Accesso condizionale: risorse di destinazione

Le risorse di destinazione (in precedenza app cloud, azioni e contesto di autenticazione) sono segnali chiave in un criterio di accesso condizionale. I criteri di accesso condizionale consentono agli amministratori di assegnare controlli a applicazioni, servizi, azioni o contesto di autenticazione specifici.

  • Amministrazione istrator può scegliere dall'elenco di applicazioni o servizi che includono applicazioni Microsoft predefinite e qualsiasi Applicazioni integrate di Microsoft Entra, tra cui raccolta, non raccolta e applicazioni pubblicate tramite Application Proxy.
  • Amministrazione istrator potrebbe scegliere di definire criteri non basati su un'applicazione cloud, ma su un'azione dell'utente, ad esempio Registrare le informazioni di sicurezza o registrare o aggiungere dispositivi, consentendo l'accesso condizionale per applicare i controlli relativi a tali azioni.
  • Amministrazione istrator può indirizzare i profili di inoltro del traffico da Accesso sicuro globale per funzionalità avanzate.
  • Amministrazione istrator può usare il contesto di autenticazione per offrire un livello aggiuntivo di sicurezza nelle applicazioni.

Screenshot displaying a Conditional Access policy and the target resources panel.

Applicazioni cloud Microsoft

Molte delle applicazioni cloud Microsoft esistenti sono incluse nell'elenco selezionabile di applicazioni.

Gli amministratori possono assegnare un criterio di accesso condizionale alle seguenti applicazioni cloud di Microsoft. Alcune app come Office 365 e API gestione dei servizi di Windows Azure includono più app o servizi figlio correlati. Aggiungiamo continuamente altre app, quindi l'elenco seguente non è esaustivo ed è soggetto a modifiche.

Importante

Le applicazioni disponibili per l'accesso condizionale hanno eseguito un processo di onboarding e convalida. Questo elenco non include tutte le app Microsoft, poiché molti sono servizi back-end e non devono essere applicati direttamente ai criteri. Se si sta cercando un'applicazione mancante, è possibile contattare il team dell'applicazione specifico o effettuare una richiesta in UserVoice.

Office 365

Microsoft 365 offre servizi di produttività e collaborazione basati sul cloud come Exchange, SharePoint e Microsoft Teams. I servizi cloud di Microsoft 365 sono profondamente integrati per garantire esperienze uniformi e collaborative. Questa integrazione può causare confusione quando si creano criteri perché alcune app, come ad esempio Microsoft Teams, presentano dipendenze da altre, quali SharePoint o Exchange.

La suite Office 365 consente di fare riferimento a tutti i servizi in una sola volta. È consigliabile usare la nuova famiglia di prodotti Office 365, anziché scegliere come destinazione singole app cloud per evitare problemi con le dipendenze del servizio.

La destinazione di questo gruppo di applicazioni consente di evitare problemi che possono verificarsi a causa di criteri e dipendenze incoerenti. Ad esempio: l'app Exchange Online è associata a dati tradizionali di Exchange Online, ad esempio posta, calendario e informazioni di contatto. I metadati correlati possono essere esposti tramite risorse diverse, ad esempio la ricerca. Per assicurarsi che tutti i metadati siano protetti come previsto, gli amministratori devono assegnare criteri all'app di Office 365.

Amministrazione istrator può escludere l'intera famiglia di prodotti Office 365 o specifiche app cloud di Office 365 dai criteri di accesso condizionale.

Un elenco completo di tutti i servizi inclusi è disponibile nell'articolo App incluse nell'accesso condizionale della suite di app di Office 365.

API di gestione del servizio Windows Azure

Quando si usa come destinazione l'applicazione API Gestione dei servizi di Windows Azure, i criteri vengono applicati per i token rilasciati a un set di servizi strettamente associati al portale. Questo raggruppamento include gli ID applicazione di:

  • Azure Resource Manager
  • Portale di Azure, che copre anche l'interfaccia di amministrazione di Microsoft Entra
  • Azure Data Lake
  • API Application Insights
  • API di Log Analytics

Poiché i criteri vengono applicati al portale di gestione di Azure e all'API, ai servizi o ai client con una dipendenza del servizio API di Azure, possono essere interessati indirettamente. Ad esempio:

  • API del modello di distribuzione classica
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure
  • Azure DevOps
  • Portale di Azure Data Factory
  • Hub eventi di Azure
  • Bus di servizio di Azure
  • Database SQL di Microsoft Azure
  • Istanza gestita di SQL
  • Azure Synapse
  • Portale di amministratore delle sottoscrizioni di Visual Studio
  • Microsoft IoT Central

Nota

L'applicazione API Gestione servizi di Windows Azure si applica ad Azure PowerShell, che chiama l'API di Azure Resource Manager. Non si applica a Microsoft Graph PowerShell, che chiama l'API Microsoft Graph.

Per altre informazioni su come configurare un criterio di esempio per Gestione API dei servizi di Windows Azure, vedere Accesso condizionale: richiedere MFA per Gestione di Azure.

Suggerimento

Per Azure per enti pubblici, è necessario specificare come destinazione l'applicazione API di gestione cloud Azure per enti pubblici.

Portale di amministrazione di Microsoft

Quando un criterio di accesso condizionale è destinato all'app cloud del portale di amministrazione di Microsoft, i criteri vengono applicati per i token rilasciati agli ID applicazione dei portali amministrativi Microsoft seguenti:

  • Azure portal
  • Interfaccia di amministrazione di Exchange
  • Interfaccia di amministrazione di Microsoft 365
  • Portale di Microsoft 365 Defender
  • Interfaccia di amministrazione di Microsoft Entra
  • Interfaccia di amministrazione di Microsoft Intune
  • Portale di conformità di Microsoft Purview

Si aggiungono continuamente altri portali amministrativi all’elenco.

Nota

L'app Microsoft Amministrazione Portals si applica solo agli accessi interattivi ai portali di amministrazione elencati. Gli accessi alle risorse o ai servizi sottostanti, ad esempio Microsoft Graph o le API di Azure Resource Manager, non sono coperti da questa applicazione. Queste risorse sono protette dall'app per le API gestione dei servizi di Windows Azure. Ciò consente ai clienti di spostarsi lungo il percorso di adozione dell'autenticazione a più fattori per gli amministratori senza influire sull'automazione che si basa sulle API e Su PowerShell. Quando si è pronti, Microsoft consiglia di usare un criterio che richiede agli amministratori di eseguire sempre MFA per una protezione completa.

Altre applicazioni

Gli amministratori possono aggiungere qualsiasi applicazione registrata Microsoft Entra ai criteri di accesso condizionale. Queste applicazioni possono includere:

Nota

Poiché i criteri di accesso condizionale consentono di impostare i requisiti per l'accesso a un servizio, non è possibile applicarli a un'applicazione client (pubblica/nativa). In altre parole, il criterio non è impostato direttamente su un'applicazione client (pubblica/nativa), ma viene applicato quando un client chiama un servizio. Ad esempio, un criterio impostato nel servizio SharePoint si applica a tutti i client che chiamano SharePoint. Un criterio impostato in Exchange si applica al tentativo di accedere alla posta elettronica tramite il client Outlook. Questo è il motivo per cui le applicazioni client (pubbliche/native) non sono disponibili nella selezione delle app cloud e l'opzione di accesso condizionale non è disponibile nelle impostazioni dell'applicazione client (pubblica/nativa) registrata nel tenant.

Alcune applicazioni non vengono visualizzate affatto nella selezione. L'unico modo per includere queste applicazioni in un criterio di accesso condizionale consiste nell'includere tutte le app cloud.

Tutte le app cloud

L'applicazione di un criterio di accesso condizionale a Tutte le app cloud comporta l'applicazione dei criteri per tutti i token rilasciati a siti Web e servizi. Questa opzione include applicazioni a cui non è possibile applicare individualmente un criterio di accesso condizionale, ad esempio Microsoft Entra ID.

