Nasazení Řízení podmíněného přístupu k aplikacím pro vlastní aplikace s využitím Azure Active Directory

Poznámka

  • Přejmenovali jsme Microsoft Cloud App Security. Teď se mu říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovky a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Microsoftu najdete na blogu Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps je teď součástí Microsoft 365 Defender. Portál Microsoft 365 Defender umožňuje správcům zabezpečení provádět úlohy zabezpečení na jednom místě. Tím se zjednoduší pracovní postupy a přidá funkce ostatních služeb Microsoft 365 Defender. Microsoft 365 Defender bude domovem pro monitorování a správu zabezpečení napříč vašimi identitami, daty, zařízeními, aplikacemi a infrastrukturou Microsoftu. Další informace o těchto změnách najdete v tématu Microsoft Defender for Cloud Apps v Microsoft 365 Defender.

Ovládací prvky relací v Microsoft Defender for Cloud Apps je možné nakonfigurovat tak, aby fungovaly s libovolnými webovými aplikacemi. Tento článek popisuje, jak připojit a nasadit vlastní obchodní aplikace, ne doporučené aplikace SaaS a místní aplikace hostované prostřednictvím Azure Active Directory (Azure AD) proxy aplikací s ovládacími prvky relace. Poskytuje postup vytvoření zásady Azure AD podmíněného přístupu, které směruje relace aplikací do Defender for Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Nasazení řízení podmíněného přístupu aplikací pro vlastní aplikace s jiným programem než Microsoft IdP.

Seznam aplikací, které jsou doporučené aplikací Defender for Cloud Aplikace pro práci bez použití, najdete v tématu Ochrana aplikací pomocí podmíněného řízení aplikací pro Defender for Cloud aplikace.

Požadavky

Přidání správců do seznamu onboardingu nebo údržby aplikace

  1. V řádku nabídek Defender for Cloud Aplikace vyberte ozubené kolečko settings icon 4 nastavení a vyberte Nastavení.

  2. V části Řízení podmíněného přístupu k aplikacím vyberte onboarding a údržba aplikace.

  3. Zadejte hlavní název uživatele nebo e-mail pro uživatele, kteří budou aplikaci připojovat, a pak vyberte Uložit.

    Screenshot of settings for App onboarding and maintenance.

Kontrola potřebných licencí

  • Aby vaše organizace měla k používání řízení podmíněného přístupu k aplikacím následující licence:

  • Aplikace musí být nakonfigurované s jednotným přihlašováním.

  • Aplikace musí používat jeden z následujících ověřovacích protokolů:

    Přihlašovací Protokoly
    Azure AD Připojení SAML 2.0 nebo OpenID

Nasazení libovolné aplikace

Pomocí těchto kroků nakonfigurujte libovolnou aplikaci, která se má řídit pomocí Defender for Cloud Řízení podmíněného přístupu aplikací.

  1. Konfigurace Azure AD pro práci s aplikacemi Defender for Cloud

  2. Konfigurace aplikace, kterou nasazujete

  3. Ověřte, že aplikace funguje správně.

  4. Povolení použití aplikace ve vaší organizaci

  5. Aktualizace zásad Azure AD

Poznámka

Pokud chcete nasadit řízení podmíněného přístupu aplikací pro aplikace Azure AD, potřebujete platnou licenci pro Azure Active Directory Premium P1 nebo vyšší a licenci Defender for Cloud Apps.

Krok 1: Konfigurace Azure AD pro práci s aplikacemi Defender for Cloud

Poznámka

Při konfiguraci aplikace s jednotným přihlašováním v Azure AD nebo jiných zprostředkovatelů identity je jedno pole, které může být uvedeno jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být vyžadováno pro fungování řízení podmíněného přístupu aplikací.

  1. V Azure AD přejděte dopodmíněného přístupuzabezpečení>.

  2. V podokně podmíněného přístupu na panelu nástrojů nahoře vyberte Nová zásada –>Vytvořit novou zásadu.

  3. V podokně Nový zadejte do textového pole Název název název zásady.

  4. V části Přiřazení vyberte Uživatelé nebo identity úloh, přiřaďte uživatele, kteří budou onboarding (počáteční přihlášení a ověření) aplikace a pak vyberte Hotovo.

  5. V části Přiřazení vyberte Cloudové aplikace nebo akce, přiřaďte aplikace, které chcete řídit pomocí řízení podmíněného přístupu, a pak vyberte Hotovo.

  6. V části Řízení přístupu vyberte Možnost Relace, vyberte Použít řízení podmíněného přístupu aplikace a zvolte předdefinované zásady (monitorovat jenom nebo Blokovat stahování) nebo pomocí vlastních zásad nastavit pokročilé zásady v aplikacích Defender for Cloud a potom klikněte na Vybrat.

    Azure AD conditional access.

  7. Volitelně můžete přidat podmínky a udělit ovládací prvky podle potřeby.

  8. Nastavte možnost Povolit zásaduna Zapnuto a pak vyberte Vytvořit.

Krok 2: Pokud je to potřeba, přidejte aplikaci ručně a nainstalujte certifikáty.

Aplikace v katalogu aplikací se automaticky vyplní do tabulky v části Připojené aplikace. Zkontrolujte, jestli je aplikace, kterou chcete nasadit, rozpoznána tak, že přejdete tam.

  1. Na řádku nabídek Defender for Cloud Aplikace vyberte ozubené kolečko settings icon 1nastavení a vyberte kartu Řízení podmíněného přístupu aplikací pro přístup k tabulce aplikací, které je možné nakonfigurovat pomocí zásad přístupu a relací.

    Conditional access app control apps

  2. Vyberte aplikaci: Vyberte aplikace... rozevírací nabídku pro filtrování a hledání aplikace, kterou chcete nasadit.

    Select App: Select apps to search for the app

  3. Pokud tam aplikaci nevidíte, budete ji muset přidat ručně.

Ruční přidání neidentifikované aplikace

  1. V banneru vyberte Zobrazit nové aplikace.

    Conditional access app control view new apps

  2. V seznamu nových aplikací vyberte pro každou aplikaci, kterou připojujete, + znaménko a pak vyberte Přidat.

    Poznámka

    Pokud se aplikace nezobrazí v katalogu aplikací Defender for Cloud Apps, zobrazí se v dialogovém okně pod neidentifikovanými aplikacemi spolu s přihlašovací adresou URL. Když kliknete na symbol + pro tyto aplikace, můžete aplikaci připojit jako vlastní aplikaci.

    Conditional access app control discovered Azure AD apps

Přidání domén pro aplikaci

Přidružení správných domén k aplikaci umožňuje Defender for Cloud Aplikacím vynucovat zásady a aktivity auditu.

Pokud jste například nakonfigurovali zásadu, která blokuje stahování souborů pro přidruženou doménu, budou soubory stažené aplikací z této domény blokované. Soubory stažené aplikací z domén, které nejsou přidružené k aplikaci, ale nebudou blokované a akce se v protokolu aktivit ne audituje.

Poznámka

Defender for Cloud Aplikace stále přidávají příponu k doménám, které nejsou přidružené k aplikaci, aby se zajistilo bezproblémové uživatelské prostředí.

  1. V aplikaci vyberte na panelu nástrojů Defender for Cloud Správce aplikací zjištěné domény.

    Poznámka

    Panel nástrojů pro správu je viditelný jenom uživatelům s oprávněními k onboardingu nebo údržbě aplikací.

  2. Na panelu Zjištěné domény si poznamenejte názvy domén nebo seznam exportujte jako soubor .csv.

    Poznámka

    Na panelu se zobrazí seznam zjištěných domén, které nejsou přidružené k aplikaci. Názvy domén jsou plně kvalifikované.

