Подключение пользовательских приложений, отличных от Майкрософт IdP, для управления условным доступом

Элементы управления доступом и сеансом в Microsoft Defender для облака приложения работают как с каталогом, так и с пользовательскими приложениями. Хотя приложения Microsoft Entra ID автоматически подключены для использования управления условным доступом, если вы работаете с не Microsoft IdP, вам потребуется подключить приложение вручную.

В этой статье описывается настройка поставщика удостоверений для работы с приложениями Defender для облака, а также подключение каждого пользовательского приложения вручную. В отличие от этого, приложения каталога из поставщика удостоверений, отличных от Майкрософт, автоматически подключаются при настройке интеграции между idP и приложениями Defender для облака.

Необходимые компоненты

  • У вашей организации должны быть следующие лицензии для использования управления условным доступом:

    • Лицензия, требуемая решением поставщика удостоверений (IdP)
    • Microsoft Defender для облачных приложений
  • Приложения должны быть настроены с помощью единого входа

  • Приложения должны быть настроены с помощью протокола проверки подлинности SAML 2.0.

Добавление администраторов в список подключений или обслуживания приложения

  1. В XDR в Microsoft Defender выберите параметры > условного доступа к приложению для управления > условным доступом к облачным приложениям>.

  2. Введите имена пользователей или сообщения электронной почты всех пользователей, которые будут подключены к приложению, а затем нажмите кнопку "Сохранить".

Дополнительные сведения см. в разделе "Диагностика и устранение неполадок" на панели инструментов "Представление администратора".

Настройка поставщика удостоверений для работы с приложениями Defender для облака

В этой процедуре описывается маршрутизация сеансов приложений из других решений поставщика удостоверений в Defender для облака приложения.

Совет

В следующих статьях приведены подробные примеры этой процедуры:

Чтобы настроить поставщика удостоверений для работы с приложениями Defender для облака:

  1. В XDR в Microsoft Defender выберите "Параметры облачных приложений>, подключенных > к приложениям > с условным доступом".

  2. На странице приложений управления условным доступом нажмите кнопку +Добавить.

  3. В диалоговом окне "Добавление приложения SAML с поставщиком удостоверений" выберите раскрывающийся список поиска приложения, а затем выберите приложение, которое вы хотите развернуть. Выбрав приложение, выберите мастер запуска.

  4. На странице APP INFORMATION мастера отправьте файл метаданных из приложения или введите данные приложения вручную.

    Обязательно укажите следующие сведения:

    • URL-адрес службы потребителей утверждений. Это URL-адрес, который приложение использует для получения утверждений SAML от поставщика удостоверений.
    • Сертификат SAML, если приложение предоставляет его. В таких случаях выберите команду Use ... Параметр сертификата SAML и отправка файла сертификата .

    По завершении нажмите кнопку "Далее ".

  5. На странице поставщика удостоверений мастера следуйте инструкциям по настройке нового настраиваемого приложения на портале поставщика удостоверений.

    Примечание.

    Необходимые шаги могут отличаться в зависимости от поставщика удостоверений. Рекомендуется выполнить внешнюю конфигурацию, как описано по следующим причинам:

    • Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или СВОЙСТВА URL-адреса коллекции или приложения каталога.
    • При настройке настраиваемого приложения можно протестировать приложение с помощью Defender для облака приложений и элементов управления доступом к сеансам, не изменяя существующее настроенное поведение вашей организации.

    Скопируйте сведения о конфигурации единого входа приложения для последующего использования в этой процедуре. По завершении нажмите кнопку "Далее ".

  6. Продолжая работу со страницей поставщика удостоверений мастера, отправьте файл метаданных из поставщика удостоверений или введите данные приложения вручную.

    Обязательно укажите следующие сведения:

    • URL-адрес службы единого входа. Это URL-адрес, который идентификатор поставщика удостоверений использует для получения запросов единого входа.
    • Сертификат SAML, если поставщик удостоверений предоставляет один. В таких случаях выберите параметр сертификата SAML поставщика удостоверений и отправьте файл сертификата.
  7. Продолжая работу на странице поставщика удостоверений мастера, скопируйте URL-адрес единого входа и все атрибуты и значения, которые будут использоваться далее в этой процедуре.

