Развертывание управления приложениями условного доступа для пользовательских приложений с помощью поставщиков удостоверений, отличных от Майкрософт

Элементы управления сеансами в Microsoft Defender для облака Приложения можно настроить для работы с любыми веб-приложениями. В этой статье описывается, как подключить и развернуть пользовательские бизнес-приложения, нефункционированные приложения SaaS и локальные приложения, размещенные через прокси приложения Microsoft Entra с элементами управления сеансами. В ней приведены шаги по маршрутизации сеансов приложений из других решений поставщика удостоверений в Defender для облака Приложения. Сведения об идентификаторе Microsoft Entra см. в разделе "Развертывание элемента управления условным доступом" для пользовательских приложений с помощью идентификатора Microsoft Entra.

Список приложений, которые представлены Defender для облака приложениями для работы с ним, см. в разделе "Защита приложений с помощью Defender для облака управления условным доступом к приложениям".

Необходимые компоненты

Добавление администраторов в список подключений и обслуживания приложений

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе "Управление условным доступом" выберите "Подключение и обслуживание приложений".

3. Введите имя участника-пользователя или электронную почту для пользователей, которые будут подключены к приложению, а затем нажмите кнопку "Сохранить".

   

Проверка необходимых лицензий

• У вашей организации должны быть следующие лицензии для использования управления приложениями условного доступа:

  • Лицензия, требуемая решением поставщика удостоверений (IdP)
  • Microsoft Defender для облачных приложений

• Приложения должны быть настроены с помощью единого входа

• Приложения должны использовать следующие протоколы проверки подлинности:

  IdP	Протоколы
  Другие	SAML 2.0

Развертывание любого приложения

Выполните следующие действия, чтобы настроить любое приложение для управления Defender для облака приложениями с условным доступом.

1. Настройка поставщика удостоверений для работы с приложениями Defender для облака

2. Настройка развернутого приложения

3. Убедитесь, что приложение работает правильно

4. Включение приложения для использования в организации

Примечание.

Чтобы развернуть элемент управления условным доступом для приложений Microsoft Entra, требуется действительная лицензия для Microsoft Entra ID P1 или более поздней версии, а также лицензия Defender для облака Apps.

Шаг 1. Настройка поставщика удостоверений для работы с приложениями Defender для облака

Примечание.

Примеры настройки решений поставщика удостоверений см. в следующих примерах:

• Настройка поставщика PingOne IdP
• Настройка поставщика удостоверений AD FS
• Настройка поставщика удостоверений Okta

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

3. Нажмите кнопку +Добавить и в всплывающем окне выберите приложение, которое нужно развернуть, а затем нажмите кнопку "Пуск".

4. На странице APP INFORMATION заполните форму, используя сведения на странице конфигурации единого входа приложения, а затем нажмите кнопку "Далее". — Если idP предоставляет файл метаданных единого входа для выбранного приложения, выберите "Отправить файл метаданных" из приложения и отправьте файл метаданных. — Или нажмите кнопку "Заполнить данные вручную" и укажите следующие сведения: — URL-адрес службы потребителей утверждений. Если приложение предоставляет сертификат SAML, выберите app_name "Использовать <сертификат SAML"> и отправьте файл сертификата.

   

5. На странице поставщика удостоверений выполните указанные действия, чтобы настроить новое приложение на портале поставщика удостоверений, а затем нажмите кнопку "Далее".

6. Перейдите на портал поставщика удостоверений и создайте пользовательское приложение SAML.

7. Скопируйте конфигурацию единого входа существующего <app_name> приложения в новое пользовательское приложение.

8. Назначьте пользователей новому пользовательскому приложению.

9. Скопируйте сведения о конфигурации единого входа приложений. Он понадобится на следующем шаге.

   

   Примечание.

   Эти действия могут немного отличаться в зависимости от поставщика удостоверений. Этот шаг рекомендуется по следующим причинам:

   • Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или свойства URL-адреса приложения коллекции
   • Настройка настраиваемого приложения позволяет тестировать это приложение с помощью элементов управления доступом и сеансами, не изменяя существующее поведение вашей организации.

