Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji usługi Azure ADDeploy Conditional Access App Control for Azure AD apps

«Poprzedni: Wprowadzenie do warunkowej kontroli dostępu do aplikacji« Previous: Introduction to Conditional Access App Control
Następnie: Jak utworzyć zasady sesji»Next: How to create a session policy »

Wykonaj następujące kroki, aby skonfigurować aplikacje usługi Azure AD będą kontrolowane przez Microsoft Cloud App Security kontroli dostępu warunkowego aplikacji.Follow these steps to configure Azure AD apps to be controlled by Microsoft Cloud App Security Conditional Access App Control.

Krok 1: przejdź do portalu usługi Azure AD i tworzenie zasad dostępu warunkowego dla aplikacji i kierowanie sesji, aby usługa Cloud App Security.Step 1: Go to the Azure AD portal and create a conditional access policy for the apps and route the session to Cloud App Security.

Krok 2: Zaloguj się przy użyciu zakresu zasad w aplikacjach użytkownika.Step 2: Sign in with a user scoped to the policy in the apps.

Krok 3: wróć do portalu Cloud App Security i wybierz powiadomienie transparent, aby dodać aplikacje.Step 3: Return to the Cloud App Security portal and select the banner notification to add the apps.

Krok 4: Tworzenie zasad dostępu lub Utwórz zasady sesji dla aplikacji w usłudze Cloud App Security.Step 4: Create an access policy or create a session policy for the apps in Cloud App Security.

Uwaga

Aby wdrażanie kontroli dostępu warunkowego aplikacji dla aplikacji usługi Azure AD, należy prawidłową licencję Azure AD Premium P1.To deploy the Conditional Access App Control for Azure AD apps, you need a valid license for Azure AD Premium P1.

Krok 1: Dodaj aplikacje usługi Azure AD w usłudze Cloud App Security Step 1: Add Azure AD apps in Cloud App Security

  1. Tworzenie dostępu warunkowego usługi Azure AD zasady testowe.Create an Azure AD conditional access TEST policy.

    1. W usłudze Azure Active Directory w obszarze zabezpieczeń, kliknij pozycję dostępu warunkowego.In Azure Active Directory, under Security, click on Conditional access.

      Dostęp warunkowy usługi Azure AD

    2. Kliknij przycisk nowe zasady i Utwórz nowe zasady, upewniając się, że w obszarze sesji wybierzesz Użyj kontroli dostępu warunkowego w aplikacji wymuszonych ograniczeń.Click New policy and create a new policy making sure that under Session you select Use Conditional Access App Control enforced restrictions.

      Dostęp warunkowy usługi Azure AD

    3. W zasadach testu w obszarze użytkowników, przypisz użytkownika testowego lub użytkownika, który może służyć do początkowego logowania jednokrotnego.In the TEST policy, under Users, assign a test user or user that can be used for an initial sign-on.

    4. W zasadach testu w obszarze aplikacji w chmurze, przypisać aplikacje, które mają do formantu za pomocą kontroli dostępu warunkowego aplikacji.In the TEST policy, under Cloud app, assign the apps you want to control with Conditional Access App Control.

      Uwaga

      Upewnij się, że możesz wybrać aplikacje, które są obsługiwane przez kontrolę dostępu warunkowego aplikacji.Make sure that you choose apps that are supported by Conditional Access App Control. Kontroli dostępu warunkowego aplikacji obsługuje aplikacje, które są skonfigurowane przy użyciu języka SAML i Open ID Connect aplikacji za pomocą logowania jednokrotnego w usłudze Azure AD.Conditional Access App Control supports apps that are configured with SAML and Open ID Connect apps with single sign-on in Azure AD.

Krok 2: Zaloguj się przy użyciu zakresu zasad w aplikacjach użytkownika. Step 2: Sign in with a user scoped to the policy in the apps

Po utworzeniu zasad, zaloguj się do każdej aplikacji skonfigurowany w ramach zasad z użytkownikiem, który został skonfigurowany w ramach zasad.After you created the policy, log in to each app configured in the policy with a user configured in the policy. Upewnij się, że najpierw zalogować się z istniejącej sesji.Make sure to first log out of existing sessions.

Krok 3: Powrót do portalu Cloud App Security i wybierz powiadomienie transparent, aby dodać aplikacje Step 3: Return to the Cloud App Security portal and select the banner notification to add the apps

  1. W portalu usługi Cloud App Security, przejdź do przypominającą koło zębate, a następnie wybierz kontroli dostępu warunkowego aplikacji.In the Cloud App Security portal, go to the settings cog and choose Conditional Access App Control.

    menu serwera proxy

  2. Powinien zostać wyświetlony komunikat z informacją o tym, że nowe aplikacje usługi Azure AD zostały odnalezione przez kontrolę dostępu warunkowego aplikacji.You should see a message letting you know that new Azure AD apps were discovered by Conditional Access App Control. Kliknij pozycję Wyświetl nowe aplikacje łącza.Click on the View new apps link.

    Warunkowego kontroli dostępu do aplikacji wyświetlanie nowych aplikacji

  3. W wyświetlonym oknie dialogowym można zobaczyć wszystkie aplikacje, które zalogowano w poprzednim kroku.In the dialog that opens, you can see all the apps that you logged into in the previous step. Dla każdej aplikacji, kliknij pozycję + Zaloguj się, a następnie kliknij przycisk Dodaj.For each app, click on the + sign, and then click Add.

