App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft-id-providers

Notitie

Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft 365 Defender, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige reactiemogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft 365 Defender voor meer informatie.

Sessiebesturingselementen in Microsoft Defender voor Cloud Apps kunnen worden geconfigureerd voor gebruik met web-apps. In dit artikel wordt beschreven hoe u aangepaste Line-Of-Business-apps, niet-aanbevolen SaaS-apps en on-premises apps kunt onboarden en implementeren die worden gehost via de Azure Active Directory -toepassingsproxy met sessiebesturingselementen. Het biedt stappen voor het routeren van app-sessies van andere IdP-oplossingen naar Defender voor Cloud Apps. Zie App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met behulp van Azure Active Directory voor Azure AD.

Zie Apps beveiligen met Defender voor Cloud App-beheer voor voorwaardelijke toegang voor apps voor een lijst met apps die door Defender voor Cloud Apps worden aanbevolen.

Vereisten

Beheerders toevoegen aan de lijst met onboarding/onderhoud van apps

1. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer onder App-beheer voor voorwaardelijke toegang de optie App-onboarding/-onderhoud.

3. Voer de principal-naam of het e-mailadres van de gebruiker in voor de gebruikers die de app onboarden en selecteer Opslaan.

   

Controleren op de benodigde licenties

• Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

  • De licentie die is vereist voor uw id-provideroplossing (IdP)
  • Microsoft Defender for Cloud Apps

• Apps moeten worden geconfigureerd met eenmalige aanmelding

• Apps moeten gebruikmaken van de volgende verificatieprotocollen:

  IdP	Protocollen
  Anders	SAML 2.0

Een app implementeren

Volg deze stappen om een app te configureren die wordt beheerd door app-beheer voor Defender voor Cloud apps voor voorwaardelijke toegang.

1. Uw IdP configureren voor gebruik met Defender voor Cloud Apps

2. De app configureren die u implementeert

3. Controleer of de app correct werkt

4. De app inschakelen voor gebruik in uw organisatie

Notitie

Als u app-beheer voor voorwaardelijke toegang voor Azure AD-apps wilt implementeren, hebt u een geldige licentie nodig voor Azure Active Directory Premium P1 of hoger, evenals een Defender voor Cloud Apps-licentie.

Stap 1: Uw IdP configureren voor gebruik met Defender voor Cloud-apps

Notitie

Zie voor voorbeelden van het configureren van IdP-oplossingen:

• Uw PingOne IdP configureren
• Uw AD FS IdP configureren
• Uw Okta IdP configureren

1. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

3. Selecteer +Toevoegen en selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens de wizard Start.

4. Vul op de pagina APP-GEGEVENS het formulier in met behulp van de gegevens van de configuratiepagina voor eenmalige aanmelding van uw app en selecteer vervolgens Volgende.

   • Als uw IdP een metagegevensbestand voor eenmalige aanmelding voor de geselecteerde app biedt, selecteert u Metagegevensbestand uploaden in de app en uploadt u het metagegevensbestand.
   • U kunt ook handmatig gegevens invullen selecteren en de volgende informatie opgeven:
     • URL voor assertion-consumentenservice
     • Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.

   

5. Gebruik op de pagina ID-PROVIDER de opgegeven stappen om een nieuwe toepassing in te stellen in de portal van uw IdP en selecteer vervolgens Volgende.

   1. Ga naar de portal van uw IdP en maak een nieuwe aangepaste SAML-app.
   2. Kopieer de configuratie van eenmalige aanmelding van de bestaande <app_name> app naar de nieuwe aangepaste app.
   3. Gebruikers toewijzen aan de nieuwe aangepaste app.
   4. Kopieer de configuratiegegevens voor eenmalige aanmelding van apps. U hebt deze nodig in de volgende stap.

   

   Notitie

   Deze stappen kunnen enigszins verschillen, afhankelijk van uw id-provider. Deze stap wordt aanbevolen om de volgende redenen:

   • Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie-app niet wijzigen
   • Door een aangepaste app te configureren, kunt u deze toepassing testen met toegangs- en sessiebesturingselementen zonder het bestaande gedrag voor uw organisatie te wijzigen.

6. Vul op de volgende pagina het formulier in met behulp van de gegevens van de configuratiepagina voor eenmalige aanmelding van uw app en selecteer vervolgens Volgende.

   • Als uw IdP een metagegevensbestand voor eenmalige aanmelding voor de geselecteerde app biedt, selecteert u Metagegevensbestand uploaden in de app en uploadt u het metagegevensbestand.
   • U kunt ook handmatig gegevens invullen selecteren en de volgende informatie opgeven:
     • URL voor assertion-consumentenservice
     • Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.

   

7. Kopieer op de volgende pagina de volgende informatie en selecteer Volgende. U hebt de informatie in de volgende stap nodig.

   • URL voor eenmalige aanmelding
   • Kenmerken en waarden

   

8. Ga als volgt te werk in de portal van uw IdP:

   Notitie

   De instellingen vindt u meestal op de pagina met aangepaste app-instellingen van de IdP-portal.

   1. Aanbevolen : maak een back-up van uw huidige instellingen.

   2. Vervang de veldwaarde voor eenmalige aanmeldings-URL door de url voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u eerder hebt genoteerd.

      Notitie

      Sommige providers kunnen verwijzen naar de URL voor eenmalige aanmelding als antwoord-URL.

   3. Voeg de kenmerken en waarden toe die u eerder hebt genoteerd aan de eigenschappen van de app.

      Notitie

      • Sommige providers kunnen ernaar verwijzen als gebruikerskenmerken of -claims.
      • Bij het maken van een nieuwe SAML-app beperkt de Okta Identity Provider kenmerken tot 1024 tekens. Als u deze beperking wilt beperken, maakt u eerst de app zonder de relevante kenmerken. Nadat u de app hebt gemaakt, bewerkt u deze en voegt u vervolgens de relevante kenmerken toe.

   4. Controleer of de naam-id de indeling van het e-mailadres heeft.

   5. Sla uw instellingen op.

9. Ga op de pagina APP-WIJZIGINGEN als volgt te werk en selecteer vervolgens Volgende. U hebt de informatie in de volgende stap nodig.

   • De URL voor eenmalige aanmelding kopiëren
   • Het SAML-certificaat voor Defender voor Cloud-apps downloaden

   

10. Ga in de portal van uw app als volgt te werk in de instellingen voor eenmalige aanmelding:

    1. Aanbevolen : maak een back-up van uw huidige instellingen.
    2. Voer in het veld Eenmalige aanmeldings-URL de Defender voor Cloud Apps-URL voor eenmalige aanmelding in die u eerder hebt genoteerd.
    3. Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u eerder hebt gedownload.

    Notitie

    • Nadat u uw instellingen hebt opgeslagen, worden alle bijbehorende aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.
    • Het DEFENDER VOOR CLOUD Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.

Stap 2: De app handmatig toevoegen en certificaten installeren, indien nodig

Toepassingen in de app-catalogus worden automatisch ingevuld in de tabel onder Verbinding maken ed Apps. Controleer of de app die u wilt implementeren, wordt herkend door daar te navigeren.

1. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer onder Verbinding maken apps app-beheerapps voor voorwaardelijke toegang voor toegang tot een tabel met toepassingen die kunnen worden geconfigureerd met toegangs- en sessiebeleid.

   

3. Selecteer de app: selecteer apps... vervolgkeuzemenu om te filteren en te zoeken naar de app die u wilt implementeren.

   

4. Als u de app daar niet ziet, moet u deze handmatig toevoegen.

Handmatig een niet-geïdentificeerde app toevoegen

1. Selecteer nieuwe apps weergeven in de banner.

   

2. Selecteer in de lijst met nieuwe apps voor elke app die u onboarding uitvoert het + teken en selecteer vervolgens Toevoegen.

   Notitie

   Als een app niet wordt weergegeven in de app-catalogus Defender voor Cloud Apps, wordt deze weergegeven in het dialoogvenster onder niet-geïdentificeerde apps, samen met de aanmeldings-URL. Wanneer u op het plusteken voor deze apps klikt, kunt u de toepassing onboarden als een aangepaste app.

   

Domeinen voor een app toevoegen

Door de juiste domeinen aan een app te koppelen, kunnen Defender voor Cloud apps beleidsregels en controleactiviteiten afdwingen.

