Publicera och distribuera Appkontroll för villkorsstyrd åtkomst för alla apparOnboard and deploy Conditional Access App Control for any app

Gäller för: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Viktigt

Hot skydds produkt namn från Microsoft ändras.Threat protection product names from Microsoft are changing. Läs mer om det här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten inom en snar framtid.We'll be updating names in products and in the docs in the near future.

Sessionsbaserade i Microsoft Cloud App Security kan konfigureras för att fungera med alla webbappar.Session controls in Microsoft Cloud App Security can be configured to work with any web apps. Den här artikeln beskriver hur du installerar och distribuerar anpassade verksamhetsspecifika appar, icke-aktuella SaaS-appar och lokala appar som finns via Azure Active Directory (Azure AD) Application Proxy med session Controls.This article describes how to onboard and deploy custom line-of-business apps, non-featured SaaS apps, and on-premise apps hosted via the Azure Active Directory (Azure AD) Application Proxy with session controls.

En lista över appar som Cloud App Security för att fungera direkt finns i Skydda appar med Cloud App Security appkontroll för villkorsstyrd åtkomst.For a list of apps that are featured by Cloud App Security to work out-of-the-box, see Protect apps with Cloud App Security Conditional Access App Control.

FörutsättningarPrerequisites

  • Din organisation måste ha följande licenser för att kunna använda Appkontroll för villkorsstyrd åtkomst:Your organization must have the following licenses to use Conditional Access App Control:

  • Appar måste konfigureras med enkel inloggningApps must be configured with single sign-on

  • Appar måste använda något av följande autentiseringsprotokoll:Apps must use one of the following authentication protocols:

    IdPIdP ProtokollProtocols
    Azure ADAzure AD SAML 2,0 eller OpenID ConnectSAML 2.0 or OpenID Connect
    ÖvrigtOther SAML 2.0SAML 2.0

Distribuera en appTo deploy any app

Följ dessa steg om du vill konfigurera en app som ska kontrol leras av Cloud App Security Appkontroll för villkorsstyrd åtkomst.Follow these steps to configure any app to be controlled by Cloud App Security Conditional Access App Control.

Steg 1: Konfigurera din IDP så att den fungerar med Cloud App SecurityStep 1: Configure your IdP to work with Cloud App Security

Steg 2: Konfigurera de användare som ska distribuera appenStep 2: Configure the users that will deploy the app

Steg 3: Konfigurera appen som du distribuerarStep 3: Configure the app that you are deploying

Steg 4: kontrol lera att appen fungerar som den skaStep 4: Verify that the app is working correctly

Steg 5: Aktivera appen för användning i din organisationStep 5: Enable the app for use in your organization

Steg 6: Uppdatera Azure AD-principenStep 6: Update the Azure AD policy

Anteckning

Om du vill distribuera Appkontroll för villkorsstyrd åtkomst för Azure AD-appar behöver du en giltig licens för Azure Active Directory Premium P1 eller högre samt en Cloud App Security licens.To deploy Conditional Access App Control for Azure AD apps, you need a valid license for Azure Active Directory Premium P1 or higher as well as a Cloud App Security license.

Steg 1: Konfigurera din IdP så att den fungerar med Cloud App SecurityStep 1: Configure your IdP to work with Cloud App Security

Konfigurera integrering med Azure ADConfigure integration with Azure AD

Använd följande steg för att skapa en princip för villkorlig åtkomst för Azure AD som dirigerar programsessioner till Cloud App Security.Use the following steps to create an Azure AD Conditional Access policy that routes app sessions to Cloud App Security. Andra IdP-lösningar finns i Konfigurera integration med andra IDP-lösningar.For other IdP solutions, see Configure integration with other IdP solutions.

  1. I Azure AD kan du gå till säkerhet > villkorlig åtkomst.In Azure AD, browse to Security > Conditional Access.

  2. Klicka på ny princip i verktygsfältet längst upp i fönstret villkorsstyrd åtkomst .On the Conditional Access pane, in the toolbar at the top, click New policy.

  3. I text rutan nytt i rutan namn anger du namnet på principen.On the New pane, in the Name textbox, enter the policy name.

  4. Under tilldelningar klickar du på användare och grupper, tilldelar de användare som ska registreras (första inloggning och verifiering) appen och klickar sedan på färdig.Under Assignments, click Users and groups, assign the users that will be onboarding (initial sign on and verification) the app, and then click Done.

  5. Under tilldelningar klickar du på molnappar, tilldelar appar som du vill styra med appkontroll för villkorsstyrd åtkomst och klickar sedan på Slutför.Under Assignments, click Cloud apps, assign the apps you want to control with Conditional Access App Control, and then click Done.

  6. Under åtkomst kontroller klickar du på session, väljer Använd appkontroll för villkorsstyrd åtkomst och väljer en inbyggd princip (endast övervaka eller blockera hämtningar) eller Använd anpassad princip för att ange en avancerad princip i Cloud App Security och klicka sedan på Välj.Under Access controls, click Session, select Use Conditional Access App Control and choose a built-in policy (Monitor only or Block downloads) or Use custom policy to set an advanced policy in Cloud App Security, and then click Select.

    Azure AD villkorlig åtkomst

  7. Du kan också lägga till villkor och bevilja kontroller efter behov.Optionally, add conditions and grant controls as required.

  8. Ange Aktivera princip till och klicka sedan på skapa.Set Enable policy to On and then click Create.

Konfigurera integrering med andra IdP-lösningarConfigure integration with other IdP solutions

Använd följande steg för att dirigera programsessioner från andra IdP-lösningar till Cloud App Security.Use the following steps to route app sessions from other IdP solutions to Cloud App Security. Information om Azure AD finns i Konfigurera integrering med Azure AD.For Azure AD, see Configure integration with Azure AD. Exempel på hur du konfigurerar IdP-lösningar finns i Konfigurera din IDP.For examples of how to configuring IdP solutions, see Configuring your IdP.

  1. I Cloud App Security bläddrar du för att undersöka > anslutna appar > appkontroll för villkorsstyrd åtkomst appar.In Cloud App Security, browse to Investigate > Connected apps > Conditional Access App Control apps.

  2. Klicka på plus tecknet ( + ) och välj den app som du vill distribuera i popup-fönstret och klicka sedan på starta guiden.Click the plus sign (+), and in the pop-up, select the app you want to deploy, and then click Start Wizard.

  3. På sidan information om appar fyller du i formuläret med informationen från appens konfiguration för enkel inloggning på appen och klickar sedan på Nästa.On the APP INFORMATION page, fill out the form using the information from your app's single sign-on configuration page, and then click Next.

    • Om din IdP tillhandahåller en fil för enkel inloggning för den valda appen väljer du Ladda upp metadatafil från appen och laddar upp metadatafilen.If your IdP provides a single sign-on metadata file for the selected app, select Upload metadata file from the app and upload the metadata file.
    • Eller Välj Fyll i data manuellt och ange följande information:Or, select Fill in data manually and provide the following information:
      • URL för intygad konsument tjänstAssertion consumer service URL
      • Om din app tillhandahåller ett SAML-certifikat väljer du använd <app_name> SAML-certifikat och laddar upp certifikat filen.If your app provides a SAML certificate, select Use <app_name> SAML certificate and upload the certificate file.

    Skärm bild som visar sidan med information om appar

  4. På sidan identitetsprovider använder du de åtgärder som krävs för att skapa ett nytt program i din IDP-Portal och klickar sedan på Nästa.On the IDENTITY PROVIDER page, use the provided steps to set up a new application in your IdP's portal, and then click Next.

    1. Gå till IdP-portalen och skapa en ny anpassad SAML-app.Go to your IdP's portal and create a new custom SAML app.
    2. Kopiera konfigurationen för enkel inloggning för den befintliga <app_name> appen till den nya anpassade appen.Copy the single sign-on configuration of the existing <app_name> app to the new custom app.
    3. Tilldela användare till den nya anpassade appen.Assign users to the new custom app.
    4. Kopiera konfigurations informationen för appar för enkel inloggning, du behöver den i nästa steg.Copy the apps single sign-on configuration information, you'll need it in the next step.

    Skärm bild som visar informations sidan samla in identitets leverantör

    Anteckning

    De här stegen kan skilja sig något beroende på din identitets leverantör.These steps may differ slightly depending on your identity provider. Det här steget rekommenderas av följande anledningar:This step is recommended for the following reasons:

    • Vissa identitets leverantörer tillåter inte att du ändrar SAML-attribut eller URL-egenskaper för en Galleri appSome identity providers do not allow you to change the SAML attributes or URL properties of a gallery app
    • Genom att konfigurera en anpassad app kan du testa det här programmet med åtkomst-och session kontroller utan att ändra det befintliga beteendet för din organisation.Configuring a custom app enables you to test this application with access and session controls without changing the existing behavior for your organization.
  5. På nästa sida fyller du i formuläret med informationen från appens konfiguration för enkel inloggning och klickar sedan på Nästa.On the next page, fill out the form using the information from your app's single sign-on configuration page, and then click Next.

    • Om din IdP tillhandahåller en fil för enkel inloggning för den valda appen väljer du Ladda upp metadatafil från appen och laddar upp metadatafilen.If your IdP provides a single sign-on metadata file for the selected app, select Upload metadata file from the app and upload the metadata file.
    • Eller Välj Fyll i data manuellt och ange följande information:Or, select Fill in data manually and provide the following information:
      • URL för intygad konsument tjänstAssertion consumer service URL
      • Om din app tillhandahåller ett SAML-certifikat väljer du använd <app_name> SAML-certifikat och laddar upp certifikat filen.If your app provides a SAML certificate, select Use <app_name> SAML certificate and upload the certificate file.

    Skärm bild som visar sidan Ange information om identitets leverantör

  6. På nästa sida kopierar du följande information och klickar sedan på Nästa.On the next page, copy the following information, and then click Next. Du behöver informationen i nästa steg.You'll need the information in the next step.

    • URL för enkel inloggningSingle sign-on URL
    • Attribut och värdenAttributes and values

    Skärm bild som visar sidan samla in identitets leverantörer SAML-information

  7. Gör följande i din IdP-Portal:In your IdP's portal, do the following:

    Anteckning

    Inställningarna finns vanligt vis på IdP-portalens anpassade App Settings-sidaThe settings are commonly found in IdP portal's custom app settings page

    1. I fältet enkel inloggnings-URL anger du URL: en för enkel inloggning som du antecknade tidigare.In the single sign-on URL field, enter the single sign-on URL you made a note of earlier.

      Anteckning

      Vissa leverantörer kan referera till URL: en för enkel inloggning som svars-URL: en.Some providers may refer to the single sign-on URL as the Reply URL.

    2. Lägg till attribut och värden som du antecknade tidigare i appens egenskaper.Add the attributes and values you made a note of earlier to the app's properties.

      Anteckning

      • Vissa leverantörer kan referera till dem som användarattribut eller anspråk.Some providers may refer to them as User attributes or Claims.
      • När du skapar en ny SAML-app begränsar okta-identitetsprovider attributen till 1024 tecken.When creating a new SAML app, the Okta Identity Provider limits attributes to 1024 characters. För att undvika den här begränsningen måste du först skapa appen utan relevanta attribut.To mitigate this limitation, first create the app without the relevant attributes. När du har skapat appen redigerar du den och lägger sedan till relevanta attribut.After creating the app, edit it, and then add the relevant attributes.
    3. Verifiera att namn identifieraren är i formatet för e-postadressen.Verify that the name identifier is in the email address format.

    4. Spara inställningarna.Save your settings.

  8. På sidan ändringar av appen gör du följande och klickar sedan på Nästa.On the APP CHANGES page, do the following, and then click Next. Du behöver informationen i nästa steg.You'll need the information in the next step.

    • Kopiera URL: en för enkel inloggningCopy the Single sign-on URL
    • Hämta Cloud App Security SAML-certifikatetDownload the Cloud App Security SAML certificate

    Skärm bild som visar sidan samla in Cloud App Security SAML-information

  9. I appens Portal, på Inställningar för enkel inloggning, gör du följande:In your app's portal, on the single sign-on settings, do the following:

    1. Rekommenderas Skapa en säkerhets kopia av dina aktuella inställningar.[Recommended] Create a backup of your current settings.
    2. I fältet enkel inloggnings-URL anger du Cloud App Security URL för enkel inloggning som du antecknade tidigare.In the single sign-on URL field, enter the Cloud App Security single sign-on URL you made a note of earlier.
    3. Ladda upp det Cloud App Security SAML-certifikat som du laddade ned tidigare.Upload the Cloud App Security SAML certificate you downloaded earlier.

    Anteckning

    När du har sparat inställningarna dirigeras alla associerade inloggnings förfrågningar till den här appen via Appkontroll för villkorsstyrd åtkomst.After saving your settings, all associated login requests to this app will be routed through Conditional Access App Control.

Steg 2: Konfigurera de användare som ska distribuera appenStep 2: Configure the users that will deploy the app

  1. I Cloud App Security i meny raden klickar du på ikonen Inställningar kugg hjuls Inställningar och väljer Inställningar.In Cloud App Security, in the menu bar, click the settings cog settings icon and select Settings.

  2. Under appkontroll för villkorsstyrd åtkomst väljer du app onboarding/Maintenance.Under Conditional Access App Control, select App onboarding/maintenance.

  3. Ange User Principal Name eller e-postadress för de användare som ska registrera appen och klicka sedan på Spara.Enter the user principal name or email for the users that will be onboarding the app, and then click Save.

    Skärm bild av inställningar för onboarding och underhåll av appar.

Steg 3: Konfigurera appen som du distribuerarStep 3: Configure the app that you are deploying

Gå till den app som du distribuerar.Go to the app that you are deploying. Sidan som visas beror på om appen känns igen.The page you see depends on whether the app is recognized. Gör något av följande:Do one of the following:

App-statusApp status BeskrivningDescription StegSteps
OkändNot recognized En app som inte känns igen visas där du uppmanas att konfigurera din app.You will see an app not recognized page prompting you to configure your app. 1. Lägg till appen i appkontroll för villkorsstyrd åtkomst.1. Add the app to Conditional Access App Control.
2. Lägg till domänerna för appenoch gå sedan tillbaka till appen och uppdatera sidan.2. Add the domains for the app, and then return to the app and refresh the page.
3. installera certifikaten för appen.3. Install the certificates for the app.
GodkäntsRecognized Du kommer att se en onboarding-sida där du uppmanas att fortsätta med konfigurations processen för appen.You will see an onboarding page prompting you to continue the app configuration process. - Installera certifikaten för appen.- Install the certificates for the app.

Obs: Kontrol lera att appen är konfigurerad med alla domäner som krävs för att appen ska fungera korrekt.Note: Make sure the app is configured with all domains required for the app to function correctly. Om du vill konfigurera ytterligare domäner, Fortsätt att lägga till domänerna för appenoch gå sedan tillbaka till sidan app.To configure additional domains, proceed to Add the domains for the app, and then return to the app page.

Lägga till en ny appTo add a new app

  1. I meny raden klickar du på ikonen Inställningar kugg hjuls Inställningaroch väljer sedan appkontroll för villkorsstyrd åtkomst.In the menu bar, click the settings cog settings icon, and then select Conditional Access App Control.

