Creare criteri di accesso Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps i criteri di accesso usano il controllo app per l'accesso condizionale per fornire monitoraggio e controllo in tempo reale sull'accesso alle app cloud. I criteri di accesso controllano l'accesso in base a utente, posizione, dispositivo e app e sono supportati per qualsiasi dispositivo.
I criteri creati per un'app host non sono connessi ad alcuna app di risorse correlata. Ad esempio, i criteri di accesso creati per Teams, Exchange o Gmail non sono connessi a SharePoint, OneDrive o Google Drive. Se sono necessari criteri per l'app per le risorse oltre all'app host, creare un criterio separato.
Consiglio
Se si preferisce in genere consentire l'accesso durante il monitoraggio delle sessioni o limitare attività di sessione specifiche, creare invece criteri di sessione. Per altre informazioni, vedere Criteri di sessione.
Prerequisiti
Prima di iniziare, assicurarsi di avere i prerequisiti seguenti:
Una licenza Defender for Cloud Apps, come licenza autonoma o come parte di un'altra licenza.
Una licenza per Microsoft Entra ID P1, come licenza autonoma o come parte di un'altra licenza.
Se si usa un IdP non Microsoft, la licenza richiesta dalla soluzione IdP (Identity Provider).
Le app pertinenti sottoposte a onboarding nel controllo delle app di accesso condizionale. Microsoft Entra ID le app vengono caricate automaticamente, mentre le app idP non Microsoft devono essere caricate manualmente.
Se si usa un IdP non Microsoft, assicurarsi di aver configurato anche idp per l'uso con Microsoft Defender for Cloud Apps. Per altre informazioni, vedere:
Affinché i criteri di accesso funzionino, è necessario disporre anche di un criterio di accesso condizionale Microsoft Entra ID, che crea le autorizzazioni per controllare il traffico.
Esempio: Creare criteri di accesso condizionale Microsoft Entra ID da usare con Defender for Cloud Apps
Questa procedura fornisce un esempio generale di come creare criteri di accesso condizionale da usare con Defender for Cloud Apps.
In Microsoft Entra ID accesso condizionale selezionare Crea nuovo criterio.
Immettere un nome significativo per i criteri e quindi selezionare il collegamento in Sessione per aggiungere controlli ai criteri.
Nell'area Sessione selezionare Usa controllo app per l'accesso condizionale.
Nell'area Utenti selezionare per includere tutti gli utenti o solo utenti e gruppi specifici.
Nelle aree Condizioni e app client selezionare le condizioni e le app client da includere nei criteri.
Salvare i criteri attivando l'opzione Solo report su Sì e quindi selezionando Crea.
Microsoft Entra ID supporta criteri basati su browser e non basati su browser. È consigliabile creare entrambi i tipi per una maggiore copertura della sicurezza.
Ripetere questa procedura per creare criteri di accesso condizionale non basati su browser. Nell'area App client impostare l'opzione Configura su Sì. In Client di autenticazione moderna deselezionare quindi l'opzione Browser . Lasciare selezionate tutte le altre selezioni predefinite.
Per altre informazioni, vedere Criteri di accesso condizionale e Compilazione di criteri di accesso condizionale.
Creare un criterio di accesso Defender for Cloud Apps
Questa procedura descrive come creare un nuovo criterio di accesso in Defender for Cloud Apps.
In Microsoft Defender XDR selezionare la scheda Accesso condizionale gestione criteri > di App >> cloud.
Selezionare Crea criterio>Criteri di accesso. Ad esempio:
Nella pagina Crea criteri di accesso immettere le informazioni di base seguenti:
Nome Descrizione Nome criterio Nome significativo per i criteri, ad esempio Blocca l'accesso da dispositivi non gestiti Gravità del criterio Selezionare la gravità da applicare ai criteri. Categoria Mantenere il valore predefinito controllo di accesso Descrizione Immettere una descrizione significativa facoltativa per i criteri per consentire al team di comprenderne lo scopo. Nell'area Attività corrispondente a tutte le aree seguenti selezionare filtri attività aggiuntivi da applicare ai criteri. I filtri includono le opzioni seguenti:
Nome Descrizione App Filtri per un'app specifica da includere nei criteri. Selezionare le app selezionando prima di tutto se usano l'onboarding automatizzato di Azure AD, per le app Microsoft Entra ID o l'onboarding manuale, per le app IdP non Microsoft. Selezionare quindi l'app da includere nel filtro dall'elenco.
Se l'app IdP non Microsoft non è presente nell'elenco, assicurarsi di aver eseguito l'onboarding completo. Per altre informazioni, vedere:
- Eseguire l'onboarding di app del catalogo IDP non Microsoft per il controllo delle app per l'accesso condizionale
- Eseguire l'onboarding di app personalizzate non Microsoft IdP per il controllo delle app per l'accesso condizionale
Se si sceglie di non usare il filtro app , il criterio si applica a tutte le applicazioni contrassegnate come Abilitate nella pagina Impostazioni > app cloud App > connesse > Accesso condizionale App di controllo app .
