Nasazení Řízení podmíněného přístupu k aplikacím pro vlastní aplikace s využitím Azure Active Directory
Poznámka
Přejmenovali jsme Microsoft Cloud App Security. Teď se jí říká Microsoft Defender for Cloud Apps. V nadcházejících týdnech aktualizujeme snímky obrazovek a pokyny zde a na souvisejících stránkách. Další informace o změně najdete v tomto oznámení. Další informace o nedávném přejmenování služeb zabezpečení Společnosti Microsoft najdete na blogu Microsoft Ignite Security.
Ovládací prvky relací v Microsoft Defender for Cloud Apps lze nakonfigurovat tak, aby fungovaly s libovolnými webovými aplikacemi. Tento článek popisuje, jak nasadit vlastní obchodní aplikace, nenábídné aplikace SaaS a místní aplikace hostované prostřednictvím Azure Active Directory (Azure AD) proxy aplikací s ovládacími prvky relace. Poskytuje postup vytvoření zásady podmíněného přístupu Azure AD, které směruje relace aplikací do Defender for Cloud Apps. Další řešení zprostředkovatele identity najdete v tématu Nasazení řízení podmíněného přístupu aplikací pro vlastní aplikace s jiným programem než Microsoft IdP.
Seznamaplikacíchm aplikacím Defender for Cloud Aplikace, které vám umožní pracovat, najdete v tématu Ochrana aplikací pomocí Defender for Cloud Řízení podmíněného přístupu k aplikacím.
Požadavky
Přidání správců do seznamu onboardingu nebo údržby aplikace
V řádku nabídek aplikace Defender for Cloud vyberte ozubené kolečko
nastavení a vyberte Nastavení.
V části Řízení podmíněného přístupu aplikací vyberte onboarding/údržba aplikace.
Zadejte hlavní název uživatele nebo e-mail pro uživatele, kteří budou aplikaci připojovat, a pak vyberte Uložit.
Kontrola potřebných licencí
Aby vaše organizace používala řízení podmíněného přístupu k aplikacím, musí mít následující licence:
- Azure Active Directory (Azure AD) Premium P1 nebo novější
- Microsoft Defender for Cloud Apps
Aplikace musí být nakonfigurované s jednotným přihlašováním.
Aplikace musí používat jeden z následujících ověřovacích protokolů:
Přihlašovací Protokoly Azure AD SAML 2.0 nebo OpenID Připojení
Nasazení libovolné aplikace
Podle těchto kroků nakonfigurujte libovolnou aplikaci, která se má řídit pomocí Defender for Cloud Řízení podmíněného přístupu k aplikacím.
Poznámka
Pokud chcete nasadit řízení podmíněného přístupu aplikací pro Azure AD aplikace, potřebujete platnou licenci pro Azure Active Directory Premium P1 nebo vyšší a také licenci Defender for Cloud Apps.
Krok 1: Konfigurace Azure AD pro práci s aplikacemi Defender for Cloud
Poznámka
Při konfiguraci aplikace s jednotným přihlašováním v Azure AD nebo jiných zprostředkovatelích identity je jedno pole, které může být uvedené jako volitelné, je nastavení přihlašovací adresy URL. Upozorňujeme, že toto pole může být vyžadováno pro fungování řízení podmíněného přístupu k aplikacím.
V Azure AD přejděte na SecurityConditional> Access.
V podokně Podmíněný přístup na panelu nástrojů nahoře vyberte Nové zásady.
V podokně Nový zadejte do textového pole Název název název zásady.
V části Přiřazení vyberte Uživatelé a skupiny, přiřaďte uživatele, kteří budou aplikaci onboarding (počáteční přihlášení a ověření) a pak vyberte Hotovo.
V části Přiřazení vyberte Cloudové aplikace, přiřaďte aplikace, které chcete řídit pomocí řízení podmíněného přístupu k aplikacím, a pak vyberte Hotovo.
V části Řízení přístupu vyberte Relace, vyberte Použít řízení podmíněného přístupu aplikace a zvolte předdefinované zásady (jenom monitorování nebo blokování stahování) nebo Použijte vlastní zásady k nastavení rozšířených zásad v Defender for Cloud Apps a potom klikněte na Vybrat.
Volitelně můžete podle potřeby přidat podmínky a udělit ovládací prvky.
Nastavte povolit zásadu na Zapnuto a pak vyberte Vytvořit.
Krok 2: V případě potřeby přidejte aplikaci ručně a nainstalujte certifikáty.
Aplikace v katalogu aplikací se automaticky vyplní do tabulky v části Připojené aplikace. Zkontrolujte, jestli je aplikace, kterou chcete nasadit, rozpoznána tak, že tam přejdete.
V řádku nabídek Defender for Cloud Aplikace vyberte ozubené
kolečko nastavení a vyberte kartu Řízení podmíněného přístupu aplikací pro přístup k tabulce aplikací, které lze konfigurovat pomocí zásad přístupu a relací.
Vyberte aplikaci: Vyberte aplikace... rozevírací nabídku pro filtrování a hledání aplikace, kterou chcete nasadit.
Pokud tam aplikaci nevidíte, budete ji muset přidat ručně.
Postup ručního přidání neidentifikované aplikace
V banneru vyberte Zobrazit nové aplikace.
V seznamu nových aplikací vyberte pro každou aplikaci, kterou připojujete, znaménko + a pak vyberte Přidat.
Poznámka
Pokud se aplikace nezobrazí v katalogu aplikací Defender for Cloud Aplikace, zobrazí se v dialogovém okně pod identifikovanými aplikacemi spolu s adresou URL pro přihlášení. Když kliknete na symbol + pro tyto aplikace, můžete aplikaci připojit jako vlastní aplikaci.
Přidání domén pro aplikaci
Přidružení správných domén k aplikaci umožňuje aplikacím Defender for Cloud Aplikace vynucovat zásady a aktivity auditu.
Pokud jste například nakonfigurovali zásadu, která blokuje stahování souborů pro přidruženou doménu, soubory stažené aplikací z této domény se zablokují. Soubory stažené aplikací z domén, které nejsou přidružené k aplikaci, ale nebudou blokovány a akce se v protokolu aktivit ne audituje.
Poznámka
Defender for Cloud Aplikace stále přidávají příponu k doménám, které nejsou přidružené k aplikaci, aby se zajistilo bezproblémové uživatelské prostředí.
- Na panelu nástrojů Defender for Cloud Správce aplikací vyberte Zjištěné domény v aplikaci.
Poznámka
Panel nástrojů správce je viditelný jenom uživatelům s oprávněními k onboardingu nebo údržbě aplikací.
- Na panelu Zjištěné domény si poznamenejte názvy domén nebo seznam exportujte jako soubor .csv.
Poznámka
Na panelu se zobrazí seznam zjištěných domén, které nejsou přidružené k aplikaci. Názvy domén jsou plně kvalifikované.
- Přejděte na Defender for Cloud Aplikace v řádku nabídek, vyberte ozubené kolečko nastavení
a vyberte Řízení podmíněného přístupu k aplikacím.
- V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a potom v části PODROBNOSTI O APLIKACI zvolte Upravit.
Tip
Pokud chcete zobrazit seznam domén nakonfigurovaných v aplikaci, vyberte Zobrazit domény aplikace.
- V uživatelem definovaných doménách zadejte všechny domény, které chcete k této aplikaci přidružit, a pak vyberte Uložit.
Poznámka
Zástupný znak * můžete použít jako zástupný symbol pro libovolný znak. Při přidávání domén rozhodněte, jestli chcete přidat konkrétní domény (
sub1.contoso.com
,sub2.contoso.com
) nebo více domén (*.contoso.com
).
Instalace kořenových certifikátů
Opakujte následující kroky a nainstalujte kořenové certifikáty podepsané certifikáty aktuální certifikační autority a další certifikační autority podepsané svým držitelem.
- Vyberte certifikát.
- Vyberte Otevřít a po zobrazení výzvy znovu vyberte Otevřít .
- Vyberte Nainstalovat certifikát.
- Zvolte aktuálního uživatele nebo místní počítač.
- Vyberte Umístit všechny certifikáty do následujícího úložiště a pak vyberte Procházet.
- Vyberte důvěryhodné kořenové certifikační autority a pak vyberte OK.
- Vyberte Dokončit.
Poznámka
Aby se certifikáty rozpoznaly, musíte po instalaci certifikátu restartovat prohlížeč a přejít na stejnou stránku.
Vyberte Pokračovat.
Zkontrolujte, jestli je aplikace dostupná v tabulce.
Krok 3: Ověření správného fungování aplikace
Pokud chcete ověřit, že je aplikace proxiovaná, nejprve proveďte pevné odhlášení z prohlížečů přidružených k aplikaci nebo otevřete nový prohlížeč s anonymním režimem.
Otevřete aplikaci a proveďte následující kontroly:
- Zkontrolujte, jestli adresa URL obsahuje příponu
.mcas
. - Navštivte všechny stránky v aplikaci, které jsou součástí pracovního procesu uživatele, a ověřte, že se stránky vykreslují správně.
- Ověřte, že chování a funkce aplikace nejsou nepříznivě ovlivněné prováděním běžných akcí, jako je stahování a nahrávání souborů.
- Zkontrolujte seznam domén přidružených k aplikaci. Další informace najdete v tématu Přidání domén pro aplikaci.
Pokud dojde k chybám nebo problémům, pomocí panelu nástrojů pro správu shromážděte prostředky, jako .har
jsou soubory a zaznamenané relace pro vytvoření lístku podpory.
Krok 4: Povolení použití aplikace ve vaší organizaci
Jakmile budete připraveni aplikaci povolit pro použití v produkčním prostředí vaší organizace, proveďte následující kroky.
V Defender for Cloud Aplikace vyberte ozubené kolečko
nastavení a pak vyberte Řízení podmíněného přístupu k aplikacím.
V seznamu aplikací na řádku, ve kterém se aplikace, kterou nasazujete, zobrazí, zvolte tři tečky na konci řádku a pak zvolte Upravit aplikaci.
Vyberte Použít s řízením podmíněného přístupu aplikací a pak vyberte Uložit.
Krok 5: Aktualizace zásad Azure AD
- V Azure AD vyberte v části Zabezpečenípodmíněný přístup.
- Aktualizujte dříve vytvořenou zásadu tak, aby zahrnovala relevantní uživatele, skupiny a ovládací prvky, které potřebujete.
- Pokud jste vybrali možnost Použít vlastní zásady, přejděte Defender for Cloud v části Řízení podmíněného přístupu k aplikaci SessionUse> a vytvořte odpovídající zásady relace. Další informace najdete v tématu Zásady relace.
Další kroky
Viz také
Pokud narazíte na nějaké problémy, jsme tady, abychom vám pomohli. Pokud chcete získat pomoc nebo podporu k problému s produktem, otevřete lístek podpory.