Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med icke-Microsoft-identitetsprovidrar

Sessionskontroller i Microsoft Defender för molnet Appar kan konfigureras för att fungera med alla webbappar. Den här artikeln beskriver hur du registrerar och distribuerar anpassade verksamhetsspecifika appar, icke-aktuella SaaS-appar och lokala appar som hanteras via Microsoft Entra-programproxyn med sessionskontroller. Den innehåller steg för att dirigera appsessioner från andra IdP-lösningar till Defender för molnet-appar. Information om Microsoft Entra-ID finns i Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med hjälp av Microsoft Entra-ID.

En lista över appar som visas av Defender för molnet Appar för att fungera direkt finns i Skydda appar med Defender för molnet Appkontroll för villkorsstyrd åtkomst.

Förutsättningar

Lägga till administratörer i listan över registrering/underhåll av appar

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

3. Ange användarens huvudnamn eller e-postadress för de användare som ska registrera appen och välj sedan Spara.

   

Sök efter nödvändiga licenser

• Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

  • Den licens som krävs av din identitetsproviderlösning (IdP)
  • Microsoft Defender för Cloud Apps

• Appar måste konfigureras med enkel inloggning

• Appar måste använda följande autentiseringsprotokoll:

  IdP	Protokoll
  Övrigt	SAML 2.0

Så här distribuerar du alla appar

Följ de här stegen för att konfigurera appar som ska styras av Defender för molnet Appkontroll för villkorsstyrd åtkomst.

1. Konfigurera din IdP så att den fungerar med Defender för molnet Apps

2. Konfigurera den app som du distribuerar

3. Kontrollera att appen fungerar korrekt

4. Aktivera appen för användning i din organisation

Kommentar

Om du vill distribuera appkontroll för villkorsstyrd åtkomst för Microsoft Entra-appar behöver du en giltig licens för Microsoft Entra ID P1 eller senare samt en licens för Defender för molnet Apps.

Steg 1: Konfigurera din IdP så att den fungerar med Defender för molnet Apps

Kommentar

Exempel på hur du konfigurerar IdP-lösningar finns i:

• Konfigurera pingone-IdP:t
• Konfigurera ditt AD FS-IdP
• Konfigurera okta-IdP:t

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

3. Välj +Lägg till och välj den app som du vill distribuera i popup-fönstret och välj sedan Starta guiden.

4. På sidan APPINFORMATION fyller du i formuläret med hjälp av informationen från appens konfigurationssida för enkel inloggning och väljer sedan Nästa.

   • Om din IdP innehåller en metadatafil för enkel inloggning för den valda appen väljer du Ladda upp metadatafil från appen och laddar upp metadatafilen.
   • Eller välj Fyll i data manuellt och ange följande information:
     • Url för konsumenttjänst för försäkran
     • Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

   

5. På sidan IDENTITETSPROVIDER använder du de angivna stegen för att konfigurera ett nytt program i IdP-portalen och väljer sedan Nästa.

   1. Gå till din IdP-portal och skapa en ny anpassad SAML-app.
   2. Kopiera konfigurationen för enkel inloggning för den befintliga <app_name> appen till den nya anpassade appen.
   3. Tilldela användare till den nya anpassade appen.
   4. Kopiera konfigurationsinformationen för enkel inloggning för appar. Du behöver det i nästa steg.

   

   Kommentar

   De här stegen kan variera något beroende på din identitetsprovider. Det här steget rekommenderas av följande skäl:

   • Vissa identitetsprovidrar tillåter inte att du ändrar SAML-attributen eller URL-egenskaperna för en galleriapp
   • Genom att konfigurera en anpassad app kan du testa det här programmet med åtkomst- och sessionskontroller utan att ändra det befintliga beteendet för din organisation.

6. På nästa sida fyller du i formuläret med hjälp av informationen från appens konfigurationssida för enkel inloggning och väljer sedan Nästa.

   • Om din IdP innehåller en metadatafil för enkel inloggning för den valda appen väljer du Ladda upp metadatafil från appen och laddar upp metadatafilen.
   • Eller välj Fyll i data manuellt och ange följande information:
     • Url för konsumenttjänst för försäkran
     • Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

   

7. På nästa sida kopierar du följande information och väljer sedan Nästa. Du behöver informationen i nästa steg.

   • URL för enkel inloggning
   • Attribut och värden

   

8. Gör följande i din IdP-portal:

   Kommentar

   Inställningarna finns ofta på sidan för anpassade appinställningar i IdP-portalen.

   1. Rekommenderas – Skapa en säkerhetskopia av dina aktuella inställningar.

   2. Ersätt fältvärdet för enkel inloggnings-URL med den SAML-url för enkel inloggning med Defender för molnet Apps som du antecknade tidigare.

      Kommentar

      Vissa leverantörer kan referera till url:en för enkel inloggning som svars-URL.

   3. Lägg till attributen och värdena som du antecknade tidigare i appens egenskaper.

      Kommentar

      • Vissa leverantörer kan referera till dem som användarattribut eller anspråk.
      • När du skapar en ny SAML-app begränsar Okta Identity Provider attributen till 1 024 tecken. Du kan minska den här begränsningen genom att först skapa appen utan relevanta attribut. När du har skapat appen redigerar du den och lägger sedan till relevanta attribut.

