App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met niet-Microsoft IdP

  • Artikel

Notitie

Microsoft Defender voor Cloud Apps maakt nu deel uit van Microsoft Defender XDR, die signalen correleert vanuit de Microsoft Defender-suite en biedt detectie, onderzoek en krachtige responsmogelijkheden op incidentniveau. Zie Microsoft Defender voor Cloud Apps in Microsoft Defender XDR voor meer informatie.

Toegangs- en sessiebesturingselementen in Microsoft Defender voor Cloud-apps werken met toepassingen uit de cloud-app-catalogus en met aangepaste toepassingen. Zie Apps beveiligen met app-beheer voor voorwaardelijke toegang Defender voor Cloud Apps voor een lijst met apps die vooraf zijn voorbereid door Defender voor Cloud-apps.

Vereisten

  • Uw organisatie moet over de volgende licenties beschikken om app-beheer voor voorwaardelijke toegang te kunnen gebruiken:

    • De licentie die is vereist voor uw id-provideroplossing (IdP)
    • Microsoft Defender for Cloud Apps

  • Apps moeten worden geconfigureerd met eenmalige aanmelding

  • Apps moeten een van de volgende verificatieprotocollen gebruiken:

    IdP Protocollen
    Azure AD SAML 2.0 of OpenID Verbinding maken
    Anders SAML 2.0

Catalogus-apps implementeren

Volg deze stappen om catalogus-apps te configureren die worden beheerd door app-beheer voor Microsoft Defender voor Cloud apps voor voorwaardelijke toegang.

Stap 1: Uw IdP configureren voor gebruik met Defender voor Cloud-apps

Stap 2: Meld u aan bij elke app met behulp van een gebruiker binnen het bereik van het beleid

Stap 3: Controleer of de apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebeheer

Stap 4: De app inschakelen voor gebruik in uw organisatie

Stap 5: De implementatie testen

Stap 1: Uw IdP configureren voor gebruik met Defender voor Cloud-apps

Integratie met andere IdP-oplossingen configureren

Gebruik de volgende stappen om app-sessies van andere IdP-oplossingen te routeren naar Defender voor Cloud Apps. Zie Integratie met Azure AD configureren voor Azure AD.

Notitie

Zie voor voorbeelden van het configureren van IdP-oplossingen:

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

  3. Selecteer + Toevoegen en selecteer in het pop-upvenster de app die u wilt implementeren en selecteer vervolgens de wizard Start.

  4. Vul op de pagina APP-GEGEVENS het formulier in met behulp van de gegevens van de configuratiepagina voor eenmalige aanmelding van uw app en selecteer vervolgens Volgende.

    • Als uw IdP een metagegevensbestand voor eenmalige aanmelding voor de geselecteerde app biedt, selecteert u Metagegevensbestand uploaden in de app en uploadt u het metagegevensbestand.
    • U kunt ook handmatig gegevens invullen selecteren en de volgende informatie opgeven:
      • URL voor assertion-consumentenservice
      • Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.

    Screenshot showing app information page.

  5. Gebruik op de pagina ID-PROVIDER de opgegeven stappen om een nieuwe toepassing in te stellen in de portal van uw IdP en selecteer vervolgens Volgende.

    1. Ga naar de portal van uw IdP en maak een nieuwe aangepaste SAML-app.
    2. Kopieer de configuratie van eenmalige aanmelding van de bestaande <app_name> app naar de nieuwe aangepaste app.
    3. Gebruikers toewijzen aan de nieuwe aangepaste app.
    4. Kopieer de configuratiegegevens voor eenmalige aanmelding van apps. U hebt deze nodig in de volgende stap.

    Screenshot showing gather identity provider information page.

    Notitie

    Deze stappen kunnen enigszins verschillen, afhankelijk van uw id-provider. Deze stap wordt aanbevolen om de volgende redenen:

    • Bij sommige id-providers kunt u de SAML-kenmerken of URL-eigenschappen van een galerie-app niet wijzigen
    • Door een aangepaste app te configureren, kunt u deze toepassing testen met toegangs- en sessiebesturingselementen zonder het bestaande gedrag voor uw organisatie te wijzigen.

  6. Vul op de volgende pagina het formulier in met behulp van de gegevens van de configuratiepagina voor eenmalige aanmelding van uw app en selecteer vervolgens Volgende.

    • Als uw IdP een metagegevensbestand voor eenmalige aanmelding voor de geselecteerde app biedt, selecteert u Metagegevensbestand uploaden in de app en uploadt u het metagegevensbestand.
    • U kunt ook handmatig gegevens invullen selecteren en de volgende informatie opgeven:
      • URL voor assertion-consumentenservice
      • Als uw app een SAML-certificaat biedt, selecteert u App_name SAML-certificaat gebruiken <> en uploadt u het certificaatbestand.

    Screenshot showing enter identity provider information page.

  7. Kopieer op de volgende pagina de volgende informatie en selecteer Volgende. U hebt de informatie in de volgende stap nodig.

    • URL voor eenmalige aanmelding
    • Kenmerken en waarden

    Screenshot showing gather identity providers SAML information page.

  8. Ga als volgt te werk in de portal van uw IdP:

    Notitie

    De instellingen worden meestal gevonden op de pagina aangepaste app-instellingen van de IdP-portal

    1. Voer in het veld Eenmalige aanmeldings-URL de URL voor eenmalige aanmelding in die u eerder hebt genoteerd.

      Notitie

      Sommige providers kunnen verwijzen naar de URL voor eenmalige aanmelding als antwoord-URL.

