Criteri comuni di accesso condizionale: protezione della registrazione delle informazioni di sicurezza

  • Articolo

La protezione di quando e come gli utenti esebrino per Microsoft Entra'autenticazione a più fattori e la reimpostazione della password self-service sono possibili con le azioni dell'utente in un criterio di accesso condizionale. Questa funzionalità è disponibile per le organizzazioni che hanno abilitato la registrazione combinata. Questa funzionalità consente alle organizzazioni di trattare il processo di registrazione come qualsiasi applicazione in un criterio di accesso condizionale e di usare tutta la potenza dell'accesso condizionale per proteggere l'esperienza. Gli utenti che accedono all'app Microsoft Authenticator o abilitano l'accesso tramite telefono senza password sono soggetti a questo criterio.

Alcune organizzazioni in passato potrebbero aver usato la posizione di rete attendibile o la conformità dei dispositivi come mezzo per proteggere l'esperienza di registrazione. Con l'aggiunta del pass di accesso temporaneo Microsoft Entra ID, gli amministratori possono fornire credenziali limitate al tempo agli utenti che consentono di eseguire la registrazione da qualsiasi dispositivo o posizione. Le credenziali pass di accesso temporaneo soddisfano i requisiti di accesso condizionale per l'autenticazione a più fattori.

Distribuzione del modello

Le organizzazioni possono scegliere di distribuire questo criterio seguendo la procedura descritta di seguito o usando i modelli di accesso condizionale.

Creare un criterio per proteggere la registrazione

I criteri seguenti si applicano agli utenti selezionati, che tentano di eseguire la registrazione usando l'esperienza di registrazione combinata. Il criterio richiede che gli utenti si trovano in un percorso di rete attendibile, eseseguono l'autenticazione a più fattori o usano credenziali pass di accesso temporaneo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione combinata delle informazioni di sicurezza con TAP.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.

    1. In Includi selezionare Tutti gli utenti.

      Avviso

      Gli utenti devono essere abilitati per la registrazione combinata.

    2. In Escludi.

      1. Selezionare Tutti gli utenti guest ed esterni.

      2. Selezionare Ruoli directory e scegliere Amministratore globale

        Nota

        Il pass di accesso temporaneo non funziona per gli utenti guest.

      3. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass.

  6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
  7. In Condizioni>Percorsi:
    1. Impostare Configura su .
      1. Includere Tutte le località.
      2. Escludere Tutte le posizioni attendibili.
  8. In Controlli di accesso>Concedi:
    1. Selezionare Concedi accesso, Richiedi autenticazione a più fattori.
    2. Scegliere Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, è possibile spostare l'interruttore Abilita criterio da Solo report a .

Gli amministratori dovranno ora rilasciare le credenziali pass di accesso temporaneo ai nuovi utenti in modo che possano soddisfare i requisiti per l'autenticazione a più fattori da registrare. I passaggi per eseguire questa attività sono disponibili nella sezione Creare un pass di accesso temporaneo nell'interfaccia di amministrazione di Microsoft Entra.

Le organizzazioni possono scegliere di richiedere altri controlli di concessione con o al posto di Richiedi autenticazione a più fattori al passaggio 8a. Quando si selezionano più controlli, assicurarsi di selezionare l'interruttore appropriato per richiedere tutti o uno dei controlli selezionati quando si apporta questa modifica.

Registrazione utente guest

Per gli utenti guest che devono registrarsi per l'autenticazione a più fattori nella directory, è possibile scegliere di bloccare la registrazione dall'esterno dei percorsi di rete attendibili usando la guida seguente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione delle informazioni di sicurezza combinata su reti attendibili.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti guest ed esterni.
  6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
  7. In Condizioni>Percorsi:
    1. Configurare .
    2. Includere Tutte le località.
    3. Escludere Tutte le posizioni attendibili.
  8. In Controlli di accesso>Concedi:
    1. Selezionare Blocca accesso.
    2. Quindi fare clic su Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, è possibile spostare l'interruttore Abilita criterio da Solo report a .

Passaggi successivi

Modelli di accesso condizionale

Determinare l'effetto usando la modalità solo report di accesso condizionale

Usare la modalità solo report per l'accesso condizionale per determinare i risultati delle nuove decisioni relative ai criteri.

Richiedere agli utenti di riconfermare le informazioni di autenticazione