Развертывание Управления условным доступом к приложениям для пользовательских приложений с помощью Microsoft Entra ID

  • Статья

Элементы управления сеансами в Microsoft Defender для облака Приложения можно настроить для работы с любыми веб-приложениями. В этой статье описывается, как подключить и развернуть пользовательские бизнес-приложения, нефункционированные приложения SaaS и локальные приложения, размещенные через прокси приложения Microsoft Entra с элементами управления сеансами. В ней приведены шаги по созданию политики условного доступа Microsoft Entra, которая направляет сеансы приложений в Defender для облака приложения. Дополнительные сведения о других решениях поставщика удостоверений см. в разделе "Развертывание управления условным доступом к приложениям" для пользовательских приложений с помощью поставщика удостоверений Майкрософт.

Список приложений, которые представлены Defender для облака приложениями для работы с ним, см. в разделе "Защита приложений с помощью Defender для облака управления условным доступом к приложениям".

Необходимые компоненты

Перед началом процесса подключения необходимо выполнить следующее:

Добавление администраторов в список подключений и обслуживания приложений

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе "Управление условным доступом" выберите "Подключение и обслуживание приложений".

  3. Введите имя участника-пользователя или электронную почту для пользователей, которые будут подключены к приложению, а затем нажмите кнопку "Сохранить".

    Screenshot of settings for App onboarding and maintenance.

Проверка необходимых лицензий

  • У вашей организации должны быть следующие лицензии для использования управления приложениями условного доступа:

  • Приложения должны быть настроены с помощью единого входа

  • Приложения должны использовать один из следующих протоколов проверки подлинности:

    IdP Протоколы
    Microsoft Entra ID SAML 2.0 или OpenID Подключение

Развертывание любого приложения

Чтобы подключить приложение для управления с помощью условного контроль доступа приложений Defender для облака приложений, вам потребуется:

Выполните приведенные ниже действия, чтобы настроить любое приложение для управления Defender для облака приложениями с условным доступом.

Примечание.

Чтобы развернуть элемент управления условным доступом для приложений Microsoft Entra, требуется действительная лицензия для Microsoft Entra ID P1 или более поздней версии, а также лицензия Defender для облака Apps.

Настройка идентификатора Microsoft Entra для работы с приложениями Defender для облака

Примечание.

При настройке приложения с единым входом в Microsoft Entra ID или других поставщиков удостоверений одно поле, которое может быть указано как необязательное, является параметром URL-адреса для входа. Обратите внимание, что это поле может потребоваться для работы управления приложениями условного доступа.

  1. В идентификаторе Microsoft Entra перейдите к условному доступу безопасности>.

  2. На панели условного доступа в верхней части панели инструментов выберите "Создать новую политику>".

  3. В области "Создать" в текстовом поле "Имя" введите имя политики.

  4. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки", назначьте пользователей, которые будут подключены (начальный вход и проверка) приложения, а затем нажмите кнопку "Готово".

  5. В разделе "Назначения" выберите облачные приложения или действия, назначьте приложения, которые вы хотите контролировать с помощью элемента управления условным доступом, а затем нажмите кнопку "Готово".

  6. В разделе "Элементы управления доступом" выберите "Сеанс", выберите "Использовать управление приложениями условного доступа" и выберите встроенную политику (мониторинг только или блокировка загрузки) или используйте настраиваемую политику для настройки расширенной политики в Defender для облака приложениях и нажмите кнопку "Выбрать".

    Microsoft Entra Conditional Access.

  7. При необходимости добавьте условия и предоставьте элементы управления по мере необходимости.

  8. Установите для параметра "Включить политику" и нажмите кнопку "Создать".

Приложения в каталоге приложений автоматически заполняются в таблице в разделе Подключение ed Apps. Выйдите из приложения, если у вас есть активный сеанс и снова войдите, чтобы разрешить обнаружению приложения. Убедитесь, что приложение, которое вы хотите развернуть, распознается путем перехода туда.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе Подключение приложения выберите приложения управления условным доступом для доступа к таблице приложений, которые можно настроить с помощью политик доступа и сеансов.

    Conditional access app control apps.

  3. Выберите приложение: выберите приложения... раскрывающееся меню, чтобы отфильтровать и найти приложение, которое вы хотите развернуть.

    Select App: Select apps to search for the app.

  4. Если вы не видите приложение там, вам придется вручную добавить его.

Добавление неопознанного приложения вручную

  1. В баннере выберите "Просмотреть новые приложения".

    Conditional access app control view new apps.

  2. В списке новых приложений для каждого приложения, которое вы добавляете, выберите + знак и нажмите кнопку "Добавить".

    Примечание.

    Если приложение не отображается в каталоге приложений Defender для облака Apps, оно появится в диалоговом окне в неопознанных приложениях вместе с URL-адресом входа. Щелкнув значок плюса рядом с таким приложением, вы можете подключить его в качестве пользовательского приложения.

    Conditional access app control discovered Microsoft Entra apps.

Связывание правильных доменов с приложением позволяет Defender для облака приложениям применять политики и действия аудита.

Например, если вы настроили политику, которая блокирует скачивание файлов для связанного домена, файлы, скачиваемые приложением из этого домена, будут заблокированы. Однако скачивание файлов приложением из доменов, не связанных с приложением, не будет заблокировано, и действие не будет проверено в журнале действий.

Примечание.

Defender для облака Приложения по-прежнему добавляют суффикс в домены, не связанные с приложением, чтобы обеспечить простой пользовательский интерфейс.

