Подключение приложений каталога поставщика удостоверений Майкрософт для управления условным доступом

Элементы управления доступом и сеансом в Microsoft Defender для облака приложения работают как с каталогом, так и с пользовательскими приложениями. Хотя приложения Microsoft Entra ID автоматически подключены для использования управления условным доступом, если вы работаете с не Microsoft IdP, вам потребуется подключить приложение вручную.

В этой статье описывается настройка поставщика удостоверений для работы с приложениями Defender для облака. Интеграция поставщика удостоверений с Defender для облака Apps автоматически интегрирует все приложения каталога из элемента управления приложением idP для условного доступа.

Необходимые компоненты

• У вашей организации должны быть следующие лицензии для использования управления условным доступом:

  • Лицензия, требуемая решением поставщика удостоверений (IdP)
  • Microsoft Defender для облачных приложений

• Приложения должны быть настроены с помощью единого входа

• Приложения должны быть настроены с помощью протокола проверки подлинности SAML 2.0.

Для полного выполнения и тестирования процедур, описанных в этой статье, требуется, чтобы у вас была настроена политика сеанса или доступа. Дополнительные сведения см. в разделе:

• Создание политик доступа к приложениям Microsoft Defender для облака
• Создание политик сеансов Microsoft Defender для облака Приложений

Настройка поставщика удостоверений для работы с приложениями Defender для облака

В этой процедуре описывается маршрутизация сеансов приложений из других решений поставщика удостоверений в Defender для облака приложения.

Чтобы настроить поставщика удостоверений для работы с приложениями Defender для облака:

1. В XDR в Microsoft Defender выберите "Параметры облачных приложений>, подключенных > к приложениям > с условным доступом".

2. На странице приложений управления условным доступом нажмите кнопку +Добавить.

3. В диалоговом окне "Добавление приложения SAML с поставщиком удостоверений" выберите раскрывающийся список поиска приложения, а затем выберите приложение, которое вы хотите развернуть. Выбрав приложение, выберите мастер запуска.

4. На странице APP INFORMATION мастера отправьте файл метаданных из приложения или введите данные приложения вручную.

   Обязательно укажите следующие сведения:

   • URL-адрес службы потребителей утверждений. Это URL-адрес, который приложение использует для получения утверждений SAML от поставщика удостоверений.
   • Сертификат SAML, если приложение предоставляет его. В таких случаях выберите команду Use ... Параметр сертификата SAML и отправка файла сертификата .

   По завершении нажмите кнопку "Далее ".

5. На странице поставщика удостоверений мастера следуйте инструкциям по настройке нового настраиваемого приложения на портале поставщика удостоверений.

   Примечание.

   Необходимые шаги могут отличаться в зависимости от поставщика удостоверений. Рекомендуется выполнить внешнюю конфигурацию, как описано по следующим причинам:

   • Некоторые поставщики удостоверений не позволяют изменять атрибуты SAML или СВОЙСТВА URL-адреса коллекции или приложения каталога.
   • При настройке настраиваемого приложения можно протестировать приложение с помощью Defender для облака приложений и элементов управления доступом к сеансам, не изменяя существующее настроенное поведение вашей организации.

   Скопируйте сведения о конфигурации единого входа приложения для последующего использования в этой процедуре. По завершении нажмите кнопку "Далее ".

6. Продолжая работу со страницей поставщика удостоверений мастера, отправьте файл метаданных из поставщика удостоверений или введите данные приложения вручную.

   Обязательно укажите следующие сведения:

   • URL-адрес службы единого входа. Это URL-адрес, который идентификатор поставщика удостоверений использует для получения запросов единого входа.
   • Сертификат SAML, если поставщик удостоверений предоставляет один. В таких случаях выберите параметр сертификата SAML поставщика удостоверений и отправьте файл сертификата.

7. Продолжая работу на странице поставщика удостоверений мастера, скопируйте URL-адрес единого входа и все атрибуты и значения, которые будут использоваться далее в этой процедуре.

   После завершения нажмите кнопку "Далее ".

8. Перейдите на портал поставщика удостоверений и введите значения, скопированные в конфигурацию поставщика удостоверений. Как правило, эти параметры находятся в области пользовательских параметров приложения поставщика удостоверений.

   1. Введите URL-адрес единого входа приложения, скопированный на предыдущем шаге. Некоторые поставщики могут ссылаться на URL-адрес единого входа в качестве URL-адреса ответа.

   2. Добавьте атрибуты и значения, скопированные на предыдущем шаге, в свойства приложения. Некоторые поставщики могут ссылаться на них как атрибуты пользователя или утверждения.

      Если атрибуты ограничены 1024 символами для новых приложений, сначала создайте приложение без соответствующих атрибутов и добавьте их после этого, изменив приложение.

   3. Убедитесь, что идентификатор имени находится в формате адреса электронной почты.

   4. Не забудьте сохранить параметры после завершения работы.

9. Вернитесь в Defender для облака Apps на странице ИЗМЕНЕНИЙ ПРИЛОЖЕНИЯ мастера, скопируйте URL-адрес единого входа SAML и скачайте сертификат SAML Microsoft Defender для облака Apps SAML. URL-адрес единого входа SAML — это настраиваемый URL-адрес приложения при использовании с элементом управления условным доступом для приложений Defender для облака.

10. Перейдите на портал приложения и настройте параметры единого входа следующим образом:

    1. (Рекомендуется) Создайте резервную копию текущих параметров.
    2. Замените значение поля URL-адреса входа поставщика удостоверений url-адресом Defender для облака Apps SAML, скопированным на предыдущем шаге. Конкретное имя этого поля может отличаться в зависимости от приложения.
    3. Отправьте сертификат SAML Defender для облака Apps, скачанный на предыдущем шаге.
    4. Не забудьте сохранить изменения.

11. В мастере нажмите кнопку "Готово ", чтобы завершить настройку.

После сохранения параметров единого входа приложения со значениями, настроенными Defender для облака Apps, все связанные запросы на вход в приложение направляются, хотя Defender для облака Приложения и управление условным доступом.

Войдите в приложение с помощью пользователя, ограниченного политикой

После создания политики доступа или сеанса войдите в каждое приложение, настроенного в политике. Убедитесь, что вы впервые выполнили вход из всех существующих сеансов и выполнили вход с помощью пользователя, настроенного в политике.

Defender для облака Приложения синхронизируют сведения о политике с серверами для каждого нового приложения, в которое вы войдете. Это может занимать до одной минуты.

Дополнительные сведения см. в разделе:

• Создание политик доступа к приложениям Microsoft Defender для облака
• Создание политик сеансов Microsoft Defender для облака Приложений

Убедитесь, что приложения настроены для использования элементов управления доступом и сеансами

В этой процедуре описывается, как убедиться, что приложения настроены для использования элементов управления доступом и сеансами в Defender для облака Apps и настройки этих параметров при необходимости.

1. В XDR в Microsoft Defender выберите "Параметры подключенных > к облачным приложениям>" приложений >с условным доступом.

2. В таблице приложений найдите приложение и проверьте значение столбца типа поставщика удостоверений. Убедитесь, что для приложения проверки подлинности non-MS и элемента управления сеансом отображаются.

Связанный контент

• Защита приложений с помощью управления условным доступом к приложениям Microsoft Defender для облака
• Развертывание элемента управления условным доступом для пользовательских приложений с помощью поставщиков удостоверений, отличных от Майкрософт
• Устранение неполадок с элементами управления доступом и сеансами

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.