使用 Azure Active Directory 为自定义应用部署条件访问应用控制
注意
Microsoft Defender for Cloud Apps 现在是 Microsoft 365 Defender 的一部分,它关联来自 Microsoft Defender 套件的信号,并提供事件级检测、调查和强大的响应功能。 有关详细信息,请参阅 Microsoft 365 Defender 中的 Microsoft Defender for Cloud Apps。
可以将 Microsoft Defender for Cloud Apps 中的会话控件配置为使用任何 Web 应用。 本文介绍如何使用会话控件载入和部署通过 Azure Active Directory(Azure AD)应用程序代理托管的自定义业务线应用、非特色 SaaS 应用和本地应用。 它提供创建将应用会话路由到 Defender for Cloud Apps 的 Azure AD 条件访问策略的步骤。 有关其他 IdP 解决方案,请参阅 使用非 Microsoft IdP 为自定义应用部署条件访问应用控制。
有关 Defender for Cloud Apps 提供的现用应用列表,请参阅 使用 Defender for Cloud Apps 条件访问应用控制保护应用。
先决条件
在开始载入过程之前,必须执行以下操作:
将管理员添加到应用载入/维护列表
在 Microsoft 365 Defender 门户中,选择设置。 然后选择 “云应用”。
在“条件访问应用控制”下,选择“应用加入/维护”。
输入要加入应用的用户的用户主体名称或电子邮件,然后选择“ 保存”。
检查所需的许可证
组织必须具有以下许可证才能使用条件访问应用控制:
- Azure Active Directory (Azure AD) 高级版 P1 或更高版本
- Microsoft Defender for Cloud Apps
必须使用单一登录配置应用
应用必须使用以下身份验证协议之一:
IdP 协议 Azure AD SAML 2.0 或 OpenID 连接
部署任何应用
若要载入由 Defender for Cloud Apps 条件访问控制控制的应用程序,需要:
按照以下步骤配置由 Defender for Cloud Apps 条件访问应用控制控制的任何应用。
注意
若要为 Azure AD 应用部署条件访问应用控制,需要 Azure Active Directory 高级版 P1 或更高版本以及 Defender for Cloud Apps 许可证的有效许可证。
将 Azure AD 配置为使用 Defender for Cloud Apps
注意
在 Azure AD 或其他标识提供者中使用 SSO 配置应用程序时,可能列为可选字段的一个字段是登录 URL 设置。 请注意,条件访问应用控制可能需要此字段才能正常工作。
在 Azure AD 中,浏览到安全>条件访问。
在“条件访问”窗格的顶部工具栏中,选择“新建策略”->“创建新策略”。
在 “新建 ”窗格中的 “名称 ”文本框中,输入策略名称。
在“分配”下,选择“用户”或“工作负荷标识”,分配将加入应用(初始登录和验证)的用户,然后选择“完成”。
在“分配”下,选择“云应用”或“操作”,使用条件访问应用控制分配要控制的应用,然后选择“完成”。
在“访问控制”下,选择“会话”,选择“使用条件访问应用控制”,然后选择内置策略(仅监视或阻止下载),或使用自定义策略在 Defender for Cloud Apps 中设置高级策略,然后单击“选择”。
(可选)根据需要添加条件和授予控件。
将“启用策略”设置为“打开”,然后选择“创建”。
应用程序目录中的应用程序会自动填充到连接应用下的表中。 如果你有活动会话并再次登录以允许发现应用,请注销应用程序。 通过导航到该应用,检查要部署的应用是否已识别。
在 Microsoft 365 Defender 门户中,选择设置。 然后选择 “云应用”。
在连接应用下,选择条件访问应用控制应用以访问可以使用访问和会话策略配置的应用程序表。
选择 “应用:选择应用...” 下拉菜单以筛选和搜索要部署的应用。
如果没有看到该应用,则必须手动添加它。
如何手动添加未识别的应用
在横幅中,选择“ 查看新应用”。
在新应用列表中,对于要加入的每个应用,选择该 + 符号,然后选择“ 添加”。
注意
如果应用未显示在 Defender for Cloud Apps 应用程序目录中,则会在未识别的应用以及登录 URL 下的对话框中显示该应用。 单击这些应用的 + 符号时,可将应用程序作为自定义应用加入。
