Implantar aplicativos personalizados com IdP que não são da Microsoft para o Controle de Aplicativos de Acesso Condicional

Os controles de acesso e sessão no Microsoft Defender para aplicativos de nuvem funcionam com aplicativos de catálogo e personalizados. Embora os aplicativos do Microsoft Entra ID sejam automaticamente integrados para usar o Controle de Aplicativo de Acesso Condicional, se você estiver trabalhando com um IdP que não seja da Microsoft, precisará integrar seu aplicativo manualmente.

Este artigo descreve como configurar seu IdP para funcionar com o Defender para aplicativos de nuvem e, em seguida, também integrar manualmente cada aplicativo personalizado. Por outro lado, os aplicativos de catálogo de um IdP que não seja da Microsoft são automaticamente integrados quando você configura a integração entre seu IdP e o Defender para aplicativos de nuvem.

Pré-requisitos

• Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

  • A licença exigida pela solução de provedor de identidade (IdP)
  • Microsoft Defender para Aplicativos de Nuvem

• Os aplicativos devem ser configurados com logon único

• Os aplicativos devem ser configurados com o protocolo de autenticação SAML 2.0.

Adicionar administradores à sua lista de integração/manutenção do aplicativo

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos de nuvem > Controle de Aplicativos de Acesso Condicional > Integração/manutenção de aplicativos.

2. Insira os nomes de usuário ou emails de todos os usuários que integrarão seu aplicativo e selecione Salvar.

Para obter mais informações, consulte Diagnosticar e solucionar problemas com a barra de ferramentas Modo de exibição de administrador.

Configurar o IdP para trabalhar com o Microsoft Defender para Aplicativos de Nuvem

Este procedimento descreve como rotear sessões de aplicativos de outras soluções IdP para o Defender para aplicativos de nuvem.

Dica

Os artigos a seguir fornecem exemplos detalhados desse procedimento:

• Configurar o IdP do PingOne
• Configurar o IdP do AD FS
• Configurar seu provedor de identidade

Para configurar seu IdP para funcionar com o Defender para aplicativos de nuvem:

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos de nuvem > Aplicativos conectados > Aplicativos de controle de aplicativos de acesso condicional.

2. Selecione Aplicativos de Controle de Aplicativo de Acesso Condicional e Adicionar.

3. Na caixa de diálogo Adicionar um aplicativo SAML com seu provedor de identidade, selecione a lista suspensa Pesquisar um aplicativo e selecione o aplicativo que deseja implantar. Com seu aplicativo selecionado, selecione Assistente para iniciar.

4. Na página INFORMAÇÕES DO APLICATIVO do assistente, carregue um arquivo de metadados do seu aplicativo ou insira os dados do aplicativo manualmente.

   Não deixe de incluir as seguintes informações:

   • O URL do serviço do consumidor de declaração. Essa é a URL que seu aplicativo usa para receber declarações SAML de seu IdP.
   • Um certificado SAML, se seu aplicativo fornecer um. Nesses casos, selecione a opção Usar... certificado SAML e, em seguida, carregue o arquivo de certificado.

   Quando terminar, selecione Próximo para continuar.

5. Na página PROVEDOR DE IDENTIDADE do assistente, siga as instruções para configurar um novo aplicativo personalizado no portal do seu IdP.

   Observação

   As etapas necessárias podem ser diferentes, dependendo do seu IdP. Recomendamos que você execute a configuração externa conforme descrito pelos seguintes motivos:

   • Alguns provedores de identidade não permitem que você altere os atributos de SAML ou as propriedades de URL de um aplicativo de galeria / catálogo.
   • Ao configurar um aplicativo personalizado, você pode testar o aplicativo com controles de acesso e sessão do Defender para aplicativos de nuvem, sem alterar o comportamento configurado existente da sua organização.

   Copie as informações de configuração de logon único do seu aplicativo para uso posterior neste procedimento. Quando terminar, selecione Próximo para continuar.

6. Continuando na página PROVEDOR DE IDENTIDADE do assistente, carregue um arquivo de metadados do seu IdP ou insira os dados do aplicativo manualmente.

   Não deixe de incluir as seguintes informações:

   • A URL do Serviço de Logon Único. Essa é a URL que seu IdP usa para receber solicitações de logon único.
   • Um certificado SAML, se seu IdP fornecer um. Nesses casos, selecione aopção Usar certificado SAML do provedor de identidade e carregue o arquivo de certificado.

7. Continuando na página PROVEDOR DE IDENTIDADE do assistente, copie a URL de logon único e todos os atributos e valores para uso posterior neste procedimento.

   Quando terminar, selecione Avançar para continuar.

8. Navegue até o portal do seu IdP e insira os valores que você copiou para sua configuração de IdP. Normalmente, essas configurações são encontradas na área de configurações personalizadas do aplicativo do IdP.

   1. Insira a URL de logon único do aplicativo que você copiou da etapa anterior. Alguns provedores podem se referir à URL de logon único como a URL de resposta.

   2. Adicione os atributos e valores que você copiou da etapa anterior às propriedades do aplicativo. Alguns provedores podem se referir a eles como Atributos de usuário ou Declarações.

      Se seus atributos estiverem limitados a 1024 caracteres para novos aplicativos, primeiro crie o aplicativo sem os atributos relevantes e adicione-os depois editando o aplicativo.

   3. Verifique se o identificador do seu nome está no formato de um endereço de e-mail.

   4. Certifique-se de salvar suas configurações quando terminar.

9. De volta ao Defender para aplicativos de nuvem na página ALTERAÇÕES DO APLICATIVO do assistente, copie a URL de logon único SAML e baixe o certificado SAML do Microsoft Defender para aplicativos de nuvem. A URL de logon único do SAML é personalizada para seu aplicativo quando usada com o Controle de Aplicativo de Acesso Condicional do Defender para Aplicativos de Nuvem.

10. Navegue até o portal do seu aplicativo e defina suas configurações de logon único da seguinte maneira:

    1. (Recomendação) Criar um backup das configurações atuais.
    2. Substitua o valor do campo URL de entrada do provedor de identidade pela URL de logon único SAML do Defender para aplicativos de nuvem que você copiou da etapa anterior. O nome específico para esse campo pode ser diferente, dependendo do seu aplicativo.
    3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou na etapa anterior.
    4. Certifique-se de salvar as alterações.

11. No assistente, selecione Concluir para concluir a configuração.

Depois de salvar as configurações de logon único do seu aplicativo com os valores personalizados pelo Defender para Aplicativos de Nuvem, todas as solicitações de entrada associadas ao aplicativo são roteadas por meio do Defender para Aplicativos de Nuvem e do Controle de Aplicativo de Acesso Condicional.

Observação

O certificado SAML do Defender para Aplicativos de Nuvem é válido por 1 ano. Depois que ele expirar, você precisará gerar um novo.

Integre o aplicativo para o Controle de Aplicativos de Acesso Condicional.

Se você estiver trabalhando com um aplicativo personalizado que não é preenchido automaticamente no catálogo de aplicativos, será necessário adicioná-lo manualmente.

Para verificar se seu aplicativo já foi adicionado:

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos de nuvem > Aplicativos conectados > Aplicativos de controle de aplicativos de acesso condicional.

2. Selecione o menu suspenso Aplicativo: Selecione aplicativos... para procurar seu aplicativo.

Se seu aplicativo já estiver listado, continue com o procedimento para aplicativos de catálogo.

Para adicionar seu aplicativo manualmente:

1. Se você tiver novos aplicativos, verá um banner na parte superior da página notificando que você tem novos aplicativos a bordo. Selecione o link Exibir novos aplicativos para vê-los.

2. Na caixa de diálogo Aplicativos do Azure AD descobertos, localize seu aplicativo, como pelo valor URL de Logon. Selecione o + botão e, em seguida, Adicionar a ele como um aplicativo personalizado.

Instalar certificados raiz

Verifique se você está usando os certificados de Autoridade de certificação atual ou Próxima autoridade de certificação corretos para cada um de seus aplicativos.

Para instalar seus certificados, repita a seguinte etapa para cada certificado:

1. Abra e instale o certificado, selecionando Usuário Atual ou Máquina Local.

2. Quando for perguntado onde você deseja colocar seus certificados, navegue até Autoridades de Certificação Raiz Confiáveis.

3. Selecione OK e Concluir conforme necessário para concluir o procedimento.

4. Reinicie o navegador, abra o aplicativo novamente e selecione Continuar quando solicitado.

5. No Microsoft Defender XDR, selecione Configurações > Aplicativos de Nuvem > Aplicativos conectados > Aplicativos de Controle de Acesso Condicional e verifique se seu aplicativo ainda está listado na tabela.

Para obter mais informações, consulte O aplicativo não aparece na página Aplicativos de Controle de Aplicativo de Acesso Condicional.

Conteúdo relacionado

• Proteger aplicativos com o Microsoft Defender para Aplicativos de Nuvem Controle de Aplicativos de Acesso Condicional
• Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos de catálogo com IdPs que não são da Microsoft
• Solução de problemas de controles de acesso e sessão

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.