Modelli di accesso condizionale

I modelli di accesso condizionale offrono un metodo pratico per distribuire nuovi criteri allineati alle raccomandazioni Microsoft. Questi modelli sono progettati per fornire la protezione massima allineata ai criteri comunemente usati in vari tipi e posizioni dei clienti.

Categorie di modelli

I modelli di criteri di accesso condizionale sono organizzati nelle categorie seguenti:

Base sicura

Microsoft consiglia questi criteri come base per tutte le organizzazioni. È consigliabile distribuire questi criteri come gruppo.

• Richiedere l'autenticazione a più fattori per gli amministratori
• Protezione della registrazione delle informazioni di sicurezza
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Richiedere l'autenticazione a più fattori per la gestione di Azure
• Richiedere la conformità o l'autenticazione a più fattori aggiunti a Microsoft Entra ibrido per tutti gli utenti

Zero Trust

Questi criteri come gruppo supportano un'architettura Zero Trust.

• Richiedere l'autenticazione a più fattori per gli amministratori
• Protezione della registrazione delle informazioni di sicurezza
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Richiedere l'autenticazione a più fattori per l'accesso guest
• Richiedere l'autenticazione a più fattori per la gestione di Azure
• Richiedere l'autenticazione a più fattori per gliaccessi a rischio richiede Microsoft Entra ID P2
• Richiedi la modifica della password per gli utenti ad alto rischioRichiede Microsoft Entra ID P2
• Bloccare l'accesso per la piattaforma del dispositivo sconosciuta o non supportata
• Nessuna sessione del browser persistente
• Richiedere app client approvate o criteri di protezione delle app
• Richiedere la conformità o l'autenticazione a più fattori aggiunti a Microsoft Entra ibrido per tutti gli utenti
• Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
• Bloccare l'accesso per gli utenti con rischi Insider (anteprima)Richiede Microsoft Purview

Lavoro remoto

Questi criteri consentono di proteggere le organizzazioni con i lavoratori remoti.

• Protezione della registrazione delle informazioni di sicurezza
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Richiedere l'autenticazione a più fattori per l'accesso guest
• Richiedere l'autenticazione a più fattori per gliaccessi a rischio richiede Microsoft Entra ID P2
• Richiedi la modifica della password per gli utenti ad alto rischioRichiede Microsoft Entra ID P2
• Richiedere un dispositivo aggiunto a Microsoft Entra ibrido o conforme per gli amministratori
• Bloccare l'accesso per la piattaforma del dispositivo sconosciuta o non supportata
• Nessuna sessione del browser persistente
• Richiedere app client approvate o criteri di protezione delle app
• Usa le restrizioni imposte dall'applicazione per i dispositivi non gestiti

Proteggere l'amministratore

Questi criteri sono indirizzati agli amministratori con privilegi elevati nell'ambiente in cui la compromissione potrebbe causare il maggior danno.

• Richiedere l'autenticazione a più fattori per gli amministratori
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per la gestione di Azure
• Richiedere un dispositivo aggiunto a Microsoft Entra ibrido o conforme per gli amministratori
• Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori

Minacce emergenti

I criteri in questa categoria offrono nuovi modi per proteggersi dalla compromissione.

• Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori

Trovare questi modelli nell'interfaccia >di amministrazione di Microsoft Entra Protezione>accesso>condizionale Creare nuovi criteri dai modelli. Selezionare Mostra altro per visualizzare tutti i modelli di criteri in ogni categoria.

Importante

I criteri dei modelli di accesso condizionale escluderanno solo l'utente che crea il criterio dal modello. Se l'organizzazione deve escludere altri account, sarà possibile modificare i criteri dopo la creazione. Questi criteri sono disponibili nell'interfaccia >di amministrazione di Microsoft Entra Protezione>dei criteri di accesso> condizionale. Selezionare un criterio per aprire l'editor e modificare gli utenti e i gruppi esclusi per selezionare gli account da escludere.

Per impostazione predefinita, ogni criterio viene creato in modalità solo report, è consigliabile testare e monitorare l'utilizzo delle organizzazioni per garantire il risultato previsto, prima di attivare ogni criterio.

Le organizzazioni possono selezionare singoli modelli di criteri e:

• Visualizzare un riepilogo delle impostazioni dei criteri.
• Modificare per personalizzare in base alle esigenze dell'organizzazione.
• Esportare la definizione JSON da usare nei flussi di lavoro programmatici.
  • Queste definizioni JSON possono essere modificate e quindi importate nella pagina principale dei criteri di accesso condizionale usando l'opzione Carica file di criteri.

Altri criteri comuni

• Bloccare l'accesso in base alla località
• Bloccare l'accesso ad eccezione di app specifiche

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli account seguenti dai criteri:

• Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano bloccati dal tenant, l'account amministrativo di accesso di emergenza può essere usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account di servizio sono account non interattivi che non sono associati a un determinato utente. Vengono normalmente usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le identità del carico di lavoro per definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Passaggi successivi

• Simulare il comportamento di accesso usando lo strumento What If per l'accesso condizionale.

• Usare la modalità solo report per l'accesso condizionale per determinare i risultati delle nuove decisioni relative ai criteri.