Intégrer des applications personnalisées IdP non-Microsoft pour le contrôle d’applications par accès conditionnel
Les contrôles d’accès et de session dans Microsoft Defender pour les applications cloud fonctionnent avec les applications du catalogue et personnalisées. Bien que les applications Microsoft Entra ID soient automatiquement intégrées pour utiliser le contrôle d’applications par accès conditionnel, si vous travaillez avec un IdP non-Microsoft, vous devrez intégrer votre application manuellement.
Cet article décrit comment configurer votre IdP pour fonctionner avec Defender pour le cloud, puis intégrer manuellement chaque application personnalisée. En revanche, les applications du catalogue d’un IdP non-Microsoft sont automatiquement intégrées lorsque vous configurez l’intégration entre votre IdP et Defender pour le cloud.
Prérequis
Votre organisation doit disposer des licences suivantes pour utiliser le contrôle d’application par accès conditionnel :
- Licence requise par votre solution fournisseur d’identité (IdP)
- Microsoft Defender for Cloud Apps
Les applis doivent être configurées avec l’authentification unique
Les applications doivent être configurées avec le protocole d’authentification SAML 2.0.
Ajoutez des administrateurs à votre liste d’intégration/maintenance des applications.
Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Contrôle d’applications par accès conditionnel > Intégration/maintenance d’applications.
Saisissez les noms d’utilisateur ou les e-mails des utilisateurs qui intégreront votre application, puis sélectionnez Enregistrer.
Pour plus d’informations, veuillez consulter la section Diagnostiquer et dépanner avec la barre d’outils Vue Admin.
Configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps
Cette procédure décrit comment acheminer les sessions d’application d’autres solutions IdP vers Defender pour le cloud.
Conseil
Les articles suivants fournissent des exemples détaillés de cette procédure :
Pour configurer votre IdP pour fonctionner avec Defender pour le cloud :
Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Applications connectées > Applications de contrôle d’applications par accès conditionnel.
Sur la page Applications de contrôle d’applications par accès conditionnel, sélectionnez + Ajouter.
Dans la boîte de dialogue Ajouter une application SAML avec votre fournisseur d’identité, sélectionnez le menu déroulant Rechercher une application puis sélectionnez l’application que vous souhaitez déployer. Avec votre application sélectionnée, sélectionnez Démarrer l’assistant.
Sur la page INFORMATIONS SUR L’APPLICATION de l’assistant, téléchargez un fichier de métadonnées de votre application ou entrez manuellement les données de l’application.
Assurez-vous de fournir les informations suivantes :
- L’URL du service consommateur d’assertions. C’est l’URL que votre application utilise pour recevoir des assertions SAML de votre IdP.
- Un certificat SAML, si votre application en fournit un. Dans ce cas, sélectionnez l’option Utiliser ... le certificat SAML, puis téléchargez le fichier du certificat.
Lorsque vous avez terminé, sélectionnez Suivant pour continuer.
Sur la page FOURNISSEUR D’IDENTITÉ de l’assistant, suivez les instructions pour configurer une nouvelle application personnalisée dans le portail de votre IdP.
Remarque
Les étapes requises peuvent différer en fonction de votre IdP. Nous recommandons d’effectuer la configuration externe comme décrit pour les raisons suivantes :
- Certains fournisseurs d’identité ne vous permettent pas de modifier les attributs SAML ou les propriétés URL d’une application de galerie/catalogue.
- Lorsque vous configurez une application personnalisée, vous pouvez tester l’application avec les contrôles d’accès et de session de Defender pour le cloud, sans modifier le comportement configuré existant de votre organisation.
Copiez les informations de configuration de la connexion unique de votre application pour une utilisation ultérieure dans cette procédure. Lorsque vous avez terminé, sélectionnez Suivant pour continuer.
En continuant sur la page FOURNISSEUR D’IDENTITÉ de l’assistant, téléchargez un fichier de métadonnées de votre IdP ou entrez manuellement les données de l’application.
Assurez-vous de fournir les informations suivantes :
- L’URL du service de connexion unique. C’est l’URL que votre IdP utilise pour recevoir des demandes de connexion unique.
- Un certificat SAML, si votre IdP en fournit un. Dans ce cas, sélectionnez l’option Utiliser le certificat SAML du fournisseur d’identité, puis téléchargez le fichier du certificat.
En continuant sur la page FOURNISSEUR D’IDENTITÉ de l’assistant, copiez à la fois l’URL de connexion unique et tous les attributs et valeurs pour une utilisation ultérieure dans cette procédure.
Quand vous avez terminé, sélectionnez Suivant pour continuer.
