Menyebarkan Kontrol Aplikasi Akses Bersyarah untuk aplikasi katalog dengan Azure AD
Catatan
Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.
Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.
Kontrol akses dan sesi di Microsoft Defender for Cloud Apps berfungsi dengan aplikasi dari katalog aplikasi Cloud dan dengan aplikasi kustom. Untuk daftar aplikasi yang telah di-onboarding sebelumnya dan berfungsi di luar kotak, lihat Melindungi aplikasi dengan Kontrol Aplikasi Akses Bersyariah Defender untuk Cloud Apps.
Prasyarat
Organisasi Anda harus memiliki lisensi berikut untuk menggunakan Kontrol Aplikasi Akses Bersyarah:
- Azure Active Directory (Azure AD) Premium P1 atau lebih tinggi
- Microsoft Defender for Cloud Apps
Aplikasi harus dikonfigurasi dengan akses menyeluruh
Aplikasi harus menggunakan salah satu protokol autentikasi berikut:
IdP Protokol Microsoft Azure AD KONEKSI SAML 2.0 atau OpenID Lainnya SAML 2.0
Untuk menyebarkan aplikasi katalog
Ikuti langkah-langkah ini untuk mengonfigurasi aplikasi katalog yang akan dikontrol oleh Microsoft Defender for Cloud Apps Kontrol Aplikasi Akses Bersyarah.
Langkah 1: Mengonfigurasi Azure AD untuk bekerja dengan aplikasi Defender untuk Cloud
Langkah 2: Masuk ke setiap aplikasi menggunakan pengguna yang terlingkup dalam kebijakan
Langkah 3: Pastikan aplikasi dikonfigurasi untuk menggunakan kontrol akses dan sesi
Langkah 4: Aktifkan aplikasi untuk digunakan di organisasi Anda
Langkah 5: Uji penyebaran
Langkah 1: Mengonfigurasi Azure AD untuk bekerja dengan aplikasi Defender untuk Cloud
Mengonfigurasi integrasi dengan Azure AD
Catatan
Saat mengonfigurasi aplikasi dengan SSO di Azure AD, atau penyedia identitas lainnya, satu bidang yang mungkin tercantum sebagai opsional adalah pengaturan URL masuk. Perhatikan bahwa bidang ini mungkin diperlukan agar Kontrol Aplikasi Akses Bersyarat berfungsi.
Gunakan langkah-langkah berikut untuk membuat kebijakan Akses Bersyar Azure AD yang merutekan sesi aplikasi ke Defender untuk Cloud Apps. Untuk solusi IdP lainnya, lihat Mengonfigurasi integrasi dengan solusi IdP lainnya.
Di Azure AD, telusurike Akses BersyarahKeamanan>.
Pada panel Akses Bersyarah , di toolbar di bagian atas, pilih Kebijakan baru ->Buat kebijakan baru.
Pada panel Baru , di kotak teks Nama , masukkan nama kebijakan.
Di bawah Penugasan, pilih Pengguna atau identitas beban kerja dan tetapkan pengguna dan grup yang akan onboarding (masuk awal dan verifikasi) aplikasi.
Di bawah Penugasan, pilih Aplikasi atau tindakan cloud dan tetapkan aplikasi dan tindakan yang ingin Anda kontrol dengan Kontrol Aplikasi Akses Bersyarah.
Di bawah Kontrol akses, pilih Sesi, pilih Gunakan Kontrol Aplikasi AksesBersyarah, dan pilih kebijakan bawaan (Pantau saja (Pratinjau) atau Blokir unduhan (Pratinjau)) atau Gunakan kebijakan kustom untuk menetapkan kebijakan tingkat lanjut di Defender untuk Cloud Apps, lalu pilih Pilih.
Secara opsional, tambahkan kondisi dan berikan kontrol sesuai kebutuhan.
Atur Aktifkan kebijakan ke Aktif lalu pilih Buat.
Langkah 2: Masuk ke setiap aplikasi menggunakan pengguna yang terlingkup dalam kebijakan
Catatan
Sebelum melanjutkan, pastikan untuk terlebih dahulu keluar dari sesi yang ada.
Setelah Anda membuat kebijakan, masuk ke setiap aplikasi yang dikonfigurasi dalam kebijakan tersebut. Pastikan Anda masuk menggunakan pengguna yang dikonfigurasi dalam kebijakan.
Defender untuk Cloud Apps akan menyinkronkan detail kebijakan Anda ke servernya untuk setiap aplikasi baru yang Anda masuki. Ini mungkin memakan waktu hingga satu menit.
Langkah 3: Pastikan aplikasi dikonfigurasi untuk menggunakan kontrol akses dan sesi
Instruksi sebelumnya membantu Anda membuat kebijakan aplikasi Defender untuk Cloud bawaan untuk aplikasi katalog langsung di Azure AD. Dalam langkah ini, verifikasi bahwa kontrol akses dan sesi dikonfigurasi untuk aplikasi ini.
Di portal aplikasi Defender untuk Cloud, pilih cog
pengaturan , lalu pilih Kontrol Aplikasi Akses Bersyarah.Di tabel aplikasi Kontrol Aplikasi Akses Bersyarah, lihat kolom Kontrol yang tersedia dan verifikasi bahwa kontrol Akses atau Azure AD AksesBersyarah, dan Kontrol sesi muncul untuk aplikasi Anda.
Catatan
Jika kontrol sesi tidak muncul untuk aplikasi, kontrol sesi belum tersedia untuk aplikasi tertentu. Anda dapat langsung menambahkannya sebagai aplikasi kustom, atau Anda dapat membuka permintaan untuk menambahkannya sebagai aplikasi katalog dengan mengklik Minta kontrol sesi.
Langkah 4: Aktifkan aplikasi untuk digunakan di organisasi Anda
Setelah Anda siap mengaktifkan aplikasi untuk digunakan di lingkungan produksi organisasi Anda, lakukan langkah-langkah berikut.
Di Defender untuk Cloud Apps, pilih cog
pengaturan , lalu pilih Kontrol Aplikasi Akses Bersyarah.Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.
Pilih Gunakan dengan Kontrol Aplikasi Akses Bersyarah lalu pilih Simpan.
Langkah 5: Uji penyebaran
Pertama-tama keluar dari sesi yang ada. Kemudian, coba masuk ke setiap aplikasi yang berhasil disebarkan. Masuk menggunakan pengguna yang cocok dengan kebijakan yang dikonfigurasi di Azure AD, atau untuk aplikasi SAML yang dikonfigurasi dengan IdP Anda.
Di portal Defender untuk Cloud Apps, di bawah Selidiki, pilih Log aktivitas, dan pastikan aktivitas login diambil untuk setiap aplikasi.
Anda bisa memfilter dengan mengklik Tingkat Lanjut, lalu memfilter menggunakan Sumber sama dengan kontrol Akses.
Disarankan agar Anda masuk ke aplikasi seluler dan desktop dari perangkat terkelola dan tidak terkelola. Hal ini untuk memastikan bahwa aktivitas diambil dengan benar di log aktivitas.
Untuk memverifikasi bahwa aktivitas diambil dengan benar, pilih aktivitas masuk tunggal sehingga membuka laci aktivitas. Pastikan tag Agen pengguna mencerminkan dengan benar apakah perangkat adalah klien asli (artinya aplikasi seluler atau desktop) atau perangkat adalah perangkat terkelola (sesuai, bergabung dengan domain, atau sertifikat klien yang valid).
Catatan
Setelah disebarkan, Anda tidak dapat menghapus aplikasi dari halaman Kontrol Aplikasi Akses Bersyarah. Selama Anda tidak mengatur sesi atau kebijakan akses pada aplikasi, Kontrol Aplikasi Akses Bersyarah tidak akan mengubah perilaku apa pun untuk aplikasi.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.