Feltételes hozzáférést biztosító alkalmazásvezérlő üzembe helyezése egyéni alkalmazásokhoz az Azure Active Directory használatával

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

  • Microsoft Defender for Cloud Apps Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen hajthatják végre biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a microsoftos identitások, adatok, eszközök, alkalmazások és infrastruktúra biztonságának monitorozása és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

A Microsoft Defender for Cloud Apps munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással működjenek. Ez a cikk bemutatja, hogyan helyezheti üzembe és helyezheti üzembe az egyéni üzletági alkalmazásokat, a nem kiemelt SaaS-alkalmazásokat és a Azure Active Directory (Azure AD) alkalmazásproxy a munkamenet-vezérlőkkel üzemeltetett helyszíni alkalmazásokat. Lépéseket biztosít egy Azure AD feltételes hozzáférési szabályzat létrehozásához, amely az alkalmazás-munkameneteket Felhőhöz készült Defender-alkalmazásokhoz irányítja. Más identitásszolgáltatói megoldásokért lásd: Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése nem Microsoft-identitásszolgáltatóval rendelkező egyéni alkalmazásokhoz.

A Felhőhöz készült Defender Apps által beépített alkalmazások listájáért tekintse meg az alkalmazások védelme Felhőhöz készült Defender alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével című témakört.

Előfeltételek

Rendszergazdák hozzáadása az alkalmazás előkészítési/karbantartási listájához

  1. Az Felhőhöz készült Defender Apps menüsávjában válassza a beállítások fogaskerékétsettings icon 4, és válassza Gépház.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg az alkalmazásba bevezető felhasználók egyszerű nevét vagy e-mail-címét, majd válassza a Mentés lehetőséget.

    Screenshot of settings for App onboarding and maintenance.

Ellenőrizze a szükséges licenceket

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

  • Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

  • Az alkalmazásoknak a következő hitelesítési protokollok egyikét kell használniuk:

    IdP Protokollok
    Azure AD SAML 2.0 vagy OpenID Csatlakozás

Bármely alkalmazás üzembe helyezése

Az alábbi lépéseket követve konfigurálhatja a Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlése által vezérelhető alkalmazásokat.

  1. A Azure AD konfigurálása az Felhőhöz készült Defender Apps használatához

  2. Az üzembe helyezni kívánt alkalmazás konfigurálása

  3. Ellenőrizze, hogy az alkalmazás megfelelően működik-e

  4. Az alkalmazás engedélyezése a szervezetben való használatra

  5. A Azure AD szabályzat frissítése

Megjegyzés

Ha feltételes hozzáférésű alkalmazásvezérlőt szeretne üzembe helyezni Azure AD alkalmazásokhoz, érvényes licencre van szüksége Prémium P1 szintű Azure Active Directory vagy annál magasabb szintű alkalmazásokhoz, valamint egy Felhőhöz készült Defender Apps-licencre.

1. lépés: Azure AD konfigurálása Felhőhöz készült Defender-alkalmazások használatához

Megjegyzés

Amikor SSO-val konfigurál egy alkalmazást Azure AD vagy más identitásszolgáltatókban, az egyik választható mező a bejelentkezési URL-beállítás. Vegye figyelembe, hogy ez a mező szükséges lehet a feltételes hozzáférés alkalmazásvezérlőjének működéséhez.

  1. A Azure AD keresse meg a biztonsági>feltételes hozzáférést.

  2. A Feltételes hozzáférés panel felső eszköztárán válassza az Új házirend létrehozása –>Új szabályzat létrehozása lehetőséget.

  3. Az Új panel Név szövegmezőjében adja meg a szabályzat nevét.

  4. A Hozzárendelések területen válassza a Felhasználók vagy a számítási feladatok identitásait, rendelje hozzá az alkalmazást előkészíteni kívánt felhasználókat (kezdeti bejelentkezés és ellenőrzés), majd válassza a Kész lehetőséget.

  5. A Hozzárendelések területen válassza a Felhőalkalmazások vagy -műveletek lehetőséget, rendelje hozzá a vezérelni kívánt alkalmazásokat a feltételes hozzáférés alkalmazásvezérlőjével, majd válassza a Kész lehetőséget.

  6. A Hozzáférés-vezérlők területen válassza a Munkamenet lehetőséget, válassza a Feltételes hozzáférés alkalmazásvezérlő használata lehetőséget, és válasszon egy beépített szabályzatot (csak figyelés vagy letöltések letiltása), vagy egyéni házirend használata speciális szabályzat beállításához Felhőhöz készült Defender Appsben, majd kattintson a Kiválasztás gombra.

    Azure AD conditional access.

  7. Igény szerint adhat hozzá feltételeket és adhat meg vezérlőket.

  8. Állítsa a Házirend engedélyezésebeállítást Be értékre , majd válassza a Létrehozás lehetőséget.

2. lépés: Az alkalmazás manuális hozzáadása és tanúsítványok telepítése, ha szükséges

Az alkalmazáskatalógusban lévő alkalmazások automatikusan fel lesznek töltve a Csatlakoztatott alkalmazások csoportban található táblába. Ellenőrizze, hogy az üzembe helyezni kívánt alkalmazás felismerve van-e az ott való navigálással.

  1. A Felhőhöz készült Defender Alkalmazások menüsávjában válassza a beállítások fogaskerékétsettings icon 1, majd a Feltételes hozzáférés alkalmazásvezérlés lapját a hozzáférési és munkamenet-szabályzatokkal konfigurálható alkalmazások táblázatának eléréséhez.

    Conditional access app control apps

  2. Válassza ki az Alkalmazást: Alkalmazások kiválasztása... legördülő menüt az üzembe helyezni kívánt alkalmazás szűréséhez és kereséséhez.

    Select App: Select apps to search for the app

  3. Ha nem látja ott az alkalmazást, manuálisan kell hozzáadnia.

Azonosítatlan alkalmazás manuális hozzáadása

  1. A szalagcímen válassza az Új alkalmazások megtekintése lehetőséget.

    Conditional access app control view new apps

  2. Az új alkalmazások listájában jelölje ki a jelet, majd válassza a +Hozzáadás lehetőséget minden egyes előkészíteni kívánt alkalmazáshoz.

    Megjegyzés

    Ha egy alkalmazás nem jelenik meg a Felhőhöz készült Defender Apps alkalmazáskatalógusában, akkor az azonosítatlan alkalmazások alatti párbeszédpanelen, valamint a bejelentkezési URL-címen jelenik meg. Amikor ezekre az alkalmazásokra a + jelre kattint, egyéni alkalmazásként is előkészítheti az alkalmazást.

    Conditional access app control discovered Azure AD apps

Tartományok hozzáadása egy alkalmazáshoz

A megfelelő tartományok alkalmazáshoz való társítása lehetővé teszi, hogy az Felhőhöz készült Defender Apps kikényszerítse a szabályzatokat és a naplózási tevékenységeket.

Ha például olyan szabályzatot konfigurált, amely letiltja egy társított tartomány fájljainak letöltését, az alkalmazás által az adott tartományból letöltött fájlok le lesznek tiltva. Az alkalmazás által az alkalmazáshoz nem társított tartományokból történő fájlletöltések azonban nem lesznek blokkolva, és a művelet nem lesz naplózva a tevékenységnaplóban.

Megjegyzés

Felhőhöz készült Defender Az alkalmazások továbbra is hozzáadnak egy utótagot az alkalmazáshoz nem társított tartományokhoz a zökkenőmentes felhasználói élmény biztosítása érdekében.

  1. Az alkalmazáson belül az Felhőhöz készült Defender Alkalmazások felügyeleti eszköztárán válassza a Felderített tartományok lehetőséget.

    Megjegyzés

    A rendszergazdai eszköztár csak az alkalmazások előkészítésére vagy karbantartására jogosult felhasználók számára látható.

  2. A Felderített tartományok panelen jegyezze fel a tartományneveket, vagy exportálja a listát .csv fájlként.

    Megjegyzés

    A panel megjeleníti az alkalmazáshoz nem társított felderített tartományok listáját. A tartománynevek teljes mértékben minősítettek.

  3. Lépjen a Felhőhöz készült Defender Alkalmazások menüsávra, válassza ki a beállítások fogaskerékétsettings icon 2, és válassza a Feltételes hozzáférés alkalmazásvezérlőt.
  4. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza a sor végén található három elemet, majd az ALKALMAZÁS RÉSZLETEI területen válassza a Szerkesztés lehetőséget.

    Tipp

    Az alkalmazásban konfigurált tartományok listájának megtekintéséhez válassza az Alkalmazástartományok megtekintése lehetőséget.

  5. A felhasználó által definiált tartományokban adja meg az alkalmazáshoz társítani kívánt összes tartományt, majd válassza a Mentés lehetőséget.

    Megjegyzés

    A * helyettesítő karaktert bármely karakter helyőrzőjeként használhatja. Tartományok hozzáadásakor döntse el, hogy adott tartományokat (,sub2.contoso.com) vagy több tartományt (sub1.contoso.com*.contoso.com) szeretne hozzáadni.

Főtanúsítványok telepítése

  1. Ismételje meg az alábbi lépéseket az aktuális hitelesítésszolgáltató és a következő hitelesítésszolgáltató önaláírt főtanúsítványainak telepítéséhez.

    1. Válassza ki a tanúsítványt.
    2. Válassza a Megnyitás lehetőséget, és amikor a rendszer kéri, válassza ismét a Megnyitás lehetőséget .
    3. Válassza a Tanúsítvány telepítése lehetőséget.
    4. Válassza az Aktuális felhasználó vagy a Helyi gép lehetőséget.
    5. Válassza az Összes tanúsítvány elhelyezése a következő tárolóban lehetőséget, majd a Tallózás lehetőséget.
    6. Válassza a Megbízható főtanúsítvány-hatóságok lehetőséget, majd kattintson az OK gombra.
    7. Válassza a Befejezés gombot.

    Megjegyzés

    Ahhoz, hogy a tanúsítványok felismerhetők legyenek, miután telepítette a tanúsítványt, újra kell indítania a böngészőt, és ugyanarra a lapra kell lépnie.

  2. Válassza a Folytatás lehetőséget.

  3. Ellenőrizze, hogy az alkalmazás elérhető-e a táblázatban.

    Check if app is available in table

3. lépés: Az alkalmazás megfelelő működésének ellenőrzése

Annak ellenőrzéséhez, hogy az alkalmazás ki van-e dolgozva, először végezzen szigorú kijelentkeztetéseket az alkalmazáshoz társított böngészőkből, vagy nyisson meg egy új böngészőt inkognitó módban.

Nyissa meg az alkalmazást, és hajtsa végre a következő ellenőrzéseket:

  • Ellenőrizze, hogy az URL-cím tartalmazza-e az .mcas utótagot
  • Keresse fel az alkalmazás összes olyan lapját, amely egy felhasználó munkafolyamatának része, és ellenőrizze, hogy az oldalak megfelelően jelennek-e meg.
  • Ellenőrizze, hogy az alkalmazás viselkedését és működését nem érintik-e hátrányosan az olyan gyakori műveletek, mint például a fájlok letöltése és feltöltése.
  • Tekintse át az alkalmazáshoz társított tartományok listáját. További információ: Az alkalmazás tartományainak hozzáadása.

Ha hibákat vagy problémákat tapasztal, a rendszergazdai eszköztár segítségével gyűjtsön össze erőforrásokat, például .har fájlokat és rögzített munkameneteket a támogatási jegy benyújtásához.

4. lépés: Az alkalmazás engedélyezése a szervezetben való használatra

Ha készen áll arra, hogy engedélyezze az alkalmazást a szervezet éles környezetében való használatra, hajtsa végre az alábbi lépéseket.

  1. Az Felhőhöz készült Defender-alkalmazásokban válassza a beállítások fogaskerék settings icon 3elemét, majd a Feltételes hozzáférés alkalmazásvezérlőt.

  2. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

  3. Válassza a Használat feltételes hozzáférés alkalmazásvezérlővel lehetőséget, majd válassza a Mentés lehetőséget.

    Enable session controls pop-up

5. lépés: A Azure AD szabályzat frissítése

  1. A Azure AD Biztonság területén válassza a Feltételes hozzáférés lehetőséget.
  2. Frissítse a korábban létrehozott szabályzatot, hogy tartalmazza a szükséges felhasználókat, csoportokat és vezérlőket.
  3. A Munkamenet-használat>feltételes hozzáférés alkalmazásvezérlése területen, ha az Egyéni házirend használata lehetőséget választotta, lépjen Felhőhöz készült Defender Alkalmazások lapra, és hozzon létre egy megfelelő munkamenet-szabályzatot. További információ: Munkamenet-szabályzatok.

Következő lépések

Lásd még

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.