使用 Microsoft Entra ID 為自訂應用程式部署條件式存取應用程式控制

  • 發行項

適用於雲端的 Microsoft Defender Apps 中的工作階段控制項可以設定為使用任何 Web 應用程式。 本文說明如何使用會話控件,將自定義企業營運應用程式、非精選 SaaS 應用程式和透過 Microsoft Entra 應用程式 Proxy 裝載的內部部署應用程式上線及部署。 它提供建立 Microsoft Entra 條件式存取原則的步驟,以將應用程式會話路由傳送至 適用於雲端的 Defender Apps。 如需其他 IdP 解決方案,請參閱 使用非 Microsoft IdP 為自定義應用程式部署條件式存取應用程控。

如需 適用於雲端的 Defender 應用程式現成可用的應用程式清單,請參閱使用 適用於雲端的 Defender Apps 條件式存取應用程控來保護應用程式。

必要條件

開始上線程式之前,您必須執行下列動作:

將系統管理員新增至應用程式上線/維護清單

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 在 [條件式存取應用程控] 底下,選取 [應用程式上線/維護]。

  3. 輸入要上線應用程式之使用者的用戶主體名稱或電子郵件,然後選取 [ 儲存]。

    Screenshot of settings for App onboarding and maintenance.

檢查必要的授權

  • 您的組織必須具有下列授權,才能使用條件式存取應用程控:

  • 應用程式必須設定為單一登錄

  • 應用程式必須使用下列其中一種驗證通訊協定:

    IdP 通訊協定
    Microsoft Entra ID SAML 2.0 或 OpenID 連線

部署任何應用程式

若要將應用程式上線以 適用於雲端的 Defender 應用程式條件式 存取控制 來控制,您必須:

請遵循下列步驟,將任何應用程式設定為由 適用於雲端的 Defender Apps 條件式存取應用程控來控制。

注意

若要為 Microsoft Entra 應用程式部署條件式存取應用程控,您需要 Microsoft Entra ID P1 或更新版本的有效授權,以及 適用於雲端的 Defender Apps 授權。

設定 Microsoft Entra 識別碼以使用 適用於雲端的 Defender Apps

注意

在 Microsoft Entra ID 或其他識別提供者中設定 SSO 的應用程式時,可能列為選擇性的一個字段是登入 URL 設定。 請注意,條件式存取應用程控可能需要此欄位才能運作。

  1. 在 Microsoft Entra 識別符中,流覽至 [安全性>條件式存取]。

  2. 在 [ 條件式存取 ] 窗格的頂端工具列中,選取 [新增原則 -> 建立新原則]。

  3. 在 [新增] 窗格的 [名稱] 文本框中,輸入原則名稱。

  4. 在 [指派],選取 [使用者] 或 [工作負載身分識別],指派將上線的使用者(初始登入和驗證)應用程式,然後選取 [完成]。

  5. 在 [指派],選取 [雲端應用程式或動作],使用條件式存取應用程控指派您想要控制的應用程式,然後選取 [完成]。

  6. 在 [訪問控制] 底下,選取 [會話],選取 [使用條件式存取應用程控],然後選擇內建原則 (僅限監視或封鎖下載),或使用自定義原則在 適用於雲端的 Defender Apps 中設定進階原則,然後按兩下 [選取]。

    Microsoft Entra Conditional Access.

  7. 選擇性地新增條件,並視需要授與控件。

  8. 將 [啟用原則] 設定[開啟],然後選取 [建立]。

應用程式目錄中的應用程式會自動填入資料表中 連線 應用程式。 如果您有作用中的會話,請註銷應用程式,然後再次登入,以允許探索應用程式。 流覽至該處,確認您要部署的應用程式是否已辨識。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  2. 連線 應用程式下,選取 [條件式存取應用程控應用程式] 以存取可使用存取和會話原則設定的應用程式數據表。

    Conditional access app control apps.

  3. 選取 [ 應用程式:選取應用程式... ] 下拉功能表,以篩選和搜尋您要部署的應用程式。

    Select App: Select apps to search for the app.

  4. 如果您沒有在那裡看到應用程式,則必須手動新增它。

如何手動新增未識別的應用程式

  1. 在橫幅中,選取 [ 檢視新的應用程式]。

    Conditional access app control view new apps.

  2. 在新的應用程式清單中,針對您要上線的每個應用程式,選取 + 符號,然後選取 [ 新增]。

    注意

    如果應用程式未出現在 適用於雲端的 Defender Apps 應用程式類別目錄中,則會出現在對話方塊的 [不明應用程式] 底下,以及登入 URL。 按一下這些應用程式的 + 號,可以將應用程式作為自訂應用程式上線。

    Conditional access app control discovered Microsoft Entra apps.

將正確的網域與應用程式產生關聯,可讓 適用於雲端的 Defender 應用程式強制執行原則和稽核活動。

例如,如果您已設定一個原則來封鎖下載相關聯網域的檔案,則會封鎖應用程式從該網域下載的檔案。 不過,應用程式從與應用程式無關的網域下載檔案將不會遭到封鎖,而且不會在活動記錄中稽核動作。

注意

適用於雲端的 Defender 應用程式仍會將後綴新增至與應用程式無關的網域,以確保順暢的用戶體驗。

  1. 從應用程式內的 適用於雲端的 Defender [應用程式] 系統管理工具列上,選取 [探索到的網域]。

    Select Discovered domains.

    注意

    只有具有上線或維護應用程式許可權的使用者才能看到系統管理員工具列。

  2. 在 [探索到的網域] 面板中,記下域名,或將清單匯出為.csv檔案。

    注意

    此面板會顯示應用程式中未相關聯的已探索網域清單。 功能變數名稱是完整功能變數名稱。

  3. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。

  4. 連線 應用程式下,選取 [條件式存取應用程控應用程式]。

  5. 在應用程式清單中,在您部署的應用程式出現所在的數據列上,選擇數據列結尾的三個點,然後選取 [編輯應用程式]。

    Edit app details.

    提示

    若要檢視應用程式中設定的網域清單,請選取 [ 檢視應用程式網域]。

    • 用戶定義網域:與應用程式相關聯的網域。 流覽至應用程式,您可以使用 管理員 工具列來識別與應用程式相關聯的網域,並判斷其中是否有任何網域遺失。 請注意,遺失的網域可能會導致受保護的應用程式無法正確轉譯。

    • 將存取令牌視為登入要求:某些應用程式使用存取令牌和程式碼要求作為應用程式登入。 這可讓您將存取令牌和程式代碼要求視為登入時,將應用程式上線以存取和會話控件,讓應用程式正確轉譯。 將應用程式上線時,請一律確定已勾選此專案。

    • 搭配會話控件使用應用程式:若要允許此應用程式用於會話控件,或不要搭配會話控件使用。 上線應用程式時,請一律確定已勾選此專案。

    • 執行第二次登入:如果應用程式使用 nonce,則需要第二次登入才能處理 nonce。 應用程式會使用 nonce 或第二次登入,以確保 IdP 為使用者建立的登入令牌只能使用一次,而且不會由其他人竊取和重複使用。 服務提供者會檢查 nonce 以符合預期的內容,而不是它最近使用的專案,這可能表示重新執行攻擊。 選擇此選項時,我們會確保從後綴會話觸發第二次登入,以確保成功登入。 為了提升效能,應該啟用此功能。

      Perform a second login.

  6. [用戶定義網域] 中,輸入您想要與此應用程式建立關聯的所有網域,然後選取 [ 儲存]。

    注意

    您可以使用 * 通配符作為任何字元的佔位元。 新增網域時,決定是否要新增特定網域 (sub1.contoso.comsub2.contoso.com) 或多個網域 (*.contoso.com)。 這隻支援特定網域 (*.contoso.com), 而不是最上層網域 (*.com)。

  7. 重複下列步驟來安裝 目前的 CA下一個 CA 自我簽署跟證書。

    1. 選取憑證。
    2. 選取 [ 開啟],出現提示時,請再次選取 [ 開啟 ]。
    3. 選取 [ 安裝憑證]。
    4. 選擇 [目前使用者] 或 [本機計算機]。
    5. 選取 [ 將所有憑證放在下列存放區 ],然後選取 [ 瀏覽]。
    6. 選取 [受信任的跟證書授權單位] ,然後選取 [ 確定]。
    7. 選取 [完成]

    注意

    若要辨識憑證,安裝憑證之後,您必須重新啟動瀏覽器並移至相同的頁面。

  8. 選取繼續

  9. 檢查資料表中是否有應用程式可用。

    Onboard with session control.

若要確認應用程式受到保護,請先執行與應用程式相關聯的瀏覽器硬式註銷,或使用 incognito 模式開啟新的瀏覽器。

開啟應用程式並執行下列檢查:

  • 檢查鎖定 圖示是否出現在瀏覽器中,或如果您正在 Microsoft Edge 以外的瀏覽器中工作,請檢查您的應用程式 URL 是否包含 .mcas 後綴。 如需詳細資訊,請參閱 使用商務用 Microsoft Edge 的瀏覽器內保護 (預覽版)
  • 請瀏覽屬於使用者工作程式一部分之應用程式內的所有頁面,並確認頁面正確轉譯。
  • 執行下載和上傳檔案等常見動作,確認應用程式的行為和功能不會受到負面影響。
  • 檢閱與應用程式相關聯的網域清單。

如果您遇到錯誤或問題,請使用系統管理員工具列來收集資源,例如 .har 檔案和記錄的會話,以提出支援票證。

準備好讓應用程式在組織的生產環境中使用之後,請執行下列步驟。

  1. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。
  2. 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
  3. 在應用程式清單中,在您部署的應用程式出現所在的數據列上,選擇數據列結尾的三個點,然後選擇 [ 編輯應用程式]。
  4. 選取 [ 搭配會話控件 使用應用程式],然後選取 [ 儲存]。
  5. 在 [Microsoft Entra ID] 的 [安全性] 底下,選取 [條件式存取]。
  6. 更新您稍早建立的原則,以包含您需要的相關使用者、群組和控件。
  7. 在 [工作階段>使用條件式存取應用程控] 下,如果您選取 [使用自定義原則],請移至 [適用於雲端的 Defender 應用程式],並建立對應的會話原則。 如需詳細資訊,請參閱工作階段原則

下一步

上一個:為目錄應用程式部署條件式存取應用程控

下一步:如何建立會話原則

另請參閱

條件式存取應用程控簡介

針對存取和會話控件進行疑難解答

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證