Konfigurieren der App-Steuerung für bedingten Zugriff auf Workplace von Facebook

  • 12 Minuten

"Workplace von Facebook" ist eine App für die Zusammenarbeit, mit der die Benutzer von Contoso zusammenarbeiten können. Sie können App-Steuerungsrichtlinien für bedingten Zugriff in Microsoft Defender for Cloud Apps verwenden, um Inhalte in dieser App besser zu schützen und Dinge wie Datei-Up- und -Downloads zu verwalten.

Ermitteln der Benutzer- und ACS-URLs

Beginnen Sie zum Konfigurieren von App-Steuerungsrichtlinien für bedingten Zugriff für Workplace von Facebook bei den Workplace-Einstellungen. Sie müssen nach mehreren URLs suchen, die für die nachfolgende Konfiguration benötigt werden.

  1. Melden Sie sich bei Workplace mit einem Administratorkonto an.

  2. Wählen Sie im Portal Administratorbereich aus.

  3. Wählen Sie im Navigationsbereich die Option Sicherheit und dann auf der Seite Sicherheit die Registerkarte Authentifizierung aus.

  4. Wählen Sie im Abschnitt "SSO-Anbieter" die Option "Neuen SSO-Anbieter hinzufügen aus.

  5. Scrollen Sie im Dialogfeld Einmaliges Anmelden (Single Sign-On, SSO) einrichten nach unten bis zum Abschnitt SAML-Konfigurationen.

  6. Kopieren Sie die Zielgruppen-URL und die ACS-URL (Assertion Consumer Service)-Zeichenfolgen. Sie benötigen diese URLs später.

    Screenshot der SAML-Konfigurationseinstellungen in einem

Konfigurieren des Identitätsanbieters

Als Nächstes müssen Sie den Identitätsanbieter konfigurieren. In diesem Fall fügen wir die Workplace from Facebook App zu Microsoft Entra ID hinzu und stellen dann Benutzer für die App bereit.

  1. Öffnen Sie die Microsoft Entra Admin Center, und melden Sie sich als globaler Administrator an.

  2. Wählen Sie im Navigationsbereich die Registerkarte Unternehmensanwendungen aus.

  3. Wählen Sie auf der Seite Alle Anwendungen die Option Neue Anwendung aus.

  4. Suchen Sie nach Facebook, und wählen Sie dann Workplace von Facebook aus.

  5. Klicken Sie auf der Seite Workplace von Facebook auf Erstellen.

  6. Wählen Sie im Navigationsbereich Benutzer und Gruppen aus.

  7. Klicken Sie auf der Seite Benutzer und Gruppen auf Benutzer/Gruppe hinzufügen.

  8. Klicken Sie auf der Seite Zuweisung hinzufügen auf Keine ausgewählt, und wählen Sie dann auf der Seite Benutzer und Gruppen die gewünschten Benutzer oder Gruppen aus, und klicken Sie anschließend auf Auswählen.

  9. Klicken Sie auf der Seite Zuweisung hinzufügen auf Zuweisen.

    Screenshot: Seite

Erstellen einer Richtlinie für bedingten Zugriff für die App

Der nächste Schritt besteht darin, eine Richtlinie für bedingten Zugriff in Microsoft Entra ID zu erstellen.

  1. Wählen Sie auf der Seite Workplace von Facebook Seite im Navigationsbereich die Option Bedingter Zugriff aus.

  2. Wählen Sie auf der Seite Bedingter Zugriff die Option Neue Richtlinie aus.

  3. Geben Sie auf der Seite Neu im Textfeld Name den Richtliniennamen ein.

  4. Klicken Sie auf Benutzer und Gruppen, und wählen Sie dann die Benutzer oder Gruppen aus, denen die Richtlinie zugewiesen wird.

  5. Wählen Sie Cloud-Apps oder -Aktionen aus. Beachten Sie, dass eine App bereits eingeschlossen ist: Workplace von Facebook.

    Screenshot der Seite

  6. Wählen Sie im Abschnitt Zugriffskontrollen die Option Sitzung aus, und aktivieren Sie dann auf der Seite Sitzung das Kontrollkästchen App-Steuerung für bedingten Zugriff verwenden.

  7. Wählen Sie in der Dropdownliste die Option Benutzerdefinierte Richtlinie verwenden aus.

  8. Klicken Sie auf die Schaltfläche Auswählen.

  9. Wählen Sie im Abschnitt Richtlinie aktivieren die Option Ein aus, und klicken Sie dann auf Speichern.

    Hinweis

    Sie können zusätzliche Bedingungen wie z. B. den Gerätestatus festlegen.

    Screenshot: Seite

Konfigurieren der SSO-Einstellungen für Workplace von Facebook

Im Microsoft Entra Admin Center müssen Sie nun den App-Konfigurationsprozess abschließen.

  1. Wählen Sie auf der Seite Workplace von Facebook Seite im Navigationsbereich die Option SSO (Einmaliges Anmelden) aus.
  2. Wählen Sie auf der Seite SSO die Option SAML aus.
  3. Wählen Sie auf der Seite SAML-basiertes Anmelden im Abschnitt Grundlegende SAML-Konfiguration die Option Bearbeiten aus.
  4. Fügen Sie im Textfeld Bezeichner (Entitäts-ID) die zuvor notierte Zielgruppen-URL-Zeichenfolge ein.
  5. Fügen Sie in die Textfelder Antwort-URL (Assertion Consumer Service URL) und Anmelde-URL die zuvor notierte ACS (Assertion Consumer Service)-URL-Zeichenfolge ein.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie in Schritt 3 auf den Download-Link neben Zertifikat (Base64).
  8. Klicken Sie in Schritt 4 auf die Schaltfläche Erweiterung installieren. Befolgen Sie die angezeigten Anweisungen, um die Erweiterung zu installieren.
  9. Wechseln Sie zurück zum Browsertab mit der Seite für das SAML-basierte einmalige Anmelden. Fahren Sie mit Schritt 5 fort.
  10. Wählen Sie den Link aus, um die Konfigurations-URLs zu erweitern. Notieren Sie sich die Anmelde-URL und den Azure ID-Bezeichner. Sie benötigen diese Werte in Kürze.
  11. Klicken Sie auf die Schaltfläche Workplace von Facebook einrichten.
  12. Es wird ein neuer Tab geöffnet. Es wird der Tab für die Authentifizierung auf der Seite Sicherheit in den Workplace-Einstellungen angezeigt. Aktivieren Sie das Kontrollkästchen für SSO (Single Sign-On, einmaliges Anmelden).
  13. Klicken Sie auf die Schaltfläche Neuen SSO-Anbieter hinzufügen.
  14. Geben Sie im Feld Name des SSO-Anbieters Folgendes ein: AzureADsso.
  15. Fügen Sie im Feld SAML-URL die zuvor notierte Anmelde-URL ein.
  16. Fügen Sie in das Feld SAML-Aussteller-URL den Microsoft Entra-Bezeichner ein, den Sie notiert haben.
  17. Suchen Sie nach der Zertifikatsdatei, die Sie zuvor heruntergeladen haben. Öffnen Sie sie in einem Text-Editor. Kopieren Sie den gesamten Inhalt der Datei, und fügen Sie ihn dann im Workplace-Verwaltungsbereich in das Feld "SAML-Zertifikat" ein.
  18. Klicken Sie auf die Schaltfläche SSO testen.
  19. Klicken Sie im DialogfeldSSO-Einrichtung auf Änderungen speichern.

Konfigurieren einer App für die App-Steuerung für bedingten Zugriff von Defender for Cloud Apps

Als Nächstes wird die App-Steuerungsrichtlinie für bedingten Zugriff erstellt. Öffnen Sie auf einem neuen Browsertab das Microsoft Defender for Cloud Apps-Portal, und führen Sie dann die folgenden Schritte aus:

  1. Erweitern Sie im Navigationsbereich die Option Untersuchen, und wählen Sie dann Verbundene Apps aus.

  2. Wählen Sie auf der Seite Verbundene Apps die Registerkarte Apps mit App-Steuerung für bedingten Zugriff aus.

  3. Klicken Sie auf das Pluszeichen.

  4. Geben Sie im Dialogfeld SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen im Textfeld App suchen den Namen Workplace ein, und wählen Sie dann Workplace von Facebook aus.

  5. Klicken Sie auf Assistent starten.

  6. Wählen Sie im Assistenten SAML-Anwendung mit Ihrem Identitätsanbieter hinzufügen auf der Seite APP-INFORMATIONEN die Option Daten manuell eingeben aus.

  7. Fügen Sie in das Textfeld ASC-URL (Assertion Consumer Service) die zuvor notierte ASC-URL ein.

  8. Aktivieren Sie das Kontrollkästchen Workplace von Facebook SAML-Zertifikat verwenden, navigieren Sie zu dem zuvor heruntergeladenen Zertifikat, und wählen Sie es aus.

  9. Klicken Sie zweimal auf Weiter.

  10. Wählen Sie auf der Seite "Identitätsanbieter" die Option Daten manuell eingeben aus.

  11. Fügen Sie in das Textfeld SSO-Dienst-URL die zuvor im Azure-Portal notierte Anmelde-URL ein.

  12. Klicken Sie auf Weiter, dann auf Fertig stellen und anschließend auf Schließen.

    Screenshot der Registerkarte

Konfigurieren einer Sitzungsrichtlinie

Die letzte Phase ist die Erstellung der Richtlinien für die Zugriffssteuerung oder Sitzungssteuerung. In diesem Beispiel erstellen wir eine Sitzungsrichtlinie. Führen Sie im Microsoft Defender for Cloud Apps-Portal die folgenden Schritte aus:

  1. Wählen Sie im Navigationsbereich Steuerelement und dann Richtlinien aus.

  2. Wählen Sie auf der Seite Richtlinien die Registerkarte Bedingter Zugriff aus.

  3. Klicken Sie auf die Schaltfläche Richtlinie erstellen, und wählen Sie dann Sitzungsrichtlinie aus.

  4. Wählen Sie in der Liste der Richtlinienvorlagen den Aktivitätstyp aus. Wählen Sie beispielsweise Senden von Nachrichten basierend auf Echtzeit-Inhaltsüberprüfung blockieren aus.

  5. Klicken Sie auf Vorlage übernehmen. Die verschiedenen Felder werden mit geeigneten Werten basierend auf der Vorlage aktualisiert. Sie können Felder auch ändern.

  6. Wenn Sie fertig sind, klicken Sie auf Erstellen.

    Screenshot einer Sitzungsrichtlinie mit ausgewählter Vorlage

Blockieren oder Anwenden von DLP auf Dateidownloads in Workplace von Facebook mit Microsoft Defender for Cloud Apps

Das folgende Video veranschaulicht, wie Sie DLP für Dateidownloads in Workplace von Facebook mit Defender for Cloud Apps verwenden: