Aggiungere l'accesso condizionale ai flussi utente in Azure Active Directory B2C

Prima di iniziare, usare il selettore Scegli un tipo di criterio per scegliere il tipo di criterio che si sta configurando. Azure Active Directory B2C offre due metodi per definire il modo in cui gli utenti interagiscono con le applicazioni: tramite flussi utente predefiniti o tramite criteri personalizzati completamente configurabili. I passaggi necessari in questo articolo sono diversi per ogni metodo.

L'accesso condizionale può essere aggiunto ai flussi utente di Azure Active Directory B2C (Azure AD B2C) o ai criteri personalizzati per gestire gli accessi rischiosi alle applicazioni. L'accesso condizionale Di Microsoft Entra è lo strumento usato da Azure AD B2C per riunire i segnali, prendere decisioni e applicare i criteri dell'organizzazione. L'automazione della valutazione dei rischi con condizioni dei criteri significa che gli accessi a rischio vengono identificati immediatamente e quindi corretti o bloccati.

Panoramica del servizio

Azure AD B2C valuta ogni evento di accesso e garantisce che tutti i requisiti dei criteri vengano soddisfatti prima di concedere all'utente l'accesso. Durante questa fase di valutazione , il servizio di accesso condizionale valuta i segnali raccolti dai rilevamenti dei rischi di Identity Protection durante gli eventi di accesso. Il risultato di questo processo di valutazione è un set di attestazioni che indica se l'accesso deve essere concesso o bloccato. I criteri di Azure AD B2C usano queste attestazioni per agire all'interno del flusso utente. Un esempio è bloccare l'accesso o sfidare l'utente con una correzione specifica, ad esempio l'autenticazione a più fattori (MFA). "Blocca l'accesso" esegue l'override di tutte le altre impostazioni.

L'esempio seguente mostra un profilo tecnico di accesso condizionale usato per valutare la minaccia di accesso.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Per assicurarsi che i segnali di Identity Protection vengano valutati correttamente, è necessario chiamare il ConditionalAccessEvaluation profilo tecnico per tutti gli utenti, inclusi account locali e social. In caso contrario, Identity Protection indicherà un grado di rischio non corretto associato agli utenti.

Nella fase di correzione che segue l'utente viene richiesta l'autenticazione a più fattori. Al termine, Azure AD B2C informa Identity Protection che la minaccia di accesso identificata è stata risolta e da quale metodo. In questo esempio Azure AD B2C segnala che l'utente ha completato correttamente la richiesta di autenticazione a più fattori. La correzione può verificarsi anche tramite altri canali. Ad esempio, quando la password dell'account viene reimpostata, dall'amministratore o dall'utente. È possibile controllare lo stato di rischio utente nel report utenti rischiosi.

Importante

Per correggere correttamente il rischio all'interno del percorso, assicurarsi che il profilo tecnico di correzione venga chiamato dopo l'esecuzione del profilo tecnico di valutazione . Se la valutazione viene richiamata senza correzione, lo stato di rischio sarà a rischio. Quando la raccomandazione del profilo tecnico di valutazione restituisce Block, la chiamata al profilo tecnico di valutazione non è necessaria. Lo stato di rischio è impostato su A rischio. L'esempio seguente mostra un profilo tecnico di accesso condizionale usato per correggere la minaccia identificata:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Componenti della soluzione

Questi sono i componenti che abilitano l'accesso condizionale in Azure AD B2C:

• Flusso utente o criteri personalizzati che guidano l'utente tramite il processo di accesso e iscrizione.
• Criteri di accesso condizionale che riunisce i segnali per prendere decisioni e applicare i criteri dell'organizzazione. Quando un utente accede all'applicazione tramite un criterio di Azure AD B2C, i criteri di accesso condizionale usano i segnali di Protezione ID Entra di Microsoft per identificare gli accessi rischiosi e presenta l'azione di correzione appropriata.
• Applicazione registrata che indirizza gli utenti al flusso utente di Azure AD B2C appropriato o ai criteri personalizzati.
• TOR Browser per simulare un accesso rischioso.

Limitazioni e considerazioni sul servizio

Quando si usa l'accesso condizionale Microsoft Entra, tenere presente quanto segue:

• Identity Protection è disponibile sia per le identità locali che per le identità di social networking, ad esempio Google o Facebook. Per le identità di social networking, è necessario attivare manualmente l'accesso condizionale. Il rilevamento è limitato perché le credenziali dell'account di social networking vengono gestite dal provider di identità esterno.
• Nei tenant di Azure AD B2C sono disponibili solo un subset di criteri di accesso condizionale di Microsoft Entra.

Prerequisiti

• Completare le procedure illustrate in Introduzione ai criteri personalizzati in Azure Active Directory B2C.
• Se non è già stato fatto, registrare un'applicazione Web.

Piano tariffario

Azure AD B2C Premium P2 è necessario per creare criteri di accesso rischiosi. I tenant Premium P1 possono creare criteri basati su posizione, applicazione, utenti o criteri basati su gruppi. Per altre informazioni, vedere Modificare il piano tariffario di Azure AD B2C

Preparare il tenant di Azure AD B2C

Per aggiungere un criterio di accesso condizionale, disabilitare le impostazioni predefinite per la sicurezza:

1. Accedi al portale di Azure.

2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.

3. In Servizi di Azure, selezionare Microsoft Entra ID. In alternativa, usare la casella di ricerca per trovare e selezionare Microsoft Entra ID.

4. Selezionare Proprietà e quindi Gestisci le impostazioni predefinite per la sicurezza.

   

5. In Abilita impostazioni predefinite di sicurezza selezionare No.

   

Aggiungere un criterio di accesso condizionale

Un criterio di accesso condizionale è un'istruzione if-then delle assegnazioni e dei controlli di accesso. Un criterio di accesso condizionale riunisce i segnali per prendere decisioni e applicare i criteri dell'organizzazione.

Suggerimento

In questo passaggio si configurano i criteri di accesso condizionale. È consigliabile usare uno dei modelli seguenti: Modello 1: Accesso condizionale basato sul rischio di accesso, Modello 2: Accesso condizionale basato sul rischio utente o Modello 3: Bloccare le posizioni con accesso condizionale. È possibile configurare i criteri di accesso condizionale tramite portale di Azure o l'API Microsoft Graph.

L'operatore logico tra le assegnazioni è And. L'operatore in ogni assegnazione è Or.

Per aggiungere un criterio di accesso condizionale:

1. Nel portale di Azure cercare e selezionare Azure AD B2C.

2. In Sicurezza selezionare Accesso condizionale. Viene visualizzata la pagina Criteri di accesso condizionale.

3. Selezionare + Nuovi criteri.

4. Immettere un nome per il criterio, ad esempio Blocca accesso a rischio.

5. In Assegnazioni scegliere Utenti e gruppi e quindi selezionare una delle configurazioni supportate seguenti:

   Includi	Licenza	Note
   Tutti gli utenti	P1, P2	Questo criterio influirà su tutti gli utenti. Per assicurarsi di non bloccare se stessi, escludere l'account amministrativo scegliendo Escludi, selezionando Ruoli directory e quindi selezionando Global Amministrazione istrator nell'elenco. È anche possibile selezionare Utenti e gruppi e quindi selezionare l'account nell'elenco Seleziona utenti esclusi.

6. Selezionare App o azioni cloud e quindi Selezionare le app. Cercare l'applicazione relying party.

7. Selezionare Condizioni e quindi selezionare tra le condizioni seguenti. Ad esempio, selezionare Rischio di accesso e Livelli di rischio alto, medio e basso.

   Condizione	Licenza	Note
   Rischio utente	P2	Il rischio utente rappresenta la probabilità di compromissione di un'identità o un account.
   Rischio di accesso	P2	Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità.
   Piattaforme	Non supportato	Caratterizzato dal sistema operativo in esecuzione su un dispositivo. Per altre informazioni, vedere Piattaforme per dispositivi.
   Posizioni	P1, P2	Le località denominate possono includere le informazioni di rete IPv4 pubbliche, il paese o l'area geografica o le aree sconosciute che non eseguono il mapping a paesi o aree geografiche specifiche. Per altre informazioni, vedere Posizioni.

8. In Controlli di accesso selezionare Concedi. Selezionare quindi se bloccare o concedere l'accesso:

   Opzione	Licenza	Note
   Blocca accesso	P1, P2	Impedisce l'accesso in base alle condizioni specificate in questo criterio di accesso condizionale.
   Concedere l'accesso con Richiedi autenticazione a più fattori	P1, P2	In base alle condizioni specificate in questo criterio di accesso condizionale, l'utente deve eseguire l'autenticazione a più fattori di Azure AD B2C.

9. In Abilita criterio selezionare una delle opzioni seguenti:

   Opzione	Licenza	Note
   Solo report	P1, P2	Il report consente agli amministratori di valutare l'impatto dei criteri di accesso condizionale prima di abilitarli nel proprio ambiente. È consigliabile controllare i criteri con questo stato e determinare l'impatto per gli utenti finali senza richiedere l'autenticazione a più fattori o bloccare gli utenti. Per altre informazioni, vedere Esaminare i risultati dell'accesso condizionale nel report di controllo
   On	P1, P2	I criteri di accesso vengono valutati e non applicati.
   Disattivato	P1, P2	I criteri di accesso non vengono attivati e non hanno alcun effetto sugli utenti.

10. Per abilitare il criterio di accesso condizionale di test, selezionare Crea.

Modello 1: Accesso condizionale basato sul rischio di accesso

La maggior parte degli utenti ha un comportamento normale monitorabile. In condizioni che esulano dalla normalità, potrebbe essere rischioso consentire loro semplicemente di accedere. In questi casi è possibile bloccare l'utente o chiedergli semplicemente di usare l'autenticazione a più fattori per dimostrare la sua effettiva identità. Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità. I tenant di Azure AD B2C con licenze P2 possono creare criteri di accesso condizionale che incorporano i rilevamenti dei rischi di accesso di Microsoft Entra ID Protection.

Si notino le limitazioni nei rilevamenti di Identity Protection per B2C. Se viene rilevato un rischio, gli utenti possono eseguire l'autenticazione a più fattori per correggere automaticamente e chiudere l'evento di accesso rischioso per evitare problemi non necessari per gli amministratori.

Configurare l'accesso condizionale tramite le API di portale di Azure o Microsoft Graph per abilitare un criterio di accesso condizionale basato sul rischio di accesso che richiede l'autenticazione a più fattori quando il rischio di accesso è medio o elevato.

1. In Includi selezionare Tutti gli utenti.
2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
3. Selezionare Fine.
4. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
5. In Condizioni>Rischio di accesso impostare Configura su Sì. In Selezionare il livello di rischio di accesso a cui si applicherà questo criterio
   1. Selezionare Alta e Media.
   2. Selezionare Fine.
6. In Controlli di accesso>Concedi, selezionare Concedi accesso, Richiedi autenticazione a più fattori e selezionare Seleziona.
7. Confermare le impostazioni e impostare Abilita criterio su Attivato.
8. Selezionare Crea per creare e abilitare il criterio.

Abilitare il modello 1 con le API di accesso condizionale (facoltativo)

Creare un criterio di accesso condizionale basato sul rischio di accesso con le API Microsoft Graph. Per altre informazioni, vedere API di accesso condizionale. Il modello seguente può essere usato per creare un criterio di accesso condizionale con il nome visualizzato "Modello 1: Richiedi MFA per il rischio di accesso medio+ in modalità solo report".

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Modello 2: Accesso condizionale basato sul rischio utente

Identity Protection è in grado di calcolare ciò che ritiene normale per il comportamento di un utente e usarlo per basare le decisioni per il rischio. Il rischio utente è un calcolo della probabilità che un'identità sia stata compromessa. I tenant B2C con licenze P2 possono creare criteri di accesso condizionale che incorporano il rischio utente. Quando un utente viene rilevato come a rischio, è possibile richiedere che modifichi in modo sicuro la password per correggere il rischio e ottenere l'accesso al proprio account. È consigliabile configurare criteri di rischio utente per richiedere una modifica della password sicura in modo che gli utenti possano correggere autonomamente.

Altre informazioni sul rischio utente in Identity Protection, tenendo conto delle limitazioni sui rilevamenti di Identity Protection per B2C.

Configurare l'accesso condizionale tramite portale di Azure o API Microsoft Graph per abilitare criteri di accesso condizionale basati sul rischio utente che richiedono l'autenticazione a più fattori (MFA) e la modifica della password quando il rischio utente è medio o alto.

Per configurare l'accesso condizionale basato sull'utente:

1. Accedi al portale di Azure.
2. Passare ad Accesso condizionale di sicurezza>di Azure AD B2C.>
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti e gruppi.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
   3. Selezionare Fine.
6. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
7. In Condizioni>Rischio utente impostare Configura su Sì. In Configurare i livelli di rischio utente necessari per applicare i criteri
   1. Selezionare Alta e Media.
   2. Selezionare Fine.
8. In Controlli>di accesso Concedi selezionare Concedi accesso, Richiedi modifica password e selezionare Seleziona. Richiedere l'autenticazione a più fattori sarà necessaria anche per impostazione predefinita.
9. Confermare le impostazioni e impostare Abilita criterio su Attivato.
10. Selezionare Crea per creare e abilitare il criterio.

Abilitare il modello 2 con le API di accesso condizionale (facoltativo)

Per creare un criterio di accesso condizionale basato sul rischio utente con le API di accesso condizionale, vedere la documentazione relativa alle API di accesso condizionale.

Il modello seguente può essere usato per creare un criterio di accesso condizionale con il nome visualizzato "Modello 2: Richiedere la modifica sicura della password per il rischio utente medio+ in modalità solo report".

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Modello 3: Bloccare le posizioni con l'accesso condizionale

Con la condizione relativa alla posizione nell'accesso condizionale, è possibile controllare l'accesso alle app cloud in base al percorso di rete dell'utente. Configurare l'accesso condizionale tramite le API di portale di Azure o Microsoft Graph per abilitare un criterio di accesso condizionale che blocca l'accesso a posizioni specifiche. Per altre informazioni, vedere Uso della condizione di posizione in un criterio di accesso condizionale

Definire le posizioni

1. Accedi al portale di Azure.
2. Passare ad Azure AD B2C Security Conditional Access Named Locations (Percorsi denominati per l'accesso>condizionale per la sicurezza>di Azure AD B2C).>
3. Selezionare la località paesi o la località degli intervalli IP
4. Assegnare un nome alla posizione.
5. Specificare gli intervalli IP oppure selezionare i paesi o le aree geografiche per la posizione specificata. Se si sceglie Paesi/aree geografiche, è possibile scegliere di includere aree sconosciute.
6. Scegliere Salva.

Per abilitare con i criteri di accesso alle condizioni:

1. Accedi al portale di Azure.
2. Passare ad Accesso condizionale di sicurezza>di Azure AD B2C.>
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti e gruppi.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
   3. Selezionare Fine.
6. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
7. In Posizione condizioni>
   1. Impostare Configura su Sì.
   2. In Includi selezionare Località selezionate
   3. Selezionare la località denominata creata.
   4. Fare clic su Seleziona
8. In Controlli di accesso> selezionare Blocca accesso e quindi Seleziona.
9. Confermare le impostazioni e impostare Abilita criterio su Attivato.
10. Selezionare Crea per creare e abilitare il criterio.

Abilitare il modello 3 con le API di accesso condizionale (facoltativo)

Per creare un criterio di accesso condizionale basato sulla posizione con le API di accesso condizionale, vedere la documentazione relativa alle API di accesso condizionale. Per configurare le località denominate, vedere la documentazione relativa alle località denominate.

