

Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps

Führen Sie die folgenden Schritte aus, um App-Sitzungen von anderen IdP-Lösungen an Defender for Cloud Apps weiterzuleiten. Informationen zur Microsoft Entra-ID finden Sie unter Konfigurieren der Integration mit Microsoft Entra ID.

Hinweis

Beispiele zum Konfigurieren von IdP-Lösungen finden Sie unter:

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  4. Füllen Sie auf der Seite APP-INFORMATIONEN das Formular mithilfe der Informationen auf der Konfigurationsseite für Single Sign-On Ihrer App aus und wählen Sie dann Weiter aus.

    • Wenn Ihr IdP eine Metadatendatei für Single Sign-On für die ausgewählte App bereitstellt, wählen Sie Metadatendatei aus der App hochladen aus, und laden Sie die Metadatendatei hoch.

    • Oder wählen Sie Daten manuell ausfüllen aus und geben Sie die folgenden Informationen an:

      • Assertionsverbraucherdienst-URL
      • Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.

    Zum Beispiel:

    Screenshot des Bereichs APP-INFORMATIONEN des Dialogfelds „Ihrem Identitätsanbieter eine SAML-Anwendung hinzufügen“

  5. Verwenden Sie auf der Seite IDENTITÄTSANBIETER die bereitgestellten Schritte, um eine neue Anwendung im Portal Ihres IdP einzurichten, und wählen Sie dann Weiteraus.

  6. Gehen Sie zum Portal Ihres Identitätsanbieters (IdP) und erstellen Sie eine neue benutzerdefinierte SAML-App.

  7. Kopieren Sie die Single Sign-On-Konfiguration der vorhandenen <app_name> App auf die neue benutzerdefinierte App.

  8. Weisen Sie der neuen benutzerdefinierten App Benutzer zu.

  9. Kopieren Sie die Konfigurationsinformationen für Single Sign-On der Apps. Sie benötigen sie im nächsten Schritt. Zum Beispiel:

    Screenshot des Identitätsanbieters/des externen Konfigurationsbereichs des Dialogfelds „Ihrem Identitätsanbieter eine SAML-Anwendung hinzufügen“

    Hinweis

    Abhängig von Ihrem Identitätsprovider können sich diese Schritte leicht unterscheiden. Diese Methode empfiehlt sich aus den folgenden Gründen:

    • Einige Identitätsanbieter erlauben es Ihnen nicht, die SAML-Attribute oder URL-Eigenschaften einer Katalog-App zu ändern.

    • Durch das Konfigurieren einer benutzerdefinierten App können Sie diese Anwendung mit Zugriffs- und Sitzungssteuerelementen testen, ohne das vorhandene Verhalten für Ihre Organisation zu ändern.

  10. Füllen Sie auf der nächsten Seite das Formular mithilfe der Informationen auf der Konfigurationsseite für Single Sign-On Ihrer App aus und wählen Sie dann Weiter aus.

    • Wenn Ihr IdP eine Metadatendatei für Single Sign-On für die ausgewählte App bereitstellt, wählen Sie Metadatendatei aus der App hochladen aus, und laden Sie die Metadatendatei hoch.

    • Oder wählen Sie Daten manuell ausfüllen aus und geben Sie die folgenden Informationen an:

      • Assertionsverbraucherdienst-URL
      • Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie Use <app_name> SAML certificate und laden Sie die Zertifikatsdatei hoch.

    Zum Beispiel:

    Screenshot, der den Bereich „Identitätsanbieter/Daten manuell ausfüllen“ des Dialogfelds „SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen“ zeigt

  11. Notieren Sie sich auf der nächsten Seite die folgenden Informationen und wählen Sie dann Weiter. Sie benötigen diese Informationen im nächsten Schritt.

    • Single Sign-On URL
    • Attribute und Werte

    Zum Beispiel:

    Screenshot des Bereichs „Identitätsanbieter“ des Dialogfelds „Ihrem Identitätsanbieter eine SAML-Anwendung hinzufügen“ mit eingegebenen Beispieldetails

  12. Konfigurieren Sie im Portal Ihres IdP die folgenden Einstellungen, die häufig auf der Seite mit den benutzerdefinierten App-Einstellungen des IdP-Portals zu finden sind.

    1. Geben Sie im Feld für Single Sign-On die Single Sign-On-URL ein, die Sie zuvor notiert haben.

    2. Fügen Sie die Attribute und Werte hinzu, die Sie zuvor zu den Eigenschaften der App notiert haben. Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.

      Beim Erstellen einer neuen SAML-App beschränkt der Okta-Identitätsanbieter Attribute auf 1024 Zeichen. Um diese Einschränkung zu umgehen, erstellen Sie die App zunächst ohne die entsprechenden Attribute. Nachdem Sie die App erstellt haben, bearbeiten Sie sie und fügen Sie dann die relevanten Attribute hinzu.

    3. Überprüfen Sie, ob der Namensbezeichner ein E-Mail-Adressformat aufweist.

    4. Speichern Sie die Einstellungen.

  13. Gehen Sie auf der Seite APP-ÄNDERUNGEN wie folgt vor und wählen Sie dann Weiter. Sie benötigen diese Informationen im nächsten Schritt.

    • Kopieren Sie Single Sign-On-URL
    • Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter

    Zum Beispiel:

    Screenshot, der den Bereich „App-Änderungen“ des Dialogfelds „Ihrem Identitätsanbieter eine SAML-Anwendung hinzufügen“ zeigt

  14. Gehen Sie dann auf der Seite mit den Einstellungen für Single Sign-On im Portal der App folgendermaßen vor:

    1. (Empfohlen) Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen

    2. Ersetzen Sie den Wert im Feld Identitätsanbieter-Anmeldungs-URL durch die SAML-Single-Sign-On-URL von Defender for Cloud Apps, die Sie zuvor notiert haben.

    3. Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.

    4. Wählen Sie Speichern.

Nach dem Speichern Ihrer Einstellungen werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.

Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.

Melden Sie sich bei jeder App mit einem Benutzerkonto an, für das die Richtlinie gilt.

Hinweis

Vergewissern Sie sich, dass Sie sich zuvor von den bestehenden Sitzungen abgemeldet haben.

Nachdem Sie die Richtlinie erstellt haben, melden Sie sich bei jeder in dieser Richtlinie erstellten App an. Stellen Sie sicher, dass Sie sich über einen in der Richtlinie konfigurierten Benutzer anmelden.

Defender for Cloud Apps synchronisiert Ihre Richtliniendetails für jede neue App, in der Sie sich anmelden, auf deren Server. Dies kann bis zu einer Minute dauern.

Überprüfen Sie, ob die Apps für die Verwendung von Zugriffs-und Sitzungssteuerungen konfiguriert sind.

Die vorstehenden Anweisungen haben Ihnen geholfen, eine integrierte Defender for Cloud Apps-Richtlinie für Katalog-Apps direkt in Microsoft Entra ID zu erstellen. Vergewissern Sie sich in diesem Schritt, dass die Apps für Verwendung von Zugriffs- und Sitzungssteuerelementen konfiguriert sind.

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Prüfen Sie in der Tabelle der App-Steuerung in der Spalte Verfügbare Steuerelemente, ob die Zugriffssteuerung oder Azure AD Conditional Access und die Sitzungssteuerung für Ihre Apps angezeigt werden.

    Wenn die App nicht für die Sitzungssteuerung aktiviert ist, fügen Sie sie hinzu, indem Sie Onboard mit Sitzungssteuerung auswählen und Diese App mit Sitzungssteuerelementen verwenden überprüfen. Zum Beispiel:

    Screenshot des Links „Onboarding mit Sitzungssteuerung“

Aktivieren Sie die App für die Verwendung in Ihrer Organisation

Sobald Sie bereit sind, die App für die Verwendung in der Produktionsumgebung Ihrer Organisation zu aktivieren, führen Sie die folgenden Schritte aus.

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff. Wählen Sie in der Liste der Apps in der Zeile, in der die App, die Sie bereitstellen möchten, angezeigt wird, die drei Punkte am Ende der Zeile und wählen Sie dann App bearbeiten.

  3. Wählen Sie App zur Verwendung in Sitzungssteuerungen aktivieren und dann Speichern aus. Zum Beispiel:

    Screenshot des Dialogfelds „Diese App bearbeiten?“

Testen der Bereitstellung

  1. Melden Sie sich zunächst von der bestehenden Sitzungen ab. Versuchen Sie anschließend, sich bei jeder App anzumelden, die erfolgreich bereitgestellt wurde. Melden Sie sich mit einem Benutzer an, der der In Microsoft Entra-ID konfigurierten Richtlinie entspricht, oder für eine SAML-App, die mit Ihrem Identitätsanbieter konfiguriert ist.

  2. Wählen Sie im Microsoft Defender Portal unter Cloud Apps die Option Aktivitätsprotokoll aus und stellen Sie sicher, dass die Anmeldeaktivitäten für jede App erfasst werden.

  3. Wenn Sie auf Erweitert klicken, können Sie filtern. Filtern Sie dann nach der Bedingung Quelle ist gleich Zugriffssteuerung. Zum Beispiel:

    Screenshot der Filterung mit bedingtem Microsoft Entra-Zugriff

  4. Es wird empfohlen, sich auf verwalteten und nicht verwalteten Geräten bei mobilen Apps und Desktop-Apps anzumelden. So können Sie sicherstellen, dass die Aktivitäten ordnungsgemäß im Aktivitätsprotokoll erfasst werden.

Um zu überprüfen, dass eine Aktivität ordnungsgemäß erfasst wurde, klicken Sie auf eine Anmeldeaktivität mit Single Sign-On, so dass sie die Detailansicht für Aktivität öffnet. Vergewissern Sie sich, dass der Benutzer-Agent-Tag korrekt angibt, ob es sich bei dem Gerät um einen nativen Client (also entweder um eine mobile App oder um eine Desktop-App) handelt, oder ob das Gerät verwaltet ist (kompatibel, mit der Domäne verknüpft oder gültiges Clientzertifikat).

Hinweis

Sie können keine App von der Seite „App-Steuerung für bedingten Zugriff“ entfernen, nachdem sie bereitgestellt wurde. Solange Sie keine Sitzungs- oder Zugriffsrichtlinie für die App festlegen, ändert die App-Steuerung für bedingten Zugriff kein Verhalten für die App.

Nächste Schritte

« ZURÜCK: Einführung in die App-Steuerung für bedingten Zugriff

WEITER: Bereitstellen der App-Steuerung für bedingten Zugriff für jede App »

Problembehandlung für Zugriffs- und Sitzungssteuerung

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.