Distribuire controllo app per l'accesso condizionale per app personalizzate con provider di identità non Microsoft
I controlli sessione in Microsoft Defender per il cloud App possono essere configurati per l'uso con qualsiasi app Web. Questo articolo descrive come eseguire l'onboarding e distribuire app line-of-business personalizzate, app SaaS non in primo piano e app locali ospitate tramite il proxy dell'applicazione Microsoft Entra con i controlli sessione. Fornisce la procedura per instradare le sessioni dell'app da altre soluzioni IdP alle app di Defender per il cloud. Per Microsoft Entra ID, vedere Deploy Conditional Access App Control for custom apps using Microsoft Entra ID (Distribuire controllo app per l'accesso condizionale per le app personalizzate tramite Microsoft Entra ID).
Per un elenco di app in primo piano in Defender per il cloud App da usare, vedere Proteggere le app con Defender per il cloud Controllo app per l'accesso condizionale.
Prerequisiti
Aggiungere amministratori all'elenco di onboarding/manutenzione dell'app
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione delle app.
Immettere il nome dell'entità utente o il messaggio di posta elettronica per gli utenti che eseguiranno l'onboarding dell'app e quindi selezionare Salva.
Verificare la presenza di licenze necessarie
L'organizzazione deve avere le licenze seguenti per l'uso del controllo app per l'accesso condizionale:
- Licenza richiesta dalla soluzione provider di identità (IdP)
- Microsoft Defender for Cloud Apps
Le app devono essere configurate con Single Sign-On
Le app devono usare i protocolli di autenticazione seguenti:
Metadati Protocolli Altro SAML 2.0
Per distribuire qualsiasi app
Seguire questa procedura per configurare qualsiasi app da controllare Defender per il cloud Controllo app per l'accesso condizionale.
Nota
Per distribuire controllo app per l'accesso condizionale per le app Microsoft Entra, è necessaria una licenza valida per Microsoft Entra ID P1 o versione successiva, nonché una licenza di Defender per il cloud Apps.
Passaggio 1: Configurare il provider di identità per l'uso con le app Defender per il cloud
Nota
Per esempi di come configurare le soluzioni IdP, vedere:
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In app Connessione ed selezionare App di controllo app per l'accesso condizionale.
Selezionare +Aggiungi e nel popup selezionare l'app da distribuire e quindi avviare la procedura guidata.
Nella pagina INFORMAZIONI SULL'APP compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.
- Se il provider di identità fornisce un file di metadati single sign-on per l'app selezionata, selezionare Carica file di metadati dall'app e caricare il file di metadati.
- In alternativa, selezionare Compila dati manualmente e specificare le informazioni seguenti:
- URL del servizio consumer di asserzione
- Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.
Nella pagina IDENTITY PROVIDER (PROVIDER DI IDENTITÀ) usare i passaggi forniti per configurare una nuova applicazione nel portale del provider di identità e quindi selezionare Avanti.
- Passare al portale del provider di identità e creare una nuova app SAML personalizzata.
- Copiare la configurazione dell'accesso Single Sign-On dell'app esistente
<app_name>
nella nuova app personalizzata. - Assegnare gli utenti alla nuova app personalizzata.
- Copiare le informazioni di configurazione dell'accesso Single Sign-On delle app. Sarà necessario nel passaggio successivo.
Nota
Questi passaggi possono variare leggermente a seconda del provider di identità. Questo passaggio è consigliato per i motivi seguenti:
- Alcuni provider di identità non consentono di modificare gli attributi SAML o le proprietà URL di un'app della raccolta
- La configurazione di un'app personalizzata consente di testare questa applicazione con controlli di accesso e sessione senza modificare il comportamento esistente per l'organizzazione.
Nella pagina successiva compilare il modulo usando le informazioni della pagina di configurazione dell'accesso Single Sign-On dell'app e quindi selezionare Avanti.
- Se il provider di identità fornisce un file di metadati single sign-on per l'app selezionata, selezionare Carica file di metadati dall'app e caricare il file di metadati.
