Integrieren und Bereitstellen von App-Steuerung für bedingten Zugriff für beliebige Apps

Gilt für: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich. Weitere Informationen zu diesem und anderen Updates finden Sie hier. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.

Sitzungssteuerelemente in Microsoft Cloud App Security können für die Arbeit mit beliebigen Web-Apps konfiguriert werden. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte branchenspezifische Apps, nicht ausgewählte SaaS-Apps und lokale Apps, die über die Azure Active Directory (Azure AD) gehostet werden, mit Sitzungssteuerelementen Anwendungsproxy integrieren und bereitstellen.

Eine Liste der Apps, die von Cloud App Security standardmäßig verwendet werden können, finden Sie unter Schützen von Apps mit Cloud App Security App-Steuerung für bedingten Zugriff.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um App-Steuerung für bedingten Zugriff verwenden zu können:

  • Apps müssen mit einmaligem Anmelden konfiguriert werden.

  • Apps müssen eines der folgenden Authentifizierungsprotokolle verwenden:

    IdP Protokolle
    Azure AD SAML 2.0 oder OpenID Connect
    Andere SAML 2.0

So stellen Sie eine beliebige App bereit

Führen Sie diese Schritte aus, um jede App so zu konfigurieren, dass sie von Cloud App Security App-Steuerung für bedingten Zugriff gesteuert wird.

Schritt 1: Konfigurieren Ihres Identitätsanbieters für die Arbeit mit Cloud App Security

Schritt 2: Konfigurieren der Benutzer, die die App bereitstellen

Schritt 3: Konfigurieren der App, die Sie bereitstellen

Schritt 4: Überprüfen, ob die App ordnungsgemäß funktioniert

Schritt 5: Aktivieren der App für die Verwendung in Ihrer Organisation

Schritt 6: Aktualisieren der Azure AD-Richtlinie

Hinweis

Um App-Steuerung für bedingten Zugriff für Azure AD-Apps bereitzustellen, benötigen Sie eine gültige Lizenz für Azure Active Directory Premium P1 oder höher sowie eine Cloud App Security Lizenz.

Schritt 1: Konfigurieren Ihres Identitätsanbieters für die Arbeit mit Cloud App Security

Konfigurieren der Integration mit Azure AD

Hinweis

Beim Konfigurieren einer Anwendung mit SSO in Azure AD oder anderen Identitätsanbietern ist ein Feld, das als optional aufgeführt werden kann, die Einstellung für die Anmelde-URL. Beachten Sie, dass dieses Feld möglicherweise erforderlich ist, damit App-Steuerung für bedingten Zugriff funktioniert.

Führen Sie die folgenden Schritte aus, um eine Azure AD Richtlinie für bedingten Zugriff zu erstellen, die App-Sitzungen an Cloud App Security weiter leitet. Informationen zu anderen IdP-Lösungen finden Sie unter Konfigurieren der Integration in andere IdP-Lösungen.

  1. Navigieren Sie in Azure AD zu > Bedingter Sicherheitszugriff.

  2. Klicken Sie im Bereich Bedingter Zugriff in der Symbolleiste oben auf Neue Richtlinie.

  3. Geben Sie im Bereich Neu im Textfeld Name den Richtliniennamen ein.

  4. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen, weisen Sie die Benutzer zu, die die App integrieren (anfängliche Anmeldung und Überprüfung), und klicken Sie dann auf Fertig.

  5. Klicken Sie unter Zuweisungen auf Cloud-Apps, weisen Sie die Apps zu, die Sie mit App-Steuerung für bedingten Zugriff steuern möchten, und klicken Sie dann auf Fertig.

  6. Klicken Sie unter Zugriffssteuerungen auf Sitzung, wählen Sie App-Steuerung für bedingten Zugriff verwenden und eine integrierte Richtlinie (nur Überwachen oder Downloads blockieren) oder Benutzerdefinierte Richtlinie verwenden aus, um eine erweiterte Richtlinie in Cloud App Security festzulegen, und klicken Sie dann auf Auswählen.

    Azure AD bedingten Zugriff.

  7. Fügen Sie optional Bedingungen hinzu, und gewähren Sie nach Bedarf Steuerelemente.

  8. Legen Sie Richtlinie aktivieren auf Ein fest, und klicken Sie dann auf Erstellen.

Konfigurieren der Integration in andere IdP-Lösungen

Verwenden Sie die folgenden Schritte, um App-Sitzungen von anderen IdP-Lösungen an Cloud App Security weiterzuleiten. Informationen Azure AD finden Sieunter Konfigurieren der Integration mit Azure AD .

Hinweis

Beispiele zum Konfigurieren von IdP-Lösungen finden Sie unter:

  1. Navigieren Sie in Cloud App Security zu > Verbundene Apps > App-Steuerung für bedingten Zugriff Apps untersuchen.

  2. Klicken Sie auf das Pluszeichen ( + ), und wählen Sie im Popupfenster die App aus, die Sie bereitstellen möchten, und klicken Sie dann auf Assistent starten.

  3. Füllen Sie auf der Seite APP-INFORMATIONEN das Formular mithilfe der Informationen auf der Konfigurationsseite für einmaliges Anmelden Ihrer App aus, und klicken Sie dann auf Weiter.

    • Wenn Ihr IdP eine Metadatendatei für einmaliges Anmelden für die ausgewählte App bereitstellt, wählen Sie Hochladen Metadatendatei aus der App aus, und laden Sie die Metadatendatei hoch.
    • Wählen Sie alternativ Daten manuell ausfüllen aus, und geben Sie die folgenden Informationen an:
      • Assertionsverbraucherdienst-URL
      • Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie <app_name> SAML-Zertifikat verwenden aus, und laden Sie die Zertifikatsdatei hoch.

    Screenshot: Seite "App-Informationen"

  4. Verwenden Sie auf der Seite IDENTITÄTSANBIETER die angegebenen Schritte, um eine neue Anwendung im IdP-Portal einzurichten, und klicken Sie dann auf Weiter.

    1. Wechseln Sie zum Portal Ihres Identitätsanbieters, und erstellen Sie eine neue benutzerdefinierte SAML-App.
    2. Kopieren Sie die Konfiguration des einmaligen Anmeldens der vorhandenen <app_name> App in die neue benutzerdefinierte App.
    3. Weisen Sie der neuen benutzerdefinierten App Benutzer zu.
    4. Kopieren Sie die Informationen zur Konfiguration des einmaligen Anmeldens für Apps. Sie benötigen sie im nächsten Schritt.

    Screenshot: Seite "Informationen zum Identitätsanbieter sammeln"

    Hinweis

    Diese Schritte können sich je nach Identitätsanbieter geringfügig unterscheiden. Dieser Schritt wird aus den folgenden Gründen empfohlen:

    • Einige Identitätsanbieter lassen nicht zu, dass Sie die SAML-Attribute oder URL-Eigenschaften einer Katalog-App ändern.
    • Durch das Konfigurieren einer benutzerdefinierten App können Sie diese Anwendung mit Zugriffs- und Sitzungssteuerungen testen, ohne das vorhandene Verhalten für Ihre Organisation zu ändern.
  5. Füllen Sie auf der nächsten Seite das Formular mit den Informationen auf der Konfigurationsseite für einmaliges Anmelden Ihrer App aus, und klicken Sie dann auf Weiter.

    • Wenn Ihr IdP eine Metadatendatei für einmaliges Anmelden für die ausgewählte App bereitstellt, wählen Sie Hochladen Metadatendatei aus der App aus, und laden Sie die Metadatendatei hoch.
    • Wählen Sie alternativ Daten manuell ausfüllen aus, und geben Sie die folgenden Informationen an:
      • Assertionsverbraucherdienst-URL
      • Wenn Ihre App ein SAML-Zertifikat bereitstellt, wählen Sie <app_name> SAML-Zertifikat verwenden aus, und laden Sie die Zertifikatsdatei hoch.

    Screenshot: Seite "Informationen zum Identitätsanbieter eingeben"

  6. Kopieren Sie auf der nächsten Seite die folgenden Informationen, und klicken Sie dann auf Weiter. Sie benötigen die Informationen im nächsten Schritt.

    • URL für einmaliges Anmelden
    • Attribute und Werte

    Screenshot: Saml-Informationsseite für Identitätsanbieter

  7. Gehen Sie im IdP-Portal wie folgt vor:

    Hinweis

    Die Einstellungen finden Sie häufig auf der Seite mit benutzerdefinierten App-Einstellungen im IdP-Portal.

    1. [Empfohlen] Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.

    2. Ersetzen Sie den Feldwert der URL für einmaliges Anmelden durch die Cloud App Security SAML-URL für einmaliges Anmelden, die Sie sich zuvor notiert haben.

      Hinweis

      Einige Anbieter bezeichnen die URL für einmaliges Anmelden möglicherweise als Antwort-URL.

    3. Fügen Sie den Eigenschaften der App die Attribute und Werte hinzu, die Sie sich zuvor notieren.

      Hinweis

      • Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.
      • Beim Erstellen einer neuen SAML-App beschränkt okta Identity Provider Attribute auf 1024 Zeichen. Um diese Einschränkung zu umgehen, erstellen Sie zunächst die App ohne die relevanten Attribute. Nachdem Sie die App erstellt haben, bearbeiten Sie sie, und fügen Sie dann die relevanten Attribute hinzu.
    4. Vergewissern Sie sich, dass der Namensbezeichner das Format der E-Mail-Adresse auf hat.

    5. Speichern Sie die Einstellungen.

  8. Gehen Sie auf der Seite APP CHANGES wie folgt vor, und klicken Sie dann auf Weiter. Sie benötigen die Informationen im nächsten Schritt.

    • Kopieren der URL für einmaliges Anmelden
    • Herunterladen des Cloud App Security SAML-Zertifikats

    Screenshot: Seite zum Sammeln Cloud App Security SAML-Informationen

  9. Gehen Sie im Portal Ihrer App in den Einstellungen für einmaliges Anmelden wie folgt vor:

    1. [Empfohlen] Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.
    2. Geben Sie im Feld URL für einmaliges Anmelden die Cloud App Security URL für einmaliges Anmelden ein, die Sie sich zuvor notieren.
    3. Hochladen das zuvor heruntergeladene Cloud App Security SAML-Zertifikat.

    Hinweis

    • Nachdem Sie Ihre Einstellungen gespeichert haben, werden alle zugeordneten Anmeldeanforderungen an diese App über App-Steuerung für bedingten Zugriff weitergeleitet.
    • Das Cloud App Security SAML-Zertifikat ist ein Jahr lang gültig. Nach ablaufen muss ein neues Zertifikat generiert werden.

<a name="step-2-configure-the-users-that-will-deploy-the-app">Schritt 2: Konfigurieren der Benutzer, die die App bereitstellen

  1. Klicken Sie in Cloud App Security auf der Menüleiste auf das Zahnradsymbol für Einstellungen ![Symbol für Einstellungen](media/settings-icon.png "Symbol „Einstellungen“"), und wählen Sie Einstellungen aus.

  2. Wählen Sie unter App-Steuerung für bedingten Zugriff die Option App-Onboarding/-Wartung aus.

  3. Geben Sie den Benutzerprinzipalnamen oder die E-Mail-Adresse für die Benutzer ein, die die App integrieren möchten, und klicken Sie dann auf Speichern.

    Screenshot der Einstellungen für App-Onboarding und -Wartung

Schritt 3: Konfigurieren der App, die Sie bereitstellen

Wechseln Sie zu der App, die Sie bereitstellen. Die angezeigte Seite hängt davon ab, ob die App erkannt wird. Führen Sie eines der folgenden Verfahren aus:

App-Status BESCHREIBUNG Schritte
Nicht erkannt Es wird eine Nicht erkannte Seite angezeigt, auf der Sie aufgefordert werden, Ihre App zu konfigurieren. 1. Fügen Sie die App App-Steuerung für bedingten Zugriffhinzu.
2. Fügen Sie die Domänen für die Apphinzu, kehren Sie dann zur App zurück, und aktualisieren Sie die Seite.
3. Installieren Sie die Zertifikate für die App.
Recognized Es wird eine Onboardingseite angezeigt, auf der Sie aufgefordert werden, den App-Konfigurationsprozess fortzusetzen. - Installieren Sie die Zertifikate für die App.

Hinweis: Stellen Sie sicher, dass die App mit allen Domänen konfiguriert ist, die erforderlich sind, damit die App ordnungsgemäß funktioniert. Um weitere Domänen zu konfigurieren, fahren Sie mit Hinzufügen der Domänen für die Appfort, und kehren Sie dann zur App-Seite zurück.

So fügen Sie eine neue App hinzu

  1. Klicken Sie in der Menüleiste auf das Zahnradeinstellungssymbolfür einstellungen. , und wählen Sie dann App-Steuerung für bedingten Zugriff aus.

  2. Klicken Sie im Banner auf Neue Apps anzeigen.

    App-Steuerung für bedingten Zugriff zeigt neue Apps an.

  3. Klicken Sie in der Liste der neuen Apps für jede App, die Sie integrieren, auf das + -Zeichen, und klicken Sie dann auf Hinzufügen.

    Hinweis

    Wenn eine App nicht im Cloud App Security-Appkatalog erscheint, finden Sie sie und die jeweilige Anmelde-URL im Dialogfeld unter „Nicht identifizierte Apps“. Wenn Sie für diese Apps auf das Pluszeichen (+) klicken, können Sie die App als benutzerdefinierte App integrieren.

    App-Steuerung für bedingten Zugriff ermittelt Azure AD Apps.

<a name="to-add-domains-for-an-app">So fügen Sie Domänen für eine App hinzu

Durch das Zuordnen der richtigen Domänen zu einer App können Cloud App Security Richtlinien und Überwachungsaktivitäten erzwingen.

Wenn Sie beispielsweise eine Richtlinie konfiguriert haben, die das Herunterladen von Dateien für eine zugeordnete Domäne blockiert, werden Dateidownloads durch die App aus dieser Domäne blockiert. Dateidownloads von der App aus Domänen, die der App nicht zugeordnet sind, werden jedoch nicht blockiert, und die Aktion wird nicht im Aktivitätsprotokoll überwacht.

Hinweis

Cloud App Security fügt domänen, die der App nicht zugeordnet sind, weiterhin ein Suffix hinzu, um eine nahtlose Benutzererfahrung zu gewährleisten.

  1. Klicken Sie in der App auf der Cloud App Security Administratorsymbolleiste auf Ermittelte Domänen.

    Hinweis

    Die Administratorsymbolleiste ist nur für Benutzer mit Berechtigungen zum Integrieren oder Verwalten von Apps sichtbar.

  2. Notieren Sie sich im Bereich Ermittelte Domänen Domänennamen, oder exportieren Sie die Liste als .csv Datei.

    Hinweis

    Im Bereich wird eine Liste der ermittelten Domänen angezeigt, die nicht in der App zugeordnet sind. Die Domänennamen sind vollqualifiziert.

  3. Wechseln Sie zu Cloud App Security, und klicken Sie in der Menüleiste auf das ![Zahnradeinstellungssymbol "Einstellungen".](media/settings-icon.png "Symbol „Einstellungen“") und wählen sie App-Steuerung für bedingten Zugriff aus.
  4. Wählen Sie in der Liste der Apps in der Zeile, in der die von Ihnen bereitgestellte App angezeigt wird, die drei Punkte am Ende der Zeile und dann unter APP-DETAILS die Option Bearbeiten aus.

    Tipp

    Klicken Sie auf App-Domänen anzeigen, um die Liste der in der App konfigurierten Domänen anzuzeigen.

  5. Geben Sie unter Benutzerdefinierte Domänen alle Domänen ein, die Sie dieser App zuordnen möchten, und klicken Sie dann auf Speichern.

    Hinweis

    Sie können das Platzhalterzeichen * als Platzhalter für ein beliebiges Zeichen verwenden. Entscheiden Sie beim Hinzufügen von Domänen, ob Sie bestimmte Domänen ( , ) oder mehrere Domänen ( ) hinzufügen sub1.contoso.com sub2.contoso.com *.contoso.com möchten.

So installieren Sie Stammzertifikate

  1. Wiederholen Sie die folgenden Schritte, um die selbstsignieren Stammzertifikate der aktuellen zertifizierungsstelle und der nächsten Zertifizierungsstelle zu installieren.

    1. Wählen Sie das Zertifikat aus.
    2. Klicken Sie auf Öffnen, und klicken Sie erneut auf Öffnen, wenn Sie dazu aufgefordert werden.
    3. Klicken Sie auf Zertifikat installieren.
    4. Wählen Sie entweder Aktueller Benutzer oder lokaler Computer aus.
    5. Wählen Sie Alle Zertifikate im folgenden Speicher speichern aus, und klicken Sie dann auf Durchsuchen.
    6. Wählen Sie Vertrauenswürdige Stammzertifizierungsstellen aus, und klicken Sie dann auf OK.
    7. Klicken Sie auf Fertig stellen.

    Hinweis

    Damit die Zertifikate erkannt werden, müssen Sie nach der Installation des Zertifikats den Browser neu starten und zur gleichen Seite wechseln.

  2. Klicken Sie auf Weiter.

Schritt 4: Überprüfen, ob die App ordnungsgemäß funktioniert

  1. Vergewissern Sie sich, dass der Anmeldeflow ordnungsgemäß funktioniert.
  2. Nachdem Sie sich in der App befinden, führen Sie die folgenden Überprüfungen aus:
    1. Besuchen Sie alle Seiten in der App, die Teil des Arbeitsprozesses eines Benutzers sind, und überprüfen Sie, ob die Seiten ordnungsgemäß gerendert werden.
    2. Stellen Sie sicher, dass das Verhalten und die Funktionalität der App nicht beeinträchtigt werden, indem Sie allgemeine Aktionen wie das Herunterladen und Hochladen von Dateien ausführen.
    3. Überprüfen Sie die Liste der Domänen, die der App zugeordnet sind. Weitere Informationen finden Sie unter Hinzufügen der Domänen für die App.

Schritt 5: Aktivieren der App für die Verwendung in Ihrer Organisation

Sobald Sie bereit sind, die App für die Verwendung in der Produktionsumgebung Ihrer Organisation zu aktivieren, gehen Sie folgendermaßen vor.

  1. Klicken Sie in Cloud App Security auf das  Zahnradeinstellungssymbol für einstellungen. , und wählen Sie dann App-Steuerung für bedingten Zugriff aus.

  2. Wählen Sie in der Liste der Apps in der Zeile, in der die bereitgestellte App angezeigt wird, die drei Punkte am Ende der Zeile und dann App bearbeiten aus.

  3. Wählen Sie Mit App-Steuerung für bedingten Zugriff verwenden aus, und klicken Sie dann auf Speichern.

    Popupfenster "Sitzungssteuerelemente aktivieren".

Schritt 6: Aktualisieren der Azure AD-Richtlinie (nur Azure AD)

  1. Klicken Sie in Azure AD unter Sicherheit auf Bedingter Zugriff.
  2. Aktualisieren Sie die zuvor erstellte Richtlinie, um die relevanten Benutzer, Gruppen und Steuerelemente einzubeziehen, die Sie benötigen.
  3. Wenn Sie unter > Sitzungsverwendung App-Steuerung für bedingten Zugriff die Option Benutzerdefinierte Richtlinie verwenden ausgewählt haben, wechseln Sie zu Cloud App Security, und erstellen Sie eine entsprechende Sitzungsrichtlinie. Weitere Informationen finden Sie unter Sitzungsrichtlinien.

Nächste Schritte

Weitere Informationen

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.