Accesso condizionale: condizioni
All'interno di un criterio di accesso condizionale, un amministratore può usare uno o più segnali per migliorare le decisioni relative ai criteri.
È possibile combinare più condizioni per creare criteri di accesso condizionale con granularità fine e specifici.
Quando gli utenti accedono a un'applicazione sensibile, un amministratore può considerare più condizioni nelle decisioni di accesso, ad esempio:
- Informazioni sul rischio di accesso da Protezione ID
- Percorso di rete
- Informazioni sul dispositivo
Rischio utente
Amministrazione istrator con accesso a Protezione ID, può valutare il rischio utente come parte di un criterio di accesso condizionale. Il rischio utente rappresenta la probabilità di compromissione di un'identità o un account. Altre informazioni sul rischio utente sono disponibili negli articoli Che cos'è il rischio e Procedura: Configurare e abilitare i criteri di rischio.
Rischio di accesso
Amministrazione istrator con accesso a Protezione ID, può valutare il rischio di accesso come parte di un criterio di accesso condizionale. Il rischio di accesso rappresenta la probabilità che una determinata richiesta di autenticazione non sia stata effettuata dal proprietario dell'identità. Altre informazioni sul rischio di accesso sono disponibili negli articoli Che cos'è il rischio e Procedura: Configurare e abilitare i criteri di rischio.
Rischio Insider (anteprima)
Amministrazione istrator con accesso a La protezione adattiva di Microsoft Purview può incorporare segnali di rischio da Microsoft Purview nelle decisioni relative ai criteri di accesso condizionale. Il rischio Insider tiene conto della governance dei dati, della sicurezza dei dati e delle configurazioni di rischio e conformità di Microsoft Purview. Questi segnali sono basati su fattori contestuali come:
- Comportamento utente
- Modelli cronologici
- Rilevamenti anomalie
Questa condizione consente agli amministratori di usare i criteri di accesso condizionale per eseguire azioni come bloccare l'accesso, richiedere metodi di autenticazione più efficaci o richiedere l'accettazione delle condizioni per l'utilizzo.
Questa funzionalità implica l'incorporazione di parametri che affrontano in modo specifico i potenziali rischi derivanti dall'interno di un'organizzazione. Configurando l'accesso condizionale per considerare il rischio Insider, gli amministratori possono personalizzare le autorizzazioni di accesso in base a fattori contestuali, ad esempio il comportamento degli utenti, i modelli cronologici e il rilevamento anomalie.
Per altre informazioni, vedere l'articolo Configurare e abilitare criteri basati sui rischi Insider.
Piattaforme
L'accesso condizionale identifica la piattaforma del dispositivo usando le informazioni fornite dal dispositivo, ad esempio le stringhe dell'agente utente. Poiché è possibile modificare le stringhe dell'agente utente, queste informazioni non vengono verificate. La piattaforma del dispositivo deve essere usata insieme ai criteri di conformità del dispositivo di Microsoft Intune o come parte di un'istruzione di blocco. L'impostazione predefinita è l'applicazione a tutte le piattaforme del dispositivo.
L'accesso condizionale supporta le piattaforme per dispositivi seguenti:
- Android
- iOS
- Windows
- macOS
- Linux
Se si blocca l'autenticazione legacy usando la condizione Altri client , è anche possibile impostare la condizione della piattaforma del dispositivo.
Non è supportata la selezione di piattaforme per dispositivi macOS o Linux quando si seleziona Richiedi app client approvata o Richiedi criteri di protezione delle app come unici controlli di concessione o quando si sceglie Richiedi tutti i controlli selezionati.
Importante
Microsoft consiglia di avere criteri di accesso condizionale per le piattaforme di dispositivi non supportate. Ad esempio, se si vuole bloccare l'accesso alle risorse aziendali da Chrome OS o da qualsiasi altro client non supportato, è necessario configurare un criterio con una condizione Piattaforme del dispositivo che include qualsiasi dispositivo ed esclude le piattaforme del dispositivo supportate e Concedi controllo impostato su Blocca l'accesso.