Als u bijvoorbeeld een beleid hebt geconfigureerd dat het downloaden van bestanden voor een gekoppeld domein blokkeert, worden bestandsdownloads door de app van dat domein geblokkeerd. Bestandsdownloads door de app van domeinen die niet aan de app zijn gekoppeld, worden echter niet geblokkeerd en de actie wordt niet gecontroleerd in het activiteitenlogboek.

Notitie

Defender voor Cloud Apps voegt nog steeds een achtervoegsel toe aan domeinen die niet aan de app zijn gekoppeld om een naadloze gebruikerservaring te garanderen.

1. Selecteer Gedetecteerde domeinen in de app op de werkbalk Defender voor Cloud Apps-beheerder.

   Notitie

   De beheerwerkbalk is alleen zichtbaar voor gebruikers met machtigingen voor onboarding of onderhoud van apps.

2. Noteer in het deelvenster Gedetecteerde domeinen een notitie van domeinnamen of exporteer de lijst als een CSV-bestand.

   Notitie

   In het deelvenster wordt een lijst weergegeven met gedetecteerde domeinen die niet aan de app zijn gekoppeld. De domeinnamen zijn volledig gekwalificeerd.

3. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.
4. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
5. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en selecteer vervolgens App bewerken.

   Fooi

   Als u de lijst met domeinen wilt weergeven die in de app zijn geconfigureerd, selecteert u App-domeinen weergeven.

6. Voer in door de gebruiker gedefinieerde domeinen alle domeinen in die u aan deze app wilt koppelen en selecteer Opslaan.

   Notitie

   U kunt het jokerteken * gebruiken als tijdelijke aanduiding voor elk teken. Wanneer u domeinen toevoegt, bepaalt u of u specifieke domeinen (,sub2.contoso.com) of meerdere domeinen (sub1.contoso.com) wilt toevoegen (*.contoso.com).

Basiscertificaten installeren

1. Herhaal de volgende stappen om de huidige CA en de volgende zelfondertekende basiscertificaten te installeren.

   1. Selecteer het certificaat.
   2. Selecteer Openen en selecteer opnieuw openen wanneer u hierom wordt gevraagd.
   3. Selecteer Certificaat installeren.
   4. Kies huidige gebruiker of lokale computer.
   5. Selecteer Alle certificaten in het volgende archief plaatsen en selecteer Vervolgens Bladeren.
   6. Selecteer Vertrouwde basiscertificeringsinstanties en selecteer vervolgens OK.
   7. Klik op Voltooien.

   Notitie

   Als u het certificaat hebt geïnstalleerd, moet u de browser opnieuw opstarten en naar dezelfde pagina gaan om de certificaten te kunnen herkennen.

2. Selecteer Continue.

3. Controleer of de toepassing beschikbaar is in de tabel.

   

Stap 3: Controleren of de app correct werkt

Als u wilt controleren of de toepassing wordt geproxied, moet u eerst een harde afmelding van browsers uitvoeren die zijn gekoppeld aan de toepassing of een nieuwe browser openen met de incognitomodus.

Open de toepassing en voer de volgende controles uit:

• Controleer of de URL het .mcas achtervoegsel bevat
• Ga naar alle pagina's in de app die deel uitmaken van het werkproces van een gebruiker en controleer of de pagina's correct worden weergegeven.
• Controleer of het gedrag en de functionaliteit van de app niet nadelig worden beïnvloed door veelvoorkomende acties uit te voeren, zoals het downloaden en uploaden van bestanden.
• Bekijk de lijst met domeinen die zijn gekoppeld aan de app. Zie De domeinen voor de app toevoegen voor meer informatie.

Als u fouten of problemen ondervindt, gebruikt u de werkbalk Beheerder om resources te verzamelen, zoals .har bestanden en opgenomen sessies voor het indienen van een ondersteuningsticket.

Stap 4: De app inschakelen voor gebruik in uw organisatie

Wanneer u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.

1. Selecteer Instellingen in de Microsoft 365 Defender-portal. Kies vervolgens Cloud Apps.

2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

3. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.

4. Selecteer De app gebruiken met sessiebesturingselementen en selecteer Opslaan.

   

Volgende stappen

« VORIGE: App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps

VOLGENDE: Een sessiebeleid maken »

Zie ook

Inleiding tot app-beheer voor voorwaardelijke toegang

Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.