使用 Microsoft Entra ID 为自定义应用部署条件访问应用控制

Microsoft Defender for Cloud Apps 中的会话控制可配置为与任何 Web 应用配合使用。 本文介绍如何使用会话控制加入并部署Microsoft Entra 应用程序代理托管的自定义业务线应用、非特色 SaaS 应用和本地应用。 它提供创建 Microsoft Entra 条件访问策略的步骤,以将应用会话路由到 Defender for Cloud Apps。 对于其他 IdP 解决方案,请参阅使用非 Microsoft IdP 为自定义应用部署条件访问应用控制

有关 Defender for Cloud Apps 提供的开箱即用的应用列表,请参阅使用 Defender for Cloud Apps 条件访问应用控制保护应用

先决条件

在开始载入过程之前,必须执行以下操作:

将管理员添加到应用加入/维护列表

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。

  2. 在“条件访问应用控制”下,选择“应用加入/维护”。

  3. 输入要加入应用用户的用户主体名称或电子邮件,然后选择“保存”

    Screenshot of settings for App onboarding and maintenance.

检查必需的许可证

  • 组织必须具有以下许可证才能使用条件访问应用控制:

  • 应用必须配置单一登录

  • 应用必须使用以下身份验证协议中的一个:

    IdP 协议
    Microsoft Entra ID SAML 2.0 或 OpenID Connect

要部署某应用

如果要载入由 Defender for Cloud Apps 条件访问控制控制的应用程序,需要:

要使用 Defender for Cloud Apps 条件访问应用控制进行应用控制,请按照以下步骤配置应用。

注意

如果要为 Microsoft Entra 应用部署条件访问应用控制,需要 Microsoft Entra ID P1 或更高版本的有效许可证,以及 Defender for Cloud Apps 许可证。

将 Microsoft Entra ID 配置为使用 Defender for Cloud Apps

注意

在 Microsoft Entra ID 或其他标识提供者中使用 SSO 配置应用程序时,登录 URL 设置是可能列为可选字段的一个字段。 请注意,条件访问应用控制可能需要此字段才能起作用。

  1. 在 Microsoft Entra ID 中,浏览到“安全”>“条件访问”。

  2. 在“条件访问”窗格顶部的工具栏中,单击“新建策略”-“>创建新策略”。

  3. 在“新建”窗格中的“名称”文本框中,输入策略名称。

  4. 在“分配”下,选择“用户或工作负载标识”,并分配将加入应用(初始登录和验证)的用户和组,然后选择“完成”。

  5. 在“分配”下,选择“云应用或操作”,并使用条件访问应用控制分配要控制的应用,然后选择“完成”。

  6. 在“访问控制”下,选择“会话”,选择“使用条件访问应用控制”,然后选择内置策略(仅监视阻止下载使用自定义策略)在 Defender for Cloud Apps 中设置高级策略,然后单击“选择”。

    Microsoft Entra Conditional Access.

  7. (可选)根据需要添加条件和授予控制措施。

  8. 将“启用策略”设置为“启用”,然后选择“创建”。

应用目录中的应用程序会自动填充到“连接的应用”下的表中。 如果你有活动会话,请注销应用程序,然后再次登录以允许发现应用。 通过导航,可以检查要部署的应用是否已被识别。

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。

  2. 在“连接应用”下,选择“条件访问应用控制应用”,以访问可配置访问和会话策略的应用程序表。

    Conditional access app control apps.

  3. 选择“应用:选择应用...”下拉菜单以筛选和搜索要部署的应用。

    Select App: Select apps to search for the app.

  4. 如果未找到应用,需要手动添加。

如何手动添加未标识的应用

  1. 在横幅中,选择“查看新应用”。

    Conditional access app control view new apps.

  2. 在新应用的列表中,对于要加入的每个应用,选择 + 符号,然后选择“添加”。

    注意

    如果某个应用未显示在 Defender for Cloud Apps 应用目录中,则会与登录 URL 一同显示在未标识应用下的对话框中。 单击这些应用的 + 符号时,可将应用程序作为自定义应用加入。

    Conditional access app control discovered Microsoft Entra apps.

将正确的域关联到允许 Defender for Cloud Apps 强制实施策略和审核活动的应用。

例如,如果你已配置阻止下载关联域的文件的策略,则会阻止应用从该域下载文件。 但是,将不会阻止应用从未与应用关联的域下载文件,并且不会在活动日志中审核该操作。

注意

Defender for Cloud Apps 仍会为没有与应用关联的域添加后缀,以保证无缝用户体验。

  1. 在应用中的 Defender for Cloud Apps 管理员工具栏上,选择“发现的域”

    Select Discovered domains.

