Шаг 1. Добавление приложений SaaS в идентификатор Microsoft Entra ID и в область действия политик

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. Идентификатор Microsoft Entra предоставляет безопасные решения для проверки подлинности и авторизации, чтобы клиенты, партнеры и сотрудники могли получить доступ к нужным приложениям. Идентификатор Microsoft Entra, условный доступ, многофакторная проверка подлинности, единый вход (SSO) и автоматическая подготовка пользователей упрощают управление удостоверениями и доступом.

Интегрируйте приложения SaaS с идентификатором Microsoft Entra, чтобы отслеживать и настраивать для них доступ. Идентификатор Microsoft Entra имеет коллекцию приложений, которая представляет собой коллекцию приложений SaaS, предварительно созданных с помощью идентификатора Microsoft Entra. Вы также можете добавить собственные пользовательские приложения. Дополнительные сведения см. в пяти шагах по интеграции всех приложений с идентификатором Microsoft Entra.

После добавления приложений в Microsoft Entra ID, вы можете настроить, как приложения будут доступны и подчиняться определенным условиям, включив их в область действия ваших политик управления доступом пользователям и устройствам на основе концепции Zero Trust.

Если у вас уже развернуты Microsoft Defender для облачных приложений, вы можете обнаружить приложения SaaS, которые используются в вашей организации. Дополнительные сведения см. в шаге 2 этого решения и обнаружении и управлении теневыми ИТ-сервисами в вашей сети.

Добавление приложений в идентификатор Microsoft Entra

Добавление приложений в идентификатор Microsoft Entra позволяет использовать предоставляемые им службы, в том числе:

  • Проверка подлинности и авторизация приложений.
  • Проверка подлинности и авторизация пользователей.
  • Единый вход с помощью федерации или паролей.
  • Подготовка пользователей и синхронизация.
  • Управление доступом на основе ролей, использующее Microsoft Entra для определения ролей приложений и выполнения проверок авторизации на основе ролей в приложении.
  • Службы авторизации OAuth, используемые Microsoft 365 и другими приложениями Майкрософт для авторизации доступа к API и ресурсам.
  • Публикация приложений и прокси-сервер для публикации приложения из частной сети в Интернет.
  • Атрибуты расширения схемы каталога для хранения дополнительных данных в идентификаторе Microsoft Entra.

Существует несколько способов добавления приложений в идентификатор Microsoft Entra. Самый простой способ начать управление приложениями — использовать коллекцию приложений. Вы также можете добавлять пользовательские приложения. В этом разделе описаны оба способа.

Microsoft Entra ID имеет галерею приложений, содержащую коллекцию приложений SaaS, предварительно интегрированных с Microsoft Entra ID. Просто войдите в Центр администрирования Microsoft Entra и выберите приложения из определенных облачных платформ, избранных приложений или найдите приложение, которое вы хотите использовать.

Дополнительные сведения см. в разделе "Добавление корпоративного приложения " и "Обзор" коллекции приложений Microsoft Entra.

Вы можете разрабатывать собственные облачные приложения и зарегистрировать их в идентификаторе Microsoft Entra. Регистрация их с помощью идентификатора Microsoft Entra позволяет использовать функции безопасности, предоставляемые клиентом Microsoft 365. В Центре администрирования Microsoft Entra можно зарегистрировать приложение в регистрациях приложений или зарегистрировать его с помощью ссылки "Создать собственное приложение " при добавлении нового приложения в корпоративные приложения.

Дополнительные сведения см. в разделе "Что такое управление приложениями в идентификаторе Microsoft Entra ID" и "Запрос на публикацию приложения" в коллекции приложений Microsoft Entra.

Добавьте приложения в сферу действия политик доступа для идентификации и устройства по нулевому доверию

Политики условного доступа позволяют назначать элементы управления определенным приложениям, действиям или контексту проверки подлинности. Можно определить такие условия, как то, какой тип устройства может получить доступ к ресурсу, уровням риска пользователя, доверенным расположениям и другим условиям, таким как надежная проверка подлинности. Например, многофакторная проверка подлинности (MFA) помогает защитить доступ к данным и приложениям с дополнительной безопасностью, требуя второй формы проверки.

После добавления приложений в идентификатор Microsoft Entra необходимо добавить их в область политик удостоверений нулевого доверия и доступа к устройствам.

Обновление распространенных политик

На следующей диаграмме показаны политики идентификации, соответствующей модели Zero Trust, и политики доступа к устройствам для приложений SaaS и PaaS. Здесь выделен набор общих политик условного доступа (Conditional Access), границы которых необходимо изменить, чтобы включить ваши приложения SaaS.

Схема политик Zero Trust верификации личности и доступа к устройствам для приложений SaaS с выделенными политиками, области применения которых необходимо изменить.

Для обновления каждой политики убедитесь, что приложения и их зависимые службы включены в назначение облачных приложений.

В этой таблице перечислены политики, которые необходимо проверить со ссылками на каждую политику в наборе общих политик идентификации и доступа к устройствам.

Уровень защиты Policies Description
Начальная точка Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Убедитесь, что облачные приложения и зависимые службы включены в список приложений.
Блокировать клиенты, не поддерживающие современную проверку подлинности Включите приложения и зависимые службы в назначение облачных приложений.
Пользователи с высоким уровнем риска должны изменить пароль Принудительно заставляет пользователей приложений изменять пароль при входе, если для учетной записи обнаружена активность с высоким риском.
Применение политик защиты данных APP Убедитесь, что облачные приложения и зависимые службы включены в список приложений. Обновите политику для каждой платформы (iOS, Android, Windows).
Предприятие Требовать многофакторную проверку подлинности при низком, среднем или высоком риске входа Убедитесь, что облачные приложения и зависимые службы включены в список приложений.
Требовать совместимые компьютеры и мобильные устройства Убедитесь, что облачные приложения и зависимые службы включены в список приложений.
Специализированная безопасность Всегда используйте многофакторную аутентификацию Независимо от удостоверения пользователя ваша организация использует MFA.

Дополнительные сведения см. в статье "Рекомендуемые политики Microsoft Defender для облачных приложений" для приложений SaaS.

Следующий шаг

** Схема шагов по интеграции и защите приложений SaaS с выделенным шагом №2.

Перейдите к шагу 2 , чтобы создать политики Defender для облачных приложений.