Registrera icke-Microsoft IdP-katalogappar för appkontroll för villkorsstyrd åtkomst
Åtkomst- och sessionskontroller i Microsoft Defender för molnappar fungerar med både katalog- och anpassade appar. Även om Microsoft Entra-ID-appar registreras automatiskt för att använda appkontroll för villkorsstyrd åtkomst, måste du registrera appen manuellt om du arbetar med en IdP som inte är från Microsoft.
Den här artikeln beskriver hur du konfigurerar din IdP så att den fungerar med Defender för Cloud Apps. När du integrerar din IdP med Defender for Cloud Apps registreras automatiskt alla katalogappar från din IdP för appkontroll för villkorsstyrd åtkomst.
Förutsättningar
Din organisation måste ha följande licenser för att använda appkontroll för villkorsstyrd åtkomst:
- Den licens som krävs av din identitetsproviderlösning (IdP)
- Microsoft Defender för Cloud Apps
Appar måste konfigureras med enkel inloggning
Appar måste konfigureras med SAML 2.0-autentiseringsprotokollet.
För att kunna utföra och testa procedurerna i den här artikeln måste du ha en konfigurerad sessions- eller åtkomstprincip. Mer information finns i:
- Skapa åtkomstprinciper för Microsoft Defender för Cloud Apps
- Skapa sessionsprinciper för Microsoft Defender för Cloud Apps
Konfigurera din IdP så att den fungerar med Defender for Cloud Apps
Den här proceduren beskriver hur du dirigerar appsessioner från andra IdP-lösningar till Defender for Cloud Apps.
Dricks
Följande artiklar innehåller detaljerade exempel på den här proceduren:
Så här konfigurerar du din IdP så att den fungerar med Defender for Cloud Apps:
I Microsoft Defender XDR väljer du Inställningar > Cloud Apps > Connected Apps > Conditional Access App Control-appar.
På sidan Appar för appkontroll för villkorsstyrd åtkomst väljer du + Lägg till.
I dialogrutan Lägg till ett SAML-program med din identitetsprovider väljer du listrutan Sök efter en app och väljer sedan den app som du vill distribuera. När appen är vald väljer du Startguiden.
På guidens appinformationssida laddar du antingen upp en metadatafil från din app eller anger appdata manuellt.
Ange följande information:
- Url: en för konsumenttjänsten för försäkran. Det här är den URL som appen använder för att ta emot SAML-intyg från din IdP.
- Ett SAML-certifikat, om din app tillhandahåller ett. I sådana fall väljer du Använd ... SAML-certifikatalternativ och ladda sedan upp certifikatfilen.
När du är klar väljer du Nästa för att fortsätta.
På sidan IDENTITETSPROVIDER i guiden följer du anvisningarna för att konfigurera en ny anpassad app i IdP-portalen.
Kommentar
De steg som krävs kan variera beroende på din IdP. Vi rekommenderar att du utför den externa konfigurationen enligt beskrivningen av följande orsaker:
- Vissa identitetsprovidrar tillåter inte att du ändrar SAML-attributen eller URL-egenskaperna för ett galleri/katalogprogram.
- När du konfigurerar en anpassad app kan du testa appen med åtkomst- och sessionskontroller för Defender för Cloud Apps, utan att ändra organisationens befintliga konfigurerade beteende.
Kopiera konfigurationsinformationen för enkel inloggning för appen för användning senare i den här proceduren. När du är klar väljer du Nästa för att fortsätta.
Om du fortsätter på sidan IDENTITETSPROVIDER i guiden laddar du antingen upp en metadatafil från din IdP eller anger appdata manuellt.
Ange följande information:
- Url :en för tjänsten för enkel inloggning. Det här är den URL som din IdP använder för att ta emot begäranden om enkel inloggning.
- Ett SAML-certifikat, om din IdP tillhandahåller ett. I sådana fall väljer du alternativet Använd identitetsproviderns SAML-certifikat och laddar sedan upp certifikatfilen.
Om du fortsätter på sidan IDENTITETSPROVIDER i guiden kopierar du både URL:en för enkel inloggning och alla attribut och värden för användning senare i den här proceduren.
När du är klar väljer du Nästa för att fortsätta.
Bläddra till IdP-portalen och ange de värden som du kopierade till din IdP-konfiguration. De här inställningarna finns vanligtvis i ditt IdP:s anpassade appinställningar.
Ange appens url för enkel inloggning som du kopierade från föregående steg. Vissa leverantörer kan referera till url:en för enkel inloggning som svars-URL.
Lägg till de attribut och värden som du kopierade från föregående steg till appens egenskaper. Vissa leverantörer kan referera till dem som användarattribut eller anspråk.
Om dina attribut är begränsade till 1 024 tecken för nya appar skapar du först appen utan relevanta attribut och lägger till dem efteråt genom att redigera appen.
Kontrollera att namnidentifieraren är i formatet för en e-postadress.
Spara inställningarna när du är klar.
I Defender för Cloud Apps kopierar du SAML-url:en för enkel inloggning på sidan APPÄNDRINGAR i guiden och laddar ned SAML-certifikatet för Microsoft Defender för Cloud Apps. URL:en för enkel inloggning med SAML är en anpassad URL för din app när den används med appkontrollen För villkorsstyrd åtkomst i Defender för Cloud Apps.
Bläddra till appens portal och konfigurera inställningarna för enkel inloggning på följande sätt:
- (Rekommenderas) Skapa en säkerhetskopiering av dina aktuella inställningar.
- Ersätt värdet för inloggnings-URL för identitetsprovidern med den SAML-url för enkel inloggning med Defender for Cloud Apps som du kopierade från föregående steg. Det specifika namnet på det här fältet kan variera beroende på din app.
- Ladda upp SAML-certifikatet för Defender for Cloud Apps som du laddade ned i föregående steg.
- Spara ändringarna.
I guiden väljer du Slutför för att slutföra konfigurationen.
När du har sparat appens inställningar för enkel inloggning med de värden som har anpassats av Defender för Cloud Apps dirigeras alla associerade inloggningsbegäranden till appen genom defender för molnappar och appkontroll för villkorsstyrd åtkomst.
Kommentar
SAML-certifikatet för Defender for Cloud Apps är giltigt i 1 år. När den har upphört att gälla måste du generera och ladda upp en ny.
Logga in på din app med en användare som är begränsad till principen
När du har skapat din åtkomst- eller sessionsprincip loggar du in på varje app som konfigurerats i principen. Kontrollera att du först har loggat ut från alla befintliga sessioner och att du loggar in med en användare som har konfigurerats i principen.
Defender för Cloud Apps synkroniserar din principinformation till sina servrar för varje ny app som du loggar in på. Det kan ta upp till en minut.
Mer information finns i:
- Skapa åtkomstprinciper för Microsoft Defender för Cloud Apps
- Skapa sessionsprinciper för Microsoft Defender för Cloud Apps
Kontrollera att appar har konfigurerats för att använda åtkomst- och sessionskontroller
Den här proceduren beskriver hur du kontrollerar att dina appar har konfigurerats för att använda åtkomst- och sessionskontroller i Defender för Molnappar och konfigurera dessa inställningar om det behövs.
Kommentar
Du kan inte ta bort sessionskontrollinställningar för en app, men inget beteende ändras förrän du har konfigurerat en sessions- eller åtkomstprincip för appen.
I Microsoft Defender XDR väljer du Inställningar > Molnappar > Anslutna appar > Villkorlig åtkomst AppKontrollappar.
I tabellen Appar söker du efter din app och kontrollerar kolumnvärdet för IDP-typ . Kontrollera att icke-MS-autentiseringsappen och sessionskontrollen visas för din app.
Relaterat innehåll
- Skydda appar med appkontroll för villkorsstyrd åtkomst i Microsoft Defender för Cloud Apps
- Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med icke-Microsoft-identitetsprovidrar
- Felsöka åtkomst- och sessionskontroller
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.