Onboarding von Katalog-Apps mit Nicht-Microsoft-IdPs für die App-Steuerung für bedingten Zugriff
Die Zugriffs- und Sitzungssteuerelemente in Microsoft Defender for Cloud Apps sind sowohl mit benutzerdefinierten Apps als auch mit Katalog-Apps kompatibel. Das Onboarding von Microsoft Entra ID-Apps für die Verwendung der App-Steuerung für bedingten Zugriff wird automatisch durchgeführt. Bei Apps mit IdPs, die nicht von Microsoft stammen, müssen Sie das Onboarding jedoch manuell durchführen.
In diesem Artikel wird beschrieben, wie Sie IdPs für die Verwendung mit Defender for Cloud Apps konfigurieren. Wenn Sie Ihren IdP in Defender for Cloud Apps integrieren, wird das Onboarding aller Katalog-Apps, die Ihren IdP verwenden, für die App-Steuerung für bedingten Zugriff automatisch durchgeführt.
Voraussetzungen
Ihre Organisation muss über die folgenden Lizenzen verfügen, um die App-Steuerung für bedingten Zugriff zu verwenden:
- Die von Ihrer IdP-Lösung (Identity Provider) erforderliche Lizenz
- Microsoft Defender for Cloud Apps
Apps müssen mit Single Sign-On konfiguriert werden.
Apps müssen mit dem SAML 2.0-Authentifizierungsprotokoll konfiguriert werden.
Wenn Sie die in diesem Artikel beschriebenen Verfahren vollständig ausführen und testen möchten, muss eine Sitzungs- oder Zugriffsrichtlinie konfiguriert sein. Weitere Informationen finden Sie unter:
- Erstellen einer Microsoft Defender for Cloud Apps-Zugriffsrichtlinie.
- Erstellen von Microsoft Defender for Cloud Apps-Sitzungsrichtlinien.
Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps
In diesem Verfahren wird die Weiterleitung von App-Sitzungen aus anderen IdP-Lösungen an Defender for Cloud Apps beschrieben.
Tipp
Die folgenden Artikel enthalten detaillierte Beispiele für dieses Verfahren:
So konfigurieren Sie Ihren IdP für Defender for Cloud Apps:
Wählen Sie in Microsoft Defender XDR Einstellungen > Cloud Apps > Verbundene Apps > Apps für App-Steuerung für bedingten Zugriff aus.
Wählen Sie auf der Seite Apps der App-Steuerung für bedingten Zugriff + Hinzufügen aus.
Wählen Sie im Dialogfeld Ihrem Identitätsanbieter eine SAML-Anwendung hinzufügen das Dropdownmenü Eine App suchen aus. Wählen Sie dann die App aus, die Sie bereitstellen möchten. Wählen Sie nach der Auswahl der App Assistent starten aus.
Laden Sie auf der Seite APP-INFORMATIONEN des Assistenten entweder eine Metadatendatei aus Ihrer App hoch, oder geben Sie die App-Daten manuell ein.
Sie müssen die folgenden Informationen bereitstellen:
- Die Assertionsverbraucherdienst-URL. Dies ist die URL, die Ihre App für den Empfang von SAML-Assertionen aus dem IdP verwendet.
- Ein SAML-Zertifikat, wenn Ihre App ein solches Zertifikat bereitstellt. Wählen Sie hierzu die Option SAML-Zertifikat ... verwenden aus. Laden Sie anschließend die Zertifikatdatei hoch.
Wenn Sie fertig sind, wählen Sie Weiter aus, um fortzufahren.
Folgen Sie auf der Seite IDENTITÄTSANBIETER des Assistenten den Anweisungen zum Einrichten einer neuen benutzerdefinierten App im IdP-Portal.
Hinweis
Die erforderlichen Schritte können sich abhängig vom IdP unterscheiden. Es wird empfohlen, aus den folgenden Gründen die externe Konfiguration wie beschrieben auszuführen:
- Einige Identitätsanbieter lassen die Änderung der SAML-Attribute oder URL-Eigenschaften von Katalog-Apps nicht zu.
- Wenn Sie eine benutzerdefinierte App konfigurieren, können Sie die App mithilfe der Zugriffs-und Sitzungssteuerelemente von Defender for Cloud Apps testen, ohne das vorhandene konfigurierte Verhalten Ihrer Organisation zu ändern.
Kopieren Sie die Konfigurationsdaten für das einmalige Anmelden Ihrer App, um sie später in diesem Verfahren zu verwenden. Wenn Sie fertig sind, wählen Sie Weiter aus, um fortzufahren.
Laden Sie anschließend auf der Seite IDENTITÄTSANBIETER entweder eine Metadatendatei aus dem IdP hoch, oder geben Sie die App-Daten manuell ein.
Sie müssen die folgenden Informationen bereitstellen:
- Die URL des Diensts für einmaliges Anmelden. Dies ist die URL, die Ihr IdP für den Empfang von Anforderungen für einmaliges Anmelden verwendet.
- Ein SAML-Zertifikat, wenn Ihr IdP ein solches Zertifikat bereitstellt. Wählen Sie hierzu die Option SAML-Zertifikat des Identitätsanbieters verwenden aus, und laden Sie dann die Zertifikatdatei hoch.
Kopieren Sie anschließend auf der Seite IDENTITÄTSANBIETER des Assistenten die URL für einmaliges Anmelden sowie alle Attribute und Werte, um sie später in diesem Verfahren zu verwenden.
Wenn Sie fertig sind, wählen Sie Weiter, um fortzufahren.
Navigieren Sie zum Portal Ihres IdP, und geben Sie die Werte ein, die Sie zur IdP-Konfiguration kopiert haben. In der Regel befinden sich diese Einstellungen im Bereich für benutzerdefinierten App-Einstellungen des IdP.
Geben Sie die URL für einmaliges Anmelden Ihrer App ein, die Sie im vorherigen Schritt kopiert haben. Einige Anbieter bezeichnen die Single Sign-On-URL möglicherweise alsAntwort-URL
Fügen Sie den App-Eigenschaften die Attribute und Werte hinzu, die Sie im vorherigen Schritt kopiert haben. Einige Anbieter bezeichnen sie möglicherweise als Benutzerattribute oder Ansprüche.
Wenn Ihre Attribute für neue Apps auf 1024 Zeichen begrenzt sind, erstellen Sie die App zunächst ohne die relevanten Attribute und fügen diese anschließend hinzu, indem Sie die App bearbeiten.
Überprüfen Sie, ob der Namensbezeichner das Format einer E-Mail-Adresse aufweist.
Denken Sie daran, die Einstellungen zu speichern, wenn Sie fertig sind.
Kehren Sie zu Defender for Cloud Apps zurück, und kopieren Sie auf der Seite APP-ÄNDERUNGEN des Assistenten die SAML-URL für einmaliges Anmelden. Laden Sie anschließend das SAML-Zertifikat für Microsoft Defender for Cloud Apps herunter. Die SAML-URL für einmaliges Anmelden ist eine angepasste URL für Ihre App zur Verwendung mit der App-Steuerung für bedingten Zugriff von Defender for Cloud Apps.
Navigieren Sie zum Portal Ihrer App, und konfigurieren Sie die Einstellungen für einmaliges Anmelden wie folgt:
- (Empfohlen) Erstellen Sie eine Sicherung Ihrer aktuellen Einstellungen.
- Ersetzen Sie den Wert im Feld für die Anmelde-URL des Identitätsanbieters durch die SAML-URL für einmaliges Anmelden von Defender for Cloud Apps, die Sie im vorherigen Schritt kopiert haben. Der spezifische Name für dieses Feld ist von Ihrer App abhängig.
- Laden Sie das SAML-Zertifikat für Defender for Cloud Apps hoch, das Sie im vorherigen Schritt heruntergeladen haben.
- Speichern Sie Ihre Änderungen.
Wählen Sie im Assistenten Fertig stellen aus, um die Konfiguration abzuschließen.
Nach dem Speichern der Einstellungen für einmaliges Anmelden Ihrer App mit den von Defender for Cloud Apps angepassten Werten werden alle entsprechenden Anmeldeanforderungen für die App über Defender for Cloud Apps und die App-Steuerung für bedingten Zugriff geleitet.
Hinweis
Das SAML-Zertifikat für Defender for Cloud Apps ist für 1 Jahr gültig. Nach dem Ablauf müssen Sie ein neues Zertifikat generieren und hochladen.
Melden Sie sich bei Ihrer App mit einem Benutzerkonto im Geltungsbereich der Richtlinie an
Melden Sie sich nach der Erstellung der Zugriffs- oder Sitzungsrichtlinie bei jeder App an, die in der Richtlinie konfiguriert ist. Achten Sie darauf, sich zuerst von allen vorhandenen Sitzungen abzumelden und dann mit einem Benutzerkonto anzumelden, das in der Richtlinie konfiguriert ist.
Defender for Cloud Apps synchronisiert Ihre Richtliniendetails für jede neue App, in der Sie sich anmelden, auf deren Server. Dies kann bis zu einer Minute dauern.
Weitere Informationen finden Sie unter:
- Erstellen einer Microsoft Defender for Cloud Apps-Zugriffsrichtlinie.
- Erstellen von Microsoft Defender for Cloud Apps-Sitzungsrichtlinien.
Überprüfen Sie, ob Apps für die Verwendung von Zugriffs- und Sitzungssteuerelementen konfiguriert sind
In diesem Verfahren wird beschrieben, wie Sie überprüfen, ob Ihre Apps für die Verwendung der Zugriffs- und Sitzungssteuerelemente in Defender for Cloud Apps konfiguriert sind, und wie Sie diese Einstellungen konfigurieren, wenn notwendig.
Hinweis
Sie können die Sitzungssteuerungseinstellungen für eine App nicht entfernen. Das Verhalten wird erst geändert, wenn Sie eine Sitzungs- oder Zugriffsrichtlinie für die App konfigurieren.
Wählen Sie in Microsoft Defender XDR Einstellungen > Cloud Apps > Verbundene Apps > Apps für App-Steuerung für bedingten Zugriff aus.
Suchen Sie in der App-Tabelle nach Ihrer App, und überprüfen Sie den Spaltenwert für IDP-Typ. Stellen Sie sicher, dass Andere als Microsoft-Authentifizierungs-App und Sitzungssteuerung für Ihre App angezeigt werden.
Zugehöriger Inhalt
- Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps
- Bereitstellen der App-Steuerung für bedingten Zugriff für benutzerdefinierte Apps mit IdPs, die nicht von Microsoft stammen
- Problembehandlung für Zugriffs- und Sitzungssteuerung
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.