   4. Kontrollera att namnidentifieraren är i e-postadressformatet.

   5. Spara inställningarna.

9. På sidan APPÄNDRINGAR gör du följande och väljer sedan Nästa. Du behöver informationen i nästa steg.

   • Kopiera URL:en för enkel inloggning
   • Ladda ned SAML-certifikatet Defender för molnet Apps

   

10. Gör följande i appens portal i inställningarna för enkel inloggning:

    1. Rekommenderas – Skapa en säkerhetskopia av dina aktuella inställningar.
    2. I fältet url för enkel inloggning anger du den url för enkel inloggning med Defender för molnet Appar som du antecknade tidigare.
    3. Ladda upp SAML-certifikatet Defender för molnet Apps som du laddade ned tidigare.

    Kommentar

    • När du har sparat inställningarna dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.
    • SAML-certifikatet Defender för molnet Apps är giltigt i ett år. När det har upphört att gälla måste ett nytt certifikat genereras.

Steg 2: Lägg till appen manuellt och installera certifikat om det behövs

Program i appkatalogen fylls automatiskt i i tabellen under Anslut ed Apps. Kontrollera att den app som du vill distribuera identifieras genom att navigera dit.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst för att få åtkomst till en tabell med program som kan konfigureras med åtkomst- och sessionsprinciper.

   

3. Välj listrutan App: Välj appar... för att filtrera och söka efter den app som du vill distribuera.

   

4. Om du inte ser appen där måste du lägga till den manuellt.

Så här lägger du till en oidentifierad app manuellt

1. I banderollen väljer du Visa nya appar.

   

2. I listan över nya appar väljer du tecknet för varje app som du + registrerar och väljer sedan Lägg till.

   Kommentar

   Om en app inte visas i appkatalogen Defender för molnet Apps visas den i dialogrutan under oidentifierade appar tillsammans med inloggnings-URL:en. När du klickar på +-tecknet för dessa appar kan du registrera programmet som en anpassad app.

   

Så här lägger du till domäner för en app

Genom att koppla rätt domäner till en app kan Defender för molnet Appar framtvinga principer och granskningsaktiviteter.

Om du till exempel har konfigurerat en princip som blockerar nedladdning av filer för en associerad domän blockeras filnedladdningar av appen från domänen. Filnedladdningar av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitetsloggen.

Kommentar

Defender för molnet Apps lägger fortfarande till ett suffix till domäner som inte är associerade med appen för att säkerställa en sömlös användarupplevelse.

1. Från appen går du till administratörsfältet Defender för molnet Appar och väljer Identifierade domäner.

   Kommentar

   Administratörsverktygsfältet är bara synligt för användare med behörighet att registrera eller underhålla appar.

2. I panelen Identifierade domäner antecknar du domännamn eller exporterar listan som en .csv fil.

   Kommentar

   Panelen visar en lista över identifierade domäner som inte är associerade i appen. Domännamnen är fullständigt kvalificerade.

3. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.
4. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.
5. I listan över appar på raden där appen du distribuerar visas väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

   Dricks

   Om du vill visa listan över domäner som konfigurerats i appen väljer du Visa appdomäner.

6. I Användardefinierade domäner anger du alla domäner som du vill associera med den här appen och väljer sedan Spara.

   Kommentar

   Du kan använda jokertecknet * som platshållare för valfritt tecken. När du lägger till domäner bestämmer du om du vill lägga till specifika domäner (sub1.contoso.com,sub2.contoso.com) eller flera domäner (*.contoso.com).

Installera rotcertifikat

1. Upprepa följande steg för att installera den aktuella certifikatutfärdare och nästa ca självsignerade rotcertifikat.

   1. Välj certifikatet.
   2. Välj Öppna och välj Öppna igen när du uppmanas att göra det.
   3. Välj Installera certifikat.
   4. Välj antingen Aktuell användare eller Lokal dator.
   5. Välj Placera alla certifikat i följande arkiv och välj sedan Bläddra.
   6. Välj Betrodda rotcertifikatutfärdare och välj sedan OK.
   7. Välj Slutför.

   Kommentar

   För att certifikaten ska identifieras måste du starta om webbläsaren och gå till samma sida när du har installerat certifikatet.

2. Välj Fortsätt.

3. Kontrollera att programmet är tillgängligt i tabellen.

   

Steg 3: Kontrollera att appen fungerar korrekt

Kontrollera att programmet är skyddat genom att först utföra antingen en hård utloggning av webbläsare som är associerade med programmet eller öppna en ny webbläsare med inkognitoläge.

Öppna programmet och utför följande kontroller:

• Kontrollera om låsikonen visas i webbläsaren eller om du arbetar i en annan webbläsare än Microsoft Edge. Kontrollera att appens URL innehåller suffixet .mcas . Mer information finns i Webbläsarskydd med Microsoft Edge för företag (förhandsversion).
• Besök alla sidor i appen som ingår i en användares arbetsprocess och kontrollera att sidorna återges korrekt.
• Kontrollera att appens beteende och funktioner inte påverkas negativt av vanliga åtgärder som att ladda ned och ladda upp filer.
• Granska listan över domäner som är associerade med appen. Mer information finns i Lägga till domänerna för appen.

Om du stöter på fel eller problem använder du administratörsfältet för att samla in resurser, till exempel .har filer och inspelade sessioner för att skicka in ett supportärende.

Steg 4: Aktivera appen för användning i din organisation

Gör följande när du är redo att aktivera appen för användning i organisationens produktionsmiljö.

1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

3. I listan över appar, på raden där appen du distribuerar visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

4. Välj Använd appen med sessionskontroller och välj sedan Spara.

   

Nästa steg

« FÖREGÅENDE: Distribuera appkontroll för villkorsstyrd åtkomst för katalogappar

NÄSTA: Skapa en sessionsprincip »

Se även

Introduktion till appkontroll för villkorsstyrd åtkomst

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.