Verwenden der App-Steuerung für bedingten Zugriff für Microsoft Defender for Cloud Apps

Dieser Artikel enthält eine Übersicht über die Verwendung der App-Steuerung von Microsoft Defender for Cloud Apps zum Erstellen von Zugriffs- und Sitzungsrichtlinien. Die App-Steuerung für bedingten Zugriff bietet Echtzeitüberwachung und -steuerung über den Benutzerzugriff auf Cloud-Apps.

Nutzungsflow der App-Steuerung für bedingten Zugriff

Die folgende Abbildung zeigt den allgemeinen Prozess zum Konfigurieren und Implementieren der App-Steuerung für bedingten Zugriff:

Welchen Identitätsanbieter verwenden Sie?

Bevor Sie mit der Verwendung der App-Steuerung für bedingten Zugriff beginnen, sollten Sie wissen, ob Ihre Apps von Microsoft Entra oder einem anderen Identitätsanbieter (IdP) verwaltet werden.

• Microsoft Entra-Apps werden automatisch für die App-Steuerung für bedingten Zugriff integriert und stehen Ihnen sofort zur Verwendung in Ihren Zugriffs- und Sitzungsrichtlinienbedingungen zur Verfügung.

• Apps, die Nicht-Microsoft-IdPs verwenden, müssen manuell integriert werden, bevor Sie sie in Ihren Zugriffs- und Sitzungsrichtlinienbedingungen auswählen können.

  • Wenn Sie mit einer Katalog-App von einem anderen IdP als Microsoft arbeiten, konfigurieren Sie die Integration zwischen Ihrem IdP und Defender for Cloud Apps, um alle Katalog-Apps zu integrieren. Weitere Informationen finden Sie unter Onboarding von Katalog-Apps mit Nicht-Microsoft-IdP für die App-Steuerung für bedingten Zugriff.

  • Wenn Sie mit benutzerdefinierten Apps arbeiten, müssen Sie sowohl die Integration zwischen Ihrem IdP und Defender for Cloud Apps konfigurieren als auch jede benutzerdefinierte App integrieren. Weitere Informationen finden Sie unter Onboarding benutzerdefinierter Apps mit Nicht-Microsoft-IdP für die App-Steuerung für bedingten Zugriff.

Beispielprozeduren

Die folgenden Artikel enthalten Beispielprozesse zum Konfigurieren eines Nicht-Microsoft-IdP für die Arbeit mit Defender for Cloud Apps:

• PingOne als IdP
• Active Directory Federation Services (AD FS) als IdP
• Okta als IdP

Voraussetzungen:

1. Stellen Sie sicher, dass Ihre Firewallkonfigurationen Datenverkehr von allen IP-Adressen zulassen, die unter Netzwerkanforderungen aufgeführt sind.
2. Vergewissern Sie sich, dass Ihre Anwendung über eine vollständige Zertifikatkette verfügt. Unvollständige oder teilweise Zertifikatketten können in Anwendungen zu unerwartetem Verhalten führen, wenn sie mit Richtlinien für die Steuerung des bedingten App-Zugriffs überwacht werden.

Erstellen einer Microsoft Entra ID-Richtlinie für bedingten Zugriff

Damit Ihre Zugriffs- oder Sitzungsrichtlinie funktioniert, müssen Sie auch über die Microsoft Entra ID-Richtlinie für bedingten Zugriff verfügen, die die Berechtigungen zum Steuern des Datenverkehrs erstellt.

Wir haben ein Beispiel für diesen Prozess in die Dokumentation zur Erstellung von Zugriffs- und Sitzungsrichtlinien eingebettet.

Weitere Informationen finden Sie unter Richtlinien für bedingten Zugriff und Erstellen einer Richtlinie für bedingten Zugriff.

Erstellen von Zugriffs- und Sitzungsrichtlinien

Wenn Sie sich vergewissert haben, dass Ihre Apps integriert wurden (entweder automatisch, weil es sich um Microsoft Entra ID-Apps handelt, oder manuell), und über eine Microsoft Entra ID-Richtlinie für bedingten Zugriff verfügen, können Sie mit dem Erstellen von Zugriffs- und Sitzungsrichtlinien für jedes erforderliche Szenario erstellen.

Weitere Informationen finden Sie unter:

• Eine Zugriffsrichtlinie für Defender for Cloud-Apps erstellen
• Erstellen Sie eine Defender for Cloud Apps-Sitzungsrichtlinie

Testen Ihrer Richtlinien

Testen Sie unbedingt Ihre Richtlinien, und aktualisieren Sie alle Bedingungen oder Einstellungen nach Bedarf. Weitere Informationen finden Sie unter:

• Testen der Zugriffsrichtlinie
• Testen der Sitzungsrichtlinie

Zugehöriger Inhalt

Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps.