Distribuire il controllo app di accesso condizionale per le app personalizzate con idP non Microsoft

Nota

Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

I controlli sessione in Microsoft Defender for Cloud Apps possono essere configurati per l'uso di qualsiasi app Web. Questo articolo descrive come eseguire l'onboarding e la distribuzione di app line-of-business personalizzate, app SaaS non in primo piano e app locali ospitate tramite l'Azure Active Directory (Azure AD) Application Proxy con i controlli sessione. Fornisce passaggi per instradare le sessioni dell'app da altre soluzioni IdP a Defender for Cloud Apps. Per Azure AD, vedere Distribuire il controllo app di accesso condizionale per le app personalizzate usando Azure Active Directory.

Per un elenco di app in primo piano di Defender for Cloud Apps, vedere Proteggere le app con Defender for Cloud Condizional Access App Control.

Prerequisiti

Aggiungere amministratori all'elenco di onboarding/manutenzione dell'app

1. Nella barra dei menu di Defender for Cloud Apps selezionare l'ingranaggio delle impostazioni e selezionare Impostazioni.

2. In Controllo app di accesso condizionale selezionare Onboarding/manutenzione delle app.

3. Immettere il nome dell'entità utente o il messaggio di posta elettronica per gli utenti che eseguiranno l'onboarding dell'app e quindi selezionare Salva.

   

Verificare la presenza di licenze necessarie

• L'organizzazione deve disporre delle licenze seguenti per l'uso del controllo app di accesso condizionale:

  • Licenza richiesta dalla soluzione IdP (Identity Provider)
  • Microsoft Defender for Cloud Apps

• Le app devono essere configurate con l'accesso Single Sign-On

• Le app devono usare i protocolli di autenticazione seguenti:

  IdP	Protocolli
  Altro	SAML 2.0

Per distribuire qualsiasi app

Seguire questa procedura per configurare qualsiasi app da controllare da Defender for Cloud Apps Condizional Access App Control.

1. Configurare l'IDP per l'uso con Defender for Cloud Apps

2. Configurare l'app distribuita

3. Verificare che l'app funzioni correttamente

4. Abilitare l'app per l'uso nell'organizzazione

Nota

Per distribuire il controllo app per l'accesso condizionale per le app Azure AD, è necessaria una licenza valida per Azure Active Directory Premium P1 o superiore, nonché una licenza di Defender for Cloud Apps.

Passaggio 1: Configurare l'IDP per l'uso con Defender for Cloud Apps

Nota

Per esempi di come configurare le soluzioni IdP, vedere:

• Configurare l'IDP PingOne
• Configurare l'IDP di AD FS
• Configurare l'IDP okta

1. In Defender for Cloud Apps passare a Ricerca>appConditional>Access App Controlconditional Access Control.

2. Selezionare il segno più (+) e nel popup selezionare l'app che si vuole distribuire e quindi selezionare Avvia procedura guidata.

3. Nella pagina INFORMAZIONI APP compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.

   • Se l'IDP fornisce un file di metadati di Accesso Single Sign-On per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
   • In alternativa, selezionare Compilare i dati manualmente e fornire le informazioni seguenti:
     • URL del servizio consumer di asserzione
     • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file di certificato.

   

4. Nella pagina IDENTITY PROVIDER seguire questa procedura per configurare una nuova applicazione nel portale idP e quindi selezionare Avanti.

   1. Passare al portale idP e creare una nuova app SAML personalizzata.
   2. Copiare la configurazione dell'accesso Single Sign-On dell'app esistente <app_name> nella nuova app personalizzata.
   3. Assegnare utenti alla nuova app personalizzata.
   4. Copiare le informazioni di configurazione dell'accesso Single Sign-On delle app. per usarlo nel passaggio successivo.

   

   Nota

   Questi passaggi possono variare leggermente a seconda del provider di identità. Questo passaggio è consigliato per i motivi seguenti:

   • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app della raccolta
   • La configurazione di un'app personalizzata consente di testare questa applicazione con controlli di accesso e sessione senza modificare il comportamento esistente per l'organizzazione.

5. Nella pagina successiva compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.

   • Se l'IDP fornisce un file di metadati di Accesso Single Sign-On per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
   • In alternativa, selezionare Compilare i dati manualmente e fornire le informazioni seguenti:
     • URL del servizio consumer di asserzione
     • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file di certificato.

   

6. Nella pagina successiva copiare le informazioni seguenti e quindi selezionare Avanti. Sono necessarie le informazioni nel passaggio successivo.

   • Single sign-on URL
   • Attributi e valori

   

7. Nel portale idP eseguire le operazioni seguenti:

   Nota

   Le impostazioni sono comunemente disponibili nella pagina delle impostazioni personalizzate dell'app del portale IdP.

   1. Consigliato : creare un backup delle impostazioni correnti.

   2. Sostituire il valore del campo URL di accesso Single Sign-On con l'URL di Single Sign-On SAML di Defender for Cloud Apps annotato in precedenza.

      Nota

      Alcuni provider possono fare riferimento all'URL dell'accesso Single Sign-On come URL di risposta.

   3. Aggiungere gli attributi e i valori specificati in precedenza alle proprietà dell'app.

      Nota

      • Alcuni provider possono fare riferimento a loro come Attributi utente o Attestazioni.
      • Quando si crea una nuova app SAML, okta Identity Provider limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, creare prima l'app senza gli attributi pertinenti. Dopo aver creato l'app, modificarla e quindi aggiungere gli attributi pertinenti.

   4. Verificare che l'identificatore del nome sia nel formato dell'indirizzo di posta elettronica.

   5. Salvare le impostazioni.

8. Nella pagina MODIFICHE APP eseguire le operazioni seguenti e quindi selezionare Avanti. Sono necessarie le informazioni nel passaggio successivo.

   • Copiare l'URL dell'accesso Single Sign-On
   • Scaricare il certificato SAML di Defender for Cloud Apps

   

9. Nel portale dell'app, nelle impostazioni di Single Sign-On, eseguire le operazioni seguenti:

   1. Consigliato : creare un backup delle impostazioni correnti.
   2. Nel campo URL di accesso Single Sign-On immettere l'URL di Single Sign-On di Defender for Cloud Apps creato in precedenza.
   3. Upload il certificato SAML di Defender for Cloud Apps scaricato in precedenza.

   Nota

   • Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo app di accesso condizionale.
   • Il certificato SAML di Defender for Cloud Apps è valido per un anno. Dopo la scadenza, è necessario generare un nuovo certificato.

Passaggio 2: Aggiungere manualmente l'app e installare i certificati, se necessario

Le applicazioni nel catalogo app vengono popolate automaticamente nella tabella in App connesse. Verificare che l'app da distribuire sia riconosciuta passando lì.

1. Nella barra dei menu di Defender for Cloud Apps selezionare l'icona delle impostazioni e selezionare la scheda Controllo app per l'accesso condizionale per accedere a una tabella di applicazioni che possono essere configurate con i criteri di accesso e sessione.

   

2. Selezionare il menu a discesa App: Seleziona app... per filtrare e cercare l'app da distribuire.

   

3. Se l'app non viene visualizzata, è necessario aggiungerla manualmente.

Come aggiungere manualmente un'app non identificata

1. Nel banner selezionare Visualizza nuove app.

   

2. Nell'elenco delle nuove app, per ogni app di cui si sta eseguendo l'onboarding, selezionare il + segno e quindi selezionare Aggiungi.

   Nota

   Se un'app non viene visualizzata nel catalogo delle app defender per cloud, verrà visualizzata nella finestra di dialogo in app non identificate insieme all'URL di accesso. Quando si fa clic sul segno + per queste app, è possibile eseguire l'onboarding dell'applicazione come app personalizzata.

   

Per aggiungere domini per un'app

L'associazione dei domini corretti a un'app consente a Defender for Cloud Apps di applicare criteri e attività di controllo.

Ad esempio, se è stato configurato un criterio che blocca il download di file per un dominio associato, i download di file dall'app da tale dominio verranno bloccati. Tuttavia, i download di file dall'app dai domini non associati all'app non verranno bloccati e l'azione non verrà controllato nel log attività.

Nota

Defender for Cloud Apps aggiunge ancora un suffisso ai domini non associati all'app per garantire un'esperienza utente senza problemi.

1. Dall'interno dell'app, sulla barra degli strumenti di amministrazione di Defender for Cloud Apps selezionare Domini individuati.

   Nota

   La barra degli strumenti di amministrazione è visibile solo agli utenti con autorizzazioni per eseguire l'onboarding o le app di manutenzione.

2. Nel pannello Domini individuati prendere nota dei nomi di dominio o esportare l'elenco come file di .csv.

   Nota

   Il pannello visualizza un elenco di domini individuati che non sono associati all'app. I nomi di dominio sono completi.

3. Passare a Defender for Cloud Apps, nella barra dei menu selezionare l'icona delle impostazioni e selezionare Controllo app per l'accesso condizionale.
4. Nell'elenco delle app, nella riga in cui viene visualizzata l'app da distribuire, scegliere i tre puntini alla fine della riga e quindi in DETTAGLI APP scegliere Modifica.

   Suggerimento

   Per visualizzare l'elenco dei domini configurati nell'app, selezionare Visualizza domini app.

5. In Domini definiti dall'utente immettere tutti i domini da associare all'app e quindi selezionare Salva.

   Nota

   È possibile usare il carattere jolly * come segnaposto per qualsiasi carattere. Quando si aggiungono domini, decidere se aggiungere domini specifici (sub1.contoso.com,sub2.contoso.com) o più domini (*.contoso.com).

Installare i certificati radice

1. Ripetere i passaggi seguenti per installare i certificati radice autofirmato ca corrente e ca successiva .

   1. Selezionare il certificato.
   2. Selezionare Apri e, quando richiesto, selezionare di nuovo Apri .
   3. Selezionare Installa certificato.
   4. Scegliere Utente corrente o Computer locale.
   5. Selezionare Inserisci tutti i certificati nell'archivio seguente e quindi selezionare Sfoglia.
   6. Selezionare Autorità di certificazione radice attendibili e quindi selezionare OK.
   7. Selezionare Fine.

   Nota

   Affinché i certificati vengano riconosciuti, dopo aver installato il certificato, è necessario riavviare il browser e passare alla stessa pagina.

2. Selezionare Continua.

3. Verificare che l'applicazione sia disponibile nella tabella.

   

Passaggio 3: Verificare che l'app funzioni correttamente

Per verificare che l'applicazione venga inoltrata tramite proxy, eseguire prima di tutto un disconnesso dei browser associati all'applicazione o aprire un nuovo browser con modalità in incognito.

Aprire l'applicazione ed eseguire i controlli seguenti:

• Verificare che l'URL contenga il .mcas suffisso
• Visitare tutte le pagine all'interno dell'app che fanno parte del processo di lavoro di un utente e verificare che il rendering delle pagine sia corretto.
• Verificare che il comportamento e la funzionalità dell'app non siano influenzati negativamente dall'esecuzione di azioni comuni, ad esempio il download e il caricamento dei file.
• Esaminare l'elenco dei domini associati all'app. Per altre informazioni, vedere Aggiungere i domini per l'app.

Se si verificano errori o problemi, usare la barra degli strumenti di amministrazione per raccogliere risorse come .har file e sessioni registrate per l'archiviazione di un ticket di supporto.

Passaggio 4: Abilitare l'app per l'uso nell'organizzazione

Quando si è pronti per abilitare l'app da usare nell'ambiente di produzione dell'organizzazione, seguire questa procedura.

1. In Defender for Cloud Apps selezionare l'icona delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.

2. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta distribuendo, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.

3. Selezionare Usa con controllo app per l'accesso condizionale e quindi selezionare Salva.

   

Passaggi successivi

« PREVIOUS: Deploy Conditional Access App Control for catalog apps (Precedente: Distribuire il controllo app per l'accesso condizionale per le app di catalogo)

AVANTI: Come creare un criterio di sessione »

Vedi anche

Introduzione al controllo app per l'accesso condizionale

Risoluzione dei problemi dei controlli di accesso e di sessione

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.