Udostępnij za pośrednictwem


Dołączanie aplikacji katalogu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego

Kontrola dostępu i sesji w aplikacjach Microsoft Defender dla Chmury współdziała zarówno z katalogiem, jak i aplikacjami niestandardowymi. Podczas gdy aplikacje Microsoft Entra ID są automatycznie dołączane do korzystania z kontroli aplikacji dostępu warunkowego, jeśli pracujesz z dostawcą tożsamości innej niż Microsoft, musisz ręcznie dołączyć aplikację.

W tym artykule opisano sposób konfigurowania dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury. Integracja dostawcy tożsamości z aplikacją Defender dla Chmury Apps automatycznie dołącza wszystkie aplikacje katalogu z dostawcy tożsamości do kontroli aplikacji dostępu warunkowego.

Wymagania wstępne

  • Aby móc korzystać z kontroli dostępu warunkowego, organizacja musi mieć następujące licencje:

    • Licencja wymagana przez rozwiązanie dostawcy tożsamości
    • Microsoft Defender for Cloud Apps
  • Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

  • Aplikacje muszą być skonfigurowane przy użyciu protokołu uwierzytelniania SAML 2.0.

Pełne wykonywanie i testowanie procedur opisanych w tym artykule wymaga skonfigurowania zasad sesji lub dostępu. Aby uzyskać więcej informacji, zobacz:

Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury

W tej procedurze opisano sposób kierowania sesji aplikacji z innych rozwiązań dostawcy tożsamości do Defender dla Chmury Apps.

Aby skonfigurować dostawcę tożsamości do pracy z aplikacjami Defender dla Chmury:

  1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje > w chmurze Połączone aplikacje> aplikacje kontroli dostępu warunkowego aplikacji.

  2. Na stronie Aplikacje kontroli dostępu warunkowego aplikacji wybierz pozycję + Dodaj.

  3. W oknie dialogowym Dodawanie aplikacji SAML z dostawcą tożsamości wybierz listę rozwijaną Wyszukaj aplikację, a następnie wybierz aplikację, którą chcesz wdrożyć. Po wybraniu aplikacji wybierz pozycję Uruchom kreatora.

  4. Na stronie INFORMACJE O aplikacji kreatora przekaż plik metadanych z aplikacji lub wprowadź dane aplikacji ręcznie.

    Upewnij się, że podaj następujące informacje:

    • Adres URL usługi assertion consumer service. Jest to adres URL używany przez aplikację do odbierania asercji SAML od dostawcy tożsamości.
    • Certyfikat SAML, jeśli aplikacja go udostępnia. W takich przypadkach wybierz pozycję Użyj ... Opcja certyfikatu SAML, a następnie przekaż plik certyfikatu.

    Po zakończeniu wybierz przycisk Dalej , aby kontynuować.

  5. Na stronie DOSTAWCA TOŻSAMOŚCI kreatora postępuj zgodnie z instrukcjami, aby skonfigurować nową aplikację niestandardową w portalu dostawcy tożsamości.

    Uwaga

    Wymagane kroki mogą się różnić w zależności od dostawcy tożsamości. Zalecamy wykonanie konfiguracji zewnętrznej zgodnie z opisem z następujących powodów:

    • Niektórzy dostawcy tożsamości nie zezwalają na zmianę atrybutów SAML ani właściwości adresu URL aplikacji galerii/katalogu.
    • Podczas konfigurowania aplikacji niestandardowej możesz przetestować aplikację przy użyciu kontroli dostępu do aplikacji Defender dla Chmury i kontroli sesji bez zmiany istniejącego skonfigurowanego zachowania organizacji.

    Skopiuj informacje o konfiguracji logowania jednokrotnego aplikacji, aby użyć ich w dalszej części tej procedury. Po zakończeniu wybierz przycisk Dalej , aby kontynuować.

  6. Kontynuuj pracę na stronie DOSTAWCA TOŻSAMOŚCI kreatora, przekaż plik metadanych z dostawcy tożsamości lub wprowadź dane aplikacji ręcznie.

    Upewnij się, że podaj następujące informacje:

    • Adres URL usługi logowania jednokrotnego. Jest to adres URL używany przez dostawcę tożsamości do odbierania żądań logowania jednokrotnego.
    • Certyfikat SAML, jeśli dostawca tożsamości go udostępnia. W takich przypadkach wybierz opcję Użyj certyfikatu SAML dostawcy tożsamości, a następnie przekaż plik certyfikatu.
  7. Kontynuuj na stronie DOSTAWCA TOŻSAMOŚCI kreatora, skopiuj zarówno adres URL logowania jednokrotnego, jak i wszystkie atrybuty i wartości do użycia w dalszej części tej procedury.

    Gdy wszystko będzie gotowe, wybierz przycisk Dalej , aby kontynuować.

  8. Przejdź do portalu dostawcy tożsamości i wprowadź wartości skopiowane do konfiguracji dostawcy tożsamości. Zazwyczaj te ustawienia znajdują się w obszarze niestandardowych ustawień aplikacji dostawcy tożsamości.

    1. Wprowadź adres URL logowania jednokrotnego aplikacji skopiowany z poprzedniego kroku. Niektórzy dostawcy mogą odwoływać się do adresu URL logowania jednokrotnego jako adresu URL odpowiedzi.

    2. Dodaj atrybuty i wartości skopiowane z poprzedniego kroku do właściwości aplikacji. Niektórzy dostawcy mogą odwoływać się do nich jako atrybuty użytkownika lub oświadczenia.

      Jeśli atrybuty są ograniczone do 1024 znaków dla nowych aplikacji, najpierw utwórz aplikację bez odpowiednich atrybutów i dodaj je później, edytując aplikację.

    3. Sprawdź, czy identyfikator nazwy jest w formacie adresu e-mail.

    4. Pamiętaj, aby zapisać ustawienia po zakończeniu.

  9. Po powrocie do aplikacji Defender dla Chmury na stronie ZMIANY aplikacji kreatora skopiuj adres URL logowania jednokrotnego SAML i pobierz certyfikat SAML aplikacji Microsoft Defender dla Chmury Apps. Adres URL logowania jednokrotnego SAML jest dostosowanym adresem URL aplikacji w przypadku użycia z kontrolą aplikacji dostępu warunkowego Defender dla Chmury Apps.

  10. Przejdź do portalu aplikacji i skonfiguruj ustawienia logowania jednokrotnego w następujący sposób:

    1. (Zalecane) Utwórz kopię zapasową bieżących ustawień.
    2. Zastąp wartość pola Adres URL logowania dostawcy tożsamości adresem URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps skopiowanym z poprzedniego kroku. Określona nazwa tego pola może się różnić w zależności od aplikacji.
    3. Przekaż certyfikat SAML aplikacji Defender dla Chmury pobrany w poprzednim kroku.
    4. Pamiętaj, aby zapisać zmiany.
  11. W kreatorze wybierz pozycję Zakończ , aby ukończyć konfigurację.

Po zapisaniu ustawień logowania jednokrotnego aplikacji z wartościami dostosowanymi przez aplikacje Defender dla Chmury wszystkie skojarzone żądania logowania do aplikacji są kierowane mimo Defender dla Chmury aplikacje i kontrola dostępu warunkowego.

Uwaga

Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez 1 rok. Po wygaśnięciu należy wygenerować i przekazać nowy.

Zaloguj się do aplikacji przy użyciu użytkownika objętego zakresem zasad

Po utworzeniu zasad dostępu lub sesji zaloguj się do każdej aplikacji skonfigurowanej w zasadach. Upewnij się, że użytkownik najpierw wylogował się ze wszystkich istniejących sesji i zalogował się przy użyciu użytkownika skonfigurowanego w zasadach.

Defender dla Chmury Aplikacje będą synchronizować szczegóły zasad z serwerami dla każdej nowej aplikacji, do której się logujesz. Może to potrwać do jednej minuty.

Aby uzyskać więcej informacji, zobacz:

Sprawdź, czy aplikacje są skonfigurowane do używania kontroli dostępu i sesji

W tej procedurze opisano, jak sprawdzić, czy aplikacje są skonfigurowane do używania kontroli dostępu i sesji w usłudze Defender dla Chmury Apps i w razie potrzeby skonfigurować te ustawienia.

Uwaga

Chociaż nie można usunąć ustawień kontroli sesji dla aplikacji, żadne zachowanie nie zostanie zmienione do momentu skonfigurowania zasad sesji lub dostępu dla aplikacji.

  1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje w chmurze Połączone aplikacje> aplikacje > kontroli dostępu warunkowego.

  2. W tabeli apps wyszukaj aplikację i sprawdź wartość kolumny Typ dostawcy tożsamości. Upewnij się, że aplikacja uwierzytelniania innego niż MS i kontrolka sesji są wyświetlane dla aplikacji.

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.