Distribuera appkontroll för villkorlig åtkomst för katalogappar med icke-Microsoft IdP

  • Artikel

Åtkomst- och sessionskontroller i Microsoft Defender för molnet-appar fungerar med program från molnappkatalogen och med anpassade program. En lista över appar som förinstalleras av Defender för molnet Appar för att fungera direkt finns i Skydda appar med Defender för molnet appkontroll för villkorsstyrd åtkomst.

Förutsättningar

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

    • Den licens som krävs av din identitetsproviderlösning (IdP)
    • Microsoft Defender för Cloud Apps

  • Appar måste konfigureras med enkel inloggning

  • Appar måste använda något av följande autentiseringsprotokoll:

    IdP Protokoll
    Microsoft Entra ID SAML 2.0 eller OpenID Anslut
    Övrigt SAML 2.0

Konfigurera din IdP så att den fungerar med Defender för molnet Apps

Använd följande steg för att dirigera appsessioner från andra IdP-lösningar till Defender för molnet-appar. Information om Microsoft Entra-ID finns i Konfigurera integrering med Microsoft Entra-ID.

Kommentar

Exempel på hur du konfigurerar IdP-lösningar finns i:

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  3. Välj + Lägg till och välj den app som du vill distribuera i popup-fönstret och välj sedan Starta guiden.

  4. På sidan APPINFORMATION fyller du i formuläret med hjälp av informationen från appens konfigurationssida för enkel inloggning och väljer sedan Nästa.

    • Om din IdP innehåller en metadatafil för enkel inloggning för den valda appen väljer du Ladda upp metadatafil från appen och laddar upp metadatafilen.

    • Eller välj Fyll i data manuellt och ange följande information:

      • Url för konsumenttjänst för försäkran
      • Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

    Till exempel:

    Skärmbild som visar området APPINFORMATION i dialogrutan Lägg till ett SAML-program med identitetsprovidern.

  5. På sidan IDENTITETSPROVIDER använder du de angivna stegen för att konfigurera ett nytt program i IdP-portalen och väljer sedan Nästa.

  6. Gå till din IdP-portal och skapa en ny anpassad SAML-app.

  7. Kopiera konfigurationen för enkel inloggning för den befintliga <app_name> appen till den nya anpassade appen.

  8. Tilldela användare till den nya anpassade appen.

  9. Kopiera konfigurationsinformationen för enkel inloggning för appar. Du behöver det i nästa steg. Till exempel:

    Skärmbild som visar området Identitetsprovider/Extern konfiguration i dialogrutan Lägg till ett SAML-program med identitetsprovidern.

    Kommentar

    De här stegen kan variera något beroende på din identitetsprovider. Det här steget rekommenderas av följande skäl:

    • Vissa identitetsprovidrar tillåter inte att du ändrar SAML-attributen eller URL-egenskaperna för en galleriapp.

    • Genom att konfigurera en anpassad app kan du testa det här programmet med åtkomst- och sessionskontroller utan att ändra det befintliga beteendet för din organisation.

  10. På nästa sida fyller du i formuläret med hjälp av informationen från appens konfigurationssida för enkel inloggning och väljer sedan Nästa.

    • Om din IdP innehåller en metadatafil för enkel inloggning för den valda appen väljer du Ladda upp metadatafil från appen och laddar upp metadatafilen.

    • Eller välj Fyll i data manuellt och ange följande information:

      • Url för konsumenttjänst för försäkran
      • Om din app tillhandahåller ett SAML-certifikat väljer du Använd <app_name> SAML-certifikat och laddar upp certifikatfilen.

    Till exempel:

    Skärmbild som visar området Identitetsprovider/Fyll i data manuellt i dialogrutan Lägg till ett SAML-program med identitetsprovidern.

  11. På nästa sida kopierar du följande information och väljer sedan Nästa. Du behöver informationen i nästa steg.

    • URL för enkel inloggning
    • Attribut och värden

    Till exempel:

    Skärmbild som visar området Identitetsprovider i dialogrutan Lägg till ett SAML-program med identitetsprovidern med exempelinformation angiven.

  12. I din IdP-portal konfigurerar du följande inställningar, som ofta finns på sidan anpassade appinställningar i IdP-portalen.

    1. I fältet url för enkel inloggning anger du den url för enkel inloggning som du antecknade tidigare.

    2. Lägg till attributen och värdena som du antecknade tidigare i appens egenskaper. Vissa leverantörer kan referera till dem som användarattribut eller anspråk.

      När du skapar en ny SAML-app begränsar Okta Identity Provider attributen till 1 024 tecken. Du kan minska den här begränsningen genom att först skapa appen utan relevanta attribut. När du har skapat appen redigerar du den och lägger sedan till relevanta attribut.

    3. Kontrollera att namnidentifieraren är i e-postadressformatet.

    4. Spara inställningarna.

  13. På sidan APPÄNDRINGAR gör du följande och väljer sedan Nästa. Du behöver informationen i nästa steg.

    • Kopiera URL:en för enkel inloggning
    • Ladda ned SAML-certifikatet Defender för molnet Apps

    Till exempel:

    Skärmbild som visar området Appändringar i dialogrutan Lägg till ett SAML-program med identitetsprovidern.

  14. Gör följande i appens portal i inställningarna för enkel inloggning:

    1. (Rekommenderas) Skapa en säkerhetskopia av dina aktuella inställningar.

    2. Ersätt fältet inloggnings-URL för identitetsprovider med den SAML-url för enkel inloggning med Defender för molnet Apps som du antecknade tidigare.

    3. Ladda upp SAML-certifikatet Defender för molnet Apps som du laddade ned tidigare.

    4. Välj Spara.

När du har sparat inställningarna dirigeras alla associerade inloggningsbegäranden till den här appen via appkontrollen för villkorsstyrd åtkomst.

SAML-certifikatet Defender för molnet Apps är giltigt i ett år. När det har upphört att gälla måste ett nytt certifikat genereras.

Logga in på varje app med hjälp av en användare som är begränsad till principen

Kommentar

Innan du fortsätter måste du först logga ut från befintliga sessioner.

När du har skapat principen loggar du in på varje app som konfigurerats i principen. Kontrollera att du loggar in med en användare som konfigurerats i principen.

Defender för molnet Apps synkroniserar principinformationen till sina servrar för varje ny app som du loggar in på. Det kan ta upp till en minut.

Kontrollera att apparna är konfigurerade för att använda åtkomst- och sessionskontroller

Föregående instruktioner hjälpte dig att skapa en inbyggd Defender för molnet Apps-princip för katalogappar direkt i Microsoft Entra-ID. I det här steget kontrollerar du att åtkomst- och sessionskontrollerna har konfigurerats för dessa appar.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  3. I tabellen appar tittar du på kolumnen Tillgängliga kontroller och kontrollerar att både Åtkomstkontroll eller Villkorsstyrd åtkomst i Azure AD och Sessionskontroll visas för dina appar.

    Om appen inte är aktiverad för sessionskontroll lägger du till den genom att välja Registrera med sessionskontroll och kontrollera Använd den här appen med sessionskontroller. Till exempel:

    Skärmbild av länken Registrera med sessionskontroll.

Aktivera appen för användning i din organisation

Gör följande när du är redo att aktivera appen för användning i organisationens produktionsmiljö.

  1. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps.

  2. Under Anslut appar väljer du Appar för appkontroll för villkorsstyrd åtkomst. I listan över appar, på raden där appen du distribuerar visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

  3. Välj Aktivera appen för att arbeta med sessionskontroller och välj sedan Spara. Till exempel:

    Skärmbild av Redigera den här appen? Dialogrutan.

Testa distributionen

  1. Logga först ut från befintliga sessioner. Försök sedan logga in på varje app som har distribuerats. Logga in med en användare som matchar principen som konfigurerats i Microsoft Entra-ID eller för en SAML-app som konfigurerats med din identitetsprovider.

  2. I Microsoft Defender-portalen går du till Cloud Apps och väljer Aktivitetslogg och kontrollerar att inloggningsaktiviteterna samlas in för varje app.

  3. Du kan filtrera genom att välja Avancerat och sedan filtrera med hjälp av Källan är lika med åtkomstkontroll. Till exempel:

    Skärmbild av filtrering med villkorsstyrd åtkomst i Microsoft Entra.

  4. Vi rekommenderar att du loggar in på mobil- och skrivbordsappar från hanterade och ohanterade enheter. Detta är för att se till att aktiviteterna registreras korrekt i aktivitetsloggen.

Om du vill kontrollera att aktiviteten har registrerats korrekt väljer du en inloggningsaktivitet för enkel inloggning så att den öppnar aktivitetslådan. Kontrollera att taggen Användaragent korrekt visar om enheten är en intern klient (vilket innebär antingen en mobil- eller skrivbordsapp) eller om enheten är en hanterad enhet (kompatibel, domänansluten eller giltigt klientcertifikat).

Kommentar

När den har distribuerats kan du inte ta bort en app från sidan Appkontroll för villkorsstyrd åtkomst. Så länge du inte anger en sessions- eller åtkomstprincip för appen ändrar inte kontrollen för den villkorliga åtkomstappen något beteende för appen.

Nästa steg

« FÖREGÅENDE: Introduktion till appkontroll för villkorsstyrd åtkomst

NÄSTA: Distribuera appkontroll för villkorlig åtkomst för alla appar »

Felsöka åtkomst- och sessionskontroller

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.