Share via

為具有非 Microsoft 識別提供者的自訂應用程式部署條件式存取應用程控

  • 發行項

適用於雲端的 Microsoft Defender Apps 中的工作階段控制項可以設定為使用任何 Web 應用程式。 本文說明如何使用會話控件,將自定義企業營運應用程式、非精選 SaaS 應用程式和透過 Microsoft Entra 應用程式 Proxy 裝載的內部部署應用程式上線及部署。 它提供將應用程式會話從其他 IdP 解決方案路由傳送至 適用於雲端的 Defender 應用程式的步驟。 如需 Microsoft Entra 識別符,請參閱 使用 Microsoft Entra ID 為自定義應用程式部署條件式存取應用程控。

如需 適用於雲端的 Defender 應用程式現成可用的應用程式清單,請參閱使用 適用於雲端的 Defender Apps 條件式存取應用程控來保護應用程式。

必要條件

將系統管理員新增至應用程式上線/維護清單

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [條件式存取應用程控] 底下,選取 [應用程式上線/維護]。

  3. 輸入要上線應用程式之使用者的用戶主體名稱或電子郵件,然後選取 [ 儲存]。

    應用程式上線和維護設定的螢幕快照。

檢查必要的授權

  • 您的組織必須具有下列授權,才能使用條件式存取應用程控:

    • 識別提供者 (IdP) 解決方案所需的授權
    • Microsoft Defender for Cloud Apps

  • 應用程式必須設定為單一登錄

  • 應用程式必須使用下列驗證通訊協定:

    IdP 通訊協定
    其他 SAML 2.0

部署任何應用程式

請遵循下列步驟,將任何應用程式設定為由 適用於雲端的 Defender Apps 條件式存取應用程控來控制。

  1. 將您的 IdP 設定為使用 適用於雲端的 Defender Apps

  2. 設定您要部署的應用程式

  3. 確認應用程式正常運作

  4. 啟用應用程式以在組織中使用

注意

若要為 Microsoft Entra 應用程式部署條件式存取應用程控,您需要 Microsoft Entra ID P1 或更新版本的有效授權,以及 適用於雲端的 Defender Apps 授權。

步驟 1:將您的 IdP 設定為使用 適用於雲端的 Defender Apps

注意

如需如何設定 IdP 解決方案的範例,請參閱:

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。

  3. 選取 [+新增],然後在快顯中選取您要部署的應用程式,然後選取 [ 啟動精靈]。

  4. 在 [ APP 資訊] 頁面上,使用您應用程式單一登錄組態頁面中的資訊填寫窗體,然後選取 [ 下一步]。 - 如果您的 IdP 為選取的應用程式提供單一登錄元數據檔案,請從應用程式選取 [上傳元數據檔案],然後上傳元數據檔案。 - 或者,請手動選取 [填入數據],並提供下列資訊:- 判斷提示取用者服務 URL - 如果您的應用程式提供 SAML 憑證,請選取 [使用<app_name> SAML 憑證並上傳憑證檔案。

    顯示應用程式資訊頁面的螢幕快照。

  5. 在 [ 識別提供者 ] 頁面上,使用提供的步驟,在您的IdP入口網站中設定新的應用程式,然後選取 [ 下一步]。

  6. 移至您的 IdP 入口網站,並建立新的自訂 SAML 應用程式。

  7. 將現有 <app_name> 應用程式的單一登錄設定複製到新的自定義應用程式。

  8. 將使用者指派給新的自訂應用程式。

  9. 複製應用程式單一登錄組態資訊。 您在下一個步驟中將需要此權杖。

    顯示收集識別提供者資訊頁面的螢幕快照。

    注意

    這些步驟可能會根據您的身分識別提供者稍有不同。 基於下列原因,建議執行此步驟:

    • 某些識別提供者不允許您變更資源庫應用程式的SAML屬性或URL屬性
    • 設定自定義應用程式可讓您使用存取和會話控件來測試此應用程式,而不需要變更您組織的現有行為。

