Aplicativos personalizados de IdP não Microsoft integrados para controle de aplicativo de Acesso Condicional

Os controles de acesso e sessão nos aplicativos do Microsoft Defender for Cloud funcionam com aplicativos personalizados e de catálogo. Embora os aplicativos Microsoft Entra ID sejam integrados automaticamente para usar o controle de aplicativo de Acesso Condicional, se você estiver trabalhando com um IdP que não seja da Microsoft, precisará integrar seu aplicativo manualmente.

Este artigo descreve como configurar seu IdP para trabalhar com o Defender for Cloud Apps e, em seguida, também integrar manualmente cada aplicativo personalizado. Por outro lado, os aplicativos de catálogo de um IdP que não seja da Microsoft são integrados automaticamente quando você configura a integração entre seu IdP e o Defender for Cloud Apps.

Pré-requisitos

• Sua organização deve ter as seguintes licenças para usar o controle de aplicativo de acesso condicional:

  • A licença exigida pela sua solução de provedor de identidade (IdP)
  • Microsoft Defender for Cloud Apps

• Os aplicativos devem ser configurados com logon único

• Os aplicativos devem ser configurados com o protocolo de autenticação SAML 2.0.

Adicionar administradores à sua lista de integração/manutenção de aplicações

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos > em nuvem Acesso condicional Controle de > aplicativos Integração/manutenção de aplicativos.

2. Introduza os nomes de utilizador ou e-mails de quaisquer utilizadores que irão integrar a sua aplicação e, em seguida, selecione Guardar.

Para obter mais informações, consulte Diagnosticar e solucionar problemas com a barra de ferramentas Modo de Exibição do administrador.

Configure seu IdP para trabalhar com o Defender for Cloud Apps

Este procedimento descreve como rotear sessões de aplicativos de outras soluções IdP para o Defender for Cloud Apps.

Gorjeta

Os seguintes artigos fornecem exemplos detalhados deste procedimento:

• Configure o seu PingOne IdP
• Configurar o IdP do AD FS
• Configure seu Okta IdP

Para configurar seu IdP para trabalhar com o Defender for Cloud Apps:

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos > de nuvem Aplicativos conectados Aplicativos >de controle de aplicativo de acesso condicional.

2. Na página Aplicativos de Controle de Aplicativo de Acesso Condicional, selecione + Adicionar.

3. Na caixa de diálogo Adicionar um aplicativo SAML com seu provedor de identidade, selecione a lista suspensa Pesquisar um aplicativo e selecione o aplicativo que deseja implantar. Com seu aplicativo selecionado, selecione Iniciar assistente.

4. Na página INFORMAÇÕES DO APLICATIVO do assistente, carregue um arquivo de metadados do seu aplicativo ou insira os dados do aplicativo manualmente.

   Certifique-se de fornecer as seguintes informações:

   • A URL do serviço ao consumidor Assertion. Este é o URL que seu aplicativo usa para receber asserções SAML do seu IdP.
   • Um certificado SAML, se o seu aplicativo fornecer um. Nesses casos, selecione a opção Usar ... Opção de certificado SAML e, em seguida, carregue o arquivo de certificado.

   Quando terminar, selecione Avançar para continuar.

5. Na página IDENTITY PROVIDER do assistente, siga as instruções para configurar um novo aplicativo personalizado no portal do seu IdP.

   Nota

   As etapas necessárias podem ser diferentes, dependendo do seu IdP. Recomendamos que você execute a configuração externa conforme descrito pelos seguintes motivos:

   • Alguns provedores de identidade não permitem que você altere os atributos SAML ou as propriedades de URL de um aplicativo de galeria/catálogo.
   • Ao configurar um aplicativo personalizado, você pode testá-lo com os controles de acesso e sessão do Defender for Cloud Apps, sem alterar o comportamento configurado existente da sua organização.

   Copie as informações de configuração de logon único do seu aplicativo para uso posterior neste procedimento. Quando terminar, selecione Avançar para continuar.

6. Continuando na página IDENTITY PROVIDER do assistente, carregue um arquivo de metadados do seu IdP ou insira os dados do aplicativo manualmente.

   Certifique-se de fornecer as seguintes informações:

   • A URL do serviço de logon único. Este é o URL que o seu IdP utiliza para receber pedidos de início de sessão único.
   • Um certificado SAML, se o seu IdP fornecer um. Nesses casos, selecione a opção Usar certificado SAML do provedor de identidade e carregue o arquivo de certificado.

7. Continuando na página IDENTITY PROVIDER do assistente, copie a URL de logon único e todos os atributos e valores para uso posterior neste procedimento.

   Quando terminar, selecione Avançar para continuar.

8. Navegue até o portal do seu IdP e insira os valores que você copiou para sua configuração de IdP. Normalmente, essas configurações são encontradas na área de configurações personalizadas do aplicativo do seu IdP.

   1. Introduza o URL de início de sessão único da aplicação que copiou do passo anterior. Alguns provedores podem se referir à URL de logon único como a URL de resposta.

   2. Adicione os atributos e valores copiados da etapa anterior às propriedades do aplicativo. Alguns provedores podem se referir a eles como atributos de usuário ou reivindicações.

      Se seus atributos estiverem limitados a 1024 caracteres para novos aplicativos, primeiro crie o aplicativo sem os atributos relevantes e adicione-os depois editando o aplicativo.

   3. Verifique se o identificador de nome está no formato de um endereço de e-mail.

   4. Certifique-se de salvar suas configurações quando terminar.

9. De volta ao Defender for Cloud Apps, na página APP CHANGES do assistente, copie a URL de logon único SAML e baixe o certificado SAML do Microsoft Defender for Cloud Apps. A URL de logon único SAML é uma URL personalizada para seu aplicativo quando usada com o controle de aplicativo de Acesso Condicional do Defender for Cloud Apps.

10. Navegue até o portal do seu aplicativo e defina suas configurações de logon único da seguinte maneira:

    1. (Recomendado) Crie um backup de suas configurações atuais.
    2. Substitua o valor do campo URL de entrada do provedor de identidade pelo URL de logon único SAML do Defender for Cloud Apps copiado da etapa anterior. O nome específico para este campo pode ser diferente, dependendo do seu aplicativo.
    3. Carregue o certificado SAML do Defender for Cloud Apps que você baixou na etapa anterior.
    4. Certifique-se de salvar suas alterações.

11. No assistente, selecione Concluir para concluir a configuração.

Depois de salvar as configurações de logon único do seu aplicativo com os valores personalizados pelo Defender for Cloud Apps, todas as solicitações de login associadas ao aplicativo são roteadas por meio do controle do aplicativo Defender for Cloud Apps e do aplicativo Acesso Condicional.

Nota

O certificado SAML do Defender for Cloud Apps é válido por 1 ano. Depois que ele expirar, você precisará gerar um novo.

Integre seu aplicativo para controle de aplicativo de Acesso Condicional

Se estiver a trabalhar com uma aplicação personalizada que não é preenchida automaticamente no catálogo de aplicações, terá de adicioná-la manualmente.

Para verificar se a sua aplicação já está adicionada:

1. No Microsoft Defender XDR, selecione Configurações > Aplicativos > na nuvem Aplicativos conectados Aplicativos >de controle de aplicativo de acesso condicional.

2. Selecione o menu suspenso App: Select apps... para pesquisar seu aplicativo.

Se o seu aplicativo já estiver listado, continue com o procedimento para aplicativos de catálogo.

Para adicionar seu aplicativo manualmente:

1. Se você tiver novos aplicativos, verá um banner na parte superior da página notificando que você tem novos aplicativos para integrar. Selecione o link Exibir novos aplicativos para vê-los.

2. Na caixa de diálogo Aplicativos descobertos do Azure AD, localize seu aplicativo, como pelo valor da URL de Logon. Selecione o + botão e, em seguida, Adicionar para integrá-lo como um aplicativo personalizado.

Instalar certificados raiz

Certifique-se de que está a utilizar os certificados corretos da AC atual ou da próxima autoridade de certificação para cada uma das suas aplicações.

Para instalar os certificados, repita a seguinte etapa para cada certificado:

1. Abra e instale o certificado, selecionando Usuário Atual ou Máquina Local.

2. Quando for solicitado onde você deseja colocar seus certificados, navegue até Autoridades de Certificação Raiz Confiáveis.

3. Selecione OK e Concluir conforme necessário para concluir o procedimento.

4. Reinicie o navegador, abra o aplicativo novamente e selecione Continuar quando solicitado.

5. No Microsoft Defender XDR, selecione Configurações, Aplicativos > na nuvem, Aplicativos conectados, Aplicativos> de controle de aplicativo de acesso condicional e verifique se seu aplicativo ainda está listado > na tabela.

Para obter mais informações, consulte O aplicativo não aparece na página de aplicativos de controle de aplicativo de acesso condicional.

Conteúdos relacionados

• Proteja aplicativos com o controle de aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps
• Implantar o controle de aplicativo Acesso Condicional para aplicativos de catálogo com IdPs que não sejam da Microsoft
• Solução de problemas de acesso e controles de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.