App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met behulp van Azure Active Directory

Notitie

  • We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Sessiebesturingselementen in Microsoft Defender for Cloud Apps kunnen worden geconfigureerd voor gebruik met web-apps. In dit artikel wordt beschreven hoe u aangepaste Line-Of-Business-apps, niet-aanbevolen SaaS-apps en on-premises apps kunt onboarden en implementeren die worden gehost via azure Active Directory (Azure AD) toepassingsproxy met sessiebesturingselementen. Het biedt stappen voor het maken van een Azure AD beleid voor voorwaardelijke toegang waarmee app-sessies worden gerouteerd naar Defender for Cloud Apps. Zie App Control voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft IdP voor andere IdP-oplossingen.

Zie Apps beveiligen met App Control voor voorwaardelijke toegang van Defender for Cloud Apps voor een lijst met apps die door Defender for Cloud Apps worden aanbevolen.

Vereisten

Beheerders toevoegen aan de lijst met onboarding/onderhoud van apps

  1. Selecteer in de menubalk van Defender for Cloud Apps het tandwielpictogram instellingen 4 selecteer Instellingen.

  2. Selecteer onder App-beheer voor voorwaardelijke toegang de optie App-onboarding/onderhoud.

  3. Voer de principal-naam of e-mail van de gebruiker in voor de gebruikers die de app onboarden en selecteer Vervolgens Opslaan.

    Schermopname van instellingen voor app-onboarding en -onderhoud.

Controleren op de benodigde licenties

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten een van de volgende verificatieprotocollen gebruiken:

    IdP Protocollen
    Azure AD SAML 2.0 of OpenID Connect

Een app implementeren

Volg de onderstaande stappen om een app te configureren die moet worden beheerd door Defender for Cloud Apps Conditional Access App Control.

Notitie

Als u App Control voor voorwaardelijke toegang voor Azure AD-apps wilt implementeren, hebt u een geldige licentie nodig voor Azure Active Directory Premium P1 of hoger en een Defender for Cloud Apps-licentie.

Azure AD configureren voor gebruik met Defender for Cloud Apps

Notitie

Wanneer u een toepassing configureert met eenmalige aanmelding in Azure AD of andere id-providers, is één veld dat kan worden vermeld als optioneel, de instelling voor de aanmeldings-URL. Houd er rekening mee dat dit veld mogelijk vereist is om app-beheer voor voorwaardelijke toegang te laten werken.

  1. Blader in Azure AD naarvoorwaardelijke toegang voor beveiliging>.

  2. Selecteer in het deelvenster Voorwaardelijke toegang op de werkbalk bovenaan het nieuwe beleid - >Nieuw beleid maken.

  3. Voer in het tekstvak Naam in het deelvenster Nieuw de naam van het beleid in.

  4. Selecteer onder Toewijzingen gebruikers- of workloadidentiteiten, wijs de gebruikers toe die de app onboarden (initiële aanmelding en verificatie) en selecteer Vervolgens Gereed.

  5. Selecteer onder Toewijzingen Cloud-apps of -acties, wijs de apps toe die u wilt beheren met App Control voor voorwaardelijke toegang en selecteer Vervolgens Gereed.

  6. Selecteer onder Toegangsbeheersessie, selecteer App-beheer voor voorwaardelijke toegang gebruiken en kies een ingebouwd beleid (alleen controleren of downloads blokkeren) of aangepast beleid gebruiken om een geavanceerd beleid in Defender voor Cloud Apps in te stellen en klik vervolgens op Selecteren.

    Azure AD voorwaardelijke toegang.

  7. U kunt desgewenst voorwaarden toevoegen en besturingselementen verlenen zoals vereist.

  8. Stel Beleid inschakelen in op Aan en selecteer Vervolgens Maken.

Toepassingen in de app-catalogus worden automatisch ingevuld in de tabel onder Verbonden apps. Controleer of de app die u wilt implementeren, wordt herkend door daar te navigeren.

  1. Selecteer in de menubalk van Defender voor Cloud Apps het tandwielpictogram instellingen 1 instellingenpictogram 1 en selecteer het tabblad App-beheer voor voorwaardelijke toegang om toegang te krijgen tot een tabel met toepassingen die kunnen worden geconfigureerd met toegangs- en sessiebeleid.

    Onboarden met sessiebeheer.

    Apps voor app-beheer voor voorwaardelijke toegang

  2. Selecteer de app: Selecteer apps... vervolgkeuzemenu om te filteren en te zoeken naar de app die u wilt implementeren.

    App selecteren: Apps selecteren om naar de app te zoeken

  3. Als u de app daar niet ziet, moet u deze handmatig toevoegen.

Handmatig een niet-geïdentificeerde app toevoegen

  1. Selecteer nieuwe apps weergeven in de banner.

    App-beheer voor voorwaardelijke toegang weergeven nieuwe apps

  2. Selecteer in de lijst met nieuwe apps voor elke app die u onboarding uitvoert het + teken en selecteer vervolgens Toevoegen.

    Notitie

    Als een app niet wordt weergegeven in de catalogus van de Defender for Cloud Apps-app, wordt deze weergegeven in het dialoogvenster onder niet-geïdentificeerde apps, samen met de aanmeldings-URL. Wanneer u op het plusteken voor deze apps klikt, kunt u de toepassing onboarden als een aangepaste app.

    App-beheer voor voorwaardelijke toegang gedetecteerd Azure AD-apps

Door de juiste domeinen aan een app te koppelen, kan Defender for Cloud Apps beleidsregels en controleactiviteiten afdwingen.

Als u bijvoorbeeld een beleid hebt geconfigureerd waarmee het downloaden van bestanden voor een gekoppeld domein wordt geblokkeerd, worden bestandsdownloads door de app van dat domein geblokkeerd. Bestandsdownloads door de app vanuit domeinen die niet aan de app zijn gekoppeld, worden echter niet geblokkeerd en de actie wordt niet gecontroleerd in het activiteitenlogboek.

Notitie

Defender voor Cloud Apps voegt nog steeds een achtervoegsel toe aan domeinen die niet aan de app zijn gekoppeld om een naadloze gebruikerservaring te garanderen.

  1. Selecteer Gedetecteerde domeinen in de app op de beheerwerkbalk van Defender for Cloud Apps.

    Notitie

    De werkbalk Beheerder is alleen zichtbaar voor gebruikers met machtigingen voor onboarding of onderhoud van apps.

  2. Noteer in het deelvenster Gedetecteerde domeinen een notitie van domeinnamen of exporteer de lijst als een .csv-bestand.

    Notitie

    In het deelvenster wordt een lijst weergegeven met gedetecteerde domeinen die niet zijn gekoppeld aan de app. De domeinnamen zijn volledig gekwalificeerd.

  3. Ga naar Defender voor Cloud Apps, selecteer in de menubalk het tandwielinstellingenpictogram 2 instellingenpictogram 2 en selecteer App-beheer voor voorwaardelijke toegang.

  4. Kies in de lijst met apps, in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies Vervolgens onder APP DETAILS de optie Bewerken.

    Tip

    Als u de lijst met domeinen wilt weergeven die in de app zijn geconfigureerd, selecteert u App-domeinen weergeven.

  5. Voer in door de gebruiker gedefinieerde domeinen alle domeinen in die u aan deze app wilt koppelen en selecteer vervolgens Opslaan.

    Notitie

    U kunt het jokerteken * gebruiken als tijdelijke aanduiding voor elk teken. Wanneer u domeinen toevoegt, moet u bepalen of u specifieke domeinen (,sub2.contoso.com) of meerdere domeinen (sub1.contoso.com) wilt toevoegen.*.contoso.com

  6. Herhaal de volgende stappen om de huidige CA en de volgende zelfondertekende basiscertificaten te installeren.

    1. Selecteer het certificaat.

    2. Selecteer Openenen selecteer opnieuw openen wanneer u hierom wordt gevraagd.

    3. Selecteer Certificaat installeren.

    4. Kies huidige gebruiker of lokale computer.

    5. Selecteer Alle certificaten in het volgende archief plaatsen en selecteer Vervolgens Bladeren.

    6. Selecteer Vertrouwde basiscertificaatinstanties en selecteer vervolgens OK.

    7. Selecteer Finish.

      Notitie

    Als u het certificaat hebt geïnstalleerd, moet u de browser opnieuw opstarten en naar dezelfde pagina gaan om de certificaten te kunnen herkennen.< -- U ziet een vinkje door de bevestiging van de certificatenkoppelingen dat ze zijn geïnstalleerd.--

  7. Selecteer Doorgaan.

  8. Controleer of de toepassing beschikbaar is in de tabel.

    Onboarden met sessiebeheer.

Als u wilt controleren of de toepassing wordt geproxied, voert u eerst een harde afmelding uit van browsers die zijn gekoppeld aan de toepassing of opent u een nieuwe browser met de incognitomodus.

Open de toepassing en voer de volgende controles uit:

  • Controleer of de URL het .mcas achtervoegsel bevat
  • Ga naar alle pagina's in de app die deel uitmaken van het werkproces van een gebruiker en controleer of de pagina's correct worden weergegeven.
  • Controleer of het gedrag en de functionaliteit van de app niet nadelig worden beïnvloed door algemene acties uit te voeren, zoals het downloaden en uploaden van bestanden.
  • Bekijk de lijst met domeinen die zijn gekoppeld aan de app.

Als u fouten of problemen ondervindt, gebruikt u de werkbalk beheerder om resources zoals .har bestanden en opgenomen sessies te verzamelen voor het indienen van een ondersteuningsticket.

Wanneer u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.

  1. Selecteer in Defender voor Cloud Apps het tandwielinstellingenpictogram 3 en selecteer vervolgens App-beheer voor voorwaardelijke toegang.
  2. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.
  3. Selecteer De app gebruiken met sessiebesturingselementen en selecteer Vervolgens Opslaan.
  4. Selecteer in Azure AD onder Beveiliging de optie Voorwaardelijke toegang.
  5. Werk het beleid dat u eerder hebt gemaakt bij om de relevante gebruikers, groepen en besturingselementen op te nemen die u nodig hebt.
  6. Ga onderApp-beheer voor voorwaardelijke toegang voor sessiegebruik>, als u Aangepast beleid gebruiken hebt geselecteerd, naar Defender voor Cloud Apps en maak een corresponderend sessiebeleid. Zie Sessiebeleidsregels voor meer informatie.

Volgende stappen

Zie ook

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.