App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met niet-Microsoft IdP
Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met toepassingen uit de cloud-app-catalogus en met aangepaste toepassingen. Zie Apps beveiligen met app-beheer voor voorwaardelijke toegang Defender voor Cloud Apps voor een lijst met apps die vooraf zijn voorbereid door Defender voor Cloud Apps.
Vereisten
Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:
- De licentie die is vereist voor uw id-provideroplossing (IdP)
- Microsoft Defender for Cloud Apps
Apps moeten worden geconfigureerd met eenmalige aanmelding
Apps moeten een van de volgende verificatieprotocollen gebruiken:
IdP Protocollen Microsoft Entra ID SAML 2.0 of OpenID Verbinding maken Overige SAML 2.0
Uw IdP configureren voor gebruik met Defender voor Cloud Apps
Gebruik de volgende stappen om app-sessies van andere IdP-oplossingen te routeren naar Defender voor Cloud Apps. Zie Integratie met Microsoft Entra-id configureren voor Microsoft Entra-id.
Notitie
Zie voor voorbeelden van het configureren van IdP-oplossingen:
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
Selecteer + Toevoegen en selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens de wizard Start.
Vul op de pagina APP-GEGEVENS het formulier in met behulp van de gegevens van de configuratiepagina voor eenmalige aanmelding van uw app en selecteer vervolgens Volgende.
Als uw IdP een metagegevensbestand voor eenmalige aanmelding voor de geselecteerde app biedt, selecteert u Metagegevensbestand uploaden in de app en uploadt u het metagegevensbestand.
U kunt ook handmatig gegevens invullen selecteren en de volgende informatie opgeven:
- URL voor assertion-consumentenservice
- Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.
Voorbeeld:
Gebruik op de pagina ID-PROVIDER de opgegeven stappen om een nieuwe toepassing in te stellen in de portal van uw IdP en selecteer vervolgens Volgende.
Ga naar de portal van uw IdP en maak een nieuwe aangepaste SAML-app.
Kopieer de configuratie van eenmalige aanmelding van de bestaande
<app_name>app naar de nieuwe aangepaste app.Gebruikers toewijzen aan de nieuwe aangepaste app.
Kopieer de configuratiegegevens voor eenmalige aanmelding van apps. U hebt deze nodig in de volgende stap. Voorbeeld:
Notitie
Deze stappen kunnen enigszins verschillen, afhankelijk van uw id-provider. Deze stap wordt aanbevolen om de volgende redenen:
Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie-app niet wijzigen.
Door een aangepaste app te configureren, kunt u deze toepassing testen met toegangs- en sessiebesturingselementen zonder het bestaande gedrag voor uw organisatie te wijzigen.
Vul op de volgende pagina het formulier in met behulp van de gegevens van de configuratiepagina voor eenmalige aanmelding van uw app en selecteer vervolgens Volgende.
Als uw IdP een metagegevensbestand voor eenmalige aanmelding voor de geselecteerde app biedt, selecteert u Metagegevensbestand uploaden in de app en uploadt u het metagegevensbestand.
U kunt ook handmatig gegevens invullen selecteren en de volgende informatie opgeven:
- URL voor assertion-consumentenservice
- Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.
Voorbeeld:
Kopieer op de volgende pagina de volgende informatie en selecteer Volgende. U hebt de informatie in de volgende stap nodig.
- URL voor eenmalige aanmelding
- Kenmerken en waarden
Voorbeeld:
Configureer in de portal van uw IdP de volgende instellingen, die vaak worden gevonden op de pagina aangepaste app-instellingen van de IdP-portal.
Voer in het veld Eenmalige aanmeldings-URL de URL voor eenmalige aanmelding in die u eerder hebt genoteerd.
Voeg de kenmerken en waarden toe die u eerder hebt genoteerd aan de eigenschappen van de app. Sommige providers kunnen ernaar verwijzen als gebruikerskenmerken of -claims.
Bij het maken van een nieuwe SAML-app beperkt de Okta Identity Provider kenmerken tot 1024 tekens. Als u deze beperking wilt beperken, maakt u eerst de app zonder de relevante kenmerken. Nadat u de app hebt gemaakt, bewerkt u deze en voegt u vervolgens de relevante kenmerken toe.
Controleer of de naam-id de indeling van het e-mailadres heeft.
Sla uw instellingen op.
Ga op de pagina APP-WIJZIGINGEN als volgt te werk en selecteer vervolgens Volgende. U hebt de informatie in de volgende stap nodig.
- De URL voor eenmalige aanmelding kopiëren
- Het SAML-certificaat voor Defender voor Cloud-apps downloaden
Voorbeeld:
Ga in de portal van uw app als volgt te werk in de instellingen voor eenmalige aanmelding:
(Aanbevolen) Maak een back-up van uw huidige instellingen.
Vervang de veldwaarde voor aanmeldings-URL van id-provider door de url voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u eerder hebt genoteerd.
Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u eerder hebt gedownload.
Selecteer Opslaan.
Nadat u uw instellingen hebt opgeslagen, worden alle bijbehorende aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.
Het DEFENDER VOOR CLOUD Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.
Meld u aan bij elke app met behulp van een gebruiker binnen het bereik van het beleid
Notitie
Voordat u doorgaat, moet u zich eerst afmelden bij bestaande sessies.
Nadat u het beleid hebt gemaakt, meldt u zich aan bij elke app die in dat beleid is geconfigureerd. Zorg ervoor dat u zich aanmeldt met behulp van een gebruiker die is geconfigureerd in het beleid.
Defender voor Cloud Apps synchroniseert uw beleidsdetails naar de servers voor elke nieuwe app waar u zich aanmeldt. Dit kan een minuut duren.
Controleer of de apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebesturingselementen
De voorgaande instructies hebben u geholpen bij het maken van een ingebouwd Defender voor Cloud-appsbeleid voor catalogus-apps rechtstreeks in Microsoft Entra ID. In deze stap controleert u of de toegangs- en sessiebesturingselementen zijn geconfigureerd voor deze apps.
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
Bekijk in de tabel Met apps de kolom Beschikbare besturingselementen en controleer of toegangsbeheerof voorwaardelijke toegang van Azure AD en sessiebeheer voor uw apps worden weergegeven.
Als de app niet is ingeschakeld voor sessiebeheer, voegt u deze toe door Onboarding te selecteren met sessiebeheer en deze app te controleren met sessiebesturingselementen. Voorbeeld:
De app inschakelen voor gebruik in uw organisatie
Wanneer u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.
Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.
Selecteer De app inschakelen om te werken aan sessiebesturingselementen en selecteer Vervolgens Opslaan. Voorbeeld:
De implementatie testen
Meld u eerst af bij bestaande sessies. Meld u vervolgens aan bij elke app die is geïmplementeerd. Meld u aan met een gebruiker die overeenkomt met het beleid dat is geconfigureerd in Microsoft Entra-id of voor een SAML-app die is geconfigureerd met uw id-provider.
Selecteer in de Microsoft Defender-portal onder Cloud Apps het activiteitenlogboek en zorg ervoor dat de aanmeldingsactiviteiten voor elke app worden vastgelegd.
U kunt filteren door Geavanceerd te selecteren en vervolgens te filteren met bron is gelijk aan toegangsbeheer. Voorbeeld:
U wordt aangeraden u aan te melden bij mobiele apps en desktop-apps vanaf beheerde en onbeheerde apparaten. Dit is om ervoor te zorgen dat de activiteiten correct worden vastgelegd in het activiteitenlogboek.
Als u wilt controleren of de activiteit juist is vastgelegd, selecteert u een aanmeldingsactiviteit voor eenmalige aanmelding, zodat de activiteitlade wordt geopend. Zorg ervoor dat de gebruikersagenttag correct aangeeft of het apparaat een systeemeigen client is (wat betekent een mobiele app of desktop-app) of dat het apparaat een beheerd apparaat is (compatibel, lid van domein of geldig clientcertificaat).
Notitie
Nadat deze is geïmplementeerd, kunt u een app niet verwijderen van de pagina App-beheer voor voorwaardelijke toegang. Zolang u geen sessie- of toegangsbeleid voor de app instelt, verandert het app-beheer voor voorwaardelijke toegang geen gedrag voor de app.
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor