Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése nem Microsoft-identitásszolgáltatókkal rendelkező egyéni alkalmazásokhoz

  • Cikk

A Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással működjenek. Ez a cikk bemutatja, hogyan helyezheti üzembe és helyezheti üzembe az egyéni üzletági alkalmazásokat, a nem kiemelt SaaS-alkalmazásokat és a munkamenet-vezérlőkkel üzemeltetett helyszíni alkalmazásokat a Microsoft Entra alkalmazásproxyn keresztül. Lépéseket biztosít az alkalmazás-munkamenetek más idP-megoldásokból Felhőhöz készült Defender-alkalmazásokhoz való átirányításához. A Microsoft Entra-azonosítóval kapcsolatban lásd : Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése egyéni alkalmazásokhoz a Microsoft Entra ID használatával.

A Felhőhöz készült Defender-alkalmazások által kiemelt alkalmazások listájáért tekintse meg az alkalmazások védelme Felhőhöz készült Defender alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével című témakört.

Előfeltételek

Rendszergazdák hozzáadása az alkalmazás előkészítési/karbantartási listájához

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg az alkalmazásba bevezető felhasználók egyszerű nevét vagy e-mail-címét, majd válassza a Mentés lehetőséget.

    Képernyőkép az alkalmazások előkészítésének és karbantartásának beállításairól.

Ellenőrizze a szükséges licenceket

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Az identitásszolgáltató (IdP) megoldásához szükséges licenc
    • Microsoft Defender for Cloud Apps

  • Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

  • Az alkalmazásoknak a következő hitelesítési protokollokat kell használniuk:

    IdP Protokollok
    Egyéb SAML 2.0

Bármely alkalmazás üzembe helyezése

Az alábbi lépéseket követve konfigurálhatja a Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlője által vezérelni kívánt alkalmazásokat.

  1. Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

  2. Az üzembe helyezhető alkalmazás konfigurálása

  3. Ellenőrizze, hogy az alkalmazás megfelelően működik-e

  4. Az alkalmazás engedélyezése a szervezetben való használatra

Feljegyzés

A Feltételes hozzáférésű alkalmazásvezérlő Microsoft Entra-alkalmazásokhoz való üzembe helyezéséhez érvényes licencre van szükség a P1 vagy újabb Microsoft Entra-azonosítóhoz, valamint egy Felhőhöz készült Defender Apps-licenchez.

1. lépés: Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

Feljegyzés

Az IdP-megoldások konfigurálására vonatkozó példákért lásd:

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  3. Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza a Start varázslót.

  4. Az ALKALMAZÁSINFORMÁCIÓk lapon töltse ki az űrlapot az alkalmazás egyszeri bejelentkezési konfigurációs oldalának adataival, majd válassza a Tovább gombot. – Ha az identitásszolgáltató egyetlen bejelentkezési metaadatfájlt biztosít a kiválasztott alkalmazáshoz, válassza a Metaadatfájl feltöltése az alkalmazásból lehetőséget, és töltse fel a metaadatfájlt. - Vagy válassza az Adatok manuális kitöltése lehetőséget, és adja meg a következő adatokat: - Helyességi fogyasztói szolgáltatás URL-címe – Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.

    Képernyőkép az alkalmazásinformációs oldalról.

  5. Az IDENTITÁSSZOLGÁLTATÓ lapon a megadott lépésekkel állítson be egy új alkalmazást az identitásszolgáltató portálján, majd válassza a Tovább gombot.

  6. Nyissa meg az identitásszolgáltató portálját, és hozzon létre egy új egyéni SAML-alkalmazást.

  7. Másolja a meglévő <app_name> alkalmazás egyszeri bejelentkezési konfigurációját az új egyéni alkalmazásba.

  8. Felhasználók hozzárendelése az új egyéni alkalmazáshoz.

  9. Másolja ki az alkalmazások egyszeri bejelentkezési konfigurációs adatait. A következő lépésben szüksége lesz rá.

    Képernyőkép az identitásszolgáltató adatainak gyűjtéséről.

    Feljegyzés

    Ezek a lépések az identitásszolgáltatótól függően kissé eltérhetnek. Ez a lépés a következő okok miatt ajánlott:

    • Egyes identitásszolgáltatók nem teszik lehetővé a katalógusalkalmazás SAML-attribútumainak vagy URL-tulajdonságainak módosítását
    • Az egyéni alkalmazások konfigurálása lehetővé teszi, hogy az alkalmazást hozzáférés- és munkamenet-vezérlőkkel tesztelje anélkül, hogy módosítaná a szervezet meglévő viselkedését.

  10. A következő lapon töltse ki az űrlapot az alkalmazás egyszeri bejelentkezési konfigurációs oldalának adataival, majd válassza a Tovább gombot. – Ha az identitásszolgáltató egyetlen bejelentkezési metaadatfájlt biztosít a kiválasztott alkalmazáshoz, válassza a Metaadatfájl feltöltése az alkalmazásból lehetőséget, és töltse fel a metaadatfájlt. - Vagy válassza az Adatok manuális kitöltése lehetőséget, és adja meg a következő adatokat: - Helyességi fogyasztói szolgáltatás URL-címe – Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.

