加入非 Microsoft IdP 目录应用以进行条件访问应用控制

Microsoft Defender for Cloud Apps 中的访问和会话控制适用于目录应用和自定义应用两者。 虽然 Microsoft Entra ID 应用会自动加入以使用条件访问应用控制，但如果使用的是非Microsoft IdP，则需要手动加入应用。

本文介绍如何配置 IdP 以使用 Defender for Cloud Apps。 将 IdP 与 Defender for Cloud Apps 集成会自动加入 IdP 中的所有目录应用，以便进行条件访问应用控制。

先决条件

• 组织必须具有以下许可证才能使用条件访问应用控制：

  • 标识提供者 (IdP) 解决方案所需的许可证
  • Microsoft Defender for Cloud Apps

• 应用必须配置单一登录

• 应用必须配置 SAML 2.0 身份验证协议。

完全执行和测试本文中的过程需要配置会话或访问策略。 有关详细信息，请参阅：

• 创建 Microsoft Defender for Cloud Apps 访问策略
• 创建 Microsoft Defender for Cloud Apps 会话策略

将 IdP 配置为使用 Defender for Cloud Apps

此过程介绍如何将应用会话从其他 IdP 解决方案路由到 Defender for Cloud Apps。

提示

以下文章提供了此过程的详细示例：

• 配置 PingOne IdP
• 配置 AD FS IdP
• 配置 Okta IdP

将 IdP 配置为使用 Defender for Cloud Apps：

1. 在 Microsoft Defender XDR 中，选择设置 >云应用 > 已连接的应用 > 条件访问应用控制应用。

2. 在条件访问应用控制应用页面上，选择 + 添加。

3. 在使用标识提供者添加 SAML 应用程序对话框中，选择搜索应用下拉列表，然后选择要部署的应用。 选择应用后，选择启动向导。

4. 在向导的应用信息页上，从应用上传元数据文件或手动输入应用数据。

   请确保提供以下信息：

   • 断言使用者服务 URL。 这是应用用于从 IdP 接收 SAML 断言的 URL。
   • SAML 证书（如果应用提供）。 在这种情况下，请选择使用...SAML 证书选项，然后上传证书文件。

   完成后，选择下一步以继续。

5. 在向导的标识提供者页上，按照说明在 IdP 的门户中设置新的自定义应用。

   注意

   所需的步骤可能会有所不同，具体取决于 IdP。 出于以下原因，建议按说明执行外部配置：

   • 某些标识提供者不允许更改图库/目录应用的 SAML 属性或 URL 属性。
   • 配置自定义应用时，可以使用 Defender for Cloud Apps 访问和会话控制测试应用，而无需更改组织的现有配置行为。

   复制应用的单一登录配置信息，以便在此过程的后面部分使用。 完成后，选择下一步以继续。

6. 继续进入向导的标识提供者页面，从 IdP 上传元数据文件或手动输入应用数据。

   请确保提供以下信息：

   • 单一登录服务 URL。 这是 IdP 用于接收单一登录请求的 URL。
   • SAML 证书（如果 IdP 提供）。 在这种情况下，请选择使用标识提供者的 SAML 证书选项，然后上传证书文件。

7. 继续进入向导的标识提供者页，复制单一登录 URL 和所有属性和值，以便在此过程的后面部分使用。

   完成后，选择“下一步”继续。

8. 浏览到 IdP 的门户，并输入复制到 IdP 配置的值。 通常，这些设置位于 IdP 的自定义应用设置区域中。

   1. 输入从上一步复制的应用单一登录 URL。 某些提供程序可能会将单一登录 URL 称为回复 URL。

   2. 将从上一步复制的属性和值添加到应用的属性中。 某些提供程序可能将其称为用户属性或声明。

      如果新应用的属性限制为 1024 个字符，请先创建不包含相关属性的应用，然后通过编辑应用添加这些属性。

   3. 验证名称标识符是否采用电子邮件地址格式。

   4. 完成后，确保保存设置。

9. 返回 Defender for Cloud Apps，在向导的应用更改页上，复制 SAML 单一登录 URL，并下载 Microsoft Defender for Cloud Apps SAML 证书。 当与 Defender for Cloud Apps 条件访问应用控制一起使用时，SAML 单一登录 URL 是应用的自定义 URL。

10. 浏览到应用的门户，并按如下方式配置单一登录设置：

    1. （建议）创建当前设置的备份。
    2. 将标识提供者登录 URL 字段值替换为从上一步复制的 Defender for Cloud Apps SAML 单一登录 URL。 此字段的特定名称可能有所不同，具体取决于你的应用。
    3. 上载在上一步中下载的 Defender for Cloud Apps SAML 证书。
    4. 确保保存所做的更改。

11. 在向导中，选择完成以完成配置。

使用 Defender for Cloud Apps 自定义的值保存应用单一登录设置后，所有关联的登录请求都会通过 Defender for Cloud Apps 和条件访问应用控制进行路由。

注意

Defender for Cloud Apps SAML 证书的有效期为一年。 过期后，需要生成一个新证书并上传。

使用策略 范围内的用户登录应用

创建访问或会话策略后，登录到使用该策略配置的每个应用。 请确保已首先注销所有现有会话，并使用策略中配置的用户登录。

Defender for Cloud Apps 会针对登录的每个新应用将策略详细信息同步至服务器。 这可能需要一分钟时间。

有关详细信息，请参阅：

• 创建 Microsoft Defender for Cloud Apps 访问策略
• 创建 Microsoft Defender for Cloud Apps 会话策略

验证应用是否已配置为使用访问和会话控制

此过程介绍如何验证应用是否已配置为在 Defender for Cloud Apps 中使用访问和会话控制，并根据需要配置这些设置。

注意

虽然无法删除应用的会话控制设置，但为应用配置会话或访问策略之前，不会更改任何行为。

1. 在 Microsoft Defender XDR 中，选择设置 >云应用 > 已连接的应用 > 条件访问应用控制应用。

2. 在应用表中，搜索应用并检查 IDP 类型列值。 确保为应用显示非 MS 身份验证应用和会话控制。

相关内容

• 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用
• 使用非 Microsoft 标识提供者为自定义应用部署条件访问应用控制
• 访问和会话控制排除故障

如果遇到任何问题，我们可随时提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。