Onboarding von benutzerdefinierten Apps mit Nicht-Microsoft-IdPs für die App-Steuerung für bedingten Zugriff

Die Zugriffs- und Sitzungssteuerelemente in Microsoft Defender for Cloud Apps sind sowohl mit benutzerdefinierten Apps als auch mit Katalog-Apps kompatibel. Das Onboarding von Microsoft Entra ID-Apps für die Verwendung der App-Steuerung für bedingten Zugriff wird automatisch durchgeführt. Bei Apps mit IdPs, die nicht von Microsoft stammen, müssen Sie das Onboarding jedoch manuell durchführen.

In diesem Artikel wird beschrieben, wie Sie IdPs für Defender for Cloud Apps konfigurieren und anschließend ein manuelles Onboarding der einzelnen benutzerdefinierten Apps durchführen. Im Gegensatz hierzu wird das Onboarding von Katalog-Apps mit IdPs, die nicht von Microsoft stammen automatisch durchgeführt, wenn Sie die Integration zwischen den IdPs und Defender for Cloud Apps konfigurieren.

Voraussetzungen

  • Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:

    • Die von Ihrer IdP-Lösung (Identity Provider) erforderliche Lizenz
    • Microsoft Defender for Cloud Apps
  • Apps müssen mit Single Sign-On konfiguriert werden.

  • Apps müssen mit dem SAML 2.0-Authentifizierungsprotokoll konfiguriert werden.

Hinzufügen von Administratoren zur Onboarding-/Wartungsliste Ihrer App

  1. Wählen Sie in Microsoft Defender XDR Einstellungen > Cloud Apps > App-Steuerung für bedingten Zugriff > App-Onboarding/Wartung aus.

  2. Geben Sie die Benutzernamen oder E-Mail-Adressen aller Benutzer ein, die ein Onboarding Ihrer App durchführen werden. Wählen Sie anschließend Speichern aus.

Weitere Informationen finden Sie unter Diagnose und Problembehandlung über die Symbolleiste „Administratoransicht“.

Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps

In diesem Verfahren wird die Weiterleitung von App-Sitzungen aus anderen IdP-Lösungen an Defender for Cloud Apps beschrieben.

Tipp

Die folgenden Artikel enthalten detaillierte Beispiele für dieses Verfahren:

So konfigurieren Sie Ihren IdP für Defender for Cloud Apps:

  1. Wählen Sie in Microsoft Defender XDR Einstellungen > Cloud Apps > Verbundene Apps > Apps für App-Steuerung für bedingten Zugriff aus.

  2. Wählen Sie auf der Seite Apps der App-Steuerung für bedingten Zugriff + Hinzufügen aus.

  3. Wählen Sie im Dialogfeld Ihrem Identitätsanbieter eine SAML-Anwendung hinzufügen das Dropdownmenü Eine App suchen aus. Wählen Sie dann die App aus, die Sie bereitstellen möchten. Wählen Sie nach der Auswahl der App Assistent starten aus.

  4. Laden Sie auf der Seite APP-INFORMATIONEN des Assistenten entweder eine Metadatendatei aus Ihrer App hoch, oder geben Sie die App-Daten manuell ein.

    Sie müssen die folgenden Informationen bereitstellen:

    • Die Assertionsverbraucherdienst-URL. Dies ist die URL, die Ihre App für den Empfang von SAML-Assertionen aus dem IdP verwendet.
    • Ein SAML-Zertifikat, wenn Ihre App ein solches Zertifikat bereitstellt. Wählen Sie hierzu die Option SAML-Zertifikat ... verwenden aus. Laden Sie anschließend die Zertifikatdatei hoch.

    Wenn Sie fertig sind, wählen Sie Weiter aus, um fortzufahren.

  5. Folgen Sie auf der Seite IDENTITÄTSANBIETER des Assistenten den Anweisungen zum Einrichten einer neuen benutzerdefinierten App im IdP-Portal.

    Hinweis

    Die erforderlichen Schritte können sich abhängig vom IdP unterscheiden. Es wird empfohlen, aus den folgenden Gründen die externe Konfiguration wie beschrieben auszuführen:

    • Einige Identitätsanbieter lassen die Änderung der SAML-Attribute oder URL-Eigenschaften von Katalog-Apps nicht zu.
    • Wenn Sie eine benutzerdefinierte App konfigurieren, können Sie die App mithilfe der Zugriffs-und Sitzungssteuerelemente von Defender for Cloud Apps testen, ohne das vorhandene konfigurierte Verhalten Ihrer Organisation zu ändern.

    Kopieren Sie die Konfigurationsdaten für das einmalige Anmelden Ihrer App, um sie später in diesem Verfahren zu verwenden. Wenn Sie fertig sind, wählen Sie Weiter aus, um fortzufahren.

  6. Laden Sie anschließend auf der Seite IDENTITÄTSANBIETER entweder eine Metadatendatei aus dem IdP hoch, oder geben Sie die App-Daten manuell ein.

    Sie müssen die folgenden Informationen bereitstellen:

    • Die URL des Diensts für einmaliges Anmelden. Dies ist die URL, die Ihr IdP für den Empfang von Anforderungen für einmaliges Anmelden verwendet.
    • Ein SAML-Zertifikat, wenn Ihr IdP ein solches Zertifikat bereitstellt. Wählen Sie hierzu die Option SAML-Zertifikat des Identitätsanbieters verwenden aus, und laden Sie dann die Zertifikatdatei hoch.
  7. Kopieren Sie anschließend auf der Seite IDENTITÄTSANBIETER des Assistenten die URL für einmaliges Anmelden sowie alle Attribute und Werte, um sie später in diesem Verfahren zu verwenden.

    Wenn Sie fertig sind, wählen Sie Weiter, um fortzufahren.

  8. Navigieren Sie zum Portal Ihres IdP, und geben Sie die Werte ein, die Sie zur IdP-Konfiguration kopiert haben. In der Regel befinden sich diese Einstellungen im Bereich für benutzerdefinierten App-Einstellungen des IdP.

    1. Geben Sie die URL für einmaliges Anmelden Ihrer App ein, die Sie im vorherigen Schritt kopiert haben. Einige Anbieter bezeichnen die Single Sign-On-URL möglicherweise alsAntwort-URL

    2. Fügen Sie den App-Eigenschaften die Attribute und Werte hinzu, die Sie im vorherigen Schritt kopiert haben. Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.

      Wenn Ihre Attribute für neue Apps auf 1024 Zeichen begrenzt sind, erstellen Sie die App zunächst ohne die relevanten Attribute und fügen diese anschließend hinzu, indem Sie die App bearbeiten.

    3. Überprüfen Sie, ob der Namensbezeichner das Format einer E-Mail-Adresse aufweist.

    4. Denken Sie daran, die Einstellungen zu speichern, wenn Sie fertig sind.

  9. Kehren Sie zu Defender for Cloud Apps zurück, und kopieren Sie auf der Seite APP-ÄNDERUNGEN des Assistenten die SAML-URL für einmaliges Anmelden. Laden Sie anschließend das SAML-Zertifikat für Microsoft Defender for Cloud Apps herunter. Die SAML-URL für einmaliges Anmelden ist eine angepasste URL für Ihre App zur Verwendung mit der App-Steuerung für bedingten Zugriff von Defender for Cloud Apps.

  10. Navigieren Sie zum Portal Ihrer App, und konfigurieren Sie die Einstellungen für einmaliges Anmelden wie folgt:

    1. (Empfohlen) Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen
    2. Ersetzen Sie den Wert im Feld für die Anmelde-URL des Identitätsanbieters durch die SAML-URL für einmaliges Anmelden von Defender for Cloud Apps, die Sie im vorherigen Schritt kopiert haben. Der spezifische Name für dieses Feld ist von Ihrer App abhängig.
    3. Laden Sie das SAML-Zertifikat für Defender for Cloud Apps hoch, das Sie im vorherigen Schritt heruntergeladen haben.
    4. Speichern Sie Ihre Änderungen.
  11. Wählen Sie im Assistenten Fertig stellen aus, um die Konfiguration abzuschließen.

Nach dem Speichern der Einstellungen für einmaliges Anmelden Ihrer App mit den von Defender for Cloud Apps angepassten Werten werden alle entsprechenden Anmeldeanforderungen für die App über Defender for Cloud Apps und die App-Steuerung für bedingten Zugriff geleitet.

Hinweis

Das SAML-Zertifikat für Defender for Cloud Apps ist für 1 Jahr gültig. Nach dem Ablauf müssen Sie ein neues Zertifikat generieren.

Onboarding Ihrer App für die App-Steuerung für bedingten Zugriff

Eine benutzerdefinierte App, die nicht automatisch im App-Katalog eingetragen wird, müssen Sie manuell hinzufügen.

So überprüfen Sie, ob Ihre App bereits hinzugefügt wurde:

  1. Wählen Sie in Microsoft Defender XDR Einstellungen > Cloud Apps > Verbundene Apps > Apps für App-Steuerung für bedingten Zugriff aus.

  2. Wählen Sie das Dropdownmenü App: Apps auswählen... aus, um nach Ihrer App zu suchen.

Wenn Ihre App bereits aufgeführt wird, fahren Sie stattdessen mit dem Verfahren für Katalog-Apps fort.

So fügen Sie Ihre App manuell hinzu:

  1. Wenn es neue Apps gibt, wird Ihnen oben auf der Seite ein Banner angezeigt, das Sie über neue Apps zum Onboarding benachrichtigt. Wählen Sie den Link Neue Apps anzeigen aus, um sie anzuzeigen.

  2. Suchen Sie im Dialogfeld Entdeckte Azure AD-Apps Ihre App, z. B. nach dem Wert für die Anmelde-URL. Wählen Sie die + Schaltfläche und anschließend Hinzufügen aus, um für diese App ein Onboarding als benutzerdefinierte App durchzuführen.

Installieren von Stammzertifizierungsstellenzertifikaten

Stellen Sie sicher, dass Sie für jede App die richtigen Zertifikate in Aktuelle Zertifizierungsstelle oder Nächste Zertifizierungsstelle verwenden.

So installieren Sie Ihre Zertifikate (wiederholen Sie die folgenden Schritte für jedes Zertifikat):

  1. Öffnen und installieren Sie das Zertifikat, indem Sie Aktueller Benutzer oder Lokaler Computer auswählen.

  2. Wenn Sie zur Angabe des Speicherorts für Ihre Zertifikate aufgefordert werden, navigieren Sie zu Vertrauenswürdige Stammzertifizierungsstellen.

  3. Wählen Sie OK und Fertig stellen wie erforderlich aus, um das Verfahren abzuschließen.

  4. Starten Sie Ihren Browser neu, und öffnen Sie die App erneut. Wählen Sie Weiter aus, wenn Sie dazu aufgefordert werden.

  5. Wählen Sie in Microsoft Defender XDR Einstellungen > Cloud Apps > Verbundene Apps > Apps der App-Steuerung für bedingten Zugriff aus. Überprüfen Sie, ob Ihre App weiterhin in der Tabelle aufgeführt wird.

Weitere Informationen finden Sie unter App wird nicht auf der Seite „Apps der App-Steuerung für bedingten Zugriff“ angezeigt.

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.