Aangepaste apps van niet-Microsoft IdP onboarden voor app-beheer voor voorwaardelijke toegang

Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met zowel catalogus- als aangepaste apps. Hoewel Microsoft Entra ID-apps automatisch worden voorbereid voor het gebruik van app-beheer voor voorwaardelijke toegang, moet u uw app handmatig onboarden als u met een niet-Microsoft IdP werkt.

In dit artikel wordt beschreven hoe u uw IdP configureert voor gebruik met Defender voor Cloud Apps en vervolgens ook handmatig elke aangepaste app onboardt. Catalogus-apps van een niet-Microsoft IdP worden daarentegen automatisch onboarding uitgevoerd wanneer u de integratie tussen uw IdP en Defender voor Cloud-apps configureert.

Vereisten

• Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • De licentie die is vereist voor uw id-provideroplossing (IdP)
  • Microsoft Defender for Cloud Apps

• Apps moeten worden geconfigureerd met eenmalige aanmelding

• Apps moeten worden geconfigureerd met het SAML 2.0-verificatieprotocol.

Beheerders toevoegen aan de onboarding-/onderhoudslijst van uw app

1. In Microsoft Defender XDR selecteert u App-onboarding>/onderhoud voor app-beheer voor voorwaardelijke toegang > in Cloud Apps>.

2. Voer de gebruikersnamen of e-mailberichten in van alle gebruikers die uw app gaan onboarden en selecteer Vervolgens Opslaan.

Zie Diagnose en probleemoplossing met de werkbalk Beheerweergave voor meer informatie.

Uw IdP configureren voor gebruik met Defender voor Cloud Apps

In deze procedure wordt beschreven hoe u app-sessies van andere IdP-oplossingen kunt routeren naar Defender voor Cloud Apps.

Tip

De volgende artikelen bevatten gedetailleerde voorbeelden van deze procedure:

• Uw PingOne IdP configureren
• Uw AD FS IdP configureren
• Uw Okta IdP configureren

Uw IdP configureren voor gebruik met Defender voor Cloud Apps:

1. Selecteer in Microsoft Defender XDR instellingen > apps voor app-beheerapps voor voorwaardelijke toegang voor cloud-apps >>.

2. Selecteer + Toevoegen op de pagina App-beheerapps voor voorwaardelijke toegang.

3. Selecteer in het dialoogvenster Een SAML-toepassing toevoegen met uw id-provider de vervolgkeuzelijst Zoeken naar een app en selecteer vervolgens de app die u wilt implementeren. Selecteer de wizard Start terwijl uw app is geselecteerd.

4. Upload op de pagina APP-gegevens van de wizard een metagegevensbestand uit uw app of voer handmatig app-gegevens in.

   Zorg ervoor dat u de volgende informatie opgeeft:

   • De URL van de Assertion Consumer Service. Dit is de URL die uw app gebruikt voor het ontvangen van SAML-asserties van uw IdP.
   • Een SAML-certificaat, als uw app er een biedt. In dergelijke gevallen selecteert u het gebruik ... De optie SAML-certificaat en upload het certificaatbestand.

   Wanneer u klaar bent, selecteert u Volgende om door te gaan.

5. Volg op de pagina IDENTITY PROVIDER van de wizard de instructies voor het instellen van een nieuwe aangepaste app in de portal van uw IdP.

   Notitie

   De vereiste stappen kunnen verschillen, afhankelijk van uw IdP. Het is raadzaam om de externe configuratie uit te voeren, zoals beschreven om de volgende redenen:

   • Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie/catalogus-app niet wijzigen.
   • Wanneer u een aangepaste app configureert, kunt u de app testen met Defender voor Cloud Apps-toegang en sessiebesturingselementen, zonder het bestaande geconfigureerde gedrag van uw organisatie te wijzigen.

   Kopieer de configuratiegegevens voor eenmalige aanmelding van uw app voor gebruik verderop in deze procedure. Wanneer u klaar bent, selecteert u Volgende om door te gaan.

6. Ga door op de pagina IDENTITY PROVIDER van de wizard en upload een metagegevensbestand vanuit uw IdP of voer handmatig app-gegevens in.

   Zorg ervoor dat u de volgende informatie opgeeft:

   • De URL van de service voor eenmalige aanmelding. Dit is de URL die uw IdP gebruikt voor het ontvangen van aanvragen voor eenmalige aanmelding.
   • Een SAML-certificaat, als uw IdP er een biedt. In dergelijke gevallen selecteert u de optie SAML-certificaat van de id-provider gebruiken en uploadt u vervolgens het certificaatbestand.

7. Ga verder op de pagina IDENTITY PROVIDER van de wizard en kopieer zowel de URL voor eenmalige aanmelding als alle kenmerken en waarden voor gebruik verderop in deze procedure.

   Wanneer u klaar bent, selecteert u Volgende om door te gaan.

8. Blader naar de portal van uw IdP en voer de waarden in die u naar uw IdP-configuratie hebt gekopieerd. Deze instellingen vindt u meestal in het gebied voor aangepaste app-instellingen van uw IdP.

   1. Voer de URL voor eenmalige aanmelding van uw app in die u uit de vorige stap hebt gekopieerd. Sommige providers kunnen verwijzen naar de URL voor eenmalige aanmelding als antwoord-URL.

   2. Voeg de kenmerken en waarden toe die u uit de vorige stap hebt gekopieerd naar de eigenschappen van de app. Sommige providers kunnen ernaar verwijzen als gebruikerskenmerken of -claims.

      Als uw kenmerken zijn beperkt tot 1024 tekens voor nieuwe apps, maakt u eerst de app zonder de relevante kenmerken en voegt u deze daarna toe door de app te bewerken.

   3. Controleer of uw naam-id de indeling van een e-mailadres heeft.

   4. Zorg ervoor dat u uw instellingen opslaat wanneer u klaar bent.

9. Kopieer in Defender voor Cloud Apps op de pagina APP CHANGES van de wizard de URL voor eenmalige aanmelding van SAML en download het SAML-certificaat Microsoft Defender voor Cloud Apps SAML. De SAML-URL voor eenmalige aanmelding is een aangepaste URL voor uw app wanneer deze wordt gebruikt met Defender voor Cloud Apps-app-beheer voor voorwaardelijke toegang.

10. Blader naar de portal van uw app en configureer de instellingen voor eenmalige aanmelding als volgt:

    1. (Aanbevolen) Maak een back-up van uw huidige instellingen.
    2. Vervang de veldwaarde voor de aanmeldings-URL van de id-provider door de URL voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u uit de vorige stap hebt gekopieerd. De specifieke naam voor dit veld kan verschillen, afhankelijk van uw app.
    3. Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u in de vorige stap hebt gedownload.
    4. Zorg ervoor dat u uw wijzigingen opslaat.

11. Selecteer Voltooien in de wizard om de configuratie te voltooien.

Nadat u de instellingen voor eenmalige aanmelding van uw app hebt opgeslagen met de waarden die zijn aangepast door Defender voor Cloud Apps, worden alle bijbehorende aanmeldingsaanvragen naar de app gerouteerd via Defender voor Cloud Apps en app-beheer voor voorwaardelijke toegang.

Notitie

Het DEFENDER VOOR CLOUD Apps SAML-certificaat is 1 jaar geldig. Nadat deze is verlopen, moet u een nieuwe genereren.

Onboarding van uw app voor app-beheer voor voorwaardelijke toegang

Als u werkt met een aangepaste app die niet automatisch wordt ingevuld in de app-catalogus, moet u deze handmatig toevoegen.

Ga als volgt te werk om te controleren of uw app al is toegevoegd:

1. Selecteer in Microsoft Defender XDR instellingen > voor apps die zijn verbonden met cloud-apps >> app-beheerapps voor voorwaardelijke toegang.

2. Selecteer de app: selecteer apps... vervolgkeuzemenu om naar uw app te zoeken.

Als uw app al wordt vermeld, gaat u verder met de procedure voor catalogus-apps.

Ga als volgende te werk om uw app handmatig toe te voegen:

1. Als u nieuwe apps hebt, ziet u boven aan de pagina een banner met de melding dat u nieuwe apps hebt om te onboarden. Selecteer de koppeling Nieuwe apps weergeven om deze weer te geven.

2. Zoek uw app in het dialoogvenster Gedetecteerde Azure AD-apps , zoals op basis van de waarde van de aanmeldings-URL . Selecteer de + knop en voeg vervolgens toe om deze als een aangepaste app te onboarden.

Basiscertificaten installeren

Zorg ervoor dat u de juiste huidige CA- of volgende CA-certificaten gebruikt voor elk van uw apps.

Herhaal de volgende stap voor elk certificaat om uw certificaten te installeren:

1. Open en installeer het certificaat, waarbij u huidige gebruiker of lokale computer selecteert.

2. Wanneer u wordt gevraagd waar u uw certificaten wilt plaatsen, bladert u naar vertrouwde basiscertificeringsinstanties.

3. Selecteer OK en Voltooi indien nodig om de procedure te voltooien.

4. Start uw browser opnieuw op, open uw app opnieuw en selecteer Doorgaan wanneer hierom wordt gevraagd.

5. Selecteer in Microsoft Defender XDR instellingen > voor apps voor app-beheer voor voorwaardelijke toegang voor cloud-apps >> en zorg ervoor dat uw app nog steeds wordt vermeld in de tabel.

Zie App wordt niet weergegeven op de pagina App-beheerapps voor voorwaardelijke toegang voor meer informatie.

Gerelateerde inhoud

• Apps beveiligen met app-beheer voor voorwaardelijke toegang van Microsoft Defender voor Cloud-apps
• App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met niet-Microsoft-id's
• Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.