共用方式為

針對條件式存取應用程控將非Microsoft IdP 自定義應用程序上線

  • 發行項

適用於雲端的 Microsoft Defender 應用程式中的存取和會話控件同時適用於目錄和自定義應用程式。 雖然Microsoft Entra ID 應用程式會自動上線以使用條件式存取應用程控,但如果您使用非Microsoft IdP,則必須手動將應用程序上線。

本文說明如何將IdP設定為使用 適用於雲端的 Defender Apps,然後同時手動將每個自定義應用程式上線。 相反地,當您設定 IdP 與 適用於雲端的 Defender Apps 之間的整合時,會自動將來自非Microsoft IdP 的類別目錄應用程式上線。

必要條件

  • 您的組織必須具有下列授權,才能使用條件式存取應用程控:

    • 識別提供者 (IdP) 解決方案所需的授權
    • Microsoft Defender for Cloud Apps

  • 應用程式必須設定為單一登錄

  • 應用程式必須使用 SAML 2.0 驗證通訊協定進行設定。

將系統管理員新增至您的應用程式上線/維護清單

  1. 在 Microsoft Defender 全面偵測回應 中,選取 [設定 Cloud Apps > 條件式存取應用程控>應用程式上線/維護>]。

  2. 輸入將上線應用程式之任何使用者的使用者名稱或電子郵件,然後選取 [ 儲存]。

如需詳細資訊,請參閱 使用系統管理員檢視工具列診斷和疑難解答。

將您的 IdP 設定為使用 適用於雲端的 Defender Apps

此程式描述如何將應用程式會話從其他 IdP 解決方案路由傳送至 適用於雲端的 Defender Apps。

提示

下列文章提供此程式的詳細範例:

若要將IdP設定為使用 適用於雲端的 Defender Apps

  1. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端應用程式連線的應用程式>>] [條件式存取應用程控應用程式>]。

  2. 在 [條件式 存取應用程控應用程式] 頁面中,選取 [ + 新增]。

  3. 在 [ 新增 SAML 應用程式與識別提供者 ] 對話框中,選取 [搜尋應用程式 ] 下拉式清單,然後選取您要部署的應用程式。 選取您的應用程式後,選取 [ 開始精靈]。

  4. 在精靈的 [應用程式資訊] 頁面上,從您的應用程式上傳元數據檔案,或手動輸入應用程式數據。

    請務必提供下列資訊:

    • 判斷提示取 用者服務 URL。 這是您的應用程式用來從 IdP 接收 SAML 判斷提示的 URL。
    • 如果您的應用程式提供 SAML 憑證,則為 。 在這種情況下,請選取 [使用... ]SAML 憑證 選項,然後上傳憑證檔案。

    完成後,請選取 [下一步 ] 繼續。

  5. 在精靈的 IDENTITY PROVIDER 頁面上,依照指示在 IdP 的入口網站中設定新的自定義應用程式。

    注意

    視您的 IdP 而定,所需的步驟可能會有所不同。 基於下列原因,建議您執行外部組態:

    • 某些識別提供者不允許您變更資源庫/目錄應用程式的 SAML 屬性或 URL 屬性。
    • 當您設定自定義應用程式時,您可以使用 適用於雲端的 Defender Apps 存取和工作階段控制項來測試應用程式,而不需要變更組織現有的設定行為。

    複製應用程式的單一登錄組態資訊,以供稍後在此程式中使用。 完成後,請選取 [下一步 ] 繼續。

  6. 繼續在 精靈的 [識別提供者 ] 頁面上,從IdP上傳元數據檔案,或手動輸入應用程式數據。

    請務必提供下列資訊:

    • 單一登錄服務 URL。 這是IdP用來接收單一登錄要求的URL。
    • 如果您的 IdP 提供 SAML 憑證, 則為 。 在這種情況下,請選取 [ 使用識別提供者的 SAML 憑證 ] 選項,然後上傳憑證檔案。

  7. 在精靈的 [ IDENTITY PROVIDER ] 頁面上繼續,複製單一登錄 URL 和所有屬性和值,以供稍後在此程式中使用。

    完成時,請選取 [下一步 ] 繼續。

  8. 流覽至您的 IdP 入口網站,並輸入您複製到 IdP 設定的值。 這些設定通常位於IdP的自訂應用程式設定區域中。

    1. 輸入您從上一個步驟複製的應用程式單一登錄URL。 某些提供者可能會將單一登錄 URL 稱為回復 URL

    2. 將您從上一個步驟複製的屬性和值新增至應用程式的屬性。 某些提供者可能會將其 稱為用戶屬性宣告

      如果您的屬性限制為 1024 個字元的新應用程式,請先建立沒有相關屬性的應用程式,然後編輯應用程式以新增這些屬性。

    3. 確認您的名稱識別碼格式為電子郵件位址。

    4. 當您完成時,請務必儲存您的設定。

  9. 回到 適用於雲端的 Defender Apps,在精靈的 [應用程式變更] 頁面上,複製 SAML 單一登錄 URL,並下載 適用於雲端的 Microsoft Defender 應用程式 SAML 憑證。 SAML 單一登錄 URL 是與 適用於雲端的 Defender Apps 條件式存取應用程控搭配使用時,應用程式的自定義 URL。

  10. 瀏覽至應用程式的入口網站,並設定您的單一登入設定,如下所示:

    1. (建議)建立目前設定的備份。
    2. 將識別提供者登入 URL 域值取代為您從上一個步驟複製的 適用於雲端的 Defender Apps SAML 單一登錄 URL。 視您的應用程式而定,此欄位的特定名稱可能會有所不同。
    3. 上傳您在上一個步驟中下載的 適用於雲端的 Defender Apps SAML 憑證。
    4. 請務必儲存變更。

  11. 在精靈中,選取 [ 完成 ] 以完成設定。

使用 適用於雲端的 Defender Apps 自定義的值來儲存應用程式的單一登入設定之後,所有相關聯的登入要求都會透過 適用於雲端的 Defender Apps 和條件式存取應用程控路由傳送。

注意

適用於雲端的 Defender 應用程式 SAML 憑證的有效期限為 1 年。 到期之後,您必須產生新的。

將您的應用程式上線以進行條件式存取應用程控

如果您使用的是未自動填入應用程式目錄中的自訂應用程式,則必須手動新增。

若要檢查您的應用程式是否已新增

  1. 在 Microsoft Defender 全面偵測回應 中,選取 [設定雲端應用程式>連線的應用程式>] [條件式存取應用程控應用程式>]。

  2. 選取 [ 應用程式:選取應用程式... ] 下拉功能表以搜尋您的應用程式。

如果您的應用程式已經列出,請改目錄應用程式的程式。

若要手動新增您的應用程式:

  1. 如果您有新的應用程式,您會在頁面頂端看到橫幅,通知您有要上線的新應用程式。 選取 [ 檢視新的應用程式 ] 連結以查看它們。

  2. 在 [ 探索到的 Azure AD 應用程式 ] 對話框中,找出您的應用程式,例如 [ 登入 URL] 值。 +選取按鈕,然後選取 [新增] 將其上線為自定義應用程式。

安裝跟證書

請確定您使用的是每個應用程式的正確目前 CA 或下一個 CA 憑證。

若要安裝憑證,請針對每個憑證重複下列步驟:

  1. 開啟並安裝憑證,選取 [目前使用者] 或 [本機計算機]。

  2. 當系統提示您放置憑證的位置時,請流覽至 [受信任的跟證書授權單位]。

  3. 視需要選取 [ 確定 ] 和 [完成 ],以完成程式。

  4. 重新啟動瀏覽器,再次開啟您的應用程式,並在出現提示時選取 [ 繼續 ]。

  5. 在 Microsoft Defender 全面偵測回應 中,選取 [設定>雲端應用程式>連線的應用程式] [條件式存取應用程控應用程式>],並確定您的應用程式仍列在數據表中。

如需詳細資訊,請參閱 應用程式不會出現在條件式存取應用程控應用程式頁面上

相關內容

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證