Wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji wykazu za pomocą usługi Azure AD
Uwaga
Microsoft Defender dla Chmury Apps jest teraz częścią Usługa Microsoft 365 Defender, która koreluje sygnały z całego pakietu Microsoft Defender i zapewnia wykrywanie, badanie i zaawansowane możliwości reagowania na poziomie zdarzeń. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury Apps in Microsoft 365 Defender (Aplikacje Microsoft Defender dla Chmury w usłudze Microsoft 365 Defender).
Kontrola dostępu i sesji w usłudze Microsoft Defender dla Chmury Apps współdziała z aplikacjami z katalogu aplikacji w chmurze i z aplikacjami niestandardowymi. Aby zapoznać się z listą aplikacji, które są wstępnie dołączone i działają poza programem, zobacz Ochrona aplikacji za pomocą kontroli dostępu warunkowego aplikacji Defender dla Chmury Apps.
Wymagania wstępne
Organizacja musi mieć następujące licencje na korzystanie z kontroli dostępu warunkowego aplikacji:
- Usługa Azure Active Directory (Azure AD) — wersja Premium P1 lub nowsza
- Microsoft Defender for Cloud Apps
Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego
Aplikacje muszą używać jednego z następujących protokołów uwierzytelniania:
Dostawca tożsamości Protokoły Azure AD Połączenie SAML 2.0 lub OpenID Inne SAML 2.0
Aby wdrożyć aplikacje wykazu
Wykonaj poniższe kroki, aby skonfigurować aplikacje katalogu do kontrolowania przez Microsoft Defender dla Chmury Aplikacje kontroli dostępu warunkowego aplikacji.
Konfigurowanie integracji z usługą Azure AD
Uwaga
Podczas konfigurowania aplikacji z logowaniem jednokrotnym w usłudze Azure AD lub u innych dostawców tożsamości jedno pole, które może być wymienione jako opcjonalne, to ustawienie adresu URL logowania. Należy pamiętać, że to pole może być wymagane do działania kontroli dostępu warunkowego aplikacji.
Wykonaj poniższe kroki, aby utworzyć zasady dostępu warunkowego usługi Azure AD, które przekierowuje sesje aplikacji do Defender dla Chmury Apps. Aby zapoznać się z innymi rozwiązaniami dostawcy tożsamości, zobacz Konfigurowanie integracji z innymi rozwiązaniami dostawcy tożsamości.
W usłudze Azure AD przejdź do sekcji Dostęp warunkowy zabezpieczeń>.
W okienku Dostęp warunkowy na pasku narzędzi u góry wybierz pozycję Nowe zasady -> Utwórz nowe zasady.
W okienku Nowy w polu tekstowym Nazwa wprowadź nazwę zasad.
W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń i przypisz użytkowników i grupy, które będą dołączane (logowanie początkowe i weryfikacja) aplikacji.
W obszarze Przypisania wybierz pozycję Aplikacje lub akcje w chmurze i przypisz aplikacje i akcje, które chcesz kontrolować za pomocą kontroli dostępu warunkowego aplikacji.
W obszarze Kontrola dostępu wybierz pozycję Sesja, wybierz pozycję Użyj kontroli dostępu warunkowego aplikacji, a następnie wybierz wbudowane zasady (tylko monitorowanie (wersja zapoznawcza) lub Blokuj pobieranie (wersja zapoznawcza)) lub Użyj zasad niestandardowych, aby ustawić zaawansowane zasady w aplikacjach Defender dla Chmury, a następnie wybierz pozycję Wybierz.
Opcjonalnie możesz dodać warunki i przyznać kontrolki zgodnie z wymaganiami.
Ustaw pozycję Włącz zasady na Włączone , a następnie wybierz pozycję Utwórz.
Uwaga
Przed kontynuowaniem upewnij się, że najpierw wyloguj się z istniejących sesji.
Po utworzeniu zasad zaloguj się do każdej aplikacji skonfigurowanej w tych zasadach. Upewnij się, że logujesz się przy użyciu użytkownika skonfigurowanego w zasadach.
Defender dla Chmury Aplikacje będą synchronizować szczegóły zasad z serwerami dla każdej nowej aplikacji, do której się logujesz. Może to potrwać do jednej minuty.
Powyższe instrukcje pomogły utworzyć wbudowane zasady Defender dla Chmury Apps dla aplikacji katalogu bezpośrednio w usłudze Azure AD. W tym kroku sprawdź, czy kontrolki dostępu i sesji są skonfigurowane dla tych aplikacji.
W portalu usługi Microsoft 365 Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego. Przyjrzyj się kolumnie Dostępne kontrolki i sprawdź, czy w aplikacjach jest wyświetlana kontrola dostępu lub dostęp warunkowy usługi Azure AD, a także kontrola sesji.
Uwaga
Jeśli aplikacja nie jest włączona dla kontrolki sesji, możesz ją dodać, wybierając pozycję Dołącz z kontrolką sesji i zaznaczając pozycję Użyj tej aplikacji z kontrolkami sesji.
Gdy wszystko będzie gotowe do włączenia aplikacji do użycia w środowisku produkcyjnym organizacji, wykonaj następujące kroki.
W portalu usługi Microsoft 365 Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.
Wybierz pozycję Użyj aplikacji z kontrolkami sesji, a następnie wybierz pozycję Zapisz.
Najpierw wyloguj się z istniejących sesji. Następnie spróbuj zalogować się do każdej aplikacji, która została pomyślnie wdrożona. Zaloguj się przy użyciu użytkownika zgodnego z zasadami skonfigurowanymi w usłudze Azure AD lub dla aplikacji SAML skonfigurowanej przy użyciu dostawcy tożsamości.
W portalu usługi Microsoft 365 Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności i upewnij się, że działania logowania są przechwytywane dla każdej aplikacji.
Możesz filtrować, wybierając pozycję Zaawansowane, a następnie filtrując przy użyciu pozycji Źródło jest równa kontroli dostępu.
Zaleca się zalogowanie się do aplikacji mobilnych i klasycznych z urządzeń zarządzanych i niezarządzanych. Ma to na celu upewnienie się, że działania są prawidłowo przechwytywane w dzienniku aktywności.
Aby sprawdzić, czy działanie zostało prawidłowo przechwycone, wybierz działanie logowania jednokrotnego, aby otworzyć szufladę działania. Upewnij się, że tag Agent użytkownika prawidłowo odzwierciedla, czy urządzenie jest klientem natywnym (czyli aplikacją mobilną lub klasyczną), czy też urządzeniem zarządzanym (zgodnym, przyłączonym do domeny lub prawidłowym certyfikatem klienta).
Uwaga
Po jej wdrożeniu nie można usunąć aplikacji ze strony Kontrola dostępu warunkowego aplikacji. Jeśli nie ustawisz sesji ani zasad dostępu w aplikacji, kontrola dostępu warunkowego aplikacji nie zmieni żadnego zachowania aplikacji.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.