    2. Voeg de kenmerken en waarden toe die u eerder hebt genoteerd aan de eigenschappen van de app.

      Notitie

      • Sommige providers kunnen ernaar verwijzen als gebruikerskenmerken of -claims.
      • Bij het maken van een nieuwe SAML-app beperkt de Okta Identity Provider kenmerken tot 1024 tekens. Als u deze beperking wilt beperken, maakt u eerst de app zonder de relevante kenmerken. Nadat u de app hebt gemaakt, bewerkt u deze en voegt u vervolgens de relevante kenmerken toe.
    3. Controleer of de naam-id de indeling van het e-mailadres heeft.
    4. Sla uw instellingen op.

  9. Ga op de pagina APP-WIJZIGINGEN als volgt te werk en selecteer vervolgens Volgende. U hebt de informatie in de volgende stap nodig.

    • De URL voor eenmalige aanmelding kopiëren
    • Het SAML-certificaat voor Defender voor Cloud-apps downloaden

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  10. Ga in de portal van uw app als volgt te werk in de instellingen voor eenmalige aanmelding:

    1. [Aanbevolen] Maak een back-up van uw huidige instellingen.
    2. Vervang de veldwaarde voor aanmeldings-URL van id-provider door de url voor eenmalige aanmelding van Defender voor Cloud Apps SAML die u eerder hebt genoteerd.
    3. Upload het DEFENDER VOOR CLOUD Apps SAML-certificaat dat u eerder hebt gedownload.
    4. Selecteer Opslaan.

    Notitie

    • Nadat u uw instellingen hebt opgeslagen, worden alle bijbehorende aanmeldingsaanvragen naar deze app doorgestuurd via app-beheer voor voorwaardelijke toegang.
    • Het DEFENDER VOOR CLOUD Apps SAML-certificaat is één jaar geldig. Nadat het is verlopen, moet er een nieuw certificaat worden gegenereerd.

Stap 2: Meld u aan bij elke app met behulp van een gebruiker binnen het bereik van het beleid

Notitie

Voordat u doorgaat, moet u zich eerst afmelden bij bestaande sessies.

Nadat u het beleid hebt gemaakt, meldt u zich aan bij elke app die in dat beleid is geconfigureerd. Zorg ervoor dat u zich aanmeldt met behulp van een gebruiker die is geconfigureerd in het beleid.

Defender voor Cloud Apps synchroniseert uw beleidsdetails naar de servers voor elke nieuwe app waar u zich aanmeldt. Dit kan een minuut duren.

Stap 3: Controleer of de apps zijn geconfigureerd voor het gebruik van toegangs- en sessiebeheer

De voorgaande instructies hebben u geholpen bij het maken van een ingebouwd Defender voor Cloud Apps-beleid voor catalogus-apps rechtstreeks in Azure AD. In deze stap controleert u of de toegangs- en sessiebesturingselementen zijn geconfigureerd voor deze apps.

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

  3. Bekijk in de tabel Met apps de kolom Beschikbare besturingselementen en controleer of toegangsbeheerof voorwaardelijke toegang van Azure AD en sessiebeheer voor uw apps worden weergegeven.

    Notitie

    Als de app niet is ingeschakeld voor sessiebeheer, kunt u deze toevoegen door Onboarding te selecteren met sessiebeheer en deze app te controleren met sessiebesturingselementen. Onboard with session control.

Stap 4: De app inschakelen voor gebruik in uw organisatie

Wanneer u klaar bent om de app in te schakelen voor gebruik in de productieomgeving van uw organisatie, voert u de volgende stappen uit.

  1. Selecteer Instellingen in de Microsoft Defender-portal. Kies vervolgens Cloud Apps.

  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps. Kies in de lijst met apps in de rij waarin de app die u implementeert, de drie puntjes aan het einde van de rij en kies vervolgens App bewerken.

  3. Selecteer De app gebruiken met sessiebesturingselementen en selecteer Opslaan.

    Edit this app dialogue.

Stap 5: De implementatie testen

  1. Meld u eerst af bij bestaande sessies. Meld u vervolgens aan bij elke app die is geïmplementeerd. Meld u aan met behulp van een gebruiker die overeenkomt met het beleid dat is geconfigureerd in Azure AD of voor een SAML-app die is geconfigureerd met uw id-provider.

  2. Selecteer in de Microsoft Defender-portal onder Cloud Apps het activiteitenlogboek en zorg ervoor dat de aanmeldingsactiviteiten voor elke app worden vastgelegd.

  3. U kunt filteren door Geavanceerd te selecteren en vervolgens te filteren met bron is gelijk aan toegangsbeheer.

    Filter using Azure AD conditional access.

  4. Het is raadzaam u aan te melden bij mobiele en desktop-apps vanaf beheerde en onbeheerde apparaten. Dit is om ervoor te zorgen dat de activiteiten correct worden vastgelegd in het activiteitenlogboek.
    Als u wilt controleren of de activiteit juist is vastgelegd, selecteert u een aanmeldingsactiviteit voor eenmalige aanmelding, zodat de activiteitlade wordt geopend. Zorg ervoor dat de gebruikersagenttag correct aangeeft of het apparaat een systeemeigen client is (wat betekent een mobiele app of desktop-app) of dat het apparaat een beheerd apparaat is (compatibel, lid van domein of geldig clientcertificaat).

Notitie

Nadat deze is geïmplementeerd, kunt u een app niet verwijderen van de pagina App-beheer voor voorwaardelijke toegang. Zolang u geen sessie- of toegangsbeleid voor de app instelt, verandert het app-beheer voor voorwaardelijke toegang geen gedrag voor de app.

Volgende stappen

« VORIGE: Inleiding tot app-beheer voor voorwaardelijke toegang

VOLGENDE: App-beheer voor voorwaardelijke toegang implementeren voor elke app »

Problemen met toegangs- en sessiebesturingselementen oplossen

Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.