- In alternativa, selezionare Compila dati manualmente e specificare le informazioni seguenti:
- URL del servizio consumer di asserzione
- Se l'app fornisce un certificato SAML, selezionare Usa <app_name> certificato SAML e caricare il file del certificato.
Nella pagina successiva copiare le informazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie nel passaggio successivo.
- Single sign-on URL
- Attributi e valori
Nel portale di IdP eseguire le operazioni seguenti:
Nota
Le impostazioni si trovano comunemente nella pagina delle impostazioni personalizzate dell'app del portale IdP.
Consigliato : creare un backup delle impostazioni correnti.
Sostituire il valore del campo URL di accesso Single Sign-On con l'URL single sign-on SAML di Defender per il cloud Apps annotato in precedenza.
Nota
Alcuni provider possono fare riferimento all'URL di accesso Single Sign-On come URL di risposta.
Aggiungere gli attributi e i valori annotato in precedenza alle proprietà dell'app.
Nota
- Alcuni provider possono farvi riferimento come attributi utente o attestazioni.
- Quando si crea una nuova app SAML, okta Identity Provider limita gli attributi a 1024 caratteri. Per attenuare questa limitazione, creare prima di tutto l'app senza gli attributi pertinenti. Dopo aver creato l'app, modificarla e quindi aggiungere gli attributi pertinenti.
Verificare che l'identificatore del nome sia nel formato dell'indirizzo di posta elettronica.
Salva le impostazioni.
Nella pagina MODIFICHE APP eseguire le operazioni seguenti e quindi selezionare Avanti. Le informazioni saranno necessarie nel passaggio successivo.
- Copiare l'URL di Single Sign-On
- Scaricare il certificato SAML delle app Defender per il cloud
Nel portale dell'app, nelle impostazioni di Single Sign-On, eseguire le operazioni seguenti:
- Consigliato : creare un backup delle impostazioni correnti.
- Nel campo URL single sign-on immettere l'URL single sign-on di Defender per il cloud Apps annotato in precedenza.
- Caricare il certificato SAML delle app Defender per il cloud scaricato in precedenza.
Nota
- Dopo aver salvato le impostazioni, tutte le richieste di accesso associate a questa app verranno instradate tramite controllo app per l'accesso condizionale.
- Il certificato SAML delle app Defender per il cloud è valido per un anno. Dopo la scadenza, sarà necessario generare un nuovo certificato.
Passaggio 2: Aggiungere l'app manualmente e installare i certificati, se necessario
Le applicazioni nel catalogo app vengono popolate automaticamente nella tabella in App Connessione ed. Verificare che l'app che si vuole distribuire sia riconosciuta passando da questa posizione.
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In app Connessione ed selezionare App di controllo app per l'accesso condizionale per accedere a una tabella di applicazioni che possono essere configurate con criteri di accesso e sessione.
Selezionare il menu a discesa App: Seleziona app... per filtrare e cercare l'app da distribuire.
Se l'app non viene visualizzata, è necessario aggiungerla manualmente.
Come aggiungere manualmente un'app non identificata
Nel banner selezionare Visualizza nuove app.
Nell'elenco delle nuove app, per ogni app di cui si sta eseguendo l'onboarding, selezionare il + segno e quindi selezionare Aggiungi.
Nota
Se un'app non viene visualizzata nel catalogo app Defender per il cloud, verrà visualizzata nella finestra di dialogo sotto app non identificate insieme all'URL di accesso. Quando si fa clic sul segno + per queste app, è possibile eseguire l'onboarding dell'applicazione come app personalizzata.
Per aggiungere domini per un'app
L'associazione dei domini corretti a un'app consente alle app di Defender per il cloud di applicare criteri e attività di controllo.
Ad esempio, se sono stati configurati criteri che bloccano il download dei file per un dominio associato, i download di file dall'app da tale dominio verranno bloccati. Tuttavia, i download di file dall'app dai domini non associati all'app non verranno bloccati e l'azione non verrà controllato nel log attività.
Nota
Defender per il cloud App aggiunge ancora un suffisso ai domini non associati all'app per garantire un'esperienza utente senza problemi.
- Dall'interno dell'app, sulla barra degli strumenti di amministrazione di Defender per il cloud App selezionare Domini individuati.
Nota
La barra degli strumenti di amministrazione è visibile solo agli utenti con autorizzazioni per l'onboarding o la manutenzione delle app.
- Nel pannello Domini individuati prendere nota dei nomi di dominio o esportare l'elenco come file di .csv.
Nota
Nel pannello viene visualizzato un elenco di domini individuati che non sono associati nell'app. I nomi di dominio sono completi.
- Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
- In app Connessione ed selezionare App di controllo app per l'accesso condizionale.
- Nell'elenco delle app, nella riga in cui viene visualizzata l'app da distribuire, scegliere i tre puntini alla fine della riga e quindi selezionare Modifica app.
Suggerimento
Per visualizzare l'elenco dei domini configurati nell'app, selezionare Visualizza domini app.
- In Domini definiti dall'utente immettere tutti i domini da associare all'app e quindi selezionare Salva.
Nota
È possibile usare il carattere jolly * come segnaposto per qualsiasi carattere. Quando si aggiungono domini, decidere se aggiungere domini specifici (
sub1.contoso.com
,sub2.contoso.com
) o più domini (*.contoso.com
).
Installare i certificati radice
Ripetere i passaggi seguenti per installare i certificati radice autofirmato della CA corrente e della CA successiva.
- Selezionare il certificato.
- Selezionare Apri e, quando richiesto, selezionare di nuovo Apri .
- Selezionare Installa certificato.
- Scegliere Utente corrente o Computer locale.
- Selezionare Inserisci tutti i certificati nell'archivio seguente e quindi selezionare Sfoglia.
- Selezionare Autorità di certificazione radice attendibili e quindi selezionare OK.
- Selezionare Fine.
Nota
Affinché i certificati vengano riconosciuti, dopo aver installato il certificato, è necessario riavviare il browser e passare alla stessa pagina.
Selezionare Continua.
Verificare che l'applicazione sia disponibile nella tabella.
Passaggio 3: Verificare che l'app funzioni correttamente
Per verificare che l'applicazione sia protetta, eseguire prima di tutto un disconnesso dei browser associati all'applicazione o aprire un nuovo browser con modalità in incognito.
Aprire l'applicazione ed eseguire i controlli seguenti:
- Verificare se l'icona di blocco viene visualizzata nel browser o se si usa un browser diverso da Microsoft Edge, verificare che l'URL dell'app contenga il
.mcas
suffisso. Per altre informazioni, vedere Protezione nel browser con Microsoft Edge for Business (anteprima). - Visitare tutte le pagine all'interno dell'app che fanno parte del processo di lavoro di un utente e verificare che il rendering delle pagine sia corretto.
- Verificare che il comportamento e la funzionalità dell'app non siano influenzati negativamente dall'esecuzione di azioni comuni, ad esempio il download e il caricamento di file.
- Esaminare l'elenco dei domini associati all'app. Per altre informazioni, vedere Aggiungere i domini per l'app.
Se si verificano errori o problemi, usare la barra degli strumenti di amministrazione per raccogliere risorse quali .har
file e sessioni registrate per l'invio di un ticket di supporto.
Passaggio 4: Abilitare l'app da usare nell'organizzazione
Quando si è pronti per abilitare l'app da usare nell'ambiente di produzione dell'organizzazione, seguire questa procedura.
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.
In app Connessione ed selezionare App di controllo app per l'accesso condizionale.
Nell'elenco delle app, nella riga in cui viene visualizzata l'app da distribuire, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.
Selezionare Usa l'app con i controlli sessione e quindi selezionare Salva.
Passaggi successivi
Vedi anche
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.