Eseguire l'onboarding di app personalizzate non Microsoft IdP per il controllo delle app per l'accesso condizionale

I controlli di accesso e sessione nelle app Microsoft Defender per il cloud funzionano sia con il catalogo che con le app personalizzate. Anche se le app Microsoft Entra ID vengono caricate automaticamente per usare il controllo app per l'accesso condizionale, se si usa un IdP non Microsoft, è necessario eseguire manualmente l'onboarding dell'app.

Questo articolo descrive come configurare il provider di identità per l'uso con Defender per il cloud App e quindi eseguire manualmente l'onboarding di ogni app personalizzata. Al contrario, le app di catalogo di un IdP non Microsoft vengono caricate automaticamente quando si configura l'integrazione tra il provider di identità e le app Defender per il cloud.

Prerequisiti

• L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:

  • Licenza richiesta dalla soluzione provider di identità (IdP)
  • Microsoft Defender for Cloud Apps

• Le app devono essere configurate con Single Sign-On

• Le app devono essere configurate con il protocollo di autenticazione SAML 2.0.

Aggiungere amministratori all'elenco di onboarding/manutenzione dell'app

1. In Microsoft Defender XDR selezionare Impostazioni > App > per l'accesso condizionale Controllo > app per l'onboarding/manutenzione delle app.

2. Immettere i nomi utente o i messaggi di posta elettronica di tutti gli utenti che eseguiranno l'onboarding dell'app e quindi selezionare Salva.

Per altre informazioni, vedere Diagnosticare e risolvere i problemi con la barra degli strumenti Visualizzazione amministratore.

Configurare il provider di identità per l'uso con Defender per il cloud App

Questa procedura descrive come instradare le sessioni dell'app da altre soluzioni IdP alle app di Defender per il cloud.

Suggerimento

Gli articoli seguenti forniscono esempi dettagliati di questa procedura:

• Configurare il provider di identità PingOne
• Configurare il provider di identità AD FS
• Configurare il provider di identità Okta

Per configurare il provider di identità per l'uso con le app Defender per il cloud:

1. In Microsoft Defender XDR selezionare Impostazioni > App cloud App > > connesse App di controllo app per l'accesso condizionale.

2. Nella pagina App di controllo app per l'accesso condizionale selezionare + Aggiungi.

3. Nella finestra di dialogo Aggiungi un'applicazione SAML con il provider di identità selezionare l'elenco a discesa Cerca un'app e quindi selezionare l'app da distribuire. Con l'app selezionata, selezionare Avvia procedura guidata.

4. Nella pagina INFORMAZIONI SULL'APP della procedura guidata caricare un file di metadati dall'app o immettere manualmente i dati dell'app.

   Assicurarsi di fornire le informazioni seguenti:

   • URL del servizio consumer di asserzione. Si tratta dell'URL usato dall'app per ricevere asserzioni SAML dal provider di identità.
   • Un certificato SAML, se l'app ne fornisce una. In questi casi, selezionare l'opzione Usa ... Opzione certificato SAML e quindi caricare il file del certificato.

   Al termine, selezionare Avanti per continuare.

5. Nella pagina IDENTITY PROVIDER della procedura guidata seguire le istruzioni per configurare una nuova app personalizzata nel portale del provider di identità.

   Nota

   I passaggi necessari possono variare a seconda del provider di identità. È consigliabile eseguire la configurazione esterna come descritto per i motivi seguenti:

   • Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app di raccolta/catalogo.
   • Quando si configura un'app personalizzata, è possibile testare l'app con Defender per il cloud controlli di accesso alle app e di sessione, senza modificare il comportamento configurato esistente dell'organizzazione.

   Copiare le informazioni di configurazione dell'accesso Single Sign-On dell'app per usarle più avanti in questa procedura. Al termine, selezionare Avanti per continuare.

6. Continuando nella pagina IDENTITY PROVIDER della procedura guidata, caricare un file di metadati dal provider di identità o immettere manualmente i dati dell'app.

   Assicurarsi di fornire le informazioni seguenti:

   • URL del servizio Single Sign-On. SI tratta dell'URL usato dal provider di identità per ricevere le richieste di Single Sign-On.
   • Un certificato SAML, se il provider di identità ne fornisce uno. In questi casi, selezionare l'opzione Usa certificato SAML del provider di identità e quindi caricare il file del certificato.

7. Continuando nella pagina IDENTITY PROVIDER della procedura guidata, copiare sia l'URL single sign-on che tutti gli attributi e i valori da usare più avanti in questa procedura.

   Al termine, selezionare Avanti per continuare.

8. Passare al portale di IdP e immettere i valori copiati nella configurazione idp. In genere, queste impostazioni si trovano nell'area delle impostazioni dell'app personalizzata del provider di identità.

   1. Immettere l'URL dell'accesso Single Sign-On dell'app copiato dal passaggio precedente. Alcuni provider possono fare riferimento all'URL di accesso Single Sign-On come URL di risposta.

   2. Aggiungere gli attributi e i valori copiati dal passaggio precedente alle proprietà dell'app. Alcuni provider possono farvi riferimento come attributi utente o attestazioni.

      Se gli attributi sono limitati a 1024 caratteri per le nuove app, creare prima l'app senza gli attributi pertinenti e aggiungerli successivamente modificando l'app.

   3. Verificare che l'identificatore del nome sia nel formato di un indirizzo di posta elettronica.

   4. Al termine, assicurarsi di salvare le impostazioni.

9. Tornare in app di Defender per il cloud, nella pagina MODIFICHE APP della procedura guidata copiare l'URL single sign-on SAML e scaricare il certificato SAML delle app Microsoft Defender per il cloud. L'URL single sign-on SAML è un URL personalizzato per l'app quando viene usato con Defender per il cloud controllo app per l'accesso condizionale.

10. Passare al portale dell'app e configurare le impostazioni di Single Sign-On come indicato di seguito:

    1. (Scelta consigliata) Creare un backup delle impostazioni correnti.
    2. Sostituire il valore del campo IDENTITY provider sign-in URL (URL di accesso del provider di identità) con l'URL single sign-on SAML di Defender per il cloud Apps copiato dal passaggio precedente. Il nome specifico per questo campo può essere diverso, a seconda dell'app.
    3. Caricare il certificato SAML delle app Defender per il cloud scaricato nel passaggio precedente.
    4. Assicurarsi di salvare le modifiche.

11. Nella procedura guidata selezionare Fine per completare la configurazione.

Dopo aver salvato le impostazioni di Single Sign-On dell'app con i valori personalizzati da Defender per il cloud Apps, tutte le richieste di accesso associate all'app vengono instradate anche se Defender per il cloud App e controllo app per l'accesso condizionale.

Nota

Il certificato SAML delle app Defender per il cloud è valido per 1 anno. Dopo la scadenza, sarà necessario generarne uno nuovo.

Eseguire l'onboarding dell'app per il controllo delle app per l'accesso condizionale

Se si usa un'app personalizzata che non viene popolata automaticamente nel catalogo app, è necessario aggiungerla manualmente.

Per verificare se l'app è già stata aggiunta:

1. In Microsoft Defender XDR selezionare Impostazioni > App > cloud App > connesse App di controllo app per l'accesso condizionale.

2. Selezionare il menu a discesa App: Seleziona app... per cercare l'app.

Se l'app è già elencata, continuare con la procedura per le app di catalogo.

Per aggiungere manualmente l'app:

1. Se hai nuove app, vedrai un banner nella parte superiore della pagina che informa che hai nuove app da caricare. Selezionare il collegamento Visualizza nuove app per visualizzarli.

2. Nella finestra di dialogo App di Azure AD individuate individuare l'app, ad esempio in base al valore URL di accesso . Selezionare il pulsante e quindi Aggiungi per eseguirne l'onboarding + come app personalizzata.

Installare i certificati radice

Assicurarsi di usare i certificati CA correnti o CA successivi corretti per ognuna delle app.

Per installare i certificati, ripetere il passaggio seguente per ogni certificato:

1. Aprire e installare il certificato, selezionando Utente corrente o Computer locale.

2. Quando viene richiesto dove inserire i certificati, passare a Autorità di certificazione radice attendibili.

3. Selezionare OK e Fine in base alle esigenze per completare la procedura.

4. Riavviare il browser, aprire di nuovo l'app e selezionare Continua quando richiesto.

5. In Microsoft Defender XDR selezionare Impostazioni > App cloud App connesse App > di > controllo app per l'accesso condizionale e assicurarsi che l'app sia ancora elencata nella tabella.

Per altre informazioni, vedere App non visualizzata nella pagina app di controllo delle app per l'accesso condizionale.

Contenuto correlato

• Proteggere le app con il controllo app per l'accesso condizionale Microsoft Defender per il cloud
• Distribuire il controllo delle app di accesso condizionale per le app di catalogo con idp non Microsoft
• Risoluzione dei problemi relativi ai controlli di accesso e sessione

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.