Azure Active Directory kullanarak özel uygulamalar için Koşullu Erişim Uygulama Denetimi dağıtma

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketinden gelen sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft 365 Defender. Daha fazla bilgi için bkz. Microsoft 365 Defender'da uygulamalar Bulut için Microsoft Defender.

Bulut için Microsoft Defender Uygulamalarındaki oturum denetimleri herhangi bir web uygulamasıyla çalışacak şekilde yapılandırılabilir. Bu makalede oturum denetimleriyle Azure Active Directory (Azure AD) Uygulama Ara Sunucusu aracılığıyla barındırılan özel iş kolu uygulamalarını, öne çıkan olmayan SaaS uygulamalarını ve şirket içi uygulamaları ekleme ve dağıtma işlemleri açıklanmaktadır. Uygulama oturumlarını Bulut için Defender Uygulamalarına yönlendiren bir Azure AD Koşullu Erişim ilkesi oluşturma adımları sağlar. Diğer IdP çözümleri için bkz . Microsoft dışı IdP ile özel uygulamalar için Koşullu Erişim Uygulama Denetimi Dağıtma.

Bulut için Defender Uygulamaları tarafından sunulan uygulamaların listesi için bkz. Uygulamaları Bulut için Defender Uygulamalar Koşullu Erişim Uygulama Denetimi ile koruma.

Ön koşullar

Ekleme işlemine başlamadan önce aşağıdakileri yapmanız gerekir:

Uygulama ekleme/bakım listesine yönetici ekleme

  1. Microsoft 365 Defender portalında Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Koşullu Erişim Uygulama Denetimi'nin altında Uygulama ekleme/bakım'ı seçin.

  3. Uygulamayı ekleyecek kullanıcılar için kullanıcı asıl adını veya e-posta adresini girin ve kaydet'i seçin.

    Screenshot of settings for App onboarding and maintenance.

Gerekli lisansları denetleyin

  • Koşullu Erişim Uygulama Denetimi'ni kullanmak için kuruluşunuzun aşağıdaki lisanslara sahip olması gerekir:

  • Uygulamalar çoklu oturum açma ile yapılandırılmalıdır

  • Uygulamalar aşağıdaki kimlik doğrulama protokollerinden birini kullanmalıdır:

    IdP Protokoller
    Azure AD SAML 2.0 veya OpenID Bağlan

Herhangi bir uygulamayı dağıtmak için

Bulut için Defender Uygulamalar Koşullu Erişim Denetimi tarafından denetlenecek bir uygulamayı eklemek için şunları yapmanız gerekir:

Bulut için Defender Uygulamaları Koşullu Erişim Uygulama Denetimi tarafından denetlenecek herhangi bir uygulamayı yapılandırmak için aşağıdaki adımları izleyin.

Dekont

Azure AD uygulamaları için Koşullu Erişim Uygulama Denetimi'ni dağıtmak için Azure Active Directory Premium P1 veya üzeri için geçerli bir lisansa ve Bulut için Defender Uygulamaları lisansına sahip olmanız gerekir.

Azure AD'yi Bulut için Defender Uygulamalarıyla çalışacak şekilde yapılandırma

Dekont

Azure AD'de veya diğer kimlik sağlayıcılarında SSO ile bir uygulamayı yapılandırırken, isteğe bağlı olarak listelenebilen bir alan oturum açma URL'si ayarıdır. Koşullu Erişim Uygulama Denetimi'nin çalışması için bu alanın gerekli olabileceğini unutmayın.

  1. Azure AD'de Güvenlik>Koşullu Erişim'e göz atın.

  2. Koşullu Erişim bölmesinde, üstteki araç çubuğunda Yeni ilke ->Yeni ilke oluştur'u seçin.

  3. Yeni bölmesindeki Ad metin kutusuna ilke adını girin.

  4. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ni seçin, uygulamaya eklenecek kullanıcıları (ilk oturum açma ve doğrulama) atayın ve bitti'yi seçin.

  5. Atamalar'ın altında Bulut uygulamaları veya eylemler'i seçin, Koşullu Erişim Uygulama Denetimi ile denetlemek istediğiniz uygulamaları atayın ve bitti'yi seçin.

  6. Erişim denetimleri'nin altında Oturum'u seçin, Koşullu Erişim Uygulama Denetimi Kullan'ı seçin ve yerleşik bir ilke seçin (Yalnızca izleme veya İndirmeleri engelle) veya Bulut için Defender Uygulamalarında gelişmiş ilke ayarlamak için özel ilke kullan'ı seçin ve seç'e tıklayın.

    Azure AD conditional access.

  7. İsteğe bağlı olarak, koşulları ekleyin ve denetimleri gerektiği gibi verin.

  8. İlkeyi etkinleştir'i Açık olarak ayarlayın ve oluştur'u seçin.

