Microsoft dışı kimlik sağlayıcılarıyla özel uygulamalar için Koşullu Erişim Uygulama Denetimi dağıtma

  • Makale

Dekont

Bulut için Microsoft Defender Uygulamaları artık Microsoft Defender paketindeki sinyalleri ilişkilendiren ve olay düzeyinde algılama, araştırma ve güçlü yanıt özellikleri sağlayan Microsoft Defender XDR. Daha fazla bilgi için bkz. Microsoft Defender XDR'de uygulamalar Bulut için Microsoft Defender.

Bulut için Microsoft Defender Uygulamalarındaki oturum denetimleri herhangi bir web uygulamasıyla çalışacak şekilde yapılandırılabilir. Bu makalede oturum denetimleriyle Microsoft Entra uygulama ara sunucusu aracılığıyla barındırılan özel iş kolu uygulamalarını, öne çıkan Olmayan SaaS uygulamalarını ve şirket içi uygulamaları ekleme ve dağıtma işlemleri açıklanmaktadır. Diğer IdP çözümlerinden uygulama oturumlarını Bulut için Defender Uygulamalarına yönlendirme adımları sağlar. Microsoft Entra Id için bkz . Microsoft Entra Id kullanarak özel uygulamalar için Koşullu Erişim Uygulama Denetimi dağıtma.

Bulut için Defender Uygulamaları tarafından sunulan uygulamaların listesi için bkz. Uygulamaları Bulut için Defender Uygulamalar Koşullu Erişim Uygulama Denetimi ile koruma.

Önkoşullar

Uygulama ekleme/bakım listesine yönetici ekleme

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Koşullu Erişim Uygulama Denetimi'nin altında Uygulama ekleme/bakım'ı seçin.

  3. Uygulamayı ekleyecek kullanıcılar için kullanıcı asıl adını veya e-posta adresini girin ve kaydet'i seçin.

    Screenshot of settings for App onboarding and maintenance.

Gerekli lisansları denetleyin

  • Koşullu Erişim Uygulama Denetimi'ni kullanmak için kuruluşunuzun aşağıdaki lisanslara sahip olması gerekir:

    • Kimlik sağlayıcısı (IdP) çözümünüz için gereken lisans
    • Microsoft Defender for Cloud Apps

  • Uygulamalar çoklu oturum açma ile yapılandırılmalıdır

  • Uygulamalar aşağıdaki kimlik doğrulama protokollerini kullanmalıdır:

    IdP Protokoller
    Diğer SAML 2.0

Herhangi bir uygulamayı dağıtmak için

Herhangi bir uygulamayı Bulut için Defender Uygulamalar Koşullu Erişim Uygulama Denetimi tarafından denetlenecek şekilde yapılandırmak için bu adımları izleyin.

  1. IdP'nizi Bulut için Defender Uygulamalarıyla çalışacak şekilde yapılandırma

  2. Dağıttığınız uygulamayı yapılandırma

  3. Uygulamanın düzgün çalıştığını doğrulayın

  4. Uygulamayı kuruluşunuzda kullanmak üzere etkinleştirme

Dekont

Microsoft Entra uygulamaları için Koşullu Erişim Uygulama Denetimi'ni dağıtmak için, Microsoft Entra Id P1 veya üzeri için geçerli bir lisansa ve Bulut için Defender Uygulamaları lisansına sahip olmanız gerekir.

1. Adım: IdP'nizi Bulut için Defender Uygulamalarıyla çalışacak şekilde yapılandırma

Dekont

IdP çözümlerini yapılandırma örnekleri için bkz:

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.

  3. +Ekle'yi seçin ve açılır pencerede dağıtmak istediğiniz uygulamayı seçin ve ardından Sihirbazı Başlat'ı seçin.

  4. UYGULAMA BİlGİLerİ sayfasında, uygulamanızın çoklu oturum açma yapılandırma sayfasındaki bilgileri kullanarak formu doldurun ve İleri'yi seçin.

