App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met behulp van Microsoft Entra ID

  • Artikel

Sessiebesturingselementen in Microsoft Defender voor Cloud Apps kunnen worden geconfigureerd voor gebruik met web-apps. In dit artikel wordt beschreven hoe u aangepaste Line-Of-Business-apps, niet-aanbevolen SaaS-apps en on-premises apps kunt onboarden en implementeren die worden gehost via de Microsoft Entra-toepassingsproxy met sessiebesturingselementen. Het biedt stappen voor het maken van een Beleid voor voorwaardelijke toegang van Microsoft Entra waarmee app-sessies worden gerouteerd naar Defender voor Cloud Apps. Zie App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft IdP voor andere IdP-oplossingen.

Zie Apps beveiligen met Defender voor Cloud App-beheer voor voorwaardelijke toegang voor apps voor een lijst met apps die door Defender voor Cloud Apps worden aanbevolen.

Vereisten

Voordat u het onboardingproces start, moet u het volgende doen:

Beheerders toevoegen aan de lijst met onboarding/onderhoud van apps

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer onder App-beheer voor voorwaardelijke toegang de optie App-onboarding/-onderhoud.

  3. Voer de principal-naam of het e-mailadres van de gebruiker in voor de gebruikers die de app onboarden en selecteer Opslaan.

    Screenshot of settings for App onboarding and maintenance.

Controleren op de benodigde licenties

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten een van de volgende verificatieprotocollen gebruiken:

    IdP Protocollen
    Microsoft Entra ID SAML 2.0 of OpenID Verbinding maken

Een app implementeren

Als u een toepassing wilt onboarden die moet worden beheerd door het beheer van voorwaardelijke toegang van Defender voor Cloud-apps, moet u het volgende doen:

Volg de onderstaande stappen om een app te configureren die wordt beheerd door app-beheer voor Defender voor Cloud apps voor voorwaardelijke toegang.

Notitie

Als u app-beheer voor voorwaardelijke toegang voor Microsoft Entra-apps wilt implementeren, hebt u een geldige licentie nodig voor Microsoft Entra ID P1 of hoger, evenals een Defender voor Cloud Apps-licentie.

Microsoft Entra-id configureren voor gebruik met Defender voor Cloud-apps

Notitie

Wanneer u een toepassing configureert met eenmalige aanmelding in Microsoft Entra ID of andere id-providers, is het ene veld dat optioneel kan worden vermeld, de instelling voor de aanmeldings-URL. Houd er rekening mee dat dit veld mogelijk vereist is om app-beheer voor voorwaardelijke toegang te laten werken.

  1. Blader in Microsoft Entra-id naar voorwaardelijke toegang voor beveiliging>.

  2. Selecteer in het deelvenster Voorwaardelijke toegang op de werkbalk bovenaan nieuw beleid -> Nieuw beleid maken.

  3. Voer in het tekstvak Naam in het deelvenster Nieuw de beleidsnaam in.

  4. Selecteer onder Toewijzingen gebruikers- of workloadidentiteiten, wijs de gebruikers toe die de app onboarden (initiële aanmelding en verificatie) en selecteer vervolgens Gereed.

  5. Selecteer onder Toewijzingen cloud-apps of -acties, wijs de apps toe die u wilt beheren met app-beheer voor voorwaardelijke toegang en selecteer vervolgens Gereed.

  6. Selecteer onder Toegangsbeheer sessie, selecteer App-beheer voor voorwaardelijke toegang gebruiken en kies een ingebouwd beleid (alleen controleren of downloads blokkeren) of Aangepast beleid gebruiken om een geavanceerd beleid in te stellen in Defender voor Cloud Apps en klik vervolgens op Selecteren.

    Microsoft Entra Conditional Access.

  7. U kunt desgewenst voorwaarden toevoegen en besturingselementen verlenen.

  8. Stel Beleid inschakelen in op Aan en selecteer vervolgens Maken.

Toepassingen in de app-catalogus worden automatisch ingevuld in de tabel onder Verbinding maken ed Apps. Meld u af bij de toepassing als u een actieve sessie hebt en meld u opnieuw aan om ervoor te zorgen dat de app kan worden gedetecteerd. Controleer of de app die u wilt implementeren, wordt herkend door daar te navigeren.

