Intégrer des applications personnalisées non-Microsoft IdP pour le contrôle d’application d’accès conditionnel

Les contrôles d’accès et de session dans Microsoft Defender pour les applications cloud fonctionnent avec des applications de catalogue et personnalisées. Bien que Microsoft Entra ID applications soient automatiquement intégrées pour utiliser le contrôle d’application par accès conditionnel, si vous travaillez avec un fournisseur d’identité non-Microsoft, vous devez intégrer votre application manuellement.

Cet article explique comment configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps, puis intégrer manuellement chaque application personnalisée. En revanche, les applications catalogue d’un fournisseur d’identité non-Microsoft sont automatiquement intégrées lorsque vous configurez l’intégration entre votre fournisseur d’identité et Defender for Cloud Apps.

Configuration requise

• Votre organization doit disposer des licences suivantes pour utiliser le contrôle d’application à accès conditionnel :

  • La licence requise par votre solution de fournisseur d’identité (IdP)
  • Microsoft Defender for Cloud Apps

• Les applications doivent être configurées avec l’authentification unique

• Les applications doivent être configurées avec le protocole d’authentification SAML 2.0.

Ajouter des administrateurs à votre liste d’intégration/maintenance d’application

1. Dans Microsoft Defender XDR, sélectionnez Paramètres Cloud > Apps > Accès conditionnel Contrôle > d’application Intégration/maintenance des applications.

2. Entrez les noms d’utilisateur ou les e-mails des utilisateurs qui intégreront votre application, puis sélectionnez Enregistrer.

Pour plus d’informations, consultez Diagnostiquer et résoudre les problèmes avec la barre d’outils Vue Administration.

Configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps

Cette procédure décrit comment router des sessions d’application d’autres solutions De fournisseur d’identité vers Defender for Cloud Apps.

Pour configurer votre fournisseur d’identité pour qu’il fonctionne avec Defender for Cloud Apps :

1. Dans Microsoft Defender XDR, sélectionnez Paramètres Applications > cloud Applications > connectées Applications > d’accès conditionnel Applications de contrôle d’application.

2. Dans la page Applications de contrôle d’application par accès conditionnel , sélectionnez + Ajouter.

3. Dans la boîte de dialogue Ajouter une application SAML avec votre fournisseur d’identité , sélectionnez la liste déroulante Rechercher une application , puis sélectionnez l’application que vous souhaitez déployer. Une fois votre application sélectionnée, sélectionnez Démarrer l’Assistant.

4. Dans la page INFORMATIONS SUR L’APPLICATION de l’Assistant, chargez un fichier de métadonnées à partir de votre application ou entrez manuellement les données de l’application.

   Veillez à fournir les informations suivantes :

   • URL du service consommateur Assertion. Il s’agit de l’URL que votre application utilise pour recevoir les assertions SAML de votre fournisseur d’identité.
   • Un certificat SAML, si votre application en fournit un. Dans ce cas, sélectionnez l’option Utiliser ... Option de certificat SAML , puis chargez le fichier de certificat.

   Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

5. Dans la page IDENTITY PROVIDER de l’Assistant, suivez les instructions pour configurer une nouvelle application personnalisée dans le portail de votre fournisseur d’identité.

   Remarque

   Les étapes requises peuvent varier en fonction de votre fournisseur d’identité. Nous vous recommandons d’effectuer la configuration externe comme décrit pour les raisons suivantes :

   • Certains fournisseurs d’identité ne vous permettent pas de modifier les attributs SAML ou les propriétés d’URL d’une application de galerie/catalogue.
   • Lorsque vous configurez une application personnalisée, vous pouvez tester l’application avec Defender for Cloud Apps contrôles d’accès et de session, sans modifier le comportement configuré existant de votre organization.

   Copiez les informations de configuration de l’authentification unique de votre application pour une utilisation ultérieure dans cette procédure. Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

6. En continuant sur la page IDENTITY PROVIDER de l’Assistant, chargez un fichier de métadonnées à partir de votre fournisseur d’identité ou entrez les données d’application manuellement.

   Veillez à fournir les informations suivantes :

   • URL du service d’authentification unique. Il s’agit de l’URL que votre fournisseur d’identité utilise pour recevoir des demandes d’authentification unique.
   • Un certificat SAML, si votre fournisseur d’identité en fournit un. Dans ce cas, sélectionnez l’option Utiliser le certificat SAML du fournisseur d’identité , puis chargez le fichier de certificat.

7. En continuant sur la page IDENTITY PROVIDER de l’Assistant, copiez l’URL d’authentification unique et tous les attributs et valeurs à utiliser plus loin dans cette procédure.

   Lorsque vous avez terminé, sélectionnez Suivant pour continuer.

8. Accédez au portail de votre fournisseur d’identité et entrez les valeurs que vous avez copiées dans la configuration de votre fournisseur d’identité. En règle générale, ces paramètres se trouvent dans la zone paramètres d’application personnalisée de votre fournisseur d’identité.

   1. Entrez l’URL d’authentification unique de votre application que vous avez copiée à l’étape précédente. Certains fournisseurs peuvent faire référence à l’URL d’authentification unique en tant qu’URL de réponse.

   2. Ajoutez les attributs et les valeurs que vous avez copiés à l’étape précédente aux propriétés de l’application. Certains fournisseurs peuvent les désigner sous le nom d’attributs utilisateur ou de revendications.

      Si vos attributs sont limités à 1 024 caractères pour les nouvelles applications, commencez par créer l’application sans les attributs appropriés, puis ajoutez-les par la suite en modifiant l’application.

   3. Vérifiez que votre identificateur de nom est au format d’une adresse e-mail.

   4. Veillez à enregistrer vos paramètres lorsque vous avez terminé.

9. De retour Defender for Cloud Apps, dans la page MODIFICATIONS DE L’APPLICATION de l’Assistant, copiez l’URL d’authentification unique SAML et téléchargez le certificat SAML Microsoft Defender for Cloud Apps. L’URL d’authentification unique SAML est une URL personnalisée pour votre application lorsqu’elle est utilisée avec Defender for Cloud Apps contrôle d’application d’accès conditionnel.

10. Accédez au portail de votre application et configurez vos paramètres d’authentification unique comme suit :

    1. (Recommandé) Créez une sauvegarde de vos paramètres actuels.
    2. Remplacez la valeur du champ URL de connexion du fournisseur d’identité par l’URL d’authentification unique SAML Defender for Cloud Apps que vous avez copiée à l’étape précédente. Le nom spécifique de ce champ peut varier en fonction de votre application.
    3. Chargez le certificat SAML Defender for Cloud Apps que vous avez téléchargé à l’étape précédente.
    4. Veillez à enregistrer vos modifications.

11. Dans l’Assistant, sélectionnez Terminer pour terminer la configuration.

Après avoir enregistré les paramètres d’authentification unique de votre application avec les valeurs personnalisées par Defender for Cloud Apps, toutes les demandes de connexion associées à l’application sont routées via Defender for Cloud Apps et le contrôle d’application d’accès conditionnel.

Intégrer votre application pour le contrôle d’application d’accès conditionnel

Si vous utilisez une application personnalisée qui n’est pas automatiquement renseignée dans le catalogue d’applications, vous devez l’ajouter manuellement.

Pour case activée si votre application est déjà ajoutée :

1. Dans Microsoft Defender XDR, sélectionnez Paramètres Applications > cloud Applications > connectées Accès > conditionnel Applications contrôle d’application.

2. Sélectionnez le menu déroulant Application : Sélectionner des applications... pour rechercher votre application.

Si votre application est déjà répertoriée, passez plutôt à la procédure pour les applications de catalogue.

Pour ajouter votre application manuellement :

1. Si vous avez de nouvelles applications, vous verrez une bannière en haut de la page vous informant que vous avez de nouvelles applications à intégrer. Sélectionnez le lien Afficher les nouvelles applications pour les afficher.

2. Dans la boîte de dialogue Applications Azure AD découvertes , recherchez votre application, par exemple par la valeur URL de connexion . Sélectionnez le + bouton, puis Ajouter pour l’intégrer en tant qu’application personnalisée.

Installer des certificats racines

Vérifiez que vous utilisez les certificats d’autorité de certification actuelle ou d’autorité de certification suivante appropriés pour chacune de vos applications.

Pour installer vos certificats, répétez l’étape suivante pour chaque certificat :

1. Ouvrez et installez le certificat, en sélectionnant Utilisateur actuel ou Ordinateur local.

2. Lorsque vous êtes invité à indiquer l’emplacement où vous souhaitez placer vos certificats, accédez à Autorités de certification racines de confiance.

3. Sélectionnez OK et Terminer si nécessaire pour terminer la procédure.

4. Redémarrez votre navigateur, ouvrez à nouveau votre application, puis sélectionnez Continuer lorsque vous y êtes invité.

5. Dans Microsoft Defender XDR, sélectionnez Paramètres Applications > cloud Applications > connectées > Applications à accès conditionnel Applications de contrôle d’application, puis vérifiez que votre application est toujours répertoriée dans le tableau.

Pour plus d’informations, consultez L’application n’apparaît pas dans la page applications de contrôle d’application à accès conditionnel.

Contenu connexe

• Protéger les applications avec Microsoft Defender for Cloud Apps contrôle d’application d’accès conditionnel
• Déployer le contrôle d’application d’accès conditionnel pour les applications catalogue avec des fournisseurs d’identité non-Microsoft
• Résolution des problèmes liés aux contrôles d’accès et de session

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.