Dela via

Registrera anpassade appar som inte är från Microsoft IdP för appkontroll för villkorsstyrd åtkomst

  • Artikel

Åtkomst- och sessionskontroller i Microsoft Defender för molnappar fungerar med både katalog- och anpassade appar. Även om Microsoft Entra-ID-appar registreras automatiskt för att använda appkontroll för villkorsstyrd åtkomst, måste du registrera appen manuellt om du arbetar med en IdP som inte är från Microsoft.

Den här artikeln beskriver hur du både konfigurerar din IdP så att den fungerar med Defender för Cloud Apps och sedan även registrerar varje anpassad app manuellt. Katalogappar från en icke-Microsoft-IdP registreras däremot automatiskt när du konfigurerar integreringen mellan din IdP och Defender for Cloud Apps.

Förutsättningar

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

    • Den licens som krävs av din identitetsproviderlösning (IdP)
    • Microsoft Defender för Cloud Apps

  • Appar måste konfigureras med enkel inloggning

  • Appar måste konfigureras med SAML 2.0-autentiseringsprotokollet.

Lägga till administratörer i din lista över registrering/underhåll av appar

  1. I Microsoft Defender XDR väljer du Inställningar > Registrering/underhåll av cloud apps > villkorlig åtkomstappkontrollapp>.

  2. Ange användarnamn eller e-postmeddelanden för alla användare som ska registrera din app och välj sedan Spara.

Mer information finns i Diagnostisera och felsöka med verktygsfältet Administrationsvy.

Konfigurera din IdP så att den fungerar med Defender for Cloud Apps

Den här proceduren beskriver hur du dirigerar appsessioner från andra IdP-lösningar till Defender for Cloud Apps.

Dricks

Följande artiklar innehåller detaljerade exempel på den här proceduren:

Så här konfigurerar du din IdP så att den fungerar med Defender for Cloud Apps:

  1. I Microsoft Defender XDR väljer du Inställningar > Cloud Apps > Connected Apps > Conditional Access App Control-appar.

  2. På sidan Appar för appkontroll för villkorsstyrd åtkomst väljer du + Lägg till.

  3. I dialogrutan Lägg till ett SAML-program med din identitetsprovider väljer du listrutan Sök efter en app och väljer sedan den app som du vill distribuera. När appen är vald väljer du Startguiden.

  4. På guidens appinformationssida laddar du antingen upp en metadatafil från din app eller anger appdata manuellt.

    Ange följande information:

    • Url: en för konsumenttjänsten för försäkran. Det här är den URL som appen använder för att ta emot SAML-intyg från din IdP.
    • Ett SAML-certifikat, om din app tillhandahåller ett. I sådana fall väljer du Använd ... SAML-certifikatalternativ och ladda sedan upp certifikatfilen.

    När du är klar väljer du Nästa för att fortsätta.

  5. På sidan IDENTITETSPROVIDER i guiden följer du anvisningarna för att konfigurera en ny anpassad app i IdP-portalen.

    Kommentar

    De steg som krävs kan variera beroende på din IdP. Vi rekommenderar att du utför den externa konfigurationen enligt beskrivningen av följande orsaker:

    • Vissa identitetsprovidrar tillåter inte att du ändrar SAML-attributen eller URL-egenskaperna för ett galleri/katalogprogram.
    • När du konfigurerar en anpassad app kan du testa appen med åtkomst- och sessionskontroller för Defender för Cloud Apps, utan att ändra organisationens befintliga konfigurerade beteende.

    Kopiera konfigurationsinformationen för enkel inloggning för appen för användning senare i den här proceduren. När du är klar väljer du Nästa för att fortsätta.

  6. Om du fortsätter på sidan IDENTITETSPROVIDER i guiden laddar du antingen upp en metadatafil från din IdP eller anger appdata manuellt.

    Ange följande information:

    • Url :en för tjänsten för enkel inloggning. Det här är den URL som din IdP använder för att ta emot begäranden om enkel inloggning.
    • Ett SAML-certifikat, om din IdP tillhandahåller ett. I sådana fall väljer du alternativet Använd identitetsproviderns SAML-certifikat och laddar sedan upp certifikatfilen.

  7. Om du fortsätter på sidan IDENTITETSPROVIDER i guiden kopierar du både URL:en för enkel inloggning och alla attribut och värden för användning senare i den här proceduren.

    När du är klar väljer du Nästa för att fortsätta.

  8. Bläddra till IdP-portalen och ange de värden som du kopierade till din IdP-konfiguration. De här inställningarna finns vanligtvis i ditt IdP:s anpassade appinställningar.

    1. Ange appens url för enkel inloggning som du kopierade från föregående steg. Vissa leverantörer kan referera till url:en för enkel inloggning som svars-URL.

    2. Lägg till de attribut och värden som du kopierade från föregående steg till appens egenskaper. Vissa leverantörer kan referera till dem som användarattribut eller anspråk.

      Om dina attribut är begränsade till 1 024 tecken för nya appar skapar du först appen utan relevanta attribut och lägger till dem efteråt genom att redigera appen.

    3. Kontrollera att namnidentifieraren är i formatet för en e-postadress.

    4. Spara inställningarna när du är klar.

  9. I Defender för Cloud Apps kopierar du SAML-url:en för enkel inloggning på sidan APPÄNDRINGAR i guiden och laddar ned SAML-certifikatet för Microsoft Defender för Cloud Apps. URL:en för enkel inloggning med SAML är en anpassad URL för din app när den används med appkontrollen För villkorsstyrd åtkomst i Defender för Cloud Apps.

  10. Bläddra till appens portal och konfigurera inställningarna för enkel inloggning på följande sätt:

    1. (Rekommenderas) Skapa en säkerhetskopia av dina aktuella inställningar.
    2. Ersätt värdet för inloggnings-URL för identitetsprovidern med den SAML-url för enkel inloggning med Defender for Cloud Apps som du kopierade från föregående steg. Det specifika namnet på det här fältet kan variera beroende på din app.
    3. Ladda upp SAML-certifikatet för Defender for Cloud Apps som du laddade ned i föregående steg.
    4. Spara ändringarna.

  11. I guiden väljer du Slutför för att slutföra konfigurationen.

När du har sparat appens inställningar för enkel inloggning med de värden som har anpassats av Defender för Cloud Apps dirigeras alla associerade inloggningsbegäranden till appen genom defender för molnappar och appkontroll för villkorsstyrd åtkomst.

Kommentar

SAML-certifikatet för Defender for Cloud Apps är giltigt i 1 år. När den har upphört att gälla måste du generera en ny.

Registrera appen för appkontroll för villkorsstyrd åtkomst

Om du arbetar med en anpassad app som inte fylls i automatiskt i appkatalogen måste du lägga till den manuellt.

Så här kontrollerar du om din app redan har lagts till:

  1. I Microsoft Defender XDR väljer du Inställningar > Molnappar > Anslutna appar > Villkorlig åtkomst AppKontrollappar.

  2. Välj den nedrullningsbara menyn App: Välj appar... för att söka efter din app.

Om din app redan visas fortsätter du med proceduren för katalogappar i stället.

Så här lägger du till din app manuellt:

  1. Om du har nya appar visas en banderoll överst på sidan som meddelar dig att du har nya appar att registrera. Välj länken Visa nya appar för att se dem.

  2. I dialogrutan Identifierade Azure AD-appar letar du reda på din app, till exempel efter värdet för inloggnings-URL. + Välj knappen och sedan Lägg till för att publicera den som en anpassad app.

Installera rotcertifikat

Kontrollera att du använder rätt aktuella CA - eller nästa CA-certifikat för var och en av dina appar.

Om du vill installera dina certifikat upprepar du följande steg för varje certifikat:

  1. Öppna och installera certifikatet och välj antingen Aktuell användare eller Lokal dator.

  2. När du uppmanas att ange var du vill placera dina certifikat bläddrar du till Betrodda rotcertifikatutfärdare.

  3. Välj OK och Slutför efter behov för att slutföra proceduren.

  4. Starta om webbläsaren, öppna appen igen och välj Fortsätt när du uppmanas till det.

  5. I Microsoft Defender XDR väljer du Inställningar > Molnappar > Anslutna appar > Villkorlig åtkomst AppKontrollappar och ser till att appen fortfarande visas i tabellen.

Mer information finns i App visas inte på sidan för appkontrollappar för villkorsstyrd åtkomst.

Relaterat innehåll

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.