Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése katalógusalkalmazásokhoz az Azure AD-vel

  • Cikk

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

A Felhőhöz készült Microsoft Defender-alkalmazások hozzáférés- és munkamenet-vezérlői a felhőalapú alkalmazáskatalógusból származó alkalmazásokkal és egyéni alkalmazásokkal működnek. Az előre előkészített és a dobozon kívül működő alkalmazások listájáért tekintse meg az alkalmazások védelme Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével című témakört.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

  • Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

  • Az alkalmazásoknak az alábbi hitelesítési protokollok egyikét kell használniuk:

    IdP Protokollok
    Azure AD SAML 2.0 vagy OpenID Csatlakozás
    Egyéb SAML 2.0

Katalógusalkalmazások üzembe helyezése

Az alábbi lépéseket követve konfigurálhatja a katalógusalkalmazásokat úgy, hogy az Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlője vezérelje.

Integráció konfigurálása az Azure AD-vel

Megjegyzés:

Amikor SSO-val konfigurál egy alkalmazást az Azure AD-ben vagy más identitásszolgáltatókban, a bejelentkezési URL-beállítás az egyik választhatóként felsorolt mező. Vegye figyelembe, hogy ez a mező szükséges lehet a feltételes hozzáférésű alkalmazásvezérlő működéséhez.

Az alábbi lépésekkel létrehozhat egy Azure AD feltételes hozzáférési szabályzatot, amely az alkalmazás munkameneteit Felhőhöz készült Defender-alkalmazásokhoz irányítja. Egyéb idP-megoldások esetén lásd : Integráció konfigurálása más identitásszolgáltatói megoldásokkal.

  1. Az Azure AD-ben keresse meg a biztonsági>feltételes hozzáférést.

  2. A Feltételes hozzáférés panel felső eszköztárán válassza az Új szabályzat létrehozása –> Új szabályzat létrehozása lehetőséget.

  3. Az Új panel Név szövegmezőjében adja meg a szabályzat nevét.

  4. A Hozzárendelések területen válassza ki a Felhasználók vagy számítási feladatok identitásait, és rendelje hozzá az alkalmazásba bevetendő felhasználókat és csoportokat (kezdeti bejelentkezés és ellenőrzés).

  5. A Hozzárendelések területen válassza a Felhőalkalmazások vagy -műveletek lehetőséget, és rendelje hozzá a feltételes hozzáférésű alkalmazásvezérlővel vezérelni kívánt alkalmazásokat és műveleteket.

  6. A Hozzáférés-vezérlések csoportban válassza a Munkamenet lehetőséget, válassza a Feltételes hozzáférésű alkalmazásvezérlő használata lehetőséget, és válasszon egy beépített szabályzatot (Csak figyelés (előzetes verzió) vagy Letöltések letiltása (előzetes verzió) vagy Egyéni házirend használata speciális szabályzat beállításához az Felhőhöz készült Defender Appsben, majd válassza a Kiválasztás lehetőséget.

    Azure AD conditional access.

  7. Igény szerint adjon hozzá feltételeket, és adjon meg vezérlőket.

  8. Állítsa be a Házirend engedélyezése beállítást Be értékre, majd válassza a Létrehozás lehetőséget.

Megjegyzés:

Mielőtt továbblép, először jelentkezzen ki a meglévő munkamenetekből.

Miután létrehozta a szabályzatot, jelentkezzen be a szabályzatban konfigurált összes alkalmazásba. Győződjön meg arról, hogy a házirendben konfigurált felhasználóval jelentkezik be.

Felhőhöz készült Defender Alkalmazások szinkronizálják a szabályzat részleteit a kiszolgálóikkal minden új alkalmazáshoz, amelybe bejelentkezik. Ez akár egy percet is igénybe vehet.

Az előző utasítások segítségével egy beépített Felhőhöz készült Defender-alkalmazásszabályzatot hozhat létre katalógusalkalmazásokhoz közvetlenül az Azure AD-ben. Ebben a lépésben ellenőrizze, hogy a hozzáférés- és munkamenet-vezérlők konfigurálva vannak-e ezekhez az alkalmazásokhoz.

  1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget. Tekintse meg az Elérhető vezérlők oszlopot, és ellenőrizze, hogy a Hozzáférés-vezérlés vagy az Azure AD Feltételes hozzáférés és a Munkamenet-vezérlés is megjelenik-e az alkalmazásokban.

    Megjegyzés:

    Ha az alkalmazás nincs engedélyezve a munkamenet-vezérléshez, hozzáadhatja a munkamenet-vezérlővelvaló előkészítés és az alkalmazás használata munkamenet-vezérlőkkel jelölőnégyzet bejelölésével. Onboard with session control.

Ha készen áll arra, hogy engedélyezze az alkalmazást a szervezet éles környezetében való használatra, hajtsa végre az alábbi lépéseket.

  1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

  3. Válassza az Alkalmazás használata munkamenet-vezérlőkkel lehetőséget, majd válassza a Mentés lehetőséget.

    Edit this app dialogue.

  4. Először jelentkezzen ki a meglévő munkamenetekből. Ezután próbáljon meg bejelentkezni minden olyan alkalmazásba, amely sikeresen üzembe lett helyezve. Jelentkezzen be az Azure AD-ben konfigurált szabályzatnak megfelelő felhasználóval vagy az identitásszolgáltatóval konfigurált SAML-alkalmazással.

  5. A Microsoft 365 Defender portál Cloud Apps területén válassza a Tevékenységnapló lehetőséget, és győződjön meg arról, hogy minden alkalmazáshoz rögzítve vannak a bejelentkezési tevékenységek.

  6. Szűréshez válassza a Speciális lehetőséget, majd a szűrést a Forrás egyenlő hozzáférés vezérlővel.

    Filter using Azure AD conditional access.

  7. Javasoljuk, hogy felügyelt és nem felügyelt eszközökről jelentkezzen be mobil- és asztali alkalmazásokba. Ennek célja, hogy a tevékenységek megfelelően legyenek rögzítve a tevékenységnaplóban.
    A tevékenység helyes rögzítésének ellenőrzéséhez válasszon ki egy egyszeri bejelentkezési bejelentkezési tevékenységet, hogy megnyissa a tevékenységfiókot. Győződjön meg arról, hogy a Felhasználói ügynök címke megfelelően tükrözi, hogy az eszköz natív ügyfél -e (vagyis mobil- vagy asztali alkalmazás), vagy az eszköz felügyelt eszköz (megfelelő, tartományhoz csatlakoztatott vagy érvényes ügyféltanúsítvány).

Megjegyzés:

Az üzembe helyezés után nem távolíthat el egy alkalmazást a feltételes hozzáférésű alkalmazásvezérlő oldalról. Amíg nem állít be munkamenet- vagy hozzáférési szabályzatot az alkalmazásban, a feltételes hozzáférésű alkalmazásvezérlő nem módosítja az alkalmazás viselkedését.

Következő lépések

« ELŐZŐ: Bevezetés a feltételes hozzáférésű alkalmazásvezérlésbe

KÖVETKEZŐ: Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése bármely alkalmazáshoz »

Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.