Nem Microsoft IdP-alapú egyéni alkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez

Az Felhőhöz készült Microsoft Defender-alkalmazások hozzáférés- és munkamenet-vezérlői a katalógus és az egyéni alkalmazásokkal is működnek. Bár a Microsoft Entra ID-alkalmazások automatikusan elő vannak készítve a feltételes hozzáférésű alkalmazásvezérlés használatára, ha nem Microsoft-identitásszolgáltatóval dolgozik, manuálisan kell előkészítenie az alkalmazást.

Ez a cikk bemutatja, hogyan konfigurálhatja az identitásszolgáltatót úgy, hogy Felhőhöz készült Defender-alkalmazásokkal működjön, majd manuálisan is előkészítse az egyes egyéni alkalmazásokat. Ezzel szemben a rendszer automatikusan előkészíti a nem Microsoft-identitásszolgáltatótól származó katalógusalkalmazásokat, amikor konfigurálja az identitásszolgáltató és a Felhőhöz készült Defender-alkalmazások közötti integrációt.

Előfeltételek

• A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

  • Az identitásszolgáltató (IdP) megoldásához szükséges licenc
  • Microsoft Defender for Cloud Apps

• Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

• Az alkalmazásokat az SAML 2.0 hitelesítési protokollal kell konfigurálni.

Rendszergazdák hozzáadása az alkalmazás előkészítési/karbantartási listájához

1. A Microsoft Defender XDR-ben válassza a Beállítások Cloud Apps > feltételes hozzáférésű alkalmazásvezérlő > alkalmazás előkészítése/karbantartása lehetőséget.>

2. Adja meg minden olyan felhasználó felhasználónevét vagy e-mail-címét, aki előkészíti az alkalmazást, majd válassza a Mentés lehetőséget.

További információ: A Rendszergazdai nézet eszköztár diagnosztizálása és hibaelhárítása.

Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

Ez az eljárás azt ismerteti, hogyan irányíthatja az alkalmazás munkameneteit más idP-megoldásokból az Felhőhöz készült Defender-alkalmazásokhoz.

Tipp.

Az alábbi cikkek részletes példákat nyújtanak erre az eljárásra:

• PingOne-azonosító konfigurálása
• Az AD FS idP konfigurálása
• Az Okta IdP konfigurálása

Ha úgy szeretné konfigurálni az idp-t, hogy működjön Felhőhöz készült Defender-alkalmazásokkal:

1. A Microsoft Defender XDR-ben válassza a Beállítások Cloud Apps > Csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget>.

2. A Feltételes hozzáférés alkalmazásvezérlő alkalmazás lapján válassza a + Hozzáadás lehetőséget.

3. Az identitásszolgáltatóval rendelkező SAML-alkalmazás hozzáadása párbeszédpanelen válassza az alkalmazás keresése legördülő menüt, majd válassza ki az üzembe helyezni kívánt alkalmazást. Ha az alkalmazás ki van jelölve, válassza a Start varázslót.

4. A varázsló ALKALMAZÁSINFORMÁCIÓs lapján töltsön fel egy metaadatfájlt az alkalmazásból, vagy adja meg manuálisan az alkalmazás adatait.

   Mindenképpen adja meg a következő információkat:

   • Az Assertion fogyasztói szolgáltatás URL-címe. Ez az az URL-cím, amellyel az alkalmazás SAML-állításokat fogad az identitásszolgáltatótól.
   • SAML-tanúsítvány, ha az alkalmazás rendelkezik ilyen tanúsítvánnyal. Ilyen esetekben válassza a Használat ... SAML-tanúsítványbeállítás , majd töltse fel a tanúsítványfájlt.

   Ha végzett, válassza a Tovább gombot a folytatáshoz.

5. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján kövesse az utasításokat egy új egyéni alkalmazás beállításához az identitásszolgáltató portálján.

   Feljegyzés

   A szükséges lépések az identitásszolgáltatótól függően eltérőek lehetnek. Javasoljuk, hogy a következő okokból végezze el a külső konfigurációt:

   • Egyes identitásszolgáltatók nem teszik lehetővé a katalógus/ katalógusalkalmazás SAML-attribútumainak vagy URL-tulajdonságainak módosítását.
   • Egyéni alkalmazás konfigurálásakor tesztelheti az alkalmazást Felhőhöz készült Defender Alkalmazások hozzáférés- és munkamenet-vezérlőkkel anélkül, hogy módosítaná a szervezet meglévő konfigurált viselkedését.

   Másolja ki az alkalmazás egyszeri bejelentkezési konfigurációs adatait az eljárás későbbi részében való használatra. Ha végzett, válassza a Tovább gombot a folytatáshoz.

6. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján folytatva töltsön fel egy metaadatfájlt az idP-ből, vagy adja meg manuálisan az alkalmazásadatokat.

   Mindenképpen adja meg a következő információkat:

   • Az egyszeri bejelentkezési szolgáltatás URL-címe. Ez az az URL-cím, amelyet az identitásszolgáltató az egyszeri bejelentkezési kérelmek fogadásához használ.
   • SAML-tanúsítvány, ha az identitásszolgáltató rendelkezik ilyen tanúsítvánnyal. Ilyen esetekben válassza az identitásszolgáltató SAML-tanúsítványbeállítását , majd töltse fel a tanúsítványfájlt.

