Menyebarkan Kontrol Aplikasi Akses Bersyarat untuk aplikasi kustom menggunakan Azure Active Directory

  • Artikel
  • 7 menit untuk membaca

Catatan

  • Kami telah mengganti nama Microsoft Cloud App Security. Sekarang disebut Microsoft Defender for Cloud Apps. Dalam beberapa minggu mendatang, kami akan memperbarui cuplikan layar dan instruksi di sini dan di halaman terkait. Untuk informasi selengkapnya tentang perubahan tersebut, lihat pengumuman ini. Untuk mempelajari selengkapnya tentang penggantian nama layanan keamanan Microsoft baru-baru ini, lihat blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps sekarang menjadi bagian dari Pertahanan Microsoft 365. Portal Pertahanan Microsoft 365 memungkinkan admin keamanan untuk melakukan tugas keamanan mereka di satu lokasi. Ini akan menyederhanakan alur kerja, dan menambahkan fungsionalitas layanan Pertahanan Microsoft 365 lainnya. Pertahanan Microsoft 365 akan menjadi rumah bagi pemantauan dan pengelolaan keamanan di seluruh identitas, data, perangkat, aplikasi, dan infrastruktur Microsoft Anda. Untuk informasi selengkapnya tentang perubahan ini, lihat Microsoft Defender for Cloud Apps di Pertahanan Microsoft 365.

Kontrol sesi di Microsoft Defender for Cloud Apps dapat dikonfigurasi untuk bekerja dengan aplikasi web apa pun. Artikel ini menjelaskan cara onboarding dan menyebarkan aplikasi lini bisnis kustom, aplikasi SaaS non-fitur, dan aplikasi lokal yang dihosting melalui Proksi Aplikasi Azure Active Directory (Azure AD) dengan kontrol sesi. Ini menyediakan langkah-langkah untuk membuat kebijakan Akses Bersyar Azure AD yang merutekan sesi aplikasi ke Defender untuk Cloud Apps. Untuk solusi IdP lainnya, lihat Menyebarkan Kontrol Aplikasi Akses Bersyarah untuk aplikasi kustom dengan IdP non-Microsoft.

Untuk daftar aplikasi yang ditampilkan oleh aplikasi Defender untuk Cloud agar berfungsi secara langsung, lihat Melindungi aplikasi dengan Kontrol Aplikasi Akses Bersyarkat Defender untuk Cloud Apps.

Prasyarat

Menambahkan admin ke daftar onboarding/pemeliharaan aplikasi

  1. Di bilah menu Defender untuk Cloud Apps, pilih pengaturan cog settings icon 4 dan pilih Pengaturan.

  2. Di bawah Kontrol Aplikasi Akses Bersyar, pilih Onboarding/pemeliharaan aplikasi.

  3. Masukkan nama prinsipal pengguna atau email untuk pengguna yang akan melakukan onboarding aplikasi, lalu pilih Simpan.

    Screenshot of settings for App onboarding and maintenance.

Periksa lisensi yang diperlukan

  • Organisasi Anda harus memiliki lisensi berikut untuk menggunakan Kontrol Aplikasi Akses Bersyarah:

  • Aplikasi harus dikonfigurasi dengan akses menyeluruh

  • Aplikasi harus menggunakan salah satu protokol autentikasi berikut:

    IdP Protokol
    Microsoft Azure AD KONEKSI SAML 2.0 atau OpenID

Untuk menyebarkan aplikasi apa pun

Ikuti langkah-langkah ini untuk mengonfigurasi aplikasi apa pun yang akan dikontrol oleh Defender untuk Cloud Apps Conditional Access App Control.

  1. Mengonfigurasi Azure AD Anda untuk bekerja dengan Defender untuk Cloud Apps

  2. Mengonfigurasi aplikasi yang Anda sebarkan

  3. Verifikasi bahwa aplikasi berfungsi dengan benar

  4. Mengaktifkan aplikasi untuk digunakan di organisasi Anda

  5. Memperbarui kebijakan Azure AD

Catatan

Untuk menyebarkan Kontrol Aplikasi Akses Bersyarah untuk aplikasi Azure AD, Anda memerlukan lisensi yang valid untuk Azure Active Directory Premium P1 atau lebih tinggi serta lisensi Defender untuk Cloud Apps.

Langkah 1: Mengonfigurasi Azure AD untuk bekerja dengan aplikasi Defender untuk Cloud

Catatan

Saat mengonfigurasi aplikasi dengan SSO di Azure AD, atau penyedia identitas lainnya, satu bidang yang mungkin tercantum sebagai opsional adalah pengaturan URL masuk. Perhatikan bahwa bidang ini mungkin diperlukan agar Kontrol Aplikasi Akses Bersyarat berfungsi.

  1. Di Azure AD, telusurike Akses BersyarahKeamanan>.

  2. Pada panel Akses Bersyarah , di toolbar di bagian atas, pilih Kebijakan baru ->Buat kebijakan baru.

  3. Pada panel Baru , di kotak teks Nama , masukkan nama kebijakan.

  4. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja, tetapkan pengguna yang akan onboarding (masuk awal dan verifikasi) aplikasi, lalu pilih Selesai.

  5. Di bawah Penugasan, pilih Aplikasi atau tindakan cloud, tetapkan aplikasi yang ingin Anda kontrol dengan Kontrol Aplikasi Akses Bersyarah, lalu pilih Selesai.

  6. Di bawah Kontrol akses, pilih Sesi, pilih Gunakan Kontrol Aplikasi Akses Bersyarah, dan pilih kebijakan bawaan (Pantau saja atau Blokir unduhan) atau Gunakan kebijakan kustom untuk menetapkan kebijakan tingkat lanjut di Defender untuk Cloud Apps, lalu klik Pilih.

    Azure AD conditional access.

  7. Secara opsional, tambahkan kondisi dan berikan kontrol sesuai kebutuhan.

  8. Atur Aktifkan kebijakan ke Aktif lalu pilih Buat.

Langkah 2: Tambahkan aplikasi secara manual dan instal sertifikat, jika perlu

Aplikasi dalam katalog aplikasi secara otomatis diisi ke dalam tabel di bawah Connected Apps. Periksa apakah aplikasi yang ingin Anda sebarkan dikenali dengan menavigasi ke sana.

  1. Di bilah menu Defender untuk Cloud Apps, pilih pengaturan cog settings icon 1, dan pilih tab Kontrol Aplikasi Akses Bersyarah untuk mengakses tabel aplikasi yang dapat dikonfigurasi dengan kebijakan akses dan sesi.

    Conditional access app control apps

  2. Pilih menu dropdown Aplikasi: Pilih aplikasi... untuk memfilter dan mencari aplikasi yang ingin Anda sebarkan.

    Select App: Select apps to search for the app

  3. Jika Anda tidak melihat aplikasi di sana, Anda harus menambahkannya secara manual.

Cara menambahkan aplikasi yang tidak teridentifikasi secara manual

  1. Di banner, pilih Tampilkan aplikasi baru.

    Conditional access app control view new apps

  2. Dalam daftar aplikasi baru, untuk setiap aplikasi yang Sedang Anda onboarding, pilih + tanda, lalu pilih Tambahkan.

    Catatan

    Jika aplikasi tidak muncul di katalog aplikasi Defender untuk Cloud Apps, aplikasi tersebut akan muncul dalam dialog di bawah aplikasi yang tidak dikenal bersama dengan URL masuk. Saat anda klik tanda + untuk aplikasi ini, Anda dapat onboarding aplikasi sebagai aplikasi kustom.

    Conditional access app control discovered Azure AD apps

Untuk menambahkan domain untuk aplikasi

Mengaitkan domain yang benar ke aplikasi memungkinkan aplikasi Defender untuk Cloud untuk menerapkan kebijakan dan aktivitas audit.

Misalnya, jika Anda telah mengonfigurasi kebijakan yang memblokir pengunduhan file untuk domain terkait, unduhan file oleh aplikasi dari domain tersebut akan diblokir. Namun, unduhan file oleh aplikasi dari domain yang tidak terkait dengan aplikasi tidak akan diblokir dan tindakan tidak akan diaudit di log aktivitas.

Catatan

Defender untuk Cloud Apps masih menambahkan akhiran ke domain yang tidak terkait dengan aplikasi untuk memastikan pengalaman pengguna yang mulus.

  1. Dari dalam aplikasi, pada toolbar admin Defender untuk Cloud Apps, pilih Domain yang ditemukan.

    Catatan

    Toolbar admin hanya terlihat oleh pengguna dengan izin untuk onboarding atau aplikasi pemeliharaan.

  2. Di panel Domain yang ditemukan, catat nama domain atau ekspor daftar sebagai file .csv.

    Catatan

    Panel menampilkan daftar domain yang ditemukan yang tidak terkait dalam aplikasi. Nama domain sepenuhnya memenuhi syarat.

  3. Buka Defender untuk Cloud Apps, di bilah menu, pilih pengaturan cog settings icon 2 dan pilih Kontrol Aplikasi Akses Bersyarah.
  4. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu di bawah DETAIL APLIKASI, pilih Edit.

    Tip

    Untuk melihat daftar domain yang dikonfigurasi di aplikasi, pilih Tampilkan domain aplikasi.

  5. Di Domain yang ditentukan pengguna, masukkan semua domain yang ingin Anda kaitkan dengan aplikasi ini, lalu pilih Simpan.

    Catatan

    Anda dapat menggunakan karakter kartubebas * sebagai tempat penampung untuk karakter apa pun. Saat menambahkan domain, putuskan apakah Anda ingin menambahkan domain tertentu (sub1.contoso.com,sub2.contoso.com) atau beberapa domain (*.contoso.com).

Menginstal sertifikat akar

  1. Ulangi langkah-langkah berikut untuk menginstal sertifikat akar ca saat ini dan CA berikutnya yang ditandatangani sendiri.

    1. Pilih sertifikat.
    2. Pilih Buka, dan saat diminta pilih Buka lagi.
    3. Pilih Instal sertifikat.
    4. Pilih Pengguna Saat Ini atau Komputer Lokal.
    5. Pilih Tempatkan semua sertifikat di penyimpanan berikut lalu pilih Telusuri.
    6. Pilih Otoritas Sertifikat Akar Tepercaya lalu pilih OK.
    7. Pilih Selesai.

    Catatan

    Agar sertifikat dikenali, setelah menginstal sertifikat, Anda harus menghidupkan ulang browser dan masuk ke halaman yang sama.

  2. Pilih Lanjutkan.

  3. Periksa apakah aplikasi tersedia dalam tabel.

    Check if app is available in table

Langkah 3: Verifikasi bahwa aplikasi berfungsi dengan benar

Untuk memverifikasi bahwa aplikasi sedang diproksi, pertama-tama lakukan hard sign-out browser yang terkait dengan aplikasi atau buka browser baru dengan mode penyamaran.

Buka aplikasi dan lakukan pemeriksaan berikut:

  • Periksa apakah URL berisi akhiran .mcas
  • Kunjungi semua halaman dalam aplikasi yang merupakan bagian dari proses kerja pengguna dan verifikasi bahwa halaman dirender dengan benar.
  • Verifikasi bahwa perilaku dan fungsionalitas aplikasi tidak terpengaruh secara merugikan dengan melakukan tindakan umum seperti mengunduh dan mengunggah file.
  • Tinjau daftar domain yang terkait dengan aplikasi. Untuk informasi selengkapnya, lihat Menambahkan domain untuk aplikasi.

Jika Anda mengalami kesalahan atau masalah, gunakan toolbar admin untuk mengumpulkan sumber daya seperti .har file dan sesi yang direkam untuk mengajukan tiket dukungan.

Langkah 4: Aktifkan aplikasi untuk digunakan di organisasi Anda

Setelah Anda siap mengaktifkan aplikasi untuk digunakan di lingkungan produksi organisasi Anda, lakukan langkah-langkah berikut.

  1. Di Defender untuk Cloud Apps, pilih cog settings icon 3pengaturan , lalu pilih Kontrol Aplikasi Akses Bersyar.

  2. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda sebarkan muncul, pilih tiga titik di akhir baris, lalu pilih Edit aplikasi.

  3. Pilih Gunakan dengan Kontrol Aplikasi Akses Bersyar lalu pilih Simpan.

    Enable session controls pop-up

Langkah 5: Memperbarui kebijakan Azure AD

  1. Di Azure AD, di bawah Keamanan, pilih Akses Bersyar.
  2. Perbarui kebijakan yang Anda buat sebelumnya untuk menyertakan pengguna, grup, dan kontrol yang relevan yang Anda butuhkan.
  3. Di bawah Sesi>Gunakan Kontrol Aplikasi Akses Bersyar, jika Anda memilih Gunakan Kebijakan Kustom, buka Defender untuk Cloud Apps dan buat kebijakan sesi yang sesuai. Untuk informasi selengkapnya, lihat Kebijakan sesi.

Langkah berikutnya

SEBELUMNYA: Menyebarkan Kontrol Aplikasi Akses Bersyar untuk aplikasi katalog

BERIKUTNYA: Cara membuat kebijakan sesi

Lihat juga

Pengantar Kontrol Aplikasi Akses Bersyar

Pemecahan masalah akses dan kontrol sesi

Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, silakan buka tiket dukungan.