App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met Azure AD

Notitie

  • We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Toegangs- en sessiebesturingselementen in Microsoft Defender for Cloud Apps werken met toepassingen uit de cloud-app-catalogus en met aangepaste toepassingen. Zie Apps beveiligen met Het app-beheer voor voorwaardelijke toegang van Defender for Cloud Apps voor een lijst met apps die vooraf zijn voorbereid en werken.

Vereisten

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten een van de volgende verificatieprotocollen gebruiken:

    IdP Protocollen
    Azure AD SAML 2.0 of OpenID Connect
    Anders SAML 2.0

Catalogus-apps implementeren

Volg de onderstaande stappen om catalogus-apps te configureren die moeten worden beheerd door Microsoft Defender for Cloud Apps App Control voor voorwaardelijke toegang.

Integratie met Azure AD configureren

Notitie

Wanneer u een toepassing configureert met eenmalige aanmelding in Azure AD of andere id-providers, is één veld dat kan worden vermeld als optioneel, de instelling voor de aanmeldings-URL. Houd er rekening mee dat dit veld mogelijk vereist is om app-beheer voor voorwaardelijke toegang te laten werken.

Gebruik de volgende stappen om een Azure AD beleid voor voorwaardelijke toegang te maken waarmee app-sessies worden gerouteerd naar Defender for Cloud Apps. Zie Integratie met andere IdP-oplossingen configureren met andere IdP-oplossingen.

  1. Blader in Azure AD naarvoorwaardelijke toegang voor beveiliging>.

  2. Selecteer in het deelvenster Voorwaardelijke toegang op de werkbalk bovenaan het nieuwe beleid - >Nieuw beleid maken.

  3. Voer in het tekstvak Naam in het deelvenster Nieuw de naam van het beleid in.

  4. Selecteer onder Toewijzingen gebruikers- of workloadidentiteiten en wijs de gebruikers en groepen toe die de app gaan onboarden (initiële aanmelding en verificatie).

  5. Selecteer onder Toewijzingen Cloud-apps of -acties en wijs de apps en acties toe die u wilt beheren met App Control voor voorwaardelijke toegang.

  6. Selecteer onder Toegangsbeheersessie, gebruik app-beheer voor voorwaardelijke toegang en kies een ingebouwd beleid (alleen controleren (preview) of downloads blokkeren (preview)) of aangepast beleid gebruiken om een geavanceerd beleid in Defender voor Cloud Apps in te stellen en selecteer vervolgens Selecteren.

    Azure AD voorwaardelijke toegang.

  7. U kunt desgewenst voorwaarden toevoegen en besturingselementen verlenen zoals vereist.

  8. Stel Beleid inschakelen in op Aan en selecteer Vervolgens Maken.

Notitie

Voordat u doorgaat, moet u zich eerst afmelden bij bestaande sessies.

Nadat u het beleid hebt gemaakt, meldt u zich aan bij elke app die in dat beleid is geconfigureerd. Zorg ervoor dat u zich aanmeldt met een gebruiker die is geconfigureerd in het beleid.

Defender voor Cloud Apps synchroniseert uw beleidsdetails naar de servers voor elke nieuwe app die u aanmeldt. Dit kan tot één minuut duren.

De voorgaande instructies hebben u geholpen bij het maken van een ingebouwd Defender for Cloud Apps-beleid voor catalogus-apps rechtstreeks in Azure AD. In deze stap controleert u of de toegangs- en sessiebesturingselementen zijn geconfigureerd voor deze apps.

  1. Selecteer in de Portal van Defender voor Cloud Apps het pictogram instellingen voor tandwielinstellingen. en selecteer vervolgens App-beheer voor voorwaardelijke toegang.

  2. Bekijk in de tabel Apps voor app-beheer voor voorwaardelijke toegang de kolom Beschikbare besturingselementen en controleer of zowel toegangsbeheer als Azure AD voorwaardelijke toegang en sessiebeheer voor uw apps worden weergegeven.

    Notitie

    Als de app niet is ingeschakeld voor sessiebeheer, kunt u deze toevoegen door Onboarding te selecteren met sessiebeheer en deze app te controleren met sessiebesturingselementen. Onboarden met sessiebeheer.

Wanneer u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.

  1. Selecteer in Defender voor Cloud Apps het pictogram Instellingen tandwielinstellingen en selecteer vervolgens App-beheer voor voorwaardelijke toegang.

  2. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.

  3. Selecteer De app gebruiken met sessiebesturingselementen en selecteer Vervolgens Opslaan.

    Bewerk deze app-dialoog.

  4. Meld u eerst af bij bestaande sessies. Probeer vervolgens aan te melden bij elke app die is geïmplementeerd. Meld u aan met behulp van een gebruiker die overeenkomt met het beleid dat is geconfigureerd in Azure AD of voor een SAML-app die is geconfigureerd met uw id-provider.

  5. Selecteer in de Defender for Cloud Apps-portal onder Onderzoeken het activiteitenlogboek en zorg ervoor dat de aanmeldingsactiviteiten voor elke app worden vastgelegd.

  6. U kunt filteren door op Geavanceerd te klikken en vervolgens te filteren met behulp van Bron is gelijk aan toegangsbeheer.

    Filteren met Azure AD voorwaardelijke toegang.

  7. Het is raadzaam u aan te melden bij mobiele en desktop-apps vanaf beheerde en onbeheerde apparaten. Dit is om ervoor te zorgen dat de activiteiten correct worden vastgelegd in het activiteitenlogboek.
    Als u wilt controleren of de activiteit juist is vastgelegd, selecteert u een aanmeldingsactiviteit voor eenmalige aanmelding, zodat de activiteitlade wordt geopend. Zorg ervoor dat de tag Gebruikersagent correct aangeeft of het apparaat een systeemeigen client is (wat een mobiele app of desktop-app betekent) of dat het apparaat een beheerd apparaat is (compatibel, lid van domein of geldig clientcertificaat).

Notitie

Nadat deze is geïmplementeerd, kunt u een app niet verwijderen van de pagina App-beheer voor voorwaardelijke toegang. Zolang u geen sessie- of toegangsbeleid instelt voor de app, verandert het app-beheer voor voorwaardelijke toegang geen gedrag voor de app.

Volgende stappen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.