Nota: è possibile che si verifichi una sovrapposizione tra le app di cui viene eseguita l'onboarding e le app che richiedono l'onboarding manuale. In caso di conflitto nel filtro tra le app, le app con onboarding manuale hanno la precedenza.App client Filtrare per le app browser o per dispositivi mobili/desktop. Dispositivo Filtrare i tag del dispositivo, ad esempio per un metodo di gestione dei dispositivi specifico, o i tipi di dispositivo, ad esempio PC, dispositivi mobili o tablet. Indirizzo IP Filtrare per indirizzo IP o usare tag di indirizzo IP assegnati in precedenza. Posizione Filtrare in base alla posizione geografica. L'assenza di una posizione chiaramente definita può identificare le attività rischiose. ISP registrato Filtrare le attività provenienti da un isp specifico. Utente Filtrare per un utente o un gruppo di utenti specifico. Stringa dell'agente utente Filtrare per una stringa dell'agente utente specifica. Tag dell'agente utente Filtrare i tag dell'agente utente, ad esempio per i browser o i sistemi operativi obsoleti. Ad esempio:
Selezionare Modifica e anteprima dei risultati per ottenere un'anteprima dei tipi di attività che verranno restituiti con la selezione corrente.
Nell'area Azioni selezionare una delle opzioni seguenti:
Controllo: impostare questa azione per consentire l'accesso in base ai filtri dei criteri impostati in modo esplicito.
Blocca: impostare questa azione per bloccare l'accesso in base ai filtri dei criteri impostati in modo esplicito.
Nell'area Avvisi configurare una delle azioni seguenti in base alle esigenze:
- Creare un avviso per ogni evento corrispondente con la gravità del criterio
- Inviare un avviso come messaggio di posta elettronica
- Limite di avvisi giornalieri per criterio
- Inviare avvisi a Power Automate
Al termine, selezionare Crea.
Testare i criteri
Dopo aver creato i criteri di accesso, testarli di nuovo eseguendo l'autenticazione a ogni app configurata nei criteri. Verificare che l'esperienza dell'app sia come previsto e quindi controllare i log attività.
È consigliabile:
- Creare un criterio per un utente creato appositamente per il test.
- Disconnettersi da tutte le sessioni esistenti prima di eseguire di nuovo l'autenticazione alle app.
- Accedere alle app per dispositivi mobili e desktop da dispositivi gestiti e non gestiti per garantire che le attività vengano acquisite completamente nel log attività.
Assicurarsi di accedere con un utente corrispondente ai criteri.
Per testare i criteri nell'app:
- Visitare tutte le pagine all'interno dell'app che fanno parte del processo di lavoro di un utente e verificare che il rendering delle pagine sia corretto.
- Verificare che il comportamento e la funzionalità dell'app non siano influenzati negativamente dall'esecuzione di azioni comuni, ad esempio il download e il caricamento di file.
- Se si usano app IdP personalizzate non Microsoft, controllare ognuno dei domini aggiunti manualmente per l'app.
Per controllare i log attività:
In Microsoft Defender XDR selezionare Log attività app > cloud e verificare la presenza delle attività di accesso acquisite per ogni passaggio. È possibile filtrare selezionando Filtri avanzati e filtraggio per Origine uguale a Controllo di accesso.
Le attività di accesso Single Sign-On sono eventi di controllo app per l'accesso condizionale.
Selezionare un'attività da espandere per altri dettagli. Verificare che il tag Dell'agente utente rifletta correttamente se il dispositivo è un client predefinito, un'app per dispositivi mobili o desktop o se il dispositivo è un dispositivo gestito conforme e aggiunto a un dominio.
Se si verificano errori o problemi, usare la barra degli strumenti Amministrazione Visualizza per raccogliere risorse, ad .Har esempio file e sessioni registrate, e quindi inviare un ticket di supporto.
Creare criteri di accesso per i dispositivi gestiti dall'identità
Usare i certificati client per controllare l'accesso per i dispositivi che non sono Microsoft Entra ibridi aggiunti e non sono gestiti da Microsoft Intune. Implementare nuovi certificati nei dispositivi gestiti o usare certificati esistenti, ad esempio certificati MDM di terze parti. Ad esempio, è possibile distribuire il certificato client nei dispositivi gestiti e quindi bloccare l'accesso dai dispositivi senza certificato.
Per altre informazioni, vedere Dispositivi gestiti dall'identità con controllo dell'app per l'accesso condizionale.
Contenuto correlato
Per altre informazioni, vedere:
- Risoluzione dei problemi relativi all'accesso e ai controlli sessione
- Esercitazione: Bloccare il download di informazioni riservate con il controllo dell'app per l'accesso condizionale
- Blocco dei download nei dispositivi non gestiti tramite i controlli sessione
- Webinar del controllo app per l'accesso condizionale
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.