Nem Microsoft IdP-katalógusalkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez

Az Felhőhöz készült Microsoft Defender-alkalmazások hozzáférés- és munkamenet-vezérlői a katalógus és az egyéni alkalmazásokkal is működnek. Bár a Microsoft Entra ID-alkalmazások automatikusan elő vannak készítve a feltételes hozzáférésű alkalmazásvezérlés használatára, ha nem Microsoft-identitásszolgáltatóval dolgozik, manuálisan kell előkészítenie az alkalmazást.

Ez a cikk azt ismerteti, hogyan konfigurálhatja az identitásszolgáltatót az Felhőhöz készült Defender-alkalmazások használatához. Az idP és a Felhőhöz készült Defender Apps integrálása automatikusan előkészíti az összes katalógusalkalmazást a feltételes hozzáférésű identitásszolgáltató alkalmazásvezérlőjéből.

Előfeltételek

• A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

  • Az identitásszolgáltató (IdP) megoldásához szükséges licenc
  • Microsoft Defender for Cloud Apps

• Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

• Az alkalmazásokat az SAML 2.0 hitelesítési protokollal kell konfigurálni.

A cikkben szereplő eljárások teljes körű végrehajtásához és teszteléséhez konfigurálni kell egy munkamenet- vagy hozzáférési szabályzatot. További információk:

• Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása
• Felhőhöz készült Microsoft Defender Apps-munkamenetszabályzatok létrehozása

Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

Ez az eljárás azt ismerteti, hogyan irányíthatja az alkalmazás munkameneteit más idP-megoldásokból az Felhőhöz készült Defender-alkalmazásokhoz.

Tipp.

Az alábbi cikkek részletes példákat nyújtanak erre az eljárásra:

• PingOne-azonosító konfigurálása
• Az AD FS idP konfigurálása
• Az Okta IdP konfigurálása

Ha úgy szeretné konfigurálni az idp-t, hogy működjön Felhőhöz készült Defender-alkalmazásokkal:

1. A Microsoft Defender XDR-ben válassza a Beállítások Cloud Apps > Csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget>.

2. A Feltételes hozzáférés alkalmazásvezérlő alkalmazás lapján válassza a + Hozzáadás lehetőséget.

3. Az identitásszolgáltatóval rendelkező SAML-alkalmazás hozzáadása párbeszédpanelen válassza az alkalmazás keresése legördülő menüt, majd válassza ki az üzembe helyezni kívánt alkalmazást. Ha az alkalmazás ki van jelölve, válassza a Start varázslót.

4. A varázsló ALKALMAZÁSINFORMÁCIÓs lapján töltsön fel egy metaadatfájlt az alkalmazásból, vagy adja meg manuálisan az alkalmazás adatait.

   Mindenképpen adja meg a következő információkat:

   • Az Assertion fogyasztói szolgáltatás URL-címe. Ez az az URL-cím, amellyel az alkalmazás SAML-állításokat fogad az identitásszolgáltatótól.
   • SAML-tanúsítvány, ha az alkalmazás rendelkezik ilyen tanúsítvánnyal. Ilyen esetekben válassza a Használat ... SAML-tanúsítványbeállítás , majd töltse fel a tanúsítványfájlt.

   Ha végzett, válassza a Tovább gombot a folytatáshoz.

5. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján kövesse az utasításokat egy új egyéni alkalmazás beállításához az identitásszolgáltató portálján.

   Feljegyzés

   A szükséges lépések az identitásszolgáltatótól függően eltérőek lehetnek. Javasoljuk, hogy a következő okokból végezze el a külső konfigurációt:

   • Egyes identitásszolgáltatók nem teszik lehetővé a katalógus/ katalógusalkalmazás SAML-attribútumainak vagy URL-tulajdonságainak módosítását.
   • Egyéni alkalmazás konfigurálásakor tesztelheti az alkalmazást Felhőhöz készült Defender Alkalmazások hozzáférés- és munkamenet-vezérlőkkel anélkül, hogy módosítaná a szervezet meglévő konfigurált viselkedését.

   Másolja ki az alkalmazás egyszeri bejelentkezési konfigurációs adatait az eljárás későbbi részében való használatra. Ha végzett, válassza a Tovább gombot a folytatáshoz.

6. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján folytatva töltsön fel egy metaadatfájlt az idP-ből, vagy adja meg manuálisan az alkalmazásadatokat.

   Mindenképpen adja meg a következő információkat:

   • Az egyszeri bejelentkezési szolgáltatás URL-címe. Ez az az URL-cím, amelyet az identitásszolgáltató az egyszeri bejelentkezési kérelmek fogadásához használ.
   • SAML-tanúsítvány, ha az identitásszolgáltató rendelkezik ilyen tanúsítvánnyal. Ilyen esetekben válassza az identitásszolgáltató SAML-tanúsítványbeállítását , majd töltse fel a tanúsítványfájlt.

7. A varázsló IDENTITÁSSZOLGÁLTATÓ oldalán folytatva másolja ki az egyszeri bejelentkezési URL-címet, valamint az eljárás későbbi részében használható összes attribútumot és értéket.

