Distribuire il controllo app di accesso condizionale per le app del catalogo con idP non Microsoft

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

I controlli di accesso e sessione in Microsoft Defender for Cloud Apps usare applicazioni dal catalogo app cloud e con applicazioni personalizzate. Per un elenco di app pre-onboarding da parte di app Defender per il cloud per il funzionamento out-of-the-box, vedere Proteggere le app con Defender per il cloud Controllo app di accesso condizionale.

Prerequisiti

  • L'organizzazione deve disporre delle licenze seguenti per l'uso del controllo app di accesso condizionale:

    • Licenza richiesta dalla soluzione IdP (Identity Provider)
    • Microsoft Defender for Cloud Apps
  • Le app devono essere configurate con l'accesso Single Sign-On

  • Le app devono usare uno dei protocolli di autenticazione seguenti:

    IdP Protocolli
    Azure AD SAML 2.0 o OpenID Connect
    Altro SAML 2.0

Per distribuire app del catalogo

Seguire questa procedura per configurare le app del catalogo da controllare Microsoft Defender for Cloud Apps controllo app di accesso condizionale.

Passaggio 1: Configurare l'IDP in modo che funzioni con le app Defender per il cloud

Passaggio 2: Accedere a ogni app usando un utente con ambito per i criteri

Passaggio 3: Verificare che le app siano configurate per usare i controlli di accesso e sessione

Passaggio 4: Abilitare l'app per l'uso nell'organizzazione

Passaggio 5: Testare la distribuzione

Passaggio 1: Configurare l'IDP in modo che funzioni con le app Defender per il cloud

Configurare l'integrazione con altre soluzioni IdP

Usare la procedura seguente per instradare le sessioni dell'app da altre soluzioni IdP a Defender per il cloud App. Per Azure AD, vedere Configurare l'integrazione con Azure AD.

Nota

Per esempi di come configurare le soluzioni IdP, vedere:

  1. In app Defender per il cloud passare a Esaminare>le app connessecontrollo app> di accesso condizionale.

  2. Selezionare + Aggiungi e nel popup selezionare l'app che si vuole distribuire e quindi selezionare Avvia procedura guidata.

  3. Nella pagina INFORMAZIONI APP compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.

    • Se l'IDP fornisce un file di metadati di Accesso Single Sign-On per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
    • In alternativa, selezionare Compilare i dati manualmente e fornire le informazioni seguenti:
      • URL del servizio consumer di asserzione
      • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file di certificato.

    Screenshot showing app information page.

  4. Nella pagina IDENTITY PROVIDER seguire questa procedura per configurare una nuova applicazione nel portale idP e quindi selezionare Avanti.

    1. Passare al portale idP e creare una nuova app SAML personalizzata.
    2. Copiare la configurazione dell'accesso Single Sign-On dell'app esistente <app_name> nella nuova app personalizzata.
    3. Assegnare utenti alla nuova app personalizzata.
    4. Copiare le informazioni di configurazione dell'accesso Single Sign-On delle app. per usarlo nel passaggio successivo.

    Screenshot showing gather identity provider information page.

    Nota

    Questi passaggi possono variare leggermente a seconda del provider di identità. Questo passaggio è consigliato per i motivi seguenti:

    • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app della raccolta
    • La configurazione di un'app personalizzata consente di testare questa applicazione con controlli di accesso e sessione senza modificare il comportamento esistente per l'organizzazione.
  5. Nella pagina successiva compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.

    • Se l'IDP fornisce un file di metadati di Accesso Single Sign-On per l'app selezionata, selezionare Upload file di metadati dall'app e caricare il file di metadati.
    • In alternativa, selezionare Compilare i dati manualmente e fornire le informazioni seguenti:
      • URL del servizio consumer di asserzione
      • Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file di certificato.

    Screenshot showing enter identity provider information page.

  6. Nella pagina successiva copiare le informazioni seguenti e quindi selezionare Avanti. Sono necessarie le informazioni nel passaggio successivo.

    • Single sign-on URL
    • Attributi e valori

    Screenshot showing gather identity providers SAML information page.

  7. Nel portale idP eseguire le operazioni seguenti:

    Nota

    Le impostazioni vengono comunemente trovate nella pagina delle impostazioni personalizzate del portale IdP

    1. Nel campo URL di Accesso Single Sign-On immettere l'URL di Single Sign-On indicato in precedenza.

      Nota

      Alcuni provider possono fare riferimento all'URL dell'accesso Single Sign-On come URL di risposta.

    2. Aggiungere gli attributi e i valori specificati in precedenza alle proprietà dell'app.

      Nota

      • Alcuni provider possono fare riferimento a loro come Attributi utente o Attestazioni.
      • Quando si crea una nuova app SAML, l'Okta provider di identità limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, creare prima l'app senza gli attributi pertinenti. Dopo aver creato l'app, modificarla e quindi aggiungere gli attributi pertinenti.
    3. Verificare che l'identificatore del nome sia nel formato dell'indirizzo di posta elettronica.
    4. Salvare le impostazioni.
  8. Nella pagina MODIFICHE APP eseguire le operazioni seguenti e quindi selezionare Avanti. Sono necessarie le informazioni nel passaggio successivo.

    • Copiare l'URL dell'accesso Single Sign-On
    • Scaricare il certificato SAML delle app di Defender per il cloud

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  9. Nel portale dell'app, nelle impostazioni di Single Sign-On, eseguire le operazioni seguenti:

    1. [Consigliato] Creare un backup delle impostazioni correnti.
    2. Sostituire il valore del campo URL di accesso del provider di identità con l'URL di accesso Single Sign-On samL Defender per il cloud annotato in precedenza.
    3. Upload il certificato SAML delle app di Defender per il cloud scaricato in precedenza.
    4. Selezionare Salva.

    Nota

    • Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno instradate tramite il controllo app di accesso condizionale.
    • Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, è necessario generare un nuovo certificato.

Passaggio 2: Accedere a ogni app usando un utente con ambito per i criteri

Nota

Prima di procedere, assicurarsi di disconnettersi prima delle sessioni esistenti.

Dopo aver creato i criteri, accedere alle app configurate in tali criteri. Assicurarsi di accedere usano un utente configurato in questi criteri.

Defender per il cloud Le app sincronizzano i dettagli dei criteri con i relativi server per ogni nuova app a cui si accede. Questa operazione può richiedere al massimo un minuto.

Passaggio 3: Verificare che le app siano configurate per l'uso dei controlli di accesso e sessione

Le istruzioni precedenti hanno consentito di creare un criterio Defender per il cloud Apps predefinito per le app di catalogo direttamente in Azure AD. In questo passaggio verificare che i controlli di accesso e sessione siano configurati per queste app.

  1. Nel portale delle app di Defender per il cloud selezionare l'ingranaggio settings icon.delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.

  2. Nella tabella App Di controllo app per l'accesso condizionale esaminare la colonna Controlli disponibili e verificare che sia il controllo di accesso che l'accessocondizionale di Azure AD e il controllo sessione vengano visualizzati per le app.

    Nota

    Se il controllo sessione non viene visualizzato per un'app, non è ancora disponibile per tale app specifica. È possibile aggiungerla immediatamente come app personalizzata oppure aprire una richiesta per aggiungerla come app di catalogo facendo clic su Richiedi controllo sessione.

    Conditional access app control request.

Passaggio 4: Abilitare l'app per l'uso nell'organizzazione

Quando si è pronti per abilitare l'app da usare nell'ambiente di produzione dell'organizzazione, seguire questa procedura.

  1. In Defender per il cloud App selezionare l'ingranaggio settings icon.delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.

  2. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta distribuendo, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.

  3. Selezionare Usa con controllo app per l'accesso condizionale e quindi selezionare Salva.

    Enable session controls pop-up.

Passaggio 5: Testare la distribuzione

  1. Prima disconnettere tutte le sessioni esistenti, poi accedere a ogni app distribuita. Accedere usando un utente che corrisponde ai criteri configurati in Azure AD o per un'app SAML configurata con il provider di identità.

  2. Nel portale delle app di Defender per il cloud, in Analisi selezionare Log attività e assicurarsi che le attività di accesso vengano acquisite per ogni app.

  3. È possibile applicare un filtro facendo clic su Advanced (Avanzate) e quindi selezionando l'opzione Source equals Access control (Origine uguale a Controllo di accesso).

    Filter using Azure AD conditional access.

  4. È consigliabile usare dispositivi gestiti e non gestiti per accedere ad app per dispositivi mobili e ad app desktop. In questo modo si garantisce che le attività vengano acquisite correttamente nel log attività.
    Per verificare che l'attività sia acquisita correttamente, selezionare un'attività di accesso Single Sign-On in modo da aprire il pannello attività. controllare che Tag agente utente indichi correttamente se il dispositivo è un client nativo (un'app desktop o per dispositivi mobili ) o un dispositivo gestito (conforme, aggiunto al dominio o provvisto di certificato client valido).

Nota

Dopo la distribuzione, è possibile rimuovere un'app dalla pagina Controllo app per l'accesso condizionale. Fino a quando non si imposta un criterio di accesso o della sessione nell'app, Controllo app per l'accesso condizionale non cambia il comportamento dell'app.

Passaggi successivi

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.