    • IdP'niz seçili uygulama için çoklu oturum açma meta veri dosyası sağlıyorsa, Uygulamadan meta veri dosyasını karşıya yükle'yi seçin ve meta veri dosyasını karşıya yükleyin.
    • İsterseniz Verileri el ile doldur'u seçip aşağıdaki bilgileri de sağlayabilirsiniz:
      • Onay tüketici hizmeti URL'si
      • Uygulamanız bir SAML sertifikası sağlıyorsa SAML sertifikası app_name> kullan'ı <seçin ve sertifika dosyasını karşıya yükleyin.

    Screenshot showing app information page.

  5. KIMLIK SAĞLAYıCıSı sayfasında, IdP'nizin portalında yeni bir uygulama ayarlamak için sağlanan adımları kullanın ve ardından İleri'yi seçin.

    1. IdP'nizin portalına gidin ve yeni bir özel SAML uygulaması oluşturun.
    2. Mevcut <app_name> uygulamanın çoklu oturum açma yapılandırmasını yeni özel uygulamaya kopyalayın.
    3. Kullanıcıları yeni özel uygulamaya atayın.
    4. Uygulamalar çoklu oturum açma yapılandırma bilgilerini kopyalayın. Sonraki adımda ihtiyacınız olacak.

    Screenshot showing gather identity provider information page.

    Dekont

    Bu adımlar, kimlik sağlayıcınıza bağlı olarak biraz farklılık gösterebilir. Bu adım aşağıdaki nedenlerle önerilir:

    • Bazı kimlik sağlayıcıları, galeri uygulamasının SAML özniteliklerini veya URL özelliklerini değiştirmenize izin vermez
    • Özel bir uygulama yapılandırmak, kuruluşunuz için mevcut davranışı değiştirmeden bu uygulamayı erişim ve oturum denetimleriyle test etmenizi sağlar.

  6. Sonraki sayfada, uygulamanızın çoklu oturum açma yapılandırma sayfasındaki bilgileri kullanarak formu doldurun ve İleri'yi seçin.

    • IdP'niz seçili uygulama için çoklu oturum açma meta veri dosyası sağlıyorsa, Uygulamadan meta veri dosyasını karşıya yükle'yi seçin ve meta veri dosyasını karşıya yükleyin.
    • İsterseniz Verileri el ile doldur'u seçip aşağıdaki bilgileri de sağlayabilirsiniz:
      • Onay tüketici hizmeti URL'si
      • Uygulamanız bir SAML sertifikası sağlıyorsa SAML sertifikası app_name> kullan'ı <seçin ve sertifika dosyasını karşıya yükleyin.

    Screenshot showing enter identity provider information page.

  7. Sonraki sayfada aşağıdaki bilgileri kopyalayın ve İleri'yi seçin. Sonraki adımda bu bilgilere ihtiyacınız olacak.

    • Çoklu oturum açma URL'si
    • Öznitelikler ve değerler

    Screenshot showing gather identity providers SAML information page.

  8. IdP'nizin portalında aşağıdakileri yapın:

    Dekont

    Ayarlar genellikle IdP portalının özel uygulama ayarları sayfasında bulunur.

    1. Önerilen - Geçerli ayarlarınızın yedeğini oluşturun.

    2. Çoklu oturum açma URL'si alan değerini daha önce not ettiğiniz Bulut için Defender Apps SAML çoklu oturum açma URL'si ile değiştirin.

      Dekont

      Bazı sağlayıcılar, çoklu oturum açma URL'sine Yanıt URL'si olarak başvurabilir.

    3. Daha önce not ettiğiniz öznitelikleri ve değerleri uygulamanın özelliklerine ekleyin.

      Dekont

      • Bazı sağlayıcılar bunlara Kullanıcı öznitelikleri veya Talepler olarak başvurabilir.
      • Okta Kimlik Sağlayıcısı, yeni bir SAML uygulaması oluştururken öznitelikleri 1024 karakterle sınırlar. Bu sınırlamayı azaltmak için önce ilgili öznitelikler olmadan uygulamayı oluşturun. Uygulamayı oluşturduktan sonra düzenleyin ve ilgili öznitelikleri ekleyin.

    4. Ad tanımlayıcısının e-posta adresi biçiminde olduğunu doğrulayın.

    5. Ayarlarınızı kaydedin.

  9. UYGULAMA DEĞİşİkLİkLERI sayfasında aşağıdakileri yapın ve İleri'yi seçin. Sonraki adımda bu bilgilere ihtiyacınız olacak.

    • Çoklu oturum açma URL'sini kopyalama
    • Bulut için Defender Apps SAML sertifikasını indirme

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  10. Uygulamanızın portalında, çoklu oturum açma ayarlarında aşağıdakileri yapın:

    1. Önerilen - Geçerli ayarlarınızın yedeğini oluşturun.
    2. Çoklu oturum açma URL'si alanına, daha önce not aldığınız Bulut için Defender Uygulamalar çoklu oturum açma URL'sini girin.
    3. Daha önce indirdiğiniz Bulut için Defender Apps SAML sertifikasını karşıya yükleyin.

    Dekont

    • Ayarlarınızı kaydettikten sonra, bu uygulamaya yönelik tüm ilişkili oturum açma istekleri Koşullu Erişim Uygulama Denetimi aracılığıyla yönlendirilir.
    • Bulut için Defender Apps SAML sertifikası bir yıl geçerlidir. Süresi dolduktan sonra yeni bir sertifika oluşturulması gerekir.

2. Adım: Uygulamayı el ile ekleme ve gerekirse sertifikaları yükleme

Uygulama kataloğundaki uygulamalar, Bağlan Uygulamalar altındaki tabloya otomatik olarak doldurulur. Dağıtmak istediğiniz uygulamanın orada gezinerek tanınıp tanınmadığını denetleyin.

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçerek erişim ve oturum ilkeleriyle yapılandırılabilir bir uygulama tablosuna erişin.

    Conditional access app control apps.

  3. Dağıtmak istediğiniz uygulamayı filtrelemek ve aramak için Uygulama: Uygulamaları seçin... açılan menüsünü seçin.

    Select App: Select apps to search for the app.

  4. Uygulamayı orada görmüyorsanız el ile eklemeniz gerekir.

Tanımlanamayan bir uygulamayı el ile ekleme

  1. Başlıkta Yeni uygulamaları görüntüle'yi seçin.

    Conditional access app control view new apps.

  2. Yeni uygulamalar listesinde, eklediğiniz + her uygulama için işareti ve ardından Ekle'yi seçin.

    Dekont

    Bir uygulama Bulut için Defender Uygulamalar uygulama kataloğunda görünmüyorsa, iletişim kutusunda tanımlanamayan uygulamalar altında oturum açma URL'si ile birlikte görünür. Bu uygulamalar için + işaretine tıkladığınızda, uygulamayı özel uygulama olarak ekleyebilirsiniz.

    Conditional access app control discovered Microsoft Entra apps.

Bir uygulamaya etki alanı eklemek için

Doğru etki alanlarını bir uygulamayla ilişkilendirmek, Bulut için Defender Uygulamalarının ilkeleri ve denetim etkinliklerini zorunlu kılmasını sağlar.

Örneğin, ilişkili bir etki alanı için dosya indirmeyi engelleyen bir ilke yapılandırdıysanız, uygulama tarafından bu etki alanından dosya indirmeleri engellenir. Ancak uygulama tarafından uygulamayla ilişkilendirilmiş olmayan etki alanlarından dosya indirmeleri engellenmez ve eylem etkinlik günlüğünde denetlenemez.

Dekont

Bulut için Defender Uygulamaları, sorunsuz bir kullanıcı deneyimi sağlamak için uygulamayla ilişkilendirilmemiş etki alanlarına yine de bir sonek ekler.

  1. Uygulamanın içinden, Bulut için Defender Uygulamalar yönetici araç çubuğunda Bulunan etki alanları'nı seçin.

    Dekont

    Yönetici araç çubuğu yalnızca uygulama ekleme veya bakım izinleri olan kullanıcılar tarafından görülebilir.

  2. Bulunan etki alanları panelinde etki alanı adlarını not edin veya listeyi .csv dosyası olarak dışarı aktarın.

    Dekont

    Panelde, uygulamada ilişkilendirilmemiş bulunan etki alanlarının listesi görüntülenir. Etki alanı adları tam olarak nitelenir.

