为特色应用部署条件访问应用控制

适用范围:Microsoft Cloud App Security

重要

Microsoft 提供的威胁防护产品名称即将发生变化。 请参阅此处,详细了解此更新及其他更新。 我们将在不久的将来更新产品和文档中的名称。

应用程序中的会话Microsoft Cloud App Security功能应用。 有关由应用云应用安全开箱即用的应用列表,请参阅使用云应用安全 条件访问应用控制。

先决条件

  • 组织必须具有以下许可证,以使用条件访问应用控制:

  • 应用必须配置单一登录

  • 应用必须使用以下身份验证协议之一:

    IdP 协议
    Azure AD SAML 2.0 或 OpenID Connect
    其他 SAML 2.0

按照以下步骤将精选应用配置为由 Microsoft Cloud App Security 条件访问应用控制。

步骤 1:配置 IdP 以使用 云应用安全

步骤 2:使用范围为策略的用户 登录到每个应用

步骤 3:验证应用是否配置为使用访问和会话控制

步骤 4:启用应用以在组织中使用

步骤 5:测试部署

步骤 1:配置 IdP 以使用 云应用安全

配置与 Azure AD

备注

在 Azure AD 或其他标识提供者中配置具有 SSO 的应用程序时,可能列为可选字段的一个字段是登录 URL 设置。 请注意,可能需要此字段条件访问应用控制才能正常工作。

使用以下步骤创建一个Azure AD访问策略,将应用会话路由到云应用安全。 有关其他 IdP 解决方案,请参阅 配置与其他 IdP 解决方案的集成

  1. 在Azure AD中,浏览到"安全 > 条件访问"。

  2. 在"条件访问" 窗格顶部的工具栏中,选择"新建 策略"。

  3. 在" 新建 "窗格的" 名称" 文本框中,输入策略名称。

  4. "分配"下,选择"用户和组",分配要加入应用 (登录和验证) ,然后选择"完成 "。

  5. "分配"下, 选择"云应用",分配想要使用 条件访问应用控制控制的应用,然后选择"完成 "。

  6. 在"访问控制"下,选择"会话",选择 "条件访问应用控制", 然后选择内置策略" (仅监视 (预览版 ) " 或"阻止下载 ( 预览版) ) "或"使用自定义策略在云应用安全 中设置高级策略",然后选择"选择"。

    Azure AD条件访问。

  7. (可选)根据需要添加条件和授予控件。

  8. 将 **"启用策略"**设置为"打开", 然后选择"创建"。

配置与其他 IdP 解决方案的集成

使用以下步骤将应用会话从其他 IdP 解决方案路由到云应用安全。 有关Azure AD,请参阅 配置与 Azure AD 的集成

备注

有关如何配置 IdP 解决方案的示例,请参阅:

  1. 在云应用安全中,浏览到"调查 已 > 连接条件访问应用控制 > 应用"。

  2. 选择加号 () ,然后在弹出窗口中选择要部署的应用,然后选择 + "启动 向导"。

  3. "应用信息"页上,使用应用的单一登录配置页中的信息填写表单,然后选择"下一 步"。

    • 如果 IdP 为所选应用提供单一登录元数据文件,请选择Upload 中的 元数据文件并上传元数据文件。
    • 或者, 选择"手动填写数据 "并提供以下信息:
      • 断言使用者服务 URL
      • 如果应用提供 SAML 证书,请选择"<app_name> SAML 证书并 上传证书文件。

    显示应用信息页的屏幕截图。

  4. "标识提供者"页上,使用提供的步骤在 IdP 的门户中设置新应用程序,然后选择"下一 步"。

    1. 转到 IdP 的门户并创建新的自定义 SAML 应用。
    2. 将现有应用的单一登录 <app_name> 配置复制到新的自定义应用。
    3. 将用户分配到新的自定义应用。
    4. 复制应用单一登录配置信息。 你将在下一步中需要它。

    显示"收集标识提供者信息"页的屏幕截图。

    备注

    这些步骤可能会略有不同,具体取决于标识提供者。 建议执行此步骤,原因如下:

    • 某些标识提供者不允许更改库应用的 SAML 属性或 URL 属性
    • 通过配置自定义应用,可以使用访问和会话控制来测试此应用程序,而无需更改组织的现有行为。
  5. 下一页上,使用应用的单一登录配置页中的信息填写表单,然后选择"下一 步"。

    • 如果 IdP 为所选应用提供单一登录元数据文件,请选择Upload 中的 元数据文件并上传元数据文件。
    • 或者, 选择"手动填写数据 "并提供以下信息:
      • 断言使用者服务 URL
      • 如果应用提供 SAML 证书,请选择"<app_name> SAML 证书并 上传证书文件。

    显示"输入标识提供者信息"页的屏幕截图。

  6. 在下一页上,复制以下信息,然后选择"下一 步"。 下一步需要此信息。

    • 单一登录 URL
    • 属性和值

    显示"收集标识提供者 SAML 信息"页的屏幕截图。

  7. 在 IdP 的门户中,执行以下操作:

    备注

    这些设置通常位于 IdP 门户的自定义应用设置页中

    1. 在"单一登录 URL"字段中,输入之前记下的单一登录 URL。

      备注

      某些提供程序可能会将单一登录 URL 引用为 回复 URL

    2. 将前面记下的特性和值添加到应用的属性。

      备注

      • 某些提供程序可能将它们引用为 "用户属性"或"声明"。
      • 创建新的 SAML 应用时,Okta 标识提供者将属性限制为 1024 个字符。 若要缓解此限制,请首先创建没有相关属性的应用。 创建应用后,对其进行编辑,然后添加相关属性。
    3. 验证名称标识符是否采用电子邮件地址格式。
    4. 保存设置。
  8. 在"应用更改" 页上执行以下操作,然后选择"下一 步"。 下一步需要此信息。

    • 复制单一登录 URL
    • 下载云应用安全 SAML 证书

    显示"收集 SAML 云应用安全页的屏幕截图。

  9. 在应用的门户中,在单一登录设置中执行以下操作:

    1. [推荐]创建当前设置的备份。
    2. 将"标识提供者登录 URL" 字段值替换为云应用安全 SAML 单一登录 URL。
    3. Upload云应用安全下载的 SAML 证书。
    4. 选择“保存”。

    备注

    • 保存设置后,将路由到此应用的所有关联登录条件访问应用控制。
    • SAML 云应用安全有效期为一年。 过期后,需要生成新证书。

步骤 2:使用范围为策略的用户登录到每个应用

备注

在继续之前,请确保先注销现有会话。

创建策略后,登录到使用该策略配置的每个应用。 请确保使用策略中配置的用户进行登录。

云应用安全登录的每个新应用,都会将策略详细信息同步到其服务器。 这可能需要一分钟时间。

步骤 3:验证应用是否配置为使用访问和会话控制

上述说明已帮助你直接在 Azure AD 中创建特定应用的内置 Cloud App Security 策略。 在此步骤中,验证是否为这些应用配置了访问和会话控制。

  1. 在 云应用安全 门户中,选择设置 cog 设置图标。,然后选择 "条件访问应用控制"。

  2. 在"条件访问应用控制应用"表中,查看"可用控件"列,并验证 Azure AD" 访问控制"或"条件访问"和"会话控制"是否针对应用显示。

    备注

    如果应用未显示会话控制,则尚不可用于该特定应用。 可以立即将其添加 为自定义应用,也可以打开请求,通过单击"请求会话控制"将其添加 为特色应用

    条件访问应用控制请求。

步骤 4:启用应用以在组织中使用

准备好启用应用以在组织的生产环境中使用后,请执行以下步骤。

  1. 在云应用安全中,选择"设置"cog  设置图标 。,然后选择 "条件访问应用控制"。

  2. 在应用列表中,在要部署的应用出现的行上,选择行末尾的三个点,然后选择"编辑 应用"。

  3. 选择 "与条件访问应用控制", 然后选择"保存 "。

    启用会话控件弹出窗口。

步骤 5:测试部署

  1. 首先注销任何现有会话。 然后尝试登录到已成功部署的每个应用。 使用与 Azure AD 中配置的策略匹配的用户登录,或者为使用标识提供者配置的 SAML 应用登录。

  2. 云应用安全门户中,在"调查 " 下,选择"活动日志",并确保捕获每个应用的登录活动。

  3. 通过单击“高级”,然后使用“源等于访问控件”进行筛选。

    使用条件Azure AD进行筛选。

  4. 建议从受管理设备和非管理的设备分别登录到移动和桌面应用。 这是为了确保活动日志能够正确捕获活动。
    若要验证是否正确捕获活动,请选择一个登录登录活动,以便打开活动抽屉。 确保“用户代理标记”正确反映设备是本机客户端(即移动或桌面应用)还是受管理设备(符合、域加入或有效的客户端证书)。

备注

在部署后,不能从“条件访问应用控制”页删除应用程序。 只要你没有在应用上设置会话或访问策略,条件访问应用控制就不会改变应用的任何行为。

后续步骤

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证