7. A varázsló IDENTITÁSSZOLGÁLTATÓ oldalán folytatva másolja ki az egyszeri bejelentkezési URL-címet, valamint az eljárás későbbi részében használható összes attribútumot és értéket.

   Ha végzett, válassza a Tovább gombot a folytatáshoz.

8. Keresse meg az identitásszolgáltató portálját, és adja meg azokat az értékeket, amit átmásolt az IdP-konfigurációba. Ezek a beállítások általában az identitásszolgáltató egyéni alkalmazásbeállítási területén találhatók.

   1. Adja meg az alkalmazás egyszeri bejelentkezési URL-címét, amelyet az előző lépésből másolt ki. Egyes szolgáltatók válasz URL-címként hivatkozhatnak az egyszeri bejelentkezési URL-címre.

   2. Adja hozzá az előző lépésből kimásolt attribútumokat és értékeket az alkalmazás tulajdonságaihoz. Egyes szolgáltatók felhasználói attribútumként vagy jogcímként hivatkozhatnak rájuk.

      Ha az attribútumok legfeljebb 1024 karakter hosszúságúak az új alkalmazásokhoz, először hozza létre az alkalmazást a megfelelő attribútumok nélkül, majd az alkalmazás szerkesztésével adja hozzá őket.

   3. Ellenőrizze, hogy a névazonosító e-mail-cím formátumban van-e.

   4. Ha elkészült, mentse a beállításokat.

9. A Felhőhöz készült Defender Alkalmazások lapra visszatérve másolja ki az SAML egyszeri bejelentkezési URL-címét, és töltse le az Felhőhöz készült Microsoft Defender Alkalmazások SAML-tanúsítványát. Az SAML egyszeri bejelentkezési URL-címe egy testre szabott URL-cím az alkalmazás számára, ha Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlővel használják.

10. Keresse meg az alkalmazás portálját, és konfigurálja az egyszeri bejelentkezési beállításokat az alábbiak szerint:

    1. (Ajánlott) Készítsen biztonsági másolatot az aktuális beállításokról.
    2. Cserélje le az identitásszolgáltató bejelentkezési URL-mezőjének értékét az előző lépésből kimásolt Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére. A mező neve az alkalmazástól függően eltérő lehet.
    3. Töltse fel az előző lépésben letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.
    4. Mindenképpen mentse a módosításokat.

11. A varázslóban válassza a Befejezés lehetőséget a konfiguráció befejezéséhez.

Miután mentette az alkalmazás egyszeri bejelentkezési beállításait az Felhőhöz készült Defender Apps által testre szabott értékekkel, a rendszer az alkalmazáshoz tartozó összes kapcsolódó bejelentkezési kérést átirányítja, bár Felhőhöz készült Defender Alkalmazások és Feltételes hozzáférés alkalmazásvezérlőt.

Feljegyzés

A Felhőhöz készült Defender Apps SAML-tanúsítványa 1 évig érvényes. A lejárat után létre kell hoznia egy újat.

Az alkalmazás előkészítése feltételes hozzáférésű alkalmazásvezérlőhöz

Ha olyan egyéni alkalmazással dolgozik, amely nem töltődik fel automatikusan az alkalmazáskatalógusban, manuálisan kell hozzáadnia.

Annak ellenőrzéséhez, hogy az alkalmazás már fel van-e véve:

1. A Microsoft Defender XDR-ben válassza a Beállítások Cloud Apps > Csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget>.

2. Válassza ki az Alkalmazás: Alkalmazások kiválasztása... legördülő menüt az alkalmazás kereséséhez.

Ha az alkalmazás már szerepel a listában, folytassa a katalógusalkalmazások eljárásával.

Az alkalmazás manuális hozzáadása:

1. Ha új alkalmazásai vannak, a lap tetején egy szalagcím jelenik meg, amely értesíti, hogy új alkalmazásokat kell előkészíteni. Az új alkalmazások megtekintése hivatkozásra kattintva megtekintheti őket.

2. A Felderített Azure AD-alkalmazások párbeszédpanelen keresse meg az alkalmazást, például a Bejelentkezési URL-cím értéke alapján. Válassza ki a + gombot, majd a Hozzáadás lehetőséget, hogy egyéni alkalmazásként vegye fel.

Főtanúsítványok telepítése

Győződjön meg arról, hogy az egyes alkalmazásokhoz a megfelelő aktuális hitelesítésszolgáltatói vagy következő hitelesítésszolgáltatói tanúsítványokat használja.

A tanúsítványok telepítéséhez ismételje meg az alábbi lépéseket az egyes tanúsítványok esetében:

1. Nyissa meg és telepítse a tanúsítványt, és válassza az Aktuális felhasználó vagy a Helyi gép lehetőséget.

2. Amikor a rendszer kéri, hogy hová szeretné helyezni a tanúsítványokat, keresse meg a megbízható főtanúsítvány-hatóságokat.

3. Az eljárás elvégzéséhez válassza az OK és a Befejezés lehetőséget.

4. Indítsa újra a böngészőt, nyissa meg újra az alkalmazást, és válassza a Folytatás lehetőséget, amikor a rendszer kéri.

5. A Microsoft Defender XDR-ben válassza a Beállítások > Cloud Apps > csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazásait, és győződjön meg arról, hogy az alkalmazás továbbra is szerepel a táblázatban.

További információ: Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján.

Kapcsolódó tartalom

• Alkalmazások védelme Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével
• Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése nem Microsoft-azonosítókkal rendelkező katalógusalkalmazásokhoz
• Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.