Il modello seguente può essere usato per creare un criterio di accesso condizionale con nome visualizzato "Modello 3: Blocca percorsi non allocato" in modalità solo report.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Aggiungere l'accesso condizionale a un flusso utente

Dopo aver aggiunto i criteri di accesso condizionale di Microsoft Entra, abilitare l'accesso condizionale nel flusso utente o nei criteri personalizzati. Quando si abilita l'accesso condizionale, non è necessario specificare un nome di criterio. Più criteri di accesso condizionale possono essere applicati a un singolo utente in qualsiasi momento. In questo caso, i criteri di controllo di accesso più rigorosi hanno la precedenza. Ad esempio, se un criterio richiede l'autenticazione a più fattori mentre l'altro blocca l'accesso, l'utente verrà bloccato.

Abilitare l'autenticazione a più fattori (facoltativo)

Quando si aggiunge l'accesso condizionale a un flusso utente, è consigliabile usare Multi-Factor Authentication (MFA). Gli utenti possono usare un codice monouso tramite SMS o voce, una password monouso tramite posta elettronica o un codice TOTP (Time-Based One-Time Password) tramite un'app di autenticazione a più fattori. Le impostazioni di autenticazione a più fattori vengono configurate separatamente dalle impostazioni di accesso condizionale. È possibile scegliere tra queste opzioni di autenticazione a più fattori:

• Disattivata : l'autenticazione a più fattori non viene mai applicata durante l'accesso e agli utenti non viene richiesto di eseguire la registrazione in MFA durante l'iscrizione o l'accesso.
• Always On : l'autenticazione a più fattori è sempre necessaria, indipendentemente dalla configurazione dell'accesso condizionale. Durante l'iscrizione, agli utenti viene richiesto di eseguire la registrazione in MFA. Durante l'accesso, se gli utenti non sono già registrati in MFA, viene richiesto di eseguire la registrazione.
• Condizionale : durante l'iscrizione e l'accesso, agli utenti viene richiesto di eseguire la registrazione in MFA (sia nuovi utenti che utenti esistenti che non sono registrati in MFA). Durante l'accesso, l'autenticazione a più fattori viene applicata solo quando è richiesta una valutazione dei criteri di accesso condizionale attiva:
  • Se il risultato è una richiesta di autenticazione a più fattori senza rischi, viene applicata l'autenticazione a più fattori. Se l'utente non è già registrato in MFA, viene richiesto di eseguire la registrazione.
  • Se il risultato è una richiesta di autenticazione a più fattori a causa del rischio e l'utente non è registrato in MFA, l'accesso viene bloccato.

  Nota

  Con la disponibilità generale dell'accesso condizionale in Azure AD B2C, agli utenti viene ora richiesto di eseguire la registrazione in un metodo MFA durante l'iscrizione. Tutti i flussi utente di iscrizione creati prima della disponibilità generale non riflettono automaticamente questo nuovo comportamento, ma è possibile includere il comportamento creando nuovi flussi utente.

Per abilitare l'accesso condizionale per un flusso utente, assicurarsi che la versione supporti l'accesso condizionale. Queste versioni del flusso utente sono contrassegnate come Consigliata.

1. Accedi al portale di Azure.
2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.
4. In Criteri selezionare Flussi utente. Selezionare quindi il flusso utente.
5. Selezionare Proprietà e assicurarsi che il flusso utente supporti l'accesso condizionale cercando l'impostazione Con l'etichetta Accesso condizionale.
6. Nella sezione Autenticazione a più fattori selezionare il tipo di metodo desiderato e quindi in Applicazione MFA selezionare Condizionale.
7. Nella sezione Accesso condizionale selezionare la casella di controllo Imponi criteri di accesso condizionale.
8. Seleziona Salva.

Aggiungere l'accesso condizionale ai criteri

1. Ottenere l'esempio di criteri di accesso condizionale in GitHub.
2. In ogni file sostituire la stringa yourtenant con il nome del tenant di Azure AD B2C. Ad esempio, se il nome del tenant B2C è contosob2c, tutte le istanze di yourtenant.onmicrosoft.com diventano contosob2c.onmicrosoft.com.
3. Caricare i file dei criteri.

Configurare l'attestazione diversa dal numero di telefono da usare per MFA

Nel criterio di accesso condizionale precedente, il metodo di DoesClaimExist trasformazione attestazione controlla se un'attestazione contiene un valore, ad esempio se l'attestazione strongAuthenticationPhoneNumber contiene un numero di telefono. La trasformazione delle attestazioni non è limitata all'attestazione strongAuthenticationPhoneNumber . A seconda dello scenario, è possibile usare qualsiasi altra attestazione. Nel frammento XML seguente viene archiviata l'attestazione strongAuthenticationEmailAddress . L'attestazione scelta deve avere un valore valido; in caso contrario, l'attestazione IsMfaRegistered verrà impostata su False. Se impostato su False, la valutazione dei criteri di accesso condizionale restituisce un Block tipo di concessione, impedendo all'utente di completare il flusso utente.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Testare i criteri personalizzati

1. Selezionare il B2C_1A_signup_signin_with_ca criterio o B2C_1A_signup_signin_with_ca_whatif per aprire la relativa pagina di panoramica. Selezionare quindi Esegui flusso utente. In Applicazione selezionare webapp1. L'URL di risposta dovrebbe mostrare https://jwt.ms.
2. Copiare l'URL in Esegui l'endpoint del flusso utente.
3. Per simulare un accesso rischioso, aprire Tor Browser e usare l'URL copiato nel passaggio precedente per accedere all'app registrata.
4. Immettere le informazioni richieste nella pagina di accesso e quindi provare ad accedere. Il token viene restituito a https://jwt.ms e dovrebbe essere visualizzato. Nel token decodificato jwt.ms si noterà che l'accesso è stato bloccato.

Testare il flusso utente

1. Selezionare il flusso utente creato per aprire la relativa pagina di panoramica e quindi selezionare Esegui flusso utente. In Applicazione selezionare webapp1. L'URL di risposta dovrebbe mostrare https://jwt.ms.
2. Copiare l'URL in Esegui l'endpoint del flusso utente.
3. Per simulare un accesso rischioso, aprire Tor Browser e usare l'URL copiato nel passaggio precedente per accedere all'app registrata.
4. Immettere le informazioni richieste nella pagina di accesso e quindi provare ad accedere. Il token viene restituito a https://jwt.ms e dovrebbe essere visualizzato. Nel token decodificato jwt.ms si noterà che l'accesso è stato bloccato.

Esaminare i risultati dell'accesso condizionale nel report di controllo

Per esaminare il risultato di un evento di accesso condizionale:

1. Accedi al portale di Azure.
2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
3. In Servizi di Azure selezionare Azure AD B2C. In alternativa, usare la casella di ricerca per trovare e selezionare Azure AD B2C.
4. In Attività selezionare Log di controllo.
5. Filtrare il log di controllo impostando Categoria su B2C e Tipo di risorsa attività su IdentityProtection. Selezionare quindi Applica.
6. Esaminare l'attività di controllo per un massimo di sette giorni. Sono inclusi i tipi di attività seguenti:
   • Valutare i criteri di accesso condizionale: questa voce del log di controllo indica che è stata eseguita una valutazione dell'accesso condizionale durante un'autenticazione.
   • Correggere l'utente: questa voce indica che la concessione o i requisiti di un criterio di accesso condizionale sono stati soddisfatti dall'utente finale e questa attività è stata segnalata al motore di rischio per attenuare (ridurre il rischio di) dell'utente.
7. Selezionare una voce Valuta log dei criteri di accesso condizionale nell'elenco per aprire la pagina Dettagli attività: Log di controllo, che mostra gli identificatori del log di controllo, insieme a queste informazioni nella sezione Dettagli aggiuntivi:
   • ConditionalAccessResult: concessione richiesta dalla valutazione dei criteri condizionali.
   • AppliedPolicies: elenco di tutti i criteri di accesso condizionale in cui sono state soddisfatte le condizioni e i criteri sono ON.
   • ReportingPolicies: elenco dei criteri di accesso condizionale impostati sulla modalità solo report e in cui sono state soddisfatte le condizioni.

Passaggi successivi

Personalizzare l'interfaccia utente in un flusso utente di Azure AD B2C