Развертывание управления условным доступом для приложений каталога с помощью поставщика удостоверений Майкрософт

Элементы управления доступом и сеансами в приложениях Microsoft Defender для облака работают с приложениями из каталога облачных приложений и с пользовательскими приложениями. Список приложений, предварительно подключенных с помощью Defender для облака Apps для работы с ним, см. в разделе "Защита приложений с помощью Defender для облака приложений условного доступа".

Необходимые компоненты

• У вашей организации должны быть следующие лицензии для использования управления условным доступом:

  • Лицензия, требуемая решением поставщика удостоверений (IdP)
  • Microsoft Defender для облачных приложений

• Приложения должны быть настроены с помощью единого входа

• Приложения должны использовать один из следующих протоколов проверки подлинности:

  IdP	Протоколы
  Microsoft Entra ID	SAML 2.0 или OpenID Подключение
  Другие	SAML 2.0

Настройка поставщика удостоверений для работы с приложениями Defender для облака

Выполните следующие действия, чтобы маршрутизировать сеансы приложений из других решений поставщика удостоверений в приложения Defender для облака. Сведения об идентификаторе Microsoft Entra см. в разделе "Настройка интеграции с идентификатором Microsoft Entra".

Примечание.

Примеры настройки решений поставщика удостоверений см. в следующих примерах:

• Настройка поставщика PingOne IdP
• Настройка поставщика удостоверений AD FS
• Настройка поставщика удостоверений Okta

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

3. Нажмите кнопку +Добавить и в всплывающем окне выберите приложение, которое нужно развернуть, а затем нажмите кнопку "Пуск".

4. На странице APP INFORMATION заполните форму, используя сведения на странице конфигурации единого входа приложения, а затем нажмите кнопку "Далее".

   • Если idP предоставляет файл метаданных единого входа для выбранного приложения, выберите "Отправить файл метаданных" из приложения и отправьте файл метаданных.

   • Или нажмите кнопку "Заполнить данные" вручную и укажите следующие сведения:

     • URL-адрес службы потребителей утверждения
     • Если приложение предоставляет сертификат SAML, выберите "Использовать <app_name> сертификат SAML" и отправьте файл сертификата.

   Например:

   

5. На странице поставщика удостоверений выполните указанные действия, чтобы настроить новое приложение на портале поставщика удостоверений, а затем нажмите кнопку "Далее".

6. Перейдите на портал поставщика удостоверений и создайте пользовательское приложение SAML.

7. Скопируйте конфигурацию единого входа существующего <app_name> приложения в новое пользовательское приложение.

8. Назначьте пользователей новому пользовательскому приложению.

9. Скопируйте сведения о конфигурации единого входа приложений. Он понадобится на следующем шаге. Например:

   

   Примечание.

   Эти действия могут немного отличаться в зависимости от поставщика удостоверений. Этот шаг рекомендуется по следующим причинам:

   • Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или свойства URL-адреса приложения коллекции.

   • Настройка настраиваемого приложения позволяет тестировать это приложение с помощью элементов управления доступом и сеансами, не изменяя существующее поведение вашей организации.

10. На следующей странице заполните форму с помощью сведений на странице конфигурации единого входа приложения и нажмите кнопку "Далее".

    • Если idP предоставляет файл метаданных единого входа для выбранного приложения, выберите "Отправить файл метаданных" из приложения и отправьте файл метаданных.

    • Или нажмите кнопку "Заполнить данные" вручную и укажите следующие сведения:

      • URL-адрес службы потребителей утверждения
      • Если приложение предоставляет сертификат SAML, выберите "Использовать <app_name> сертификат SAML" и отправьте файл сертификата.

    Например:

    

11. На следующей странице скопируйте следующие сведения и нажмите кнопку "Далее". Вам потребуется информация на следующем шаге.

    • URL-адрес единого входа
    • Атрибуты и значения

    Например:

    

12. На портале поставщика удостоверений настройте следующие параметры, как правило, на странице пользовательских параметров приложения на портале idP.

    1. В поле URL-адреса единого входа введите URL-адрес единого входа, который вы записали ранее.

    2. Добавьте атрибуты и значения, которые вы записали ранее в свойства приложения. Некоторые поставщики могут ссылаться на них как атрибуты пользователя или утверждения.

