Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése nem Microsoft-identitásszolgáltatókkal rendelkező egyéni alkalmazásokhoz
A Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással működjenek. Ez a cikk bemutatja, hogyan helyezheti üzembe és helyezheti üzembe az egyéni üzletági alkalmazásokat, a nem kiemelt SaaS-alkalmazásokat és a munkamenet-vezérlőkkel üzemeltetett helyszíni alkalmazásokat a Microsoft Entra alkalmazásproxyn keresztül. Lépéseket biztosít az alkalmazás-munkamenetek más idP-megoldásokból Felhőhöz készült Defender-alkalmazásokhoz való átirányításához. A Microsoft Entra-azonosítóval kapcsolatban lásd : Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése egyéni alkalmazásokhoz a Microsoft Entra ID használatával.
A Felhőhöz készült Defender-alkalmazások által kiemelt alkalmazások listájáért tekintse meg az alkalmazások védelme Felhőhöz készült Defender alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével című témakört.
Előfeltételek
Rendszergazdák hozzáadása az alkalmazás előkészítési/karbantartási listájához
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.
Adja meg az alkalmazásba bevezető felhasználók egyszerű nevét vagy e-mail-címét, majd válassza a Mentés lehetőséget.
Ellenőrizze a szükséges licenceket
A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:
- Az identitásszolgáltató (IdP) megoldásához szükséges licenc
- Microsoft Defender for Cloud Apps
Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni
Az alkalmazásoknak a következő hitelesítési protokollokat kell használniuk:
IdP Protokollok Egyéb SAML 2.0
Bármely alkalmazás üzembe helyezése
Az alábbi lépéseket követve konfigurálhatja a Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlője által vezérelni kívánt alkalmazásokat.
Feljegyzés
A Feltételes hozzáférésű alkalmazásvezérlő Microsoft Entra-alkalmazásokhoz való üzembe helyezéséhez érvényes licencre van szükség a P1 vagy újabb Microsoft Entra-azonosítóhoz, valamint egy Felhőhöz készült Defender Apps-licenchez.
1. lépés: Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához
Feljegyzés
Az IdP-megoldások konfigurálására vonatkozó példákért lásd:
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
Válassza a +Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza a Start varázslót.
Az ALKALMAZÁSINFORMÁCIÓk lapon töltse ki az űrlapot az alkalmazás egyszeri bejelentkezési konfigurációs oldalának adataival, majd válassza a Tovább gombot. – Ha az identitásszolgáltató egyetlen bejelentkezési metaadatfájlt biztosít a kiválasztott alkalmazáshoz, válassza a Metaadatfájl feltöltése az alkalmazásból lehetőséget, és töltse fel a metaadatfájlt. - Vagy válassza az Adatok manuális kitöltése lehetőséget, és adja meg a következő adatokat: - Helyességi fogyasztói szolgáltatás URL-címe – Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.
Az IDENTITÁSSZOLGÁLTATÓ lapon a megadott lépésekkel állítson be egy új alkalmazást az identitásszolgáltató portálján, majd válassza a Tovább gombot.
Nyissa meg az identitásszolgáltató portálját, és hozzon létre egy új egyéni SAML-alkalmazást.
Másolja a meglévő
<app_name>
alkalmazás egyszeri bejelentkezési konfigurációját az új egyéni alkalmazásba.Felhasználók hozzárendelése az új egyéni alkalmazáshoz.
Másolja ki az alkalmazások egyszeri bejelentkezési konfigurációs adatait. A következő lépésben szüksége lesz rá.
Feljegyzés
Ezek a lépések az identitásszolgáltatótól függően kissé eltérhetnek. Ez a lépés a következő okok miatt ajánlott:
- Egyes identitásszolgáltatók nem teszik lehetővé a katalógusalkalmazás SAML-attribútumainak vagy URL-tulajdonságainak módosítását
- Az egyéni alkalmazások konfigurálása lehetővé teszi, hogy az alkalmazást hozzáférés- és munkamenet-vezérlőkkel tesztelje anélkül, hogy módosítaná a szervezet meglévő viselkedését.
A következő lapon töltse ki az űrlapot az alkalmazás egyszeri bejelentkezési konfigurációs oldalának adataival, majd válassza a Tovább gombot. – Ha az identitásszolgáltató egyetlen bejelentkezési metaadatfájlt biztosít a kiválasztott alkalmazáshoz, válassza a Metaadatfájl feltöltése az alkalmazásból lehetőséget, és töltse fel a metaadatfájlt. - Vagy válassza az Adatok manuális kitöltése lehetőséget, és adja meg a következő adatokat: - Helyességi fogyasztói szolgáltatás URL-címe – Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata <lehetőséget, és töltse fel a tanúsítványfájlt.
