Feltételes hozzáférésű alkalmazásvezérlés telepítése egyéni alkalmazásokhoz a Microsoft Entra ID használatával

  • Cikk

A Felhőhöz készült Microsoft Defender-alkalmazások munkamenet-vezérlői konfigurálhatók úgy, hogy bármilyen webalkalmazással működjenek. Ez a cikk bemutatja, hogyan helyezheti üzembe és helyezheti üzembe az egyéni üzletági alkalmazásokat, a nem kiemelt SaaS-alkalmazásokat és a munkamenet-vezérlőkkel üzemeltetett helyszíni alkalmazásokat a Microsoft Entra alkalmazásproxyn keresztül. Lépéseket biztosít egy Microsoft Entra feltételes hozzáférési szabályzat létrehozásához, amely az alkalmazás munkameneteit Felhőhöz készült Defender-alkalmazásokhoz irányítja. Egyéb idP-megoldásokért lásd : Feltételes hozzáférésű alkalmazásvezérlés üzembe helyezése nem Microsoft-identitásszolgáltatóval rendelkező egyéni alkalmazásokhoz.

A Felhőhöz készült Defender-alkalmazások által kiemelt alkalmazások listájáért tekintse meg az alkalmazások védelme Felhőhöz készült Defender alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével című témakört.

Előfeltételek

Az előkészítési folyamat megkezdése előtt tegye a következőket:

Rendszergazdák hozzáadása az alkalmazás előkészítési/karbantartási listájához

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg az alkalmazásba bevezető felhasználók egyszerű nevét vagy e-mail-címét, majd válassza a Mentés lehetőséget.

    Képernyőkép az alkalmazások előkészítésének és karbantartásának beállításairól.

Ellenőrizze a szükséges licenceket

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

  • Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

  • Az alkalmazásoknak az alábbi hitelesítési protokollok egyikét kell használniuk:

    IdP Protokollok
    Microsoft Entra ID SAML 2.0 vagy OpenID Csatlakozás

Bármely alkalmazás üzembe helyezése

Ha Felhőhöz készült Defender Alkalmazások feltételes hozzáférés-vezérlése által vezérelendő alkalmazást szeretne létrehozni, a következőkre lesz szüksége:

Az alábbi lépéseket követve konfigurálhatja a Felhőhöz készült Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlője által vezérelni kívánt alkalmazásokat.

Feljegyzés

A Feltételes hozzáférésű alkalmazásvezérlő Microsoft Entra-alkalmazásokhoz való üzembe helyezéséhez érvényes licencre van szükség a P1 vagy újabb Microsoft Entra-azonosítóhoz, valamint egy Felhőhöz készült Defender Apps-licenchez.

A Microsoft Entra-azonosító konfigurálása a Felhőhöz készült Defender-alkalmazások használatához

Feljegyzés

Amikor SSO-val konfigurál egy alkalmazást a Microsoft Entra-azonosítóban vagy más identitásszolgáltatókban, a bejelentkezési URL-cím beállítása az egyik választhatóként felsorolt mező. Vegye figyelembe, hogy ez a mező szükséges lehet a feltételes hozzáférésű alkalmazásvezérlő működéséhez.

  1. A Microsoft Entra-azonosítóban keresse meg a biztonsági>feltételes hozzáférést.

  2. A Feltételes hozzáférés panel felső eszköztárán válassza az Új szabályzat létrehozása –> Új szabályzat létrehozása lehetőséget.

  3. Az Új panel Név szövegmezőjében adja meg a szabályzat nevét.

  4. A Hozzárendelések területen válassza ki a Felhasználók vagy számítási feladatok identitásait, rendelje hozzá az alkalmazáshoz az előkészítés alatt álló felhasználókat (kezdeti bejelentkezés és ellenőrzés), majd válassza a Kész lehetőséget.

  5. A Hozzárendelések területen válassza a Felhőalkalmazások vagy -műveletek lehetőséget, rendelje hozzá a vezérelni kívánt alkalmazásokat a feltételes hozzáférésű alkalmazásvezérlővel, majd válassza a Kész lehetőséget.

  6. A Hozzáférés-vezérlések területen válassza a Munkamenet lehetőséget, válassza a Feltételes hozzáférésű alkalmazásvezérlő használata lehetőséget, és válasszon egy beépített szabályzatot (Csak figyelés vagy Letöltések letiltása), vagy egyéni házirend használata speciális szabályzat beállításához az Felhőhöz készült Defender-alkalmazásokban, majd kattintson a Kiválasztás gombra.

    Microsoft Entra feltételes hozzáférés.

  7. Igény szerint adjon hozzá feltételeket, és adjon meg vezérlőket.

  8. Állítsa be a Házirend engedélyezése beállítást Be értékre, majd válassza a Létrehozás lehetőséget.