       При создании нового приложения SAML поставщик удостоверений Okta ограничивает атрибуты 1024 символами. Чтобы устранить это ограничение, сначала создайте приложение без соответствующих атрибутов. После создания приложения измените его, а затем добавьте соответствующие атрибуты.

    3. Убедитесь, что идентификатор имени находится в формате адреса электронной почты.

    4. Сохраните свои настройки.

13. На странице "ИЗМЕНЕНИЯ ПРИЛОЖЕНИЯ" выполните указанные ниже действия и нажмите кнопку "Далее". Вам потребуется информация на следующем шаге.

    • Копирование URL-адреса единого входа
    • Скачивание сертификата SAML для приложений Defender для облака

    Например:

    

14. На портале приложения на параметрах единого входа выполните следующие действия:

    1. (Рекомендуется) Создайте резервную копию текущих параметров.

    2. Замените значение поля URL-адреса входа поставщика удостоверений на URL-адрес единого входа Defender для облака Apps SAML, который вы указали ранее.

    3. Отправьте сертификат SAML Defender для облака Apps, скачанный ранее.

    4. Выберите Сохранить.

После сохранения параметров все связанные запросы на вход в это приложение будут перенаправлены с помощью управления условным доступом.

Сертификат SAML Defender для облака Apps действителен в течение одного года. После истечения срока действия нового сертификата потребуется создать.

Войдите в каждое приложение с помощью пользователя, область в политику

Примечание.

Прежде чем продолжить, сначала выйдите из существующих сеансов.

После создания политики войдите в каждое настроенное в ней приложение. Используйте учетные данные соответствующего пользователя.

Defender для облака Приложения синхронизируют сведения о политике с серверами для каждого нового приложения, в которое вы войдете. Это может занимать до одной минуты.

Проверка настройки приложений для использования элементов управления доступом и сеансами

Приведенные выше инструкции помогут вам создать встроенную политику Defender для облака Apps для приложений каталога непосредственно в идентификаторе Microsoft Entra. На этом шаге убедитесь, что для этих приложений настроены элементы управления доступом и сеансами.

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

3. В таблице приложений просмотрите столбец "Доступные элементы управления" и убедитесь, что для приложений отображается управление доступом или условный доступ Azure AD, а также элемент управления сеансом.

   Если приложение не включено для элемента управления сеансом, добавьте его, выбрав "Подключение" с помощью элемента управления сеансом и проверка использовать это приложение с элементами управления сеансами. Например:

   

Включение приложения для использования в организации

После того как вы будете готовы включить приложение для использования в рабочей среде вашей организации, выполните следующие действия.

1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа". В списке приложений в строке, в которой отображается развернуто приложение, выберите три точки в конце строки и нажмите кнопку "Изменить приложение".

3. Выберите "Включить приложение для работы с элементами управления сеансами " и нажмите кнопку "Сохранить". Например:

   

Тестирование развертывания

1. Сначала выйдите из существующих сеансов. Затем попробуйте войти в каждое успешно развернутое приложение. Войдите с помощью пользователя, соответствующего политике, настроенной в идентификаторе Microsoft Entra, или для приложения SAML, настроенного поставщиком удостоверений.

2. На портале Microsoft Defender в разделе "Облачные приложения" выберите журнал действий и убедитесь, что действия входа записываются для каждого приложения.

3. Вы можете фильтровать, выбрав "Дополнительно", а затем отфильтровав с помощью источника, равного управлению доступом. Например:

   

4. Рекомендуется войти в мобильные и классические приложения с управляемых и неуправляемых устройств. Это необходимо для того, чтобы проверить правильность регистрации действий в журнале.

Чтобы убедиться, что действие правильно записано, выберите действие входа единого входа, чтобы открыть ящик действий. Убедитесь в том, что значение Тег агента пользователя отражает состояние устройства, то есть является ли оно собственным клиентом (мобильное или классическое приложение) или управляемым устройством (соответствует требованиям, присоединено к домену или имеет допустимый сертификат клиента).

Примечание.

После развертывания удалить приложение со страницы "Управление условным доступом к приложениям" будет невозможно. Если в приложении не задана политика сеанса или доступа, управление условным доступом не изменит поведение приложения.

Следующие шаги

"НАЗАД: введение в управление условным доступом к приложению

ДАЛЕЕ: развертывание элемента управления условным доступом для любого приложения »

Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.