Partilhar via

Integrar aplicações personalizadas não Microsoft IdP para controlo de aplicações de Acesso Condicional

  • Artigo

Os controlos de acesso e sessão no Microsoft Defender para aplicações na Cloud funcionam com aplicações personalizadas e de catálogo. Enquanto Microsoft Entra ID aplicações são automaticamente integradas para utilizar o controlo de aplicações de Acesso Condicional, se estiver a trabalhar com um IdP que não seja da Microsoft, terá de integrar a sua aplicação manualmente.

Este artigo descreve como configurar o seu IdP para trabalhar com Defender for Cloud Apps e, em seguida, também integrar manualmente cada aplicação personalizada. Por outro lado, as aplicações de catálogo de um IdP que não seja da Microsoft são automaticamente integradas quando configura a integração entre o seu IdP e Defender for Cloud Apps.

Pré-requisitos

  • A sua organização tem de ter as seguintes licenças para utilizar o controlo de aplicações de acesso condicional:

    • A licença exigida pela sua solução de fornecedor de identidade (IdP)
    • Microsoft Defender for Cloud Apps

  • As aplicações têm de ser configuradas com o início de sessão único

  • As aplicações têm de ser configuradas com o protocolo de autenticação SAML 2.0.

Adicionar administradores à lista de inclusão/manutenção de aplicações

  1. No Microsoft Defender XDR, selecione Definições Aplicações >> na Cloud Integração/manutenção da Aplicação de Controlo > de Aplicações de Acesso Condicional.

  2. Introduza os nomes de utilizador ou e-mails de todos os utilizadores que irão integrar a sua aplicação e, em seguida, selecione Guardar.

Para obter mais informações, veja Diagnosticar e resolver problemas com a barra de ferramentas Administração Ver.

Configurar o IdP para trabalhar com Defender for Cloud Apps

Este procedimento descreve como encaminhar sessões de aplicações de outras soluções de IdP para Defender for Cloud Apps.

Sugestão

Os seguintes artigos fornecem exemplos detalhados deste procedimento:

Para configurar o IdP para trabalhar com Defender for Cloud Apps:

  1. No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > Ligadas > Aplicações Aplicações > De Controlo de Aplicações de Acesso Condicional.

  2. Na página Aplicações de Controlo de Aplicações de Acesso Condicional , selecione + Adicionar.

  3. Na caixa de diálogo Adicionar uma aplicação SAML com o seu fornecedor de identidade , selecione o menu pendente Procurar uma aplicação e, em seguida, selecione a aplicação que pretende implementar. Com a aplicação selecionada, selecione Assistente de início.

  4. Na página INFORMAÇÕES DA APLICAÇÃO do assistente, carregue um ficheiro de metadados a partir da sua aplicação ou introduza os dados da aplicação manualmente.

    Certifique-se de que fornece as seguintes informações:

    • O URL do serviço de consumidor assertion. Este é o URL que a sua aplicação utiliza para receber asserções SAML do seu IdP.
    • Um certificado SAML, se a sua aplicação fornecer um. Nesses casos, selecione Utilizar... Opção de certificado SAML e, em seguida, carregue o ficheiro de certificado.

    Quando terminar, selecione Seguinte para continuar.

  5. Na página FORNECEDOR DE IDENTIDADE do assistente, siga as instruções para configurar uma nova aplicação personalizada no portal do seu IdP.

    Nota

    Os passos necessários podem ser diferentes, consoante o seu IdP. Recomendamos que execute a configuração externa, conforme descrito pelos seguintes motivos:

    • Alguns fornecedores de identidade não lhe permitem alterar os atributos SAML ou as propriedades de URL de uma aplicação de galeria/catálogo.
    • Quando configura uma aplicação personalizada, pode testar a aplicação com Defender for Cloud Apps controlos de acesso e sessão, sem alterar o comportamento configurado existente da sua organização.

    Copie as informações de configuração do início de sessão único da sua aplicação para utilização posteriormente neste procedimento. Quando terminar, selecione Seguinte para continuar.

  6. Continuando na página FORNECEDOR DE IDENTIDADE do assistente, carregue um ficheiro de metadados a partir do seu IdP ou introduza os dados da aplicação manualmente.

    Certifique-se de que fornece as seguintes informações:

    • O URL do serviço de início de sessão único. Este é o URL que o seu IdP utiliza para receber pedidos de início de sessão único.
    • Um certificado SAML, se o seu IdP fornecer um. Nesses casos, selecione a opção Utilizar certificado SAML do fornecedor de identidade e, em seguida, carregue o ficheiro de certificado.

  7. Continuando na página FORNECEDOR DE IDENTIDADE do assistente, copie o URL de início de sessão único e todos os atributos e valores para utilização posteriormente neste procedimento.

    Quando terminar, selecione Seguinte para continuar.

  8. Navegue para o portal do seu IdP e introduza os valores que copiou para a configuração do IdP. Normalmente, estas definições encontram-se na área de definições personalizadas da aplicação do seu IdP.

    1. Introduza o URL de início de sessão único da sua aplicação que copiou do passo anterior. Alguns fornecedores podem referir-se ao URL de início de sessão único como o URL de Resposta.

    2. Adicione os atributos e valores que copiou do passo anterior às propriedades da aplicação. Alguns fornecedores podem referir-se aos mesmos como Atributos de utilizador ou Afirmações.

      Se os atributos estiverem limitados a 1024 carateres para novas aplicações, primeiro crie a aplicação sem os atributos relevantes e adicione-os posteriormente ao editar a aplicação.

    3. Verifique se o identificador de nome está no formato de um endereço de e-mail.

    4. Certifique-se de que guarda as definições quando terminar.

  9. Novamente no Defender for Cloud Apps, na página ALTERAÇÕES DA APLICAÇÃO do assistente, copie o URL de início de sessão único SAML e transfira o certificado SAML Microsoft Defender for Cloud Apps. O URL de início de sessão único SAML é um URL personalizado para a sua aplicação quando utilizado com Defender for Cloud Apps controlo de aplicações de Acesso Condicional.

  10. Navegue para o portal da aplicação e configure as definições de início de sessão único da seguinte forma:

    1. (Recomendado) Crie uma cópia de segurança das definições atuais.
    2. Substitua o valor do campo do URL de início de sessão do fornecedor de identidade pelo URL de início de sessão único Defender for Cloud Apps SAML que copiou do passo anterior. O nome específico deste campo pode ser diferente, consoante a sua aplicação.
    3. Carregue o Defender for Cloud Apps certificado SAML que transferiu no passo anterior.
    4. Certifique-se de que guarda as alterações.

  11. No assistente, selecione Concluir para concluir a configuração.

Depois de guardar as definições de início de sessão único da sua aplicação com os valores personalizados por Defender for Cloud Apps, todos os pedidos de início de sessão associados à aplicação são encaminhados, embora Defender for Cloud Apps e controlo de aplicações de Acesso Condicional.

Nota

O certificado SAML Defender for Cloud Apps é válido durante 1 ano. Depois de expirar, terá de gerar um novo.

Integrar a aplicação para controlo de aplicações de Acesso Condicional

Se estiver a trabalhar com uma aplicação personalizada que não é preenchida automaticamente no catálogo de aplicações, terá de adicioná-la manualmente.

Para verificar se a sua aplicação já foi adicionada:

  1. No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > ligadas > Aplicações > de Controlo de Aplicações de Acesso Condicional.

  2. Selecione o menu pendente Aplicação: Selecionar aplicações... para procurar a sua aplicação.

Se a sua aplicação já estiver listada, continue com o procedimento para aplicações de catálogo.

Para adicionar a sua aplicação manualmente:

  1. Se tiver novas aplicações, verá uma faixa na parte superior da página a notificá-lo de que tem novas aplicações para integrar. Selecione a ligação Ver novas aplicações para as ver.

  2. Na caixa de diálogo Aplicações de Azure AD detetadas, localize a sua aplicação, como pelo valor URL de Início de Sessão. Selecione o + botão e, em seguida, Adicionar para integrá-lo como uma aplicação personalizada.

Instalar certificados de raiz

Certifique-se de que está a utilizar os certificados da AC Atual ou da AC Seguinte corretos para cada uma das suas aplicações.

Para instalar os certificados, repita o passo seguinte para cada certificado:

  1. Abra e instale o certificado, selecionando Utilizador Atual ou Computador Local.

  2. Quando lhe for pedido para onde pretende colocar os certificados, navegue até Autoridades de Certificação de Raiz Fidedigna.

  3. Selecione OK e Concluir conforme necessário para concluir o procedimento.

  4. Reinicie o browser, abra a aplicação novamente e selecione Continuar quando lhe for pedido.

  5. No Microsoft Defender XDR, selecione Definições Aplicações na Cloud Aplicações > ligadas > Aplicações > de Controlo de Aplicações de Acesso Condicional e certifique-se de que a sua aplicação ainda está listada na tabela.

Para obter mais informações, veja A aplicação não aparece na página aplicações de controlo de aplicações de acesso condicional.

Conteúdos relacionados

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.