Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Элементы управления доступом и сеансами в Microsoft Defender для облачных приложений работают как с каталогом, так и с пользовательскими приложениями. Хотя приложения Microsoft Entra ID автоматически подключаются к использованию средств управления приложениями для условного доступа, при работе со сторонним поставщиком удостоверений вам потребуется добавить приложение вручную.
В этом разделе объясняется, как настроить идентификатор поставщика удостоверений для работы с Defender for Cloud Apps и как вручную подключить каждое пользовательское приложение. Напротив, приложения из каталога поставщика удостоверений, не относящегося к Microsoft, автоматически подключаются при настройке интеграции между вашим поставщиком удостоверений и Defender for Cloud Apps.
Предварительные условия
Ваша организация должна иметь следующие лицензии для использования управления условным доступом к приложениям:
- Лицензия, необходимая для используемого вами решения поставщика удостоверений (IdP)
- Microsoft Defender для облачных приложений
Для приложений необходимо настроить единый вход.
Приложения должны быть настроены с использованием протокола проверки подлинности SAML 2.0.
Добавьте администраторов в список внедрения и сопровождения вашего приложения
Добавьте администраторов, которые будут подключать и поддерживать ваши приложения для функции управления приложениями при условном доступе.
В Microsoft Defender XDR, выберите Параметры > Облачные приложения > Управление приложениями с условным доступом > Подключение и обслуживание приложений.
Введите имена пользователей или адреса электронной почты всех пользователей, которые будут подключены к вашему приложению, а затем нажмите кнопку Сохранить.
Дополнительные сведения см. в статье Диагностика и устранение неполадок с помощью панели инструментов Администратор Вид.
Настройте поставщик удостоверений для работы с Defender for Cloud Apps
Следующая процедура описывает, как маршрутизировать сеансы приложений из других решений IdP в Defender for Cloud Apps.
Совет
В следующих статьях приведены подробные примеры этой процедуры.
Чтобы настроить IdP для работы с Defender for Cloud Apps:
В Microsoft Defender XDR выберите Параметры > Облачные приложения > Подключенные приложения > Приложения Conditional Access App Control.
На странице Приложений управления условным доступом выберите + Добавить.
В диалоговом окне Добавление приложения SAML с помощью вашего поставщика удостоверений выберите раскрывающийся список Поиск приложения, а затем выберите приложение, которое вы хотите развернуть. Выбрав приложение, выберите Запустить мастер.
На странице сведения о приложении мастера отправьте файл метаданных из приложения или введите данные приложения вручную.
Обязательно укажите следующие сведения:
- URL-адрес службы потребителя утверждений. Это URL-адрес, который ваше приложение использует для получения SAML-утверждений от вашего поставщика удостоверений.
- Сертификат SAML, если приложение предоставляет его. В таких случаях выберите вариант Использовать ... сертификат SAML, а затем загрузите файл сертификата.
По завершении нажмите кнопку Далее , чтобы продолжить.
На странице IDENTITY PROVIDER мастера следуйте инструкциям, чтобы настроить новое специальное приложение в портале вашего поставщика удостоверений (IdP).
Примечание.
Необходимые действия могут отличаться в зависимости от вашего IdP. Мы рекомендуем выполнить внешнюю настройку, как описано, по следующим причинам:
- Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или свойства URL-адреса приложения коллекции или каталога.
- При настройке пользовательского приложения можно протестировать приложение с помощью Defender for Cloud Apps управления доступом и сеансом, не изменяя существующее настроенное поведение организации.
Скопируйте данные конфигурации единого входа вашего приложения. Эти значения вы введёте в конфигурацию IdP на более позднем этапе. По завершении нажмите кнопку Далее , чтобы продолжить.
На странице IDENTITY PROVIDER мастера загрузите файл метаданных из вашего IdP или введите данные приложения вручную.
Обязательно укажите следующие сведения:
- URL-адрес службы единого входа. Это URL-адрес, который ваш IdP использует, чтобы получать запросы единого входа.
- Сертификат SAML, если ваш IdP его предоставляет. В таких случаях выберите параметр Использовать сертификат SAML поставщика удостоверений и отправьте файл сертификата.
Продолжая страницу поставщика удостоверений мастера, скопируйте URL-адрес единого входа и все атрибуты и значения, чтобы ввести параметры пользовательского приложения поставщика удостоверений на следующем шаге.
По завершении нажмите кнопку Далее , чтобы продолжить.
Перейдите на портал вашего IdP и введите значения, которые вы ранее скопировали для конфигурации IdP. Как правило, эти параметры находятся в разделе настроек пользовательского приложения в вашем IdP.
Введите URL-адрес единого входа приложения, скопированный на предыдущем шаге. Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.
Добавьте атрибуты и значения, скопированные на предыдущем шаге, в свойства приложения. Некоторые поставщики могут называть их атрибутами пользователя или утверждениями.
Если атрибуты ограничены 1024 символами для новых приложений, сначала создайте приложение без соответствующих атрибутов, а затем добавьте их, изменив приложение.
Убедитесь, что идентификатор вашего имени имеет формат адреса электронной почты.
По завершении обязательно сохраните параметры.
Вернувшись в Defender for Cloud Apps, на странице мастера APP CHANGES скопируйте URL-адрес единого входа SAML и скачайте сертификат SAML Microsoft Defender for Cloud Apps. URL-адрес для единого входа SAML — это специально настроенный URL-адрес для вашего приложения при использовании контроля приложений условного доступа в Defender for Cloud Apps.
Перейдите на портал приложения и настройте параметры единого входа следующим образом:
- (Рекомендуется) Создайте резервную копию текущих параметров.
- Замените значение поля "URL-адрес входа поставщика удостоверений" на URL-адрес единого входа SAML Defender for Cloud Apps, скопированный на предыдущем шаге. Конкретное имя этого поля может отличаться в зависимости от вашего приложения.
- Отправьте сертификат SAML Defender for Cloud Apps, скачанный на предыдущем шаге.
- Обязательно сохраните изменения.
В мастере нажмите кнопку Готово , чтобы завершить настройку.
После сохранения параметров единого входа (SSO) приложения с использованием значений, настроенных в Defender for Cloud Apps, все связанные запросы на вход в это приложение направляются через Defender for Cloud Apps и управление приложениями условного доступа.
Примечание.
Сертификат SAML Defender for Cloud Apps действителен в течение 1 года. По истечении срока действия необходимо создать новый.
Подключите приложение для контроля приложений условного доступа
Если вы работаете с пользовательским приложением, которое не заполняется автоматически в каталоге приложений, необходимо добавить его вручную.
Чтобы проверить, добавлено ли уже ваше приложение:
В Microsoft Defender XDR выберите Параметры > Облачные приложения > Подключенные приложения > Условный доступ к приложениям управления приложениями.
Выберите раскрывающееся меню Приложение: выберите приложение…, чтобы найти нужное приложение.
Если ваше приложение уже есть в списке, войдите в него под учетной записью пользователя, на которого распространяется эта политика.
Чтобы добавить приложение вручную, выполните приведенные далее действия.
Если у вас есть новые приложения, в верхней части страницы появится баннер с уведомлением о том, что у вас есть новые приложения для подключения. Щелкните ссылку Просмотреть новые приложения, чтобы просмотреть их.
В диалоговом окне Обнаруженные приложения Azure AD найдите свое приложение, например по значению URL-адрес входа. Выберите кнопку +, а затем — Добавить, чтобы добавить его как пользовательское приложение.
Установка корневых сертификатов
Убедитесь, что вы используете правильные сертификаты текущего ЦС или Следующего ЦС для каждого из ваших приложений.
Чтобы установить сертификаты, повторите следующий шаг для каждого сертификата:
Откройте и установите сертификат, выбрав Текущий пользователь или Локальный компьютер.
Когда появится запрос, куда следует поместить сертификаты, перейдите к Доверенным корневым центрам сертификации.
Нажмите кнопки ОК и Готово , чтобы завершить процедуру.
Перезапустите браузер, снова откройте приложение и при появлении запроса нажмите кнопку Продолжить .
В Microsoft Defender XDR выберите Параметры Облачные > приложения > Подключенные приложения > для управления условным доступом к приложениям и убедитесь, что ваше приложение по-прежнему указано в таблице.
Дополнительные сведения см. в статье Приложение не отображается на странице приложений для управления условным доступом.
Связанные материалы
- Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом к приложениям
- Разверните контроль приложений условного доступа для приложений каталога с поставщиками удостоверений, отличными от Microsoft
- Устранение неполадок с элементами управления доступом и сеансами
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.