将正确的域关联到应用允许 Defender for Cloud Apps 强制实施策略和审核活动。
例如,如果已配置阻止下载关联域的文件的策略,则会阻止应用从该域下载文件。 但是,不会阻止应用从未与应用关联的域下载文件,并且不会在活动日志中审核该操作。
注意
Defender for Cloud Apps 仍向与应用无关的域添加后缀,以确保无缝用户体验。
在应用中的 Defender for Cloud Apps 管理员工具栏上,选择“ 发现”域。
注意
管理员工具栏仅对有权加入或维护应用的用户可见。
在“已发现域”面板中,记下域名或将列表导出为 .csv 文件。
注意
该面板显示应用中未关联的已发现域的列表。 域名是完全限定的。
在 Microsoft 365 Defender 门户中,选择设置。 然后选择 “云应用”。
在连接应用下,选择条件访问应用控制应用。
在应用列表中,在显示要部署应用的行上,选择行末尾的三个点,然后选择“ 编辑应用”。
提示
若要查看应用中配置的域列表,请选择“ 查看应用域”。
用户定义的域:与应用程序关联的域。 导航到应用程序,可以使用管理员工具栏来标识与应用程序关联的域,并确定其中是否有域缺失。 请注意,缺少的域可能会导致受保护的应用程序无法正确呈现。
将访问令牌视为登录请求:某些应用程序使用访问令牌和代码请求作为应用登录名。 这样,当载入应用以访问和会话控件使应用程序能够正确呈现时,能够将访问令牌和代码请求视为登录名。 载入应用程序时,请始终确保已勾选。
将应用与会话控件配合使用:若要允许此应用用于会话控件,或不允许与会话控件一起使用。 载入应用程序时,始终确保已勾选。
执行第二次登录:如果应用程序使用 nonce,则需要使用第二次登录来考虑 nonce 处理。 应用程序使用 nonce 或第二次登录来确保 IdP 为用户创建的登录令牌只能使用一次,而不能被其他人窃取和重复使用。 nonce 由服务提供商检查,以匹配预期内容,而不是它最近使用过的内容,这可能表示重播攻击。 选择此项后,我们确保从后缀会话触发第二个登录名,这可确保成功登录。 为了获得更好的性能,应启用此功能。
在 用户定义的域中,输入要与此应用关联的所有域,然后选择“ 保存”。
注意
可以使用 * wild卡 字符作为任何字符的占位符。 添加域时,决定是要添加特定域(
sub1.contoso.com,sub2.contoso.com)还是多个域(*.contoso.com)。 这仅适用于特定域(*.contoso.com)而不是顶级域(*.com)。重复以下步骤安装 当前 CA 和 下一个 CA 自签名根证书。
- 选择证书。
- 选择“打开”,出现提示时再次选择“打开”。
- 选择“ 安装证书”。
- 选择当前用户或本地计算机。
- 选择“ 将所有证书放入以下存储 区”,然后选择“ 浏览”。
- 选择 “受信任的根证书颁发机构 ”,然后选择“ 确定”。
- 选择“完成”。
注意
若要识别证书,安装证书后,必须重启浏览器并转到同一页。
选择“继续”。
检查应用程序是否在表中可用。
若要验证应用程序是否正在代理,请先对与应用程序关联的浏览器执行硬注销,或者打开具有隐身模式的新浏览器。
打开应用程序并执行以下检查:
- 检查 URL 是否包含
.mcas后缀 - 访问应用内属于用户工作过程的所有页面,并验证页面是否正确呈现。
- 通过执行常见操作(如下载和上传文件)来验证应用的行为和功能是否不会受到负面影响。
- 查看与应用关联的域列表。
如果遇到错误或问题,请使用管理员工具栏收集文件等 .har 资源,并记录会话以提交支持票证。
准备好启用应用以便在组织的生产环境中使用后,请执行以下步骤。
- 在 Microsoft 365 Defender 门户中,选择设置。 然后选择 “云应用”。
- 在连接应用下,选择条件访问应用控制应用。
- 在应用列表中,在显示要部署应用的行上,选择行末尾的三个点,然后选择“ 编辑应用”。
- 选择“ 将应用与会话控件 配合使用”,然后选择“ 保存”。
- 在 Azure AD 中的“安全性”下,选择“条件访问”。
- 更新之前创建的策略,以包含所需的相关用户、组和控件。
- 在“会话>使用条件访问应用控制”下,如果选择了“使用自定义策略”,请转到 Defender for Cloud Apps 并创建相应的会话策略。 有关详细信息,请参阅会话策略。
后续步骤
另请参阅
如果遇到任何问题,我们在这里提供帮助。 若要获取产品问题的帮助或支持,请 开具支持票证。