Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji wykazu przy użyciu dostawcy tożsamości firmy innej niż Microsoft
Kontrola dostępu i sesji w usłudze Microsoft Defender dla Chmury Apps współdziała z aplikacjami z katalogu aplikacji w chmurze i z aplikacjami niestandardowymi. Aby zapoznać się z listą aplikacji, które zostały wstępnie dołączone przez usługę Defender dla Chmury Apps do pracy gotowej do użycia, zobacz Ochrona aplikacji za pomocą kontroli dostępu warunkowego Defender dla Chmury Apps.
Wymagania wstępne
Aby móc korzystać z kontroli dostępu warunkowego, organizacja musi mieć następujące licencje:
- Licencja wymagana przez rozwiązanie dostawcy tożsamości
- Microsoft Defender for Cloud Apps
Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego
Aplikacje muszą używać jednego z następujących protokołów uwierzytelniania:
Dostawca tożsamości Protokoły Microsoft Entra ID Połączenie SAML 2.0 lub OpenID Inne SAML 2.0
Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury
Wykonaj poniższe kroki, aby kierować sesje aplikacji z innych rozwiązań dostawcy tożsamości do Defender dla Chmury Apps. Aby uzyskać informacje o identyfikatorze Entra firmy Microsoft, zobacz Konfigurowanie integracji z identyfikatorem Entra firmy Microsoft.
Uwaga
Przykłady konfigurowania rozwiązań dostawcy tożsamości można znaleźć w następujących tematach:
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.
Wybierz pozycję + Dodaj, a następnie w oknie podręcznym wybierz aplikację, którą chcesz wdrożyć, a następnie wybierz pozycję Kreator uruchamiania.
Na stronie INFORMACJE O APLIKACJI wypełnij formularz, korzystając z informacji na stronie konfiguracji logowania jednokrotnego aplikacji, a następnie wybierz pozycję Dalej.
Jeśli dostawca tożsamości udostępnia plik metadanych logowania jednokrotnego dla wybranej aplikacji, wybierz pozycję Przekaż plik metadanych z aplikacji i przekaż plik metadanych.
Możesz też ręcznie wybrać pozycję Wypełnij dane i podać następujące informacje:
- Assertion consumer service URL
- Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.
Na przykład:
Na stronie IDENTITY PROVIDER (DOSTAWCA TOŻSAMOŚCI) wykonaj podane kroki, aby skonfigurować nową aplikację w portalu dostawcy tożsamości, a następnie wybierz przycisk Dalej.
Przejdź do portalu dostawcy tożsamości i utwórz nową niestandardową aplikację SAML.
Skopiuj konfigurację logowania jednokrotnego istniejącej
<app_name>aplikacji do nowej aplikacji niestandardowej.Przypisz użytkowników do nowej aplikacji niestandardowej.
Skopiuj informacje o konfiguracji logowania jednokrotnego aplikacji. Będzie on potrzebny w następnym kroku. Na przykład:
Uwaga
Te kroki mogą się nieco różnić w zależności od dostawcy tożsamości. Ten krok jest zalecany z następujących powodów:
Niektórzy dostawcy tożsamości nie zezwalają na zmianę atrybutów SAML ani właściwości adresu URL aplikacji galerii.
Skonfigurowanie aplikacji niestandardowej umożliwia przetestowanie tej aplikacji przy użyciu kontroli dostępu i sesji bez zmiany istniejącego zachowania organizacji.
Na następnej stronie wypełnij formularz, korzystając z informacji ze strony konfiguracji logowania jednokrotnego aplikacji, a następnie wybierz pozycję Dalej.
Jeśli dostawca tożsamości udostępnia plik metadanych logowania jednokrotnego dla wybranej aplikacji, wybierz pozycję Przekaż plik metadanych z aplikacji i przekaż plik metadanych.
Możesz też ręcznie wybrać pozycję Wypełnij dane i podać następujące informacje:
- Assertion consumer service URL
- Jeśli aplikacja udostępnia certyfikat SAML, wybierz pozycję Użyj <app_name> certyfikatu SAML i przekaż plik certyfikatu.
Na przykład:
Na następnej stronie skopiuj następujące informacje, a następnie wybierz pozycję Dalej. Informacje będą potrzebne w następnym kroku.
- Adres URL logowania jednokrotnego
- Atrybuty i wartości
Na przykład:
W portalu dostawcy tożsamości skonfiguruj następujące ustawienia, często spotykane na stronie niestandardowych ustawień aplikacji portalu dostawcy tożsamości.
W polu Adres URL logowania jednokrotnego wprowadź adres URL logowania jednokrotnego zanotuj wcześniej.
Dodaj atrybuty i wartości zanotuj wcześniej do właściwości aplikacji. Niektórzy dostawcy mogą odwoływać się do nich jako atrybuty użytkownika lub oświadczenia.
Podczas tworzenia nowej aplikacji SAML atrybuty dostawcy tożsamości Okta ograniczają do 1024 znaków. Aby wyeliminować to ograniczenie, najpierw utwórz aplikację bez odpowiednich atrybutów. Po utworzeniu aplikacji zmodyfikuj ją, a następnie dodaj odpowiednie atrybuty.
Sprawdź, czy identyfikator nazwy jest w formacie adresu e-mail.
Zapisz swoje ustawienia.
Na stronie ZMIANY APLIKACJI wykonaj następujące czynności, a następnie wybierz pozycję Dalej. Informacje będą potrzebne w następnym kroku.
- Kopiowanie adresu URL logowania jednokrotnego
- Pobieranie certyfikatu SAML aplikacji Defender dla Chmury
Na przykład:
W portalu aplikacji w ustawieniach logowania jednokrotnego wykonaj następujące czynności:
(Zalecane) Utwórz kopię zapasową bieżących ustawień.
Zastąp wartość pola Identity Provider Login URL (Adres URL logowania dostawcy tożsamości) zanotowaną wcześniej wartością adresu URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps.
Przekaż pobrany wcześniej certyfikat SAML aplikacji Defender dla Chmury.
Wybierz pozycję Zapisz.
Po zapisaniu ustawień wszystkie skojarzone żądania logowania do tej aplikacji będą kierowane za pośrednictwem kontroli aplikacji dostępu warunkowego.
Certyfikat SAML aplikacji Defender dla Chmury jest ważny przez jeden rok. Po wygaśnięciu nowego certyfikatu należy wygenerować.
Zaloguj się do każdej aplikacji przy użyciu użytkownika objętego zakresem zasad
Uwaga
Przed kontynuowaniem upewnij się, że najpierw wyloguj się z istniejących sesji.
Po utworzeniu zasad zaloguj się do każdej aplikacji skonfigurowanej w tych zasadach. Upewnij się, że logujesz się przy użyciu użytkownika skonfigurowanego w zasadach.
Defender dla Chmury Aplikacje będą synchronizować szczegóły zasad z serwerami dla każdej nowej aplikacji, do której się logujesz. Może to potrwać do jednej minuty.
Sprawdzanie, czy aplikacje są skonfigurowane do używania kontroli dostępu i sesji
Powyższe instrukcje pomogły utworzyć wbudowane zasady Defender dla Chmury Apps dla aplikacji katalogu bezpośrednio w identyfikatorze Entra firmy Microsoft. W tym kroku sprawdź, czy kontrolki dostępu i sesji są skonfigurowane dla tych aplikacji.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.
W tabeli aplikacji przyjrzyj się kolumnie Dostępne kontrolki i sprawdź, czy w aplikacjach jest wyświetlana kontrola dostępu lub dostęp warunkowy usługi Azure AD, a także kontrola sesji.
Jeśli aplikacja nie jest włączona dla kontrolki sesji, dodaj ją, wybierając pozycję Dołącz z kontrolką sesji i zaznaczając pozycję Użyj tej aplikacji z kontrolkami sesji. Na przykład:
Włączanie aplikacji do użycia w organizacji
Gdy wszystko będzie gotowe do włączenia aplikacji do użycia w środowisku produkcyjnym organizacji, wykonaj następujące kroki.
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.
W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.
Wybierz pozycję Włącz aplikację, aby pracować nad kontrolkami sesji, a następnie wybierz pozycję Zapisz. Na przykład:
Testowanie wdrożenia
Najpierw wyloguj się z istniejących sesji. Następnie spróbuj zalogować się do każdej aplikacji, która została pomyślnie wdrożona. Zaloguj się przy użyciu użytkownika zgodnego z zasadami skonfigurowanymi w usłudze Microsoft Entra ID lub dla aplikacji SAML skonfigurowanej przy użyciu dostawcy tożsamości.
W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności i upewnij się, że działania logowania są przechwytywane dla każdej aplikacji.
Możesz filtrować, wybierając pozycję Zaawansowane, a następnie filtrując przy użyciu pozycji Źródło jest równa kontroli dostępu. Na przykład:
Zalecamy zalogowanie się do aplikacji mobilnych i klasycznych z urządzeń zarządzanych i niezarządzanych. Ma to na celu upewnienie się, że działania są prawidłowo przechwytywane w dzienniku aktywności.
Aby sprawdzić, czy działanie zostało prawidłowo przechwycone, wybierz działanie logowania jednokrotnego, aby otworzyć szufladę działania. Upewnij się, że tag Agent użytkownika prawidłowo odzwierciedla, czy urządzenie jest klientem natywnym (czyli aplikacją mobilną lub klasyczną), czy też urządzeniem zarządzanym (zgodnym, przyłączonym do domeny lub prawidłowym certyfikatem klienta).
Uwaga
Po jej wdrożeniu nie można usunąć aplikacji ze strony Kontrola dostępu warunkowego aplikacji. Jeśli nie ustawisz sesji ani zasad dostępu w aplikacji, kontrola aplikacji dostępu warunkowego nie zmieni żadnego zachowania aplikacji.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla