Microsoft Entra ID kullanarak özel uygulamalar için Koşullu Erişim Uygulama Denetimi dağıtma

  • Makale

Bulut için Microsoft Defender Uygulamalarındaki oturum denetimleri herhangi bir web uygulamasıyla çalışacak şekilde yapılandırılabilir. Bu makalede oturum denetimleriyle Microsoft Entra uygulama ara sunucusu aracılığıyla barındırılan özel iş kolu uygulamalarını, öne çıkan Olmayan SaaS uygulamalarını ve şirket içi uygulamaları ekleme ve dağıtma işlemleri açıklanmaktadır. Uygulama oturumlarını Bulut için Defender Uygulamalarına yönlendiren bir Microsoft Entra Koşullu Erişim ilkesi oluşturma adımları sağlar. Diğer IdP çözümleri için bkz . Microsoft dışı IdP ile özel uygulamalar için Koşullu Erişim Uygulama Denetimi Dağıtma.

Bulut için Defender Uygulamaları tarafından sunulan uygulamaların listesi için bkz. Uygulamaları Bulut için Defender Uygulamalar Koşullu Erişim Uygulama Denetimi ile koruma.

Önkoşullar

Ekleme işlemine başlamadan önce aşağıdakileri yapmanız gerekir:

Uygulama ekleme/bakım listesine yönetici ekleme

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Koşullu Erişim Uygulama Denetimi'nin altında Uygulama ekleme/bakım'ı seçin.

  3. Uygulamayı ekleyecek kullanıcılar için kullanıcı asıl adını veya e-posta adresini girin ve kaydet'i seçin.

    Screenshot of settings for App onboarding and maintenance.

Gerekli lisansları denetleyin

  • Koşullu Erişim Uygulama Denetimi'ni kullanmak için kuruluşunuzun aşağıdaki lisanslara sahip olması gerekir:

  • Uygulamalar çoklu oturum açma ile yapılandırılmalıdır

  • Uygulamalar aşağıdaki kimlik doğrulama protokollerinden birini kullanmalıdır:

    IdP Protokoller
    Microsoft Entra Kimlik SAML 2.0 veya OpenID Bağlan

Herhangi bir uygulamayı dağıtmak için

Bulut için Defender Uygulamalar Koşullu Erişim Denetimi tarafından denetlenecek bir uygulamayı eklemek için şunları yapmanız gerekir:

Bulut için Defender Uygulamaları Koşullu Erişim Uygulama Denetimi tarafından denetlenecek herhangi bir uygulamayı yapılandırmak için aşağıdaki adımları izleyin.

Not

Microsoft Entra uygulamaları için Koşullu Erişim Uygulama Denetimi'ni dağıtmak için, Microsoft Entra Id P1 veya üzeri için geçerli bir lisansa ve Bulut için Defender Uygulamaları lisansına sahip olmanız gerekir.

Microsoft Entra Id'yi Bulut için Defender Uygulamalarıyla çalışacak şekilde yapılandırma

Not

Microsoft Entra Id veya diğer kimlik sağlayıcılarında bir uygulamayı SSO ile yapılandırırken, isteğe bağlı olarak listelenebilen bir alan oturum açma URL'si ayarıdır. Koşullu Erişim Uygulama Denetimi'nin çalışması için bu alanın gerekli olabileceğini unutmayın.

  1. Microsoft Entra Id'de Güvenlik>Koşullu Erişim'e göz atın.

  2. Koşullu Erişim bölmesinde, üstteki araç çubuğunda Yeni ilke ->Yeni ilke oluştur'u seçin.

  3. Yeni bölmesindeki Ad metin kutusuna ilke adını girin.

  4. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ni seçin, uygulamaya eklenecek kullanıcıları (ilk oturum açma ve doğrulama) atayın ve bitti'yi seçin.

  5. Atamalar'ın altında Bulut uygulamaları veya eylemler'i seçin, Koşullu Erişim Uygulama Denetimi ile denetlemek istediğiniz uygulamaları atayın ve bitti'yi seçin.

  6. Erişim denetimleri'nin altında Oturum'u seçin, Koşullu Erişim Uygulama Denetimi Kullan'ı seçin ve yerleşik bir ilke seçin (Yalnızca izleme veya İndirmeleri engelle) veya Bulut için Defender Uygulamalarında gelişmiş ilke ayarlamak için özel ilke kullan'ı seçin ve seç'e tıklayın.

    Microsoft Entra Conditional Access.

  7. İsteğe bağlı olarak, koşulları ekleyin ve denetimleri gerektiği gibi verin.

  8. İlkeyi etkinleştir'i Açık olarak ayarlayın ve oluştur'u seçin.

Uygulama kataloğundaki uygulamalar, Bağlan Uygulamalar altındaki tabloya otomatik olarak doldurulur. Etkin bir oturum varsa uygulamanın oturumunu kapatın ve uygulamanın bulunmasına izin vermek için yeniden oturum açın. Dağıtmak istediğiniz uygulamanın orada gezinerek tanınıp tanınmadığını denetleyin.

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçerek erişim ve oturum ilkeleriyle yapılandırılabilir bir uygulama tablosuna erişin.

    Conditional access app control apps.

  3. Dağıtmak istediğiniz uygulamayı filtrelemek ve aramak için Uygulama: Uygulamaları seçin... açılan menüsünü seçin.

    Select App: Select apps to search for the app.

  4. Uygulamayı orada görmüyorsanız el ile eklemeniz gerekir.

Tanımlanamayan bir uygulamayı el ile ekleme

  1. Başlıkta Yeni uygulamaları görüntüle'yi seçin.

    Conditional access app control view new apps.

  2. Yeni uygulamalar listesinde, eklediğiniz + her uygulama için işareti ve ardından Ekle'yi seçin.

    Not

    Bir uygulama Bulut için Defender Uygulamalar uygulama kataloğunda görünmüyorsa, iletişim kutusunda tanımlanamayan uygulamalar altında oturum açma URL'si ile birlikte görünür. Bu uygulamalar için + işaretine tıkladığınızda, uygulamayı özel uygulama olarak ekleyebilirsiniz.

    Conditional access app control discovered Microsoft Entra apps.

Doğru etki alanlarını bir uygulamayla ilişkilendirmek, Bulut için Defender Uygulamalarının ilkeleri ve denetim etkinliklerini zorunlu kılmasını sağlar.

Örneğin, ilişkili bir etki alanı için dosya indirmeyi engelleyen bir ilke yapılandırdıysanız, uygulama tarafından bu etki alanından dosya indirmeleri engellenir. Ancak uygulama tarafından uygulamayla ilişkilendirilmiş olmayan etki alanlarından dosya indirmeleri engellenmez ve eylem etkinlik günlüğünde denetlenemez.

Not

Bulut için Defender Uygulamaları, sorunsuz bir kullanıcı deneyimi sağlamak için uygulamayla ilişkilendirilmemiş etki alanlarına yine de bir sonek ekler.

  1. Uygulamanın içinden, Bulut için Defender Uygulamalar yönetici araç çubuğunda Bulunan etki alanları'nı seçin.

    Select Discovered domains.

    Not

    Yönetici araç çubuğu yalnızca uygulama ekleme veya bakım izinleri olan kullanıcılar tarafından görülebilir.

  2. Bulunan etki alanları panelinde etki alanı adlarını not edin veya listeyi .csv dosyası olarak dışarı aktarın.

    Not

    Panelde, uygulamada ilişkilendirilmemiş bulunan etki alanlarının listesi görüntülenir. Etki alanı adları tam olarak nitelenir.

  3. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  4. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.

  5. Uygulama listesinde, dağıttığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.

    Edit app details.

    İpucu

    Uygulamada yapılandırılan etki alanlarının listesini görüntülemek için Uygulama etki alanlarını görüntüle'yi seçin.

    • Kullanıcı tanımlı etki alanları: Uygulamayla ilişkili etki alanları. Uygulamaya gidin ve Yönetici araç çubuğunu kullanarak uygulamayla ilişkili etki alanlarını tanımlayabilir ve bunlardan herhangi birinin eksik olup olmadığını belirleyebilirsiniz. Eksik bir etki alanının korumalı uygulamanın doğru şekilde işlenmediğine neden olabileceğini unutmayın.

    • Erişim belirtecini oturum açma istekleri olarak kabul edin: Bazı uygulamalar, uygulama oturum açma bilgileri olarak erişim belirteçlerini ve kod isteklerini kullanır. Bu, erişim belirtecini ve kod isteklerini, uygulama erişime eklerken oturum açma bilgileri olarak kabul etme ve uygulamanın doğru şekilde işlenmesi için oturum denetimleri yapma olanağı sağlar. Uygulamayı eklerken her zaman bunun işaretlendiğinden emin olun.

    • Uygulamayı oturum denetimiyle kullanma: Bu uygulamanın oturum denetimleriyle kullanılmasına veya kullanılmamasına izin vermek için. Uygulamayı eklerken her zaman bunun işaretlendiğinden emin olun.

    • İkinci bir oturum açma işlemi gerçekleştirin: Uygulama bir nonce kullanıyorsa, nonce işlemeyi hesaba eklemek için ikinci bir oturum açma gerekir. Kimlik doğrulaması veya ikinci oturum açma, IdP'nin kullanıcı için oluşturduğu oturum açma belirtecinin yalnızca bir kez kullanılabildiğinden ve çalınmadığından ve başka biri tarafından yeniden kullanılamadığından emin olmak için uygulamalar tarafından kullanılır. Nonce, Hizmet Sağlayıcısı tarafından beklediğiyle eşleşecek şekilde denetlenir ve yakın zamanda kullandığı ve yeniden yürütme saldırısına işaret edebilecek bir şey değildir. Bu seçildiğinde, son ekli oturumdan ikinci bir oturum açma işleminin tetiklendiğinden emin olur ve bu da başarılı bir oturum açma işlemi sağlar. Daha iyi performans için bu etkinleştirilmelidir.

      Perform a second login.

  6. Kullanıcı tanımlı etki alanları'nda, bu uygulamayla ilişkilendirmek istediğiniz tüm etki alanlarını girin ve Kaydet'i seçin.

    Not

    * joker karakterini herhangi bir karakter için yer tutucu olarak kullanabilirsiniz. Etki alanları eklerken, belirli etki alanları (sub1.contoso.com,sub2.contoso.com) veya birden çok etki alanı (*.contoso.com) eklemek isteyip istemediğinize karar verin. Bu yalnızca belirli etki alanları (*.contoso.com) için desteklenir ve üst düzey etki alanları (*.com) için desteklenmez.

  7. Geçerli CA ve Sonraki CA otomatik olarak imzalanan kök sertifikalarını yüklemek için aşağıdaki adımları yineleyin.

    1. Sertifikayı seçin.
    2. Aç'ı seçin ve istendiğinde yeniden Aç'ı seçin.
    3. Sertifika yükle'yi seçin.
    4. Geçerli Kullanıcı veya Yerel Makine'yi seçin.
    5. Tüm sertifikaları aşağıdaki depoya yerleştir'i ve ardından Gözat'ı seçin.
    6. Güvenilen Kök Sertifika Yetkilileri'ni ve ardından Tamam'ı seçin.
    7. Bitir'iseçin.

    Not

    Sertifikaların tanınması için, sertifikayı yükledikten sonra tarayıcıyı yeniden başlatmanız ve aynı sayfaya gitmeniz gerekir.

  8. Devam'ı seçin.

  9. Uygulamanın tabloda kullanılabilir olup olmadığını denetleyin.

    Onboard with session control.

Uygulamanın korunduğunu doğrulamak için, önce uygulamayla ilişkili tarayıcılarda sabit oturum kapatma işlemi gerçekleştirin veya gizli modda yeni bir tarayıcı açın.

Uygulamayı açın ve aşağıdaki denetimleri gerçekleştirin:

  • Kilit simgesinin tarayıcınızda görünüp görünmediğini denetleyin veya Microsoft Edge dışında bir tarayıcıda çalışıyorsanız uygulama URL'nizin son eki içerip .mcas içermediğini denetleyin. Daha fazla bilgi için bkz . İş için Microsoft Edge (Önizleme) ile tarayıcı içi koruma.
  • Uygulamanın içinde kullanıcının iş sürecinin parçası olan tüm sayfaları ziyaret edin ve sayfaların doğru şekilde işlendiğini doğrulayın.
  • Dosyaların indirilmesi ve karşıya yüklenmesi gibi yaygın eylemlerin gerçekleştirilmesinden uygulamanın davranışının ve işlevselliğinin olumsuz etkilenmediğini doğrulayın.
  • Uygulamayla ilişkili etki alanlarının listesini gözden geçirin.

Hatalarla veya sorunlarla karşılaşırsanız, destek bileti oluşturmak için dosyalar ve kayıtlı oturumlar gibi .har kaynakları toplamak için yönetici araç çubuğunu kullanın.

Uygulamayı kuruluşunuzun üretim ortamında kullanmak üzere etkinleştirmeye hazır olduğunuzda aşağıdaki adımları uygulayın.

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.
  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
  3. Uygulama listesinde, dağıttığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.
  4. Uygulamayı oturum denetimleriyle kullan'ı ve ardından Kaydet'i seçin.
  5. Microsoft Entra Id'de, Güvenlik'in altında Koşullu Erişim'i seçin.
  6. daha önce oluşturduğunuz ilkeyi, ihtiyacınız olan ilgili kullanıcıları, grupları ve denetimleri içerecek şekilde güncelleştirin.
  7. Oturum>Koşullu Erişim Uygulama Denetimi Kullan'ın altında Özel İlke Kullan'ı seçtiyseniz, Bulut için Defender Uygulamalar'a gidin ve ilgili oturum ilkesini oluşturun. Daha fazla bilgi için bkz . Oturum ilkeleri.

Sonraki adımlar

ÖNCEKİ: Katalog uygulamaları için Koşullu Erişim Uygulama Denetimi dağıtma

NEXT: Oturum ilkesi oluşturma

Ayrıca bkz.

Koşullu Erişim Uygulama Denetimine Giriş

Erişim ve oturum denetimlerinin sorunlarını giderme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.