    注意

    管理员工具栏仅对有权加入或维护应用的用户可见。

  2. 在“发现的域”面板中,记下域名或将列表导出为 .csv 文件。

    注意

    该面板显示了未与应用关联的发现的域列表。 域名是完全限定的。

  3. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。

  4. 在“连接的应用”下,选择“条件访问应用控制应用”。

  5. 在应用列表中,选择要部署应用所在行末尾的三个点,然后选择“编辑应用”。

    Edit app details.

    提示

    要查看应用中配置的域列表,请选择“查看应用域”。

    • 用户定义的域:与应用程序关联的域。 导航到应用程序,可以使用管理员工具栏来标识与应用程序关联的域,并确定其中是否有域缺失。 请注意,缺少的域可能会导致受保护的应用程序无法正确呈现。

    • 将访问令牌视为登录请求:某些应用程序使用访问令牌和代码请求作为应用登录名。 这样,当载入应用以访问和会话控件使应用程序能够正确呈现时,能够将访问令牌和代码请求视为登录名。 载入应用程序时,请始终确保已勾选。

    • 将应用与会话控件配合使用:若要允许此应用用于会话控件,或不允许与会话控件一起使用。 载入应用程序时,始终确保已勾选。

    • 执行第二次登录:如果应用程序使用 nonce,则需要使用第二次登录来考虑 nonce 处理。 应用程序使用 nonce 或第二次登录来确保 IdP 为用户创建的登录令牌只能使用一次,而不能被其他人窃取和重复使用。 nonce 由服务提供商检查,以匹配预期内容,而不是它最近使用过的内容,这可能表示重播攻击。 选择此项后,我们确保从后缀会话触发第二个登录名,这可确保成功登录。 为了获得更好的性能,应启用此功能。

      Perform a second login.

  6. 在“用户定义的域”中,输入要与此应用关联的所有域,然后选择“保存”。

    注意

    可以使用 * 通配符作为任何字符的占位符。 添加域时,选择要添加特定域(sub1.contoso.comsub2.contoso.com)还是多个域(*.contoso.com)。 这仅适用于特定域(*.contoso.com)而不是顶级域(*.com)。

  7. 重复以下步骤,以安装当前 CA下一个 CA 自签名根证书。

    1. 选择证书。
    2. 选择“打开”,并在出现提示时再次选择“打开”。
    3. 选择“安装证书”
    4. 选择当前用户本地计算机
    5. 选择“将所有证书放入以下存储”,然后选择“浏览”。
    6. 选择“受信任的根证书颁发机构”,然后选择“确定”。
    7. 选择“完成”。

    注意

    要识别证书,在安装证书后,必须重启浏览器并回到同一页。

  8. 选择“继续”

  9. 检查应用程序在表中是否可用。

    Onboard with session control.

若要验证应用程序是否受保护,请首先执行与应用程序相关浏览器的硬注销,或使用隐身模式打开新浏览器。

打开应用程序并进行以下检查:

  • 检查锁图标是否显示在浏览器中,或者如果使用的是 Microsoft Edge 以外的浏览器,检查应用程序 URL 是否包含.mcas后缀。 有关详细信息,请参阅 Microsoft Edge for Business (预览版)的浏览器内保护
  • 访问应用内涉及用户工作过程的所有页面,验证页面是否正确渲染。
  • 执行常见操作(例如下载和上传文件),验证应用的行为和功能是否没有受到负面影响。
  • 查看与应用关联的域列表。

如果遇到错误或问题,请使用管理员工具栏收集 .har 文件和会话记录等资源,以提交支持票证。

准备好启用在组织的生产环境中使用的应用后,请执行以下步骤。

  1. 在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。
  2. 在“连接的应用”下,选择“条件访问应用控制应用”。
  3. 在应用列表中,选择要部署应用所在行末尾的三个点,然后选择“编辑应用”。
  4. 选择“将应用与会话控制配合使用”,然后选择“存储”。
  5. 在 Microsoft Entra 中的“安全性”下,选择“条件访问”。
  6. 更新之前创建的策略,以包含你所需的相关用户、组和控制。
  7. 在“会话”>“使用条件访问应用控制”下,如果选择了“使用自定义策略”,请转到 Defender for Cloud Apps 并创建相应的会话策略。 有关详细信息,请参阅会话策略

后续步骤

另请参阅

如果遇到任何问题,我们可随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证