App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met behulp van Azure Active Directory

Notitie

Microsoft Defender for Cloud Apps (voorheen Bekend als Microsoft Cloud App Security) maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender services toe. Microsoft 365 Defender is de basis voor het bewaken en beheren van de beveiliging van uw Microsoft-identiteiten, -gegevens, -apparaten, -apps en -infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Sessiebesturingselementen in Microsoft Defender for Cloud Apps kunnen worden geconfigureerd voor gebruik met web-apps. In dit artikel wordt beschreven hoe u aangepaste Line-Of-Business-apps, niet-aanbevolen SaaS-apps en on-premises apps die worden gehost via de Azure Active Directory(Azure AD) toepassingsproxy met sessiebesturingselementen kunt onboarden en implementeren. Het biedt stappen voor het maken van een Azure AD beleid voor voorwaardelijke toegang waarmee app-sessies worden gerouteerd naar Defender voor Cloud-apps. Zie App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft IdP voor andere IdP-oplossingen.

Zie Apps beveiligen met App-beheer voor voorwaardelijke toegang van Defender voor Cloud-apps voor een lijst met apps die worden aanbevolen door Defender voor Cloud Apps om direct te werken.

Vereisten

Beheerders toevoegen aan de lijst voor onboarding/onderhoud van apps

  1. Selecteer in de menubalk van Defender for Cloud Apps het tandwiel instellingenpictogram 4. en selecteer Instellingen.

  2. Selecteer onder App-beheer voor voorwaardelijke toegangde optie App-onboarding/-onderhoud.

  3. Voer de user principal name of het e-mailadres in voor de gebruikers die de app gaan onboarden en selecteer Opslaan.

    Schermopname van instellingen voor app-onboarding en -onderhoud.

Controleren op benodigde licenties

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten een van de volgende verificatieprotocollen gebruiken:

    IdP Protocollen
    Azure AD SAML 2.0 of OpenID Connect

Een app implementeren

Volg de onderstaande stappen om een app te configureren die moet worden beheerd door App-beheer voor voorwaardelijke toegang van Defender for Cloud Apps.

Notitie

Als u app-beheer voor voorwaardelijke toegang wilt implementeren voor Azure AD-apps, hebt u een geldige licentie voor Azure Active Directory Premium P1 of hoger en een licentie voor Defender voor Cloud-apps nodig.

Azure AD configureren voor gebruik met Defender voor Cloud-apps

Notitie

Bij het configureren van een toepassing met eenmalige aanmelding in Azure AD of andere id-providers is de instelling van de aanmeldings-URL een veld dat als optioneel kan worden vermeld. Houd er rekening mee dat dit veld mogelijk vereist is om app-beheer voor voorwaardelijke toegang te laten werken.

  1. Blader in Azure AD naarVoorwaardelijke toegang voorbeveiliging>.

  2. Selecteer in het deelvenster Voorwaardelijke toegang op de werkbalk bovenaan de optie Nieuw beleid ->Nieuw beleid maken.

  3. Voer in het deelvenster Nieuw in het tekstvak Naam de beleidsnaam in.

  4. Selecteer onder Toewijzingen de optie Gebruikers of workloadidentiteiten, wijs de gebruikers toe die de app gaan onboarden (eerste aanmelding en verificatie) en selecteer vervolgens Gereed.

  5. Selecteer onder Toewijzingen de optie Cloud-apps of -acties, wijs de apps toe die u wilt beheren met App-beheer voor voorwaardelijke toegang en selecteer vervolgens Gereed.

  6. Selecteer onder Besturingselementen voor toegangde optie Sessie, selecteer App-beheer voor voorwaardelijke toegang gebruiken en kies een ingebouwd beleid (alleen downloads bewaken of downloads blokkeren) of Aangepast beleid gebruiken om een geavanceerd beleid in Te stellen in Defender voor Cloud-apps en klik vervolgens op Selecteren.

    Azure AD voorwaardelijke toegang.

  7. Voeg desgewenst voorwaarden toe en toekenningsbesturingselementen indien nodig.

  8. Stel Beleid inschakelen in op Aan en selecteer vervolgens Maken.

Toepassingen in de app-catalogus worden automatisch ingevuld in de tabel onder Verbonden apps. Controleer of de app die u wilt implementeren, wordt herkend door daarheen te navigeren.

  1. Selecteer in de menubalk van Defender voor Cloud-apps het tandwiel instellingenpictogram 1. en selecteer het tabblad App-beheer voor voorwaardelijke toegang voor toegang tot een tabel met toepassingen die kunnen worden geconfigureerd met toegangs- en sessiebeleid.

    Onboarden met sessiebeheer.

    Apps voor voorwaardelijke toegang beheren.

  2. Selecteer de vervolgkeuzelijst App: Apps selecteren... om te filteren en te zoeken naar de app die u wilt implementeren.

    App selecteren: selecteer apps om naar de app te zoeken.

  3. Als u de app daar niet ziet, moet u deze handmatig toevoegen.

Een niet-geïdentificeerde app handmatig toevoegen

  1. Selecteer Nieuwe apps weergeven in de banner.

    App-beheer voor voorwaardelijke toegang: nieuwe apps weergeven.

  2. Selecteer in de lijst met nieuwe apps voor elke app die u onboardt, het + teken en selecteer vervolgens Toevoegen.

    Notitie

    Als een app niet wordt weergegeven in de app-catalogus van Defender voor Cloud-apps, wordt deze weergegeven in het dialoogvenster onder niet-geïdentificeerde apps, samen met de aanmeldings-URL. Wanneer u op het plusteken voor deze apps klikt, kunt u de toepassing onboarden als een aangepaste app.

    App-beheer voor voorwaardelijke toegang gedetecteerd Azure AD apps.

Door de juiste domeinen aan een app te koppelen, kan Defender for Cloud Apps beleidsregels en controleactiviteiten afdwingen.

Als u bijvoorbeeld een beleid hebt geconfigureerd dat het downloaden van bestanden voor een gekoppeld domein blokkeert, worden bestandsdownloads door de app uit dat domein geblokkeerd. Bestandsdownloads door de app vanuit domeinen die niet aan de app zijn gekoppeld, worden echter niet geblokkeerd en de actie wordt niet gecontroleerd in het activiteitenlogboek.

Notitie

Defender for Cloud Apps voegt nog steeds een achtervoegsel toe aan domeinen die niet zijn gekoppeld aan de app om een naadloze gebruikerservaring te garanderen.

  1. Selecteer in de app op de beheerwerkbalk van Defender for Cloud Apps de optie Gedetecteerde domeinen.

    Notitie

    De beheerderswerkbalk is alleen zichtbaar voor gebruikers met machtigingen voor onboarding of onderhoud van apps.

  2. In het deelvenster Gedetecteerde domeinen noteert u domeinnamen of exporteert u de lijst als een .csv-bestand.

    Notitie

    In het deelvenster wordt een lijst met gedetecteerde domeinen weergegeven die niet in de app zijn gekoppeld. De domeinnamen zijn volledig gekwalificeerd.

  3. Ga naar Defender for Cloud Apps, selecteer in de menubalk het tandwiel instellingenpictogram 2 en selecteer App-beheer voor voorwaardelijke toegang.

  4. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens onder APP-DETAILS de optie Bewerken.

    Tip

    Als u de lijst met domeinen wilt weergeven die in de app zijn geconfigureerd, selecteert u App-domeinen weergeven.

  5. Voer in Door de gebruiker gedefinieerde domeinen alle domeinen in die u aan deze app wilt koppelen en selecteer vervolgens Opslaan.

    Notitie

    U kunt het jokerteken * gebruiken als tijdelijke aanduiding voor elk teken. Wanneer u domeinen toevoegt, moet u bepalen of u specifieke domeinen (sub1.contoso.com,sub2.contoso.com) of meerdere domeinen () wilt toevoegen.*.contoso.com

  6. Herhaal de volgende stappen om de zelfondertekende basiscertificaten van de huidige CA en de volgende CA te installeren.

    1. Selecteer het certificaat.
    2. Selecteer Openen en selecteer opnieuw Openen wanneer u hierom wordt gevraagd.
    3. Selecteer Certificaat installeren.
    4. Kies Huidige gebruiker of Lokale computer.
    5. Selecteer Alle certificaten in het volgende archief plaatsen en selecteer vervolgens Bladeren.
    6. Selecteer Vertrouwde basiscertificeringsinstanties en selecteer vervolgens OK.
    7. Selecteer Finish.

    Notitie

    Als u de certificaten wilt herkennen, moet u, nadat u het certificaat hebt geïnstalleerd, de browser opnieuw starten en naar dezelfde pagina gaan.<! -- U ziet een vinkje bij de certificatenkoppelingen die bevestigen dat ze zijn geïnstalleerd.--

  7. Selecteer Doorgaan.

  8. Controleer of de toepassing beschikbaar is in de tabel.

    Onboarden met sessiebeheer.

Als u wilt controleren of de toepassing wordt geproxied, moet u eerst een harde afmelding uitvoeren bij browsers die zijn gekoppeld aan de toepassing of een nieuwe browser openen met de incognitomodus.

Open de toepassing en voer de volgende controles uit:

  • Controleer of de URL het .mcas achtervoegsel bevat
  • Ga naar alle pagina's in de app die deel uitmaken van het werkproces van een gebruiker en controleer of de pagina's correct worden weergegeven.
  • Controleer of het gedrag en de functionaliteit van de app niet nadelig worden beïnvloed door algemene acties uit te voeren, zoals het downloaden en uploaden van bestanden.
  • Bekijk de lijst met domeinen die zijn gekoppeld aan de app.

Als u fouten of problemen ondervindt, gebruikt u de beheerderswerkbalk om resources te verzamelen, zoals .har bestanden en opgenomen sessies voor het indienen van een ondersteuningsticket.

Zodra u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.

  1. Selecteer in Defender voor Cloud-apps het tandwiel instellingenpictogram 3. en selecteer vervolgens App-beheer voor voorwaardelijke toegang.
  2. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.
  3. Selecteer De app gebruiken met sessiebesturingselementen en selecteer vervolgens Opslaan.
  4. Selecteer in Azure AD onder Beveiligingde optie Voorwaardelijke toegang.
  5. Werk het beleid bij dat u eerder hebt gemaakt, zodat de relevante gebruikers, groepen en besturingselementen die u nodig hebt, worden opgenomen.
  6. Als u onderApp-beheer voor voorwaardelijke toegang voor sessiegebruik>de optie Aangepast beleid gebruiken hebt geselecteerd, gaat u naar Defender voor Cloud-apps en maakt u een bijbehorend sessiebeleid. Zie Sessiebeleid voor meer informatie.

Volgende stappen

Zie ook

Als u problemen ondervindt, zijn we er om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.