Uygulama kataloğundaki uygulamalar, Bağlan Uygulamalar altındaki tabloya otomatik olarak doldurulur. Etkin bir oturum varsa uygulamanın oturumunu kapatın ve uygulamanın bulunmasına izin vermek için yeniden oturum açın. Dağıtmak istediğiniz uygulamanın orada gezinerek tanınıp tanınmadığını denetleyin.

  1. Microsoft 365 Defender portalında Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçerek erişim ve oturum ilkeleriyle yapılandırılabilir bir uygulama tablosuna erişin.

    Conditional access app control apps.

  3. Dağıtmak istediğiniz uygulamayı filtrelemek ve aramak için Uygulama: Uygulamaları seçin... açılan menüsünü seçin.

    Select App: Select apps to search for the app.

  4. Uygulamayı orada görmüyorsanız el ile eklemeniz gerekir.

Tanımlanamayan bir uygulamayı el ile ekleme

  1. Başlıkta Yeni uygulamaları görüntüle'yi seçin.

    Conditional access app control view new apps.

  2. Yeni uygulamalar listesinde, eklediğiniz + her uygulama için işareti ve ardından Ekle'yi seçin.

    Dekont

    Bir uygulama Bulut için Defender Uygulamalar uygulama kataloğunda görünmüyorsa, iletişim kutusunda tanımlanamayan uygulamalar altında oturum açma URL'si ile birlikte görünür. Bu uygulamalar için + işaretine tıkladığınızda, uygulamayı özel uygulama olarak ekleyebilirsiniz.

    Conditional access app control discovered Azure AD apps.

Doğru etki alanlarını bir uygulamayla ilişkilendirmek, Bulut için Defender Uygulamalarının ilkeleri ve denetim etkinliklerini zorunlu kılmasını sağlar.

Örneğin, ilişkili bir etki alanı için dosya indirmeyi engelleyen bir ilke yapılandırdıysanız, uygulama tarafından bu etki alanından dosya indirmeleri engellenir. Ancak uygulama tarafından uygulamayla ilişkilendirilmiş olmayan etki alanlarından dosya indirmeleri engellenmez ve eylem etkinlik günlüğünde denetlenemez.

Dekont

Bulut için Defender Uygulamaları, sorunsuz bir kullanıcı deneyimi sağlamak için uygulamayla ilişkilendirilmemiş etki alanlarına yine de bir sonek ekler.

  1. Uygulamanın içinden, Bulut için Defender Uygulamalar yönetici araç çubuğunda Bulunan etki alanları'nı seçin.

    Select Discovered domains.

    Dekont

    Yönetici araç çubuğu yalnızca uygulama ekleme veya bakım izinleri olan kullanıcılar tarafından görülebilir.

  2. Bulunan etki alanları panelinde etki alanı adlarını not edin veya listeyi .csv dosyası olarak dışarı aktarın.

    Dekont

    Panelde, uygulamada ilişkilendirilmemiş bulunan etki alanlarının listesi görüntülenir. Etki alanı adları tam olarak nitelenir.

  3. Microsoft 365 Defender portalında Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  4. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.

  5. Uygulama listesinde, dağıttığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.

    Edit app details.

    Bahşiş

    Uygulamada yapılandırılan etki alanlarının listesini görüntülemek için Uygulama etki alanlarını görüntüle'yi seçin.

    • Kullanıcı tanımlı etki alanları: Uygulamayla ilişkili etki alanları. Uygulamaya gidin ve Yönetici araç çubuğunu kullanarak uygulamayla ilişkili etki alanlarını tanımlayabilir ve bunlardan herhangi birinin eksik olup olmadığını belirleyebilirsiniz. Eksik bir etki alanının korumalı uygulamanın doğru şekilde işlenmediğine neden olabileceğini unutmayın.

    • Erişim belirtecini oturum açma istekleri olarak kabul edin: Bazı uygulamalar, uygulama oturum açma bilgileri olarak erişim belirteçlerini ve kod isteklerini kullanır. Bu, erişim belirtecini ve kod isteklerini, uygulama erişime eklerken oturum açma bilgileri olarak kabul etme ve uygulamanın doğru şekilde işlenmesi için oturum denetimleri yapma olanağı sağlar. Uygulamayı eklerken her zaman bunun işaretlendiğinden emin olun.

    • Uygulamayı oturum denetimiyle kullanma: Bu uygulamanın oturum denetimleriyle kullanılmasına veya kullanılmamasına izin vermek için. Uygulamayı eklerken her zaman bunun işaretlendiğinden emin olun.

