Bereitstellen des App-Steuerelements für bedingten Zugriff für Katalog-Apps mit Azure AD

Hinweis

Wir haben Microsoft Cloud App Security umbenannt. Es wird jetzt als Microsoft Defender for Cloud Apps bezeichnet. In den kommenden Wochen aktualisieren wir die Screenshots und Anweisungen hier und in verwandten Seiten. Weitere Informationen zur Änderung finden Sie in dieser Ankündigung. Weitere Informationen zur aktuellen Umbenennung von Microsoft-Sicherheitsdiensten finden Sie im Microsoft Ignite Security-Blog.

Zugriffs- und Sitzungssteuerelemente in Microsoft Defender for Cloud Apps arbeiten mit Anwendungen aus dem Cloud-App-Katalog und mit benutzerdefinierten Anwendungen. Eine Liste der Apps, die vorab integriert sind und aus dem Feld herausarbeiten, finden Sie unter Schützen von Apps mit Defender für Cloud App-Steuerelement für bedingten Zugriff.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um das App-Steuerelement für bedingten Zugriff zu verwenden:

  • Apps müssen mit einmaligem Anmelden konfiguriert werden.

  • Apps müssen eines der folgenden Authentifizierungsprotokolle verwenden:

    IdP Protokolle
    Azure AD SAML 2.0 oder OpenID Connect
    Andere SAML 2.0

So stellen Sie Katalog-Apps bereit

Führen Sie die folgenden Schritte aus, um Katalog-Apps zu konfigurieren, die von Microsoft Defender for Cloud Apps bedingten Zugriffs-App-Steuerelement gesteuert werden.

Schritt 1: Konfigurieren von Azure AD für die Arbeit mit Defender für Cloud Apps

Schritt 2: Melden Sie sich bei jeder App an, indem Sie einen Benutzer verwenden, der sich auf die Richtlinie bezieht.

Schritt 3: Überprüfen, ob die Apps so konfiguriert sind, dass Zugriffs- und Sitzungssteuerelemente verwendet werden

Schritt 4: Aktivieren der App für die Verwendung in Ihrer Organisation

Schritt 5: Testen der Bereitstellung

Schritt 1: Konfigurieren von Azure AD für die Arbeit mit Defender für Cloud Apps

Konfigurieren der Integration mit Azure AD

Hinweis

Wenn Sie eine Anwendung mit SSO in Azure AD oder anderen Identitätsanbietern konfigurieren, ist ein Feld, das als optional aufgeführt werden kann, die Url-Einstellung für die Anmeldung. Beachten Sie, dass dieses Feld möglicherweise für die Arbeit mit der App-Steuerung für bedingten Zugriff erforderlich ist.

Verwenden Sie die folgenden Schritte, um eine Azure AD Richtlinie für bedingten Zugriff zu erstellen, die App-Sitzungen an Defender für Cloud Apps weiterleiten. Weitere IdP-Lösungen finden Sie unter Konfigurieren der Integration mit anderen IdP-Lösungen.

  1. Navigieren Sie in Azure AD zu SecurityConditional> Access.

  2. Wählen Sie im Bereich "Bedingter Zugriff" oben in der Symbolleiste "Neue Richtlinie>erstellen" aus.

  3. Geben Sie im Feld "Neuer Name" im Textfeld "Name " den Richtliniennamen ein.

  4. Wählen Sie unter "Zuordnungen" Benutzer- oder Arbeitslastidentitäten aus, und weisen Sie den Benutzern und Gruppen zu, die die App (anfängliche Anmeldung und Überprüfung) integrieren.

  5. Wählen Sie unter "Zuordnungen" Cloud-Apps oder -Aktionen aus, und weisen Sie die Apps und Aktionen zu, die Sie mit der App-Steuerung für bedingten Zugriff steuern möchten.

  6. Wählen Sie unter Zugriffssteuerelementen die Option "Sitzung" aus, wählen Sie "App-Steuerelement für bedingten Zugriff verwenden" aus, und wählen Sie eine integrierte Richtlinie (nur Vorschau)oder "Vorschau blockieren" aus, oder verwenden Sie benutzerdefinierte Richtlinie, um eine erweiterte Richtlinie in Defender für Cloud Apps festzulegen, und wählen Sie dann "Auswählen" aus.

    Azure AD conditional access.

  7. Optional fügen Sie Bedingungen hinzu und erteilen Sie Steuerelemente wie erforderlich.

  8. Legen Sie die Richtlinie auf "Aktivieren " fest, und wählen Sie dann " Erstellen" aus.

Schritt 2: Melden Sie sich bei jeder App an, indem Sie einen Benutzer verwenden, der sich auf die Richtlinie bezieht.

Hinweis

Bevor Sie fortfahren, stellen Sie sicher, dass Sie sich zuerst von vorhandenen Sitzungen abmelden.

Nachdem Sie die Richtlinie erstellt haben, melden Sie sich bei jeder in dieser Richtlinie erstellten App an. Stellen Sie sicher, dass Sie sich über einen in der Richtlinie konfigurierten Benutzer anmelden.

Defender für Cloud Apps synchronisieren Ihre Richtliniendetails für jede neue App, bei der Sie sich anmelden. Dies kann bis zu einer Minute dauern.

Schritt 3: Überprüfen, ob die Apps so konfiguriert sind, dass Zugriffs- und Sitzungssteuerelemente verwendet werden

Die vorhergehenden Anweisungen helfen Ihnen beim Erstellen einer integrierten Defender für Cloud Apps-Richtlinie für Katalog-Apps direkt in Azure AD. Überprüfen Sie in diesem Schritt, dass die Zugriffs- und Sitzungssteuerelemente für diese Apps konfiguriert sind.

  1. Wählen Sie im Defender für Cloud Apps-Portal die Einstellungen-Kog settings icon.aus, und wählen Sie dann die App-Steuerung für bedingten Zugriff aus.

  2. Schauen Sie sich in der Tabelle "Apps für bedingten Zugriff" die Spalte "Verfügbare Steuerelemente" an, und überprüfen Sie, ob sowohl Access-Steuerelement als auch Azure AD bedingter Zugriff und Sitzungssteuerelement für Ihre Apps angezeigt werden.

    Hinweis

    Wenn das Sitzungssteuerelement für eine App nicht angezeigt wird, ist es für diese bestimmte App noch nicht verfügbar. Sie können sie entweder sofort als benutzerdefinierte App hinzufügen oder eine Anforderung öffnen, um sie als Katalog-App hinzuzufügen, indem Sie auf das Sitzungssteuerelement "Anforderung anfordern" klicken.

    Conditional access app control request.

Schritt 4: Aktivieren der App für die Verwendung in Ihrer Organisation

Nachdem Sie bereit sind, die App für die Verwendung in der Produktionsumgebung Ihrer Organisation zu aktivieren, führen Sie die folgenden Schritte aus.

  1. Wählen Sie in Defender für Cloud Apps die Einstellungen-Kog settings icon.aus, und wählen Sie dann die App-Steuerung für bedingten Zugriff aus.

  2. Wählen Sie in der Liste der Apps in der Zeile, in der die App angezeigt wird, die drei Punkte am Ende der Zeile aus, und wählen Sie dann die App bearbeiten aus.

  3. Wählen Sie "Verwenden" mit dem App-Steuerelement für bedingten Zugriff aus, und wählen Sie dann "Speichern" aus.

    Enable session controls pop-up.

Schritt 5: Testen der Bereitstellung

  1. Melden Sie sich zunächst von der bestehenden Sitzungen ab. Versuchen Sie anschließend, sich bei jeder App anzumelden, die erfolgreich bereitgestellt wurde. Melden Sie sich mit einem Benutzer an, der mit der in Azure AD konfigurierten Richtlinie übereinstimmt, oder für eine SAML-App, die mit Ihrem Identitätsanbieter konfiguriert ist.

  2. Wählen Sie im Defender für Cloud Apps-Portal unter "Untersuchen" das Aktivitätsprotokoll aus, und stellen Sie sicher, dass die Anmeldeaktivitäten für jede App erfasst werden.

  3. Wenn Sie auf Erweitert klicken, können Sie filtern. Filtern Sie dann nach der Bedingung Source equals Access control (Quelle ist gleich Zugriffssteuerung).

    Filter using Azure AD conditional access.

  4. Es wird empfohlen, sich auf verwalteten und nicht verwalteten Geräten bei mobilen Apps und Desktop-Apps anzumelden. So können Sie sicherstellen, dass die Aktivitäten ordnungsgemäß im Aktivitätsprotokoll erfasst werden.
    Um zu überprüfen, ob die Aktivität ordnungsgemäß erfasst wird, wählen Sie eine einmalige Anmeldungsaktivität aus, damit sie das Aktivitätszeichenfeld öffnet. Vergewissern Sie sich, dass der Benutzer-Agent-Tag korrekt angibt, ob es sich bei dem Gerät um einen nativen Client (also entweder um eine mobile App oder um eine Desktop-App) handelt, oder ob das Gerät verwaltet ist (kompatibel, mit der Domäne verknüpft oder gültiges Clientzertifikat).

Hinweis

Sie können keine App von der Seite „App-Steuerung für bedingten Zugriff“ entfernen, nachdem sie bereitgestellt wurde. Solange Sie keine Sitzungs- oder Zugriffsrichtlinie für die App festlegen, ändert die App-Steuerung für bedingten Zugriff kein Verhalten für die App.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.