Konfigurieren der App-Steuerung für bedingten Zugriff für Box

  • 7 Minuten

Box stellt Contoso-Benutzern cloudbasierten Speicher sowie Tools und Apps für die Zusammenarbeit zur Verfügung. Sie möchten jedoch sicherstellen, dass Benutzer keine Dateien mit potenziell schädlichen Inhalten herunterladen oder gar hochladen können. Sie können Defender for Cloud Apps verwenden, um diese Anforderungen zu verwalten, indem Sie und Sitzungs- oder Zugriffsrichtlinien zur App-Steuerung für bedingten Zugriff erstellen.

Der Prozess zum Konfigurieren der App-Steuerung für bedingten Zugriff für Box mit Defender for Cloud Apps ähnelt in etwa jenem Prozess, den wir in der letzten Einheit für Workplace von Facebook erläutert haben.

Konfigurieren von Box in Microsoft Entra ID

Um Box mit der App-Steuerung für bedingten Zugriff zu konfigurieren, starten Sie den Prozess im Microsoft Entra Admin Center.

  1. Wählen Sie im Navigationsbereich Unternehmensanwendungen aus.
  2. Wählen Sie auf der Seite Alle Anwendungen die Option Box aus.
  3. Auf der Seite Übersicht gibt es Links zum Zuweisen von Benutzern und Gruppen, zum Einrichten von SSO (Single Sign-On, einmaliges Anmelden), zum Bereitstellen von Benutzerkonten, für Bedingten Zugriff und Self-Service.

Hinzufügen von Benutzern und Gruppen

  1. Klicken Sie zunächst auf den Link Benutzer und Gruppen zuweisen.
  2. Klicken Sie auf der Seite Benutzer und Gruppen auf Benutzer/Gruppe hinzufügen.
  3. Klicken Sie auf der Seite Zuweisung hinzufügen auf Keine ausgewählt, und wählen Sie dann auf der Seite Benutzer und Gruppen die gewünschten Benutzer oder Gruppen aus, und klicken Sie anschließend auf Auswählen.
  4. Klicken Sie auf der Seite Zuweisung hinzufügen auf Zuweisen.

SSO einrichten

  1. Gehen Sie zur Registerkarte Überblick, und klicken Sie auf den Link Erste Schritte im Abschnitt 2. Einmaliges Anmelden einrichten.

  2. Klicken Sie auf der Registerkarte Einmaliges Anmelden auf den Link SSO-Modi ändern.

  3. Wählen Sie auf der Seite Methode für einmaliges Anmelden auswählen die Option SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden mit SAML einrichten im Abschnitt Grundlegende SAML-Konfiguration auf Bearbeiten.

  5. Geben Sie im Textfeld Anmelde-URL die Anmelde-URL für Box ein, und klicken Sie dann auf Speichern.

  6. Klicken Sie auf der Seite Einmaliges Anmelden mit SAML einrichten in Schritt 3 auf den Download-Link neben Zertifikat (Base64).

  7. Klicken Sie außerdem auf den Download-Link für die Verbundmetadaten-XML.

    Wichtig

    Installieren Sie falls notwendig die Browsererweiterung „My Apps Secure Sign-In“. Dieser Prozess ist in der vorhergehenden Einheit beschrieben.

  8. Klicken Sie auf die Schaltfläche Box einrichten, und melden Sie sich nach Aufforderung mit einem administrativen Konto bei Box an.

  9. Schließen Sie den Prozess ab, um die erforderlichen SAML-Einstellungen in Box zu konfigurieren.

    Tipp

    Dies ähnelt dem Ansatz, den wir für Workplace von Facebook verwendet haben. Weitere Informationen finden Sie im folgenden Dokument: Tutorial: Microsoft Entra Integration des einmaligen Anmeldens (Single Sign-On, SSO) mit Box.

  10. Wechseln Sie zurück zum Microsoft Entra Admin Center, und wählen Sie auf der Seite SAML-basierte Anmeldung die Option Testen aus. Sie sollten sich erfolgreich bei Box anmelden können, vorausgesetzt, der aktuell angemeldete Benutzer ist einer der Benutzer, die Sie zuvor zugewiesen haben.

Hinweis

Wenn Sie die SSO-Einstellungen für Ihr Box-Konto nicht konfigurieren können, senden Sie die heruntergeladene Verbundmetadaten-XML-Datei an das Box-Supportteam. Dieses kann die erforderliche SAML-SSO-Verbindung konfigurieren.

Erstellen einer Richtlinie für Bedingten Zugriff für Box

Der nächste Schritt besteht darin, eine Richtlinie für bedingten Zugriff in Microsoft Entra ID zu erstellen.

  1. Wählen Sie im Microsoft Entra Admin Center im Navigationsbereich Unternehmens-Apps und dann Box aus.
  2. Wählen Sie im Navigationsbereich der Box-Seite die Option Bedingter Zugriff aus.
  3. Wählen Sie auf der Seite Bedingter Zugriff die Option Neue Richtlinie aus.
  4. Geben Sie auf der Seite Neu im Textfeld Name den Richtliniennamen ein.
  5. Klicken Sie auf Benutzer und Gruppen, und wählen Sie dann die Benutzer oder Gruppen aus, denen die Richtlinie zugewiesen wird.
  6. Wählen Sie Cloud-Apps oder -Aktionen aus. Beachten Sie, dass eine App bereits eingeschlossen ist: Box.
  7. Wählen Sie im Abschnitt Zugriffskontrollen die Option Sitzung aus, und aktivieren Sie dann auf der Seite Sitzung das Kontrollkästchen App-Steuerung für bedingten Zugriff verwenden.
  8. Wählen Sie in der Dropdownliste die Option Benutzerdefinierte Richtlinie verwenden aus.
  9. Klicken Sie auf die Schaltfläche Auswählen.
  10. Wählen Sie im Abschnitt Richtlinie aktivieren die Option Ein aus, und klicken Sie dann auf Speichern.

Konfigurieren einer Zugriffsrichtlinie

Die letzte Phase ist die Erstellung der Richtlinien für die Zugriffssteuerung oder Sitzungssteuerung. In diesem Beispiel wird eine Zugriffsrichtlinie erstellt. Führen Sie im Defender for Cloud Apps-Portal die folgenden Schritte aus:

  1. Wählen Sie im Navigationsbereich Steuerelement und dann Richtlinien aus.
  2. Wählen Sie auf der Seite Richtlinien die Registerkarte Bedingter Zugriff aus.
  3. Klicken Sie auf die Schaltfläche Richtlinie erstellen, und wählen Sie dann Zugriffsrichtlinie aus.
  4. Geben Sie im Textfeld Richtlinienname den Namen der Richtlinie ein.
  5. Wählen Sie im Abschnitt "Abfrage" die Liste Apps auswählen und dann Box aus.
  6. Scrollen Sie nach unten bis zu Aktionen. Wählen Sie Blockieren aus, wenn die Zugriffsrichtlinie sofort erzwungen werden soll. Lassen Sie andernfalls den Wert auf Test.
  7. Klicken Sie auf Vorlage übernehmen.
  8. Überprüfen Sie etwaige zusätzliche Einstellungen, und klicken Sie dann auf "Erstellen".
  9. Wenn Sie fertig sind, klicken Sie auf Erstellen.