  2. I banderollen klickar du på Visa nya appar.In the banner, click View new apps.

    App Control för villkorsstyrd åtkomst Visa nya appar

  3. I listan med nya appar, för varje app som du registrerar, klickar du på + signeringen och sedan på Lägg till.In the list of new apps, for each app that you are onboarding, click on the + sign, and then click Add.

    Anteckning

    Om en app inte visas i Cloud App Security App-katalogen visas den i dialog rutan under oidentifierade appar tillsammans med inloggnings-URL: en.If an app does not appear in the Cloud App Security app catalog, it will appear in the dialog under unidentified apps along with the login URL. När du klickar på +-tecknet för de här apparna kan du publicera programmet som en anpassad app.When you click the + sign for these apps, you can onboard the application as a custom app.

    App-kontroll för villkorlig åtkomst identifierade Azure AD-appar

Lägga till domäner för en appTo add domains for an app

Genom att associera rätt domäner till en app kan Cloud App Security tillämpa principer och gransknings aktiviteter.Associating the correct domains to an app allows Cloud App Security to enforce policies and audit activities.

Om du till exempel har konfigurerat en princip som blockerar hämtning av filer för en associerad domän, kommer fil hämtningar som hämtas av appen från domänen att blockeras.For example, if you have configured a policy that blocks downloading files for an associated domain, file downloads by the app from that domain will be blocked. Filer som hämtas av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitets loggen.However, file downloads by the app from domains not associated with the app will not be blocked and the action will not be audited in the activity log.

Anteckning

Cloud App Security lägger fortfarande till ett suffix till domäner som inte är kopplade till appen för att säkerställa en smidig användar upplevelse.Cloud App Security still adds a suffix to domains not associated with the app to ensure a seamless user experience.

  1. Klicka på identifierade domäner i verktygsfältet Cloud App Security administratör i appen.From within the app, on the Cloud App Security admin toolbar, click Discovered domains.

    Anteckning

    Verktygsfältet admin visas bara för användare med behörighet till onboard-eller Maintenance-appar.The admin toolbar is only visible to users with permissions to onboard or maintenance apps.

  2. På panelen identifierade domäner noterar du domän namn eller exporterar listan som en. csv-fil.In the Discovered domains panel, make a note of domain names or export the list as a .csv file.

    Anteckning

    Panelen visar en lista över identifierade domäner som inte är associerade i appen.The panel displays a list of discovered domains that are not associated in the app. Domän namnen är fullständigt kvalificerade.The domain names are fully qualified.

  3. Gå till Cloud App Security, klicka på ikonen Inställningar kugg hjuls Inställningar på Meny raden och välj appkontroll för villkorsstyrd åtkomst.Go to Cloud App Security, in the menu bar, click the settings cog settings icon and select Conditional Access App Control.
  4. I listan över appar väljer du de tre punkterna i slutet av raden i den rad där appen du distribuerar finns. Välj sedan Redigera under information om app.In the list of apps, on the row in which the app you are deploying appears, choose the three dots at the end of the row, and then under APP DETAILS, choose Edit.

    Tips

    Om du vill visa en lista över domäner som kon figurer ATS i appen klickar du på Visa app-domäner.To view the list of domains configured in the app, click View app domains.

  5. I användardefinierade domäner anger du alla domäner som du vill koppla till den här appen och klickar sedan på Spara.In User-defined domains, enter all the domains you want to associate with this app, and then click Save.

    Anteckning

    Du kan använda jokertecknet * som en plats hållare för alla bokstäver.You can use the * wildcard character as a placeholder for any character. När du lägger till domäner bestämmer du om du vill lägga till vissa domäner ( sub1.contoso.com , sub2.contoso.com ) eller flera domäner ( *.contoso.com ).When adding domains, decide whether you want to add specific domains (sub1.contoso.com,sub2.contoso.com) or multiple domains (*.contoso.com).

Installera rot certifikatTo install root certificates

  1. Upprepa följande steg för att installera den aktuella certifikat utfärdaren och självsignerade rot certifikat från certifikat utfärdaren .Repeat the following steps to install the Current CA and Next CA self-signed root certificates.

    1. Välj certifikatet.Select the certificate.
    2. Klicka på Öppna och när du uppmanas till det klickar du på Öppna igen.Click Open, and when prompted click Open again.
    3. Klicka på Installera certifikat.Click Install certificate.
    4. Välj antingen Aktuell användare eller lokal dator.Choose either Current User or Local Machine.
    5. Välj Placera alla certifikat i följande Arkiv och klicka sedan på Bläddra.Select Place all certificates in the following store and then click Browse.
    6. Välj betrodda rot certifikat utfärdare och klicka sedan på OK.Select Trusted Root Certificate Authorities and then click OK.
    7. Klicka på Finish.Click Finish.

    Anteckning

    För att certifikaten ska kunna identifieras när du har installerat certifikatet måste du starta om webbläsaren och gå till samma sida.For the certificates to be recognized, once you have installed the certificate, you must restart the browser and go to the same page.

  2. Klicka på Fortsätt.Click Continue.

Steg 4: kontrol lera att appen fungerar som den skaStep 4: Verify that the app is working correctly

  1. Kontrol lera att inloggnings flödet fungerar som det ska.Verify that the sign in flow works correctly.
  2. När du är i appen utför du följande kontroller:Once you are in the app, perform the following checks:
    1. Besök alla sidor i appen som ingår i en användares arbets process och kontrol lera att sidorna återges korrekt.Visit all pages within the app that are part of a users' work process and verify that the pages render correctly.
    2. Kontrol lera att appens beteende och funktioner inte påverkas negativt genom att utföra vanliga åtgärder som att ladda ned och ladda upp filer.Verify that the behavior and functionality of the app is not adversely affected by performing common actions such as downloading and uploading files.
    3. Granska listan över domäner som är associerade med appen.Review the list of domains associated with the app. Mer information finns i Lägg till domänerna för appen.For more information, see Add the domains for the app.

Steg 5: Aktivera appen för användning i din organisationStep 5: Enable the app for use in your organization

När du är redo att aktivera appen för användning i din organisations produktions miljö utför du följande steg.Once you are ready to enable the app for use in your organization's production environment, do the following steps.

  1. I Cloud App Security klickar du på ikonen Inställningar kugg hjuls  inställningar och väljer sedan appkontroll för villkorsstyrd åtkomst.In Cloud App Security, click the settings cog settings icon, and then select Conditional Access App Control.

  2. I listan över appar väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app på den rad där appen du distribuerar visas.In the list of apps, on the row in which the app you are deploying appears, choose the three dots at the end of the row, and then choose Edit app.

  3. Välj Använd med appkontroll för villkorsstyrd åtkomst och klicka sedan på Spara.Select Use with Conditional Access App Control and then click Save.

    Popup-fönstret aktivera sessions kontroller

Steg 6: Uppdatera Azure AD-principen (endast Azure AD)Step 6: Update the Azure AD policy (Azure AD only)

  1. I Azure AD, under säkerhet, klickar du på villkorlig åtkomst.In Azure AD, under Security, click Conditional Access.
  2. Uppdatera principen som du skapade tidigare för att inkludera relevanta användare, grupper och kontroller som du behöver.Update the policy you created earlier to include the relevant users, groups, and controls you require.
  3. Under session > använder appkontroll för villkorsstyrd åtkomst, om du har valt Använd anpassad princip, går du till Cloud App Security och skapar en motsvarande replikeringsprincip.Under Session > Use Conditional Access App Control, if you selected Use Custom Policy, go to Cloud App Security and create a corresponding session policy. Mer information finns i arbetsköprinciper.For more information, see Session policies.

Nästa stegNext steps

Se ävenSee also

Om du stöter på problem är vi här för att hjälpa dig.If you run into any problems, we're here to help. Öppna ett support ärendeom du vill ha hjälp eller support för produkt problemet.To get assistance or support for your product issue, please open a support ticket.