  3. Přejděte na Defender for Cloud Aplikace na řádku nabídek, vyberte ozubené kolečko settings icon 2 nastavení a vyberte Řízení podmíněného přístupu k aplikacím.
  4. V seznamu aplikací na řádku, ve kterém se aplikace nasazuje, zvolte tři tečky na konci řádku a pak v části PODROBNOSTI O APLIKACI zvolte Upravit.

    Tip

    Pokud chcete zobrazit seznam domén nakonfigurovaných v aplikaci, vyberte Zobrazit domény aplikace.

  5. V uživatelem definovaných doménách zadejte všechny domény, které chcete k této aplikaci přidružit, a pak vyberte Uložit.

    Poznámka

    Zástupný znak * můžete použít jako zástupný znak pro libovolný znak. Při přidávání domén se rozhodněte, jestli chcete přidat konkrétní domény (sub1.contoso.com,sub2.contoso.com) nebo více domén (*.contoso.com).

Instalace kořenových certifikátů

  1. Opakujte následující kroky a nainstalujte aktuální certifikační autoritu a další kořenové certifikáty podepsané certifikační autoritou .

    1. Vyberte certifikát.
    2. Vyberte Otevřít a po zobrazení výzvy znovu vyberte Otevřít .
    3. Vyberte Nainstalovat certifikát.
    4. Zvolte aktuálního uživatele nebo místní počítač.
    5. Vyberte Umístit všechny certifikáty do následujícího úložiště a pak vyberte Procházet.
    6. Vyberte důvěryhodné kořenové certifikační autority a pak vyberte OK.
    7. Vyberte Dokončit.

    Poznámka

    Aby se certifikáty rozpoznaly, musíte po instalaci certifikátu restartovat prohlížeč a přejít na stejnou stránku.

  2. Vyberte Pokračovat.

  3. Zkontrolujte, jestli je aplikace dostupná v tabulce.

    Check if app is available in table

Krok 3: Ověření správné fungování aplikace

Chcete-li ověřit, že aplikace je proxied, nejprve proveďte pevný odhlášení z prohlížečů přidružených k aplikaci nebo otevřete nový prohlížeč s anonymním režimem.

Otevřete aplikaci a proveďte následující kontroly:

  • Zkontrolujte, jestli adresa URL obsahuje příponu .mcas .
  • Navštivte všechny stránky v aplikaci, které jsou součástí pracovního procesu uživatele, a ověřte, že se stránky vykreslují správně.
  • Ověřte, že chování a funkce aplikace nejsou nepříznivě ovlivněny prováděním běžných akcí, jako je stahování a nahrávání souborů.
  • Zkontrolujte seznam domén přidružených k aplikaci. Další informace najdete v tématu Přidání domén aplikace.

Pokud narazíte na chyby nebo problémy, pomocí panelu nástrojů pro správu shromážděte prostředky, jako .har jsou soubory a zaznamenané relace pro vytvoření lístku podpory.

Krok 4: Povolení použití aplikace ve vaší organizaci

Jakmile budete připraveni povolit aplikaci pro použití v produkčním prostředí vaší organizace, proveďte následující kroky.

  1. V Defender for Cloud Apps vyberte ozubené settings icon 3kolečko nastavení a pak vyberte Řízení podmíněného přístupu k aplikacím.

  2. V seznamu aplikací na řádku, ve kterém se aplikace nasazuje, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.

  3. Vyberte Použít s podmíněným řízením aplikací a pak vyberte Uložit.

    Enable session controls pop-up

Krok 5: Aktualizace zásad Azure AD

  1. V Azure AD vyberte v části Zabezpečenípodmíněný přístup.
  2. Aktualizujte zásadu, kterou jste vytvořili dříve, aby zahrnovala relevantní uživatele, skupiny a ovládací prvky, které potřebujete.
  3. Pokud jste vybrali možnost Použít vlastní zásady, přejděte v částiŘízení podmíněného přístupu k aplikaci relace> Defender for Cloud a vytvořte odpovídající zásady relace. Další informace najdete v tématu Zásady relace.

Další kroky

Viz také

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu vašeho problému s produktem, otevřete lístek podpory.