Wdrażanie kontroli dostępu warunkowego aplikacji dla niestandardowych aplikacji przy użyciu usługi Microsoft Entra ID

  • Artykuł

Kontrolki sesji w usłudze Microsoft Defender dla Chmury Apps można skonfigurować do pracy z dowolnymi aplikacjami internetowymi. W tym artykule opisano sposób dołączania i wdrażania niestandardowych aplikacji biznesowych, nienależących do funkcji SaaS i aplikacji lokalnych hostowanych za pośrednictwem serwera proxy aplikacji Entra firmy Microsoft z kontrolkami sesji. Zawiera on kroki tworzenia zasad dostępu warunkowego firmy Microsoft Entra, które przekierowuje sesje aplikacji do aplikacji Defender dla Chmury Apps. Aby zapoznać się z innymi rozwiązaniami dostawcy tożsamości, zobacz Wdrażanie kontroli dostępu warunkowego aplikacji dla niestandardowych aplikacji z dostawcą tożsamości firmy innej niż Microsoft.

Aby zapoznać się z listą aplikacji polecanych przez usługę Defender dla Chmury Apps, aby pracować bez użycia, zobacz Ochrona aplikacji za pomocą kontroli dostępu warunkowego aplikacji Defender dla Chmury Apps.

Wymagania wstępne

Przed rozpoczęciem procesu dołączania należy wykonać następujące czynności:

Dodawanie administratorów do listy dołączania/konserwacji aplikacji

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.

  3. Wprowadź główną nazwę użytkownika lub adres e-mail dla użytkowników, którzy będą dołączać aplikację, a następnie wybierz pozycję Zapisz.

    Screenshot of settings for App onboarding and maintenance.

Sprawdzanie wymaganych licencji

  • Organizacja musi mieć następujące licencje na korzystanie z kontroli dostępu warunkowego aplikacji:

  • Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

  • Aplikacje muszą używać jednego z następujących protokołów uwierzytelniania:

    Dostawca tożsamości Protokoły
    Microsoft Entra ID Połączenie SAML 2.0 lub OpenID

Aby wdrożyć dowolną aplikację

Aby dołączyć aplikację do kontroli dostępu warunkowego w usłudze Defender dla Chmury Apps, należy wykonać następujące kroki:

Wykonaj poniższe kroki, aby skonfigurować dowolną aplikację do kontrolowania przez kontrolę dostępu warunkowego aplikacji Defender dla Chmury Apps.

Uwaga

Aby wdrożyć kontrolę dostępu warunkowego dla aplikacji Firmy Microsoft Entra, potrzebujesz ważnej licencji dla microsoft Entra ID P1 lub nowszej, a także licencji Defender dla Chmury Apps.

Konfigurowanie identyfikatora Entra firmy Microsoft do pracy z aplikacjami Defender dla Chmury

Uwaga

Podczas konfigurowania aplikacji przy użyciu logowania jednokrotnego w usłudze Microsoft Entra ID lub innych dostawców tożsamości jedno pole, które może być wymienione jako opcjonalne, to ustawienie adresu URL logowania. Należy pamiętać, że to pole może być wymagane do działania kontroli dostępu warunkowego aplikacji.

  1. W usłudze Microsoft Entra ID przejdź do obszaru Dostęp warunkowy zabezpieczeń>.

  2. W okienku Dostęp warunkowy na pasku narzędzi u góry wybierz pozycję Nowe zasady -> Utwórz nowe zasady.

  3. W okienku Nowy w polu tekstowym Nazwa wprowadź nazwę zasad.

  4. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń, przypisz użytkowników, którzy będą dołączać (logowanie początkowe i weryfikacja) aplikacji, a następnie wybierz pozycję Gotowe.

  5. W obszarze Przypisania wybierz pozycję Aplikacje lub akcje w chmurze, przypisz aplikacje, które chcesz kontrolować za pomocą kontroli dostępu warunkowego aplikacji, a następnie wybierz pozycję Gotowe.

  6. W obszarze Kontrola dostępu wybierz pozycję Sesja, wybierz pozycję Użyj kontroli dostępu warunkowego aplikacji, a następnie wybierz wbudowane zasady (monitoruj tylko lub blokuj pobieranie) lub Użyj zasad niestandardowych, aby ustawić zaawansowane zasady w aplikacjach Defender dla Chmury, a następnie kliknij przycisk Wybierz.

    Microsoft Entra Conditional Access.