Az alkalmazáskatalógusban lévő alkalmazások automatikusan fel lesznek töltve a táblázatba Csatlakozás alkalmazások alatt. Jelentkezzen ki az alkalmazásból, ha aktív munkamenete van, és jelentkezzen be újra, hogy lehetővé tegye az alkalmazás felderítését. Ellenőrizze, hogy az üzembe helyezni kívánt alkalmazás felismerve van-e az ott való navigálással.

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások alatt válassza a Feltételes hozzáférésű alkalmazásvezérlő alkalmazásokat a hozzáférési és munkamenet-szabályzatokkal konfigurálható alkalmazások táblázatának eléréséhez.

    Feltételes hozzáférésű alkalmazásvezérlő alkalmazások.

  3. Válassza ki az Alkalmazást: Alkalmazások kiválasztása... legördülő menüt az üzembe helyezni kívánt alkalmazás szűréséhez és kereséséhez.

    Alkalmazás kiválasztása: Az alkalmazás kereséséhez válassza ki az alkalmazásokat.

  4. Ha nem látja az alkalmazást, manuálisan kell hozzáadnia.

Azonosítatlan alkalmazás manuális hozzáadása

  1. A szalagcímen válassza az Új alkalmazások megtekintése lehetőséget.

    A feltételes hozzáférésű alkalmazások vezérlője új alkalmazásokat tekint meg.

  2. Az új alkalmazások listájában jelölje ki a jelet, majd válassza a + Hozzáadás lehetőséget az egyes alkalmazásokhoz.

    Feljegyzés

    Ha egy alkalmazás nem jelenik meg a Felhőhöz készült Defender Alkalmazások alkalmazáskatalógusában, akkor az azonosítatlan alkalmazások párbeszédpanelen, valamint a bejelentkezési URL-cím alatt jelenik meg. Ha az alkalmazások + jelére kattint, egyéni alkalmazásként is előkészítheti az alkalmazást.

    A feltételes hozzáférésű alkalmazások vezérlése felderítette a Microsoft Entra-alkalmazásokat.

A megfelelő tartományok alkalmazáshoz való társítása lehetővé teszi Felhőhöz készült Defender alkalmazások számára a szabályzatok és a naplózási tevékenységek kikényszerítését.

Ha például olyan szabályzatot konfigurált, amely letiltja egy társított tartomány fájljainak letöltését, az alkalmazás által az adott tartományból származó fájlletöltések le lesznek tiltva. Az alkalmazás által az alkalmazás által az alkalmazáshoz nem társított tartományokból származó fájlletöltések azonban nem lesznek blokkolva, és a művelet nem lesz naplózva a tevékenységnaplóban.

Feljegyzés

Felhőhöz készült Defender Alkalmazások továbbra is hozzáad egy utótagot az alkalmazáshoz nem társított tartományokhoz a zökkenőmentes felhasználói élmény biztosítása érdekében.

  1. Az alkalmazáson belül az Felhőhöz készült Defender Alkalmazások felügyeleti eszköztárán válassza a Felderített tartományok lehetőséget.

    Válassza a Felderített tartományok lehetőséget.

    Feljegyzés

    A rendszergazdai eszköztár csak az alkalmazások előkészítésére vagy karbantartására jogosult felhasználók számára látható.

  2. A Felderített tartományok panelen jegyezze fel a tartományneveket, vagy exportálja a listát .csv fájlként.

    Feljegyzés

    A panel megjeleníti az alkalmazáshoz nem társított felderített tartományok listáját. A tartománynevek teljes mértékben minősítettek.

  3. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  4. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  5. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

    Képernyőkép az alkalmazás szerkesztéséről? Párbeszéd.

    Tipp.

    Az alkalmazásban konfigurált tartományok listájának megtekintéséhez válassza az Alkalmazástartományok megtekintése lehetőséget.

    • Felhasználó által definiált tartományok: Az alkalmazáshoz társított tartományok. Lépjen az alkalmazásra, és az Rendszergazda eszközsáv használatával azonosíthatja az alkalmazáshoz társított tartományokat, és megállapíthatja, hogy hiányzik-e valamelyik. Vegye figyelembe, hogy egy hiányzó tartomány miatt a védett alkalmazás nem jelenik meg megfelelően.
    • Engedélyezze az alkalmazás számára a munkamenet-vezérlők használatát: Az alkalmazás munkamenet-vezérlőkkel való használatának engedélyezése. Az alkalmazás előkészítésekor mindig győződjön meg arról, hogy ez be van jelölve.
    • Második bejelentkezés végrehajtása: Ha az alkalmazás nem műveletet használ, második bejelentkezésre van szükség a nem szándékos kezeléshez. A nem vagy a második bejelentkezést az alkalmazások használják annak biztosítására, hogy az idP által a felhasználó számára létrehozott bejelentkezési jogkivonatot csak egyszer lehessen használni, és ne lopják el és ne használják újra mások. A szolgáltató ellenőrzi a nonce-t, hogy megfeleljen a vártnak, és nem azt, amit a közelmúltban már használt, ami visszajátszási támadásra utalhat. Ha ezt választja, biztosítjuk, hogy egy második bejelentkezést aktiváljon egy utótagos munkamenetből, amely biztosítja a sikeres bejelentkezést. A jobb teljesítmény érdekében ezt engedélyezni kell.

    Képernyőkép az alkalmazás szerkesztéséről? Párbeszéd.

  6. A felhasználó által definiált tartományokban adja meg az alkalmazáshoz társítani kívánt összes tartományt, majd válassza a Mentés lehetőséget.

    Feljegyzés

    A * helyettesítő karaktert bármely karakter helyőrzőjeként használhatja. Tartományok hozzáadásakor döntse el, hogy adott tartományokat (,sub2.contoso.com) vagy több tartományt (sub1.contoso.com*.contoso.com) szeretne hozzáadni. Ez csak bizonyos tartományok*.contoso.com () esetében támogatott, legfelső szintű tartományok esetében (*.comnem).

  7. Ismételje meg az alábbi lépéseket az aktuális hitelesítésszolgáltató és a következő hitelesítésszolgáltató önaláírt főtanúsítványainak telepítéséhez.

    1. Válassza ki a tanúsítványt.
    2. Válassza a Megnyitás lehetőséget, és amikor a rendszer kéri, válassza újra a Megnyitás lehetőséget .
    3. Válassza a Tanúsítvány telepítése lehetőséget.
    4. Válassza az Aktuális felhasználó vagy a Helyi gép lehetőséget.
    5. Válassza az Összes tanúsítvány elhelyezése a következő tárolóban lehetőséget, majd válassza a Tallózás lehetőséget.
    6. Válassza a Megbízható főtanúsítvány-hatóságok lehetőséget, majd kattintson az OK gombra.
    7. Válassza a Befejezéslehetőséget.

    Feljegyzés

    Ahhoz, hogy a tanúsítványok felismerhetők legyenek, miután telepítette a tanúsítványt, újra kell indítania a böngészőt, és ugyanarra a lapra kell lépnie.

  8. Válassza a Folytatás lehetőséget.

  9. Ellenőrizze, hogy az alkalmazás elérhető-e a táblázatban.

    Előkészítés munkamenet-vezérléssel.

Annak ellenőrzéséhez, hogy az alkalmazás védett-e, először végezzen kemény kijelentkezéseket az alkalmazáshoz társított böngészőkből, vagy nyisson meg egy új böngészőt inkognitó módban.

Nyissa meg az alkalmazást, és hajtsa végre a következő ellenőrzéseket:

  • Ellenőrizze, hogy megjelenik-e a zárolás ikon a böngészőben, vagy ha nem a Microsoft Edge böngészőben dolgozik, ellenőrizze, hogy az alkalmazás URL-címe tartalmazza-e az .mcas utótagot. További információ: Böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).
  • Látogasson el az alkalmazás összes lapjára, amely egy felhasználó munkafolyamatának része, és ellenőrizze, hogy a lapok megfelelően jelennek-e meg.
  • Győződjön meg arról, hogy az alkalmazás viselkedését és működését nem befolyásolja hátrányosan az olyan gyakori műveletek végrehajtása, mint a fájlok letöltése és feltöltése.
  • Tekintse át az alkalmazáshoz társított tartományok listáját.

Ha hibák vagy problémák merülnek fel, a rendszergazdai eszköztár használatával gyűjtsön erőforrásokat, például .har fájlokat és rögzített munkameneteket a támogatási jegy benyújtásához.

Ha készen áll arra, hogy engedélyezze az alkalmazást a szervezet éles környezetében való használatra, hajtsa végre az alábbi lépéseket.

  1. A Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.
  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
  3. Az alkalmazások listájában, azon a sorban, amelyben az üzembe helyezni kívánt alkalmazás megjelenik, válassza ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.
  4. Válassza az Alkalmazás használata munkamenet-vezérlőkkel lehetőséget, majd válassza a Mentés lehetőséget.
  5. A Microsoft Entra ID-ban a Biztonság területen válassza a Feltételes hozzáférés lehetőséget.
  6. Frissítse a korábban létrehozott szabályzatot, hogy tartalmazza a szükséges felhasználókat, csoportokat és vezérlőket.
  7. Ha az Egyéni házirend használata lehetőséget választotta, a munkamenet-használat>feltételes hozzáférésű alkalmazásvezérlő területén lépjen Felhőhöz készült Defender Alkalmazások elemre, és hozzon létre egy megfelelő munkamenet-szabályzatot. További információ: Munkamenet-szabályzatok.

Következő lépések

ELŐZŐ: Feltételes hozzáférésű alkalmazásvezérlő üzembe helyezése katalógusalkalmazásokhoz

NEXT: Munkamenet-szabályzat létrehozása

Lásd még

Bevezetés a feltételes hozzáférésű alkalmazásvezérlésbe

Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.