針對具有非 Microsoft IdP 的類別目錄應用程式部署條件式存取應用程控

適用於雲端的 Microsoft Defender Apps 中的存取和工作階段控制項會使用來自雲端應用程式類別目錄和自定義應用程式的應用程式。 如需 適用於雲端的 Defender 應用程式預先上線的應用程式清單，以現成可用的應用程式，請參閱使用 適用於雲端的 Defender Apps 條件式存取應用程控來保護應用程式。

必要條件

• 您的組織必須具有下列授權，才能使用條件式存取應用程控：

  • 識別提供者 （IdP） 解決方案所需的授權
  • Microsoft Defender for Cloud Apps

• 應用程式必須設定為單一登錄

• 應用程式必須使用下列其中一種驗證通訊協定：

  IdP	通訊協定
  Microsoft Entra ID	SAML 2.0 或 OpenID 連線
  其他	SAML 2.0

將您的 IdP 設定為使用 適用於雲端的 Defender Apps

使用下列步驟，將應用程式會話從其他 IdP 解決方案路由傳送至 適用於雲端的 Defender Apps。 如需 Microsoft Entra 識別符，請參閱 設定與 Microsoft Entra ID 的整合。

注意

如需如何設定 IdP 解決方案的範例，請參閱：

• 設定 PingOne IdP
• 設定 AD FS IdP
• 設定Okta IdP

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [ 雲端應用程式]。

2. 在 連線 的應用程式下，選取 [條件式存取應用程控應用程式]。

3. 選取 [+ 新增]，然後在快顯中選取您要部署的應用程式，然後選取 [ 啟動精靈]。

4. 在 [ APP 資訊] 頁面上，使用您應用程式單一登錄組態頁面中的資訊填寫窗體，然後選取 [ 下一步]。

   • 如果您的 IdP 為選取的應用程式提供單一登錄元資料檔案，請從應用程式選取 [上傳元數據檔案]，然後上傳元數據檔案。

   • 或者，請手動選取 [填入數據]，並提供下列資訊：

     • 判斷提示取用者服務 URL
     • 如果您的應用程式提供 SAML 憑證，請選取 [ 使用 <app_name> SAML 憑證 並上傳憑證檔案。

   例如：

   

5. 在 [ 識別提供者 ] 頁面上，使用提供的步驟，在您的IdP入口網站中設定新的應用程式，然後選取 [ 下一步]。

6. 移至您的 IdP 入口網站，並建立新的自訂 SAML 應用程式。

7. 將現有 <app_name> 應用程式的單一登錄設定複製到新的自定義應用程式。

8. 將使用者指派給新的自訂應用程式。

9. 複製應用程式單一登錄組態資訊。 您在下一個步驟中將需要此權杖。 例如：

   

   注意

   這些步驟可能會根據您的身分識別提供者稍有不同。 基於下列原因，建議執行此步驟：

   • 某些識別提供者不允許您變更資源庫應用程式的SAML屬性或URL屬性。

   • 設定自定義應用程式可讓您使用存取和會話控件來測試此應用程式，而不需要變更您組織的現有行為。

10. 在下一個頁面上，使用您應用程式單一登錄組態頁面中的資訊填寫窗體，然後選取 [ 下一步]。

    • 如果您的 IdP 為選取的應用程式提供單一登錄元資料檔案，請從應用程式選取 [上傳元數據檔案]，然後上傳元數據檔案。

    • 或者，請手動選取 [填入數據]，並提供下列資訊：

      • 判斷提示取用者服務 URL
      • 如果您的應用程式提供 SAML 憑證，請選取 [ 使用 <app_name> SAML 憑證 並上傳憑證檔案。

    例如：

    

11. 在下一個頁面上，複製下列資訊，然後選取 [ 下一步]。 在下一個步驟中，您將需要此資訊。

    • 單一登錄 URL
    • 屬性和值

    例如：

    

12. 在您的 IdP 入口網站中，設定下列設定，通常位於 IdP 入口網站的自定義應用程式設定頁面中。

    1. 在 [單一登錄 URL] 字段中，輸入您稍早記下的單一登錄 URL。

    2. 將您先前記下的屬性和值新增至應用程式的屬性。 某些提供者可能會將其 稱為用戶屬性 或 宣告。

       建立新的 SAML 應用程式時，Okta Identity Provider 會將屬性限製為 1024 個字元。 若要減輕這項限制，請先建立沒有相關屬性的應用程式。 建立應用程式之後，請加以編輯，然後新增相關的屬性。

    3. 確認名稱識別碼的格式為電子郵件位址。

    4. 儲存您的設定。

13. 在 [ 應用程式變更 ] 頁面上，執行下列動作，然後選取 [ 下一步]。 在下一個步驟中，您將需要此資訊。

    • 複製單一登錄 URL
    • 下載 適用於雲端的 Defender 應用程式 SAML 憑證

    例如：

    

14. 在應用程式的入口網站中，在單一登錄設定上，執行下列動作：

    1. （建議）建立目前設定的備份。

    2. 將 [識別提供者登入 URL] 字段值取代為您稍早記下 適用於雲端的 Defender Apps SAML 單一登錄 URL。

    3. 上傳您稍早下載的 適用於雲端的 Defender Apps SAML 憑證。

    4. 選取 [儲存]。

儲存您的設定之後，所有與此應用程式的相關聯登入要求都會透過條件式存取應用程控路由傳送。

適用於雲端的 Defender 應用程式 SAML 憑證有效期為一年。 到期之後，必須產生新的憑證。

使用範圍設定為原則的使用者登入每個應用程式

注意

繼續之前，請務必先註銷現有的會話。

在您建立原則之後，登入該原則中設定的每個應用程式。 確定您以原則中設定的使用者身分登入。

適用於雲端的 Defender 應用程式會將原則詳細資料同步至其伺服器，以供您登入的每個新應用程式使用。 最多可能需要一分鐘。

確認應用程式已設定為使用存取和會話控制項

上述指示可協助您直接在 Microsoft Entra ID 中建立目錄應用程式的內建 適用於雲端的 Defender 應用程式原則。 在此步驟中，確認已針對這些應用程式設定存取和會話控件。

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [ 雲端應用程式]。

2. 在 連線 的應用程式下，選取 [條件式存取應用程控應用程式]。

3. 在應用程式數據表中，查看 [可用的控件 ] 資料行，並確認 [存取 ] 或 [Azure AD 條件式存取] 和 [工作階段] 控制程式 都會針對您的應用程式顯示。

   如果應用程式未啟用會話控件，請選取 [使用會話控件 上線] 並檢查 [將此應用程式與會話控件搭配使用] 來新增它。 例如：

   

啟用應用程式以在組織中使用

準備好讓應用程式在組織的生產環境中使用之後，請執行下列步驟。

1. 在 Microsoft Defender 入口網站中，選取 [設定]。 然後選擇 [ 雲端應用程式]。

2. 在 連線 的應用程式下，選取 [條件式存取應用程控應用程式]。 在應用程式清單中，在您部署的應用程式出現所在的數據列上，選擇數據列結尾的三個點，然後選擇 [ 編輯應用程式]。

3. 選取 [ 啟用應用程式以處理會話控件 ]，然後選取 [ 儲存]。 例如：

   

測試部署

1. 首先，登出任何現有的工作階段。 接著，嘗試登入已順利部署的每個應用程式。 使用符合 Microsoft Entra ID 中所設定原則的使用者，或針對使用身分識別提供者設定的 SAML 應用程式登入。

2. 在 Microsoft Defender 入口網站的 [Cloud Apps] 底下，選取 [活動記錄]，並確定已針對每個應用程式擷取登入活動。

3. 您可以選取 [進階]，然後使用 [來源] 等於 [訪問控制] 進行篩選。 例如：

   

4. 建議您從受控和非受控裝置登入行動裝置和傳統型應用程式。 這可確保活動記錄正確擷取活動。

若要確認活動已正確擷取，請選取單一登錄登入活動，讓它開啟活動選單。 確定 [使用者代理程式標籤] 正確反映出裝置是原生用戶端 (表示是行動或傳統型應用程式) 或裝置是受控裝置 (符合規範、已加入網域或有效的用戶端憑證)。

注意

部署之後，您無法從 [條件式存取應用程式控制] 頁面移除應用程式。 只要您未在應用程式上設定會話或存取原則，條件式存取應用程控將不會變更應用程式的任何行為。

下一步

« 上一頁：條件式存取應用程控簡介

下一步：為任何應用程式部署條件式存取應用程式程式設計控 »

針對存取和會話控件進行疑難解答

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。