Implantar controle de aplicativo de acesso condicional para aplicativos de catálogo com IdP não Microsoft
Os controles de acesso e sessão no Microsoft Defender for Cloud Apps funcionam com aplicativos do catálogo de aplicativos da nuvem e com aplicativos personalizados. Para obter uma lista de aplicativos que são pré-integrados pelo Defender for Cloud Apps para funcionar imediatamente, consulte Proteger aplicativos com o controle de aplicativo de acesso condicional do Defender for Cloud Apps.
Pré-requisitos
Sua organização deve ter as seguintes licenças para usar o controle de aplicativo de acesso condicional:
- A licença exigida pela sua solução de provedor de identidade (IdP)
- Microsoft Defender for Cloud Apps
Os aplicativos devem ser configurados com logon único
Os aplicativos devem usar um dos seguintes protocolos de autenticação:
Metadados Protocolos Microsoft Entra ID SAML 2.0 ou OpenID Connect Outro SAML 2.0
Configure seu IdP para trabalhar com o Defender for Cloud Apps
Use as etapas a seguir para rotear sessões de aplicativos de outras soluções IdP para o Defender for Cloud Apps. Para Microsoft Entra ID, consulte Configurar a integração com o Microsoft Entra ID.
Nota
Para obter exemplos de como configurar soluções IdP, consulte:
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
Selecione + Adicionar e, no pop-up, selecione a aplicação que pretende implementar e, em seguida, selecione Iniciar Assistente.
Na página INFORMAÇÕES DO APLICATIVO, preencha o formulário usando as informações da página de configuração de logon único do seu aplicativo e selecione Avançar.
Se o seu IdP fornecer um arquivo de metadados de logon único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
Ou selecione Preencher dados manualmente e forneça as seguintes informações:
- URL do serviço ao consumidor de asserção
- Se seu aplicativo fornecer um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.
Por exemplo:
Na página IDENTITY PROVIDER, use as etapas fornecidas para configurar um novo aplicativo no portal do seu IdP e selecione Avançar.
Vá para o portal do seu IdP e crie um novo aplicativo SAML personalizado.
Copie a configuração de logon único do aplicativo existente
<app_name>para o novo aplicativo personalizado.Atribua usuários ao novo aplicativo personalizado.
Copie as informações de configuração de logon único dos aplicativos. Você vai precisar dele na próxima etapa. Por exemplo:
Nota
Essas etapas podem diferir ligeiramente dependendo do seu provedor de identidade. Esta etapa é recomendada pelos seguintes motivos:
Alguns provedores de identidade não permitem que você altere os atributos SAML ou as propriedades de URL de um aplicativo de galeria.
Configurar um aplicativo personalizado permite que você teste esse aplicativo com controles de acesso e sessão sem alterar o comportamento existente para sua organização.
Na página seguinte, preencha o formulário usando as informações da página de configuração de logon único do seu aplicativo e selecione Avançar.
Se o seu IdP fornecer um arquivo de metadados de logon único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
Ou selecione Preencher dados manualmente e forneça as seguintes informações:
- URL do serviço ao consumidor de asserção
- Se seu aplicativo fornecer um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.
Por exemplo:
Na página seguinte, copie as seguintes informações e selecione Avançar. Você precisará das informações na próxima etapa.
- URL de início de sessão único
- Atributos e valores
Por exemplo:
No portal do seu IdP, defina as seguintes configurações, comumente encontradas na página de configurações personalizadas do aplicativo do portal do IdP.
No campo URL de início de sessão único, introduza o URL de início de sessão único que registou anteriormente.
Adicione os atributos e valores que você anotou anteriormente às propriedades do aplicativo. Alguns provedores podem se referir a eles como atributos de usuário ou reivindicações.
Ao criar um novo aplicativo SAML, o Okta Identity Provider limita os atributos a 1024 caracteres. Para atenuar essa limitação, primeiro crie o aplicativo sem os atributos relevantes. Depois de criar o aplicativo, edite-o e adicione os atributos relevantes.
Verifique se o identificador de nome está no formato de endereço de e-mail.
Guarde as definições.
Na página APP CHANGES, faça o seguinte e selecione Next. Você precisará das informações na próxima etapa.
- Copiar o URL de início de sessão único
- Baixe o certificado SAML do Defender for Cloud Apps
Por exemplo:
No portal do seu aplicativo, nas configurações de logon único, faça o seguinte:
(Recomendado) Crie um backup de suas configurações atuais.
Substitua o valor do campo URL de Login do Provedor de Identidade pelo URL de logon único SAML do Defender for Cloud Apps que você anotou anteriormente.
Carregue o certificado SAML do Defender for Cloud Apps que você baixou anteriormente.
Selecione Guardar.
Depois de guardar as suas definições, todos os pedidos de início de sessão associados a esta aplicação serão encaminhados através do controlo da aplicação de acesso condicional.
O certificado SAML do Defender for Cloud Apps é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.
Entrar em cada aplicativo usando um usuário com escopo para a política
Nota
Antes de prosseguir, certifique-se de primeiro sair das sessões existentes.
Depois de criar a política, inicie sessão em cada aplicação configurada nessa política. Certifique-se de entrar usando um usuário configurado na política.
O Defender for Cloud Apps sincronizará os detalhes da sua política com os seus servidores para cada nova aplicação em que iniciar sessão. Isto pode demorar até um minuto.
Verifique se os aplicativos estão configurados para usar controles de acesso e sessão
As instruções anteriores ajudaram você a criar uma política interna do Defender for Cloud Apps para aplicativos de catálogo diretamente no Microsoft Entra ID. Nesta etapa, verifique se os controles de acesso e sessão estão configurados para esses aplicativos.
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
Na tabela de aplicativos, examine a coluna Controles disponíveis e verifique se o Controle de acesso ou o Acesso Condicional do Azure AD e o Controle de sessão aparecem para seus aplicativos.
Se o aplicativo não estiver habilitado para controle de sessão, adicione-o selecionando Integrado com controle de sessão e marcando Usar este aplicativo com controles de sessão. Por exemplo:
Habilitar o aplicativo para uso em sua organização
Quando estiver pronto para habilitar o aplicativo para uso no ambiente de produção da sua organização, siga as etapas a seguir.
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional. Na lista de aplicações, na linha em que a aplicação que está a implementar é apresentada, escolha os três pontos no final da linha e, em seguida, selecione Editar aplicação.
Selecione Permitir que a aplicação funcione em controlos de sessão e, em seguida, selecione Guardar. Por exemplo:
Testar a implantação
Primeiro saia de todas as sessões existentes. Em seguida, tente entrar em cada aplicativo que foi implantado com êxito. Entre usando um usuário que corresponda à política configurada no ID do Microsoft Entra ou para um aplicativo SAML configurado com seu provedor de identidade.
No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Registro de atividades e verifique se as atividades de logon são capturadas para cada aplicativo.
Você pode filtrar selecionando Avançado e, em seguida, filtrar usando Origem é igual ao controle de acesso. Por exemplo:
Recomendamos que inicie sessão em aplicações móveis e de ambiente de trabalho a partir de dispositivos geridos e não geridos. Isso é para garantir que as atividades sejam capturadas corretamente no registro de atividades.
Para verificar se a atividade foi capturada corretamente, selecione uma atividade de login de logon único para que ela abra a gaveta de atividades. Verifique se a tag User agent reflete corretamente se o dispositivo é um cliente nativo (ou seja, um aplicativo móvel ou de desktop) ou se o dispositivo é um dispositivo gerenciado (compatível, ingressado no domínio ou certificado de cliente válido).
Nota
Depois de implantado, não é possível remover um aplicativo da página Controle de Aplicativo de Acesso Condicional. Contanto que você não defina uma sessão ou política de acesso no aplicativo, o controle do aplicativo de acesso condicional não mudará nenhum comportamento para o aplicativo.
Próximos passos
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários