Informazioni sull'accesso condizionale

  • Articolo

Il perimetro di sicurezza moderno si estende oltre il perimetro di rete di un'organizzazione per includere l'identità dell'utente e del dispositivo. Le organizzazioni ora usano segnali basati sulle identità come parte delle decisioni relative al controllo di accesso. L'accesso condizionale Di Microsoft Entra riunisce i segnali, per prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale è il motore dei criteri Zero Trust di Microsoft che prende in considerazione i segnali provenienti da varie origini quando si applicano decisioni sui criteri.

Diagram showing concept of Conditional Access signals plus decision to enforce organizational policy.

I criteri di accesso condizionale sono le istruzioni if-then più semplici; se un utente vuole accedere a una risorsa, deve completare un'azione. Ad esempio: se un utente vuole accedere a un'applicazione o a un servizio come Microsoft 365, deve eseguire l'autenticazione a più fattori per ottenere l'accesso.

Gli amministratori devono raggiungere due obiettivi primari:

  • Fare in modo che gli utenti siano produttivi sempre e ovunque
  • Proteggere gli asset dell'organizzazione

Usare i criteri di accesso condizionale per applicare i controlli di accesso corretti quando necessario per proteggere l'organizzazione.

Importante

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Segnali comuni

L'accesso condizionale prende in considerazione i segnali provenienti da varie origini quando si prendono decisioni di accesso.

Diagram showing Conditional Access as the Zero Trust policy engine aggregating signals from various sources.

Questi segnali includono:

  • Appartenenza a utenti o gruppi
    • I criteri possono essere destinati a specifici utenti e gruppi offrendo agli amministratori un controllo granulare dell'accesso.
  • Informazioni sulla posizione IP
    • Le organizzazioni possono creare intervalli di indirizzi IP attendibili da usare per prendere decisioni sui criteri.
    • Gli amministratori possono specificare intervalli IP in interi paesi/aree geografiche per bloccare o consentire il traffico in ingresso e in uscita.
  • Dispositivo
    • Per applicare i criteri di accesso condizionale, è possibile considerare utenti con dispositivi di specifiche piattaforme o contrassegnati con uno stato specifico.
    • Usare i filtri per i dispositivi per assegnare criteri a dispositivi specifici, ad esempio workstation con accesso con privilegi.
  • Applicazione
    • Gli utenti che tentano di accedere ad applicazioni specifiche possono attivare criteri di accesso condizionale diversi.
  • Rilevamento dei rischi in tempo reale e calcolato
    • Segnali di integrazione con Microsoft Entra ID Protection consente ai criteri di accesso condizionale di identificare e correggere gli utenti rischiosi e il comportamento di accesso.
  • Microsoft Defender for Cloud Apps
    • Consente di monitorare e controllare in tempo reale l'accesso alle applicazioni utente e le sessioni. Questa integrazione aumenta la visibilità e il controllo sull'accesso alle attività eseguite all'interno dell'ambiente cloud.

Decisioni comuni

  • Bloccare l'accesso
    • Decisione più restrittiva
  • Concedere l'accesso
    • Una decisione meno restrittiva può richiedere una o più delle opzioni seguenti:
      • Richiedere l'autenticazione a più fattori
      • Richiedi livello di autenticazione
      • Richiedi che i dispositivi siano contrassegnati come conformi
      • Richiedi dispositivo aggiunto ibrido a Microsoft Entra
      • Richiedi app client approvata
      • Richiedere criteri di protezione dell'app
      • Richiedere la modifica della password
      • Richiedere le condizioni per l'utilizzo

Criteri applicati comunemente

Molte organizzazioni condividono preoccupazioni che possono essere risolte con i criteri di accesso condizionale, ad esempio:

  • Richiesta dell'autenticazione a più fattori per gli utenti con ruoli amministrativi
  • Richiesta dell'autenticazione a più fattori per le attività di gestione di Azure
  • Blocco degli accessi per gli utenti che tentano di usare protocolli di autenticazione legacy
  • Richiesta di posizioni attendibili per la registrazione delle informazioni di sicurezza
  • Blocco o concessione dell'accesso da posizioni specifiche
  • Blocco dei comportamenti di accesso rischiosi
  • Richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche

Amministrazione istrator può creare criteri da zero o iniziare da un criterio modello nel portale o usando l'API Microsoft Graph.

Esperienza amministratore

Amministrazione istratori con il L'accesso condizionale Amministrazione istrator può gestire i criteri.

L'accesso condizionale si trova nell'interfaccia di amministrazione di Microsoft Entra in Accesso condizionale di protezione>.

Screenshot of the Conditional Access overview page.

  • La pagina Panoramica fornisce un riepilogo dello stato dei criteri, degli utenti, dei dispositivi e delle applicazioni, nonché degli avvisi generali e di sicurezza con suggerimenti.
  • La pagina Coverage fornisce un riepilogo delle applicazioni con e senza copertura dei criteri di accesso condizionale negli ultimi sette giorni.
  • La pagina Monitoraggio consente agli amministratori di visualizzare un grafico degli accessi che possono essere filtrati per visualizzare potenziali lacune nella copertura dei criteri.

I criteri di accesso condizionale nella pagina Criteri possono essere filtrati dagli amministratori in base a elementi come l'attore, la risorsa di destinazione, la condizione, il controllo applicato, lo stato o la data. Questa capacità di filtro consente agli amministratori di trovare rapidamente criteri specifici in base alla configurazione.

Requisiti di licenza

L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Anche i clienti con licenze Premium di Microsoft 365 Business possono accedere alle funzionalità di accesso condizionale.

I criteri basati sul rischio richiedono l'accesso a Identity Protection, che richiede licenze P2.

Altri prodotti e funzionalità che interagiscono con i criteri di accesso condizionale richiedono licenze appropriate per tali prodotti e funzionalità.

Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente. Ciò consente ai clienti di eseguire la migrazione dai criteri di accesso condizionale senza un improvviso cambiamento nel comportamento di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.

Le impostazioni predefinite per la sicurezza consentono di proteggersi da attacchi correlati all'identità e sono disponibili per tutti i clienti.

Zero Trust

Questa funzionalità consente alle organizzazioni di allineare le proprie identità ai tre principi guida di un'architettura Zero Trust:

  • Verificare esplicita
  • Usare privilegi minimi
  • Presunzione di violazione

Per altre informazioni su Zero Trust e altri modi per allineare l'organizzazione ai principi guida, vedere Zero Trust Guidance Center.

Passaggi successivi