  7. Opcjonalnie możesz dodać warunki i przyznać kontrolki zgodnie z wymaganiami.

  8. Ustaw pozycję Włącz zasady na Włączone , a następnie wybierz pozycję Utwórz.

Aplikacje w katalogu aplikacji są automatycznie wypełniane w tabeli w obszarze aplikacje Połączenie ed. Wyloguj się z aplikacji, jeśli masz aktywną sesję i zaloguj się ponownie, aby zezwolić na odnajdywanie aplikacji. Sprawdź, czy aplikacja, którą chcesz wdrożyć, jest rozpoznawana, przechodząc tam.

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Połączenie ed apps (Aplikacje kontroli dostępu warunkowego) wybierz pozycję Aplikacje kontroli dostępu warunkowego, aby uzyskać dostęp do tabeli aplikacji, które można skonfigurować przy użyciu zasad dostępu i sesji.

    Conditional access app control apps.

  3. Wybierz menu rozwijane Aplikacja: Wybierz aplikacje..., aby filtrować i wyszukiwać aplikację, którą chcesz wdrożyć.

    Select App: Select apps to search for the app.

  4. Jeśli nie widzisz tam aplikacji, musisz ją ręcznie dodać.

Jak ręcznie dodać niezidentyfikowaną aplikację

  1. Na banerze wybierz pozycję Wyświetl nowe aplikacje.

    Conditional access app control view new apps.

  2. Na liście nowych aplikacji dla każdej dołączanej aplikacji wybierz + znak, a następnie wybierz pozycję Dodaj.

    Uwaga

    Jeśli aplikacja nie jest wyświetlana w katalogu aplikacji Defender dla Chmury Apps, zostanie ona wyświetlona w oknie dialogowym w obszarze niezidentyfikowanych aplikacji wraz z adresem URL logowania. Po kliknięciu znaku + dla tych aplikacji możesz dołączyć aplikację jako aplikację niestandardową.

    Conditional access app control discovered Microsoft Entra apps.

Kojarzenie prawidłowych domen z aplikacją umożliwia Defender dla Chmury Apps wymuszanie zasad i działań inspekcji.

Jeśli na przykład skonfigurowano zasady blokujące pobieranie plików dla skojarzonej domeny, pliki pobrane przez aplikację z tej domeny zostaną zablokowane. Jednak pliki pobrane przez aplikację z domen, które nie są skojarzone z aplikacją, nie zostaną zablokowane, a akcja nie zostanie przeprowadź inspekcji w dzienniku aktywności.

Uwaga

Defender dla Chmury Aplikacje nadal dodaje sufiks do domen, które nie są skojarzone z aplikacją, aby zapewnić bezproblemowe środowisko użytkownika.

  1. Z poziomu aplikacji na pasku narzędzi administratora aplikacji Defender dla Chmury wybierz pozycję Odnalezione domeny.

    Select Discovered domains.

    Uwaga

    Pasek narzędzi administratora jest widoczny tylko dla użytkowników z uprawnieniami do dołączania lub konserwacji aplikacji.

  2. Na panelu Odnalezione domeny zanotuj nazwy domen lub wyeksportuj listę jako plik .csv.

    Uwaga

    Na panelu zostanie wyświetlona lista odnalezionych domen, które nie są skojarzone z aplikacją. Nazwy domen są w pełni kwalifikowane.

  3. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  4. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

  5. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.

    Edit app details.

    Napiwek

    Aby wyświetlić listę domen skonfigurowanych w aplikacji, wybierz pozycję Wyświetl domeny aplikacji.

    • Domeny zdefiniowane przez użytkownika: domeny skojarzone z aplikacją. Przejdź do aplikacji i możesz użyć paska narzędzi Administracja, aby zidentyfikować domeny skojarzone z aplikacją i określić, czy brakuje któregokolwiek z nich. Należy pamiętać, że brakująca domena może spowodować, że chroniona aplikacja nie będzie poprawnie renderowana.

    • Traktuj token dostępu jako żądania logowania: Niektóre aplikacje używają tokenów dostępu i żądań kodu jako identyfikatorów logowania aplikacji. Dzięki temu można traktować token dostępu i żądania kodu jako identyfikatory logowania podczas dołączania aplikacji w celu uzyskania dostępu do aplikacji i kontroli sesji w celu poprawnego renderowania. Podczas dołączania aplikacji zawsze upewnij się, że ta opcja jest zaznaczona.

    • Użyj aplikacji z kontrolką sesji: aby zezwolić tej aplikacji na używanie lub nie używać jej z kontrolkami sesji. Podczas dołączania aplikacji zawsze upewnij się, że jest to zaznaczone.

    • Wykonaj drugie logowanie: jeśli aplikacja używa wartości innej niż, do obsługi nie jest wymagane drugie logowanie. Logowanie inne niż lub drugie jest używane przez aplikacje, aby upewnić się, że token logowania tworzony przez dostawcę tożsamości może być używany tylko raz, a nie skradzione i ponownie użyte przez innego użytkownika. Nonce jest sprawdzany przez dostawcę usług, aby dopasować to, czego się spodziewał, a nie coś, czego niedawno użył, co może wskazywać na atak odtwarzania. Po wybraniu tej opcji upewniamy się, że drugie logowanie jest wyzwalane z sesji sufiksu, co gwarantuje pomyślne zalogowanie. Aby uzyskać lepszą wydajność, należy włączyć tę funkcję.

      Perform a second login.

  6. W obszarze Domeny zdefiniowane przez użytkownika wprowadź wszystkie domeny, które chcesz skojarzyć z tą aplikacją, a następnie wybierz pozycję Zapisz.

    Uwaga

    Symbol wieloznaczny * można użyć jako symbolu zastępczego dla dowolnego znaku. Podczas dodawania domen zdecyduj, czy chcesz dodać określone domeny (sub1.contoso.com,sub2.contoso.com) czy wiele domen (*.contoso.com). Jest to obsługiwane tylko w przypadku określonych domen (*.contoso.com) i nie dla domen najwyższego poziomu (*.com).

  7. Powtórz poniższe kroki, aby zainstalować bieżący urząd certyfikacji i następne certyfikaty główne z podpisem własnym urzędu certyfikacji .

    1. Wybierz certyfikat.
    2. Wybierz pozycję Otwórz, a po wyświetleniu monitu wybierz pozycję Otwórz ponownie.
    3. Wybierz pozycję Zainstaluj certyfikat.
    4. Wybierz pozycję Bieżący użytkownik lub Komputer lokalny.
    5. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie , a następnie wybierz pozycję Przeglądaj.
    6. Wybierz pozycję Zaufane główne urzędy certyfikacji, a następnie wybierz przycisk OK.
    7. Wybierz Zakończ.

    Uwaga

    Aby certyfikaty zostały rozpoznane, po zainstalowaniu certyfikatu należy ponownie uruchomić przeglądarkę i przejść do tej samej strony.

  8. Wybierz Kontynuuj.

  9. Sprawdź, czy aplikacja jest dostępna w tabeli.

    Onboard with session control.

Aby sprawdzić, czy aplikacja jest chroniona, najpierw wykonaj twarde wylogowanie przeglądarek skojarzonych z aplikacją lub otwórz nową przeglądarkę z trybem incognito.

Otwórz aplikację i wykonaj następujące testy:

  • Sprawdź, czy w przeglądarce jest wyświetlana ikona blokady lub czy pracujesz w przeglądarce innej niż Microsoft Edge, sprawdź, czy adres URL aplikacji zawiera .mcas sufiks. Aby uzyskać więcej informacji, zobacz Ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla firm (wersja zapoznawcza).
  • Odwiedź wszystkie strony w aplikacji, które są częścią procesu roboczego użytkownika i sprawdź, czy strony są poprawnie renderowane.
  • Sprawdź, czy zachowanie i funkcjonalność aplikacji nie ma negatywnego wpływu na wykonywanie typowych akcji, takich jak pobieranie i przekazywanie plików.
  • Przejrzyj listę domen skojarzonych z aplikacją.

Jeśli wystąpią błędy lub problemy, użyj paska narzędzi administratora, aby zebrać zasoby, takie jak .har pliki i zarejestrowane sesje w celu zgłoszenia biletu pomocy technicznej.

Gdy wszystko będzie gotowe do włączenia aplikacji do użycia w środowisku produkcyjnym organizacji, wykonaj następujące kroki.

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
  2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.
  3. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.
  4. Wybierz pozycję Użyj aplikacji z kontrolkami sesji, a następnie wybierz pozycję Zapisz.
  5. W obszarze Microsoft Entra ID w obszarze Zabezpieczenia wybierz pozycję Dostęp warunkowy.
  6. Zaktualizuj utworzone wcześniej zasady, aby uwzględnić odpowiednich użytkowników, grupy i wymagane kontrolki.
  7. W obszarze Sesja>Użyj kontroli dostępu warunkowego aplikacji, jeśli wybrano opcję Użyj zasad niestandardowych, przejdź do pozycji Defender dla Chmury Aplikacje i utwórz odpowiednie zasady sesji. Aby uzyskać więcej informacji, zobacz Zasady sesji.

Następne kroki

POPRZEDNI: Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji wykazu

DALEJ: Jak utworzyć zasady sesji

Zobacz też

Wprowadzenie do kontroli aplikacji dostępu warunkowego

Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.