Korzystanie z kontroli aplikacji dostępu warunkowego Defender dla Chmury Apps
Ten artykuł zawiera omówienie sposobu używania kontroli aplikacji Microsoft Defender dla Chmury Apps w celu tworzenia zasad dostępu i sesji. Kontrola aplikacji dostępu warunkowego zapewnia monitorowanie i kontrolę dostępu użytkowników do aplikacji w chmurze w czasie rzeczywistym.
Przepływ użycia kontroli dostępu warunkowego aplikacji (wersja zapoznawcza)
Na poniższej ilustracji przedstawiono ogólny proces konfigurowania i implementowania kontroli aplikacji dostępu warunkowego:
Którego dostawcy tożsamości używasz?
Przed rozpoczęciem korzystania z kontroli dostępu warunkowego sprawdź, czy aplikacje są zarządzane przez firmę Microsoft Entra, czy innego dostawcę tożsamości.
Aplikacje Firmy Microsoft Entra są automatycznie dołączane do kontroli aplikacji dostępu warunkowego i są natychmiast dostępne do użycia w warunkach zasad dostępu i sesji (wersja zapoznawcza). Można je dołączyć ręcznie, zanim będzie można je wybrać w warunkach zasad dostępu i sesji.
Aplikacje korzystające z dostawców tożsamości innych niż Microsoft muszą być dołączane ręcznie, zanim będzie można je wybrać w warunkach zasad dostępu i sesji.
Jeśli pracujesz z aplikacją wykazu z dostawcy tożsamości firmy innej niż Microsoft, skonfiguruj integrację między dostawcą tożsamości a aplikacjami Defender dla Chmury, aby dołączyć wszystkie aplikacje wykazu. Aby uzyskać więcej informacji, zobacz Dołączanie aplikacji katalogu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego.
Jeśli pracujesz z aplikacjami niestandardowymi, musisz skonfigurować integrację między dostawcą tożsamości a aplikacjami Defender dla Chmury, a także dołączyć każdą aplikację niestandardową. Aby uzyskać więcej informacji, zobacz Dołączanie niestandardowych aplikacji innych niż Microsoft IdP do kontroli aplikacji dostępu warunkowego.
Procedury przykładowe
W poniższych artykułach przedstawiono przykładowe procesy konfigurowania dostawcy tożsamości innej niż Microsoft do pracy z aplikacjami Defender dla Chmury:
- PingOne jako dostawca tożsamości
- Active Directory Federation Services (AD FS) jako dostawcy tożsamości
- Okta jako dostawca tożsamości
Wymagania wstępne:
- Upewnij się, że konfiguracje zapory zezwalają na ruch ze wszystkich adresów IP wymienionych w wymaganiach dotyczących sieci.
- Upewnij się, że aplikacja ma kompletny łańcuch certyfikatów. Niekompletne lub częściowe łańcuchy certyfikatów mogą prowadzić do nieoczekiwanego zachowania w aplikacjach podczas monitorowania za pomocą zasad kontroli aplikacji dostępu warunkowego.
Tworzenie zasad dostępu warunkowego identyfikatora entra firmy Microsoft
Aby zasady dostępu lub sesji działały, należy również mieć zasady dostępu warunkowego identyfikatora entra firmy Microsoft, które tworzą uprawnienia do kontrolowania ruchu.
Osadzono przykład tego procesu w dokumentacji tworzenia zasad dostępu i sesji .
Aby uzyskać więcej informacji, zobacz Zasady dostępu warunkowego i Tworzenie zasad dostępu warunkowego.
Tworzenie zasad dostępu i sesji
Po potwierdzeniu, że twoje aplikacje są dołączane automatycznie, ponieważ są to aplikacje Microsoft Entra ID lub ręcznie i masz gotowe zasady dostępu warunkowego identyfikatora Entra firmy Microsoft, możesz kontynuować tworzenie zasad dostępu i sesji dla dowolnego scenariusza.
Aby uzyskać więcej informacji, zobacz:
- Tworzenie zasad dostępu do aplikacji Defender dla Chmury
- Tworzenie zasad sesji usługi Defender dla Chmury Apps
Testowanie zasad
Pamiętaj, aby przetestować zasady i zaktualizować wszystkie warunki lub ustawienia zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz:
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz Ochrona aplikacji za pomocą kontroli aplikacji dostępu warunkowego w usłudze Microsoft Defender dla Chmury Apps.