Menyebarkan kontrol aplikasi akses bersyarah untuk aplikasi katalog dengan ID Microsoft Entra

  • Artikel

Kontrol akses dan sesi di Microsoft Defender untuk Cloud Apps berfungsi dengan aplikasi dari katalog aplikasi Cloud dan dengan aplikasi kustom. Untuk daftar aplikasi yang telah di-onboarding dan berfungsi di luar kotak, lihat Melindungi aplikasi dengan kontrol aplikasi akses bersyariah aplikasi Defender untuk Cloud Apps.

Prasyarat

  • Organisasi Anda harus memiliki lisensi berikut untuk menggunakan kontrol aplikasi akses bersyar:

  • Aplikasi harus dikonfigurasi dengan akses menyeluruh

  • Aplikasi harus menggunakan salah satu protokol autentikasi berikut:

    IdP Protokol
    Microsoft Entra ID KONEKSI SAML 2.0 atau OpenID
    Lainnya SAML 2.0

Mengonfigurasi integrasi ID Microsoft Entra

Catatan

Saat mengonfigurasi aplikasi dengan SSO di ID Microsoft Entra, atau idP lainnya, satu bidang yang mungkin tercantum sebagai opsional adalah pengaturan URL masuk. Perhatikan bahwa bidang ini mungkin diperlukan agar kontrol aplikasi akses bersyarat berfungsi.

Gunakan langkah-langkah berikut untuk membuat kebijakan Microsoft Entra Conditional Access yang merutekan sesi aplikasi ke Defender untuk Cloud Apps. Untuk solusi IdP lainnya, lihat Mengonfigurasi integrasi dengan solusi IdP lainnya.

  1. Di ID Microsoft Entra, telusuri Ke Akses Bersyar keamanan>.

  2. Pada panel Akses Bersyar, di toolbar di bagian atas, pilih Kebijakan baru ->Buat kebijakan baru.

  3. Pada panel Baru , di kotak teks Nama , masukkan nama kebijakan.

  4. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja dan tetapkan pengguna dan grup yang akan onboarding (masuk dan verifikasi awal) aplikasi.

  5. Di bawah Penugasan, pilih Aplikasi atau tindakan cloud dan tetapkan aplikasi dan tindakan yang ingin Anda kontrol dengan kontrol aplikasi akses bersyar.

  6. Di bawah Kontrol akses, pilih Sesi, pilih Gunakan Kontrol Aplikasi Akses Bersyar, dan pilih kebijakan bawaan (Pantau saja (Pratinjau) atau Blokir unduhan (Pratinjau)) atau Gunakan kebijakan kustom untuk menetapkan kebijakan tingkat lanjut di aplikasi Defender untuk Cloud, lalu pilih Pilih.

    Cuplikan layar halaman Microsoft Entra Conditional Access.

  7. Secara opsional, tambahkan kondisi dan berikan kontrol sesuai kebutuhan.

  8. Atur Aktifkan kebijakan ke Aktif lalu pilih Buat.

Catatan

Sebelum melanjutkan, pastikan untuk terlebih dahulu keluar dari sesi yang ada.

Setelah Anda membuat kebijakan, masuk ke setiap aplikasi yang dikonfigurasi dalam kebijakan tersebut. Pastikan Anda masuk menggunakan pengguna yang dikonfigurasi dalam kebijakan.

Defender untuk Cloud Apps akan menyinkronkan detail kebijakan Anda ke servernya untuk setiap aplikasi baru yang Anda masuki. Ini mungkin memakan waktu hingga satu menit.

Verifikasi bahwa kontrol akses dan sesi dikonfigurasi

Instruksi sebelumnya membantu Anda membuat kebijakan aplikasi Defender untuk Cloud bawaan untuk aplikasi katalog langsung di ID Microsoft Entra. Dalam langkah ini, verifikasi bahwa kontrol akses dan sesi dikonfigurasi untuk aplikasi ini.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar. Lihat kolom Kontrol yang tersedia dan verifikasi bahwa kontrol Akses atau Akses Bersyar Azure ACTIVE Directory, dan Kontrol sesi muncul untuk aplikasi Anda.

    Jika aplikasi tidak diaktifkan untuk kontrol sesi, tambahkan dengan memilih Onboard dengan kontrol sesi dan periksa Gunakan aplikasi ini dengan kontrol sesi. Contohnya:

    Cuplikan layar onboarding dengan kontrol sesi.

Mengaktifkan aplikasi Anda untuk digunakan dalam produksi

Saat Anda siap, prosedur ini menjelaskan cara mengaktifkan aplikasi untuk digunakan di lingkungan produksi organisasi Anda.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.

  3. Pilih Aktifkan aplikasi untuk bekerja pada kontrol sesi lalu pilih Simpan. Contohnya:

    Cuplikan layar Edit aplikasi ini? Dialog.

  4. Pertama keluar dari sesi yang ada. Kemudian, coba masuk ke setiap aplikasi yang berhasil disebarkan. Masuk menggunakan pengguna yang cocok dengan kebijakan yang dikonfigurasi di ID Microsoft Entra, atau untuk aplikasi SAML yang dikonfigurasi dengan idP Anda.

  5. Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, pilih Log aktivitas, dan pastikan aktivitas login diambil untuk setiap aplikasi.

  6. Anda dapat memfilter dengan memilih Tingkat Lanjut, lalu memfilter menggunakan Sumber sama dengan kontrol Akses. Contohnya:

    Cuplikan layar pemfilteran menggunakan Microsoft Entra Conditional Access.

  7. Sebaiknya Anda masuk ke aplikasi seluler dan desktop dari perangkat terkelola dan tidak terkelola. Ini untuk memastikan bahwa aktivitas diambil dengan benar dalam log aktivitas.

    Untuk memverifikasi bahwa aktivitas diambil dengan benar, pilih aktivitas masuk tunggal sehingga membuka laci aktivitas. Pastikan tag Agen pengguna mencerminkan dengan benar apakah perangkat adalah klien asli (artinya aplikasi seluler atau desktop) atau perangkat adalah perangkat terkelola (sesuai, bergabung dengan domain, atau sertifikat klien yang valid).

Catatan

Setelah disebarkan, Anda tidak dapat menghapus aplikasi dari halaman Kontrol Aplikasi Akses Bersyar. Selama Anda tidak mengatur sesi atau kebijakan akses pada aplikasi, kontrol aplikasi akses bersyarkat tidak akan mengubah perilaku apa pun untuk aplikasi.

Langkah berikutnya

« SEBELUMNYA: Pengantar kontrol aplikasi akses bersyar

BERIKUTNYA: Menyebarkan kontrol aplikasi akses bersyarah untuk aplikasi apa pun »

Pemecahan masalah akses dan kontrol sesi

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.