Konfigurieren der Echtzeitüberwachung des Anwendungszugriffs mit Microsoft Cloud App Security und Azure Active DirectoryConfigure real-time application access monitoring with Microsoft Cloud App Security and Azure Active Directory

Konfigurieren Sie eine lokale Anwendung in Azure Active Directory (Azure AD) für die Verwendung von Microsoft Cloud App Security (MCAS) für die Echtzeitüberwachung.Configure an on-premises application in Azure Active Directory (Azure AD) to use Microsoft Cloud App Security (MCAS) for real-time monitoring. MCAS nutzt die App-Steuerung für bedingten Zugriff zum Überwachen und Steuern von Sitzungen in Echtzeit mithilfe von Richtlinien für bedingten Zugriff.MCAS uses Conditional Access App Control to monitor and control sessions in real-time based on Conditional Access policies. Sie können diese Richtlinien auf lokale Anwendungen anwenden, die den Anwendungsproxy in Azure Active Directory (Azure AD) verwenden.You can apply these policies to on-premises applications that use Application Proxy in Azure Active Directory (Azure AD).

Im Folgenden finden Sie einige Beispiele für die Typen von Richtlinien, die Sie mit MCAS erstellen können:Here are some examples of the types of policies you can create with MCAS:

  • Blockieren oder schützen Sie den Download von vertraulichen Dokumenten auf nicht verwalteten Geräten.Block or protect the download of sensitive documents on unmanaged devices.
  • Überwachen Sie, wann sich Benutzer mit hohem Risiko bei Anwendungen anmelden, und protokollieren Sie dann deren Aktionen innerhalb der Sitzung.Monitor when high-risk users sign on to applications, and then log their actions from within the session. Mit diesen Informationen können Sie das Benutzerverhalten analysieren, um zu bestimmen, wie Sie Sitzungsrichtlinien anwenden.With this information, you can analyze user behavior to determine how to apply session policies.
  • Verwenden Sie Clientzertifikate oder Gerätekonformität, um den Zugriff von nicht verwalteten Geräten auf bestimmte Anwendungen zu blockieren.Use client certificates or device compliance to block access to specific applications from unmanaged devices.
  • Beschränken Sie Benutzersitzungen, die nicht aus dem Unternehmensnetzwerk stammen.Restrict user sessions from non-corporate networks. Sie können Benutzern, die von außerhalb des Unternehmensnetzwerks auf eine Anwendung zugreifen, eingeschränkten Zugriff gewähren.You can give restricted access to users accessing an application from outside your corporate network. Beispielsweise kann dieser eingeschränkte Zugriff den Benutzer daran hindern, vertrauliche Dokumenten herunterzuladen.For example, this restricted access can block the user from downloading sensitive documents.

Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Cloud App Security.For more information, see Protect apps with Microsoft Cloud App Security Conditional Access App Control.

Requirements (Anforderungen)Requirements

Lizenz:License:

  • EMS E5-Lizenz oderEMS E5 license, or
  • Azure Active Directory Premium P1 und MCAS Standalone.Azure Active Directory Premium P1 and MCAS Standalone.

Lokale Anwendung:On-premises application:

  • Die für lokale Anwendungen muss die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) verwenden.The on-premises application must use Kerberos Constrained Delegation (KCD)

Konfigurieren des Anwendungsproxys:Configure Application Proxy:

Hinzufügen lokaler Anwendungen zu Azure ADAdd on-premises application to Azure AD

Fügen Sie Azure AD eine lokale Anwendung hinzu.Add an on-premises application to Azure AD. Unter Hinzufügen einer lokalen App zu Azure AD finden Sie einen Schnellstart.For a quickstart, see Add an on-premises app to Azure AD. Legen Sie beim Hinzufügen der Anwendung unbedingt die folgenden beiden Einstellungen auf dem Blatt Lokale Anwendung hinzufügen fest:When adding the application, be sure to set the following two settings in the Add your on-premises application blade:

  • Vor der Authentifizierung: Geben Sie Azure Active Directory ein.Pre Authentication: Enter Azure Active Directory.
  • URLs übersetzen in Anwendungstext: Wählen Sie die Option Ja aus.Translate URLs in Application Body: Choose Yes.

Diese beiden Einstellungen sind erforderlich, damit die Anwendung mit MCAS funktioniert.Those two settings are required for the application to work with MCAS.

Testen der lokalen AnwendungTest the on-premises application

Führen Sie nach dem Hinzufügen Ihrer Anwendung in Azure AD die Schritte unter Testen der Anwendung aus, um einen Benutzer für das Testen hinzuzufügen, und testen Sie die Anmeldung.After adding your application to Azure AD, use the steps in Test the application to add a user for testing, and test the sign-on.

Bereitstellen der App-Steuerung für bedingten ZugriffDeploy Conditional Access App Control

Um die Anwendung mit der App-Steuerung für bedingten Zugriff zu konfigurieren, befolgen Sie die Anweisungen unter Bereitstellen der App-Steuerung für bedingten Zugriff für Azure AD-Apps.To configure your application with the Conditional Access Application Control, follow the instructions in Deploy Conditional Access Application Control for Azure AD apps.

Testen der App-Steuerung für bedingten ZugriffTest Conditional Access App Control

Befolgen Sie zum Testen der Bereitstellung von Azure AD-Anwendungen mit der App-Steuerung für bedingten Zugriff die Anweisungen unter Testen der Bereitstellung für Azure AD-Apps.To test the deployment of Azure AD applications with Conditional Access Application Control, follow the instructions in Test the deployment for Azure AD apps.