A következő lapon másolja ki a következő adatokat, majd válassza a Tovább gombot. A következő lépésben szüksége lesz az információkra.
Egyszeri bejelentkezési URL-cím
Attribútumok és értékek
Az identitásszolgáltató portálján tegye a következőket:
Feljegyzés
Ezek a beállítások gyakran megtalálhatók az IdP-portál egyéni alkalmazásbeállítási lapján.
Ajánlott – Készítsen biztonsági másolatot az aktuális beállításokról.
Cserélje le az egyszeri bejelentkezési URL-mező értékét a korábban feljegyzett Felhőhöz készült Defender Alkalmazások SAML egyszeri bejelentkezési URL-címére.
Feljegyzés
Egyes szolgáltatók válasz URL-címként hivatkozhatnak az egyszeri bejelentkezési URL-címre.
Adja hozzá a korábban jegyzett attribútumokat és értékeket az alkalmazás tulajdonságaihoz.
Feljegyzés
- Egyes szolgáltatók felhasználói attribútumként vagy jogcímként hivatkozhatnak rájuk.
- Új SAML-alkalmazás létrehozásakor az Okta Identitásszolgáltató 1024 karakterre korlátozza az attribútumokat. A korlátozás mérsékléséhez először hozza létre az alkalmazást a megfelelő attribútumok nélkül. Az alkalmazás létrehozása után szerkessze, majd adja hozzá a megfelelő attribútumokat.
Ellenőrizze, hogy a névazonosító az e-mail-cím formátumában van-e.
Mentse el a beállításokat.
Az APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapon tegye a következőket, majd válassza a Tovább gombot. A következő lépésben szüksége lesz az információkra.
Az egyszeri bejelentkezés URL-címének másolása
Az Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése
- Az alkalmazás portálján az egyszeri bejelentkezési beállításokon tegye a következőket:
- Ajánlott – Készítsen biztonsági másolatot az aktuális beállításokról.
- Az egyszeri bejelentkezés URL-cím mezőjébe írja be a korábban jegyzett Felhőhöz készült Defender Alkalmazások egyszeri bejelentkezési URL-címét.
- Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.
Feljegyzés
- A beállítások mentése után az alkalmazáshoz tartozó összes kapcsolódó bejelentkezési kérés a feltételes hozzáférésű alkalmazásvezérlőn keresztül lesz átirányítva.
- A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.
2. lépés: Az alkalmazás manuális hozzáadása és tanúsítványok telepítése, ha szükséges
Az alkalmazáskatalógusban lévő alkalmazások automatikusan fel lesznek töltve a táblázatba Csatlakozás alkalmazások alatt. Ellenőrizze, hogy az üzembe helyezni kívánt alkalmazás felismerve van-e az ott való navigálással.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Csatlakozás alkalmazások alatt válassza a Feltételes hozzáférésű alkalmazásvezérlő alkalmazásokat a hozzáférési és munkamenet-szabályzatokkal konfigurálható alkalmazások táblázatának eléréséhez.
Válassza ki az Alkalmazást: Alkalmazások kiválasztása... legördülő menüt az üzembe helyezni kívánt alkalmazás szűréséhez és kereséséhez.
Ha nem látja az alkalmazást, manuálisan kell hozzáadnia.
Azonosítatlan alkalmazás manuális hozzáadása
A szalagcímen válassza az Új alkalmazások megtekintése lehetőséget.
Az új alkalmazások listájában jelölje ki a jelet, majd válassza a + Hozzáadás lehetőséget az egyes alkalmazásokhoz.
Feljegyzés
Ha egy alkalmazás nem jelenik meg a Felhőhöz készült Defender Alkalmazások alkalmazáskatalógusában, akkor az azonosítatlan alkalmazások párbeszédpanelen, valamint a bejelentkezési URL-cím alatt jelenik meg. Ha az alkalmazások + jelére kattint, egyéni alkalmazásként is előkészítheti az alkalmazást.
Tartományok hozzáadása egy alkalmazáshoz
A megfelelő tartományok alkalmazáshoz való társítása lehetővé teszi Felhőhöz készült Defender alkalmazások számára a szabályzatok és a naplózási tevékenységek kikényszerítését.
Ha például olyan szabályzatot konfigurált, amely letiltja egy társított tartomány fájljainak letöltését, az alkalmazás által az adott tartományból származó fájlletöltések le lesznek tiltva. Az alkalmazás által az alkalmazás által az alkalmazáshoz nem társított tartományokból származó fájlletöltések azonban nem lesznek blokkolva, és a művelet nem lesz naplózva a tevékenységnaplóban.
