Distribuire Controllo app per l'accesso condizionale per le app personalizzate usando Azure Active Directory

Nota

Sono stati rinominati Microsoft Cloud App Security. Viene ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornate le schermate e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

I controlli sessione in Microsoft Defender for Cloud Apps possono essere configurati per l'uso con qualsiasi app Web. Questo articolo descrive come eseguire l'onboarding e la distribuzione di app line-of-business personalizzate, app SaaS non in primo piano e app locali ospitate tramite l'Azure Active Directory (Azure AD) Application Proxy con i controlli sessione. Illustra i passaggi per creare un criterio di accesso condizionale Azure AD che instrada le sessioni dell'app a Defender for Cloud Apps. Per altre soluzioni IdP, vedere Deploy Conditional Access App Control for custom apps with non-Microsoft IdP (Distribuire il controllo app per l'accesso condizionale per app personalizzate con IdP non Microsoft).

Per un elenco delle app in primo piano disponibili in Defender for Cloud Apps, vedere Proteggere le app con Il controllo app per l'accesso condizionale di Defender for Cloud.

Prerequisiti

Aggiungere amministratori all'elenco di onboarding/manutenzione delle app

  1. Nella barra dei menu di Defender for Cloud Apps selezionare l'ingranaggio settings icon 4 delle impostazioni e selezionare Impostazioni.

  2. In Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione delle app.

  3. Immettere il nome dell'entità utente o il messaggio di posta elettronica per gli utenti che eseguiranno l'onboarding dell'app e quindi selezionare Salva.

    Screenshot of settings for App onboarding and maintenance.

Verificare la presenza di licenze necessarie

  • L'organizzazione deve avere le licenze seguenti per usare il controllo app per l'accesso condizionale:

  • Le app devono essere configurate con l'accesso Single Sign-On

  • Le app devono usare uno dei protocolli di autenticazione seguenti:

    IdP Protocolli
    Azure AD SAML 2.0 o OpenID Connect

Per distribuire qualsiasi app

Seguire questa procedura per configurare qualsiasi app da controllare tramite Il controllo app per l'accesso condizionale di Defender per le app cloud.

  1. Configurare il Azure AD per l'uso con Defender for Cloud Apps

  2. Configurare l'app che si sta distribuendo

  3. Verificare che l'app funzioni correttamente

  4. Abilitare l'app per l'uso nell'organizzazione

  5. Aggiornare i criteri di Azure AD

Nota

Per distribuire il controllo app per l'accesso condizionale per le app Azure AD, è necessaria una licenza valida per Azure Active Directory Premium P1 o versione successiva e una licenza di Defender for Cloud Apps.

Passaggio 1: Configurare Azure AD per l'uso con Defender for Cloud Apps

Nota

Quando si configura un'applicazione con SSO in Azure AD o altri provider di identità, un campo che può essere elencato come facoltativo è l'impostazione url di accesso. Si noti che questo campo può essere necessario per il funzionamento del controllo app per l'accesso condizionale.

  1. In Azure AD passare a SicurezzaAccesso>condizionale.

  2. Nella barra degli strumenti nella parte superiore del riquadro Accesso condizionale selezionare Nuovo criterio.

  3. Nella casella di testo Nome del riquadro Nuovo immettere il nome del criterio.

  4. In Assegnazioni selezionare Utenti e gruppi, assegnare gli utenti che eseguiranno l'onboarding (accesso iniziale e verifica) l'app e quindi selezionare Fine.

  5. In Assegnazioni selezionare App cloud, assegnare le app da controllare con Controllo app per l'accesso condizionale e quindi selezionare Fine.

  6. In Controlli di accesso selezionare Sessione, selezionare Usa controllo app per l'accesso condizionale e scegliere un criterio predefinito (solo Monitoraggio o Blocca download) oppure Usa criteri personalizzati per impostare un criterio avanzato in Defender for Cloud Apps e quindi fare clic su Seleziona.

    Azure AD conditional access.

  7. Facoltativamente, aggiungere condizioni e concedere controlli in base alle esigenze.

  8. Impostare Abilita criteriosu Sì e quindi selezionare Crea.

Passaggio 2: Aggiungere l'app manualmente e installare i certificati, se necessario

Le applicazioni nel catalogo app vengono popolate automaticamente nella tabella in App connesse. Verificare che l'app che si vuole distribuire sia riconosciuta passandovi.

  1. Nella barra dei menu di Defender for Cloud Apps selezionare l'icona settings icon 1delle impostazioni e selezionare la scheda Controllo app per l'accesso condizionale per accedere a una tabella di applicazioni che possono essere configurate con i criteri di accesso e sessione.

    Conditional access app control apps

  2. Selezionare il menu a discesa App: Seleziona app... per filtrare e cercare l'app da distribuire.

    Select App: Select apps to search for the app

  3. Se l'app non viene visualizzata, è necessario aggiungerla manualmente.

Come aggiungere manualmente un'app non identificata

  1. Nel banner selezionare Visualizza nuove app.

    Conditional access app control view new apps

  2. Nell'elenco delle nuove app, per ogni app di cui si sta eseguendo l'onboarding, selezionare il + segno e quindi selezionare Aggiungi.

    Nota

    Se un'app non viene visualizzata nel catalogo delle app defender per cloud, verrà visualizzata nella finestra di dialogo in app non identificate insieme all'URL di accesso. Quando si fa clic sul segno + per queste app, è possibile eseguire l'onboarding dell'applicazione come app personalizzata.

    Conditional access app control discovered Azure AD apps

Per aggiungere domini per un'app

L'associazione dei domini corretti a un'app consente a Defender for Cloud Apps di applicare criteri e attività di controllo.

Ad esempio, se è stato configurato un criterio che blocca il download di file per un dominio associato, i download di file dall'app da tale dominio verranno bloccati. Tuttavia, i download di file dall'app dai domini non associati all'app non verranno bloccati e l'azione non verrà controllato nel log attività.

Nota

Defender for Cloud Apps aggiunge ancora un suffisso ai domini non associati all'app per garantire un'esperienza utente senza problemi.

  1. Dall'interno dell'app, sulla barra degli strumenti di amministrazione di Defender for Cloud Apps selezionare Domini individuati.

    Nota

    La barra degli strumenti di amministrazione è visibile solo agli utenti con autorizzazioni per eseguire l'onboarding o le app di manutenzione.

  2. Nel pannello Domini individuati prendere nota dei nomi di dominio o esportare l'elenco come file di .csv.

    Nota

    Il pannello visualizza un elenco di domini individuati che non sono associati all'app. I nomi di dominio sono completi.

  3. Passare a Defender for Cloud Apps, nella barra dei menu selezionare l'icona settings icon 2 delle impostazioni e selezionare Controllo app per l'accesso condizionale.
  4. Nell'elenco delle app, nella riga in cui viene visualizzata l'app da distribuire, scegliere i tre puntini alla fine della riga e quindi in DETTAGLI APP scegliere Modifica.

    Suggerimento

    Per visualizzare l'elenco dei domini configurati nell'app, selezionare Visualizza domini app.

  5. In Domini definiti dall'utente immettere tutti i domini da associare all'app e quindi selezionare Salva.

    Nota

    È possibile usare il carattere jolly * come segnaposto per qualsiasi carattere. Quando si aggiungono domini, decidere se aggiungere domini specifici (sub1.contoso.com,sub2.contoso.com) o più domini (*.contoso.com).

Installare i certificati radice

  1. Ripetere i passaggi seguenti per installare i certificati radice autofirmato ca corrente e ca successiva .

    1. Selezionare il certificato.
    2. Selezionare Apri e, quando richiesto, selezionare di nuovo Apri .
    3. Selezionare Installa certificato.
    4. Scegliere Utente corrente o Computer locale.
    5. Selezionare Inserisci tutti i certificati nell'archivio seguente e quindi selezionare Sfoglia.
    6. Selezionare Autorità di certificazione radice attendibili e quindi selezionare OK.
    7. Selezionare Fine.

    Nota

    Affinché i certificati vengano riconosciuti, dopo aver installato il certificato, è necessario riavviare il browser e passare alla stessa pagina.

  2. Selezionare Continua.

  3. Verificare che l'applicazione sia disponibile nella tabella.

    Check if app is available in table

Passaggio 3: Verificare che l'app funzioni correttamente

Per verificare che l'applicazione venga inoltrata tramite proxy, eseguire prima di tutto un disconnesso dei browser associati all'applicazione o aprire un nuovo browser con modalità in incognito.

Aprire l'applicazione ed eseguire i controlli seguenti:

  • Verificare che l'URL contenga il .mcas suffisso
  • Visitare tutte le pagine all'interno dell'app che fanno parte del processo di lavoro di un utente e verificare che il rendering delle pagine sia corretto.
  • Verificare che il comportamento e la funzionalità dell'app non siano influenzati negativamente dall'esecuzione di azioni comuni, ad esempio il download e il caricamento dei file.
  • Esaminare l'elenco dei domini associati all'app. Per altre informazioni, vedere Aggiungere i domini per l'app.

Se si verificano errori o problemi, usare la barra degli strumenti di amministrazione per raccogliere risorse come .har file e sessioni registrate per l'archiviazione di un ticket di supporto.

Passaggio 4: Abilitare l'app per l'uso nell'organizzazione

Quando si è pronti per abilitare l'app da usare nell'ambiente di produzione dell'organizzazione, seguire questa procedura.

  1. In Defender for Cloud Apps selezionare l'icona settings icon 3delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.

  2. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta distribuendo, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.

  3. Selezionare Usa con controllo app per l'accesso condizionale e quindi selezionare Salva.

    Enable session controls pop-up

Passaggio 5: Aggiornare i criteri di Azure AD

  1. In Azure AD, in Sicurezza selezionare Accesso condizionale.
  2. Aggiornare i criteri creati in precedenza per includere gli utenti, i gruppi e i controlli pertinenti necessari.
  3. In SessioneUsa>controllo app per l'accesso condizionale, se è stato selezionato Usa criteri personalizzati, passare a Defender for Cloud Apps e creare un criterio di sessione corrispondente. Per altre informazioni, vedere i criteri di sessione.

Passaggi successivi

Vedi anche

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.