Distribuera Appkontroll för villkorsstyrd åtkomst för anpassade appar med Azure Active Directory

Anteckning

  • Vi har bytt namn på Microsoft Cloud App Security. Den heter nu Microsoft Defender for Cloud Apps. Under de kommande veckorna uppdaterar vi skärmbilderna och instruktionerna här och på relaterade sidor. Mer information om ändringen finns i det här meddelandet. Mer information om det senaste namnet på Microsofts säkerhetstjänster finns i Microsoft Ignite Security-bloggen.

  • Microsoft Defender for Cloud Apps ingår nu i Microsoft 365 Defender. Med Microsoft 365 Defender portalen kan säkerhetsadministratörer utföra sina säkerhetsuppgifter på en plats. Detta förenklar arbetsflöden och lägger till funktionerna i de andra Microsoft 365 Defender tjänsterna. Microsoft 365 Defender kommer att vara startsidan för övervakning och hantering av säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur. Mer information om dessa ändringar finns i Microsoft Defender for Cloud Apps i Microsoft 365 Defender.

Sessionskontroller i Microsoft Defender for Cloud Apps kan konfigureras för att fungera med alla webbappar. Den här artikeln beskriver hur du registrerar och distribuerar anpassade verksamhetsspecifika appar, icke-aktuella SaaS-appar och lokala appar som hanteras via Azure Active Directory (Azure AD) Programproxy med sessionskontroller. Den innehåller steg för att skapa en Azure AD princip för villkorsstyrd åtkomst som dirigerar appsessioner till Defender för molnet-appar. Andra IdP-lösningar finns i Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med icke-Microsoft IdP.

En lista över appar som visas av Defender för molnet Appar för att fungera direkt finns i Skydda appar med Defender för molnet Apps Villkorlig åtkomstappkontroll.

Förutsättningar

Lägga till administratörer i appens registrerings-/underhållslista

  1. I menyraden i Defender för molnet Apps väljer du kugghjulet settings icon 4 för inställningar och väljer Inställningar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange användarens huvudnamn eller e-postadress för de användare som ska registrera appen och välj sedan Spara.

    Screenshot of settings for App onboarding and maintenance.

Sök efter nödvändiga licenser

  • Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:

  • Appar måste konfigureras med enkel inloggning

  • Appar måste använda något av följande autentiseringsprotokoll:

    IdP Protokoll
    Azure AD SAML 2.0 eller OpenID Anslut

Så här distribuerar du alla appar

Följ dessa steg för att konfigurera alla appar som ska styras av Defender för molnet Apps Conditional Access App Control.

  1. Konfigurera din Azure AD så att den fungerar med Defender för molnet Apps

  2. Konfigurera den app som du distribuerar

  3. Kontrollera att appen fungerar korrekt

  4. Aktivera appen för användning i din organisation

  5. Uppdatera Azure AD-principen

Anteckning

Om du vill distribuera appkontroll för villkorlig åtkomst för Azure AD appar behöver du en giltig licens för Azure Active Directory Premium P1 eller senare samt en licens för Defender för molnet Apps.

Steg 1: Konfigurera Azure AD att fungera med Defender för molnet Apps

Anteckning

När du konfigurerar ett program med enkel inloggning i Azure AD eller andra identitetsprovidrar är ett fält som kan anges som valfritt inställningen för inloggnings-URL. Observera att det här fältet kan krävas för att appkontrollen för villkorsstyrd åtkomst ska fungera.

  1. I Azure AD bläddrar du tillVillkorlig åtkomst för säkerhet>.

  2. I fönstret Villkorsstyrd åtkomst går du till verktygsfältet längst upp och väljer Ny princip –>Skapa ny princip.

  3. I fönstret Nytt i textrutan Namn anger du principnamnet.

  4. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter, tilldelar de användare som ska registreras (inledande inloggning och verifiering) appen och väljer sedan Klar.

  5. Under Tilldelningar väljer du Molnappar eller åtgärder, tilldelar de appar som du vill styra med appkontrollen för villkorsstyrd åtkomst och väljer sedan Klar.

  6. Under Åtkomstkontroller väljer du Session, Använder appkontroll för villkorsstyrd åtkomst och väljer en inbyggd princip (endast övervaka eller Blockera nedladdningar) eller Använd anpassad princip för att ange en avancerad princip i Defender för molnet Apps och klicka sedan på Välj.

    Azure AD conditional access.

  7. Du kan också lägga till villkor och bevilja kontroller efter behov.

  8. Ange Aktivera princip till och välj sedan Skapa.

Steg 2: Lägg till appen manuellt och installera certifikat om det behövs

Program i appkatalogen fylls automatiskt i i tabellen under Anslutna appar. Kontrollera att den app som du vill distribuera identifieras genom att navigera dit.

  1. I menyraden i Defender för molnet Apps väljer du kugghjulet settings icon 1för inställningar och väljer fliken Appkontroll för villkorsstyrd åtkomst för att komma åt en tabell med program som kan konfigureras med åtkomst- och sessionsprinciper.

    Conditional access app control apps

  2. Välj listrutan App: Välj appar... för att filtrera och söka efter den app som du vill distribuera.

    Select App: Select apps to search for the app

  3. Om du inte ser appen där måste du lägga till den manuellt.

Lägga till en oidentifierad app manuellt

  1. I banderollen väljer du Visa nya appar.

    Conditional access app control view new apps

  2. I listan över nya appar väljer du tecknet för varje app som du + registrerar och väljer sedan Lägg till.

    Anteckning

    Om en app inte visas i Defender för molnet Apps-appkatalogen visas den i dialogrutan under oidentifierade appar tillsammans med inloggnings-URL:en. När du klickar på +-tecknet för dessa appar kan du registrera programmet som en anpassad app.

    Conditional access app control discovered Azure AD apps

Så här lägger du till domäner för en app

Genom att koppla rätt domäner till en app kan Defender för molnet Appar framtvinga principer och granskningsaktiviteter.

Om du till exempel har konfigurerat en princip som blockerar nedladdning av filer för en associerad domän blockeras filnedladdningar av appen från den domänen. Filnedladdningar av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitetsloggen.

Anteckning

Defender för molnet Apps lägger fortfarande till ett suffix till domäner som inte är associerade med appen för att säkerställa en sömlös användarupplevelse.

  1. Välj Identifierade domäner i verktygsfältet Defender för molnet Apps-administratör i appen.

    Anteckning

    Administratörsverktygsfältet är endast synligt för användare med behörighet att registrera eller underhålla appar.

  2. I panelen Identifierade domäner antecknar du domännamn eller exporterar listan som en .csv fil.

    Anteckning

    Panelen visar en lista över identifierade domäner som inte är associerade i appen. Domännamnen är fullständigt kvalificerade.

  3. Gå till Defender för molnet Appar, välj inställnings kugghjulet settings icon 2 i menyraden och välj Appkontroll för villkorsstyrd åtkomst.
  4. Välj de tre punkterna i slutet av raden på raden där appen du distribuerar i listan. Välj sedan Redigera under APPINFORMATION.

    Tips

    Om du vill visa listan över domäner som konfigurerats i appen väljer du Visa appdomäner.

  5. I Användardefinierade domäner anger du alla domäner som du vill associera med den här appen och väljer sedan Spara.

    Anteckning

    Du kan använda jokertecknet * som platshållare för valfritt tecken. När du lägger till domäner bestämmer du om du vill lägga till specifika domäner (sub1.contoso.com,sub2.contoso.com) eller flera domäner (*.contoso.com).

Installera rotcertifikat

  1. Upprepa följande steg för att installera den aktuella certifikatutfärdare och nästa ca självsignerade rotcertifikat.

    1. Välj certifikatet.
    2. Välj Öppna och välj Öppna igen när du uppmanas till det.
    3. Välj Installera certifikat.
    4. Välj antingen Aktuell användare eller Lokal dator.
    5. Välj Placera alla certifikat i följande arkiv och välj sedan Bläddra.
    6. Välj Betrodda rotcertifikatutfärdare och välj sedan OK.
    7. Välj Slutför.

    Anteckning

    För att certifikaten ska identifieras måste du starta om webbläsaren och gå till samma sida när du har installerat certifikatet.

  2. Välj Fortsätt.

  3. Kontrollera att programmet är tillgängligt i tabellen.

    Check if app is available in table

Steg 3: Kontrollera att appen fungerar korrekt

Kontrollera att programmet är proxierat genom att först antingen utföra en hård utloggning av webbläsare som är associerade med programmet eller öppna en ny webbläsare med inkognitoläge.

Öppna programmet och utför följande kontroller:

  • Kontrollera att URL:en innehåller suffixet .mcas
  • Besök alla sidor i appen som ingår i en användares arbetsprocess och kontrollera att sidorna återges korrekt.
  • Kontrollera att appens beteende och funktioner inte påverkas negativt av vanliga åtgärder som att ladda ned och ladda upp filer.
  • Granska listan över domäner som är associerade med appen. Mer information finns i Lägga till domäner för appen.

Om du stöter på fel eller problem använder du administratörsverktygsfältet för att samla in resurser som .har filer och inspelade sessioner för att skicka in en supportbegäran.

Steg 4: Aktivera appen för användning i din organisation

Gör följande när du är redo att aktivera appen för användning i organisationens produktionsmiljö.

  1. I Defender för molnet Apps väljer du inställnings kugghjulet settings icon 3och sedan Appkontroll för villkorsstyrd åtkomst.

  2. I listan över appar, på raden där appen du distribuerar visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

  3. Välj Använd med appkontroll för villkorsstyrd åtkomst och välj sedan Spara.

    Enable session controls pop-up

Steg 5: Uppdatera Azure AD-principen

  1. I Azure AD går du till Säkerhet och väljer Villkorsstyrd åtkomst.
  2. Uppdatera principen som du skapade tidigare för att inkludera relevanta användare, grupper och kontroller som du behöver.
  3. Om du har valt Använd anpassad princip under SessionUse Conditional Access App Control (Använd > appkontroll för villkorsstyrd åtkomst) går du till Defender för molnet Apps och skapar en motsvarande sessionsprincip. Mer information finns i Sessionsprinciper.

Nästa steg

Se även

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.