Niet-Microsoft IdP-catalogus-apps onboarden voor app-beheer voor voorwaardelijke toegang
Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met zowel catalogus- als aangepaste apps. Hoewel Microsoft Entra ID-apps automatisch worden voorbereid voor het gebruik van app-beheer voor voorwaardelijke toegang, moet u uw app handmatig onboarden als u met een niet-Microsoft IdP werkt.
In dit artikel wordt beschreven hoe u uw IdP configureert voor gebruik met Defender voor Cloud Apps. Als u uw IdP integreert met Defender voor Cloud Apps, worden automatisch alle catalogus-apps van uw IdP geïmplementeerd voor app-beheer voor voorwaardelijke toegang.
Vereisten
Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:
- De licentie die is vereist voor uw id-provideroplossing (IdP)
- Microsoft Defender for Cloud Apps
Apps moeten worden geconfigureerd met eenmalige aanmelding
Apps moeten worden geconfigureerd met het SAML 2.0-verificatieprotocol.
Voor het volledig uitvoeren en testen van de procedures in dit artikel is vereist dat u een sessie- of toegangsbeleid hebt geconfigureerd. Zie voor meer informatie:
- Toegangsbeleid voor Microsoft Defender voor Cloud Apps maken
- Sessiebeleid voor Microsoft Defender voor Cloud Apps maken
Uw IdP configureren voor gebruik met Defender voor Cloud Apps
In deze procedure wordt beschreven hoe u app-sessies van andere IdP-oplossingen kunt routeren naar Defender voor Cloud Apps.
Tip
De volgende artikelen bevatten gedetailleerde voorbeelden van deze procedure:
Uw IdP configureren voor gebruik met Defender voor Cloud Apps:
Selecteer in Microsoft Defender XDR instellingen > apps voor app-beheerapps voor voorwaardelijke toegang voor cloud-apps > >.
Selecteer + Toevoegen op de pagina App-beheerapps voor voorwaardelijke toegang.
Selecteer in het dialoogvenster Een SAML-toepassing toevoegen met uw id-provider de vervolgkeuzelijst Zoeken naar een app en selecteer vervolgens de app die u wilt implementeren. Selecteer de wizard Start terwijl uw app is geselecteerd.
Upload op de pagina APP-gegevens van de wizard een metagegevensbestand uit uw app of voer handmatig app-gegevens in.
Zorg ervoor dat u de volgende informatie opgeeft:
- De URL van de Assertion Consumer Service. Dit is de URL die uw app gebruikt voor het ontvangen van SAML-asserties van uw IdP.
- Een SAML-certificaat, als uw app er een biedt. In dergelijke gevallen selecteert u het gebruik ... De optie SAML-certificaat en upload het certificaatbestand.
Wanneer u klaar bent, selecteert u Volgende om door te gaan.
Volg op de pagina IDENTITY PROVIDER van de wizard de instructies voor het instellen van een nieuwe aangepaste app in de portal van uw IdP.
Notitie
De vereiste stappen kunnen verschillen, afhankelijk van uw IdP. Het is raadzaam om de externe configuratie uit te voeren, zoals beschreven om de volgende redenen:
- Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie/catalogus-app niet wijzigen.
- Wanneer u een aangepaste app configureert, kunt u de app testen met Defender voor Cloud Apps-toegang en sessiebesturingselementen, zonder het bestaande geconfigureerde gedrag van uw organisatie te wijzigen.
Kopieer de configuratiegegevens voor eenmalige aanmelding van uw app voor gebruik verderop in deze procedure. Wanneer u klaar bent, selecteert u Volgende om door te gaan.
Ga door op de pagina IDENTITY PROVIDER van de wizard en upload een metagegevensbestand vanuit uw IdP of voer handmatig app-gegevens in.
Zorg ervoor dat u de volgende informatie opgeeft:
- De URL van de service voor eenmalige aanmelding. Dit is de URL die uw IdP gebruikt voor het ontvangen van aanvragen voor eenmalige aanmelding.
- Een SAML-certificaat, als uw IdP er een biedt. In dergelijke gevallen selecteert u de optie SAML-certificaat van de id-provider gebruiken en uploadt u vervolgens het certificaatbestand.
Ga verder op de pagina IDENTITY PROVIDER van de wizard en kopieer zowel de URL voor eenmalige aanmelding als alle kenmerken en waarden voor gebruik verderop in deze procedure.
