Condividi tramite


Distribuire il controllo delle app di accesso condizionale per le app di catalogo con Microsoft Entra ID

I controlli di accesso e sessione in Microsoft Defender per il cloud App funzionano con le applicazioni del catalogo app cloud e con applicazioni personalizzate. Per un elenco di app preinstallate e predefinite, vedere Proteggere le app con Defender per il cloud controllo delle app per l'accesso condizionale.

Prerequisiti

  • L'organizzazione deve avere le licenze seguenti per usare il controllo delle app per l'accesso condizionale:

  • Le app devono essere configurate con Single Sign-On

  • Le app devono usare uno dei protocolli di autenticazione seguenti:

    Metadati Protocolli
    Microsoft Entra ID SAML 2.0 o OpenID Connessione
    Altro SAML 2.0

Configurare l'integrazione di Microsoft Entra ID

Nota

Quando si configura un'applicazione con SSO in Microsoft Entra ID o altri provider di identità, un campo che può essere elencato come facoltativo è l'impostazione url di accesso. Si noti che questo campo potrebbe essere necessario per il funzionamento del controllo delle app per l'accesso condizionale.

Usare la procedura seguente per creare criteri di accesso condizionale di Microsoft Entra che instradano le sessioni dell'app alle app Defender per il cloud. Per altre soluzioni IdP, vedere Configurare l'integrazione con altre soluzioni IdP.

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare l'accesso condizionale Microsoft Entra.

  2. Nel riquadro Accesso condizionale, nella barra degli strumenti in alto selezionare Nuovo criterio ->Crea nuovo criterio.

  3. Nella casella di testo Nome del riquadro Nuovo immettere il nome del criterio.

  4. In Assegnazioni selezionare il collegamento per assegnare utenti e gruppi che eseguiranno l'onboarding (accesso iniziale e verifica) dell'app.

  5. In Risorse di destinazione selezionare il collegamento per assegnare le risorse di destinazione, incluse le app e le azioni da controllare con il controllo delle app per l'accesso condizionale.

  6. In Controlli di accesso selezionare il collegamento per aprire il riquadro Sessione . Selezionare Usa controllo app per l'accesso condizionale e scegliere un criterio predefinito (solo monitoraggio (anteprima) o Blocca download (anteprima) o Usa criteri personalizzati per impostare un criterio avanzato in Defender per il cloud App e quindi selezionare Seleziona.

    Screenshot della pagina Accesso condizionale di Microsoft Entra.

  7. Facoltativamente, aggiungere condizioni e concedere controlli in base alle esigenze.

  8. Impostare Abilita criteri su e quindi selezionare Crea.

Nota

Prima di procedere, assicurarsi di disconnettersi dalle sessioni esistenti.

Dopo aver creato i criteri, accedere alle app configurate in tali criteri. Assicurarsi di accedere usano un utente configurato in questi criteri.

Defender per il cloud Le app sincronizzano i dettagli dei criteri con i relativi server per ogni nuova app a cui si accede. Questa operazione può richiedere al massimo un minuto.

Verificare che i controlli di accesso e sessione siano configurati

Le istruzioni precedenti hanno consentito di creare un criterio Defender per il cloud Apps predefinito per le app di catalogo direttamente in Microsoft Entra ID. In questo passaggio verificare che i controlli di accesso e sessione siano configurati per queste app.

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In app Connessione ed selezionare App di controllo app per l'accesso condizionale. Esaminare la colonna Controlli disponibili e verificare che sia il controllo di accesso che l'accesso condizionale di Azure AD e il controllo sessione siano visualizzati per le app.

    Se l'app non è abilitata per il controllo sessione, aggiungerla selezionando Onboard with session control (Onboard with session control ) e selezionando Use this app with session controls (Usa questa app con i controlli sessione). Ad esempio:

    Screenshot dell'onboarding con il controllo sessione.

Abilitare l'app per l'uso nell'ambiente di produzione

Quando si è pronti, questa procedura descrive come abilitare l'app da usare nell'ambiente di produzione dell'organizzazione.

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In app Connessione ed selezionare App di controllo app per l'accesso condizionale. Nell'elenco delle app, nella riga in cui viene visualizzata l'app da distribuire, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.

  3. Selezionare Abilita l'app per lavorare sui controlli sessione e quindi selezionare Salva. Ad esempio:

    Screenshot dell'opzione Modifica l'app? Dialogo.

  4. Prima disconnettere tutte le sessioni esistenti, poi accedere a ogni app distribuita. Accedere usando un utente che corrisponde ai criteri configurati in Microsoft Entra ID o per un'app SAML configurata con il provider di identità.

  5. In App cloud del portale di Microsoft Defender selezionare Log attività e assicurarsi che le attività di accesso vengano acquisite per ogni app.

  6. È possibile filtrare selezionando Avanzate e quindi filtrando usando Il controllo di accesso è uguale a Origine. Ad esempio:

    Screenshot del filtro con l'accesso condizionale di Microsoft Entra.

  7. È consigliabile accedere alle app per dispositivi mobili e desktop da dispositivi gestiti e non gestiti. In questo modo si garantisce che le attività vengano acquisite correttamente nel log attività.

    Per verificare che l'attività sia acquisita correttamente, selezionare un'attività di accesso Single Sign-On in modo da aprire il pannello attività. controllare che Tag agente utente indichi correttamente se il dispositivo è un client nativo (un'app desktop o per dispositivi mobili ) o un dispositivo gestito (conforme, aggiunto al dominio o provvisto di certificato client valido).

Nota

Dopo la distribuzione, non è possibile rimuovere un'app dalla pagina Controllo app per l'accesso condizionale. Se non imposti criteri di sessione o di accesso nell'app, il controllo app per l'accesso condizionale non modifica alcun comportamento per l'app.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.