Konfigurieren der App-Steuerung für bedingten Zugriff für Slack

  • 10 Minuten

Slack bietet den Benutzern von Contoso Möglichkeiten zur Zusammenarbeit und zur gemeinsamen Arbeit an Projekten. Wie bei Workplace von Facebook und Box können Sie Richtlinien für die App-Steuerung für bedingten Zugriff in Defender für Cloud-Apps verwenden, um die Inhalte von Contoso in dieser App zu schützen.

Wie Workplace fügen Sie zunächst die Slack-App zu Microsoft Entra ID hinzu und konfigurieren dann die erforderlichen SSO-Einstellungen, bevor Sie eine Richtlinie für bedingten Zugriff erstellen können, und schließlich die erforderlichen Richtlinien für die App-Steuerung für bedingten Zugriff.

Hinzufügen der Slack-App und Zuweisen von Benutzern

Zuerst müssen Sie die Slack-App zu Microsoft Entra ID hinzufügen und dann Benutzer für die App bereitstellen.

  1. Öffnen Sie die Microsoft Entra Admin Center, und melden Sie sich als globaler Administrator an.
  2. Wählen Sie im Navigationsbereich die Registerkarte Unternehmensanwendungen aus.
  3. Wählen Sie auf der Seite Alle Anwendungen die Option Neue Anwendung aus.
  4. Suchen Sie nach Slack und wählen Sie Slack aus.
  5. In der Slack-Seite wählen Sie Erstellen aus.
  6. Auf der Seite Überblick wählen Sie Zuweisen von Benutzern und Gruppen aus. Verwenden Sie die Prozedur, die wir sowohl für Workplace wie auch für Box verwendet haben und weisen Sie die erforderlichen Benutzer zu.

SSP einrichten

  1. Gehen Sie zurück zur Registerkarte Überblick und wählen Sie den Link Erste Schritte im Abschnitt 2. Single Sign-On einrichten aus.

  2. Wählen Sie auf der Registerkarte Single Sign-On den Link Single Sign-On-Modi ändern aus.

  3. Wählen Sie auf der Seite Methode für einmaliges Anmelden auswählen die Option SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden mit SAML einrichten im Abschnitt Grundlegende SAML-Konfiguration auf Bearbeiten.

  5. Sie müssen die erforderlichen Links aus den Slack-Einstellungen abrufen. Geben Sie die erforderlichen Informationen ein und wählen Sie Speichern aus.

  6. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten in Schritt 3 den Link Herunterladen neben Zertifikat (Base64) aus.

    Wichtig

    Installieren Sie falls notwendig die Browsererweiterung „My Apps Secure Sign-In“. Dieser Prozess ist in der vorhergehenden Einheit beschrieben.

  7. Erweitern Sie in Schritt 4 den Abschnitt Konfigurations-URLs und kopieren Sie die URLs für späteren Gebrauch.

  8. Wählen Sie die Schaltfläche Slack einrichten aus und melden Sie sich nach Aufforderung mit einem administrativen Konto bei Slack an.

  9. Schließen Sie den Prozess ab, um die erforderlichen SAML-Einstellungen in Slack zu konfigurieren:

    1. Navigieren Sie in Slack zu Microsoft Entra ID wählen Sie dann Teameinstellungen aus.

    2. Wählen Sie im Abschnitt Teameinstellungen die Registerkarte Authentifizierung und dann Einstellungenändern aus.

    3. Schließen Sie im Dialogfeld SAML-Authentifizierungseinstellungen die folgenden Schritte ab:

      • Fügen Sie im Textfeld SAML 2.0-Endpunkt (HTTP) den Wert der Anmelde-URL ein, den Sie aus dem Azure-Portal kopiert haben.
      • Fügen Sie in das Textfeld Identity Provider Issuer (Aussteller des Identitätsanbieters) den Wert von Microsoft Entra Bezeichner ein, den Sie aus Azure-Portal kopiert haben.
      • Öffnen Sie die heruntergeladene datei Microsoft Entra ID Signing Certificate (Base64) im Editor, kopieren Sie den Inhalt in die Zwischenablage, und fügen Sie ihn dann in das Textfeld Öffentliches Zertifikat ein.
      • Konfigurieren Sie die Einstellungswerte wie gewünscht und wählen Sie dann Konfiguration speichern aus.

    Tipp

    Weitere Informationen finden Sie im folgenden Dokument: Tutorial: Microsoft Entra Integration des einmaligen Anmeldens (Single Sign-On, SSO) mit Slack.

  10. Wechseln Sie zurück zum Microsoft Entra Admin Center, und wählen Sie auf der Seite SAML-basierte Anmeldung die Option Testen aus. Sie sollten sich erfolgreich bei Slack anmelden können, vorausgesetzt, der aktuell angemeldete Benutzer ist einer der Benutzer, die Sie zuvor zugewiesen haben.

Erstellen einer Richtlinie für bedingten Zugriff für Slack

Der nächste Schritt besteht darin, eine Richtlinie für bedingten Zugriff in Microsoft Entra ID zu erstellen.

  1. Wählen Sie im Microsoft Entra Admin Center im Navigationsbereich Unternehmens-Apps und dann Slack aus.
  2. Wählen Sie im Navigationsbereich der Slack-Seite die Option Bedingter Zugriff aus.
  3. Wählen Sie auf der Seite Bedingter Zugriff die Option Neue Richtlinie aus.
  4. Geben Sie auf der Seite Neu im Textfeld Name den Richtliniennamen ein.
  5. Klicken Sie auf Benutzer und Gruppen, und wählen Sie dann die Benutzer oder Gruppen aus, denen die Richtlinie zugewiesen wird.
  6. Wählen Sie Cloud-Apps oder -Aktionen aus. Beachten Sie, dass eine App bereits enthalten ist – Slack.
  7. Wählen Sie im Abschnitt Zugriffskontrollen die Option Sitzung aus und dann auf der Seite Sitzung das Kontrollkästchen Verwenden der App-Kontrolle für bedingten Zugriff.
  8. Wählen Sie in der Dropdownliste die Option Benutzerdefinierte Richtlinie verwenden aus.
  9. Klicken Sie auf die Schaltfläche Auswählen.
  10. Wählen Sie im Abschnitt Richtlinie aktivieren die Option Ein und dann Speichern aus.

Konfigurieren einer Zugriffs- oder Sitzungsrichtlinie

Die letzte Phase ist die Erstellung der Richtlinien für die Zugriffssteuerung oder Sitzungssteuerung. Sie führen diese Schritte im Defender für Cloud Apps-Portal aus. Da sie sich nicht wesentlich von den vorherigen Apps unterscheiden, werden wir sie hier nicht wiederholen.

Blockieren von Chats mit vertraulichen Daten mithilfe von Microsoft Defender für Cloud-Apps

Das folgende Video veranschaulicht, wie Sie Richtlinien für die App-Kontrolle für den bedingten Zugriff verwenden, um Nachrichteninhalte in Slack zu kontrollieren: