Menerapkan Kontrol Aplikasi Akses Kondisional (CA) untuk aplikasi kustom dengan menggunakan Microsoft Entra ID

  • Artikel

Kontrol sesi di Microsoft Defender untuk Cloud Apps dapat dikonfigurasi untuk bekerja dengan aplikasi web apa pun. Artikel ini menjelaskan cara onboarding dan menyebarkan aplikasi lini bisnis kustom, aplikasi SaaS non-fitur, dan aplikasi lokal yang dihosting melalui proksi aplikasi Microsoft Entra dengan kontrol sesi. Ini menyediakan langkah-langkah untuk membuat kebijakan Microsoft Entra Conditional Access yang merutekan sesi aplikasi ke Defender untuk Cloud Apps. Untuk solusi IdP lainnya, lihat Menyebarkan Kontrol Aplikasi Akses Bersyar untuk aplikasi kustom dengan IdP non-Microsoft.

Untuk daftar aplikasi yang ditampilkan oleh aplikasi Defender untuk Cloud agar berfungsi di luar kotak, lihat Melindungi aplikasi dengan Defender untuk Cloud Aplikasi Kontrol Aplikasi Akses Bersyar.

Prasyarat

Sebelum memulai proses onboarding, Anda harus melakukan hal berikut:

Menambahkan admin ke daftar onboarding/pemeliharaan aplikasi

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah Kontrol Aplikasi Akses Bersyar, pilih Onboarding/pemeliharaan aplikasi.

  3. Masukkan nama prinsipal pengguna atau email untuk pengguna yang akan melakukan onboarding aplikasi, lalu pilih Simpan.

    Screenshot of settings for App onboarding and maintenance.

Periksa lisensi yang diperlukan

  • Organisasi Anda harus memiliki lisensi berikut untuk menggunakan Kontrol Aplikasi Akses Bersyar:

  • Aplikasi harus dikonfigurasi dengan akses menyeluruh

  • Aplikasi harus menggunakan salah satu protokol autentikasi berikut:

    IdP Protokol
    Microsoft Entra ID KONEKSI SAML 2.0 atau OpenID

Untuk menyebarkan aplikasi apa pun

Untuk melakukan onboarding aplikasi yang akan dikontrol oleh Defender untuk Cloud Apps Conditional Access Control, Anda harus:

Ikuti langkah-langkah di bawah ini untuk mengonfigurasi aplikasi apa pun yang akan dikontrol oleh Defender untuk Cloud Apps Conditional Access App Control.

Catatan

Untuk menyebarkan Kontrol Aplikasi Akses Bersyarah untuk aplikasi Microsoft Entra, Anda memerlukan lisensi yang valid untuk Microsoft Entra ID P1 atau yang lebih tinggi serta lisensi aplikasi Defender untuk Cloud.

Mengonfigurasi ID Microsoft Entra untuk bekerja dengan aplikasi Defender untuk Cloud

Catatan

Saat mengonfigurasi aplikasi dengan SSO di ID Microsoft Entra, atau idP lainnya, satu bidang yang mungkin tercantum sebagai opsional adalah pengaturan URL masuk. Perhatikan bahwa bidang ini mungkin diperlukan agar Kontrol Aplikasi Akses Bersyarat berfungsi.

  1. Di ID Microsoft Entra, telusuri Ke Akses Bersyar keamanan>.

  2. Pada panel Akses Bersyar, di toolbar di bagian atas, pilih Kebijakan baru ->Buat kebijakan baru.

  3. Pada panel Baru , di kotak teks Nama , masukkan nama kebijakan.

  4. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja, tetapkan pengguna yang akan onboarding (masuk awal dan verifikasi) aplikasi, lalu pilih Selesai.

  5. Di bawah Penugasan, pilih Aplikasi atau tindakan cloud, tetapkan aplikasi yang ingin Anda kontrol dengan Kontrol Aplikasi Akses Bersyar, lalu pilih Selesai.

  6. Di bawah Kontrol akses, pilih Sesi, pilih Gunakan Kontrol Aplikasi Akses Bersyar, dan pilih kebijakan bawaan (Hanya Pantau atau Blokir unduhan) atau Gunakan kebijakan kustom untuk mengatur kebijakan tingkat lanjut di aplikasi Defender untuk Cloud, lalu klik Pilih.

    Microsoft Entra Conditional Access.

  7. Secara opsional, tambahkan kondisi dan berikan kontrol sesuai kebutuhan.

  8. Atur Aktifkan kebijakan ke Aktif lalu pilih Buat.

Aplikasi dalam katalog aplikasi secara otomatis diisi ke dalam tabel di bawah Aplikasi yang Koneksi. Keluar dari aplikasi jika Anda memiliki sesi aktif dan masuk lagi untuk memungkinkan aplikasi ditemukan. Periksa apakah aplikasi yang ingin Anda sebarkan dikenali dengan menavigasi ke sana.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  2. Di bawah aplikasi yang Koneksi, pilih aplikasi Kontrol Aplikasi Akses Bersyar untuk mengakses tabel aplikasi yang dapat dikonfigurasi dengan kebijakan akses dan sesi.

    Conditional access app control apps.

  3. Pilih menu dropdown Aplikasi: Pilih aplikasi... untuk memfilter dan mencari aplikasi yang ingin Anda sebarkan.

    Select App: Select apps to search for the app.

  4. Jika Anda tidak melihat aplikasi di sana, Anda harus menambahkannya secara manual.

Cara menambahkan aplikasi yang tidak dikenal secara manual

  1. Di banner, pilih Tampilkan aplikasi baru.

    Conditional access app control view new apps.

  2. Dalam daftar aplikasi baru, untuk setiap aplikasi yang Anda onboarding, pilih + tanda, lalu pilih Tambahkan.

    Catatan

    Jika aplikasi tidak muncul di katalog aplikasi Defender untuk Cloud Apps, aplikasi tersebut akan muncul dalam dialog di bawah aplikasi yang tidak dikenal bersama dengan URL masuk. Saat mengklik tanda + untuk aplikasi ini, Anda dapat melakukan onboarding aplikasi sebagai aplikasi kustom.

    Conditional access app control discovered Microsoft Entra apps.

Mengaitkan domain yang benar ke aplikasi memungkinkan aplikasi Defender untuk Cloud menerapkan kebijakan dan aktivitas audit.

Misalnya, jika Anda telah mengonfigurasi kebijakan yang memblokir pengunduhan file untuk domain terkait, unduhan file oleh aplikasi dari domain tersebut akan diblokir. Namun, unduhan file oleh aplikasi dari domain yang tidak terkait dengan aplikasi tidak akan diblokir dan tindakan tidak akan diaudit di log aktivitas.

Catatan

Defender untuk Cloud Apps masih menambahkan akhiran ke domain yang tidak terkait dengan aplikasi untuk memastikan pengalaman pengguna yang mulus.

  1. Dari dalam aplikasi, pada toolbar admin aplikasi Defender untuk Cloud, pilih Domain yang ditemukan.

    Select Discovered domains.

    Catatan

    Toolbar admin hanya terlihat oleh pengguna dengan izin untuk onboarding atau aplikasi pemeliharaan.

  2. Di panel Domain yang ditemukan, catat nama domain atau ekspor daftar sebagai file .csv.

    Catatan

    Panel menampilkan daftar domain yang ditemukan yang tidak terkait dalam aplikasi. Nama domain sepenuhnya memenuhi syarat.

  3. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.

  4. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.

  5. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.

    Edit app details.

    Tip

    Untuk melihat daftar domain yang dikonfigurasi di aplikasi, pilih Tampilkan domain aplikasi.

    • Domain yang ditentukan pengguna: Domain yang terkait dengan aplikasi. Navigasi ke aplikasi dan Anda dapat menggunakan bilah alat Admin untuk mengidentifikasi domain yang terkait dengan aplikasi dan menentukan apakah salah satu dari mereka hilang. Perhatikan bahwa domain yang hilang dapat menyebabkan aplikasi yang dilindungi tidak dirender dengan benar.

    • Perlakukan token akses sebagai permintaan masuk: Beberapa aplikasi menggunakan token akses dan permintaan kode sebagai login aplikasi. Ini memberikan kemampuan untuk memperlakukan token akses dan permintaan kode sebagai login saat onboarding aplikasi untuk mengakses dan kontrol sesi agar aplikasi dapat dirender dengan benar. Saat onboarding aplikasi, selalu pastikan ini dicentang.

    • Gunakan aplikasi dengan kontrol sesi: Untuk memungkinkan aplikasi ini digunakan atau tidak digunakan dengan kontrol sesi. Saat onboarding aplikasi selalu pastikan ini dicentang.