  1. В приложении на панели инструментов администратора приложений Defender для облака выберите "Обнаруженные домены".

    Select Discovered domains.

    Примечание.

    Панель инструментов администратора отображается только пользователям с разрешениями на подключение или обслуживание приложений.

  2. На панели "Обнаруженные домены" запишите доменные имена или экспортируйте список в виде файла .csv.

    Примечание.

    На панели отображается список обнаруженных доменов, которые не связаны в приложении. Доменные имена являются полными.

  3. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  4. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

  5. В списке приложений в строке, в которой отображается развернуто приложение, выберите три точки в конце строки и нажмите кнопку "Изменить приложение".

    Edit app details.

    Совет

    Чтобы просмотреть список доменов, настроенных в приложении, выберите "Просмотреть домены приложений".

    • Определяемые пользователем домены: домены, связанные с приложением. Перейдите к приложению и с помощью панели инструментов Администратор можно определить домены, связанные с приложением, и определить, отсутствует ли какой-либо из них. Обратите внимание, что отсутствующий домен может привести к неправильной отрисовки защищенного приложения.

    • Обрабатывать маркер доступа как запросы на вход. Некоторые приложения используют маркеры доступа и запросы кода в качестве имен входа приложения. Это дает возможность обрабатывать маркер доступа и запросы кода как имена входа при подключении приложений к элементам управления доступом и сеансом для правильной отрисовки приложения. При подключении приложения всегда убедитесь, что это задается.

    • Используйте приложение с элементом управления сеансом. Чтобы разрешить использовать это приложение или не использовать его с элементами управления сеансами. При подключении приложения всегда убедитесь, что это задается.

    • Выполните второй вход. Если приложение использует nonce, для выполнения обработки неисключаемого входа требуется второй вход. Неиспользуемый или второй вход используется приложениями, чтобы убедиться, что маркер входа, созданный поставщиком удостоверений для пользователя, может использоваться только один раз, а не украден и повторно использован другим пользователем. Неисключение проверка поставщиком услуг, чтобы соответствовать ожидаемым, и не то, что он недавно использовал, что может указывать на атаку воспроизведения. При выборе этого параметра убедитесь, что второй вход активируется из суффиксированного сеанса, что гарантирует успешное вход. Для повышения производительности это необходимо включить.

      Perform a second login.

  6. В определяемых пользователем доменах введите все домены, которые вы хотите связать с этим приложением, а затем нажмите кнопку "Сохранить".

    Примечание.

    Символ *wild карта можно использовать в качестве заполнителя для любого символа. При добавлении доменов определите, нужно ли добавлять определенные домены (sub1.contoso.com,sub2.contoso.com) или несколько доменов (*.contoso.com). Это поддерживается только для определенных доменов (*.contoso.com) и не для доменов верхнего уровня (*.com).

  7. Повторите следующие действия, чтобы установить самозаверяющий корневой сертификат центра сертификации и следующего ЦС .

    1. Выберите сертификат.
    2. Нажмите кнопку "Открыть" и при появлении запроса снова нажмите кнопку "Открыть".
    3. Выберите " Установить сертификат".
    4. Выберите текущего пользователя или локального компьютера.
    5. Выберите "Разместить все сертификаты" в следующем хранилище и нажмите кнопку "Обзор".
    6. Выберите доверенные корневые центры сертификации и нажмите кнопку "ОК".
    7. Нажмите Готово.

    Примечание.

    Чтобы сертификаты были распознаны, после установки сертификата необходимо перезапустить браузер и перейти на ту же страницу.

  8. Выберите Продолжить.

  9. Убедитесь, что приложение доступно в таблице.

    Onboard with session control.

Чтобы убедиться, что приложение защищено, сначала выполните жесткий выход из браузеров, связанных с приложением, или откройте новый браузер с режимом инкогнито.

Откройте приложение и выполните следующие проверка:

  • Проверьте, отображается ли значок блокировки в браузере или если вы работаете в браузере, отличном от Microsoft Edge, проверка, что URL-адрес приложения содержит .mcas суффикс. Дополнительные сведения см. в статье "Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)".
  • Посетите все страницы в приложении, которые являются частью рабочего процесса пользователя, и убедитесь, что страницы отображаются правильно.
  • Убедитесь, что поведение и функциональные возможности приложения не влияют на выполнение распространенных действий, таких как скачивание и отправка файлов.
  • Просмотрите список доменов, связанных с приложением.

Если возникают ошибки или проблемы, используйте панель инструментов администратора для сбора ресурсов, таких как .har файлы и записанные сеансы для подачи запроса в службу поддержки.

После того как вы будете готовы включить приложение для использования в рабочей среде вашей организации, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
  2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".
  3. В списке приложений в строке, в которой отображается развернуто приложение, выберите три точки в конце строки и нажмите кнопку "Изменить приложение".
  4. Выберите "Использовать приложение с элементами управления сеансами " и нажмите кнопку "Сохранить".
  5. В поле "Идентификатор Microsoft Entra" в разделе "Безопасность" выберите условный доступ.
  6. Обновите политику, созданную ранее, чтобы включить необходимых пользователей, групп и элементов управления.
  7. В разделе "Управление>условным доступом к приложениям", если выбран параметр "Использовать настраиваемую политику", перейдите к Defender для облака приложениям и создайте соответствующую политику сеанса. Дополнительные сведения см. в статье Политики сеансов.

Следующие шаги

НАЗАД. Развертывание управления приложениями условного доступа для приложений каталога

ДАЛЕЕ. Создание политики сеанса

См. также

Общие сведения об управлении приложениями условного доступа

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.