Megosztás a következőn keresztül:

Nem Microsoft identitásszolgáltatóval rendelkező egyéni alkalmazások előkészítése feltételes hozzáférésű alkalmazásvezérléshez

  • Cikk

A felhőalkalmazások Microsoft Defender hozzáférés- és munkamenet-vezérlői a katalógussal és az egyéni alkalmazásokkal is működnek. Bár Microsoft Entra ID alkalmazások automatikusan elő vannak készítve a feltételes hozzáférésű alkalmazásvezérlő használatára, ha nem Microsoft identitásszolgáltatóval dolgozik, manuálisan kell elővennie az alkalmazást.

Ez a cikk azt ismerteti, hogyan konfigurálhatja az identitásszolgáltatót úgy, hogy az Defender for Cloud Apps működjön, majd manuálisan is regisztrálja az egyes egyéni alkalmazásokat. Ezzel szemben a nem Microsoft identitásszolgáltatótól származó katalógusalkalmazások automatikusan elő lesznek készítve, amikor konfigurálja az identitásszolgáltató és a Defender for Cloud Apps közötti integrációt.

Előfeltételek

  • A szervezetnek a következő licencekkel kell rendelkeznie a feltételes hozzáférésű alkalmazásvezérlés használatához:

    • Az identitásszolgáltató (IdP) megoldásához szükséges licenc
    • Microsoft Defender for Cloud Apps

  • Az alkalmazásokat egyszeri bejelentkezéssel kell konfigurálni

  • Az alkalmazásokat az SAML 2.0 hitelesítési protokollal kell konfigurálni.

Rendszergazdák hozzáadása az alkalmazás előkészítési/karbantartási listájához

  1. A Microsoft Defender XDR válassza a Beállítások > Felhőalkalmazások > feltételes hozzáférésű alkalmazásvezérlő > alkalmazás előkészítése/karbantartása lehetőséget.

  2. Adja meg minden olyan felhasználó felhasználónevét vagy e-mail-címét, aki be fogja írni az alkalmazást, majd válassza a Mentés lehetőséget.

További információ: Diagnosztizálás és hibaelhárítás a Rendszergazda Nézet eszköztárral.

Az identitásszolgáltató konfigurálása a Defender for Cloud Apps

Ez az eljárás azt ismerteti, hogyan irányíthatja az alkalmazás-munkameneteket más identitásszolgáltatói megoldásokból a Defender for Cloud Apps.

Tipp

Az alábbi cikkek részletes példákat nyújtanak erre az eljárásra:

Az identitásszolgáltató konfigurálása az Defender for Cloud Apps való együttműködésre:

  1. A Microsoft Defender XDR válassza a Beállítások > Felhőalkalmazások > csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlési alkalmazásai lapon válassza a + Hozzáadás lehetőséget.

  3. Az SAML-alkalmazás hozzáadása az identitásszolgáltatóval párbeszédpanelen válassza az Alkalmazás keresése legördülő listát, majd válassza ki az üzembe helyezni kívánt alkalmazást. Ha az alkalmazás ki van jelölve, válassza a Varázsló indítása lehetőséget.

  4. A varázsló ALKALMAZÁSADATOK lapján töltsön fel egy metaadatfájlt az alkalmazásból, vagy adja meg manuálisan az alkalmazásadatokat.

    Mindenképpen adja meg a következő információkat:

    • Az Assertion fogyasztói szolgáltatás URL-címe. Az alkalmazás ezt az URL-címet használja az SAML-helyességi feltételek identitásszolgáltatótól való fogadására.
    • SAML-tanúsítvány, ha az alkalmazás rendelkezik ilyen tanúsítvánnyal. Ilyen esetekben válassza a Használat ... lehetőséget. SAML-tanúsítvány lehetőség, majd töltse fel a tanúsítványfájlt.

    Ha végzett, válassza a Tovább gombot a folytatáshoz.

  5. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján kövesse az utasításokat egy új egyéni alkalmazás beállításához az identitásszolgáltató portálján.

    Megjegyzés:

    A szükséges lépések az identitásszolgáltatótól függően eltérőek lehetnek. Javasoljuk, hogy a következő okokból végezze el a külső konfigurációt:

    • Egyes identitásszolgáltatók nem teszik lehetővé a katalógus- vagy katalógusalkalmazásOK SAML-attribútumainak vagy URL-tulajdonságainak módosítását.
    • Egyéni alkalmazás konfigurálásakor a szervezet meglévő konfigurált viselkedésének módosítása nélkül tesztelheti az alkalmazást Defender for Cloud Apps hozzáférés- és munkamenet-vezérlőkkel.

    Másolja ki az alkalmazás egyszeri bejelentkezési konfigurációs adatait az eljárás későbbi részében való használathoz. Ha végzett, válassza a Tovább gombot a folytatáshoz.

  6. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján folytatva töltsön fel egy metaadatfájlt az identitásszolgáltatóból, vagy adja meg manuálisan az alkalmazásadatokat.

    Mindenképpen adja meg a következő információkat:

    • Az egyszeri bejelentkezési szolgáltatás URL-címe. Az identitásszolgáltató ezt az URL-címet használja az egyszeri bejelentkezési kérések fogadásához.
    • SAML-tanúsítvány, ha az identitásszolgáltató rendelkezik ilyen tanúsítvánnyal. Ilyen esetekben válassza az Identitásszolgáltató SAML-tanúsítványának használata lehetőséget, majd töltse fel a tanúsítványfájlt.

  7. A varázsló IDENTITÁSSZOLGÁLTATÓ lapján folytatva másolja ki az egyszeri bejelentkezési URL-címet, valamint az eljárás későbbi részében használni kívánt összes attribútumot és értéket.

    Ha elkészült, válassza a Tovább gombot a folytatáshoz.

  8. Keresse meg az identitásszolgáltató portálját, és adja meg az identitásszolgáltató konfigurációjába másolt értékeket. Ezek a beállítások általában az identitásszolgáltató egyéni alkalmazásbeállítási területén találhatók.

    1. Adja meg az alkalmazás előző lépésből kimásolt egyszeri bejelentkezési URL-címét. Egyes szolgáltatók válasz URL-címként hivatkozhatnak az egyszeri bejelentkezési URL-címre.

    2. Adja hozzá az előző lépésből másolt attribútumokat és értékeket az alkalmazás tulajdonságaihoz. Egyes szolgáltatók felhasználói attribútumként vagy jogcímként hivatkozhatnak rájuk.

      Ha az attribútumok legfeljebb 1024 karakter hosszúak az új alkalmazásokhoz, először hozza létre az alkalmazást a megfelelő attribútumok nélkül, majd az alkalmazás szerkesztésével adja hozzá őket.

    3. Ellenőrizze, hogy a névazonosító e-mail-cím formátumban van-e.

    4. Ha végzett, mentse a beállításokat.

  9. Térjen vissza Defender for Cloud Apps, a varázsló APP CHANGES (ALKALMAZÁSVÁLTOZÁSOK) lapján másolja ki az SAML egyszeri bejelentkezési URL-címét, és töltse le a Microsoft Defender for Cloud Apps SAML-tanúsítványt. Az SAML egyszeri bejelentkezési URL-címe az alkalmazás testreszabott URL-címe, ha Defender for Cloud Apps feltételes hozzáférésű alkalmazásvezérlővel használja.

  10. Keresse meg az alkalmazás portálját, és konfigurálja az egyszeri bejelentkezési beállításokat az alábbiak szerint:

    1. (Ajánlott) Készítsen biztonsági másolatot az aktuális beállításokról.
    2. Cserélje le az identitásszolgáltató bejelentkezési URL-címe mező értékét az előző lépésből kimásolt Defender for Cloud Apps SAML egyszeri bejelentkezési URL-címre. A mező neve az alkalmazástól függően eltérő lehet.
    3. Töltse fel az előző lépésben letöltött Defender for Cloud Apps SAML-tanúsítványt.
    4. Mentse a módosításokat.

  11. A varázslóban válassza a Befejezés lehetőséget a konfiguráció befejezéséhez.

Miután mentette az alkalmazás egyszeri bejelentkezési beállításait a Defender for Cloud Apps által testre szabott értékekkel, a rendszer az alkalmazáshoz társított összes bejelentkezési kérést átirányítja a Defender for Cloud Apps és a Feltételes hozzáférés alkalmazásvezérlővel együtt.

Megjegyzés:

A Defender for Cloud Apps SAML-tanúsítvány 1 évig érvényes. A lejárat után létre kell hoznia egy újat.

Alkalmazás előkészítése feltételes hozzáférésű alkalmazásvezérléshez

Ha olyan egyéni alkalmazással dolgozik, amely nincs automatikusan feltöltve az alkalmazáskatalógusban, manuálisan kell hozzáadnia.

Annak ellenőrzése, hogy az alkalmazás már hozzá van-e adva:

  1. A Microsoft Defender XDR válassza a Beállítások > Felhőalkalmazások > Csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget.

  2. Válassza az Alkalmazás: Alkalmazások kiválasztása... legördülő menüt az alkalmazás kereséséhez.

Ha az alkalmazás már szerepel a listában, folytassa a katalógusalkalmazások eljárásával.

Az alkalmazás manuális hozzáadása:

  1. Ha új alkalmazásai vannak, az oldal tetején megjelenik egy szalagcím, amely értesíti, hogy új alkalmazásokat kell bevetnie. Az új alkalmazások megtekintéséhez kattintson az Új alkalmazások megtekintése hivatkozásra.

  2. A Felderített Azure AD alkalmazások párbeszédpanelen keresse meg az alkalmazást, például a Bejelentkezési URL-cím értéke alapján. Kattintson a gombra, majd a +Hozzáadás gombra, hogy egyéni alkalmazásként regisztrálhassa.

Főtanúsítványok telepítése

Győződjön meg arról, hogy az egyes alkalmazásokhoz a megfelelő aktuális vagykövetkező hitelesítésszolgáltatói tanúsítványokat használja.

A tanúsítványok telepítéséhez ismételje meg a következő lépéseket minden tanúsítvány esetében:

  1. Nyissa meg és telepítse a tanúsítványt, és válassza az Aktuális felhasználó vagy a Helyi gép lehetőséget.

  2. Amikor a rendszer arra kéri, hogy hová szeretné helyezni a tanúsítványokat, keresse meg a Megbízható főtanúsítvány-hitelesítésszolgáltatók elemet.

  3. Az eljárás befejezéséhez válassza az OK és a Befejezés lehetőséget.

  4. Indítsa újra a böngészőt, nyissa meg újra az alkalmazást, és amikor a rendszer kéri, válassza a Folytatás lehetőséget.

  5. A Microsoft Defender XDR válassza a Beállítások > Felhőalkalmazások > Csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget, és győződjön meg arról, hogy az alkalmazás továbbra is szerepel a táblázatban.

További információ: Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások oldalán.

Kapcsolódó tartalom

Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.