In alcuni casi, un criterio Tutte le app cloud potrebbe bloccare inavvertitamente l'accesso utente. Questi casi sono esclusi dall'applicazione dei criteri e includono:

  • Servizi necessari per ottenere il comportamento di sicurezza desiderato. Ad esempio, le chiamate di registrazione dei dispositivi vengono escluse dai criteri del dispositivo conformi destinati a Tutte le app cloud.

  • Chiamate ad Azure AD Graph e Microsoft Graph per accedere al profilo utente, all'appartenenza ai gruppi e alle informazioni sulle relazioni comunemente usate dalle applicazioni escluse dai criteri. Gli ambiti esclusi sono elencati di seguito. Il consenso è ancora necessario per consentire alle app di usare queste autorizzazioni.

    • Per i client nativi:
      • Azure AD Graph: posta elettronica, offline_access, openid, profilo, User.Read
      • Microsoft Graph: posta elettronica, offline_access, openid, profilo, User.Read, Persone. Leggere
    • Per i client riservati/autenticati:
      • Azure AD Graph: posta elettronica, offline_access, openid, profilo, User.Read, User.Read.All e User.ReadBasic.All
      • Microsoft Graph: posta elettronica, offline_access, openid, profilo, User.Read, User.Read.All, User.ReadBasic.All, Persone. Lettura, Persone. Read.All, GroupMember.Read.All, Member.Read.Hidden

Azioni utente

Le azioni utente sono attività eseguite da un utente. Attualmente, l'accesso condizionale supporta due azioni utente:

  • Registra informazioni di sicurezza: questa azione utente consente ai criteri di accesso condizionale di applicare quando gli utenti abilitati per il tentativo combinato di registrazione di registrare le informazioni di sicurezza. Altre informazioni sono disponibili nell'articolo Registrazione di informazioni di sicurezza combinate.

Nota

Quando si applicano criteri destinati alle azioni utente per la registrazione delle informazioni di sicurezza, se l'account utente è un guest dell'account personale Microsoft , usando il controllo "Richiedi l'autenticazione a più fattori", richiederà all'utente del servizio gestito di registrare le informazioni di sicurezza nell'organizzazione. Se l'utente guest proviene da un altro provider, ad esempio Google, l'accesso verrà bloccato.

  • Registrare o aggiungere dispositivi: questa azione utente consente agli amministratori di applicare i criteri di accesso condizionale quando gli utenti registrano o aggiungono dispositivi a Microsoft Entra ID. Offre una granularità nella configurazione dell'autenticazione a più fattori per la registrazione o l'aggiunta di dispositivi invece di un criterio a livello di tenant attualmente esistente. Questa azione utente presenta tre considerazioni chiave:
    • Require multifactor authentication è l'unico controllo di accesso disponibile con questa azione utente e tutti gli altri sono disabilitati. Questa restrizione impedisce conflitti con i controlli di accesso dipendenti dalla registrazione del dispositivo Microsoft Entra o non applicabile alla registrazione del dispositivo Microsoft Entra.
    • Client appsle Filters for devices condizioni e Device state non sono disponibili con questa azione utente perché dipendono dalla registrazione del dispositivo Microsoft Entra per applicare i criteri di accesso condizionale.
    • Quando un criterio di accesso condizionale è abilitato con questa azione utente, è necessario impostare Identity Devices Overview Device Impostazioni su No.When a Conditional Access policy is enabled with this user action, you must set Identity Devices>Overview>Device>Impostazioni - Devices to be Microsoft Entra joined or Microsoft Entra registered require multifactor authentication to No. In caso contrario, i criteri di accesso condizionale con questa azione utente non vengono applicati correttamente. Altre informazioni su questa impostazione del dispositivo sono disponibili in Configurare le impostazioni del dispositivo.

Profili di inoltro del traffico

I profili di inoltro del traffico in Accesso sicuro globale consentono agli amministratori di definire e controllare il modo in cui il traffico viene instradato attraverso Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra. I profili di inoltro del traffico possono essere assegnati a dispositivi e reti remote. Per un esempio di come applicare criteri di accesso condizionale a questi profili di traffico, vedere l'articolo Come applicare i criteri di accesso condizionale al profilo di traffico di Microsoft 365.

Per altre informazioni su questi profili, vedere l'articolo Profili di inoltro del traffico di accesso sicuro globale.

Contesto di autenticazione

Il contesto di autenticazione può essere usato per proteggere ulteriormente i dati e le azioni nelle applicazioni. Queste applicazioni possono essere applicazioni personalizzate, applicazioni line-of-business personalizzate, applicazioni come SharePoint o applicazioni protette da Microsoft Defender for Cloud Apps.

Ad esempio, un'organizzazione potrebbe mantenere i file nei siti di SharePoint come il menu per il pranzo o la ricetta segreta della salsa BARBECUE. Tutti possono avere accesso al sito del menu per il pranzo, ma gli utenti che hanno accesso al sito segreto di ricetta salsa BARBECUE potrebbero dover accedere da un dispositivo gestito e accettare condizioni specifiche per l'utilizzo.

Il contesto di autenticazione funziona con utenti o identità del carico di lavoro, ma non con gli stessi criteri di accesso condizionale.

Configurare i contesti di autenticazione

I contesti di autenticazione vengono gestiti nel contesto di autenticazione dell'accesso>condizionale di protezione>.

Screenshot showing the management of authentication contexts.

Creare nuove definizioni di contesto di autenticazione selezionando Nuovo contesto di autenticazione. Le organizzazioni sono limitate a un totale di 25 definizioni di contesto di autenticazione. Configurare gli attributi seguenti:

  • Il nome visualizzato è il nome usato per identificare il contesto di autenticazione in Microsoft Entra ID e nelle applicazioni che utilizzano contesti di autenticazione. È consigliabile usare nomi tra le risorse, ad esempio "dispositivi attendibili", per ridurre il numero di contesti di autenticazione necessari. La presenza di un set ridotto limita il numero di reindirizzamenti e offre un'esperienza migliore per l'utente finale.
  • Descrizione fornisce altre informazioni sui criteri, usati dagli amministratori di Microsoft Entra e quelli che applicano contesti di autenticazione alle risorse.
  • La casella di controllo Pubblica nelle app quando selezionata annuncia il contesto di autenticazione alle app e le rende disponibili per l'assegnazione. Se non è stato controllato il contesto di autenticazione non è disponibile per le risorse downstream.
  • L'ID è di sola lettura e viene usato nei token e nelle app per le definizioni di contesto di autenticazione specifiche della richiesta. Qui sono elencati i casi d'uso per la risoluzione dei problemi e lo sviluppo.

Aggiungere ai criteri di accesso condizionale

Amministrazione istrator può selezionare i contesti di autenticazione pubblicati nei criteri di accesso condizionale in Assegnazioni>App o azioni cloud e selezione del contesto di autenticazione dal menu Seleziona a cui si applica questo criterio.

Screenshot showing how to add a Conditional Access authentication context to a policy

Eliminare un contesto di autenticazione

Quando si elimina un contesto di autenticazione, assicurarsi che non siano ancora in uso applicazioni. In caso contrario, l'accesso ai dati dell'app non è più protetto. È possibile confermare questo prerequisito controllando i log di accesso per i casi in cui vengono applicati i criteri di accesso condizionale del contesto di autenticazione.

Per eliminare un contesto di autenticazione, non deve avere criteri di accesso condizionale assegnati e non deve essere pubblicato nelle app. Questo requisito consente di evitare l'eliminazione accidentale di un contesto di autenticazione ancora in uso.

Contrassegna le risorse con contesti di autenticazione

Per altre informazioni sull'uso del contesto di autenticazione nelle applicazioni, vedere gli articoli seguenti.

Passaggi successivi