Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése nem Microsoft identitásszolgáltatóval rendelkező katalógusalkalmazásokhoz

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

  • Microsoft Defender for Cloud Apps Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen hajthatják végre biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a microsoftos identitások, adatok, eszközök, alkalmazások és infrastruktúra biztonságának monitorozása és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

A Microsoft Defender for Cloud Apps hozzáférés- és munkamenet-vezérlői a felhőalkalmazás-katalógusból származó alkalmazásokkal és egyéni alkalmazásokkal működnek. A Felhőhöz készült Defender Apps által előre előkészített alkalmazások listájáért tekintse meg az alkalmazások védelme Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével című témakört.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Az identitásszolgáltató (IdP) megoldás által igényelt licenc
    • Microsoft Defender for Cloud Apps
  • Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

  • Az alkalmazásoknak a következő hitelesítési protokollok egyikét kell használniuk:

    IdP Protokollok
    Azure AD SAML 2.0 vagy OpenID Csatlakozás
    Egyéb SAML 2.0

Katalógusalkalmazások üzembe helyezése

Az alábbi lépéseket követve konfigurálhatja a katalógusalkalmazásokat úgy, hogy Microsoft Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel vezérelhetők legyenek.

1. lépés: Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

2. lépés: Bejelentkezés az egyes alkalmazásokba a szabályzatra hatókörrel rendelkező felhasználó használatával

3. lépés: Annak ellenőrzése, hogy az alkalmazások hozzáférés- és munkamenet-vezérlők használatára vannak-e konfigurálva

4. lépés: Az alkalmazás engedélyezése a szervezetben való használatra

5. lépés: Az üzembe helyezés tesztelése

1. lépés: Az identitásszolgáltató konfigurálása az Felhőhöz készült Defender-alkalmazások használatához

Integráció konfigurálása más identitásszolgáltatói megoldásokkal

Az alábbi lépésekkel átirányíthatja az alkalmazás munkameneteit más identitásszolgáltatói megoldásokból az Felhőhöz készült Defender Appsbe. A Azure AD lásd: Az integráció konfigurálása Azure AD.

  1. Az Felhőhöz készült Defender Alkalmazások területen keresse meg acsatlakoztatott alkalmazások>feltételes hozzáférésű alkalmazásvezérlési alkalmazásainakvizsgálatát>.

  2. Válassza a + Hozzáadás lehetőséget, majd az előugró ablakban válassza ki az üzembe helyezni kívánt alkalmazást, majd válassza Start menü varázslót.

  3. Az ALKALMAZÁS ADATAI lapon töltse ki az űrlapot az alkalmazás egyszeri bejelentkezési konfigurációs oldalának adataival, majd válassza a Tovább gombot.

    • Ha az identitásszolgáltató egyetlen bejelentkezési metaadatfájlt biztosít a kiválasztott alkalmazáshoz, válassza a Metaadatfájl feltöltése lehetőséget az alkalmazásból , és töltse fel a metaadatfájlt.
    • Vagy válassza az Adatok manuális kitöltése lehetőséget, és adja meg a következő adatokat:
      • Assertion fogyasztói szolgáltatás URL-címe
      • Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata < lehetőséget, és töltse fel a tanúsítványfájlt.

    Screenshot showing app information page.

  4. Az IDENTITÁSSZOLGÁLTATÓ lapon a megadott lépésekkel állítson be egy új alkalmazást az identitásszolgáltató portálján, majd válassza a Tovább gombot.

    1. Nyissa meg az identitásszolgáltató portálját, és hozzon létre egy új egyéni SAML-alkalmazást.
    2. Másolja a meglévő <app_name> alkalmazás egyszeri bejelentkezési konfigurációját az új egyéni alkalmazásba.
    3. Felhasználók hozzárendelése az új egyéni alkalmazáshoz.
    4. Másolja ki az alkalmazások egyszeri bejelentkezési konfigurációs adatait. A következő lépésben szüksége lesz rá.

    Screenshot showing gather identity provider information page.

    Megjegyzés

    Ezek a lépések kissé eltérhetnek az identitásszolgáltatótól függően. Ezt a lépést a következő okokból javasoljuk:

    • Egyes identitásszolgáltatók nem teszik lehetővé a katalógusalkalmazás SAML-attribútumainak vagy URL-tulajdonságainak módosítását
    • Az egyéni alkalmazások konfigurálásával a szervezet meglévő viselkedésének módosítása nélkül tesztelheti az alkalmazást hozzáférés- és munkamenet-vezérlőkkel.
  5. A következő lapon töltse ki az űrlapot az alkalmazás egyszeri bejelentkezési konfigurációs oldalának adataival, majd válassza a Tovább gombot.

    • Ha az identitásszolgáltató egyetlen bejelentkezési metaadatfájlt biztosít a kiválasztott alkalmazáshoz, válassza a Metaadatfájl feltöltése lehetőséget az alkalmazásból , és töltse fel a metaadatfájlt.
    • Vagy válassza az Adatok manuális kitöltése lehetőséget, és adja meg a következő adatokat:
      • Assertion fogyasztói szolgáltatás URL-címe
      • Ha az alkalmazás SAML-tanúsítványt biztosít, válassza a App_name> SAML-tanúsítvány használata < lehetőséget, és töltse fel a tanúsítványfájlt.

    Screenshot showing enter identity provider information page.

  6. A következő lapon másolja ki az alábbi adatokat, majd válassza a Tovább gombot. A következő lépésben szüksége lesz az információkra.

    • Egyszeri bejelentkezés URL-címe
    • Attribútumok és értékek

    Screenshot showing gather identity providers SAML information page.

  7. Az identitásszolgáltató portálján tegye a következőket:

    Megjegyzés

    Ezek a beállítások gyakran megtalálhatók az identitásszolgáltatói portál egyéni alkalmazásbeállítási lapján

    1. Az egyszeri bejelentkezés URL-cím mezőjébe írja be a korábban jegyzett egyszeri bejelentkezési URL-címet.

      Megjegyzés

      Egyes szolgáltatók válasz URL-címként hivatkozhatnak az egyszeri bejelentkezési URL-címre.

    2. Adja hozzá a korábban jegyzett attribútumokat és értékeket az alkalmazás tulajdonságaihoz.

      Megjegyzés

      • Egyes szolgáltatók felhasználói attribútumként vagy jogcímként hivatkozhatnak rájuk.
      • Új SAML-alkalmazás létrehozásakor a Okta Identitásszolgáltató 1024 karakterre korlátozza az attribútumokat. A korlátozás enyhítéséhez először hozza létre az alkalmazást a megfelelő attribútumok nélkül. Az alkalmazás létrehozása után szerkessze, majd adja hozzá a megfelelő attribútumokat.
    3. Ellenőrizze, hogy a névazonosító az e-mail-cím formátumában van-e.
    4. Mentse a beállításokat.
  8. Az ALKALMAZÁSVÁLTOZÁSOK lapon tegye a következőket, majd válassza a Tovább gombot. A következő lépésben szüksége lesz az információkra.

    • Az egyszeri bejelentkezés URL-címének másolása
    • A Felhőhöz készült Defender Apps SAML-tanúsítványának letöltése

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  9. Az alkalmazás portálján az egyszeri bejelentkezés beállításaiban tegye a következőket:

    1. [Ajánlott] Készítsen biztonsági másolatot az aktuális beállításokról.
    2. Cserélje le az identitásszolgáltató bejelentkezési URL-címének mezőértékét a korábban feljegyzett Felhőhöz készült Defender Apps SAML egyszeri bejelentkezési URL-címére.
    3. Töltse fel a korábban letöltött Felhőhöz készült Defender Apps SAML-tanúsítványt.
    4. Kattintson a Mentés gombra.

    Megjegyzés

    • A beállítások mentése után az alkalmazáshoz társított összes bejelentkezési kérés a feltételes hozzáférésű alkalmazásvezérlőn keresztül lesz átirányítva.
    • A Felhőhöz készült Defender Apps SAML-tanúsítványa egy évig érvényes. A lejárat után létre kell hozni egy új tanúsítványt.

2. lépés: Bejelentkezés az egyes alkalmazásokba a szabályzatra hatókörrel rendelkező felhasználó használatával

Megjegyzés

Mielőtt továbblép, először jelentkezzen ki a meglévő munkamenetekből.

Miután létrehozta a szabályzatot, jelentkezzen be a szabályzatban konfigurált összes alkalmazásba. Győződjön meg arról, hogy a szabályzatban konfigurált felhasználóval jelentkezik be.

Felhőhöz készült Defender Alkalmazások szinkronizálják a szabályzat adatait a kiszolgálóira minden új alkalmazáshoz, amelybe bejelentkezik. Ez akár egy percet is igénybe vehet.

3. lépés: Annak ellenőrzése, hogy az alkalmazások konfigurálva vannak-e a hozzáférés- és munkamenet-vezérlők használatára

Az előző utasítások segítségével beépített Felhőhöz készült Defender-alkalmazásszabályzatot hozhatott létre a katalógusbeli alkalmazásokhoz közvetlenül Azure AD. Ebben a lépésben ellenőrizze, hogy a hozzáférés- és munkamenet-vezérlők konfigurálva vannak-e ezekhez az alkalmazásokhoz.

  1. Az Felhőhöz készült Defender Alkalmazások portálon válassza a beállítások fogaskeréksettings icon., majd a Feltételes hozzáférés alkalmazásvezérlő lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlés alkalmazásai táblában tekintse meg az Elérhető vezérlők oszlopot, és ellenőrizze, hogy a Hozzáférés-vezérlés vagy a feltételes hozzáférés Azure AD és a Munkamenet-vezérlő is megjelenik-e az alkalmazásokban.

    Megjegyzés

    Ha egy alkalmazás munkamenet-vezérlése nem jelenik meg, akkor az adott alkalmazáshoz még nem érhető el. Hozzáadhatja azonnal egyéni alkalmazásként, vagy megnyithat egy kérést, hogy katalógusalkalmazásként adja hozzá, ha a Munkamenet-vezérlés kérése gombra kattint.

    Conditional access app control request.

4. lépés: Az alkalmazás engedélyezése a szervezetben való használatra

Ha készen áll arra, hogy engedélyezze az alkalmazást a szervezet éles környezetében való használatra, hajtsa végre az alábbi lépéseket.

  1. Az Felhőhöz készült Defender-alkalmazásokban válassza a beállítások fogaskerék settings icon.elemét, majd a Feltételes hozzáférés alkalmazásvezérlőt.

  2. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

  3. Válassza a Használat feltételes hozzáférés alkalmazásvezérlővel lehetőséget, majd válassza a Mentés lehetőséget.

    Enable session controls pop-up.

5. lépés: Az üzembe helyezés tesztelése

  1. Először jelentkezzen ki a meglévő munkamenetekből. Ezután próbáljon meg bejelentkezni minden sikeresen üzembe helyezett alkalmazásba. Jelentkezzen be egy olyan felhasználóval, amely megfelel az Azure AD-ben konfigurált szabályzatnak, vagy egy, az identitásszolgáltatóval konfigurált SAML-alkalmazáshoz.

  2. Az Felhőhöz készült Defender Alkalmazások portálVizsgálat területén válassza a Tevékenységnapló lehetőséget, és győződjön meg arról, hogy a bejelentkezési tevékenységek rögzítve vannak az egyes alkalmazásokhoz.

  3. Szűréshez kattintson a Speciális, majd a Forrás egyenlő hozzáférés-vezérléssel való szűrésre.

    Filter using Azure AD conditional access.

  4. Javasoljuk, hogy felügyelt és nem felügyelt eszközökről jelentkezzen be mobil- és asztali alkalmazásokba. Ezzel biztosíthatja, hogy a tevékenységek megfelelően legyenek rögzítve a tevékenységnaplóban.
    A tevékenység megfelelő rögzítésének ellenőrzéséhez válasszon ki egy egyszeri bejelentkezési bejelentkezési tevékenységet, hogy megnyissa a tevékenységfiókot. Győződjön meg arról, hogy a Felhasználói ügynök címke megfelelően tükrözi, hogy az eszköz natív ügyfél -e (vagyis mobil- vagy asztali alkalmazás), vagy az eszköz felügyelt eszköz -e (megfelelő, tartományhoz csatlakoztatott vagy érvényes ügyféltanúsítvány).

Megjegyzés

Az üzembe helyezést követően nem távolíthat el alkalmazásokat a Feltételes hozzáférés alkalmazásvezérlési oldaláról. Amíg nem állít be munkamenet- vagy hozzáférési szabályzatot az alkalmazásban, a feltételes hozzáférés alkalmazásvezérlője nem módosítja az alkalmazás viselkedését.

Következő lépések

Ha bármilyen problémába ütközik, segítünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson támogatási jegyet.