Dołączanie niestandardowych aplikacji innych niż Microsoft IdP do kontroli aplikacji dostępu warunkowego

Kontrola dostępu i sesji w aplikacjach Microsoft Defender dla Chmury współdziała zarówno z katalogiem, jak i aplikacjami niestandardowymi. Podczas gdy aplikacje Microsoft Entra ID są automatycznie dołączane do korzystania z kontroli aplikacji dostępu warunkowego, jeśli pracujesz z dostawcą tożsamości innej niż Microsoft, musisz ręcznie dołączyć aplikację.

W tym artykule opisano, jak skonfigurować dostawcę tożsamości do pracy z aplikacjami Defender dla Chmury, a następnie ręcznie dołączyć każdą aplikację niestandardową. Z kolei aplikacje wykazu z dostawcy tożsamości innych niż Microsoft są automatycznie dołączane podczas konfigurowania integracji między dostawcą tożsamości a aplikacjami Defender dla Chmury.

Wymagania wstępne

• Aby móc korzystać z kontroli dostępu warunkowego, organizacja musi mieć następujące licencje:

  • Licencja wymagana przez rozwiązanie dostawcy tożsamości
  • Microsoft Defender for Cloud Apps

• Aplikacje muszą być skonfigurowane przy użyciu logowania jednokrotnego

• Aplikacje muszą być skonfigurowane przy użyciu protokołu uwierzytelniania SAML 2.0.

Dodawanie administratorów do listy dołączania/konserwacji aplikacji

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje > w chmurze Aplikacja kontroli > dostępu warunkowego do aplikacji dołączania/konserwacji.

2. Wprowadź nazwy użytkowników lub wiadomości e-mail użytkowników, którzy będą dołączać aplikację, a następnie wybierz pozycję Zapisz.

Aby uzyskać więcej informacji, zobacz Diagnozowanie i rozwiązywanie problemów z paskiem narzędzi Widok administratora.

Konfigurowanie dostawcy tożsamości do pracy z aplikacjami Defender dla Chmury

W tej procedurze opisano sposób kierowania sesji aplikacji z innych rozwiązań dostawcy tożsamości do Defender dla Chmury Apps.

Aby skonfigurować dostawcę tożsamości do pracy z aplikacjami Defender dla Chmury:

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje > w chmurze Połączone aplikacje> aplikacje kontroli dostępu warunkowego aplikacji.

2. Na stronie Aplikacje kontroli dostępu warunkowego aplikacji wybierz pozycję + Dodaj.

3. W oknie dialogowym Dodawanie aplikacji SAML z dostawcą tożsamości wybierz listę rozwijaną Wyszukaj aplikację, a następnie wybierz aplikację, którą chcesz wdrożyć. Po wybraniu aplikacji wybierz pozycję Uruchom kreatora.

4. Na stronie INFORMACJE O aplikacji kreatora przekaż plik metadanych z aplikacji lub wprowadź dane aplikacji ręcznie.

   Upewnij się, że podaj następujące informacje:

   • Adres URL usługi assertion consumer service. Jest to adres URL używany przez aplikację do odbierania asercji SAML od dostawcy tożsamości.
   • Certyfikat SAML, jeśli aplikacja go udostępnia. W takich przypadkach wybierz pozycję Użyj ... Opcja certyfikatu SAML, a następnie przekaż plik certyfikatu.

   Po zakończeniu wybierz przycisk Dalej , aby kontynuować.

5. Na stronie DOSTAWCA TOŻSAMOŚCI kreatora postępuj zgodnie z instrukcjami, aby skonfigurować nową aplikację niestandardową w portalu dostawcy tożsamości.

   Uwaga

   Wymagane kroki mogą się różnić w zależności od dostawcy tożsamości. Zalecamy wykonanie konfiguracji zewnętrznej zgodnie z opisem z następujących powodów:

   • Niektórzy dostawcy tożsamości nie zezwalają na zmianę atrybutów SAML ani właściwości adresu URL aplikacji galerii/katalogu.
   • Podczas konfigurowania aplikacji niestandardowej możesz przetestować aplikację przy użyciu kontroli dostępu do aplikacji Defender dla Chmury i kontroli sesji bez zmiany istniejącego skonfigurowanego zachowania organizacji.

   Skopiuj informacje o konfiguracji logowania jednokrotnego aplikacji, aby użyć ich w dalszej części tej procedury. Po zakończeniu wybierz przycisk Dalej , aby kontynuować.

6. Kontynuuj pracę na stronie DOSTAWCA TOŻSAMOŚCI kreatora, przekaż plik metadanych z dostawcy tożsamości lub wprowadź dane aplikacji ręcznie.

   Upewnij się, że podaj następujące informacje:

   • Adres URL usługi logowania jednokrotnego. Jest to adres URL używany przez dostawcę tożsamości do odbierania żądań logowania jednokrotnego.
   • Certyfikat SAML, jeśli dostawca tożsamości go udostępnia. W takich przypadkach wybierz opcję Użyj certyfikatu SAML dostawcy tożsamości, a następnie przekaż plik certyfikatu.

7. Kontynuuj na stronie DOSTAWCA TOŻSAMOŚCI kreatora, skopiuj zarówno adres URL logowania jednokrotnego, jak i wszystkie atrybuty i wartości do użycia w dalszej części tej procedury.

   Gdy wszystko będzie gotowe, wybierz przycisk Dalej , aby kontynuować.

8. Przejdź do portalu dostawcy tożsamości i wprowadź wartości skopiowane do konfiguracji dostawcy tożsamości. Zazwyczaj te ustawienia znajdują się w obszarze niestandardowych ustawień aplikacji dostawcy tożsamości.

   1. Wprowadź adres URL logowania jednokrotnego aplikacji skopiowany z poprzedniego kroku. Niektórzy dostawcy mogą odwoływać się do adresu URL logowania jednokrotnego jako adresu URL odpowiedzi.

   2. Dodaj atrybuty i wartości skopiowane z poprzedniego kroku do właściwości aplikacji. Niektórzy dostawcy mogą odwoływać się do nich jako atrybuty użytkownika lub oświadczenia.

      Jeśli atrybuty są ograniczone do 1024 znaków dla nowych aplikacji, najpierw utwórz aplikację bez odpowiednich atrybutów i dodaj je później, edytując aplikację.

   3. Sprawdź, czy identyfikator nazwy jest w formacie adresu e-mail.

   4. Pamiętaj, aby zapisać ustawienia po zakończeniu.

9. Po powrocie do aplikacji Defender dla Chmury na stronie ZMIANY aplikacji kreatora skopiuj adres URL logowania jednokrotnego SAML i pobierz certyfikat SAML aplikacji Microsoft Defender dla Chmury Apps. Adres URL logowania jednokrotnego SAML jest dostosowanym adresem URL aplikacji w przypadku użycia z kontrolą aplikacji dostępu warunkowego Defender dla Chmury Apps.

10. Przejdź do portalu aplikacji i skonfiguruj ustawienia logowania jednokrotnego w następujący sposób:

    1. (Zalecane) Utwórz kopię zapasową bieżących ustawień.
    2. Zastąp wartość pola Adres URL logowania dostawcy tożsamości adresem URL logowania jednokrotnego saml aplikacji Defender dla Chmury Apps skopiowanym z poprzedniego kroku. Określona nazwa tego pola może się różnić w zależności od aplikacji.
    3. Przekaż certyfikat SAML aplikacji Defender dla Chmury pobrany w poprzednim kroku.
    4. Pamiętaj, aby zapisać zmiany.

11. W kreatorze wybierz pozycję Zakończ , aby ukończyć konfigurację.

Po zapisaniu ustawień logowania jednokrotnego aplikacji z wartościami dostosowanymi przez aplikacje Defender dla Chmury wszystkie skojarzone żądania logowania do aplikacji są kierowane mimo Defender dla Chmury aplikacje i kontrola dostępu warunkowego.

Dołączanie aplikacji do kontroli dostępu warunkowego

Jeśli pracujesz z aplikacją niestandardową, która nie jest automatycznie wypełniana w wykazie aplikacji, musisz dodać ją ręcznie.

Aby sprawdzić, czy aplikacja jest już dodana:

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia > Aplikacje w chmurze Połączone aplikacje> aplikacje > kontroli dostępu warunkowego.

2. Wybierz menu rozwijane Aplikacja: Wybierz aplikacje..., aby wyszukać aplikację.

Jeśli twoja aplikacja jest już wymieniona, kontynuuj procedurę dla aplikacji wykazu.

Aby ręcznie dodać aplikację:

1. Jeśli masz nowe aplikacje, w górnej części strony zostanie wyświetlony baner z powiadomieniem, że masz nowe aplikacje do dołączenia. Wybierz link Wyświetl nowe aplikacje, aby je wyświetlić.

2. W oknie dialogowym Odnalezione aplikacje usługi Azure AD znajdź aplikację, na przykład według wartości Adres URL logowania. + Wybierz przycisk, a następnie pozycję Dodaj, aby dodać go jako aplikację niestandardową.

Instalowanie certyfikatów głównych

Upewnij się, że używasz poprawnego bieżącego urzędu certyfikacji lub następnego urzędu certyfikacji dla każdej aplikacji.

Aby zainstalować certyfikaty, powtórz następujący krok dla każdego certyfikatu:

1. Otwórz i zainstaluj certyfikat, wybierając pozycję Bieżący użytkownik lub Komputer lokalny.

2. Po wyświetleniu monitu o miejsce, w którym chcesz umieścić certyfikaty, przejdź do pozycji Zaufane główne urzędy certyfikacji.

3. Wybierz przycisk OK i zakończ zgodnie z potrzebami, aby wykonać procedurę.

4. Uruchom ponownie przeglądarkę, otwórz ponownie aplikację i wybierz pozycję Kontynuuj po wyświetleniu monitu.

5. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia Aplikacje w chmurze Aplikacje połączone aplikacje > >Kontroli dostępu warunkowego aplikacji i upewnij się, że aplikacja jest nadal wymieniona w tabeli.>

Aby uzyskać więcej informacji, zobacz Aplikacja nie jest wyświetlana na stronie aplikacji kontroli dostępu warunkowego aplikacji.

Powiązana zawartość

• Ochrona aplikacji za pomocą kontroli dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps
• Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji wykazu przy użyciu dostawców tożsamości innych niż Microsoft
• Rozwiązywanie problemów z kontrolą dostępu i sesji

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.