Livello di autenticazione dell'accesso condizionale
Il livello di attendibilità dell'autenticazione è un controllo di accesso condizionale che specifica quali combinazioni di metodi di autenticazione possono essere usate per accedere a una risorsa. Gli utenti possono soddisfare i requisiti di forza eseguendo l'autenticazione con una qualsiasi delle combinazioni consentite.
Ad esempio, un livello di attendibilità dell'autenticazione può richiedere l'uso solo di metodi di autenticazione resistenti al phishing per accedere a una risorsa sensibile. Per accedere a una risorsa senza distinzione, gli amministratori possono creare un altro livello di autenticazione che consenta combinazioni di autenticazione a più fattori (MFA) meno sicure, ad esempio password e SMS.
L'attendibilità dell'autenticazione si basa sui criteri dei metodi di autenticazione, in cui gli amministratori possono definire l'ambito dei metodi di autenticazione per utenti e gruppi specifici da usare nelle applicazioni federate con ID Microsoft Entra. L'attendibilità dell'autenticazione consente un ulteriore controllo sull'utilizzo di questi metodi in base a scenari specifici, ad esempio l'accesso alle risorse sensibili, il rischio utente, la posizione e altro ancora.
Scenari per i punti di forza dell'autenticazione
I punti di forza dell'autenticazione possono aiutare i clienti a risolvere questi scenari:
- Richiedere metodi di autenticazione specifici per accedere a una risorsa sensibile.
- Richiedere un metodo di autenticazione specifico quando un utente esegue un'azione sensibile all'interno di un'applicazione (in combinazione con il contesto di autenticazione dell'accesso condizionale).
- Richiedere agli utenti di usare un metodo di autenticazione specifico quando accedono ad applicazioni sensibili all'esterno della rete aziendale.
- Richiedere metodi di autenticazione più sicuri per gli utenti ad alto rischio.
- Richiedere metodi di autenticazione specifici da parte di utenti guest che accedono a un tenant di risorse (in combinazione con le impostazioni tra tenant).
Punti di forza dell'autenticazione
Amministrazione istrator può specificare un livello di autenticazione per accedere a una risorsa creando criteri di accesso condizionale con Richiedere il controllo dell'attendibilità dell'autenticazione. Possono scegliere tra tre punti di forza di autenticazione predefiniti: livello di autenticazione a più fattori, forza MFA senza password e forza MFA resistente al phishing. Possono anche creare un livello di autenticazione personalizzato in base alle combinazioni di metodi di autenticazione che vogliono consentire.
Punti di forza di autenticazione predefiniti
I punti di forza di autenticazione predefiniti sono combinazioni di metodi di autenticazione predefiniti di Microsoft. I punti di forza di autenticazione predefiniti sono sempre disponibili e non possono essere modificati. Microsoft aggiornerà i punti di forza di autenticazione predefiniti quando diventano disponibili nuovi metodi.
Per un esempio, la forza MFA resistente al phishing integrata consente le combinazioni seguenti:
Windows Hello for Business
O
Chiave di sicurezza FIDO2
O
Autenticazione basata su certificati Microsoft Entra (multifactoring)
Le combinazioni di metodi di autenticazione per ogni livello di autenticazione predefinito sono elencate nella tabella seguente. Queste combinazioni includono metodi che devono essere registrati dagli utenti e abilitati nei criteri dei metodi di autenticazione o nei criteri delle impostazioni di autenticazione a più fattori legacy.
- Livello di attendibilità MFA: lo stesso set di combinazioni che possono essere usate per soddisfare l'impostazione Richiedi autenticazione a più fattori.
- Livello di attendibilità MFA senza password: include metodi di autenticazione che soddisfano l'autenticazione a più fattori, ma non richiedono una password.
- Livello MFA resistente al phishing: include metodi che richiedono un'interazione tra il metodo di autenticazione e la superficie di accesso.
| Combinazione del metodo di autenticazione | Forza MFA | Livello di autenticazione a più fattori senza password | Resistenza all'autenticazione a più fattori resistente al phishing |
|---|---|---|---|
| Chiave di sicurezza FIDO2 | ✅ | ✅ | ✅ |
| Windows Hello for Business | ✅ | ✅ | ✅ |
| Autenticazione basata su certificati (Multi-Factor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (accesso Telefono) | ✅ | ✅ | |
| Pass di accesso temporaneo (uso monouso AND multiuso) | ✅ | ||
| Password + qualcosa che hai1 | ✅ | ||
| Fattore singolo federato + qualcosa di1 | ✅ | ||
| Multi-Factor federato | ✅ | ||
| Autenticazione basata su certificati (fattore singolo) | |||
| Accesso TRAMITE SMS | |||
| Password | |||
| Fattore singolo federato |
1 Qualcosa che si riferisce a uno dei metodi seguenti: SMS, voce, notifica push, token OATH software o token OATH hardware.
La chiamata API seguente può essere usata per elencare le definizioni di tutti i punti di forza di autenticazione predefiniti:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
L'accesso condizionale Amministrazione istrator può anche creare punti di forza di autenticazione personalizzati per soddisfare esattamente i requisiti di accesso. Per altre informazioni, vedere Vantaggi dell'autenticazione dell'accesso condizionale personalizzato.
Limiti
I criteri di accesso condizionale vengono valutati solo dopo l'autenticazione iniziale: di conseguenza, il livello di autenticazione non limita l'autenticazione iniziale di un utente. Si supponga di usare la forza MFA predefinita resistente al phishing. Un utente può comunque digitare la password, ma deve accedere con un metodo resistente al phishing, ad esempio FIDO2, prima di continuare.
Richiedere l'autenticazione a più fattori e Richiedere il livello di autenticazione non può essere usato insieme nello stesso criterio di accesso condizionale: questi due controlli di concessione di accesso condizionale non possono essere usati insieme perché l'autenticazione a più fattori predefinita è equivalente al controllo Richiedi concessione autenticazione a più fattori.
Metodi di autenticazione attualmente non supportati dal livello di autenticazione: il metodo di autenticazione one-time pass (Guest) di posta elettronica non è incluso nelle combinazioni disponibili.
Windows Hello for Business : se l'utente ha eseguito l'accesso con Windows Hello for Business come metodo di autenticazione principale, può essere usato per soddisfare un requisito di attendibilità dell'autenticazione che include Windows Hello for Business. Tuttavia, se l'utente ha eseguito l'accesso con un altro metodo come password come metodo di autenticazione principale e il livello di autenticazione richiede Windows Hello for Business, non viene richiesto di accedere con Windows Hello for Business. L'utente deve riavviare la sessione, scegliere Opzioni di accesso e selezionare un metodo richiesto dal livello di autenticazione.
Problema noto
- Opzioni avanzate della chiave di sicurezza FIDO2: le opzioni avanzate non sono supportate per gli utenti esterni con un tenant home che si trova in un cloud Microsoft diverso rispetto al tenant delle risorse.
Domande frequenti
È consigliabile usare il livello di autenticazione o i criteri dei metodi di autenticazione?
L'attendibilità dell'autenticazione si basa sui criteri dei metodi di autenticazione. I criteri dei metodi di autenticazione consentono di definire l'ambito e configurare i metodi di autenticazione da usare in Microsoft Entra ID per utenti e gruppi specifici. Il livello di autenticazione consente un'altra restrizione dei metodi per scenari specifici, ad esempio l'accesso alle risorse sensibili, il rischio utente, la posizione e altro ancora.
Ad esempio, l'amministratore di Contoso vuole consentire agli utenti di usare Microsoft Authenticator con notifiche push o modalità di autenticazione senza password. L'amministratore passa alle impostazioni di Microsoft Authenticator nei criteri Metodi di autenticazione, definisce l'ambito dei criteri per gli utenti pertinenti e imposta la modalità di autenticazione su Any.
Quindi, per la risorsa più sensibile di Contoso, l'amministratore vuole limitare l'accesso solo ai metodi di autenticazione senza password. L'amministratore crea un nuovo criterio di accesso condizionale, usando il livello di autenticazione mfa senza password predefinito.
Di conseguenza, gli utenti di Contoso possono accedere alla maggior parte delle risorse nel tenant usando password e notifiche push da Microsoft Authenticator OPPURE solo usando Microsoft Authenticator (accesso tramite telefono). Tuttavia, quando gli utenti nel tenant accedono all'applicazione sensibile, devono usare Microsoft Authenticator (accesso tramite telefono).
Prerequisiti
- Microsoft Entra ID P1 : il tenant deve avere la licenza Microsoft Entra ID P1 per usare l'accesso condizionale. Se necessario, è possibile abilitare una versione di valutazione gratuita.
- Abilitare la registrazione combinata: i punti di forza di autenticazione sono supportati quando si usano la registrazione combinata di MFA e reimpostazione della password self-service. L'uso della registrazione legacy comporterà un'esperienza utente scarsa perché l'utente può registrare metodi non richiesti dai criteri dei metodi di autenticazione.