Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit einem anderen IdP als Microsoft

  • Artikel

Zugriffs- und Sitzungssteuerelemente in Microsoft Defender for Cloud Apps können mit beliebigen Webanwendungen verwendet werden. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Branchen-Apps, nicht empfohlene SaaS-Apps und lokale Apps, die über den Microsoft Entra-Anwendungsproxy mit Sitzungssteuerung gehostet werden, integrieren und bereitstellen. Es enthält Schritte zum Weiterleiten von App-Sitzungen von anderen IdP-Lösungen an Defender for Cloud Apps. Zu Microsoft Entra ID siehe Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit Microsoft Entra ID.

Eine Liste der Apps, die von Defender for Cloud Apps bereitgestellt werden, um sofort einsatzbereit zu arbeiten, finden Sie unter Schützen von Apps mit Defender for Cloud Apps– App-Steuerung für bedingten Zugriff.

Voraussetzungen

Hinzufügen von Administratoren zur Onboarding-/Wartungsliste der Anwendung

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter App-Steuerung für bedingten Zugriff die Option App-Onboarding/Wartung aus.

  3. Geben Sie den Benutzerprinzipalnamen oder die E-Mail-Adresse für die Benutzer ein, die die App integrieren möchten, und wählen Sie dann Speichern aus.

    Screenshot der Einstellungen für das App-Onboarding und Wartung.

Überprüfen auf erforderliche Lizenzen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Die von Ihrer IdP-Lösung (Identity Provider) erforderliche Lizenz
    • Microsoft Defender for Cloud Apps

  • Apps müssen mit Single Sign-On konfiguriert werden.

  • Apps müssen die folgenden Authentifizierungsprotokolle verwenden:

    IdP Protokolle
    Andere SAML 2.0

So stellen Sie eine beliebige App bereit

Führen Sie die folgenden Schritte aus, um Apps so zu konfigurieren, dass sie über Microsoft Defender for Cloud Apps Conditional Access App Control gesteuert werden.

  1. Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps

  2. Konfigurieren Sie die App, die Sie bereitstellen

  3. Überprüfen Sie, ob die App ordnungsgemäß funktioniert

  4. Aktivieren Sie die App für die Verwendung in Ihrer Organisation

Hinweis

Um die App-Steuerung für bedingten Zugriff für Microsoft Entra-Apps bereitzustellen, benötigen Sie eine gültige Lizenz für Microsoft Entra ID P1 oder höher sowie eine Defender for Cloud Apps-Lizenz.

Schritt 1: Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps

Hinweis

Beispiele zum Konfigurieren von IdP-Lösungen finden Sie unter:

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie +Hinzufügen und wählen Sie dann im Popup die App aus, die Sie bereitstellen möchten, und wählen Sie dann den Start-Assistenten aus.

  4. Füllen Sie auf der Seite APP-INFORMATIONEN das Formular mithilfe der Informationen auf der Konfigurationsseite für Single Sign-On Ihrer App aus und wählen Sie dann Weiter aus. - Wenn Ihr IdP eine Metadatendatei für Single Sign-On für die ausgewählte App bereitstellt, wählen Sie Metadatendatei aus der App hochladen aus, und laden Sie die Metadatendatei hoch. - Alternativ wählen Sie Daten manuell ausfüllen aus, und geben Sie die folgenden Informationen an: - Assertionsverbraucherdienst-URL - Wenn Ihre App ein SAML-Zertifikat verwendet, wählen Sie app-name <verwenden>-SAML-Zertifikat aus, und laden Sie die Zertifikatsdatei hoch.

    Screenshot der Seite „App-Informationen“.

  5. Verwenden Sie auf der Seite IDENTITÄTSANBIETER die bereitgestellten Schritte, um eine neue Anwendung im Portal Ihres IdP einzurichten, und wählen Sie dann Weiteraus.

  6. Gehen Sie zum Portal Ihres Identitätsanbieters (IdP) und erstellen Sie eine neue benutzerdefinierte SAML-App.

  7. Kopieren Sie die Single Sign-On-Konfiguration der vorhandenen <app_name> App auf die neue benutzerdefinierte App.

  8. Weisen Sie der neuen benutzerdefinierten App Benutzer zu.

  9. Kopieren Sie die Konfigurationsinformationen für Single Sign-On der Apps. Sie benötigen sie im nächsten Schritt.

    Screenshot der Seite zum Sammeln von Identitätsanbieterinformationen.

    Hinweis

    Abhängig von Ihrem Identitätsprovider können sich diese Schritte leicht unterscheiden. Diese Methode empfiehlt sich aus den folgenden Gründen:

    • Einige Identitätsanbieter erlauben es Ihnen nicht, die SAML-Attribute oder URL-Eigenschaften einer Katalog-App zu ändern
    • Durch das Konfigurieren einer benutzerdefinierten App können Sie diese Anwendung mit Zugriffs- und Sitzungssteuerelementen testen, ohne das vorhandene Verhalten für Ihre Organisation zu ändern.

  10. Füllen Sie auf der nächsten Seite das Formular mithilfe der Informationen auf der Konfigurationsseite für Single Sign-On Ihrer App aus und wählen Sie dann Weiter aus. - Wenn Ihr IdP eine Metadatendatei für Single Sign-On für die ausgewählte App bereitstellt, wählen Sie Metadatendatei aus der App hochladen aus, und laden Sie die Metadatendatei hoch. - Alternativ wählen Sie Daten manuell ausfüllen aus, und geben Sie die folgenden Informationen an: - Assertionsverbraucherdienst-URL - Wenn Ihre App ein SAML-Zertifikat verwendet, wählen Sie app-name <verwenden>-SAML-Zertifikat aus, und laden Sie die Zertifikatsdatei hoch.

    Screenshot der Seite zum Eingeben von Identitätsanbieterinformationen.

  11. Notieren Sie sich auf der nächsten Seite die folgenden Informationen und wählen Sie dann Weiter. Sie benötigen diese Informationen im nächsten Schritt.

  • Single Sign-On URL

  • Attribute und Werte

    Screenshot der Seite zum Sammeln von SAML-Informationen zu Identitätsanbietern.

  1. Gehen Sie im IdP-Portal wie folgt vor:

    Hinweis

    Die Einstellungen befinden sich häufig auf der Einstellungsseite des IdP-Portals für benutzerdefinierte Apps.

    1. Empfohlen – Erstellen Sie eine Sicherungskopie Ihrer aktuellen Einstellungen.

    2. Ersetzen Sie den Wert des Feldes Single Sign-On URL durch die SAML Single Sign-On URL von Defender for Cloud Apps, die Sie zuvor notiert haben.

      Hinweis

      Einige Anbieter bezeichnen die Single Sign-On-URL möglicherweise alsAntwort-URL

    3. Fügen Sie die Attribute und Werte hinzu, die Sie zuvor zu den Eigenschaften der App notiert haben.

      Hinweis

      • Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.
      • Beim Erstellen einer neuen SAML-App beschränkt der Okta-Identitätsanbieter Attribute auf 1024 Zeichen. Um diese Einschränkung zu umgehen, erstellen Sie die App zunächst ohne die entsprechenden Attribute. Nachdem Sie die App erstellt haben, bearbeiten Sie sie und fügen Sie dann die relevanten Attribute hinzu.

    4. Überprüfen Sie, ob der Namensbezeichner ein E-Mail-Adressformat aufweist.

    5. Speichern Sie die Einstellungen.

  2. Gehen Sie auf der Seite APP-ÄNDERUNGEN wie folgt vor und wählen Sie dann Weiter. Sie benötigen diese Informationen im nächsten Schritt.

  • Kopieren Sie Single Sign-On-URL

  • Laden Sie das SAML-Zertifikat für Defender for Cloud Apps herunter

    Screenshot der Seite zum Sammeln von SAML-Informationen zu Defender for Clouds-Apps.

  1. Gehen Sie dann auf der Seite mit den Einstellungen für Single Sign-On im Portal der App folgendermaßen vor:
    1. Empfohlen – Erstellen Sie eine Sicherungskopie Ihrer aktuellen Einstellungen.
    2. Geben Sie im Feld „Single Sign-On-URL“ die Single Sign-On-URL von Defender for Cloud Apps ein, die Sie zuvor notiert haben.
    3. Laden Sie das zuvor heruntergeladene SAML-Zertifikat für Defender for Cloud Apps hoch.