  10. 在下一個頁面上,使用您應用程式單一登錄組態頁面中的資訊填寫窗體,然後選取 [ 下一步]。 - 如果您的 IdP 為選取的應用程式提供單一登錄元數據檔案,請從應用程式選取 [上傳元數據檔案],然後上傳元數據檔案。 - 或者,請手動選取 [填入數據],並提供下列資訊:- 判斷提示取用者服務 URL - 如果您的應用程式提供 SAML 憑證,請選取 [使用<app_name> SAML 憑證並上傳憑證檔案。

    顯示輸入識別提供者資訊頁面的螢幕快照。

  11. 在下一個頁面上,複製下列資訊,然後選取 [ 下一步]。 在下一個步驟中,您將需要此資訊。

  • 單一登錄 URL

  • 屬性和值

    顯示收集識別提供者 SAML 資訊頁面的螢幕快照。

  1. 在您的 IdP 入口網站中,執行下列動作:

    注意

    這些設定通常位於IdP入口網站的自訂應用程式設定頁面中。

    1. 建議 - 建立目前設定的備份。

    2. 將 [單一登錄 URL] 字段值取代為您稍早記下 適用於雲端的 Defender Apps SAML 單一登錄 URL。

      注意

      某些提供者可能會將單一登錄 URL 稱為回復 URL

    3. 將您先前記下的屬性和值新增至應用程式的屬性。

      注意

      • 某些提供者可能會將其 稱為用戶屬性宣告
      • 建立新的 SAML 應用程式時,Okta Identity Provider 會將屬性限製為 1024 個字元。 若要減輕這項限制,請先建立沒有相關屬性的應用程式。 建立應用程式之後,請加以編輯,然後新增相關的屬性。

    4. 確認名稱識別碼的格式為電子郵件位址。

    5. 儲存您的設定。

  2. 在 [ 應用程式變更 ] 頁面上,執行下列動作,然後選取 [ 下一步]。 在下一個步驟中,您將需要此資訊。

  • 複製單一登錄 URL

  • 下載 適用於雲端的 Defender 應用程式 SAML 憑證

    顯示 [收集 適用於雲端的 Defender 應用程式 SAML 資訊] 頁面的螢幕快照。

  1. 在應用程式的入口網站中,在單一登錄設定上,執行下列動作:
    1. 建議 - 建立目前設定的備份。
    2. 在 [單一登錄 URL] 字段中,輸入您稍早記下 適用於雲端的 Defender Apps 單一登錄 URL。
    3. 上傳您稍早下載 適用於雲端的 Defender 應用程式 SAML 憑證。

    注意

    • 儲存您的設定之後,所有與此應用程式的相關聯登入要求都會透過條件式存取應用程控路由傳送。
    • 適用於雲端的 Defender 應用程式 SAML 憑證的有效期限為一年。 到期之後,必須產生新的憑證。

步驟 2:視需要手動新增應用程式並安裝憑證

應用程式目錄中的應用程式會自動填入 連線 應用程式底下的數據表。 流覽至該處,確認您要部署的應用程式是否已辨識。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 連線 的應用程式下,選取 [條件式存取應用程控應用程式] 以存取可使用存取和會話原則設定的應用程式數據表。

    條件式存取應用程控應用程式。

  3. 選取 [ 應用程式:選取應用程式... ] 下拉功能表,以篩選和搜尋您要部署的應用程式。

    選取 [應用程式]:選取要搜尋應用程式的應用程式。

  4. 如果您沒有在那裡看到應用程式,則必須手動新增它。

如何手動新增未識別的應用程式

  1. 在橫幅中,選取 [ 檢視新的應用程式]。

    條件式存取應用程控檢視新的應用程式。

  2. 在新的應用程式清單中,針對您要上線的每個應用程式,選取 + 符號,然後選取 [ 新增]。

    注意

    如果應用程式未出現在 適用於雲端的 Defender Apps 應用程式類別目錄中,則會出現在對話方塊的 [未識別的應用程式] 底下,以及登入 URL。 按一下這些應用程式的 + 號,可以將應用程式作為自訂應用程式上線。

