Distribuire il controllo app per l'accesso condizionale per le app in primo piano

Si applica a: Microsoft Cloud App Security

Importante

I nomi dei prodotti per la protezione dalle minacce di Microsoft stanno cambiando. Per altre informazioni su questo e altri aggiornamenti, leggere qui. I nomi dei prodotti e dei documenti verranno aggiornati a breve.

I controlli di sessione Microsoft Cloud App Security funzionano con le app in primo piano. Per un elenco delle app in primo piano Cloud App Security per il funzionamento, vedere Proteggere le app con Cloud App Security Controllo app per l'accesso condizionale .

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare Controllo app per l'accesso condizionale:

  • Le app devono essere configurate con l'accesso Single Sign-On

  • Le app devono usare uno dei protocolli di autenticazione seguenti:

    IdP Protocolli
    Azure AD SAML 2.0 o OpenID Connect
    Altro SAML 2.0

Seguire questa procedura per configurare le app in primo piano in modo che siano controllate Microsoft Cloud App Security Controllo app per l'accesso condizionale.

Passaggio 1: Configurare il provider di identità per l'Cloud App Security

Passaggio 2: Accedere a ogni app usando un utente con ambito criteri

Passaggio 3: Verificare che le app siano configurate per l'uso dei controlli di accesso e sessione

Passaggio 4: Abilitare l'app per l'uso nell'organizzazione

Passaggio 5: Testare la distribuzione

Passaggio 1: Configurare il provider di identità per l'utilizzo con Cloud App Security

Configurare l'integrazione con Azure AD

Nota

Quando si configura un'applicazione con SSO in Azure AD o altri provider di identità, un campo che può essere elencato come facoltativo è l'impostazione dell'URL di accesso. Si noti che questo campo potrebbe essere necessario per Controllo app per l'accesso condizionale lavoro.

Usare la procedura seguente per creare un criterio Azure AD di accesso condizionale che instrada le sessioni dell'app Cloud App Security. Per altre soluzioni IdP, vedere Configurare l'integrazione con altre soluzioni IdP.

  1. In Azure AD passare a Accesso condizionale > di sicurezza.

  2. Nella barra degli strumenti nella parte superiore del riquadro Accesso condizionale selezionare Nuovo criterio.

  3. Nella casella di testo Nome del riquadro Nuovo immettere il nome del criterio.

  4. In Assegnazioni selezionare Utenti e gruppi, assegnare gli utenti di cui eseguire l'onboarding (accesso iniziale e verifica) all'app e quindi selezionare Fine.

  5. In Assegnazioni selezionare App cloud, assegnare le app da controllare con Controllo app per l'accesso condizionale e quindi selezionare Fine.

  6. In Controlli di accesso selezionare Sessione, selezionare Usa Controllo app per l'accesso condizionale e scegliere un criterio predefinito ( Solo monitoraggio (anteprima) o Blocca download (anteprima)) oppure Usa criteri personalizzati per impostare criteri avanzati in Cloud App Security e quindi selezionare Seleziona.

    Azure AD'accesso condizionale.

  7. Facoltativamente, aggiungere condizioni e concedere i controlli in base alle esigenze.

  8. Impostare Abilita criteri su Attivato e quindi selezionare Crea.

Configurare l'integrazione con altre soluzioni IdP

Usare la procedura seguente per instradare le sessioni dell'app da altre soluzioni IdP Cloud App Security. Per Azure AD, vedere Configurare l'integrazione con Azure AD.

  1. In Cloud App Security passare ad Analisi delle app > connesse Controllo app per l'accesso condizionale app > .

  2. Selezionare il segno più ( ) e nella finestra popup selezionare l'app da distribuire e quindi + selezionare Avvia procedura guidata.

  3. Nella pagina INFORMAZIONI SULL'APP compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.

    • Se il provider di identità fornisce un file di metadati Single Sign-On per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
    • In caso contrario, selezionare Compilare i dati manualmente e specificare le informazioni seguenti:
      • URL del servizio consumer di asserzione
      • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Screenshot che mostra la pagina delle informazioni sull'app.

  4. Nella pagina IDENTITY PROVIDER (PROVIDER DI IDENTITÀ) seguire questa procedura per configurare una nuova applicazione nel portale del provider di identità e quindi selezionare Avanti.

    1. Passare al portale del provider di identità e creare una nuova app SAML personalizzata.
    2. Copiare la configurazione dell'accesso Single Sign-On <app_name> dell'app esistente nella nuova app personalizzata.
    3. Assegnare gli utenti alla nuova app personalizzata.
    4. Copiare le informazioni di configurazione dell'accesso Single Sign-On per le app. per usarlo nel passaggio successivo.

    Screenshot che mostra la pagina di raccolta delle informazioni sul provider di identità.

    Nota

    Questi passaggi possono variare leggermente a seconda del provider di identità. Questo passaggio è consigliato per i motivi seguenti:

    • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà url di un'app della raccolta
    • La configurazione di un'app personalizzata consente di testare l'applicazione con controlli di accesso e sessione senza modificare il comportamento esistente per l'organizzazione.
  5. Nella pagina successiva compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.

    • Se il provider di identità fornisce un file di metadati Single Sign-On per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
    • In caso contrario, selezionare Compilare i dati manualmente e specificare le informazioni seguenti:
      • URL del servizio consumer di asserzione
      • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Screenshot che mostra la pagina di immissione delle informazioni sul provider di identità.

  6. Nella pagina successiva copiare le informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie nel passaggio successivo.

    • Single sign-on URL
    • Attributi e valori

    Screenshot che mostra la pagina di raccolta delle informazioni SAML dei provider di identità.

  7. Nel portale del provider di identità eseguire le operazioni seguenti:

    Nota

    Le impostazioni si trovano comunemente nella pagina delle impostazioni dell'app personalizzata del portale IdP

    1. Nel campo URL single sign-on immettere l'URL di Accesso Single Sign-On di cui si è preso nota in precedenza.

      Nota

      Alcuni provider possono fare riferimento all'URL single sign-on come URL di risposta.

    2. Aggiungere gli attributi e i valori di cui si è preso nota in precedenza alle proprietà dell'app.

      Nota

      • Alcuni provider possono fare riferimento a essi come Attributi utente o Attestazioni.
      • Quando si crea una nuova app SAML, il provider di identità Okta limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, creare prima di tutto l'app senza gli attributi pertinenti. Dopo aver creato l'app, modificarla e quindi aggiungere gli attributi pertinenti.
    3. Verificare che l'identificatore del nome sia nel formato dell'indirizzo di posta elettronica.
    4. Salvare le impostazioni.
  8. Nella pagina APP CHANGES (MODIFICHE APP) eseguire le operazioni seguenti e quindi selezionare Next (Avanti). Le informazioni saranno necessarie nel passaggio successivo.

    • Copiare l'URL di Single Sign-On
    • Scaricare il Cloud App Security SAML

    Screenshot che mostra la Cloud App Security informazioni SAML.

  9. Nelle impostazioni di Single Sign-On del portale dell'app seguire questa procedura:

    1. [Consigliato] Creare un backup delle impostazioni correnti.
    2. Sostituire il valore del campo Identity Provider Login URL (URL di accesso provider di identità) con Cloud App Security'URL Single Sign-On SAML specificato in precedenza.
    3. Upload il Cloud App Security SAML scaricato in precedenza.
    4. Selezionare Salva.

    Nota

    • Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno indirizzate tramite Controllo app per l'accesso condizionale.
    • Il Cloud App Security SAML è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

Passaggio 2: Accedere a ogni app usando un utente con ambito criteri

Nota

Prima di procedere, assicurarsi di disconnettersi da sessioni esistenti.

Dopo aver creato i criteri, accedere alle app configurate in tali criteri. Assicurarsi di accedere usano un utente configurato in questi criteri.

Cloud App Security i dettagli dei criteri verranno sincronizzati con i relativi server per ogni nuova app a cui si accede. Questa operazione può richiedere al massimo un minuto.

Passaggio 3: Verificare che le app siano configurate per l'uso dei controlli di accesso e sessione

Le istruzioni precedenti sono state utili per creare criteri predefiniti di Cloud App Security per le app in primo piano direttamente in Azure AD. In questo passaggio verificare che i controlli di accesso e sessione siano configurati per queste app.

  1. Nel portale Cloud App Security impostazioniselezionare l'icona impostazioni ingranaggio equindi selezionare Controllo app per l'accesso condizionale .

  2. Nella tabella Controllo app per l'accesso condizionale app predefinite esaminare la colonna Controlli disponibili e verificare che per le app siano visualizzati sia controllo di accesso che Azure AD accesso condizionale e controllo sessione.

    Nota

    Se il controllo sessione non viene visualizzato per un'app, non è ancora disponibile per l'app specifica. È possibile aggiungerla immediatamente come apppersonalizzata oppure aprire una richiesta per aggiungerla come app in primo piano facendo clic su Richiedi controllo sessione.

    Richiesta di controllo dell'app per l'accesso condizionale.

Passaggio 4: Abilitare l'app per l'uso nell'organizzazione

Quando si è pronti per abilitare l'app per l'uso nell'ambiente di produzione dell'organizzazione, seguire questa procedura.

  1. In Cloud App Security selezionare l'icona delle impostazioni  dell'ingranaggio. e quindi selezionare Controllo app per l'accesso condizionale.

  2. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta distribuendo, scegliere i tre punti alla fine della riga e quindi scegliere Modifica app.

  3. Selezionare Usa con Controllo app per l'accesso condizionale quindi selezionare Salva.

    Popup Abilita controlli sessione.

Passaggio 5: Testare la distribuzione

  1. Prima disconnettere tutte le sessioni esistenti, poi accedere a ogni app distribuita. Accedere usando un utente che corrisponde ai criteri configurati in Azure AD o per un'app SAML configurata con il provider di identità.

  2. Nel portale Cloud App Security ,in Analisi selezionare Log attività e assicurarsi che le attività di accesso siano acquisite per ogni app.

  3. È possibile applicare un filtro facendo clic su Advanced (Avanzate) e quindi selezionando l'opzione Source equals Access control (Origine uguale a Controllo di accesso).

    Filtrare usando Azure AD'accesso condizionale.

  4. È consigliabile usare dispositivi gestiti e non gestiti per accedere ad app per dispositivi mobili e ad app desktop. In questo modo si garantisce che le attività vengano acquisite correttamente nel log attività.
    Per verificare che l'attività sia acquisita correttamente, selezionare un'attività di accesso Single Sign-On in modo che apra il cassetto attività. controllare che Tag agente utente indichi correttamente se il dispositivo è un client nativo (un'app desktop o per dispositivi mobili ) o un dispositivo gestito (conforme, aggiunto al dominio o provvisto di certificato client valido).

Nota

Dopo la distribuzione, è possibile rimuovere un'app dalla pagina Controllo app per l'accesso condizionale. Fino a quando non si imposta un criterio di accesso o della sessione nell'app, Controllo app per l'accesso condizionale non cambia il comportamento dell'app.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.