Condividi tramite


Impostazioni dei cookie per l'accesso alle applicazioni locali in Microsoft Entra ID

Microsoft Entra ID dispone di cookie di accesso e di sessione per l'accesso alle applicazioni locali tramite il proxy dell'applicazione. Informazioni su come usare le impostazioni dei cookie proxy dell'applicazione.

Il proxy dell'applicazione usa le seguenti impostazioni di accesso e cookie di sessione.

Impostazione dei cookie Default Descrizione Consigli
Usa cookie solo HTTP No consente al proxy dell'applicazione di includere il flag HTTPOnly nelle intestazioni di risposta HTTP. Questo flag offre vantaggi di sicurezza aggiuntivi, ad esempio impedisce al client scripting (CSS) di copiare o modificare i cookie.



Prima di supportare l'impostazione Solo HTTP, il proxy dell'applicazione crittografa e trasmette i cookie tramite un canale TLS (Transport Layer Security) protetto per proteggersi dalla modifica. 
Usare a causa dei vantaggi di sicurezza aggiuntivi.



Usare No per i client o gli agenti utente che richiedono l'accesso al cookie di sessione. Ad esempio, usare No per Remote Desktop Protocol (RDP) o Microsoft Terminal Services Client (MTSC) che si connette a un server Gateway Desktop remoto tramite il proxy dell'applicazione.
Usa cookie protetti consente al proxy dell'applicazione di includere il flag Secure nelle intestazioni di risposta HTTP. Cookie protetti migliorano la sicurezza mediante la trasmissione di cookie su un canale TLS protetto, ad esempio HTTPS. TLS impedisce la trasmissione dei cookie in testo non crittografato. Usare a causa dei vantaggi di sicurezza aggiuntivi.
Usa cookie permanenti No consente al proxy dell'applicazione di impostare i cookie di accesso in modo che non scadano quando il Web browser viene chiuso. La permanenza dura fino alla scadenza del token di accesso o fino a quando non si consente di eliminare manualmente i cookie permanenti. Usare No a causa del rischio di sicurezza associato al mantenere gli utenti autenticati.



È consigliabile usare Solo Sì per le applicazioni meno recenti che non possono condividere cookie tra processi. È preferibile aggiornare l'applicazione per gestire la condivisione dei cookie tra processi anziché utilizzare i cookie permanenti. Ad esempio, potrebbero essere necessari cookie permanenti per consentire a un utente di aprire i documenti di Office in visualizzazione Esplora da un sito di SharePoint. Senza i cookie permanenti, questa operazione potrebbe non riuscire se i cookie di accesso non vengono condivisi tra il browser, il processo Esplora e il processo Office.

Cookie SameSite

I cookie che non specificano l'attributo SameSite vengono considerati come se fossero impostati su SameSite=Lax. L'attributo SameSite dichiara il modo in cui i cookie devono essere limitati a un contesto dello stesso sito. Se impostato su Lax, il cookie viene inviato solo alle richieste dello stesso sito o alla navigazione di primo livello. Tuttavia, il proxy dell'applicazione richiede che questi cookie vengano mantenuti nel contesto di terze parti per mantenere gli utenti connessi correttamente durante la sessione. A causa del requisito, sono stati apportati aggiornamenti:

  • Impostazione dell'attributo SameSite su Nessuno. I cookie delle sessioni proxy dell'applicazione vengono inviati correttamente nel contesto di terze parti.
  • Impostazione dell'impostazione Usa cookie protetti per usare come impostazione predefinita. Chrome rifiuta i cookie che non usano il Secure flag. La modifica si applica a tutte le applicazioni esistenti pubblicate tramite il proxy dell'applicazione. I cookie di accesso al proxy dell'applicazione sono impostati su Sicuro e trasmessi solo tramite HTTPS. La modifica si applica solo ai cookie di sessione.

Inoltre, se l'applicazione back-end dispone di cookie che necessitano di contesto di terze parti, è necessario acconsentire esplicitamente modificando l'applicazione in modo da usare SameSite=None. Il proxy di applicazione converte l'intestazione Set-Cookie negli URL e rispetta le impostazioni.

Per impostare le impostazioni dei cookie tramite l'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione Amministrazione istrator.
  2. Passare a Identity>Applications Enterprise Applications>Application Proxy (Proxy applicazione applicazioni>aziendali).
  3. All'interno di Impostazioni aggiuntive, sregolare l'impostazione dei cookie su oppure No.
  4. Seleziona Salva per applicare le modifiche.

Per visualizzare le impostazioni correnti dei cookie per l'applicazione, usare questo comando di PowerShell:

Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl * 

Nei comandi di PowerShell seguenti è <ObjectId> objectId dell'applicazione.

Cookie solo HTTP

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false 

Cookie sicuro

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false 

Cookie persistenti

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false