Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Questa funzionalità è in Anteprima Pubblica.
Questa pagina è destinata ai team IT e alla sicurezza che si preparano a implementare l'app per dispositivi mobili genie Azure Databricks nell'organizzazione. Illustra il modello di sicurezza, la configurazione consigliata e il processo di distribuzione.
Come l'app Genie per dispositivi mobili mantiene i dati protetti
L'app Genie per dispositivi mobili non ignora la governance Azure Databricks esistente. Gli utenti ereditano le stesse autorizzazioni di dati e gli stessi controlli di accesso della versione Web di Azure Databricks.
Identità e accesso
- L'accesso a Genie One è limitato all'ambito dell'area di lavoro e i dati sono regolati da Unity Catalog. Gli utenti vedono solo le aree di lavoro per cui dispongono almeno dell'accesso Consumer. La sicurezza a livello di riga e a livello di colonna continua a essere applicata. Vedi Che cos'è l'accesso dei consumatori?.
- L'abilitazione dell'anteprima a livello di account non concede alcun accesso utente. Consente solo all'app ufficiale di autenticarsi con il tuo account. L'appartenenza e i diritti provengono comunque dal processo di gestione degli utenti esistente.
- L'app usa lo stesso client OAuth e lo stesso flusso di un browser. Non è necessaria una registrazione separata dell'applicazione IdP. Vedere Autenticazione e controllo di accesso.
- L'app usa lo stesso flusso di autenticazione dell'esperienza Web. Si tratta di un client OAuth proprietario che effettua l'accesso tramite
login.databricks.comcon Microsoft Entra ID. Tutti i criteri di autenticazione a più fattori, accesso condizionale e comportamento del dispositivo continuano a essere applicati.
Misure di sicurezza dei dispositivi
- I token vengono crittografati con rotazione automatica. Solo il dispositivo autenticato può accedere a Genie One.
- L'autenticazione usa Microsoft Entra ID, inclusi SSO e fattori come la biometria (viso o impronta digitale).
Rete e infrastruttura
L'app Genie non usa un piano dati mobile separato:
- L'app usa HTTPS per raggiungere la stessa area di lavoro e gli URL degli account di un browser. Non sono presenti endpoint solo per dispositivi mobili e nessuna API non autenticata.
- I controlli di rete e DLP esistenti si applicano ancora, inclusi elenchi di accesso IP, ingresso basato sul contesto, collegamento privato, VPN per dispositivi mobili e prevenzione della perdita dei dati sul dispositivo.
- Genie Mobile supporta le aree di lavoro con il profilo di sicurezza di conformità abilitato. I dati nei workspace del profilo di sicurezza per la conformità non vengono spostati né escono dall'area geografica, in linea con quanto avviene con l'accesso tramite browser web.
Raccomandazioni sulla configurazione di base
Applicare i controlli di sicurezza di base seguenti durante la distribuzione dell'app Genie. Se la strategia per dispositivi mobili dell'organizzazione è più restrittiva, implementare i controlli più rigorosi.
| Controllo | Baseline consigliata |
|---|---|
| Identità | SSO con MFA |
| Ingresso di rete | Elenchi di accesso IP abilitati nell'area di lavoro. Metodo configurato, ad esempio VPN, per consentire ai dispositivi di connettersi da un indirizzo IP consentito. |
| Controlli dell'area di lavoro | Genie mobile abilitato a livello di account. Se si usa una VPN, assicurarsi che gli indirizzi IP VPN siano consentiti in ogni area di lavoro. |
| Comportamento del dispositivo | Implementare i controlli del comportamento dei dispositivi in modo coerente con la strategia per dispositivi mobili. |
| Distribuzione di app | Installazione da uno store pubblico (App Store o Google Play). |
Note
La VPN per app offre il controllo di rete più sicuro perché solo il traffico proveniente dall'app Genie raggiunge l'area di lavoro. La VPN deve comprendere sia login.databricks.com sia l'host dell'area di lavoro.
Gli elenchi di accesso IP a livello di account non sono attualmente supportati. Usare gli elenchi di accesso IP a livello di area di lavoro per controllare l'accesso mobile.
Comprendere l'ambiente
Configurazione dell'area di lavoro
Prima di abilitare l'app Genie per dispositivi mobili, controllare le impostazioni dell'area di lavoro seguenti:
- Abilitazione delle funzionalità: verificare che l'anteprima sia abilitata prima dell'implementazione agli utenti. Vedi Abilitare l'app.
- Elenchi di accesso IP: se l'area di lavoro usa elenchi di accesso IP, gli indirizzi IP degli utenti mobili devono trovarsi nell'elenco. Questo richiede in genere una VPN.
Accesso alla rete
Se l'area di lavoro ha un elenco di accesso IP, i dispositivi mobili devono connettersi da un indirizzo IP consentito. Una VPN è la soluzione più comune.
La VPN per app offre l'isolamento più sicuro: solo il traffico proveniente dall'app Genie instrada attraverso la VPN. La VPN per-app deve coprire sia login.databricks.com sia l'host dell'area di lavoro.
Se l'area di lavoro è accessibile solo tramite collegamento privato con ingresso pubblico bloccato, i dispositivi mobili necessitano di un percorso di rete che termina all'interno della rete privata. I modelli comuni includono:
- VPN per dispositivi mobili che termina in locale o in un VPC con peering alla rete dell'area di lavoro.
- ExpressRoute, Direct Connect o Interconnessione con interruzione della rete mobile tramite un gateway aziendale e collegamento privato.
Per altre informazioni, vedere Rete tra utenti e Azure Databricks.
iOS: Collegamenti universali e file AASA
In iOS l'app Genie usa i collegamenti universali Apple per intercettare i collegamenti a /one/* negli host dell'area di lavoro e /mobile-redirect in login.databricks.com. Apple convalida questo recuperando https://<host>/.well-known/apple-app-site-association da ogni host la prima volta che l'app vede tale dominio.
Se la rete blocca questo percorso (ad esempio, a livello di un proxy che rimuove le richieste non autenticate), l'intercettazione dei Universal Link torna silenziosamente ad aprire l'URL dell'area di lavoro in Safari anziché nell'app e il callback OAuth verso /mobile-redirect non riporta l'utente all'app. Assicurarsi che questo percorso sia raggiungibile dalla rete attiva del dispositivo la prima volta che l'app viene avviata.
VPN per app su iOS
Il reindirizzamento del login su iOS si apre nel browser di sistema, non all'interno dell'app. Una VPN per app limitata alla sola app Genie non coprirà la finestra di accesso. Per evitare errori di accesso:
- Includere
login.databricks.comnella VPN a livello di dispositivo oppure nella VPN per singola app del browser di sistema e dell’app Genie. - Usa un criterio ZTNA o un tunnel di dispositivo che copra sempre
login.databricks.come gli host dell'area di lavoro, indipendentemente dall'app che ha avviato il flusso.
Non supportato
- Ingresso basato sul contesto: il percorso per dispositivi mobili Genie One non rispetta attualmente i criteri di ingresso basati sul contesto a livello di account. Se si usa l'accesso basato sul contesto come alternativa a IP/VPN, gestire invece l'accesso degli utenti mobili tramite l'elenco di accesso IP dell'area di lavoro.
- Ispezione TLS: l'app non aggiunge i certificati. I proxy di ispezione TLS che presentano un certificato radice aziendale attendibile dal dispositivo funzioneranno, a condizione che la soluzione MDM fornisca la radice aziendale al dispositivo tramite il meccanismo standard (Profilo di configurazione Apple o archivio certificati del dispositivo Android). È possibile aggiungere l'aggiunta del certificato prima della disponibilità generale.
Processo di distribuzione
Usare i passaggi generali seguenti per implementare l'app Genie per dispositivi mobili:
- Preparare l'area di lavoro. Verificare che Genie Mobile sia abilitato a livello di account. Identifica le aree di lavoro i cui utenti vuoi consentire su dispositivi mobili. Aggiornare gli elenchi di accesso IP dell'area di lavoro con indirizzi IP in uscita VPN se si usa una VPN.
- Decidere il comportamento di rete. Per la maggior parte delle aziende, si tratta di una VPN per app o un tunnel del dispositivo. Aggiornalo in modo da includere
login.databricks.come i domini del tuo spazio di lavoro. Verificare che i dispositivi mobili possano accedere all'area di lavoro. - Aggiornare i criteri di Microsoft Entra ID. Assicurarsi che i criteri per dispositivi mobili consentano l'autenticazione all'area di lavoro e applichino i requisiti di comportamento dei dispositivi.
- Distribuire l'app. L'app è disponibile in Apple App Store e Google Play. Se usi una soluzione MDM, aggiungi
com.databricks.one.mobileal catalogo MDM come app di iOS Store gestita o app Google Play gestita e assegnala ai gruppi di dispositivi di destinazione. - Esegui una prova pilota con un piccolo gruppo di utenti. Illustrare agli utenti l'installazione delle app, la configurazione vpn, l'accesso e l'apertura di uno spazio Genie. Documenta eventuali errori per la documentazione dell'help desk.
- Implementare su larga scala. Comunicare il processo di installazione e i requisiti VPN agli utenti tramite i canali di comunicazione IT.
Elenchi di accesso IP
Aggiungere gli indirizzi IP in uscita della rete che verranno utilizzati dai dispositivi mobili all'elenco di accesso IP a livello di workspace. Gli elenchi di accesso IP a livello di account non vengono attualmente applicati nel percorso di accesso per dispositivi mobili.
Vedere Configurare gli elenchi di accesso IP per le aree di lavoro.
Raggiungibilità vpn e rete
Se l'area di lavoro è raggiungibile solo tramite collegamento privato, PrivateLink o Private Service Connect, configura una VPN mobile che includa sia login.databricks.com sia l'host dell'area di lavoro.
Criteri del provider di identità
Aggiungere l'app Genie per dispositivi mobili come client consentito in Microsoft Entra ID con regole di accesso SSO, accesso condizionale, MFA e comportamento del dispositivo allineate alla strategia per dispositivi mobili.
Gestione di dispositivi mobili (MDM)
Note
L'app Genie per dispositivi mobili non integra attualmente un SDK di gestione di applicazioni mobili (MAM).
Per eseguire la distribuzione tramite MDM, vedere la documentazione del provider MDM:
- Intune: Aggiungere app a Microsoft Intune
- Jamf: Distribuire un'app per dispositivi mobili da Jamf Pro con Self Service
- Omnissa Workspace ONE: Workspace ONE UEM
- BlackBerry: Gestione delle app
- MDM di Google Workspace: Gestire le app per dispositivi mobili per l'organizzazione