    條件式存取應用程控探索到 Microsoft Entra 應用程式。

新增應用程式的網域

將正確的網域與應用程式產生關聯,可讓 適用於雲端的 Defender 應用程式強制執行原則和稽核活動。

例如,如果您已設定一個原則來封鎖下載相關聯網域的檔案,則會封鎖應用程式從該網域下載的檔案。 不過,應用程式從與應用程式無關的網域下載檔案將不會遭到封鎖,而且不會在活動記錄中稽核動作。

注意

適用於雲端的 Defender 應用程式仍會將後綴新增至與應用程式無關的網域,以確保順暢的用戶體驗。

  1. 從應用程式內,在 [適用於雲端的 Defender 應用程式] 系統管理工具列上,選取 [探索到的網域]。

    注意

    只有具有上線或維護應用程式許可權的使用者才能看到系統管理員工具列。

  2. 在 [探索到的網域] 面板中,記下域名,或將清單匯出為.csv檔案。

    注意

    此面板會顯示應用程式中未相關聯的已探索網域清單。 功能變數名稱是完整功能變數名稱。

  3. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  4. 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
  5. 在應用程式清單中,在您部署的應用程式出現所在的數據列上,選擇數據列結尾的三個點,然後選取 [編輯應用程式]。

    提示

    若要檢視應用程式中設定的網域清單,請選取 [ 檢視應用程式網域]。

  6. [用戶定義網域] 中,輸入您想要與此應用程式建立關聯的所有網域,然後選取 [ 儲存]。

    注意

    您可以使用 * 通配符作為任何字元的佔位元。 新增網域時,決定是否要新增特定網域 (sub1.contoso.comsub2.contoso.com) 或多個網域 (*.contoso.com)。

安裝跟證書

  1. 重複下列步驟來安裝 目前的 CA下一個 CA 自我簽署跟證書。

    1. 選取憑證。
    2. 選取 [ 開啟],出現提示時,請再次選取 [ 開啟 ]。
    3. 選取 [ 安裝憑證]。
    4. 選擇 [目前使用者] 或 [本機計算機]。
    5. 選取 [ 將所有憑證放在下列存放區 ],然後選取 [ 瀏覽]。
    6. 選取 [受信任的跟證書授權單位] ,然後選取 [ 確定]。
    7. 選取 [完成]

    注意

    若要辨識憑證,安裝憑證之後,您必須重新啟動瀏覽器並移至相同的頁面。

  2. 選取繼續

  3. 檢查資料表中是否有應用程式可用。

    使用會話控件上線。

步驟 3:確認應用程式正常運作

若要確認應用程式受到保護,請先執行與應用程式相關聯的瀏覽器硬式註銷,或使用 incognito 模式開啟新的瀏覽器。

開啟應用程式並執行下列檢查:

  • 檢查鎖定 圖示是否出現在瀏覽器中,或如果您正在 Microsoft Edge 以外的瀏覽器中工作,請檢查您的應用程式 URL 是否包含 .mcas 後綴。 如需詳細資訊,請參閱 使用商務用 Microsoft Edge 的瀏覽器內保護 (預覽版)
  • 請瀏覽屬於使用者工作程式一部分之應用程式內的所有頁面,並確認頁面正確轉譯。
  • 執行下載和上傳檔案等常見動作,確認應用程式的行為和功能不會受到負面影響。
  • 檢閱與應用程式相關聯的網域清單。 如需詳細資訊,請參閱 新增應用程式的網域。

如果您遇到錯誤或問題,請使用系統管理員工具列來收集資源,例如 .har 檔案和記錄的會話,以提出支援票證。

步驟 4:啟用應用程式以在組織中使用

準備好讓應用程式在組織的生產環境中使用之後,請執行下列步驟。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 連線 應用程式下,選取 [條件式存取應用程控應用程式]。

  3. 在應用程式清單中,在您部署的應用程式出現所在的數據列上,選擇數據列結尾的三個點,然後選擇 [ 編輯應用程式]。

  4. 選取 [ 啟用應用程式以處理會話控件 ],然後選取 [ 儲存]。

    編輯應用程式

下一步

« PREVIOUS:部署目錄應用程式的條件式存取應用程控

下一步:如何建立會話原則 »

另請參閱

條件式存取應用程控簡介

針對存取和會話控件進行疑難解答

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證