Accédez au portail de votre IdP et entrez les valeurs que vous avez copiées dans la configuration de votre IdP. En général, ces paramètres se trouvent dans la zone des paramètres d’application personnalisée de votre IdP.
Entrez l’URL de connexion unique de votre application que vous avez copiée à l’étape précédente. Certains fournisseurs peuvent faire référence à l’URL d’authentification unique comme URL de réponse.
Ajoutez les attributs et valeurs que vous avez copiés de l’étape précédente aux propriétés de l’application. Certains fournisseurs peuvent y faire référence en tant qu’attributs utilisateur ou en tant que revendications.
Si vos attributs sont limités à 1024 caractères pour les nouvelles applications, créez d’abord l’application sans les attributs pertinents, puis ajoutez-les ensuite en modifiant l’application.
Vérifiez que votre identifiant de nom est au format d’une adresse e-mail.
Assurez-vous d’enregistrer vos paramètres lorsque vous avez terminé.
De retour dans Defender pour le cloud, sur la page CHANGEMENTS D’APPLICATION de l’assistant, copiez l’URL de connexion unique SAML et téléchargez le certificat SAML de Microsoft Defender pour le cloud. L’URL de connexion unique SAML est une URL personnalisée pour votre application lorsqu’elle est utilisée avec le contrôle d’applications par accès conditionnel de Defender pour le cloud.
Accédez au portail de votre application et configurez vos paramètres de connexion unique comme suit :
- (Recommandé) créez une sauvegarde des paramètres actuels.
- Remplacez la valeur du champ de l’URL de connexion du fournisseur d’identité par l’URL de connexion unique SAML de Defender pour le cloud que vous avez copiée à l’étape précédente. Le nom spécifique de ce champ peut différer selon votre application.
- Téléchargez le certificat SAML de Defender pour le cloud que vous avez téléchargé à l’étape précédente.
- N’oubliez pas d’enregistrer vos modifications.
Dans l’assistant, sélectionnez Terminer pour compléter la configuration.
Après avoir enregistré les paramètres de connexion unique de votre application avec les valeurs personnalisées par Defender pour le cloud, toutes les demandes de connexion associées à l’application sont acheminées via Defender pour le cloud et le contrôle d’applications par accès conditionnel.
Remarque
Le certificat SAML de Defender pour le cloud est valable pendant 1 an. Après son expiration, vous devrez en générer un nouveau.
Intégrez votre application pour le contrôle d’applications par accès conditionnel
Si vous travaillez avec une application personnalisée qui n’est pas automatiquement répertoriée dans le catalogue d’applications, vous devrez l’ajouter manuellement.
Pour vérifier si votre application est déjà ajoutée :
Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Applications connectées > Applications de contrôle d’applications par accès conditionnel.
Sélectionnez le menu déroulant Application : Sélectionner les applications… pour rechercher votre application.
Si votre application est déjà répertoriée, continuez avec la procédure pour les applications du catalogue à la place.
Pour ajouter votre application manuellement :
Si vous avez de nouvelles applications, vous verrez une bannière en haut de la page vous informant que vous avez de nouvelles applications à intégrer. Sélectionnez le lien Voir les nouvelles applications pour les voir.
Dans la boîte de dialogue Applications Azure AD découvertes, localisez votre application, par exemple en utilisant la valeur URL de connexion. Sélectionnez le bouton +, puis Ajouter pour l’intégrer en tant qu’application personnalisée.
Installer les certificats racines
Assurez-vous d’utiliser les certificats CA actuel ou CA suivant corrects pour chacune de vos applications.
Pour installer vos certificats, répétez l’étape suivante pour chaque certificat :
Ouvrez et installez le certificat, en sélectionnant soit Utilisateur actuel soit Machine locale.
Lorsque vous êtes invité à choisir l’emplacement où vous souhaitez placer vos certificats, accédez à Autorités de certification racine de confiance.
Sélectionnez OK et Terminer si nécessaire pour compléter la procédure.
Redémarrez votre navigateur, ouvrez à nouveau votre application et sélectionnez Continuer lorsque vous y êtes invité.
Dans Microsoft Defender XDR, sélectionnez Paramètres > Applications cloud > Applications connectées > Applications de contrôle d’applications par accès conditionnel, et assurez-vous que votre application est toujours répertoriée dans le tableau.
Pour plus d’informations, veuillez consulter la section L’application n’apparaît pas sur la page des applications de contrôle d'application par accès conditionnel.
Contenu connexe
- Protection des applications avec le contrôle d’application par accès conditionnel de Microsoft Defender for Cloud Apps
- Déployez le contrôle d’applications par accès conditionnel pour les applications du catalogue avec des IdP non-Microsoft
- Dépannage des contrôles d’accès et de session
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.