App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met Microsoft Entra-id

  • Artikel

Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met toepassingen uit de cloud-app-catalogus en met aangepaste toepassingen. Zie Apps beveiligen met app-beheer voor voorwaardelijke toegang Defender voor Cloud Apps voor voorwaardelijke toegang voor een lijst met apps die vooraf zijn voorbereid en werken.

Vereisten

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten een van de volgende verificatieprotocollen gebruiken:

    IdP Protocollen
    Microsoft Entra ID SAML 2.0 of OpenID Verbinding maken
    Overige SAML 2.0

De integratie van Microsoft Entra-id configureren

Notitie

Wanneer u een toepassing configureert met eenmalige aanmelding in Microsoft Entra ID of andere id-providers, is het ene veld dat optioneel kan worden vermeld, de instelling voor de aanmeldings-URL. Houd er rekening mee dat dit veld mogelijk vereist is om app-beheer voor voorwaardelijke toegang te laten werken.

Gebruik de volgende stappen om een Beleid voor voorwaardelijke toegang van Microsoft Entra te maken waarmee app-sessies worden gerouteerd naar Defender voor Cloud Apps. Zie Integratie met andere IdP-oplossingen configureren met andere IdP-oplossingen.

  1. Blader in Microsoft Entra-id naar voorwaardelijke toegang voor beveiliging>.

  2. Selecteer in het deelvenster Voorwaardelijke toegang op de werkbalk bovenaan nieuw beleid -> Nieuw beleid maken.

  3. Voer in het tekstvak Naam in het deelvenster Nieuw de beleidsnaam in.

  4. Selecteer onder Toewijzingen gebruikers- of workloadidentiteiten en wijs de gebruikers en groepen toe die de app onboarden (initiële aanmelding en verificatie).

  5. Selecteer onder Toewijzingen cloud-apps of -acties en wijs de apps en acties toe die u wilt beheren met app-beheer voor voorwaardelijke toegang.

  6. Selecteer onder Toegangsbeheer sessie, selecteer App-beheer voor voorwaardelijke toegang gebruiken en kies een ingebouwd beleid (alleen bewaken (preview) of Downloads blokkeren (preview)) of aangepast beleid gebruiken om een geavanceerd beleid in te stellen in Defender voor Cloud Apps en selecteer vervolgens Selecteren.

    Schermopname van de pagina Voorwaardelijke toegang van Microsoft Entra.

  7. U kunt desgewenst voorwaarden toevoegen en besturingselementen verlenen.

  8. Stel Beleid inschakelen in op Aan en selecteer vervolgens Maken.

Notitie

Voordat u doorgaat, moet u zich eerst afmelden bij bestaande sessies.

Nadat u het beleid hebt gemaakt, meldt u zich aan bij elke app die in dat beleid is geconfigureerd. Zorg ervoor dat u zich aanmeldt met behulp van een gebruiker die is geconfigureerd in het beleid.

Defender voor Cloud Apps synchroniseert uw beleidsdetails naar de servers voor elke nieuwe app waar u zich aanmeldt. Dit kan een minuut duren.

Controleer of toegangs- en sessiebesturingselementen zijn geconfigureerd

De voorgaande instructies hebben u geholpen bij het maken van een ingebouwd Defender voor Cloud-appsbeleid voor catalogus-apps rechtstreeks in Microsoft Entra ID. In deze stap controleert u of de toegangs- en sessiebesturingselementen zijn geconfigureerd voor deze apps.

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps. Bekijk de kolom Beschikbare besturingselementen en controleer of zowel toegangsbeheer als voorwaardelijke toegang van Azure AD en sessiebeheer voor uw apps worden weergegeven.

    Als de app niet is ingeschakeld voor sessiebeheer, voegt u deze toe door Onboarding te selecteren met sessiebeheer en deze app te controleren met sessiebesturingselementen. Voorbeeld:

    Schermopname van onboarding met sessiebeheer.

Uw app inschakelen voor gebruik in productie

Wanneer u klaar bent, wordt in deze procedure beschreven hoe u de app inschakelt voor gebruik in de productieomgeving van uw organisatie.

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.

  3. Selecteer De app inschakelen om te werken aan sessiebesturingselementen en selecteer Vervolgens Opslaan. Voorbeeld:

    Schermopname van de app Deze app bewerken? Dialoogvenster.

  4. Meld u eerst af bij bestaande sessies. Meld u vervolgens aan bij elke app die is geïmplementeerd. Meld u aan met een gebruiker die overeenkomt met het beleid dat is geconfigureerd in Microsoft Entra-id of voor een SAML-app die is geconfigureerd met uw id-provider.

  5. Selecteer in de Microsoft Defender-portal onder Cloud Apps het activiteitenlogboek en zorg ervoor dat de aanmeldingsactiviteiten voor elke app worden vastgelegd.

  6. U kunt filteren door Geavanceerd te selecteren en vervolgens te filteren met bron is gelijk aan toegangsbeheer. Voorbeeld:

    Schermopname van filteren met voorwaardelijke toegang van Microsoft Entra.

  7. U wordt aangeraden u aan te melden bij mobiele apps en desktop-apps vanaf beheerde en onbeheerde apparaten. Dit is om ervoor te zorgen dat de activiteiten correct worden vastgelegd in het activiteitenlogboek.

    Als u wilt controleren of de activiteit juist is vastgelegd, selecteert u een aanmeldingsactiviteit voor eenmalige aanmelding, zodat de activiteitlade wordt geopend. Zorg ervoor dat de gebruikersagenttag correct aangeeft of het apparaat een systeemeigen client is (wat betekent een mobiele app of desktop-app) of dat het apparaat een beheerd apparaat is (compatibel, lid van domein of geldig clientcertificaat).

Notitie

Nadat deze is geïmplementeerd, kunt u een app niet verwijderen van de pagina App-beheer voor voorwaardelijke toegang. Zolang u geen sessie- of toegangsbeleid voor de app instelt, verandert het app-beheer voor voorwaardelijke toegang geen gedrag voor de app.

Volgende stappen

« VORIGE: Inleiding tot app-beheer voor voorwaardelijke toegang

VOLGENDE: App-beheer voor voorwaardelijke toegang implementeren voor elke app »

Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.