Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji wykazu przy użyciu identyfikatora Entra firmy Microsoft

  • Artykuł

Kontrola dostępu i sesji w usłudze Microsoft Defender dla Chmury Apps współdziała z aplikacjami z katalogu aplikacji w chmurze i z aplikacjami niestandardowymi. Aby zapoznać się z listą aplikacji, które są wstępnie dołączone i działają poza tym rozwiązaniem, zobacz Ochrona aplikacji za pomocą kontroli dostępu warunkowego Defender dla Chmury Apps.

Wymagania wstępne

  • Aby móc korzystać z kontroli dostępu warunkowego, organizacja musi mieć następujące licencje:

  • Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

  • Aplikacje muszą używać jednego z następujących protokołów uwierzytelniania:

    Dostawca tożsamości Protokoły
    Microsoft Entra ID Połączenie SAML 2.0 lub OpenID
    Inne SAML 2.0

Konfigurowanie integracji identyfikatora entra firmy Microsoft

Uwaga

Podczas konfigurowania aplikacji przy użyciu logowania jednokrotnego w usłudze Microsoft Entra ID lub innych dostawców tożsamości jedno pole, które może być wymienione jako opcjonalne, to ustawienie adresu URL logowania. Należy pamiętać, że to pole może być wymagane do działania kontroli dostępu warunkowego aplikacji.

Wykonaj poniższe kroki, aby utworzyć zasady dostępu warunkowego firmy Microsoft Entra, które przekierowuje sesje aplikacji do Defender dla Chmury Apps. Aby zapoznać się z innymi rozwiązaniami dostawcy tożsamości, zobacz Konfigurowanie integracji z innymi rozwiązaniami dostawcy tożsamości.

  1. W usłudze Microsoft Entra ID przejdź do obszaru Dostęp warunkowy zabezpieczeń>.

  2. W okienku Dostęp warunkowy na pasku narzędzi u góry wybierz pozycję Nowe zasady -> Utwórz nowe zasady.

  3. W okienku Nowy w polu tekstowym Nazwa wprowadź nazwę zasad.

  4. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń i przypisz użytkowników i grupy, które będą dołączane (logowanie początkowe i weryfikacja) aplikacji.

  5. W obszarze Przypisania wybierz pozycję Aplikacje lub akcje w chmurze i przypisz aplikacje i akcje, które chcesz kontrolować za pomocą kontroli dostępu warunkowego aplikacji.

  6. W obszarze Kontrola dostępu wybierz pozycję Sesja, wybierz pozycję Użyj kontroli dostępu warunkowego aplikacji, a następnie wybierz wbudowane zasady (tylko monitorowanie (wersja zapoznawcza) lub Blokuj pobieranie (wersja zapoznawcza)) lub Użyj zasad niestandardowych, aby ustawić zaawansowane zasady w aplikacjach Defender dla Chmury, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający stronę dostęp warunkowy firmy Microsoft Entra.

  7. Opcjonalnie możesz dodać warunki i przyznać kontrolki zgodnie z wymaganiami.

  8. Ustaw pozycję Włącz zasady na Włączone , a następnie wybierz pozycję Utwórz.

Uwaga

Przed kontynuowaniem upewnij się, że najpierw wyloguj się z istniejących sesji.

Po utworzeniu zasad zaloguj się do każdej aplikacji skonfigurowanej w tych zasadach. Upewnij się, że logujesz się przy użyciu użytkownika skonfigurowanego w zasadach.

Defender dla Chmury Aplikacje będą synchronizować szczegóły zasad z serwerami dla każdej nowej aplikacji, do której się logujesz. Może to potrwać do jednej minuty.

Sprawdź, czy skonfigurowano mechanizmy kontroli dostępu i sesji

Powyższe instrukcje pomogły utworzyć wbudowane zasady Defender dla Chmury Apps dla aplikacji katalogu bezpośrednio w identyfikatorze Entra firmy Microsoft. W tym kroku sprawdź, czy kontrolki dostępu i sesji są skonfigurowane dla tych aplikacji.

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego. Przyjrzyj się kolumnie Dostępne kontrolki i sprawdź, czy w aplikacjach jest wyświetlana kontrola dostępu lub dostęp warunkowy usługi Azure AD, a także kontrola sesji.

    Jeśli aplikacja nie jest włączona dla kontrolki sesji, dodaj ją, wybierając pozycję Dołącz z kontrolką sesji i zaznaczając pozycję Użyj tej aplikacji z kontrolkami sesji. Na przykład:

    Zrzut ekranu przedstawiający dołączanie za pomocą kontrolki sesji.

Włączanie aplikacji do użycia w środowisku produkcyjnym

Gdy wszystko będzie gotowe, w tej procedurze opisano sposób włączania aplikacji do użycia w środowisku produkcyjnym organizacji.

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego. Na liście aplikacji w wierszu, w którym jest wyświetlana wdrażana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.

  3. Wybierz pozycję Włącz aplikację, aby pracować nad kontrolkami sesji, a następnie wybierz pozycję Zapisz. Na przykład:

    Zrzut ekranu przedstawiający edytowanie tej aplikacji? Okno dialogowe.

  4. Najpierw wyloguj się z istniejących sesji. Następnie spróbuj zalogować się do każdej aplikacji, która została pomyślnie wdrożona. Zaloguj się przy użyciu użytkownika zgodnego z zasadami skonfigurowanymi w usłudze Microsoft Entra ID lub dla aplikacji SAML skonfigurowanej przy użyciu dostawcy tożsamości.

  5. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności i upewnij się, że działania logowania są przechwytywane dla każdej aplikacji.

  6. Możesz filtrować, wybierając pozycję Zaawansowane, a następnie filtrując przy użyciu pozycji Źródło jest równa kontroli dostępu. Na przykład:

    Zrzut ekranu przedstawiający filtrowanie przy użyciu dostępu warunkowego firmy Microsoft Entra.

  7. Zalecamy zalogowanie się do aplikacji mobilnych i klasycznych z urządzeń zarządzanych i niezarządzanych. Ma to na celu upewnienie się, że działania są prawidłowo przechwytywane w dzienniku aktywności.

    Aby sprawdzić, czy działanie zostało prawidłowo przechwycone, wybierz działanie logowania jednokrotnego, aby otworzyć szufladę działania. Upewnij się, że tag Agent użytkownika prawidłowo odzwierciedla, czy urządzenie jest klientem natywnym (czyli aplikacją mobilną lub klasyczną), czy też urządzeniem zarządzanym (zgodnym, przyłączonym do domeny lub prawidłowym certyfikatem klienta).

Uwaga

Po wdrożeniu nie można usunąć aplikacji ze strony Kontrola dostępu warunkowego aplikacji. Jeśli nie ustawisz sesji ani zasad dostępu w aplikacji, kontrola aplikacji dostępu warunkowego nie zmieni żadnego zachowania aplikacji.

Następne kroki

« POPRZEDNI: Wprowadzenie do kontroli aplikacji dostępu warunkowego

DALEJ: Wdrażanie kontroli aplikacji dostępu warunkowego dla dowolnej aplikacji »

Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.