    Nowe aplikacje warunkowego kontroli dostępu do aplikacji

    Uwaga

    Jeśli aplikacja nie zostanie wyświetlony w wykazie aplikacji usługa Cloud App Security, pojawi się w oknie dialogowym w obszarze aplikacje niezidentyfikowanych wraz z adresem URL logowania.If an app does not appear in the Cloud App Security app catalog, it will appear in the dialog under unidentified apps along with the login URL. Po kliknięciu znakiem + dla tych aplikacji będą mieć możliwość Proponuj dodanie aplikacji do katalogu.When clicking on the + sign for these apps, you will be able to suggest adding the app to the catalog. Po aplikacji znajduje się w katalogu, wykonaj czynności ponownie, aby wdrożyć aplikację.After the app is in the catalog, perform the steps again to deploy the app.

  4. W tabeli aplikacje kontroli dostępu warunkowego aplikacji Przyjrzyj się dostępne kontrolki kolumny i sprawdź, czy usługi Azure AD warunkowego dostępu i kontroli sesji.In the Conditional Access App Control apps table, look at the Available controls column and verify that both Azure AD conditional access and Session control appear.
    Jeśli nie ma kontroli sesji dla aplikacji, oznacza to, nie jest jeszcze dostępna dla tej konkretnej aplikacji i zostanie wyświetlony Żądaj kontroli sesji link.If Session control does not appear for an app, that means it's not yet available for that specific app and you will see the Request session control link instead. Kliknij go, aby otworzyć okno dialogowe i żądania przechodzenia do aplikacji do kontroli sesji.Click on it to open a dialog and request the onboarding of the app to session control. W tym scenariuszu proces dołączania odbędzie się wraz z możesz przez zespół usługi Microsoft Cloud App Security.In this scenario, the onboarding process will be performed together with you by the Microsoft Cloud App Security team.

    żądanie kontroli sesji

  5. Opcjonalnie — identyfikowanie urządzeń przy użyciu certyfikatów klienta:Optional - Identify devices using client certificates:

    1. Przejdź do koło zębate ustawienia i wybierz identyfikacji urządzenia.Go to the settings cog and choose Device identification.

    2. Przekaż certyfikat główny.Upload a root certificate.

      Identyfikacja urządzeń

      Po przekazaniu tego certyfikatu można utworzyć dostępu zasad zasad i sesji na podstawie tag urządzenia jest równe lub nierówne, prawidłowy certyfikat klienta.After the certificate is uploaded, you can create access policies and session policies based on Device tag equals or not equals, Valid client certificate.

      Uwaga

      Certyfikat tylko będzie wymagane przez użytkownika, jeśli zasady, które używa filtra certyfikatu prawidłowego klienta pasuje do sesji.A certificate will only be requested from a user if the session matches a policy that uses the valid client certificate filter.

Testowanie wdrożeniaTest the deployment

  1. Pierwszy dziennik z innych istniejących sesji.First log out of any existing sessions. Następnie spróbuj zalogować się do każdej aplikacji, który został pomyślnie wdrożony przy pomocy użytkownika, który pasuje do zasad skonfigurowanych w usłudze Azure AD.Then, try to log in to each app that was successfully deployed, using a user that matches the policy configured in Azure AD.

  2. W portalu Cloud App Security w obszarze zbadaj, wybierz opcję dziennika aktywnościi upewnij się, działań logowania są przechwytywane dla każdej aplikacji.In the Cloud App Security portal, under Investigate, select Activity log, and make sure the login activities are captured for each app.

  3. Można filtrować, klikając zaawansowane, a następnie filtrować przy użyciu źródła jest równe dostępu warunkowego usługi Azure Active Directory.You can filter by clicking on Advanced, and then filtering using Source equals Azure Active Directory conditional access.

    Filtruj przy użyciu dostępu warunkowego usługi Azure AD

  4. Zaleca się, że logujesz się do aplikacji mobilnych i klasycznych z urządzeń zarządzanych i niezarządzanych, aby upewnić się, że działania są prawidłowo przechwycone w dzienniku aktywności.It is recommended that you log into mobile and desktop apps from managed and unmanaged devices to make sure that the activities are properly captured in the activity log.
    Aby sprawdzić, czy działanie to zostanie prawidłowo zarejestrowane, kliknij jeden dziennik logowania jednokrotnego w działaniu tak, że spowoduje to otwarcie szuflady działań i upewnij się, że tag agenta użytkownika prawidłowo odzwierciedla, czy urządzenie jest klient natywny (co oznacza, albo aplikacji mobilnej lub klasycznej) lub urządzenie jest zarządzane urządzenia (zgodne, certyfikat klienta przyłączone do lub nieprawidłowy domeny).To verify that the activity is properly captured, click on a single sign-on log on activity so that it opens the activity drawer and make sure the User agent tag properly reflects whether the device is a native client (meaning either a mobile or desktop app) or the device is a managed device (compliant, domain joined, or valid client certificate).

    Testowanie tag agenta użytkownika

Teraz można przystąpić do tworzenia zasady dostępu i zasady sesji do kontrolowania aplikacji kontroli dostępu warunkowego aplikacji.You are now ready to create access policies and session policies to control your Conditional Access App Control apps.

«Poprzedni: Wprowadzenie do warunkowej kontroli dostępu do aplikacji« Previous: Introduction to Conditional Access App Control
Następnie: Jak utworzyć zasady sesji»Next: How to create a session policy »

Zobacz teżSee Also

Praca z kontroli Cloud App Security dostępu warunkowego aplikacjiWorking with the Cloud App Security Conditional Access App Control

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.