10. На следующей странице заполните форму с помощью сведений на странице конфигурации единого входа приложения и нажмите кнопку "Далее". — Если idP предоставляет файл метаданных единого входа для выбранного приложения, выберите "Отправить файл метаданных" из приложения и отправьте файл метаданных. — Или нажмите кнопку "Заполнить данные вручную" и укажите следующие сведения: — URL-адрес службы потребителей утверждений. Если приложение предоставляет сертификат SAML, выберите app_name "Использовать <сертификат SAML"> и отправьте файл сертификата.

    

11. На следующей странице скопируйте следующие сведения и нажмите кнопку "Далее". Вам потребуется информация на следующем шаге.

• URL-адрес единого входа

• Атрибуты и значения

  

1. На портале поставщика удостоверений выполните следующие действия.

   Примечание.

   Параметры обычно находятся на странице пользовательских параметров приложения портала IdP.

   1. Рекомендуется создать резервную копию текущих параметров.

   2. Замените значение поля URL-адреса единого входа на URL-адрес Defender для облака Apps SAML, который вы указали ранее.

      Примечание.

      Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.

   3. Добавьте атрибуты и значения, которые вы записали ранее в свойства приложения.

      Примечание.

      • Некоторые поставщики могут ссылаться на них как атрибуты пользователя или утверждения.
      • При создании нового приложения SAML поставщик удостоверений Okta ограничивает атрибуты 1024 символами. Чтобы устранить это ограничение, сначала создайте приложение без соответствующих атрибутов. После создания приложения измените его, а затем добавьте соответствующие атрибуты.

   4. Убедитесь, что идентификатор имени находится в формате адреса электронной почты.

   5. Сохраните свои настройки.

2. На странице "ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ" выполните указанные ниже действия и нажмите кнопку "Далее". Вам потребуется информация на следующем шаге.

• Копирование URL-адреса единого входа

• Скачивание сертификата SAML для приложений Defender для облака

  

1. На портале приложения на параметрах единого входа выполните следующие действия:
   1. Рекомендуется создать резервную копию текущих параметров.
   2. В поле URL-адрес единого входа введите URL-адрес единого входа Defender для облака Apps, который вы записали ранее.
   3. Отправьте сертификат SAML Defender для облака Apps, скачанный ранее.

   Примечание.

   • После сохранения параметров все связанные запросы на вход в это приложение будут перенаправлены через элемент управления условным доступом.
   • Сертификат SAML Defender для облака Apps действителен в течение одного года. После истечения срока действия нового сертификата потребуется создать.

Шаг 2. Добавление приложения вручную и установка сертификатов при необходимости

Приложения в каталоге приложений автоматически заполняются в таблице в разделе Подключение ed Apps. Убедитесь, что приложение, которое вы хотите развернуть, распознается путем перехода туда.

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе Подключение приложения выберите приложения управления условным доступом для доступа к таблице приложений, которые можно настроить с помощью политик доступа и сеансов.

   

3. Выберите приложение: выберите приложения... раскрывающееся меню, чтобы отфильтровать и найти приложение, которое вы хотите развернуть.

   

4. Если вы не видите приложение там, вам придется вручную добавить его.

Добавление неопознанного приложения вручную

1. В баннере выберите "Просмотреть новые приложения".

   

2. В списке новых приложений для каждого приложения, которое вы добавляете, выберите + знак и нажмите кнопку "Добавить".

   Примечание.

   Если приложение не отображается в каталоге приложений Defender для облака Apps, оно появится в диалоговом окне в неопознанных приложениях вместе с URL-адресом входа. Щелкнув значок плюса рядом с таким приложением, вы можете подключить его в качестве пользовательского приложения.

   

Добавление доменов для приложения

Связывание правильных доменов с приложением позволяет Defender для облака приложениям применять политики и действия аудита.

