Wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji niestandardowych przy użyciu dostawców tożsamości innych niż Microsoft

Kontrolki sesji w usłudze Microsoft Defender dla Chmury Apps można skonfigurować do pracy z dowolnymi aplikacjami internetowymi. W tym artykule opisano sposób dołączania i wdrażania niestandardowych aplikacji biznesowych, nienależących do funkcji SaaS i aplikacji lokalnych hostowanych za pośrednictwem serwera proxy aplikacji Entra firmy Microsoft z kontrolkami sesji. Zawiera on kroki kierowania sesji aplikacji z innych rozwiązań dostawcy tożsamości do Defender dla Chmury Apps. Aby uzyskać informacje o identyfikatorze Entra firmy Microsoft, zobacz Deploy Conditional Access App Control for custom apps using Microsoft Entra ID (Wdrażanie kontroli dostępu warunkowego dla aplikacji niestandardowych przy użyciu identyfikatora Entra firmy Microsoft).

Aby zapoznać się z listą aplikacji polecanych przez usługę Defender dla Chmury Apps, aby pracować bez użycia, zobacz Ochrona aplikacji za pomocą kontroli dostępu warunkowego aplikacji Defender dla Chmury Apps.

Wymagania wstępne

Dodawanie administratorów do listy dołączania/konserwacji aplikacji

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.

3. Wprowadź główną nazwę użytkownika lub adres e-mail dla użytkowników, którzy będą dołączać aplikację, a następnie wybierz pozycję Zapisz.

   

Sprawdzanie wymaganych licencji

• Organizacja musi mieć następujące licencje na korzystanie z kontroli dostępu warunkowego aplikacji:

  • Licencja wymagana przez rozwiązanie dostawcy tożsamości
  • Microsoft Defender for Cloud Apps

• Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

• Aplikacje muszą używać następujących protokołów uwierzytelniania:

  Dostawca tożsamości	Protokoły
  Inne	SAML 2.0

Aby wdrożyć dowolną aplikację

Wykonaj następujące kroki, aby skonfigurować dowolną aplikację do kontrolowania przez kontrolę dostępu warunkowego aplikacji Defender dla Chmury Apps.

1. Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury

2. Konfigurowanie wdrażanych aplikacji

3. Sprawdź, czy aplikacja działa poprawnie

4. Włączanie aplikacji do użycia w organizacji

Uwaga

Aby wdrożyć kontrolę dostępu warunkowego dla aplikacji Firmy Microsoft Entra, potrzebujesz ważnej licencji dla microsoft Entra ID P1 lub nowszej, a także licencji Defender dla Chmury Apps.

Krok 1. Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury

Uwaga

Przykłady konfigurowania rozwiązań dostawcy tożsamości można znaleźć w następujących tematach:

• Konfigurowanie dostawcy tożsamości pingone
• Konfigurowanie dostawcy tożsamości usług AD FS
• Konfigurowanie dostawcy tożsamości usługi Okta

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

3. Wybierz pozycję +Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Kreator uruchamiania.

4. Na stronie INFORMACJE O APLIKACJI wypełnij formularz, korzystając z informacji na stronie konfiguracji logowania jednokrotnego aplikacji, a następnie wybierz pozycję Dalej. — Jeśli dostawca tożsamości udostępnia plik metadanych logowania jednokrotnego dla wybranej aplikacji, wybierz pozycję Przekaż plik metadanych z aplikacji i przekaż plik metadanych. — Lub ręcznie wybierz pozycję Wypełnij dane i podaj następujące informacje: — Adres URL usługi konsumenta asercji — jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <certyfikatu SAML app_name> i przekaż plik certyfikatu.

   

5. Na stronie IDENTITY PROVIDER (DOSTAWCA TOŻSAMOŚCI) wykonaj podane kroki, aby skonfigurować nową aplikację w portalu dostawcy tożsamości, a następnie wybierz przycisk Dalej.

6. Przejdź do portalu dostawcy tożsamości i utwórz nową niestandardową aplikację SAML.

7. Skopiuj konfigurację logowania jednokrotnego istniejącej <app_name> aplikacji do nowej aplikacji niestandardowej.

8. Przypisz użytkowników do nowej aplikacji niestandardowej.

9. Skopiuj informacje o konfiguracji logowania jednokrotnego aplikacji. Będzie on potrzebny w następnym kroku.

   

   Uwaga

   Te kroki mogą się nieco różnić w zależności od dostawcy tożsamości. Ten krok jest zalecany z następujących powodów:

   • Niektórzy dostawcy tożsamości nie zezwalają na zmianę atrybutów SAML ani właściwości adresu URL aplikacji galerii
   • Skonfigurowanie aplikacji niestandardowej umożliwia przetestowanie tej aplikacji przy użyciu kontroli dostępu i sesji bez zmiany istniejącego zachowania organizacji.

10. Na następnej stronie wypełnij formularz, korzystając z informacji ze strony konfiguracji logowania jednokrotnego aplikacji, a następnie wybierz pozycję Dalej. — Jeśli dostawca tożsamości udostępnia plik metadanych logowania jednokrotnego dla wybranej aplikacji, wybierz pozycję Przekaż plik metadanych z aplikacji i przekaż plik metadanych. — Lub ręcznie wybierz pozycję Wypełnij dane i podaj następujące informacje: — Adres URL usługi konsumenta asercji — jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <certyfikatu SAML app_name> i przekaż plik certyfikatu.

    

11. Na następnej stronie skopiuj następujące informacje, a następnie wybierz pozycję Dalej. Informacje będą potrzebne w następnym kroku.

• Adres URL logowania jednokrotnego

• Atrybuty i wartości

  

1. W portalu dostawcy tożsamości wykonaj następujące czynności:

   Uwaga

   Ustawienia są często spotykane na stronie ustawień aplikacji niestandardowych portalu dostawcy tożsamości.

   1. Zalecane — utwórz kopię zapasową bieżących ustawień.

   2. Zastąp wartość pola adres URL logowania jednokrotnego zanotowaną wcześniej wartością adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps.

      Uwaga

      Niektórzy dostawcy mogą odwoływać się do adresu URL logowania jednokrotnego jako adresu URL odpowiedzi.

   3. Dodaj atrybuty i wartości zanotuj wcześniej do właściwości aplikacji.

      Uwaga

      • Niektórzy dostawcy mogą odwoływać się do nich jako atrybuty użytkownika lub oświadczenia.
      • Podczas tworzenia nowej aplikacji SAML atrybuty dostawcy tożsamości Okta ograniczają do 1024 znaków. Aby wyeliminować to ograniczenie, najpierw utwórz aplikację bez odpowiednich atrybutów. Po utworzeniu aplikacji zmodyfikuj ją, a następnie dodaj odpowiednie atrybuty.

   4. Sprawdź, czy identyfikator nazwy jest w formacie adresu e-mail.

   5. Zapisz swoje ustawienia.

2. Na stronie ZMIANY APLIKACJI wykonaj następujące czynności, a następnie wybierz pozycję Dalej. Informacje będą potrzebne w następnym kroku.

• Kopiowanie adresu URL logowania jednokrotnego

• Pobieranie certyfikatu SAML aplikacji Defender dla Chmury

  

1. W portalu aplikacji w ustawieniach logowania jednokrotnego wykonaj następujące czynności:
   1. Zalecane — utwórz kopię zapasową bieżących ustawień.
   2. W polu Adres URL logowania jednokrotnego wprowadź adres URL logowania jednokrotnego aplikacji Defender dla Chmury Apps zanotuj wcześniej.
   3. Przekaż pobrany wcześniej certyfikat SAML aplikacji Defender dla Chmury.

   Uwaga

   • Po zapisaniu ustawień wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli dostępu warunkowego aplikacji.
   • Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez jeden rok. Po wygaśnięciu nowego certyfikatu należy wygenerować.

Krok 2. Ręczne dodawanie aplikacji i instalowanie certyfikatów w razie potrzeby

Aplikacje w katalogu aplikacji są automatycznie wypełniane w tabeli w obszarze aplikacje Połączenie ed. Sprawdź, czy aplikacja, którą chcesz wdrożyć, jest rozpoznawana, przechodząc tam.

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Połączenie ed apps (Aplikacje kontroli dostępu warunkowego) wybierz pozycję Aplikacje kontroli dostępu warunkowego, aby uzyskać dostęp do tabeli aplikacji, które można skonfigurować przy użyciu zasad dostępu i sesji.

   

3. Wybierz menu rozwijane Aplikacja: Wybierz aplikacje..., aby filtrować i wyszukiwać aplikację, którą chcesz wdrożyć.

   

4. Jeśli nie widzisz tam aplikacji, musisz ją ręcznie dodać.

Jak ręcznie dodać niezidentyfikowaną aplikację

1. Na banerze wybierz pozycję Wyświetl nowe aplikacje.

   

2. Na liście nowych aplikacji dla każdej dołączanej aplikacji wybierz + znak, a następnie wybierz pozycję Dodaj.

   Uwaga

   Jeśli aplikacja nie jest wyświetlana w katalogu aplikacji Defender dla Chmury Apps, zostanie ona wyświetlona w oknie dialogowym w obszarze niezidentyfikowanych aplikacji wraz z adresem URL logowania. Po kliknięciu znaku + dla tych aplikacji możesz dołączyć aplikację jako aplikację niestandardową.

   

Aby dodać domeny dla aplikacji

Kojarzenie prawidłowych domen z aplikacją umożliwia Defender dla Chmury Apps wymuszanie zasad i działań inspekcji.

Jeśli na przykład skonfigurowano zasady blokujące pobieranie plików dla skojarzonej domeny, pliki pobrane przez aplikację z tej domeny zostaną zablokowane. Jednak pliki pobrane przez aplikację z domen, które nie są skojarzone z aplikacją, nie zostaną zablokowane, a akcja nie zostanie przeprowadź inspekcji w dzienniku aktywności.

Uwaga

Defender dla Chmury Aplikacje nadal dodaje sufiks do domen, które nie są skojarzone z aplikacją, aby zapewnić bezproblemowe środowisko użytkownika.

1. Z poziomu aplikacji na pasku narzędzi administratora aplikacji Defender dla Chmury wybierz pozycję Odnalezione domeny.

   Uwaga

   Pasek narzędzi administratora jest widoczny tylko dla użytkowników z uprawnieniami do dołączania lub konserwacji aplikacji.

2. Na panelu Odnalezione domeny zanotuj nazwy domen lub wyeksportuj listę jako plik .csv.

   Uwaga

   Na panelu zostanie wyświetlona lista odnalezionych domen, które nie są skojarzone z aplikacją. Nazwy domen są w pełni kwalifikowane.

3. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
4. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.
5. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.

   Napiwek

   Aby wyświetlić listę domen skonfigurowanych w aplikacji, wybierz pozycję Wyświetl domeny aplikacji.

6. W obszarze Domeny zdefiniowane przez użytkownika wprowadź wszystkie domeny, które chcesz skojarzyć z tą aplikacją, a następnie wybierz pozycję Zapisz.

   Uwaga

   Symbol wieloznaczny * można użyć jako symbolu zastępczego dla dowolnego znaku. Podczas dodawania domen zdecyduj, czy chcesz dodać określone domeny (sub1.contoso.com,sub2.contoso.com) czy wiele domen (*.contoso.com).

Instalowanie certyfikatów głównych

1. Powtórz poniższe kroki, aby zainstalować bieżący urząd certyfikacji i następne certyfikaty główne z podpisem własnym urzędu certyfikacji .

   1. Wybierz certyfikat.
   2. Wybierz pozycję Otwórz, a po wyświetleniu monitu wybierz pozycję Otwórz ponownie.
   3. Wybierz pozycję Zainstaluj certyfikat.
   4. Wybierz pozycję Bieżący użytkownik lub Komputer lokalny.
   5. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie , a następnie wybierz pozycję Przeglądaj.
   6. Wybierz pozycję Zaufane główne urzędy certyfikacji, a następnie wybierz przycisk OK.
   7. Wybierz Zakończ.

   Uwaga

   Aby certyfikaty zostały rozpoznane, po zainstalowaniu certyfikatu należy ponownie uruchomić przeglądarkę i przejść do tej samej strony.

2. Wybierz Kontynuuj.

3. Sprawdź, czy aplikacja jest dostępna w tabeli.

   

Krok 3. Sprawdzanie, czy aplikacja działa prawidłowo

Aby sprawdzić, czy aplikacja jest chroniona, najpierw wykonaj twarde wylogowanie przeglądarek skojarzonych z aplikacją lub otwórz nową przeglądarkę z trybem incognito.

Otwórz aplikację i wykonaj następujące testy:

• Sprawdź, czy w przeglądarce jest wyświetlana ikona blokady lub czy pracujesz w przeglądarce innej niż Microsoft Edge, sprawdź, czy adres URL aplikacji zawiera .mcas sufiks. Aby uzyskać więcej informacji, zobacz Ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla firm (wersja zapoznawcza).
• Odwiedź wszystkie strony w aplikacji, które są częścią procesu roboczego użytkownika i sprawdź, czy strony są poprawnie renderowane.
• Sprawdź, czy zachowanie i funkcjonalność aplikacji nie ma negatywnego wpływu na wykonywanie typowych akcji, takich jak pobieranie i przekazywanie plików.
• Przejrzyj listę domen skojarzonych z aplikacją. Aby uzyskać więcej informacji, zobacz Dodawanie domen dla aplikacji.

Jeśli wystąpią błędy lub problemy, użyj paska narzędzi administratora, aby zebrać zasoby, takie jak .har pliki i zarejestrowane sesje w celu zgłoszenia biletu pomocy technicznej.

Krok 4. Włączanie aplikacji do użycia w organizacji

Gdy wszystko będzie gotowe do włączenia aplikacji do użycia w środowisku produkcyjnym organizacji, wykonaj następujące kroki.

1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

3. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.

4. Wybierz pozycję Włącz aplikację, aby pracować nad kontrolkami sesji, a następnie wybierz pozycję Zapisz.

   

Następne kroki

« POPRZEDNI: Wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji wykazu

DALEJ: Jak utworzyć zasady sesji »

Zobacz też

Wprowadzenie do kontroli aplikacji dostępu warunkowego

Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.