    • Lakukan masuk kedua: Jika aplikasi menggunakan nonce, log masuk kedua diperlukan untuk memperhitungkan penanganan nonce. Log masuk nonce atau kedua digunakan oleh aplikasi untuk memastikan bahwa token login yang dibuat IdP untuk pengguna hanya dapat digunakan sekali, dan tidak dicuri dan digunakan kembali oleh orang lain. Nonce diperiksa oleh Penyedia Layanan untuk mencocokkan apa yang diharapkan, dan bukan sesuatu yang baru-baru ini digunakan, yang dapat menunjukkan serangan pemutaran ulang. Ketika ini dipilih, kami memastikan bahwa login kedua sedang dipicu dari sesi akhiran, yang memastikan keberhasilan masuk. Untuk performa yang lebih baik, ini harus diaktifkan.

      Perform a second login.

  6. Di Domain yang ditentukan pengguna, masukkan semua domain yang ingin Anda kaitkan dengan aplikasi ini, lalu pilih Simpan.

    Catatan

    Anda dapat menggunakan karakter kartubebas * sebagai tempat penampung untuk karakter apa pun. Saat menambahkan domain, putuskan apakah Anda ingin menambahkan domain tertentu (sub1.contoso.com,sub2.contoso.com) atau beberapa domain (*.contoso.com). Ini hanya didukung untuk domain tertentu (*.contoso.com) dan bukan untuk domain tingkat atas (*.com).

  7. Ulangi langkah-langkah berikut untuk menginstal sertifikat akar ca saat ini dan CA berikutnya yang ditandatangani sendiri.

    1. Pilih sertifikat.
    2. Pilih Buka, dan saat diminta pilih Buka lagi.
    3. Pilih Instal sertifikat.
    4. Pilih Pengguna Saat Ini atau Komputer Lokal.
    5. Pilih Tempatkan semua sertifikat di penyimpanan berikut lalu pilih Telusuri.
    6. Pilih Otoritas Sertifikat Akar Tepercaya lalu pilih OK.
    7. Pilih Selesai.

    Catatan

    Agar sertifikat dikenali, setelah menginstal sertifikat, Anda harus menghidupkan ulang browser dan masuk ke halaman yang sama.

  8. Pilih Lanjutkan.

  9. Periksa apakah aplikasi tersedia dalam tabel.

    Onboard with session control.

Untuk memverifikasi bahwa aplikasi dilindungi, pertama-tama lakukan hard sign-out browser yang terkait dengan aplikasi atau buka browser baru dengan mode penyamaran.

Buka aplikasi dan lakukan pemeriksaan berikut:

  • Periksa untuk melihat apakah ikon kunci muncul di browser Anda, atau jika Anda bekerja di browser selain Microsoft Edge, periksa apakah URL aplikasi Anda berisi akhiran .mcas . Untuk informasi selengkapnya, lihat Perlindungan dalam browser dengan Microsoft Edge for Business (Pratinjau).
  • Kunjungi semua halaman dalam aplikasi yang merupakan bagian dari proses kerja pengguna dan verifikasi bahwa halaman dirender dengan benar.
  • Verifikasi bahwa perilaku dan fungsionalitas aplikasi tidak terpengaruh secara merugikan dengan melakukan tindakan umum seperti mengunduh dan mengunggah file.
  • Tinjau daftar domain yang terkait dengan aplikasi.

Jika Anda mengalami kesalahan atau masalah, gunakan toolbar admin untuk mengumpulkan sumber daya seperti .har file dan sesi yang direkam untuk mengajukan tiket dukungan.

Setelah Anda siap mengaktifkan aplikasi untuk digunakan di lingkungan produksi organisasi Anda, lakukan langkah-langkah berikut.

  1. Di Portal Pertahanan Microsoft, pilih Pengaturan. Lalu pilih Cloud Apps.
  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.
  3. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.
  4. Pilih Gunakan aplikasi dengan kontrol sesi lalu pilih Simpan.
  5. Di MICROSOFT Entra ID, di bawah Keamanan, pilih Akses Bersyar.
  6. Perbarui kebijakan yang Anda buat sebelumnya untuk menyertakan pengguna, grup, dan kontrol yang relevan yang Anda butuhkan.
  7. Di bawah Sesi>Gunakan Kontrol Aplikasi Akses Bersyar, jika Anda memilih Gunakan Kebijakan Kustom, buka aplikasi Defender untuk Cloud dan buat kebijakan sesi yang sesuai. Untuk informasi selengkapnya, lihat Kebijakan sesi.

Langkah berikutnya

SEBELUMNYA: Menyebarkan Kontrol Aplikasi Akses Bersyarah untuk aplikasi katalog

NEXT: Cara membuat kebijakan sesi

Lihat juga

Pengantar Kontrol Aplikasi Akses Bersyarah

Pemecahan masalah akses dan kontrol sesi

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.