Feljegyzés
Felhőhöz készült Defender Alkalmazások továbbra is hozzáad egy utótagot az alkalmazáshoz nem társított tartományokhoz a zökkenőmentes felhasználói élmény biztosítása érdekében.
- Az alkalmazáson belül az Felhőhöz készült Defender Alkalmazások felügyeleti eszköztárán válassza a Felderített tartományok lehetőséget.
Feljegyzés
A rendszergazdai eszköztár csak az alkalmazások előkészítésére vagy karbantartására jogosult felhasználók számára látható.
- A Felderített tartományok panelen jegyezze fel a tartományneveket, vagy exportálja a listát .csv fájlként.
Feljegyzés
A panel megjeleníti az alkalmazáshoz nem társított felderített tartományok listáját. A tartománynevek teljes mértékben minősítettek.
- A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
- A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
- Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.
Tipp.
Az alkalmazásban konfigurált tartományok listájának megtekintéséhez válassza az Alkalmazástartományok megtekintése lehetőséget.
- A felhasználó által definiált tartományokban adja meg az alkalmazáshoz társítani kívánt összes tartományt, majd válassza a Mentés lehetőséget.
Feljegyzés
A * helyettesítő karaktert bármely karakter helyőrzőjeként használhatja. Tartományok hozzáadásakor döntse el, hogy adott tartományokat (,
sub2.contoso.com
) vagy több tartományt (sub1.contoso.com
*.contoso.com
) szeretne hozzáadni.
Főtanúsítványok telepítése
Ismételje meg az alábbi lépéseket az aktuális hitelesítésszolgáltató és a következő hitelesítésszolgáltató önaláírt főtanúsítványainak telepítéséhez.
- Válassza ki a tanúsítványt.
- Válassza a Megnyitás lehetőséget, és amikor a rendszer kéri, válassza újra a Megnyitás lehetőséget .
- Válassza a Tanúsítvány telepítése lehetőséget.
- Válassza az Aktuális felhasználó vagy a Helyi gép lehetőséget.
- Válassza az Összes tanúsítvány elhelyezése a következő tárolóban lehetőséget, majd válassza a Tallózás lehetőséget.
- Válassza a Megbízható főtanúsítvány-hatóságok lehetőséget, majd kattintson az OK gombra.
- Válassza a Befejezéslehetőséget.
Feljegyzés
Ahhoz, hogy a tanúsítványok felismerhetők legyenek, miután telepítette a tanúsítványt, újra kell indítania a böngészőt, és ugyanarra a lapra kell lépnie.
Válassza a Folytatás lehetőséget.
Ellenőrizze, hogy az alkalmazás elérhető-e a táblázatban.
3. lépés: Ellenőrizze, hogy az alkalmazás megfelelően működik-e
Annak ellenőrzéséhez, hogy az alkalmazás védett-e, először végezzen kemény kijelentkezéseket az alkalmazáshoz társított böngészőkből, vagy nyisson meg egy új böngészőt inkognitó módban.
Nyissa meg az alkalmazást, és hajtsa végre a következő ellenőrzéseket:
- Ellenőrizze, hogy megjelenik-e a zárolás ikon a böngészőben, vagy ha nem a Microsoft Edge böngészőben dolgozik, ellenőrizze, hogy az alkalmazás URL-címe tartalmazza-e az
.mcas
utótagot. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió). - Látogasson el az alkalmazás összes lapjára, amely egy felhasználó munkafolyamatának része, és ellenőrizze, hogy a lapok megfelelően jelennek-e meg.
- Győződjön meg arról, hogy az alkalmazás viselkedését és működését nem befolyásolja hátrányosan az olyan gyakori műveletek végrehajtása, mint a fájlok letöltése és feltöltése.
- Tekintse át az alkalmazáshoz társított tartományok listáját. További információ: Az alkalmazás tartományainak hozzáadása.
Ha hibák vagy problémák merülnek fel, a rendszergazdai eszköztár használatával gyűjtsön erőforrásokat, például .har
fájlokat és rögzített munkameneteket a támogatási jegy benyújtásához.
4. lépés: Az alkalmazás engedélyezése a szervezetben való használatra
Ha készen áll arra, hogy engedélyezze az alkalmazást a szervezet éles környezetében való használatra, hajtsa végre az alábbi lépéseket.
A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.
Válassza az Alkalmazás engedélyezése a munkamenet-vezérlők használatához, majd a Mentés lehetőséget.
Következő lépések
Lásd még
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: