Verwenden der App-Steuerung für bedingten Zugriff für Microsoft Defender for Cloud Apps
Dieser Artikel enthält eine Übersicht über die Verwendung der App-Steuerung von Microsoft Defender for Cloud Apps zum Erstellen von Zugriffs- und Sitzungsrichtlinien. Die App-Steuerung für bedingten Zugriff bietet Echtzeitüberwachung und -steuerung über den Benutzerzugriff auf Cloud-Apps.
Nutzungsflow der App-Steuerung für bedingten Zugriff (Vorschau)
Die folgende Abbildung zeigt den allgemeinen Prozess zum Konfigurieren und Implementieren der App-Steuerung für bedingten Zugriff:
Welchen Identitätsanbieter verwenden Sie?
Bevor Sie mit der Verwendung der App-Steuerung für bedingten Zugriff beginnen, sollten Sie wissen, ob Ihre Apps von Microsoft Entra oder einem anderen Identitätsanbieter (IdP) verwaltet werden.
Microsoft Entra-Apps werden automatisch für die App-Steuerung für bedingten Zugriff integriert und stehen Ihnen sofort zur Verwendung in Ihren Zugriffs- und Sitzungsrichtlinienbedingungen zur Verfügung (Vorschau). Sie können manuell integriert werden, bevor Sie sie in Ihren Zugriffs- und Sitzungsrichtlinienbedingungen auswählen können.
Apps, die Nicht-Microsoft-IdPs verwenden, müssen manuell integriert werden, bevor Sie sie in Ihren Zugriffs- und Sitzungsrichtlinienbedingungen auswählen können.
Wenn Sie mit einer Katalog-App von einem anderen IdP als Microsoft arbeiten, konfigurieren Sie die Integration zwischen Ihrem IdP und Defender for Cloud Apps, um alle Katalog-Apps zu integrieren. Weitere Informationen finden Sie unter Onboarding von Katalog-Apps mit Nicht-Microsoft-IdP für die App-Steuerung für bedingten Zugriff.
Wenn Sie mit benutzerdefinierten Apps arbeiten, müssen Sie sowohl die Integration zwischen Ihrem IdP und Defender for Cloud Apps konfigurieren als auch jede benutzerdefinierte App integrieren. Weitere Informationen finden Sie unter Onboarding benutzerdefinierter Apps mit Nicht-Microsoft-IdP für die App-Steuerung für bedingten Zugriff.
Beispielprozeduren
Die folgenden Artikel enthalten Beispielprozesse zum Konfigurieren eines Nicht-Microsoft-IdP für die Arbeit mit Defender for Cloud Apps:
Voraussetzungen:
- Stellen Sie sicher, dass Ihre Firewallkonfigurationen Datenverkehr von allen IP-Adressen zulassen, die unter Netzwerkanforderungen aufgeführt sind.
- Vergewissern Sie sich, dass Ihre Anwendung über eine vollständige Zertifikatkette verfügt. Unvollständige oder teilweise Zertifikatketten können in Anwendungen zu unerwartetem Verhalten führen, wenn sie mit Richtlinien für die Steuerung des bedingten App-Zugriffs überwacht werden.
Erstellen einer Microsoft Entra ID-Richtlinie für bedingten Zugriff
Damit Ihre Zugriffs- oder Sitzungsrichtlinie funktioniert, müssen Sie auch über die Microsoft Entra ID-Richtlinie für bedingten Zugriff verfügen, die die Berechtigungen zum Steuern des Datenverkehrs erstellt.
Wir haben ein Beispiel für diesen Prozess in die Dokumentation zur Erstellung von Zugriffs- und Sitzungsrichtlinien eingebettet.
Weitere Informationen finden Sie unter Richtlinien für bedingten Zugriff und Erstellen einer Richtlinie für bedingten Zugriff.
Erstellen von Zugriffs- und Sitzungsrichtlinien
Wenn Sie sich vergewissert haben, dass Ihre Apps integriert wurden (entweder automatisch, weil es sich um Microsoft Entra ID-Apps handelt, oder manuell), und über eine Microsoft Entra ID-Richtlinie für bedingten Zugriff verfügen, können Sie mit dem Erstellen von Zugriffs- und Sitzungsrichtlinien für jedes erforderliche Szenario erstellen.
Weitere Informationen finden Sie unter:
- Eine Zugriffsrichtlinie für Defender for Cloud-Apps erstellen
- Erstellen Sie eine Defender for Cloud Apps-Sitzungsrichtlinie
Testen Ihrer Richtlinien
Testen Sie unbedingt Ihre Richtlinien, und aktualisieren Sie alle Bedingungen oder Einstellungen nach Bedarf. Weitere Informationen finden Sie unter:
Zugehöriger Inhalt
Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps.