Развертывание управления условным доступом к приложениям для каталогов с помощью Azure AD

  • Статья

Примечание

Microsoft Defender for Cloud Apps теперь является частью Microsoft 365 Defender, которая сопоставляет сигналы из всего набора Microsoft Defender и предоставляет возможности обнаружения, исследования и реагирования на уровне инцидентов. Дополнительные сведения см. в разделе Microsoft Defender for Cloud Apps в Microsoft 365 Defender.

Элементы управления доступом и сеансом в Microsoft Defender for Cloud Apps работать с приложениями из каталога облачных приложений и с пользовательскими приложениями. Список предварительно подключенных и готовых приложений см. в статье Защита приложений с помощью управления условным доступом к приложениям в Defender for Cloud Apps.

Предварительные требования

  • Для использования управления условным доступом к приложениям у вашей организации должны быть следующие лицензии:

  • Для приложений необходимо настроить единый вход.

  • Приложения должны использовать один из следующих протоколов проверки подлинности:

    IdP Протоколы
    Azure AD SAML 2.0 или OpenID Connect
    другой SAML 2.0

Развертывание приложений каталога

Выполните следующие действия, чтобы настроить приложения каталога для управления с помощью Microsoft Defender for Cloud Apps управления условным доступом к приложениям.

Настройка интеграции с Azure AD

Примечание

При настройке приложения с единым входом в Azure AD или других поставщиков удостоверений одним из полей, которое может быть указано как необязательное, является параметр URL-адрес входа. Обратите внимание, что это поле может потребоваться для работы управления условным доступом к приложениям.

Выполните следующие действия, чтобы создать политику условного доступа Azure AD, которая направляет сеансы приложений в Defender for Cloud Apps. Сведения о других решениях поставщика удостоверений см. в статье Настройка интеграции с другими решениями поставщика удостоверений.

  1. В Azure AD перейдите к элементу Безопасность>условного доступа.

  2. На панели условный доступ в верхней части панели инструментов выберите Создать политику ->Создать политику.

  3. В области Создать в текстовом поле Имя введите имя политики.

  4. В разделе Назначения выберите Пользователи или удостоверения рабочей нагрузки и назначьте пользователей и группы, которые будут подключены (первоначальный вход и проверка) приложения.

  5. В разделе Назначения выберите Облачные приложения или действия и назначьте приложения и действия, которыми вы хотите управлять, с помощью управления условным доступом к приложениям.

  6. В разделе Элементы управления доступом выберите Сеанс, выберите Использовать управление условным доступом к приложениям и выберите встроенную политику (Только мониторинг (предварительная версия) или Блокировать загрузки (предварительная версия)) или Использовать пользовательскую политику для настройки расширенной политики в Defender for Cloud Apps, а затем нажмите кнопку Выбрать.

    Azure AD условный доступ.

  7. При необходимости добавьте условия и предоставьте элементы управления.

  8. Установите для параметра Включить политику значение Включено , а затем нажмите кнопку Создать.

Примечание

Прежде чем продолжить, убедитесь, что выйдите из существующих сеансов.

После создания политики войдите в каждое настроенное в ней приложение. Используйте учетные данные соответствующего пользователя.

Defender for Cloud Apps будет синхронизировать сведения о политике с серверами для каждого нового приложения, в которое вы входите. Это может занимать до одной минуты.

Предыдущие инструкции помогли вам создать встроенную политику Defender for Cloud Apps для приложений каталога непосредственно в Azure AD. На этом шаге убедитесь, что для этих приложений настроены элементы управления доступом и сеансом.

  1. На портале Microsoft 365 Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Подключенные приложения выберите Приложения для управления условным доступом к приложениям. Просмотрите столбец Доступные элементы управления и убедитесь, что для ваших приложений отображаются элементы управления доступом или Azure AD условный доступ и управление сеансом.

    Примечание

    Если для приложения не включено управление сеансом, его можно добавить, выбрав Подключиться к элементу управления сеансом и установив флажок Использовать это приложение с элементами управления сеансом. Подключение с элементом управления сеансом.

Когда вы будете готовы включить приложение для использования в рабочей среде вашей организации, выполните следующие действия.

  1. На портале Microsoft 365 Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Подключенные приложения выберите Приложения для управления условным доступом к приложениям. В списке приложений в строке, в которой отображается приложение, которое вы развертываете, выберите пункты с тремя точками в конце строки, а затем выберите Изменить приложение.

  3. Выберите Использовать приложение с элементами управления сеансом , а затем нажмите кнопку Сохранить.

    Изменить диалоговое окно приложения.

  4. Сначала выйдите из существующих сеансов. Затем попробуйте войти в каждое успешно развернутое приложение. Войдите с помощью пользователя, который соответствует политике, настроенной в Azure AD, или для приложения SAML, настроенного с помощью поставщика удостоверений.

  5. На портале Microsoft 365 Defender в разделе Облачные приложения выберите Журнал действий и убедитесь, что действия входа записываются для каждого приложения.

  6. Вы можете выполнить фильтрацию, выбрав Дополнительно, а затем выбрав параметр Source equals Access Control ( Управление доступом).

    Фильтрация с помощью Azure AD условного доступа.

  7. Рекомендуется выполнить вход в мобильные и классические приложения с управляемых и неуправляемых устройств. Это необходимо для того, чтобы проверить правильность регистрации действий в журнале.
    Чтобы убедиться, что действие записано правильно, выберите действие единого входа, чтобы открыть панель действий. Убедитесь в том, что значение Тег агента пользователя отражает состояние устройства, то есть является ли оно собственным клиентом (мобильное или классическое приложение) или управляемым устройством (соответствует требованиям, присоединено к домену или имеет допустимый сертификат клиента).

Примечание

После развертывания удалить приложение со страницы "Управление условным доступом к приложениям" будет невозможно. Если вы не зададите для приложения политику сеансов или политику доступа, функция управления условным доступом к приложениям будет работать с приложением без изменений.

Дальнейшие действия

« НАЗАД: Введение в управление условным доступом к приложениям

ДАЛЕЕ. Развертывание управления условным доступом к приложениям для любого приложения »

Устранение неполадок доступа к сеансам и управления ими

Если у вас возникнут проблемы, мы поможем вам. Чтобы получить помощь или поддержку по своему продукту, отправьте запрос в службу поддержки.