Distribuire il controllo delle app di accesso condizionale per le app di catalogo con Microsoft Entra ID
I controlli di accesso e sessione in Microsoft Defender per il cloud App funzionano con le applicazioni del catalogo app cloud e con applicazioni personalizzate. Per un elenco di app preinstallate e predefinite, vedere Proteggere le app con Defender per il cloud controllo delle app per l'accesso condizionale.
Prerequisiti
L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:
- Microsoft Entra ID P1 o versione successiva
- Microsoft Defender for Cloud Apps
Le app devono essere configurate con Single Sign-On
Le app devono usare uno dei protocolli di autenticazione seguenti:
Metadati Protocolli Microsoft Entra ID SAML 2.0 o OpenID Connessione Altro SAML 2.0
Configurare l'integrazione di Microsoft Entra ID
Nota
Quando si configura un'applicazione con SSO in Microsoft Entra ID o altri provider di identità, un campo che può essere elencato come facoltativo è l'impostazione url di accesso. Si noti che questo campo potrebbe essere necessario per il funzionamento del controllo delle app per l'accesso condizionale.
Usare la procedura seguente per creare criteri di accesso condizionale di Microsoft Entra che instradano le sessioni dell'app alle app Defender per il cloud. Per altre soluzioni IdP, vedere Configurare l'integrazione con altre soluzioni IdP.
In Microsoft Entra ID passare a Accesso condizionale di sicurezza>.
Nel riquadro Accesso condizionale, nella barra degli strumenti in alto selezionare Nuovo criterio ->Crea nuovo criterio.
Nella casella di testo Nome del riquadro Nuovo immettere il nome del criterio.
In Assegnazioni selezionare Utenti o identità del carico di lavoro e assegnare gli utenti e i gruppi che eseguiranno l'onboarding (accesso iniziale e verifica) dell'app.
In Assegnazioni selezionare App o azioni cloud e assegnare le app e le azioni da controllare con il controllo delle app per l'accesso condizionale.
In Controlli di accesso selezionare Sessione, selezionare Usa controllo app per l'accesso condizionale e scegliere un criterio predefinito (solo monitoraggio (anteprima) o Blocca download (anteprima) o Usa criteri personalizzati per impostare un criterio avanzato nelle app di Defender per il cloud e quindi selezionare Seleziona.
Facoltativamente, aggiungere condizioni e concedere controlli in base alle esigenze.
Impostare Abilita criteri su Sì e quindi selezionare Crea.
Nota
Prima di procedere, assicurarsi di disconnettersi dalle sessioni esistenti.
Dopo aver creato i criteri, accedere alle app configurate in tali criteri. Assicurarsi di accedere usano un utente configurato in questi criteri.
Defender per il cloud Le app sincronizzano i dettagli dei criteri con i relativi server per ogni nuova app a cui si accede. Questa operazione può richiedere al massimo un minuto.
Verificare che i controlli di accesso e sessione siano configurati
Le istruzioni precedenti hanno consentito di creare un criterio Defender per il cloud Apps predefinito per le app di catalogo direttamente in Microsoft Entra ID. In questo passaggio verificare che i controlli di accesso e sessione siano configurati per queste app.
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In app Connessione ed selezionare App di controllo app per l'accesso condizionale. Esaminare la colonna Controlli disponibili e verificare che sia il controllo di accesso che l'accesso condizionale di Azure AD e il controllo sessione siano visualizzati per le app.
Se l'app non è abilitata per il controllo sessione, aggiungerla selezionando Onboard with session control (Onboard with session control ) e selezionando Use this app with session controls (Usa questa app con i controlli sessione). Ad esempio:
Abilitare l'app per l'uso nell'ambiente di produzione
Quando si è pronti, questa procedura descrive come abilitare l'app da usare nell'ambiente di produzione dell'organizzazione.
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In app Connessione ed selezionare App di controllo app per l'accesso condizionale. Nell'elenco delle app, nella riga in cui viene visualizzata l'app da distribuire, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.
Selezionare Abilita l'app per lavorare sui controlli sessione e quindi selezionare Salva. Ad esempio:
Prima disconnettere tutte le sessioni esistenti, poi accedere a ogni app distribuita. Accedere usando un utente che corrisponde ai criteri configurati in Microsoft Entra ID o per un'app SAML configurata con il provider di identità.
In App cloud del portale di Microsoft Defender selezionare Log attività e assicurarsi che le attività di accesso vengano acquisite per ogni app.
È possibile filtrare selezionando Avanzate e quindi filtrando usando Il controllo di accesso è uguale a Origine. Ad esempio:
È consigliabile accedere alle app per dispositivi mobili e desktop da dispositivi gestiti e non gestiti. In questo modo si garantisce che le attività vengano acquisite correttamente nel log attività.
Per verificare che l'attività sia acquisita correttamente, selezionare un'attività di accesso Single Sign-On in modo da aprire il pannello attività. controllare che Tag agente utente indichi correttamente se il dispositivo è un client nativo (un'app desktop o per dispositivi mobili ) o un dispositivo gestito (conforme, aggiunto al dominio o provvisto di certificato client valido).
Nota
Dopo la distribuzione, non è possibile rimuovere un'app dalla pagina Controllo app per l'accesso condizionale. Se non imposti criteri di sessione o di accesso nell'app, il controllo app per l'accesso condizionale non modifica alcun comportamento per l'app.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per