Nasazení Řízení podmíněného přístupu k aplikacím pro vlastní aplikace s využitím Azure Active Directory

Poznámka

Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.

Ovládací prvky relací v Microsoft Defender for Cloud Apps lze nakonfigurovat tak, aby fungovaly s libovolnými webovými aplikacemi. Tento článek popisuje, jak nasadit vlastní obchodní aplikace, nenábídné aplikace SaaS a místní aplikace hostované prostřednictvím Azure Active Directory (Azure AD) proxy aplikací s ovládacími prvky relace. Poskytuje postup vytvoření zásady podmíněného přístupu Azure AD, které směruje relace aplikací do Defender for Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Nasazení řízení podmíněného přístupu aplikací pro vlastní aplikace s jiným programem než Microsoft IdP.

Seznamaplikacíchm aplikacím Defender for Cloud Aplikace, které vám umožní pracovat, najdete v tématu Ochrana aplikací pomocí Defender for Cloud Řízení podmíněného přístupu k aplikacím.

Požadavky

Přidání správců do seznamu onboardingu nebo údržby aplikace

  1. V řádku nabídek aplikace Defender for Cloud vyberte ozubené kolečko settings icon 4 nastavení a vyberte Nastavení.

  2. V části Řízení podmíněného přístupu aplikací vyberte onboarding/údržba aplikace.

  3. Zadejte hlavní název uživatele nebo e-mail pro uživatele, kteří budou aplikaci připojovat, a pak vyberte Uložit.

    Screenshot of settings for App onboarding and maintenance.

Kontrola potřebných licencí

  • Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:

  • Aplikace musí být nakonfigurované s jednotným přihlašováním.

  • Aplikace musí používat jeden z následujících ověřovacích protokolů:

    Přihlašovací Protokoly
    Azure AD SAML 2.0 nebo OpenID Připojení

Nasazení libovolné aplikace

Podle těchto kroků nakonfigurujte libovolnou aplikaci, která se má řídit pomocí Defender for Cloud Řízení podmíněného přístupu k aplikacím.

  1. Konfigurace Azure AD pro práci s aplikacemi Defender for Cloud

  2. Konfigurace aplikace, kterou nasazujete

  3. Ověřte, že aplikace funguje správně.

  4. Povolení použití aplikace ve vaší organizaci

  5. Aktualizace zásad Azure AD

Poznámka

Pokud chcete nasadit řízení podmíněného přístupu aplikací pro Azure AD aplikace, potřebujete platnou licenci pro Azure Active Directory Premium P1 nebo vyšší a také licenci Defender for Cloud Apps.

Krok 1: Konfigurace Azure AD pro práci s aplikacemi Defender for Cloud

Poznámka

Při konfiguraci aplikace s jednotným přihlašováním v Azure AD nebo jiných zprostředkovatelích identity je jedno pole, které může být uvedené jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být vyžadováno pro fungování řízení podmíněného přístupu k aplikacím.

  1. V Azure AD přejděte na SecurityConditional> Access.

  2. V podokně Podmíněný přístup na panelu nástrojů nahoře vyberte Nové zásady.

  3. V podokně Nový zadejte do textového pole Název název název zásady.

  4. V části Přiřazení vyberte Uživatelé a skupiny, přiřaďte uživatele, kteří budou aplikaci onboarding (počáteční přihlášení a ověření) a pak vyberte Hotovo.

  5. V části Přiřazení vyberte Cloudové aplikace, přiřaďte aplikace, které chcete řídit pomocí řízení podmíněného přístupu k aplikacím, a pak vyberte Hotovo.

  6. V části Řízení přístupu vyberte Relace, vyberte Použít řízení podmíněného přístupu aplikace a zvolte předdefinované zásady (jenom monitorování nebo blokování stahování) nebo Použijte vlastní zásady k nastavení rozšířených zásad v Defender for Cloud Apps a potom klikněte na Vybrat.

    Azure AD conditional access.

  7. Volitelně můžete podle potřeby přidat podmínky a udělit ovládací prvky.

  8. Nastavte povolit zásadu na Zapnuto a pak vyberte Vytvořit.

Krok 2: V případě potřeby přidejte aplikaci ručně a nainstalujte certifikáty.

Aplikace v katalogu aplikací se automaticky vyplní do tabulky v části Připojené aplikace. Zkontrolujte, jestli je aplikace, kterou chcete nasadit, rozpoznána tak, že tam přejdete.

  1. V řádku nabídek Defender for Cloud Aplikace vyberte ozubené settings icon 1kolečko nastavení a vyberte kartu Řízení podmíněného přístupu aplikací pro přístup k tabulce aplikací, které lze konfigurovat pomocí zásad přístupu a relací.

    Conditional access app control apps

  2. Vyberte aplikaci: Vyberte aplikace... rozevírací nabídku pro filtrování a hledání aplikace, kterou chcete nasadit.

    Select App: Select apps to search for the app

  3. Pokud tam aplikaci nevidíte, budete ji muset přidat ručně.

Postup ručního přidání neidentifikované aplikace

  1. V banneru vyberte Zobrazit nové aplikace.

    Conditional access app control view new apps

  2. V seznamu nových aplikací vyberte pro každou aplikaci, kterou připojujete, znaménko + a pak vyberte Přidat.

    Poznámka

    Pokud se aplikace nezobrazí v katalogu aplikací Defender for Cloud Aplikace, zobrazí se v dialogovém okně pod identifikovanými aplikacemi spolu s adresou URL pro přihlášení. Když kliknete na symbol + pro tyto aplikace, můžete aplikaci připojit jako vlastní aplikaci.

    Conditional access app control discovered Azure AD apps

Přidání domén pro aplikaci

Přidružení správných domén k aplikaci umožňuje aplikacím Defender for Cloud Aplikace vynucovat zásady a aktivity auditu.

Pokud jste například nakonfigurovali zásadu, která blokuje stahování souborů pro přidruženou doménu, soubory stažené aplikací z této domény se zablokují. Soubory stažené aplikací z domén, které nejsou přidružené k aplikaci, ale nebudou blokovány a akce se v protokolu aktivit ne audituje.

Poznámka

Defender for Cloud Aplikace stále přidávají příponu k doménám, které nejsou přidružené k aplikaci, aby se zajistilo bezproblémové uživatelské prostředí.

  1. Na panelu nástrojů Defender for Cloud Správce aplikací vyberte Zjištěné domény v aplikaci.

    Poznámka

    Panel nástrojů správce je viditelný jenom uživatelům s oprávněními k onboardingu nebo údržbě aplikací.

  2. Na panelu Zjištěné domény si poznamenejte názvy domén nebo seznam exportujte jako soubor .csv.

    Poznámka

    Na panelu se zobrazí seznam zjištěných domén, které nejsou přidružené k aplikaci. Názvy domén jsou plně kvalifikované.

  3. Přejděte na Defender for Cloud Aplikace v řádku nabídek, vyberte ozubené kolečko nastavení settings icon 2 a vyberte Řízení podmíněného přístupu k aplikacím.
  4. V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a potom v části PODROBNOSTI O APLIKACI zvolte Upravit.

    Tip

    Pokud chcete zobrazit seznam domén nakonfigurovaných v aplikaci, vyberte Zobrazit domény aplikace.

  5. V uživatelem definovaných doménách zadejte všechny domény, které chcete k této aplikaci přidružit, a pak vyberte Uložit.

    Poznámka

    Zástupný znak * můžete použít jako zástupný symbol pro libovolný znak. Při přidávání domén rozhodněte, jestli chcete přidat konkrétní domény (sub1.contoso.com,sub2.contoso.com) nebo více domén (*.contoso.com).

Instalace kořenových certifikátů

  1. Opakujte následující kroky a nainstalujte kořenové certifikáty podepsané certifikáty aktuální certifikační autority a další certifikační autority podepsané svým držitelem.

    1. Vyberte certifikát.
    2. Vyberte Otevřít a po zobrazení výzvy znovu vyberte Otevřít .
    3. Vyberte Nainstalovat certifikát.
    4. Zvolte aktuálního uživatele nebo místní počítač.
    5. Vyberte Umístit všechny certifikáty do následujícího úložiště a pak vyberte Procházet.
    6. Vyberte důvěryhodné kořenové certifikační autority a pak vyberte OK.
    7. Vyberte Dokončit.

    Poznámka

    Aby se certifikáty rozpoznaly, musíte po instalaci certifikátu restartovat prohlížeč a přejít na stejnou stránku.

  2. Vyberte Pokračovat.

  3. Zkontrolujte, jestli je aplikace dostupná v tabulce.

    Check if app is available in table

Krok 3: Ověření správného fungování aplikace

Pokud chcete ověřit, že je aplikace proxiovaná, nejprve proveďte pevné odhlášení z prohlížečů přidružených k aplikaci nebo otevřete nový prohlížeč s anonymním režimem.

Otevřete aplikaci a proveďte následující kontroly:

  • Zkontrolujte, jestli adresa URL obsahuje příponu .mcas .
  • Navštivte všechny stránky v aplikaci, které jsou součástí pracovního procesu uživatele, a ověřte, že se stránky vykreslují správně.
  • Ověřte, že chování a funkce aplikace nejsou nepříznivě ovlivněné prováděním běžných akcí, jako je stahování a nahrávání souborů.
  • Zkontrolujte seznam domén přidružených k aplikaci. Další informace najdete v tématu Přidání domén pro aplikaci.

Pokud dojde k chybám nebo problémům, pomocí panelu nástrojů pro správu shromážděte prostředky, jako .har jsou soubory a zaznamenané relace pro vytvoření lístku podpory.

Krok 4: Povolení použití aplikace ve vaší organizaci

Jakmile budete připraveni aplikaci povolit pro použití v produkčním prostředí vaší organizace, proveďte následující kroky.

  1. V Defender for Cloud Aplikace vyberte ozubené kolečko settings icon 3nastavení a pak vyberte Řízení podmíněného přístupu k aplikacím.

  2. V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.

  3. Vyberte Použít s řízením podmíněného přístupu aplikací a pak vyberte Uložit.

    Enable session controls pop-up

Krok 5: Aktualizace zásad Azure AD

  1. V Azure AD vyberte v části Zabezpečenípodmíněný přístup.
  2. Aktualizujte dříve vytvořenou zásadu tak, aby zahrnovala relevantní uživatele, skupiny a ovládací prvky, které potřebujete.
  3. Pokud jste vybrali možnost Použít vlastní zásady, přejděte Defender for Cloud v části Řízení podmíněného přístupu k aplikaci SessionUse> a vytvořte odpovídající zásady relace. Další informace najdete v tématu Zásady relace.

Další kroky

Viz také

Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.