Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med hjälp av Microsoft Entra ID

  • Artikel

Sessionskontroller i Microsoft Defender för molnet Appar kan konfigureras för att fungera med alla webbappar. Den här artikeln beskriver hur du registrerar och distribuerar anpassade verksamhetsspecifika appar, icke-aktuella SaaS-appar och lokala appar som hanteras via Microsoft Entra-programproxyn med sessionskontroller. Den innehåller steg för att skapa en princip för villkorsstyrd åtkomst i Microsoft Entra som dirigerar appsessioner till Defender för molnet-appar. Andra IdP-lösningar finns i Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med icke-Microsoft IdP.

En lista över appar som visas av Defender för molnet Appar för att fungera direkt finns i Skydda appar med Defender för molnet Appkontroll för villkorsstyrd åtkomst.

Förutsättningar

Innan du påbörjar registreringsprocessen måste du göra följande:

Lägga till administratörer i listan över registrering/underhåll av appar

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange användarens huvudnamn eller e-postadress för de användare som ska registrera appen och välj sedan Spara.

    Screenshot of settings for App onboarding and maintenance.

Sök efter nödvändiga licenser

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

  • Appar måste konfigureras med enkel inloggning

  • Appar måste använda något av följande autentiseringsprotokoll:

    IdP Protokoll
    Microsoft Entra ID SAML 2.0 eller OpenID Anslut

Så här distribuerar du alla appar

Om du vill registrera ett program som ska styras av Defender för molnet apps villkorlig åtkomstkontroll måste du:

Följ stegen nedan för att konfigurera appar som ska styras av Defender för molnet Appkontroll för villkorsstyrd åtkomst.

Kommentar

Om du vill distribuera appkontroll för villkorsstyrd åtkomst för Microsoft Entra-appar behöver du en giltig licens för Microsoft Entra ID P1 eller senare samt en licens för Defender för molnet Apps.

Konfigurera Microsoft Entra-ID så att det fungerar med Defender för molnet Apps

Kommentar

När du konfigurerar ett program med enkel inloggning i Microsoft Entra-ID eller andra identitetsprovidrar är ett fält som kan anges som valfritt inställningen för inloggnings-URL. Observera att det här fältet kan krävas för att appkontrollen för villkorsstyrd åtkomst ska fungera.

  1. I Microsoft Entra-ID bläddrar du till Villkorlig åtkomst för säkerhet>.

  2. I fönstret Villkorsstyrd åtkomst går du till verktygsfältet längst upp och väljer Ny princip –> Skapa ny princip.

  3. Ange principnamnet i textrutan Namn i fönstret Nytt.

  4. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter, tilldelar de användare som ska registrera (inledande inloggning och verifiering) appen och väljer sedan Klar.

  5. Under Tilldelningar väljer du Molnappar eller åtgärder, tilldelar de appar som du vill styra med appkontroll för villkorsstyrd åtkomst och väljer sedan Klar.

  6. Under Åtkomstkontroller väljer du Session, Använder appkontroll för villkorsstyrd åtkomst och väljer en inbyggd princip (endast övervaka eller Blockera nedladdningar) eller Använd anpassad princip för att ange en avancerad princip i Defender för molnet Appar och klicka sedan på Välj.

    Microsoft Entra Conditional Access.

  7. Du kan också lägga till villkor och bevilja kontroller efter behov.

  8. Ange Aktivera princip till och välj sedan Skapa.

Program i appkatalogen fylls automatiskt i i tabellen under Anslut ed Apps. Logga ut från programmet om du har en aktiv session och logga in igen så att appen kan identifieras. Kontrollera att den app som du vill distribuera identifieras genom att navigera dit.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst för att få åtkomst till en tabell med program som kan konfigureras med åtkomst- och sessionsprinciper.

    Conditional access app control apps.

  3. Välj listrutan App: Välj appar... för att filtrera och söka efter den app som du vill distribuera.

    Select App: Select apps to search for the app.

  4. Om du inte ser appen där måste du lägga till den manuellt.

Så här lägger du till en oidentifierad app manuellt

  1. I banderollen väljer du Visa nya appar.

    Conditional access app control view new apps.

  2. I listan över nya appar väljer du tecknet för varje app som du + registrerar och väljer sedan Lägg till.

    Kommentar

    Om en app inte visas i appkatalogen Defender för molnet Apps visas den i dialogrutan under oidentifierade appar tillsammans med inloggnings-URL:en. När du klickar på +-tecknet för dessa appar kan du registrera programmet som en anpassad app.

    Conditional access app control discovered Microsoft Entra apps.

Genom att koppla rätt domäner till en app kan Defender för molnet Appar framtvinga principer och granskningsaktiviteter.

Om du till exempel har konfigurerat en princip som blockerar nedladdning av filer för en associerad domän blockeras filnedladdningar av appen från domänen. Filnedladdningar av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitetsloggen.

Kommentar

Defender för molnet Apps lägger fortfarande till ett suffix till domäner som inte är associerade med appen för att säkerställa en sömlös användarupplevelse.

  1. Från appen går du till administratörsfältet Defender för molnet Appar och väljer Identifierade domäner.

    Select Discovered domains.

    Kommentar

    Administratörsverktygsfältet är bara synligt för användare med behörighet att registrera eller underhålla appar.

  2. I panelen Identifierade domäner antecknar du domännamn eller exporterar listan som en .csv fil.

    Kommentar

    Panelen visar en lista över identifierade domäner som inte är associerade i appen. Domännamnen är fullständigt kvalificerade.

  3. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  4. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  5. I listan över appar på raden där appen du distribuerar visas väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

    Edit app details.

    Dricks

    Om du vill visa listan över domäner som konfigurerats i appen väljer du Visa appdomäner.

    • Användardefinierade domäner: Domäner som är associerade med programmet. Gå till programmet så kan du använda verktygsfältet Admin för att identifiera de domäner som är associerade med programmet och avgöra om någon av dem saknas. Observera att en domän som saknas kan göra att det skyddade programmet inte återges korrekt.

    • Behandla åtkomsttoken som inloggningsbegäranden: Vissa program använder åtkomsttoken och kodbegäranden som appinloggningar. Detta ger möjlighet att behandla åtkomsttoken och kodbegäranden som inloggningar vid registrering av appar för åtkomst och sessionskontroller för att programmet ska återges korrekt. När du registrerar programmet kontrollerar du alltid att det är markerat.

    • Använd appen med sessionskontroll: Om du vill tillåta att den här appen används eller inte används med sessionskontroller. När du registrerar programmet kontrollerar du alltid att detta är markerat.

    • Utför en andra inloggning: Om programmet använder en nonce krävs en andra inloggning för att ta hänsyn till nonce-hanteringen. Nonce eller den andra inloggningen används av program för att se till att inloggningstoken som IdP skapar för användaren bara kan användas en gång och inte stjälas och återanvändas av någon annan. Nonce kontrolleras av tjänstleverantören för att matcha vad den förväntade sig, och inte något som den nyligen har använt redan, vilket kan tyda på en reprisattack. När detta väljs ser vi till att en andra inloggning utlöses från en suffixad session, vilket garanterar en lyckad inloggning. För bättre prestanda bör detta aktiveras.

      Perform a second login.

  6. I Användardefinierade domäner anger du alla domäner som du vill associera med den här appen och väljer sedan Spara.

    Kommentar

    Du kan använda jokertecknet * som platshållare för valfritt tecken. När du lägger till domäner bestämmer du om du vill lägga till specifika domäner (sub1.contoso.com,sub2.contoso.com) eller flera domäner (*.contoso.com). Detta stöds endast för specifika domäner (*.contoso.com) och inte för toppnivådomäner (*.com).

  7. Upprepa följande steg för att installera den aktuella certifikatutfärdare och nästa ca självsignerade rotcertifikat.

    1. Välj certifikatet.
    2. Välj Öppna och välj Öppna igen när du uppmanas att göra det.
    3. Välj Installera certifikat.
    4. Välj antingen Aktuell användare eller Lokal dator.
    5. Välj Placera alla certifikat i följande arkiv och välj sedan Bläddra.
    6. Välj Betrodda rotcertifikatutfärdare och välj sedan OK.
    7. Välj Slutför.

    Kommentar

    För att certifikaten ska identifieras måste du starta om webbläsaren och gå till samma sida när du har installerat certifikatet.

  8. Välj Fortsätt.

  9. Kontrollera att programmet är tillgängligt i tabellen.

    Onboard with session control.

Kontrollera att programmet är skyddat genom att först utföra antingen en hård utloggning av webbläsare som är associerade med programmet eller öppna en ny webbläsare med inkognitoläge.

Öppna programmet och utför följande kontroller:

  • Kontrollera om låsikonen visas i webbläsaren eller om du arbetar i en annan webbläsare än Microsoft Edge. Kontrollera att appens URL innehåller suffixet .mcas . Mer information finns i Webbläsarskydd med Microsoft Edge för företag (förhandsversion).
  • Besök alla sidor i appen som ingår i en användares arbetsprocess och kontrollera att sidorna återges korrekt.
  • Kontrollera att appens beteende och funktioner inte påverkas negativt av vanliga åtgärder som att ladda ned och ladda upp filer.
  • Granska listan över domäner som är associerade med appen.

Om du stöter på fel eller problem använder du administratörsfältet för att samla in resurser, till exempel .har filer och inspelade sessioner för att skicka in ett supportärende.

Gör följande när du är redo att aktivera appen för användning i organisationens produktionsmiljö.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.
  2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.
  3. I listan över appar, på raden där appen du distribuerar visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.
  4. Välj Använd appen med sessionskontroller och välj sedan Spara.
  5. I Microsoft Entra-ID går du till Säkerhet och väljer Villkorlig åtkomst.
  6. Uppdatera principen som du skapade tidigare för att inkludera relevanta användare, grupper och kontroller som du behöver.
  7. Under Session Use Conditional Access App Control (Använd>anpassad princip) går du till Defender för molnet Appar och skapar en motsvarande sessionsprincip. Mer information finns i Sessionsprinciper.

Nästa steg

FÖREGÅENDE: Distribuera appkontroll för villkorsstyrd åtkomst för katalogappar

NÄSTA: Skapa en sessionsprincip

Se även

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.