Ubicazioni
Quando gli amministratori configurano la posizione come condizione, possono scegliere di includere o escludere posizioni. Queste località denominate possono includere le informazioni di rete IPv4 o IPv6 pubbliche, paese/area geografica, aree sconosciute che non eseguono il mapping a paesi/aree geografiche specifiche e rete conforme all'accesso sicuro globale.
Quando si specifica Tutte le località, questa opzione include qualsiasi indirizzo IP in Internet non solo le località denominate configurate. Quando gli amministratori selezionano qualsiasi posizione, possono scegliere di escludere tutte le posizioni attendibili o selezionate.
Amministrazione istrator possono creare criteri destinati a posizioni specifiche insieme ad altre condizioni. Altre informazioni sulle posizioni sono disponibili nell'articolo Qual è la condizione di posizione in Accesso condizionale di Microsoft Entra.
App client
Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati si applicano a tutti i tipi di app client anche se la condizione delle app client non è configurata.
Nota
Il comportamento della condizione delle app client è stato aggiornato nell'agosto 2020. Se sono presenti criteri di accesso condizionale esistenti, rimarranno invariati. Tuttavia, se si fa clic su un criterio esistente, l'interruttore Configura è stato rimosso e le app client a cui si applica il criterio sono selezionate.
Importante
Gli accessi dai client di autenticazione legacy non supportano l'autenticazione a più fattori (MFA) e non passano le informazioni sullo stato del dispositivo, quindi vengono bloccati dai controlli di concessione dell'accesso condizionale, come la richiesta di MFA o dispositivi conformi. Se si dispone di account che devono usare l'autenticazione legacy, è necessario escludere tali account dai criteri oppure configurare il criterio per l'applicazione solo ai client di autenticazione moderni.
Quando l'interruttore Configura è impostato su Sì, si applica agli elementi selezionati. Quando è impostato su No, si applica a tutte le app client, inclusi i client di autenticazione moderni e legacy. Questo interruttore non viene visualizzato nei criteri creati prima di agosto 2020.
- Client di autenticazione moderni
- Browser
- Sono incluse applicazioni basate sul Web che usano protocolli come SAML, WS-Federation, OpenID Connessione o servizi registrati come client riservato OAuth.
- App per dispositivi mobili e client desktop
- Questa opzione include applicazioni come le applicazioni desktop e telefono di Office.
- Browser
- Client di autenticazione legacy
- Client Exchange ActiveSync
- Questa selezione include tutti gli usi del protocollo Exchange ActiveSync (EAS).
- Quando i criteri bloccano l'uso di Exchange ActiveSync, l'utente interessato riceve un singolo messaggio di posta elettronica di quarantena. Questo messaggio di posta elettronica fornisce informazioni sul motivo per cui vengono bloccate e includono istruzioni di correzione, se in grado.
- Amministrazione istrator può applicare criteri solo alle piattaforme supportate (ad esempio iOS, Android e Windows) tramite l'API Microsoft Graph per l'accesso condizionale.
- Altri client
- Questa opzione include i client che usano protocolli di autenticazione di base/legacy che non supportano l'autenticazione moderna.
- SMTP: usato dal client POP e IMAP per inviare messaggi di posta elettronica.
- Individuazione automatica: usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettervisi.
- Exchange Online PowerShell: usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, è necessario usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connessione a PowerShell di Exchange Online usando l'autenticazione a più fattori.
- Exchange Web Services (EWS): interfaccia di programmazione usata da Outlook, Outlook per Mac e app di terze parti.
- IMAP4: usato dai client di posta elettronica IMAP.
- MAPI su HTTP (MAPI/HTTP): usato da Outlook 2010 e versioni successive.
- Rubrica offline: copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook.
- Outlook via Internet (RPC su HTTP): usato da Outlook 2016 e versioni precedenti.
- Servizio Outlook: usato dall'app di posta elettronica e di calendario per Windows 10.
- POP3: usato dai client di posta elettronica POP.
- Servizi Web per la creazione di report: funzionalità usata per recuperare i dati dei report in Exchange Online.
- Questa opzione include i client che usano protocolli di autenticazione di base/legacy che non supportano l'autenticazione moderna.
- Client Exchange ActiveSync
Queste condizioni vengono comunemente usate per:
- Richiedere un dispositivo gestito
- Bloccare l'autenticazione legacy
- Bloccare le applicazioni Web ma consentire app per dispositivi mobili o desktop
Browser supportati
Questa impostazione funziona con tutti i browser. Tuttavia, per soddisfare i criteri di un dispositivo, ad esempio un requisito di dispositivo conforme, sono supportati i sistemi operativi e i browser seguenti. I sistemi operativi e i browser fuori dal supporto Mainstream non sono visualizzati in questo elenco:
| Sistemi operativi | Browser |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (vedere le note) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Linux Desktop | Microsoft Edge |
Questi browser supportano l'autenticazione del dispositivo, consentendo al dispositivo di essere identificato e convalidato rispetto a un criterio. Il controllo del dispositivo ha esito negativo se il browser è in esecuzione in modalità privata o se i cookie sono disabilitati.
Nota
Edge 85+ richiede che l'utente sia connesso al browser per passare correttamente l'identità del dispositivo. In caso contrario, si comporta come Chrome senza l'estensione account. Questo accesso potrebbe non verificarsi automaticamente in uno scenario di aggiunta a un dispositivo ibrido.
Safari è supportato per l'accesso condizionale basato su dispositivo in un dispositivo gestito, ma non può soddisfare l'app client richiesta approvata o Richiedere condizioni dei criteri di protezione delle app. Un browser gestito come Microsoft Edge soddisfa i requisiti approvati per le app client e i criteri di protezione delle app. In iOS con soluzione MDM di terze parti solo il browser Microsoft Edge supporta i criteri dei dispositivi.
Firefox 91+ è supportato per l'accesso condizionale basato su dispositivo, ma è necessario abilitare "Consenti l'accesso Single Sign-On di Windows per gli account Microsoft, aziendali e dell'istituto di istruzione".
Chrome 111+ è supportato per l'accesso condizionale basato su dispositivo, ma è necessario abilitare "CloudApAuthEnabled".
Perché viene visualizzato un prompt dei certificati nel browser
Nei dispositivi Windows 7, iOS, Android e macOS vengono identificati usando un certificato client. Questo certificato viene sottoposto a provisioning quando il dispositivo viene registrato. Quando un utente accede per la prima volta tramite il browser, all'utente viene richiesto di selezionare il certificato. L'utente deve selezionare questo certificato prima di usare il browser.
Supporto di Chrome
Per il supporto di Chrome in Windows 10 Creators Update (versione 1703) o successiva, installare l'estensione Account di Windows o abilitare CloudAPAuthEnabled di Chrome. Queste configurazioni sono necessarie quando i criteri di accesso condizionale richiedono dettagli specifici del dispositivo per le piattaforme Windows in particolare.
Per abilitare automaticamente il criterio CloudAPAuthEnabled in Chrome, creare la chiave del Registro di sistema seguente:
- Percorso:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nome:
CloudAPAuthEnabled - Valore:
0x00000001 - Propertytype:
DWORD
Per distribuire automaticamente l'estensione account di Windows nei browser Chrome, creare la chiave del Registro di sistema seguente:
- Percorso:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nome:
1 - Tipo:
REG_SZ (String) - Dati:
ppnbnpeolgkicgegkbkbjmhlideopiji;https\://clients2.google.com/service/update2/crx
Per il supporto di Chrome in Windows 8.1 e 7, creare la chiave del Registro di sistema seguente:
- Percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nome:
1 - Tipo:
REG_SZ (String) - Dati:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Applicazioni per dispositivi mobili e client desktop supportati
Amministrazione istrator può selezionare App per dispositivi mobili e client desktop come app client.
Questa impostazione ha effetto sui tentativi di accesso eseguiti dalle app per dispositivi mobili e dai client desktop seguenti:
| App client | Servizio di destinazione | Piattaforma |
|---|---|---|
| Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS e Android |
| App Posta/Calendario/Contatti, Outlook 2016, Outlook 2013 (con autenticazione moderna) | Exchange Online | Windows 10 |
| MFA e criteri relativi alle applicazioni. I criteri basati su dispositivo non sono supportati. | Qualsiasi servizio app Mie app | Android e iOS |
| Servizi di Microsoft Teams: questa app client controlla tutti i servizi che supportano Microsoft Teams e tutte le app client - Desktop di Windows, iOS, Android, WP e client Web | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS |
| App di Office 2016, Office 2013 (con autenticazione moderna), client di sincronizzazione di OneDrive | SharePoint | Windows 8.1, Windows 7 |
| App di Office 2016, app Office universali, Office 2013 (con autenticazione moderna), sincronizzazione OneDrive client | SharePoint Online | Windows 10 |
| Office 2016 (solo Word, Excel, PowerPoint e OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| App Office per dispositivi mobili | SharePoint | Android, iOS |
| App Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office per macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (con l'autenticazione moderna), Skype for Business (con l'autenticazione moderna) | Exchange Online | Windows 8.1, Windows 7 |
| App Outlook Mobile | Exchange Online | Android, iOS |
| App Power BI | Servizio Power BI | Windows 10, Windows 8.1, Windows 7, Android e iOS |
| Skype for Business | Exchange Online | Android, iOS |
| App Azure DevOps Services (in precedenza Visual Studio Team Services o VSTS) | Azure DevOps Services (in precedenza Visual Studio Team Services o VSTS) | Windows 10, Windows 8.1, Windows 7, iOS e Android |
Client Exchange ActiveSync
- Amministrazione istrator può selezionare solo i client Exchange ActiveSync quando si assegnano criteri a utenti o gruppi. Se si seleziona Tutti gli utenti, Tutti gli utenti guest ed esterni o i ruoli della directory, tutti gli utenti saranno soggetti ai criteri.
- Quando gli amministratori creano criteri assegnati ai client Exchange ActiveSync, Exchange Online deve essere l'unica applicazione cloud assegnata ai criteri.
- Amministrazione istrator può limitare l'ambito di questo criterio a piattaforme specifiche usando Condizione delle piattaforme del dispositivo.
Se il controllo di accesso assegnato al criterio usa Richiedi app client approvata, l'utente viene indirizzato all'installazione e all'uso del client Outlook mobile. Nel caso in cui sia necessaria l'autenticazione a più fattori, le condizioni per l'utilizzo o i controlli personalizzati, gli utenti interessati vengono bloccati, perché l'autenticazione di base non supporta questi controlli.
Per altre informazioni, vedere gli articoli seguenti:
- Bloccare l'autenticazione legacy con l'accesso condizionale
- Richiesta di app client approvate con accesso condizionale
Altri client
Selezionando Altri client è possibile specificare una condizione che influisce sulle app che usano l'autenticazione di base con protocolli di posta elettronica come IMAP, MAPI, POP, SMTP e le app Office meno recenti che non usano l'autenticazione moderna.
Stato del dispositivo (deprecato)
Questa condizione è stata deprecata. I clienti devono usare la condizione Filtro per i dispositivi nei criteri di accesso condizionale per soddisfare gli scenari ottenuti in precedenza usando la condizione dello stato del dispositivo.
Importante
Lo stato e i filtri del dispositivo per i dispositivi non possono essere usati insieme nei criteri di accesso condizionale. I filtri per i dispositivi offrono un targeting più granulare, incluso il supporto per la destinazione delle informazioni sullo stato del dispositivo tramite la trustType proprietà e isCompliant .
Filtrare per dispositivi
Quando gli amministratori configurano il filtro per i dispositivi come condizione, possono scegliere di includere o escludere i dispositivi in base a un filtro usando un'espressione di regola nelle proprietà del dispositivo. L'espressione di regola per il filtro per i dispositivi può essere creata usando il generatore di regole o la sintassi delle regole. Questa esperienza è simile a quella usata per le regole di appartenenza dinamica per i gruppi. Per altre informazioni, vedere l'articolo Accesso condizionale: Filtrare i dispositivi.
Flussi di autenticazione (anteprima)
I flussi di autenticazione controllano il modo in cui l'organizzazione usa determinati protocolli di autenticazione e autorizzazione e concessioni. Questi flussi possono offrire un'esperienza semplice ai dispositivi che potrebbero non avere dispositivi di input locali come dispositivi condivisi o segnaletica digitale. Usare questo controllo per configurare metodi di trasferimento come il flusso del codice del dispositivo o il trasferimento dell'autenticazione.