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer onder Verbinding maken apps app-beheerapps voor voorwaardelijke toegang voor toegang tot een tabel met toepassingen die kunnen worden geconfigureerd met toegangs- en sessiebeleid.

    Conditional access app control apps.

  3. Selecteer de app: selecteer apps... vervolgkeuzemenu om te filteren en te zoeken naar de app die u wilt implementeren.

    Select App: Select apps to search for the app.

  4. Als u de app daar niet ziet, moet u deze handmatig toevoegen.

Handmatig een niet-geïdentificeerde app toevoegen

  1. Selecteer nieuwe apps weergeven in de banner.

    Conditional access app control view new apps.

  2. Selecteer in de lijst met nieuwe apps voor elke app die u onboarding uitvoert het + teken en selecteer vervolgens Toevoegen.

    Notitie

    Als een app niet wordt weergegeven in de app-catalogus Defender voor Cloud Apps, wordt deze weergegeven in het dialoogvenster onder niet-geïdentificeerde apps, samen met de aanmeldings-URL. Wanneer u op het plusteken voor deze apps klikt, kunt u de toepassing onboarden als een aangepaste app.

    Conditional access app control discovered Microsoft Entra apps.

Door de juiste domeinen aan een app te koppelen, kunnen Defender voor Cloud apps beleidsregels en controleactiviteiten afdwingen.

Als u bijvoorbeeld een beleid hebt geconfigureerd dat het downloaden van bestanden voor een gekoppeld domein blokkeert, worden bestandsdownloads door de app van dat domein geblokkeerd. Bestandsdownloads door de app van domeinen die niet aan de app zijn gekoppeld, worden echter niet geblokkeerd en de actie wordt niet gecontroleerd in het activiteitenlogboek.

Notitie

Defender voor Cloud Apps voegt nog steeds een achtervoegsel toe aan domeinen die niet aan de app zijn gekoppeld om een naadloze gebruikerservaring te garanderen.

  1. Selecteer Gedetecteerde domeinen in de app op de werkbalk Defender voor Cloud Apps-beheerder.

    Select Discovered domains.

    Notitie

    De beheerwerkbalk is alleen zichtbaar voor gebruikers met machtigingen voor onboarding of onderhoud van apps.

  2. Noteer domeinnamen in het deelvenster Gedetecteerde domeinen of exporteer de lijst als een .csv-bestand.

    Notitie

    In het deelvenster wordt een lijst weergegeven met gedetecteerde domeinen die niet aan de app zijn gekoppeld. De domeinnamen zijn volledig gekwalificeerd.

  3. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  4. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

  5. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en selecteer vervolgens App bewerken.

    Edit app details.

    Tip

    Als u de lijst met domeinen wilt weergeven die in de app zijn geconfigureerd, selecteert u App-domeinen weergeven.

    • Door de gebruiker gedefinieerde domeinen: Domeinen die zijn gekoppeld aan de toepassing. Ga naar de toepassing en u kunt de Beheer werkbalk gebruiken om de domeinen te identificeren die aan de toepassing zijn gekoppeld en te bepalen of een van deze domeinen ontbreekt. Houd er rekening mee dat een ontbrekend domein ertoe kan leiden dat de beveiligde toepassing niet correct wordt weergegeven.

    • Toegangstoken behandelen als aanmeldingsaanvragen: sommige toepassingen gebruiken toegangstokens en codeaanvragen als app-aanmeldingen. Dit biedt de mogelijkheid om toegangstokens en codeaanvragen te behandelen als aanmeldingen bij het onboarden van apps voor toegang tot en sessiebeheer voor de toepassing om correct te worden weergegeven. Zorg er bij het onboarden van de toepassing altijd voor dat dit is aangevinkt.

    • App gebruiken met sessiebeheer: als u wilt toestaan dat deze app wordt gebruikt of niet wordt gebruikt met sessiebesturingselementen. Zorg er bij het onboarden van de toepassing altijd voor dat dit wordt aangevinkt.