Wanneer u klaar bent, selecteert u Volgende om door te gaan.
Blader naar de portal van uw IdP en voer de waarden in die u naar uw IdP-configuratie hebt gekopieerd. Deze instellingen vindt u meestal in het gebied voor aangepaste app-instellingen van uw IdP.
Voer de URL voor eenmalige aanmelding van uw app in die u uit de vorige stap hebt gekopieerd. Sommige providers kunnen verwijzen naar de URL voor eenmalige aanmelding als antwoord-URL.
Voeg de kenmerken en waarden toe die u uit de vorige stap hebt gekopieerd naar de eigenschappen van de app. Sommige providers kunnen ernaar verwijzen als gebruikerskenmerken of -claims.
Als uw kenmerken zijn beperkt tot 1024 tekens voor nieuwe apps, maakt u eerst de app zonder de relevante kenmerken en voegt u deze daarna toe door de app te bewerken.
Controleer of uw naam-id de indeling van een e-mailadres heeft.
Zorg ervoor dat u uw instellingen opslaat wanneer u klaar bent.
Kopieer in Defender voor Cloud Apps op de pagina APP CHANGES van de wizard de URL voor eenmalige aanmelding van SAML en download het SAML-certificaat Microsoft Defender voor Cloud Apps SAML. De SAML-URL voor eenmalige aanmelding is een aangepaste URL voor uw app wanneer deze wordt gebruikt met Defender voor Cloud Apps-app-beheer voor voorwaardelijke toegang.
Blader naar de portal van uw app en configureer de instellingen voor eenmalige aanmelding als volgt:
- (Aanbevolen) Maak een back-up van uw huidige instellingen.
- Vervang de veldwaarde voor de aanmeldings-URL van de id-provider door de URL voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u uit de vorige stap hebt gekopieerd. De specifieke naam voor dit veld kan verschillen, afhankelijk van uw app.
- Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u in de vorige stap hebt gedownload.
- Zorg ervoor dat u uw wijzigingen opslaat.
Selecteer Voltooien in de wizard om de configuratie te voltooien.
Nadat u de instellingen voor eenmalige aanmelding van uw app hebt opgeslagen met de waarden die zijn aangepast door Defender voor Cloud Apps, worden alle bijbehorende aanmeldingsaanvragen naar de app gerouteerd via Defender voor Cloud Apps en app-beheer voor voorwaardelijke toegang.
Notitie
Het DEFENDER VOOR CLOUD Apps SAML-certificaat is 1 jaar geldig. Nadat deze is verlopen, moet u een nieuwe genereren en uploaden.
Meld u aan bij uw app met behulp van een gebruiker binnen het bereik van het beleid
Nadat u uw toegangs- of sessiebeleid hebt gemaakt, meldt u zich aan bij elke app die in het beleid is geconfigureerd. Zorg ervoor dat u zich voor het eerst hebt afgemeld bij alle bestaande sessies en dat u zich aanmeldt met een gebruiker die is geconfigureerd in het beleid.
Defender voor Cloud Apps synchroniseert uw beleidsdetails naar de servers voor elke nieuwe app waar u zich aanmeldt. Dit kan een minuut duren.
Zie voor meer informatie:
- Toegangsbeleid voor Microsoft Defender voor Cloud Apps maken
- Sessiebeleid voor Microsoft Defender voor Cloud Apps maken
Controleren of apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebesturingselementen
In deze procedure wordt beschreven hoe u kunt controleren of uw apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebesturingselementen in Defender voor Cloud Apps en deze instellingen zo nodig configureren.
Notitie
Hoewel u de instellingen voor sessiebeheer voor een app niet kunt verwijderen, wordt er geen gedrag gewijzigd totdat u een sessie- of toegangsbeleid hebt geconfigureerd voor de app.
Selecteer in Microsoft Defender XDR instellingen > voor apps die zijn verbonden met cloud-apps > > app-beheerapps voor voorwaardelijke toegang.
Zoek in de tabel met apps naar uw app en controleer de kolomwaarde van het IDP-type . Zorg ervoor dat de niet-MS-verificatie-app en het sessiebesturingselement voor uw app worden weergegeven.
Gerelateerde inhoud
- Apps beveiligen met app-beheer voor voorwaardelijke toegang van Microsoft Defender voor Cloud-apps
- App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft-id-providers
- Problemen met toegangs- en sessiebesturingselementen oplossen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.