    После завершения нажмите кнопку "Далее ".

  8. Перейдите на портал поставщика удостоверений и введите значения, скопированные в конфигурацию поставщика удостоверений. Как правило, эти параметры находятся в области пользовательских параметров приложения поставщика удостоверений.

    1. Введите URL-адрес единого входа приложения, скопированный на предыдущем шаге. Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.

    2. Добавьте атрибуты и значения, скопированные на предыдущем шаге, в свойства приложения. Некоторые поставщики могут ссылаться на них как атрибуты пользователя или утверждения.

      Если атрибуты ограничены 1024 символами для новых приложений, сначала создайте приложение без соответствующих атрибутов и добавьте их после этого, изменив приложение.

    3. Убедитесь, что идентификатор имени находится в формате адреса электронной почты.

    4. Не забудьте сохранить параметры после завершения работы.

  9. Вернитесь в Defender для облака Apps на странице ИЗМЕНЕНИЙ ПРИЛОЖЕНИЯ мастера, скопируйте URL-адрес единого входа SAML и скачайте сертификат SAML Microsoft Defender для облака Apps SAML. URL-адрес единого входа SAML — это настраиваемый URL-адрес приложения при использовании с элементом управления условным доступом для приложений Defender для облака.

  10. Перейдите на портал приложения и настройте параметры единого входа следующим образом:

    1. (Рекомендуется) Создайте резервную копию текущих параметров.
    2. Замените значение поля URL-адреса входа поставщика удостоверений url-адресом Defender для облака Apps SAML, скопированным на предыдущем шаге. Конкретное имя этого поля может отличаться в зависимости от приложения.
    3. Отправьте сертификат SAML Defender для облака Apps, скачанный на предыдущем шаге.
    4. Не забудьте сохранить изменения.
  11. В мастере нажмите кнопку "Готово ", чтобы завершить настройку.

После сохранения параметров единого входа приложения со значениями, настроенными Defender для облака Apps, все связанные запросы на вход в приложение направляются, хотя Defender для облака Приложения и управление условным доступом.

Примечание.

Сертификат SAML для приложений Defender для облака действителен в течение 1 года. После истечения срока действия потребуется создать новую.

Подключение приложения для управления условным доступом

Если вы работаете с пользовательским приложением, которое не заполняется автоматически в каталоге приложений, необходимо добавить его вручную.

Чтобы проверить, уже ли приложение добавлено:

  1. В XDR в Microsoft Defender выберите "Параметры подключенных > к облачным приложениям>" приложений >с условным доступом.

  2. Выберите приложение: выберите приложения... раскрывающееся меню для поиска приложения.

Если приложение уже указано, перейдите к процедуре для приложений каталога.

Чтобы добавить приложение вручную, выполните приведенные далее действия.

  1. Если у вас есть новые приложения, вы увидите баннер в верхней части страницы, уведомляя вас о том, что у вас есть новые приложения для подключения. Выберите ссылку "Просмотреть новые приложения", чтобы просмотреть их.

  2. В диалоговом окне "Обнаруженные приложения Azure AD" найдите приложение, например по значению URL-адреса входа. Нажмите кнопку + и добавьте его в качестве настраиваемого приложения.

Установка корневых сертификатов

Убедитесь, что вы используете правильные сертификаты текущего ЦС или следующего ЦС для каждого из ваших приложений.

Чтобы установить сертификаты, повторите следующий шаг для каждого сертификата:

  1. Откройте и установите сертификат, выбрав "Текущий пользователь" или "Локальный компьютер".

  2. При появлении запроса на место размещения сертификатов перейдите к доверенным корневым центрам сертификации.

  3. Нажмите кнопку "ОК" и "Готово", чтобы завершить процедуру.

  4. Перезапустите браузер, снова откройте приложение и нажмите кнопку "Продолжить " при появлении запроса.

  5. В XDR в Microsoft Defender выберите "Параметры подключенных > к облачным приложениям>" приложений >с условным доступом и убедитесь, что ваше приложение по-прежнему указано в таблице.

Дополнительные сведения см. в разделе "Приложение" не отображается на странице приложений управления условным доступом.

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.