    • Een tweede aanmelding uitvoeren: als de toepassing een niet-ce gebruikt, is een tweede aanmelding nodig om rekening te houden met niet-verwerking. De niet-aanmelding of tweede aanmelding wordt door toepassingen gebruikt om ervoor te zorgen dat het aanmeldingstoken dat door de IdP voor de gebruiker wordt gemaakt, slechts eenmaal kan worden gebruikt en niet wordt gestolen en opnieuw gebruikt door iemand anders. De nonce wordt gecontroleerd door de serviceprovider om overeen te komen met wat het verwachtte, en niet iets wat het onlangs heeft gebruikt, wat kan duiden op een herhalingsaanval. Wanneer dit wordt gekozen, zorgen we ervoor dat een tweede aanmelding wordt geactiveerd vanuit een achtervoegselsessie, wat zorgt voor een geslaagde aanmelding. Voor betere prestaties moet dit zijn ingeschakeld.

      Perform a second login.

  6. Voer in door de gebruiker gedefinieerde domeinen alle domeinen in die u aan deze app wilt koppelen en selecteer Opslaan.

    Notitie

    U kunt het jokerteken * gebruiken als tijdelijke aanduiding voor elk teken. Wanneer u domeinen toevoegt, bepaalt u of u specifieke domeinen (,sub2.contoso.com) of meerdere domeinen (sub1.contoso.com) wilt toevoegen (*.contoso.com). Dit wordt alleen ondersteund voor specifieke domeinen (*.contoso.com) en niet voor domeinen op het hoogste niveau (*.com).

  7. Herhaal de volgende stappen om de huidige CA en de volgende zelfondertekende basiscertificaten te installeren.

    1. Selecteer het certificaat.
    2. Selecteer Openen en selecteer opnieuw openen wanneer u hierom wordt gevraagd.
    3. Selecteer Certificaat installeren.
    4. Kies huidige gebruiker of lokale computer.
    5. Selecteer Alle certificaten in het volgende archief plaatsen en selecteer Vervolgens Bladeren.
    6. Selecteer Vertrouwde basiscertificeringsinstanties en selecteer vervolgens OK.
    7. Klik op Voltooien.

    Notitie

    Als u het certificaat hebt geïnstalleerd, moet u de browser opnieuw opstarten en naar dezelfde pagina gaan om de certificaten te kunnen herkennen.

  8. Selecteer Doorgaan.

  9. Controleer of de toepassing beschikbaar is in de tabel.

    Onboard with session control.

Als u wilt controleren of de toepassing is beveiligd, moet u eerst een harde afmelding uitvoeren bij browsers die zijn gekoppeld aan de toepassing of een nieuwe browser openen met de incognitomodus.

Open de toepassing en voer de volgende controles uit:

  • Controleer of het vergrendelingspictogram wordt weergegeven in uw browser of als u in een andere browser dan Microsoft Edge werkt, controleert u of de URL van uw app het .mcas achtervoegsel bevat. Zie In-browserbeveiliging met Microsoft Edge voor Bedrijven (preview) voor meer informatie.
  • Ga naar alle pagina's in de app die deel uitmaken van het werkproces van een gebruiker en controleer of de pagina's correct worden weergegeven.
  • Controleer of het gedrag en de functionaliteit van de app niet nadelig worden beïnvloed door veelvoorkomende acties uit te voeren, zoals het downloaden en uploaden van bestanden.
  • Bekijk de lijst met domeinen die zijn gekoppeld aan de app.

Als u fouten of problemen ondervindt, gebruikt u de werkbalk Beheerder om resources te verzamelen, zoals .har bestanden en opgenomen sessies voor het indienen van een ondersteuningsticket.

Wanneer u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.
  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
  3. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.
  4. Selecteer De app gebruiken met sessiebesturingselementen en selecteer Opslaan.
  5. Selecteer in Microsoft Entra ID onder Beveiliging de optie Voorwaardelijke toegang.
  6. Werk het beleid bij dat u eerder hebt gemaakt om de relevante gebruikers, groepen en besturingselementen op te nemen die u nodig hebt.
  7. Ga onder App-beheer voor voorwaardelijke toegang voor sessiegebruik>, als u Aangepast beleid gebruiken hebt geselecteerd, naar Defender voor Cloud Apps en maak een bijbehorend sessiebeleid. Zie Sessiebeleidsregels voor meer informatie.

Volgende stappen

VORIGE: App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps

VOLGENDE: Een sessiebeleid maken

Zie ook

Inleiding tot app-beheer voor voorwaardelijke toegang

Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.