    • İkinci bir oturum açma işlemi gerçekleştirin: Uygulama bir nonce kullanıyorsa, nonce işlemeyi hesaba eklemek için ikinci bir oturum açma gerekir. Kimlik doğrulaması veya ikinci oturum açma, IdP'nin kullanıcı için oluşturduğu oturum açma belirtecinin yalnızca bir kez kullanılabildiğinden ve çalınmadığından ve başka biri tarafından yeniden kullanılamadığından emin olmak için uygulamalar tarafından kullanılır. Nonce, Hizmet Sağlayıcısı tarafından beklediğiyle eşleşecek şekilde denetlenir ve yakın zamanda kullandığı ve yeniden yürütme saldırısına işaret edebilecek bir şey değildir. Bu seçildiğinde, son ekli oturumdan ikinci bir oturum açma işleminin tetiklendiğinden emin olur ve bu da başarılı bir oturum açma işlemi sağlar. Daha iyi performans için bu etkinleştirilmelidir.

      Perform a second login.

  6. Kullanıcı tanımlı etki alanları'nda, bu uygulamayla ilişkilendirmek istediğiniz tüm etki alanlarını girin ve Kaydet'i seçin.

    Dekont

    * joker karakterini herhangi bir karakter için yer tutucu olarak kullanabilirsiniz. Etki alanları eklerken, belirli etki alanları (sub1.contoso.com,sub2.contoso.com) veya birden çok etki alanı (*.contoso.com) eklemek isteyip istemediğinize karar verin. Bu yalnızca belirli etki alanları (*.contoso.com) için desteklenir ve üst düzey etki alanları (*.com) için desteklenmez.

  7. Geçerli CA ve Sonraki CA otomatik olarak imzalanan kök sertifikalarını yüklemek için aşağıdaki adımları yineleyin.

    1. Sertifikayı seçin.
    2. Aç'ı seçin ve istendiğinde yeniden Aç'ı seçin.
    3. Sertifika yükle'yi seçin.
    4. Geçerli Kullanıcı veya Yerel Makine'yi seçin.
    5. Tüm sertifikaları aşağıdaki depoya yerleştir'i ve ardından Gözat'ı seçin.
    6. Güvenilen Kök Sertifika Yetkilileri'ni ve ardından Tamam'ı seçin.
    7. Bitir'iseçin.

    Dekont

    Sertifikaların tanınması için, sertifikayı yükledikten sonra tarayıcıyı yeniden başlatmanız ve aynı sayfaya gitmeniz gerekir.

  8. Devam'ı seçin.

  9. Uygulamanın tabloda kullanılabilir olup olmadığını denetleyin.

    Onboard with session control.

Uygulamanın yakın olduğunu doğrulamak için, önce uygulamayla ilişkili tarayıcılarda sabit oturum kapatma işlemi gerçekleştirin veya gizli modda yeni bir tarayıcı açın.

Uygulamayı açın ve aşağıdaki denetimleri gerçekleştirin:

  • URL'de .mcas sonek olup olmadığını denetleyin
  • Uygulamanın içinde kullanıcının iş sürecinin parçası olan tüm sayfaları ziyaret edin ve sayfaların doğru şekilde işlendiğini doğrulayın.
  • Dosyaların indirilmesi ve karşıya yüklenmesi gibi yaygın eylemlerin gerçekleştirilmesinden uygulamanın davranışının ve işlevselliğinin olumsuz etkilenmediğini doğrulayın.
  • Uygulamayla ilişkili etki alanlarının listesini gözden geçirin.

Hatalarla veya sorunlarla karşılaşırsanız, destek bileti oluşturmak için dosyalar ve kayıtlı oturumlar gibi .har kaynakları toplamak için yönetici araç çubuğunu kullanın.

Uygulamayı kuruluşunuzun üretim ortamında kullanmak üzere etkinleştirmeye hazır olduğunuzda aşağıdaki adımları uygulayın.

  1. Microsoft 365 Defender portalında Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.
  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
  3. Uygulama listesinde, dağıttığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.
  4. Uygulamayı oturum denetimleriyle kullan'ı ve ardından Kaydet'i seçin.
  5. Azure AD'de, Güvenlik'in altında Koşullu Erişim'i seçin.
  6. daha önce oluşturduğunuz ilkeyi, ihtiyacınız olan ilgili kullanıcıları, grupları ve denetimleri içerecek şekilde güncelleştirin.
  7. Oturum>Koşullu Erişim Uygulama Denetimi Kullan'ın altında Özel İlke Kullan'ı seçtiyseniz, Bulut için Defender Uygulamalar'a gidin ve ilgili oturum ilkesini oluşturun. Daha fazla bilgi için bkz . Oturum ilkeleri.

Sonraki adımlar

ÖNCEKİ: Katalog uygulamaları için Koşullu Erişim Uygulama Denetimi dağıtma

NEXT: Oturum ilkesi oluşturma

Ayrıca bkz.

Koşullu Erişim Uygulama Denetimine Giriş

Erişim ve oturum denetimlerinin sorunlarını giderme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.