Distribuera appkontroll för villkorlig åtkomst för katalogappar med Azure AD

Anteckning

  • Vi har bytt namn på Microsoft Cloud App Security. Den heter nu Microsoft Defender for Cloud Apps. Under de kommande veckorna uppdaterar vi skärmbilderna och instruktionerna här och på relaterade sidor. Mer information om ändringen finns i det här meddelandet. Mer information om det senaste namnet på Microsofts säkerhetstjänster finns i Microsoft Ignite Security-bloggen.

  • Microsoft Defender for Cloud Apps ingår nu i Microsoft 365 Defender. Med Microsoft 365 Defender portalen kan säkerhetsadministratörer utföra sina säkerhetsuppgifter på en plats. Detta förenklar arbetsflöden och lägger till funktionerna i de andra Microsoft 365 Defender tjänsterna. Microsoft 365 Defender kommer att vara startsidan för övervakning och hantering av säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur. Mer information om dessa ändringar finns i Microsoft Defender for Cloud Apps i Microsoft 365 Defender.

Åtkomst- och sessionskontroller i Microsoft Defender for Cloud Apps arbeta med program från molnappkatalogen och med anpassade program. En lista över appar som är förregistrerade och fungerar i rutan finns i Skydda appar med Appkontroll för villkorsstyrd åtkomst i Defender för Cloud Apps.

Förutsättningar

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

  • Appar måste konfigureras med enkel inloggning

  • Appar måste använda något av följande autentiseringsprotokoll:

    IdP Protokoll
    Azure AD SAML 2.0 eller OpenID Connect
    Övrigt SAML 2.0

Distribuera katalogappar

Följ stegen nedan för att konfigurera katalogappar som ska styras av Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.

Konfigurera integrering med Azure AD

Anteckning

När du konfigurerar ett program med enkel inloggning i Azure AD eller andra identitetsprovidrar är ett fält som kan anges som valfritt inställningen för inloggnings-URL. Observera att det här fältet kan krävas för att appkontrollen för villkorsstyrd åtkomst ska fungera.

Använd följande steg för att skapa en Azure AD princip för villkorsstyrd åtkomst som dirigerar appsessioner till Defender för Cloud Apps. Andra IdP-lösningar finns i Konfigurera integrering med andra IdP-lösningar.

  1. I Azure AD bläddrar du tillVillkorlig åtkomst för säkerhet>.

  2. I fönstret Villkorsstyrd åtkomst går du till verktygsfältet längst upp och väljer Ny princip –>Skapa ny princip.

  3. I fönstret Nytt i textrutan Namn anger du principnamnet.

  4. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter och tilldelar de användare och grupper som ska registreras (inledande inloggning och verifiering) appen.

  5. Under Tilldelningar väljer du Molnappar eller åtgärder och tilldelar de appar och åtgärder som du vill styra med appkontrollen för villkorsstyrd åtkomst.

  6. Under Åtkomstkontroller väljer du Session, Använder appkontroll för villkorsstyrd åtkomst och väljer en inbyggd princip (endast övervaka (förhandsversion) eller Blockera nedladdningar (förhandsversion)) eller Använd anpassad princip för att ange en avancerad princip i Defender för Molnappar och välj sedan Välj.

    Azure AD villkorlig åtkomst.

  7. Du kan också lägga till villkor och bevilja kontroller efter behov.

  8. Ange Aktivera princip till och välj sedan Skapa.

Anteckning

Innan du fortsätter måste du först logga ut från befintliga sessioner.

När du har skapat principen loggar du in på varje app som konfigurerats i principen. Kontrollera att du loggar in med en användare som konfigurerats i principen.

Defender för Cloud Apps synkroniserar din principinformation till dess servrar för varje ny app du loggar in på. Det kan ta upp till en minut.

Föregående instruktioner hjälpte dig att skapa en inbyggd Defender for Cloud Apps-princip för katalogappar direkt i Azure AD. I det här steget kontrollerar du att åtkomst- och sessionskontrollerna har konfigurerats för dessa appar.

  1. I Defender för Cloud Apps-portalen väljer du inställningsikonen kugghjulsinställningar. och välj sedan Appkontroll för villkorsstyrd åtkomst.

  2. I tabellen Appar för appkontroll för villkorsstyrd åtkomst tittar du på kolumnen Tillgängliga kontroller och kontrollerar att både åtkomstkontroll eller Azure AD villkorlig åtkomst och sessionskontroll visas för dina appar.

    Anteckning

    Om appen inte är aktiverad för sessionskontroll kan du lägga till den genom att välja Registrera med sessionskontroll och kontrollera Använd den här appen med sessionskontroller. Registrera med sessionskontroll.

När du är redo att aktivera appen för användning i organisationens produktionsmiljö utför du följande steg.

  1. I Defender för Cloud Apps väljer du inställningsikonen kugghjulsinställningar. Välj sedan Appkontroll för villkorsstyrd åtkomst.

  2. I listan över appar, på raden där appen du distribuerar visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

  3. Välj Använd appen med sessionskontroller och välj sedan Spara.

    Redigera den här appdialogen.

  4. Logga först ut från alla befintliga sessioner. Försök sedan logga in på varje app som har distribuerats. Logga in med en användare som matchar principen som konfigurerats i Azure AD eller för en SAML-app som konfigurerats med din identitetsprovider.

  5. I Defender för Cloud Apps-portalen går du till Undersök, väljer Aktivitetslogg och kontrollerar att inloggningsaktiviteterna samlas in för varje app.

  6. Du kan filtrera genom att klicka på Avancerat och sedan filtrera med hjälp av Källan är lika med Åtkomstkontroll.

    Filtrera med Azure AD villkorlig åtkomst.

  7. Vi rekommenderar att du loggar in på mobila och stationära appar från hanterade och ohanterade enheter. Detta är för att se till att aktiviteterna registreras korrekt i aktivitetsloggen.
    Kontrollera att aktiviteten har registrerats korrekt genom att välja en inloggningsaktivitet för enkel inloggning så att den öppnar aktivitetslådan. Kontrollera att taggen Användaragent korrekt visar om enheten är en intern klient (vilket innebär antingen en mobil- eller skrivbordsapp) eller om enheten är en hanterad enhet (kompatibel, domänansluten eller giltigt klientcertifikat).

Anteckning

När den har distribuerats kan du inte ta bort en app från sidan Appkontroll för villkorsstyrd åtkomst. Så länge du inte anger en session eller åtkomstprincip för appen ändrar inte appkontrollen för villkorsstyrd åtkomst något beteende för appen.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du en supportbegäran.