Menyebarkan kontrol aplikasi akses bersyarah untuk aplikasi katalog dengan ID Microsoft Entra
Kontrol akses dan sesi di Microsoft Defender untuk Cloud Apps berfungsi dengan aplikasi dari katalog aplikasi Cloud dan dengan aplikasi kustom. Untuk daftar aplikasi yang telah di-onboarding dan berfungsi di luar kotak, lihat Melindungi aplikasi dengan kontrol aplikasi akses bersyariah aplikasi Defender untuk Cloud Apps.
Prasyarat
Organisasi Anda harus memiliki lisensi berikut untuk menggunakan kontrol aplikasi akses bersyar:
- Microsoft Entra ID P1 atau yang lebih tinggi
- Microsoft Defender for Cloud Apps
Aplikasi harus dikonfigurasi dengan akses menyeluruh
Aplikasi harus menggunakan salah satu protokol autentikasi berikut:
IdP Protokol Microsoft Entra ID KONEKSI SAML 2.0 atau OpenID Lainnya SAML 2.0
Mengonfigurasi integrasi ID Microsoft Entra
Catatan
Saat mengonfigurasi aplikasi dengan SSO di ID Microsoft Entra, atau idP lainnya, satu bidang yang mungkin tercantum sebagai opsional adalah pengaturan URL masuk. Perhatikan bahwa bidang ini mungkin diperlukan agar kontrol aplikasi akses bersyarat berfungsi.
Gunakan langkah-langkah berikut untuk membuat kebijakan Microsoft Entra Conditional Access yang merutekan sesi aplikasi ke Defender untuk Cloud Apps. Untuk solusi IdP lainnya, lihat Mengonfigurasi integrasi dengan solusi IdP lainnya.
Di ID Microsoft Entra, telusuri Ke Akses Bersyar keamanan>.
Pada panel Akses Bersyar, di toolbar di bagian atas, pilih Kebijakan baru ->Buat kebijakan baru.
Pada panel Baru , di kotak teks Nama , masukkan nama kebijakan.
Di bawah Penugasan, pilih Pengguna atau identitas beban kerja dan tetapkan pengguna dan grup yang akan onboarding (masuk dan verifikasi awal) aplikasi.
Di bawah Penugasan, pilih Aplikasi atau tindakan cloud dan tetapkan aplikasi dan tindakan yang ingin Anda kontrol dengan kontrol aplikasi akses bersyar.
Di bawah Kontrol akses, pilih Sesi, pilih Gunakan Kontrol Aplikasi Akses Bersyar, dan pilih kebijakan bawaan (Pantau saja (Pratinjau) atau Blokir unduhan (Pratinjau)) atau Gunakan kebijakan kustom untuk menetapkan kebijakan tingkat lanjut di aplikasi Defender untuk Cloud, lalu pilih Pilih.
Secara opsional, tambahkan kondisi dan berikan kontrol sesuai kebutuhan.
Atur Aktifkan kebijakan ke Aktif lalu pilih Buat.
Catatan
Sebelum melanjutkan, pastikan untuk terlebih dahulu keluar dari sesi yang ada.
Setelah Anda membuat kebijakan, masuk ke setiap aplikasi yang dikonfigurasi dalam kebijakan tersebut. Pastikan Anda masuk menggunakan pengguna yang dikonfigurasi dalam kebijakan.
Defender untuk Cloud Apps akan menyinkronkan detail kebijakan Anda ke servernya untuk setiap aplikasi baru yang Anda masuki. Ini mungkin memakan waktu hingga satu menit.
Verifikasi bahwa kontrol akses dan sesi dikonfigurasi
Instruksi sebelumnya membantu Anda membuat kebijakan aplikasi Defender untuk Cloud bawaan untuk aplikasi katalog langsung di ID Microsoft Entra. Dalam langkah ini, verifikasi bahwa kontrol akses dan sesi dikonfigurasi untuk aplikasi ini.
Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.
Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar. Lihat kolom Kontrol yang tersedia dan verifikasi bahwa kontrol Akses atau Akses Bersyar Azure ACTIVE Directory, dan Kontrol sesi muncul untuk aplikasi Anda.
Jika aplikasi tidak diaktifkan untuk kontrol sesi, tambahkan dengan memilih Onboard dengan kontrol sesi dan periksa Gunakan aplikasi ini dengan kontrol sesi. Contohnya:
Mengaktifkan aplikasi Anda untuk digunakan dalam produksi
Saat Anda siap, prosedur ini menjelaskan cara mengaktifkan aplikasi untuk digunakan di lingkungan produksi organisasi Anda.
Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.
Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.
Pilih Aktifkan aplikasi untuk bekerja pada kontrol sesi lalu pilih Simpan. Contohnya:
Pertama keluar dari sesi yang ada. Kemudian, coba masuk ke setiap aplikasi yang berhasil disebarkan. Masuk menggunakan pengguna yang cocok dengan kebijakan yang dikonfigurasi di ID Microsoft Entra, atau untuk aplikasi SAML yang dikonfigurasi dengan idP Anda.
Di Portal Pertahanan Microsoft, di bawah Aplikasi Cloud, pilih Log aktivitas, dan pastikan aktivitas login diambil untuk setiap aplikasi.
Anda dapat memfilter dengan memilih Tingkat Lanjut, lalu memfilter menggunakan Sumber sama dengan kontrol Akses. Contohnya:
Sebaiknya Anda masuk ke aplikasi seluler dan desktop dari perangkat terkelola dan tidak terkelola. Ini untuk memastikan bahwa aktivitas diambil dengan benar dalam log aktivitas.
Untuk memverifikasi bahwa aktivitas diambil dengan benar, pilih aktivitas masuk tunggal sehingga membuka laci aktivitas. Pastikan tag Agen pengguna mencerminkan dengan benar apakah perangkat adalah klien asli (artinya aplikasi seluler atau desktop) atau perangkat adalah perangkat terkelola (sesuai, bergabung dengan domain, atau sertifikat klien yang valid).
Catatan
Setelah disebarkan, Anda tidak dapat menghapus aplikasi dari halaman Kontrol Aplikasi Akses Bersyar. Selama Anda tidak mengatur sesi atau kebijakan akses pada aplikasi, kontrol aplikasi akses bersyarkat tidak akan mengubah perilaku apa pun untuk aplikasi.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk