Eseguire l'onboarding e distribuire il controllo app per l'accesso condizionale per tutte le app

Si applica a: Microsoft Cloud App Security

Importante

I nomi dei prodotti per la protezione dalle minacce di Microsoft stanno cambiando. Per altre informazioni su questo e altri aggiornamenti, leggere qui. I nomi dei prodotti e dei documenti verranno aggiornati a breve.

I controlli sessione Microsoft Cloud App Security possono essere configurati per l'utilizzo con qualsiasi app Web. Questo articolo descrive come eseguire l'onboard e distribuire app line-of-business personalizzate, app SaaS non in primo piano e app locali ospitate tramite il Application Proxy Azure Active Directory (Azure AD) con i controlli sessione.

Per un elenco delle app in primo piano Cloud App Security funzionalità predefinite, vedere Proteggere le app con Cloud App Security Controllo app per l'accesso condizionale .

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare Controllo app per l'accesso condizionale:

  • Le app devono essere configurate con l'accesso Single Sign-On

  • Le app devono usare uno dei protocolli di autenticazione seguenti:

    IdP Protocolli
    Azure AD SAML 2.0 o OpenID Connect
    Altro SAML 2.0

Per distribuire qualsiasi app

Seguire questa procedura per configurare qualsiasi app che sia controllata da Cloud App Security Controllo app per l'accesso condizionale.

Passaggio 1: Configurare il provider di identità per l'utilizzo con Cloud App Security

Passaggio 2: Configurare gli utenti che distribuiranno l'app

Passaggio 3: Configurare l'app da distribuire

Passaggio 4: Verificare che l'app funzioni correttamente

Passaggio 5: Abilitare l'app per l'uso nell'organizzazione

Passaggio 6: Aggiornare i Azure AD predefiniti

Nota

Per distribuire Controllo app per l'accesso condizionale per Azure AD, è necessaria una licenza valida per Azure Active Directory Premium P1 o versione successiva, nonché una licenza Cloud App Security licenza.

Passaggio 1: Configurare il provider di identità per l'utilizzo con Cloud App Security

Configurare l'integrazione con Azure AD

Nota

Quando si configura un'applicazione con l'accesso SSO in Azure AD o altri provider di identità, un campo che può essere elencato come facoltativo è l'impostazione dell'URL di accesso. Si noti che questo campo potrebbe essere necessario per Controllo app per l'accesso condizionale funzionamento.

Usare la procedura seguente per creare un criterio Azure AD di accesso condizionale che indirizza le sessioni dell'app Cloud App Security. Per altre soluzioni IdP, vedere Configurare l'integrazione con altre soluzioni IdP.

  1. In Azure AD passare a Sicurezza > accesso condizionale.

  2. Nella barra degli strumenti nella parte superiore del riquadro Accesso condizionale fare clic su Nuovo criterio.

  3. Nella casella di testo Nome del riquadro Nuovo immettere il nome del criterio.

  4. In Assegnazioni fare clic su Utenti e gruppi, assegnare gli utenti che esegneranno l'onboarding (accesso iniziale e verifica) dell'app e quindi fare clic su Fine.

  5. In Assegnazioni fare clic su App cloud, assegnare le app da controllare con Controllo app per l'accesso condizionale e quindi fare clic su Fine.

  6. In Controlli di accesso fare clic su Sessione, selezionare Usa Controllo app per l'accesso condizionale e scegliere un criterio predefinito ( Solo monitoraggio o Blocca download) o Usa criteri personalizzati per impostare criteri avanzati in Cloud App Security e quindi fare clic su Seleziona .

    Azure AD'accesso condizionale.

  7. Facoltativamente, aggiungere condizioni e concedere i controlli in base alle esigenze.

  8. Impostare Abilita criteri sue quindi fare clic su Crea.

Configurare l'integrazione con altre soluzioni IdP

Seguire questa procedura per instradare le sessioni dell'app da altre soluzioni IdP Cloud App Security. Per Azure AD, vedere Configurare l'integrazione con Azure AD.

  1. In Cloud App Security passare a Esaminare le app > connesse Controllo app per l'accesso condizionale app > .

  2. Fare clic sul segno più ( ) e nella finestra popup selezionare l'app da distribuire e quindi fare + clic su Avvia procedura guidata.

  3. Nella pagina INFORMAZIONI APP compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi fare clic su Avanti.

    • Se il provider di identità fornisce un file di metadati single sign-on per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
    • In caso contrario, selezionare Compilare i dati manualmente e specificare le informazioni seguenti:
      • URL del servizio consumer di asserzione
      • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Screenshot che mostra la pagina delle informazioni sull'app.

  4. Nella pagina IDENTITY PROVIDER usare i passaggi forniti per configurare una nuova applicazione nel portale del provider di identità e quindi fare clic su Avanti.

    1. Passare al portale del provider di identità e creare una nuova app SAML personalizzata.
    2. Copiare la configurazione dell'accesso Single Sign-On <app_name> dell'app esistente nella nuova app personalizzata.
    3. Assegnare gli utenti alla nuova app personalizzata.
    4. Copiare le informazioni di configurazione dell'accesso Single Sign-On delle app. Saranno necessarie nel passaggio successivo.

    Screenshot che mostra la pagina di raccolta delle informazioni sul provider di identità.

    Nota

    Questi passaggi possono variare leggermente a seconda del provider di identità. Questo passaggio è consigliato per i motivi seguenti:

    • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app della raccolta
    • La configurazione di un'app personalizzata consente di testare questa applicazione con controlli di accesso e sessione senza modificare il comportamento esistente per l'organizzazione.
  5. Nella pagina successiva compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi fare clic su Avanti.

    • Se il provider di identità fornisce un file di metadati single sign-on per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
    • In caso contrario, selezionare Compilare i dati manualmente e specificare le informazioni seguenti:
      • URL del servizio consumer di asserzione
      • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.

    Screenshot che mostra la pagina immettere le informazioni sul provider di identità.

  6. Nella pagina successiva copiare le informazioni seguenti e quindi fare clic su Avanti. Le informazioni saranno necessarie nel passaggio successivo.

    • Single sign-on URL
    • Attributi e valori

    Screenshot che mostra la pagina delle informazioni SAML dei provider di identità.

  7. Nel portale del provider di identità eseguire le operazioni seguenti:

    Nota

    Le impostazioni si trovano comunemente nella pagina delle impostazioni dell'app personalizzata del portale IdP

    1. [Scelta consigliata] Creare un backup delle impostazioni correnti.

    2. Sostituire il valore del campo URL single sign-on con l'URL Cloud App Security SINGLE Sign-On SAML specificato in precedenza.

      Nota

      Alcuni provider possono fare riferimento all'URL di accesso Single Sign-On come URL di risposta.

    3. Aggiungere gli attributi e i valori di cui si è preso nota in precedenza alle proprietà dell'app.

      Nota

      • Alcuni provider possono fare riferimento a essi come attributi utente o attestazioni.
      • Quando si crea una nuova app SAML, il provider di identità Okta limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, creare prima l'app senza gli attributi rilevanti. Dopo aver creato l'app, modificarla e quindi aggiungere gli attributi pertinenti.
    4. Verificare che l'identificatore del nome sia nel formato dell'indirizzo di posta elettronica.

    5. Salvare le impostazioni.

  8. Nella pagina MODIFICHE DELL'APP eseguire le operazioni seguenti e quindi fare clic su Avanti. Le informazioni saranno necessarie nel passaggio successivo.

    • Copiare l'URL di Single Sign-On
    • Scaricare il Cloud App Security SAML

    Screenshot che mostra la Cloud App Security informazioni SAML.

  9. Nelle impostazioni di Single Sign-On del portale dell'app eseguire le operazioni seguenti:

    1. [Scelta consigliata] Creare un backup delle impostazioni correnti.
    2. Nel campo SINGLE Sign-On URL (URL single sign-on) immettere Cloud App Security URL di Single Sign-On di cui si è preso nota in precedenza.
    3. Upload il Cloud App Security SAML scaricato in precedenza.

    Nota

    • Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno indirizzate tramite Controllo app per l'accesso condizionale.
    • Il Cloud App Security SAML è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.

Passaggio 2: Configurare gli utenti che distribuiranno l'app

  1. Nella Cloud App Security menu fare clic sull'icona impostazioni dell'ingranaggio. e selezionare Impostazioni.

  2. In Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione dell'app.

  3. Immettere il nome dell'entità utente o il messaggio di posta elettronica per gli utenti che esegneranno l'onboarding dell'app e quindi fare clic su Salva.

    Screenshot delle impostazioni per l'onboarding e la manutenzione delle app.

Passaggio 3: Configurare l'app da distribuire

Passare all'app che si sta distribuendo. La pagina visualizzata dipende dal fatto che l'app sia riconosciuta o meno. Eseguire una delle operazioni seguenti:

Stato dell'app Descrizione Passaggi
Non riconosciuto Verrà visualizzata una pagina dell'app non riconosciuta che richiede di configurare l'app. 1. Aggiungere l'app a Controllo app per l'accesso condizionale.
2. Aggiungere i domini per l'appe quindi tornare all'app e aggiornare la pagina.
3. Installare i certificati per l'app.
Recognized Verrà visualizzata una pagina di onboarding che richiede di continuare il processo di configurazione dell'app. - Installare i certificati per l'app.

Nota: Assicurarsi che l'app sia configurata con tutti i domini necessari per il corretto funzionamento dell'app. Per configurare altri domini, passare ad Aggiungere i domini per l'appe quindi tornare alla pagina dell'app.

Per aggiungere una nuova app

  1. Nella barra dei menu fare clic sull'icona delle impostazioni dell'ingranaggio equindi selezionare Controllo app per l'accesso condizionale.

  2. Nel banner fare clic su Visualizza nuove app.

    Controllo app per l'accesso condizionale Consente di visualizzare le nuove app.

  3. Nell'elenco delle nuove app, per ogni app di cui si sta effettuando l'onboarding, fare clic sul + segno e quindi fare clic su Aggiungi.

    Nota

    Se un'app non viene visualizzata nel catalogo app di Cloud App Security, viene visualizzata con il relativo URL di accesso nella finestra di dialogo, tra le app non identificate. Quando si fa clic sul segno + per queste app, è possibile eseguire l'onboarding dell'applicazione come app personalizzata.

    Controllo delle app di accesso condizionale individuato Azure AD app.

<a name="to-add-domains-for-an-app">Per aggiungere domini per un'app

L'associazione dei domini corretti a un'app Cloud App Security l'applicazione di criteri e attività di controllo.

Ad esempio, se è stato configurato un criterio che blocca il download di file per un dominio associato, i download di file da tale dominio verranno bloccati dall'app. Tuttavia, i download di file dall'app da domini non associati all'app non verranno bloccati e l'azione non verrà verificata nel log attività.

Nota

Cloud App Security aggiunge ancora un suffisso ai domini non associati all'app per garantire un'esperienza utente facile.

  1. Nella barra degli strumenti dell'Cloud App Security dell'app fare clic su Domini individuati.

    Nota

    La barra degli strumenti di amministrazione è visibile solo agli utenti con autorizzazioni per l'onboard o la manutenzione delle app.

  2. Nel pannello Domini individuati prendere nota dei nomi di dominio o esportare l'elenco come .csv file.

    Nota

    Il pannello visualizza un elenco di domini individuati che non sono associati nell'app. I nomi di dominio sono completi.

  3. Passare a Cloud App Security, nella barra dei menu fare clic sull'icona delle impostazioni ![dell'ingranaggio.](media/settings-icon.png "Icona Impostazioni") e selezionare Controllo app per l'accesso condizionale.
  4. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta distribuendo, scegliere i tre punti alla fine della riga e quindi in DETTAGLI APP scegliere Modifica.

    Suggerimento

    Per visualizzare l'elenco dei domini configurati nell'app, fare clic su Visualizza domini app.

  5. In Domini definiti dall'utente immettere tutti i domini da associare all'app e quindi fare clic su Salva.

    Nota

    È possibile usare il carattere jolly * come segnaposto per qualsiasi carattere. Quando si aggiungono domini, decidere se aggiungere domini specifici ( sub1.contoso.com , ) o più domini ( sub2.contoso.com *.contoso.com ).

Per installare i certificati radice

  1. Ripetere i passaggi seguenti per installare la CA corrente e i certificati radice autofirmati della CA successiva.

    1. Selezionare il certificato.
    2. Fare clic su Apri e, quando richiesto, fare di nuovo clic su Apri.
    3. Fare clic su Installa certificato.
    4. Scegliere Utente corrente o Computer locale.
    5. Selezionare Inserisci tutti i certificati nell'archivio seguente e quindi fare clic su Sfoglia.
    6. Selezionare Autorità di certificazione radice attendibili e quindi fare clic su OK.
    7. Fare clic su Fine.

    Nota

    Per il riconoscimento dei certificati, dopo aver installato il certificato, è necessario riavviare il browser e passare alla stessa pagina.

  2. Fare clic su Continue.

Passaggio 4: Verificare che l'app funzioni correttamente

  1. Verificare che il flusso di accesso funzioni correttamente.
  2. Dopo aver eseguito l'accesso all'app, eseguire i controlli seguenti:
    1. Visitare tutte le pagine all'interno dell'app che fanno parte del processo di lavoro di un utente e verificare che il rendering delle pagine sia corretto.
    2. Verificare che il comportamento e le funzionalità dell'app non siano influenzati negativamente dall'esecuzione di azioni comuni, ad esempio il download e il caricamento di file.
    3. Esaminare l'elenco dei domini associati all'app. Per altre informazioni, vedere Aggiungere i domini per l'app.

Passaggio 5: Abilitare l'app per l'uso nell'organizzazione

Quando si è pronti per abilitare l'app per l'uso nell'ambiente di produzione dell'organizzazione, seguire questa procedura.

  1. In Cloud App Security fare clic sull'icona delle impostazioni dell'ingranaggio e quindi  selezionare Controllo app per l'accesso condizionale.

  2. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta distribuendo, scegliere i tre punti alla fine della riga e quindi scegliere Modifica app.

  3. Selezionare Usa con Controllo app per l'accesso condizionale e quindi fare clic su Salva.

    Popup Abilita controlli sessione.

Passaggio 6: Aggiornare i criteri di Azure AD (Azure AD solo)

  1. In Azure AD sicurezza fare clic su Accesso condizionale.
  2. Aggiornare i criteri creati in precedenza per includere gli utenti, i gruppi e i controlli pertinenti necessari.
  3. In Uso sessione Controllo app per l'accesso condizionale , se è stata selezionata l'opzione Usa criteri personalizzati , passare a Cloud App Security > e creare un criterio di sessione corrispondente. Per altre informazioni, vedere i criteri di sessione.

Passaggi successivi

Vedi anche

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.