Например, если вы настроили политику, которая блокирует скачивание файлов для связанного домена, файлы, скачиваемые приложением из этого домена, будут заблокированы. Однако скачивание файлов приложением из доменов, не связанных с приложением, не будет заблокировано, и действие не будет проверено в журнале действий.

Примечание.

Defender для облака Приложения по-прежнему добавляют суффикс в домены, не связанные с приложением, чтобы обеспечить простой пользовательский интерфейс.

1. В приложении на панели инструментов администратора приложений Defender для облака выберите "Обнаруженные домены".

   Примечание.

   Панель инструментов администратора отображается только пользователям с разрешениями на подключение или обслуживание приложений.

2. На панели "Обнаруженные домены" запишите доменные имена или экспортируйте список в виде файла .csv.

   Примечание.

   На панели отображается список обнаруженных доменов, которые не связаны в приложении. Доменные имена являются полными.

3. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".
4. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".
5. В списке приложений в строке, в которой отображается развернуто приложение, выберите три точки в конце строки и нажмите кнопку "Изменить приложение".

   Совет

   Чтобы просмотреть список доменов, настроенных в приложении, выберите "Просмотреть домены приложений".

6. В определяемых пользователем доменах введите все домены, которые вы хотите связать с этим приложением, а затем нажмите кнопку "Сохранить".

   Примечание.

   Символ *wild карта можно использовать в качестве заполнителя для любого символа. При добавлении доменов определите, нужно ли добавлять определенные домены (sub1.contoso.com,sub2.contoso.com) или несколько доменов (*.contoso.com).

Установка корневых сертификатов

1. Повторите следующие действия, чтобы установить самозаверяющий корневой сертификат центра сертификации и следующего ЦС .

   1. Выберите сертификат.
   2. Нажмите кнопку "Открыть" и при появлении запроса снова нажмите кнопку "Открыть".
   3. Выберите " Установить сертификат".
   4. Выберите текущего пользователя или локального компьютера.
   5. Выберите "Разместить все сертификаты" в следующем хранилище и нажмите кнопку "Обзор".
   6. Выберите доверенные корневые центры сертификации и нажмите кнопку "ОК".
   7. Нажмите Готово.

   Примечание.

   Чтобы сертификаты были распознаны, после установки сертификата необходимо перезапустить браузер и перейти на ту же страницу.

2. Выберите Продолжить.

3. Убедитесь, что приложение доступно в таблице.

   

Шаг 3. Убедитесь, что приложение работает правильно

Чтобы убедиться, что приложение защищено, сначала выполните жесткий выход из браузеров, связанных с приложением, или откройте новый браузер с режимом инкогнито.

Откройте приложение и выполните следующие проверка:

• Проверьте, отображается ли значок блокировки в браузере или если вы работаете в браузере, отличном от Microsoft Edge, проверка, что URL-адрес приложения содержит .mcas суффикс. Дополнительные сведения см. в статье "Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)".
• Посетите все страницы в приложении, которые являются частью рабочего процесса пользователя, и убедитесь, что страницы отображаются правильно.
• Убедитесь, что поведение и функциональные возможности приложения не влияют на выполнение распространенных действий, таких как скачивание и отправка файлов.
• Просмотрите список доменов, связанных с приложением. Дополнительные сведения см. в разделе "Добавление доменов" для приложения.

Если возникают ошибки или проблемы, используйте панель инструментов администратора для сбора ресурсов, таких как .har файлы и записанные сеансы для подачи запроса в службу поддержки.

Шаг 4. Включение приложения для использования в организации

После того как вы будете готовы включить приложение для использования в рабочей среде вашей организации, выполните следующие действия.

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

3. В списке приложений в строке, в которой отображается развернуто приложение, выберите три точки в конце строки и нажмите кнопку "Изменить приложение".

4. Выберите "Включить приложение для работы с элементами управления сеансами " и нажмите кнопку "Сохранить".

   

Следующие шаги

"НАЗАД: развертывание управления приложениями условного доступа для приложений каталога

ДАЛЕЕ: создание политики сеанса »

См. также

Общие сведения об управлении приложениями условного доступа

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.