Развертывание элемента управления условным доступом для приложений каталога с помощью идентификатора Microsoft Entra

  • Статья

Элементы управления доступом и сеансами в приложениях Microsoft Defender для облака работают с приложениями из каталога облачных приложений и с пользовательскими приложениями. Список приложений, предварительно подключенных и работающих в поле, см. в разделе "Защита приложений с помощью управления условным доступом для приложений Defender для облака".

Необходимые компоненты

  • У вашей организации должны быть следующие лицензии для использования управления условным доступом:

  • Приложения должны быть настроены с помощью единого входа

  • Приложения должны использовать один из следующих протоколов проверки подлинности:

    IdP Протоколы
    Microsoft Entra ID SAML 2.0 или OpenID Подключение
    Другие SAML 2.0

Настройка интеграции идентификатора Microsoft Entra

Примечание.

При настройке приложения с единым входом в Microsoft Entra ID или других поставщиков удостоверений одно поле, которое может быть указано как необязательное, является параметром URL-адреса для входа. Обратите внимание, что это поле может потребоваться для работы управления приложением условного доступа.

Выполните следующие действия, чтобы создать политику условного доступа Microsoft Entra, которая направляет сеансы приложений в Defender для облака Приложения. Сведения о других решениях поставщика удостоверений см. в разделе "Настройка интеграции с другими решениями idP".

  1. В идентификаторе Microsoft Entra перейдите к условному доступу безопасности>.

  2. На панели условного доступа в верхней части панели инструментов выберите "Создать новую политику>".

  3. В области "Создать" в текстовом поле "Имя" введите имя политики.

  4. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки" и назначьте пользователей и группы, которые будут подключены (начальный вход и проверка) приложения.

  5. В разделе "Назначения" выберите облачные приложения или действия и назначьте приложения и действия, которые вы хотите контролировать с помощью управления условным доступом.

  6. В разделе "Элементы управления доступом" выберите "Сеанс", выберите "Использовать управление приложениями условного доступа" и выберите встроенную политику (мониторинг только (предварительная версия) или блокировку скачивания (предварительная версия)) или используйте настраиваемую политику для настройки расширенной политики в Defender для облака приложениях, а затем нажмите кнопку "Выбрать".

    Снимок экрана: страница условного доступа Microsoft Entra.

  7. При необходимости добавьте условия и предоставьте элементы управления по мере необходимости.

  8. Установите для параметра "Включить политику" и нажмите кнопку "Создать".

Примечание.

Прежде чем продолжить, сначала выйдите из существующих сеансов.

После создания политики войдите в каждое настроенное в ней приложение. Используйте учетные данные соответствующего пользователя.

Defender для облака Приложения синхронизируют сведения о политике с серверами для каждого нового приложения, в которое вы войдете. Это может занимать до одной минуты.

Убедитесь, что настроены элементы управления доступом и сеансом

Приведенные выше инструкции помогут вам создать встроенную политику Defender для облака Apps для приложений каталога непосредственно в идентификаторе Microsoft Entra. На этом шаге убедитесь, что для этих приложений настроены элементы управления доступом и сеансами.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа". Просмотрите столбец "Доступные элементы управления" и убедитесь, что для приложений отображается управление доступом или условный доступ Azure AD, а также элемент управления сеансом.

    Если приложение не включено для элемента управления сеансом, добавьте его, выбрав "Подключение" с помощью элемента управления сеансом и проверка использовать это приложение с элементами управления сеансами. Например:

    Снимок экрана: подключение с элементом управления сеансом.

Включение приложения для использования в рабочей среде

Когда вы будете готовы, эта процедура описывает, как включить приложение для использования в рабочей среде вашей организации.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа". В списке приложений в строке, в которой отображается развернуто приложение, выберите три точки в конце строки и нажмите кнопку "Изменить приложение".

  3. Выберите "Включить приложение для работы с элементами управления сеансами " и нажмите кнопку "Сохранить". Например:

    Снимок экрана: изменение этого приложения? Диалог.

  4. Сначала выйдите из существующих сеансов. Затем попробуйте войти в каждое успешно развернутое приложение. Войдите с помощью пользователя, соответствующего политике, настроенной в идентификаторе Microsoft Entra, или для приложения SAML, настроенного поставщиком удостоверений.

  5. На портале Microsoft Defender в разделе "Облачные приложения" выберите журнал действий и убедитесь, что действия входа записываются для каждого приложения.

  6. Вы можете фильтровать, выбрав "Дополнительно", а затем отфильтровав с помощью источника, равного управлению доступом. Например:

    Снимок экрана: фильтрация с помощью условного доступа Microsoft Entra.

  7. Рекомендуется войти в мобильные и классические приложения с управляемых и неуправляемых устройств. Это необходимо для того, чтобы проверить правильность регистрации действий в журнале.

    Чтобы убедиться, что действие правильно записано, выберите действие входа единого входа, чтобы открыть ящик действий. Убедитесь в том, что значение Тег агента пользователя отражает состояние устройства, то есть является ли оно собственным клиентом (мобильное или классическое приложение) или управляемым устройством (соответствует требованиям, присоединено к домену или имеет допустимый сертификат клиента).

Примечание.

После развертывания приложение нельзя удалить на странице управления условным доступом. Если в приложении не задана политика сеанса или доступа, управление условным доступом не изменит поведение приложения.

Следующие шаги

"НАЗАД: введение в управление условным доступом к приложению

ДАЛЕЕ: развертывание элемента управления условным доступом для любого приложения »

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.