  3. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.
  4. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
  5. Uygulama listesinde, dağıttığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.

    Bahşiş

    Uygulamada yapılandırılan etki alanlarının listesini görüntülemek için Uygulama etki alanlarını görüntüle'yi seçin.

  6. Kullanıcı tanımlı etki alanları'nda, bu uygulamayla ilişkilendirmek istediğiniz tüm etki alanlarını girin ve Kaydet'i seçin.

    Dekont

    * joker karakterini herhangi bir karakter için yer tutucu olarak kullanabilirsiniz. Etki alanları eklerken, belirli etki alanları (sub1.contoso.com,sub2.contoso.com) veya birden çok etki alanı (*.contoso.com) eklemek isteyip istemediğinize karar verin.

Kök sertifikaları yükleme

  1. Geçerli CA ve Sonraki CA otomatik olarak imzalanan kök sertifikalarını yüklemek için aşağıdaki adımları yineleyin.

    1. Sertifikayı seçin.
    2. Aç'ı seçin ve istendiğinde yeniden Aç'ı seçin.
    3. Sertifika yükle'yi seçin.
    4. Geçerli Kullanıcı veya Yerel Makine'yi seçin.
    5. Tüm sertifikaları aşağıdaki depoya yerleştir'i ve ardından Gözat'ı seçin.
    6. Güvenilen Kök Sertifika Yetkilileri'ni ve ardından Tamam'ı seçin.
    7. Bitir'iseçin.

    Dekont

    Sertifikaların tanınması için, sertifikayı yükledikten sonra tarayıcıyı yeniden başlatmanız ve aynı sayfaya gitmeniz gerekir.

  2. Devam'ı seçin.

  3. Uygulamanın tabloda kullanılabilir olup olmadığını denetleyin.

    Onboard with session control.

3. Adım: Uygulamanın düzgün çalıştığını doğrulayın

Uygulamanın yakın olduğunu doğrulamak için, önce uygulamayla ilişkili tarayıcılarda sabit oturum kapatma işlemi gerçekleştirin veya gizli modda yeni bir tarayıcı açın.

Uygulamayı açın ve aşağıdaki denetimleri gerçekleştirin:

  • URL'de .mcas sonek olup olmadığını denetleyin
  • Uygulamanın içinde kullanıcının iş sürecinin parçası olan tüm sayfaları ziyaret edin ve sayfaların doğru şekilde işlendiğini doğrulayın.
  • Dosyaların indirilmesi ve karşıya yüklenmesi gibi yaygın eylemlerin gerçekleştirilmesinden uygulamanın davranışının ve işlevselliğinin olumsuz etkilenmediğini doğrulayın.
  • Uygulamayla ilişkili etki alanlarının listesini gözden geçirin. Daha fazla bilgi için bkz . Uygulama için etki alanlarını ekleme.

Hatalarla veya sorunlarla karşılaşırsanız, destek bileti oluşturmak için dosyalar ve kayıtlı oturumlar gibi .har kaynakları toplamak için yönetici araç çubuğunu kullanın.

4. Adım: Uygulamayı kuruluşunuzda kullanmak üzere etkinleştirme

Uygulamayı kuruluşunuzun üretim ortamında kullanmak üzere etkinleştirmeye hazır olduğunuzda aşağıdaki adımları uygulayın.

  1. Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin.

  2. Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.

  3. Uygulama listesinde, dağıttığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.

  4. Uygulamayı oturum denetimleriyle kullan'ı ve ardından Kaydet'i seçin.

    Edit this app dialogue.

Sonraki adımlar

« ÖNCEKİ: Katalog uygulamaları için Koşullu Erişim Uygulama Denetimi dağıtma

NEXT: Oturum ilkesi oluşturma »

Ayrıca bkz.

Koşullu Erişim Uygulama Denetimine Giriş

Erişim ve oturum denetimlerinin sorunlarını giderme

Herhangi bir sorunla karşılaşırsanız size yardımcı olmak için buradayız. Ürün sorununuzla ilgili yardım veya destek almak için lütfen bir destek bileti açın.