为任意应用载入和部署条件访问应用控制

适用范围:Microsoft Cloud App Security

重要

Microsoft 提供的威胁防护产品名称即将发生变化。 请参阅此处,详细了解此更新及其他更新。 我们将在不久的将来更新产品和文档中的名称。

Microsoft Cloud App Security 中的会话控件可配置为使用任何 web 应用。 本文介绍如何将自定义业务线应用、非功能 SaaS 应用和通过 Azure Active Directory (托管的本地应用嵌入到 Azure AD) 应用程序代理与会话控制。

若要查看云应用安全向现成工作的应用的列表,请参阅使用云应用安全条件访问应用控制保护应用

先决条件

  • 你的组织必须具有以下许可证才能使用条件访问应用控制:

  • 应用必须配置为单一登录

  • 应用必须使用下列身份验证协议之一:

    IdP 协议
    Azure AD SAML 2.0 或 OpenID Connect
    其他 SAML 2.0

部署任何应用

请按照以下步骤配置云应用安全条件访问应用控制控制的任何应用。

步骤1:将 IdP 配置为使用云应用安全

步骤2: 配置将部署应用的用户

步骤3: 配置要部署的应用

步骤4: 验证应用是否正常工作

步骤5: 启用应用以在你的组织中使用

步骤6:更新 Azure AD 策略

备注

若要为 Azure AD 应用部署条件访问应用控制,需要Azure Active Directory Premium P1 或更高版本的有效许可证,以及云应用安全许可证。

步骤1:将 IdP 配置为使用云应用安全

配置与 Azure AD 的集成

备注

在 Azure AD 或其他标识提供程序中使用 SSO 配置应用程序时,可能会列出的一个字段是 "登录 URL" 设置。 请注意,条件访问应用控制可以使用此字段。

使用以下步骤创建一个 Azure AD 条件性访问策略,该策略将应用会话路由到云应用安全。 有关其他 IdP 解决方案,请参阅 配置与其他 IdP 解决方案的集成

  1. 在 Azure AD 中,浏览到 "安全 > 条件性访问"。

  2. 在 " 条件访问 " 窗格的顶部工具栏中,单击 " 新建策略"。

  3. 在 " 新建 " 窗格的 " 名称 " 文本框中,输入策略名称。

  4. 在 " 分配" 下,单击 " 用户和组",分配将加入 (初始登录并验证) 应用的用户,然后单击 " 完成"。

  5. 在 " 分配" 下,单击 " 云应用",分配要控制条件访问应用控制的应用,然后单击 " 完成"。

  6. 在 "访问控制" 下,单击 "会话",选择 "使用条件访问应用控制",然后选择内置策略 (仅监视"或"阻止下载") 或"使用自定义策略 在云应用安全中设置高级策略 ",然后单击"选择"。

    Azure AD 条件性访问。

  7. 根据需要添加条件并授予控件。

  8. 将 " 启用策略 " 设置为 "开" ,然后单击 " 创建"。

配置与其他 IdP 解决方案的集成

使用以下步骤将应用会话从其他 IdP 解决方案路由到云应用安全。 有关 Azure AD,请参阅配置与 Azure AD 的集成

备注

有关如何配置 IdP 解决方案的示例,请参阅:

  1. 在云应用安全中,浏览以 调查 > 条件访问应用控制应用的 已连接应用 > 。

  2. 单击加号 (+) ,然后在弹出窗口中,选择要部署的应用,然后单击 " 启动向导"。

  3. 在 " 应用程序信息 " 页上,使用应用的 "单一登录" 配置页中的信息填写表单,然后单击 " 下一步"。

    • 如果 IdP 为所选应用提供单一登录元数据文件,请 从应用中选择 "Upload 元数据文件" ,并上传元数据文件。
    • 或者,选择 " 手动填充数据 " 并提供以下信息:
      • 断言使用者服务 URL
      • 如果你的应用程序提供 SAML 证书,请选择 " 使用 <app_name> SAML 证书 " 并上载证书文件。

    显示应用信息页的屏幕截图。

  4. 在 " 标识提供者 " 页上,使用提供的步骤在 IdP 的门户中设置新应用程序,然后单击 " 下一步"。

    1. 中转到 IdP 的门户,创建新的自定义 SAML 应用。
    2. 将现有应用程序的单一登录配置复制 <app_name> 到新的自定义应用程序。
    3. 将用户分配到新的自定义应用。
    4. 复制 "应用单一登录配置信息",下一步需要用到它。

    显示 "收集标识提供者信息" 页的屏幕截图。

    备注

    根据标识提供者的不同,这些步骤可能稍有不同。 建议使用此步骤,原因如下:

    • 某些标识提供者不允许你更改库应用的 SAML 属性或 URL 属性
    • 配置自定义应用使你可以使用访问和会话控制来测试此应用程序,而无需更改组织的现有行为。
  5. 在下一页上,使用应用的 "单一登录" 配置页中的信息填写表单,然后单击 " 下一步"。

    • 如果 IdP 为所选应用提供单一登录元数据文件,请 从应用中选择 "Upload 元数据文件" ,并上传元数据文件。
    • 或者,选择 " 手动填充数据 " 并提供以下信息:
      • 断言使用者服务 URL
      • 如果你的应用程序提供 SAML 证书,请选择 " 使用 <app_name> SAML 证书 " 并上载证书文件。

    显示 "输入标识提供者信息" 页的屏幕截图。

  6. 在下一页上,复制以下信息,然后单击 " 下一步"。 下一步将需要此信息。

    • 单一登录 URL
    • 特性和值

    显示 "收集标识提供者 SAML 信息" 页的屏幕截图。

  7. 在 IdP 的门户中,执行以下操作:

    备注

    通常在 IdP 门户的 "自定义应用设置" 页中找到这些设置

    1. 您创建当前设置的备份。

    2. 将 "单一登录 url" 字段值替换为前面记下的 "云应用安全 SAML 单一登录 url"。

      备注

      某些提供程序可以引用单一登录 URL 作为 回复 url

    3. 将之前记下的属性和值添加到应用的属性。

      备注

      • 某些提供程序可以将它们称为 用户属性声明
      • 创建新的 SAML 应用时,Okta 标识提供程序将属性限制为1024个字符。 若要缓解此限制,请首先创建没有相关属性的应用。 创建应用后,对其进行编辑,然后添加相关的属性。
    4. 验证名称标识符是否为电子邮件地址格式。

    5. 保存设置。

  8. 在 " 应用更改 " 页上,执行以下操作,然后单击 " 下一步"。 下一步将需要此信息。

    • 复制 "单一登录 URL"
    • 下载云应用安全 SAML 证书

    显示云应用安全 SAML 信息的集合 "页的屏幕截图。

  9. 在应用的门户中,在 "单一登录设置" 中执行以下操作:

    1. 您创建当前设置的备份。
    2. 在 "单一登录 url" 字段中,输入你之前记下的 "云应用安全单一登录 url"。
    3. Upload 之前下载的云应用安全 SAML 证书。

    备注

    • 保存设置后,对此应用的所有关联登录请求都将通过条件访问应用控制路由。
    • SAML 云应用安全有效期为一年。 过期后,需要生成新证书。

步骤 2:配置将部署应用的用户

  1. 在 Cloud App Security 的菜单栏中,单击设置齿轮 ![设置图标。](media/settings-icon.png "“设置”图标") 然后选择 "设置"。

  2. "条件访问应用控制" 下,选择 "应用载入/维护"。

  3. 输入要加入应用的用户的用户主体名称或电子邮件,然后单击"保存 "。

    应用载入和维护设置的屏幕截图。

步骤 3:配置要部署的应用

转到要部署的应用。 看到的页面取决于是否识别应用。 执行下列操作之一:

应用状态 说明 步骤
无法识别 你将看到一个无法识别的应用页面,提示你配置应用。 1.将应用添加到 条件访问应用控制。
2.添加应用的域,然后返回到应用并刷新页面。
3. 安装应用的证书
Recognized 你将看到一个载入页面,提示你继续应用配置过程。 - 安装应用的证书

注意: 确保为应用配置了应用正常运行所需的所有域。 若要配置其他域,请继续为应用 添加域,然后返回到应用页。

添加新应用

  1. 在菜单栏中,单击"设置"cog 设置图标。,然后选择 "条件访问应用控制"。

  2. 在横幅中,单击"查看新应用"。

    条件访问应用控制查看新应用。

  3. 在新应用列表中,对于要载入的每个应用,单击符号,然后单击 + "添加 "。

    备注

    如果某个应用未显示在 Cloud App Security 应用目录中,则会与登录 URL 一同显示在未识别的应用下的对话框中。 单击这些应用的 + 符号时,可将应用程序作为自定义应用加入。

    条件访问应用控制发现Azure AD应用。

<a name="to-add-domains-for-an-app">为应用添加域

将正确的域关联到应用云应用安全策略和审核活动。

例如,如果已配置阻止下载关联域文件的策略,则应用从该域下载的文件将被阻止。 但是,不会阻止应用从与应用不关联的域下载文件,并且不会在活动日志中审核该操作。

备注

云应用安全向未与应用关联的域添加后缀,以确保无缝用户体验。

  1. 在应用内的"管理"云应用安全,单击"发现 域"。

    备注

    管理员工具栏仅对有权载入或维护应用的用户可见。

  2. 在"已发现域"面板中,记下域名或将列表导出为.csv文件。

    备注

    面板显示未在应用中关联的已发现域的列表。 域名是完全限定的。

  3. 转到云应用安全,在菜单栏中,单击"设置"cog![设置图标。](media/settings-icon.png "“设置”图标") 然后选择 "条件访问应用控制"。
  4. 在应用列表中,在要部署的应用出现的行上,选择行末尾的三个点,然后在"应用 详细信息"下选择"编辑 "。

    提示

    若要查看应用中配置的域列表,请单击"查看应用域"。

  5. "用户定义的域"中,输入要与此应用关联的所有域,然后单击"保存 "。

    备注

    可以使用 * 通配符作为任何字符的占位符。 添加域时,请确定要添加特定域 (、) sub1.contoso.com sub2.contoso.com*.contoso.com () 。

安装根证书

  1. 重复以下步骤安装"当前 CA" 和" 下一个 CA 自签名根证书"。

    1. 选择证书。
    2. 单击 "打开",当系统提示时,再次 单击"打开 "。
    3. 单击"安装证书"。
    4. 选择"当前用户"或"本地计算机"。
    5. 选择 "将所有证书放在以下存储中", 然后单击"浏览 "。
    6. 选择 "受信任的根证书颁发机构", 然后单击"确定 "。
    7. 单击“完成” 。

    备注

    若要识别证书,安装证书后,必须重启浏览器并转到同一页。

  2. 单击 “继续”

步骤 4:验证应用是否正常工作

  1. 验证登录流是否正常工作。
  2. 进入应用后,执行以下检查:
    1. 访问应用中属于用户工作过程的所有页面,并验证页面是否呈现正确。
    2. 验证应用的行为和功能是否不受执行常见操作(如下载和上传文件)的负面影响。
    3. 查看与应用关联的域列表。 有关详细信息,请参阅 添加应用的域

步骤 5:启用应用以在组织中使用

准备好启用应用以在组织的生产环境中使用后,请执行以下步骤。

  1. 在云应用安全,单击"设置"cog  设置图标 。,然后选择 "条件访问应用控制"。

  2. 在应用列表中,在要部署的应用的行上,选择行末尾的三个点,然后选择"编辑 应用"。

  3. 选择 "与条件访问应用控制", 然后单击"保存 "。

    启用会话控件弹出窗口。

步骤 6:仅Azure AD更新 (Azure AD策略)

  1. 在Azure AD"安全性 "下,单击"条件访问"。
  2. 更新之前创建的策略,以包含你要求的相关用户、组和控制。
  3. " > 会话条件访问应用控制" 下,如果选择了"使用 自定义策略",请转到云应用安全并创建相应的会话策略。 有关详细信息,请参阅会话策略

后续步骤

请参阅

若遇到任何问题,可随时向我们寻求帮助。 若要获取帮助或支持以解决产品问题,请打开支持票证