    Képernyőkép az identitásszolgáltató adatainak megadásáról.

  11. A következő lapon másolja ki a következő adatokat, majd válassza a Tovább gombot. A következő lépésben szüksége lesz az információkra.

  • Egyszeri bejelentkezési URL-cím

  • Attribútumok és értékek

    Képernyőkép az identitásszolgáltatók SAML-információoldalának gyűjtéséről.

  1. Az identitásszolgáltató portálján tegye a következőket:

    Feljegyzés

    Ezek a beállítások gyakran megtalálhatók az IdP-portál egyéni alkalmazásbeállítási lapján.

    1. Ajánlott – Készítsen biztonsági másolatot az aktuális beállításokról.

    2. Cserélje le az egyszeri bejelentkezési URL-mező értékét a korábban feljegyzett Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére.

      Feljegyzés

      Egyes szolgáltatók válasz URL-címként hivatkozhatnak az egyszeri bejelentkezési URL-címre.

    3. Adja hozzá a korábban jegyzett attribútumokat és értékeket az alkalmazás tulajdonságaihoz.

      Feljegyzés

      • Egyes szolgáltatók felhasználói attribútumként vagy jogcímként hivatkozhatnak rájuk.
      • Új SAML-alkalmazás létrehozásakor az Okta Identitásszolgáltató 1024 karakterre korlátozza az attribútumokat. A korlátozás mérsékléséhez először hozza létre az alkalmazást a megfelelő attribútumok nélkül. Az alkalmazás létrehozása után szerkessze, majd adja hozzá a megfelelő attribútumokat.

    4. Ellenőrizze, hogy a névazonosító az e-mail-cím formátumában van-e.

    5. Mentse el a beállításokat.

  2. Az APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapon tegye a következőket, majd válassza a Tovább gombot. A következő lépésben szüksége lesz az információkra.

  • Az egyszeri bejelentkezés URL-címének másolása

  • Az Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése

    Képernyőkép Felhőhöz készült Defender Alkalmazások SAML-információoldalának gyűjtéséről.

  1. Az alkalmazás portálján az egyszeri bejelentkezési beállításokon tegye a következőket:
    1. Ajánlott – Készítsen biztonsági másolatot az aktuális beállításokról.
    2. Az egyszeri bejelentkezés URL-cím mezőjébe írja be a korábban jegyzett Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címét.
    3. Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.

    Feljegyzés

    • A beállítások mentése után az alkalmazáshoz tartozó összes kapcsolódó bejelentkezési kérés a feltételes hozzáférésű alkalmazásvezérlőn keresztül lesz átirányítva.
    • A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.

2. lépés: Az alkalmazás manuális hozzáadása és tanúsítványok telepítése, ha szükséges

Az alkalmazáskatalógusban lévő alkalmazások automatikusan fel lesznek töltve a táblázatba Csatlakozás alkalmazások alatt. Ellenőrizze, hogy az üzembe helyezni kívánt alkalmazás felismerve van-e az ott való navigálással.

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások alatt válassza a Feltételes hozzáférésű alkalmazásvezérlő alkalmazásokat a hozzáférési és munkamenet-szabályzatokkal konfigurálható alkalmazások táblázatának eléréséhez.

    Feltételes hozzáférésű alkalmazásvezérlő alkalmazások.

  3. Válassza ki az Alkalmazást: Alkalmazások kiválasztása... legördülő menüt az üzembe helyezni kívánt alkalmazás szűréséhez és kereséséhez.

    Alkalmazás kiválasztása: Az alkalmazás kereséséhez válassza ki az alkalmazásokat.

  4. Ha nem látja az alkalmazást, manuálisan kell hozzáadnia.

Azonosítatlan alkalmazás manuális hozzáadása

  1. A szalagcímen válassza az Új alkalmazások megtekintése lehetőséget.

    A feltételes hozzáférésű alkalmazások vezérlője új alkalmazásokat tekint meg.

  2. Az új alkalmazások listájában jelölje ki a jelet, majd válassza a + Hozzáadás lehetőséget az egyes alkalmazásokhoz.

    Feljegyzés

    Ha egy alkalmazás nem jelenik meg a Felhőhöz készült Defender Alkalmazások alkalmazáskatalógusában, akkor az azonosítatlan alkalmazások párbeszédpanelen, valamint a bejelentkezési URL-cím alatt jelenik meg. Ha az alkalmazások + jelére kattint, egyéni alkalmazásként is előkészítheti az alkalmazást.

    A feltételes hozzáférésű alkalmazások vezérlése felderítette a Microsoft Entra-alkalmazásokat.

Tartományok hozzáadása egy alkalmazáshoz

A megfelelő tartományok alkalmazáshoz való társítása lehetővé teszi Felhőhöz készült Defender alkalmazások számára a szabályzatok és a naplózási tevékenységek kikényszerítését.