   Ha végzett, válassza a Tovább gombot a folytatáshoz.

8. Keresse meg az identitásszolgáltató portálját, és adja meg azokat az értékeket, amit átmásolt az IdP-konfigurációba. Ezek a beállítások általában az identitásszolgáltató egyéni alkalmazásbeállítási területén találhatók.

   1. Adja meg az alkalmazás egyszeri bejelentkezési URL-címét, amelyet az előző lépésből másolt ki. Egyes szolgáltatók válasz URL-címként hivatkozhatnak az egyszeri bejelentkezési URL-címre.

   2. Adja hozzá az előző lépésből kimásolt attribútumokat és értékeket az alkalmazás tulajdonságaihoz. Egyes szolgáltatók felhasználói attribútumként vagy jogcímként hivatkozhatnak rájuk.

      Ha az attribútumok legfeljebb 1024 karakter hosszúságúak az új alkalmazásokhoz, először hozza létre az alkalmazást a megfelelő attribútumok nélkül, majd az alkalmazás szerkesztésével adja hozzá őket.

   3. Ellenőrizze, hogy a névazonosító e-mail-cím formátumban van-e.

   4. Ha elkészült, mentse a beállításokat.

9. A Felhőhöz készült Defender Alkalmazások lapra visszatérve másolja ki az SAML egyszeri bejelentkezési URL-címét, és töltse le az Felhőhöz készült Microsoft Defender Alkalmazások SAML-tanúsítványát. Az SAML egyszeri bejelentkezési URL-címe egy testre szabott URL-cím az alkalmazás számára, ha Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlővel használják.

10. Keresse meg az alkalmazás portálját, és konfigurálja az egyszeri bejelentkezés beállításait az alábbiak szerint:

    1. (Ajánlott) Készítsen biztonsági másolatot az aktuális beállításokról.
    2. Cserélje le az identitásszolgáltató bejelentkezési URL-mezőjének értékét az előző lépésből kimásolt Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére. A mező neve az alkalmazástól függően eltérő lehet.
    3. Töltse fel az előző lépésben letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.
    4. Mindenképpen mentse a módosításokat.

11. A varázslóban válassza a Befejezés lehetőséget a konfiguráció befejezéséhez.

Miután mentette az alkalmazás egyszeri bejelentkezési beállításait az Felhőhöz készült Defender Apps által testre szabott értékekkel, a rendszer az alkalmazáshoz tartozó összes kapcsolódó bejelentkezési kérést átirányítja, bár Felhőhöz készült Defender Alkalmazások és Feltételes hozzáférés alkalmazásvezérlőt.

Feljegyzés

A Felhőhöz készült Defender Apps SAML-tanúsítványa 1 évig érvényes. A lejárat után létre kell hoznia és fel kell töltenie egy újat.

Jelentkezzen be az alkalmazásba a szabályzat hatálya alá tartozó felhasználóval

Miután létrehozta a hozzáférési vagy munkamenet-szabályzatot, jelentkezzen be a házirendben konfigurált összes alkalmazásba. Győződjön meg arról, hogy először kijelentkezett az összes meglévő munkamenetből, és hogy a házirendben konfigurált felhasználóval jelentkezett be.

Felhőhöz készült Defender Alkalmazások szinkronizálják a szabályzat részleteit a kiszolgálóikkal minden új alkalmazáshoz, amelybe bejelentkezik. Ez akár egy percet is igénybe vehet.

További információk:

• Felhőhöz készült Microsoft Defender-alkalmazások hozzáférési szabályzatainak létrehozása
• Felhőhöz készült Microsoft Defender Apps-munkamenetszabályzatok létrehozása

Ellenőrizze, hogy az alkalmazások hozzáférés- és munkamenet-vezérlők használatára vannak-e konfigurálva

Ez az eljárás azt ismerteti, hogyan ellenőrizheti, hogy az alkalmazások a hozzáférés- és munkamenet-vezérlők használatára vannak-e konfigurálva az Felhőhöz készült Defender-alkalmazásokban, és szükség esetén hogyan konfigurálhatók ezek a beállítások.

Feljegyzés

Bár egy alkalmazás munkamenet-vezérlési beállításait nem tudja eltávolítani, a rendszer nem módosítja a viselkedést, amíg nincs konfigurálva egy munkamenet- vagy hozzáférési szabályzat az alkalmazáshoz.

1. A Microsoft Defender XDR-ben válassza a Beállítások Cloud Apps > Csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget>.

2. Az alkalmazások táblában keresse meg az alkalmazást, és ellenőrizze az IDP-típus oszlopértékét. Győződjön meg arról, hogy a nem MS hitelesítési alkalmazás és a munkamenet-vezérlés megjelenik az alkalmazáshoz.

Kapcsolódó tartalom

• Alkalmazások védelme Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével
• Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése nem Microsoft-identitásszolgáltatókkal rendelkező egyéni alkalmazásokhoz
• Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.