    Hinweis

    • Nach dem Speichern Ihrer Einstellungen werden alle zugehörigen Anmeldeanforderungen an diese App über die App-Steuerung für bedingten Zugriff weitergeleitet.
    • Das SAML-Zertifikat für Defender for Cloud Apps ist für ein Jahr gültig. Nachdem es abgelaufen ist, muss ein neues Zertifikat generiert werden.

Schritt 2: Manuelles Hinzufügen der App und Installieren von Zertifikaten bei Bedarf

Anwendungen im App-Katalog werden automatisch in die Tabelle unter Verbundene Apps eingefügt. Überprüfen Sie, ob die App, die Sie bereitstellen möchten, erkannt wird, indem Sie dorthin navigieren.

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die App-Steuerung für bedingten Zugriff aus, um auf eine Tabelle mit Anwendungen zuzugreifen, die mit Zugriffs- und Sitzungsrichtlinien konfiguriert werden können.

    Apps der App-Steuerung für bedingten Zugriff.

  3. Wählen Sie das Dropdownmenü Apps auswählen … aus, um nach der App zu filtern und zu suchen, die Sie bereitstellen möchten.

    App auswählen: Wählen Sie Apps aus, um nach der App zu suchen.

  4. Wenn die App dort nicht angezeigt wird, müssen Sie sie manuell hinzufügen.

Manuelles Hinzufügen einer nicht identifizierten App

  1. Wählen Sie im Banner Neue Apps anzeigen aus.

    Conditional Access App Control, neue Apps anzeigen.

  2. Wählen Sie in der Liste der neuen Apps für jede App, die Sie integrieren, das + Zeichen aus und wählen Sie dann Hinzufügen aus.

    Hinweis

    Wenn eine App nicht im Defender for Cloud Apps-Appkatalog erscheint, finden Sie sie und die jeweilige Anmelde-URL im Dialogfeld unter „Nicht identifizierte Apps“. Wenn Sie für diese Apps auf das +-Zeichen klicken, können Sie die App als benutzerdefinierte App integrieren.

    App-Steuerung für bedingten Zugriff für Microsoft Entra-Apps.

So fügen Sie Domänen für eine App hinzu

Wenn Sie einer App die richtigen Domänen zuordnen, kann Defender for Cloud Apps Richtlinien und Überwachungsaktivitäten durchsetzen.

Wenn Sie z. B. eine Richtlinie konfiguriert haben, die das Herunterladen von Dateien für eine zugeordnete Domäne blockiert, werden Dateidownloads von dieser App aus dieser Domäne blockiert. Dateidownloads der App werden jedoch nicht blockiert, wenn die Domäne nicht der App zugeordnet ist, auch wird die Aktion im Aktivitätsprotokoll nicht überwacht.

Hinweis

Defender for Cloud Apps fügt weiterhin ein Suffix zu Domänen hinzu, die der App nicht zugeordnet sind, um ein nahtloses Benutzererlebnis sicherzustellen.

  1. Wählen Sie in der App auf der Verwaltungssymbolleiste von Defender for Cloud Apps die Option Ermittelte Domänen aus.

    Hinweis

    Die Admin-Symbolleiste ist nur für Benutzer sichtbar, die für Onboarding- oder Wartungsanwendungen berechtigt sind.

  2. Notieren Sie sich im Bereich „Ermittelte Domänen“ die Domänennamen oder exportieren Sie die Liste als CSV-Datei.

    Hinweis

    Der Bereich zeigt eine Liste der ermittelten Domänen an, die der App nicht zugeordnet sind. Die Domänennamen sind vollqualifiziert.

  3. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.
  4. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.
  5. Wählen Sie in der Liste der Apps in der Zeile, in der die App, die Sie bereitstellen möchten, angezeigt wird, die drei Punkte am Ende der Zeile und wählen Sie dann App bearbeiten.

    Tipp

    Um die Liste der in der App konfigurierten Domänen anzuzeigen, wählen Sie App-Domänen anzeigen.

  6. Geben Sie in benutzerdefinierten Domänen alle Domänen ein, die Sie dieser App zuordnen möchten, und wählen Sie dann Speichern aus.

    Hinweis

    Sie können das *-Platzhalterzeichen als Platzhalter für jedes Zeichen verwenden. Wenn Sie Domänen hinzufügen, entscheiden Sie, ob Sie bestimmte Domänen (sub1.contoso.com,sub2.contoso.com) oder mehrere Domänen (*.contoso.com) hinzufügen möchten.

Installieren von Stammzertifizierungsstellenzertifikaten

  1. Wiederholen Sie die folgenden Schritte, um die selbstsignierten Stammzertifikate der aktuellen Zertifizierungsstelle und der nächsten Zertifizierungsstelle zu installieren.

    1. Wählen Sie das Zertifikat aus.
    2. Wählen Sie Öffnen und wenn Sie dazu aufgefordert werden, erneut Öffnen aus.
    3. Wählen Sie Fertigstellen, um das Zertifikat zu installieren.
    4. Wählen Sie entweder den aktuellen Benutzer oder den lokalen Computer aus.
    5. Wählen Sie Alle Zertifikate in folgendem Speicher speichern und dann Durchsuchen aus.
    6. Wählen Sie Vertrauenswürdige Stammzertifizierungsstellen als Zielordner aus und klicken Sie auf OK.
    7. Klicken Sie auf Fertigstellen.

    Hinweis

    Damit die Zertifikate erkannt werden, nachdem Sie das Zertifikat installiert haben, müssen Sie den Browser neu starten und zur gleichen Seite wechseln.

  2. Wählen Sie Weiter aus.

  3. Überprüfen Sie, ob die Anwendung in der Tabelle verfügbar ist.

    Onboarding mit Sitzungssteuerung.

Schritt 3: Überprüfen, ob die App ordnungsgemäß funktioniert

Um zu überprüfen, ob die Anwendung geschützt ist, führen Sie zunächst entweder eine endgültige Abmeldung bei den mit der Anwendung verknüpften Browsern durch oder öffnen Sie einen neuen Browser im Inkognito-Modus.

Öffnen Sie die Anwendung, und führen Sie die folgenden Prüfungen aus:

  • Überprüfen Sie, ob das Sperrsymbol in Ihrem Browser angezeigt wird, oder überprüfen Sie bei einem anderen Browser als Microsoft Edge, ob Ihre App-URL das .mcas-Suffix enthält. Weitere Informationen finden Sie unter Browserinterner Schutz mit Microsoft Edge for Business (Vorschauversion).
  • Besuchen Sie alle Seiten innerhalb der App, die Teil des Arbeitsprozesses eines Benutzers sind, und überprüfen Sie, ob die Seiten ordnungsgemäß gerendert werden.
  • Stellen Sie sicher, dass das Verhalten und die Funktionalität der App nicht beeinträchtigt werden, indem Sie allgemeine Aktionen wie das Herunterladen und Hochladen von Dateien ausführen.
  • Überprüfen Sie die Liste der Domänen, die der App zugeordnet sind. Weitere Informationen finden Sie unter Domänen für die App hinzufügen.

Wenn Fehler oder Probleme auftreten, verwenden Sie die Administratorsymbolleiste, um Ressourcen wie .har Dateien und aufgezeichnete Sitzungen für die Einreichung eines Supporttickets zu sammeln.

Schritt 4: Aktivieren der App für die Verwendung in Ihrer Organisation

Sobald Sie bereit sind, die App für die Verwendung in der Produktionsumgebung Ihrer Organisation zu aktivieren, führen Sie die folgenden Schritte aus.

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen. Wählen Sie dann Cloud Apps aus.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie in der Liste der Apps in der Zeile, in der die App, die Sie bereitstellen möchten, angezeigt wird, die drei Punkte am Ende der Zeile und wählen Sie dann App bearbeiten.

  4. Wählen Sie App zur Verwendung in Sitzungssteuerungen aktivieren und dann Speichern aus.

    App bearbeiten

Nächste Schritte

VORIGE: Bereitstellen der App-Steuerung für bedingten Zugriff für Katalog-Apps

WEITER: Erstellen einer Sitzungsrichtlinie »

Weitere Informationen

Einführung in die App-Steuerung für bedingten Zugriff

Problembehandlung für Zugriffs- und Sitzungssteuerung

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.