Ha például olyan szabályzatot konfigurált, amely letiltja egy társított tartomány fájljainak letöltését, az alkalmazás által az adott tartományból származó fájlletöltések le lesznek tiltva. Az alkalmazás által az alkalmazás által az alkalmazáshoz nem társított tartományokból származó fájlletöltések azonban nem lesznek blokkolva, és a művelet nem lesz naplózva a tevékenységnaplóban.

Feljegyzés

Felhőhöz készült Defender Alkalmazások továbbra is hozzáad egy utótagot az alkalmazáshoz nem társított tartományokhoz a zökkenőmentes felhasználói élmény biztosítása érdekében.

  1. Az alkalmazáson belül az Felhőhöz készült Defender Alkalmazások felügyeleti eszköztárán válassza a Felderített tartományok lehetőséget.

    Feljegyzés

    A rendszergazdai eszköztár csak az alkalmazások előkészítésére vagy karbantartására jogosult felhasználók számára látható.

  2. A Felderített tartományok panelen jegyezze fel a tartományneveket, vagy exportálja a listát .csv fájlként.

    Feljegyzés

    A panel megjeleníti az alkalmazáshoz nem társított felderített tartományok listáját. A tartománynevek teljes mértékben minősítettek.

  3. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
  4. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
  5. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

    Tipp.

    Az alkalmazásban konfigurált tartományok listájának megtekintéséhez válassza az Alkalmazástartományok megtekintése lehetőséget.

  6. A felhasználó által definiált tartományokban adja meg az alkalmazáshoz társítani kívánt összes tartományt, majd válassza a Mentés lehetőséget.

    Feljegyzés

    A * helyettesítő karaktert bármely karakter helyőrzőjeként használhatja. Tartományok hozzáadásakor döntse el, hogy adott tartományokat (,sub2.contoso.com) vagy több tartományt (sub1.contoso.com*.contoso.com) szeretne hozzáadni.

Főtanúsítványok telepítése

  1. Ismételje meg az alábbi lépéseket az aktuális hitelesítésszolgáltató és a következő hitelesítésszolgáltató önaláírt főtanúsítványainak telepítéséhez.

    1. Válassza ki a tanúsítványt.
    2. Válassza a Megnyitás lehetőséget, és amikor a rendszer kéri, válassza újra a Megnyitás lehetőséget .
    3. Válassza a Tanúsítvány telepítése lehetőséget.
    4. Válassza az Aktuális felhasználó vagy a Helyi gép lehetőséget.
    5. Válassza az Összes tanúsítvány elhelyezése a következő tárolóban lehetőséget, majd válassza a Tallózás lehetőséget.
    6. Válassza a Megbízható főtanúsítvány-hatóságok lehetőséget, majd kattintson az OK gombra.
    7. Válassza a Befejezéslehetőséget.

    Feljegyzés

    Ahhoz, hogy a tanúsítványok felismerhetők legyenek, miután telepítette a tanúsítványt, újra kell indítania a böngészőt, és ugyanarra a lapra kell lépnie.

  2. Válassza a Folytatás lehetőséget.

  3. Ellenőrizze, hogy az alkalmazás elérhető-e a táblázatban.

    Előkészítés munkamenet-vezérléssel.

3. lépés: Ellenőrizze, hogy az alkalmazás megfelelően működik-e

Annak ellenőrzéséhez, hogy az alkalmazás védett-e, először végezzen kemény kijelentkezéseket az alkalmazáshoz társított böngészőkből, vagy nyisson meg egy új böngészőt inkognitó módban.

Nyissa meg az alkalmazást, és hajtsa végre a következő ellenőrzéseket:

  • Ellenőrizze, hogy megjelenik-e a zárolás ikon a böngészőben, vagy ha nem a Microsoft Edge böngészőben dolgozik, ellenőrizze, hogy az alkalmazás URL-címe tartalmazza-e az .mcas utótagot. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).
  • Látogasson el az alkalmazás összes lapjára, amely egy felhasználó munkafolyamatának része, és ellenőrizze, hogy a lapok megfelelően jelennek-e meg.
  • Győződjön meg arról, hogy az alkalmazás viselkedését és működését nem befolyásolja hátrányosan az olyan gyakori műveletek végrehajtása, mint a fájlok letöltése és feltöltése.
  • Tekintse át az alkalmazáshoz társított tartományok listáját. További információ: Az alkalmazás tartományainak hozzáadása.

Ha hibák vagy problémák merülnek fel, a rendszergazdai eszköztár használatával gyűjtsön erőforrásokat, például .har fájlokat és rögzített munkameneteket a támogatási jegy benyújtásához.

4. lépés: Az alkalmazás engedélyezése a szervezetben való használatra

Ha készen áll arra, hogy engedélyezze az alkalmazást a szervezet éles környezetében való használatra, hajtsa végre az alábbi lépéseket.

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  3. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

  4. Válassza az Alkalmazás engedélyezése a munkamenet-vezérlők használatához, majd a Mentés lehetőséget.

    Alkalmazás szerkesztése

Következő lépések

« ELŐZŐ: Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése katalógusalkalmazásokhoz

NEXT: Munkamenet-szabályzat létrehozása »

Lásd még

Bevezetés a feltételes hozzáférésű alkalmazásvezérlésbe

Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.