Che cos'è la modalità di solo report di accesso condizionale?

L'accesso condizionale viene ampiamente usato dai nostri clienti per mantenere la sicurezza applicando i controlli di accesso corretti nelle circostanze corrette. Tuttavia, una delle sfide con la distribuzione di criteri di accesso condizionale nell'organizzazione determina l'impatto sugli utenti finali. Può essere difficile prevedere il numero e i nomi degli utenti interessati da iniziative di distribuzione comuni, ad esempio bloccando l'autenticazione legacy, richiedendo l'autenticazione a più fattori per una popolazione di utenti o implementando criteri di rischio di accesso.

La modalità solo report è un nuovo stato dei criteri di accesso condizionale che consente agli amministratori di valutare l'impatto dei criteri di accesso condizionale prima di abilitarli nell'ambiente in uso. Con il rilascio della modalità solo report:

  • I criteri di accesso condizionale possono essere abilitati in modalità solo report, questo non è applicabile all'ambito "Azioni utente".
  • Durante l'accesso, i criteri in modalità solo report vengono valutati ma non applicati.
  • I risultati vengono registrati nelle schede Accesso condizionale e Solo report dei dettagli del log di accesso.
  • I clienti con una sottoscrizione di Monitoraggio di Azure possono monitorare l'impatto dei criteri di accesso condizionale tramite la cartella di lavoro delle informazioni dettagliate Accesso condizionale.

Avviso

I criteri in modalità di solo report che richiedono dispositivi conformi possono richiedere agli utenti in Mac, iOS e Android di selezionare un certificato del dispositivo durante la valutazione dei criteri, anche se la conformità del dispositivo non viene applicata. Queste richieste possono ripetere fino a quando il dispositivo non viene reso conforme. Per impedire agli utenti finali di ricevere richieste durante l'accesso, escludere piattaforme del dispositivo Mac, iOS e Android da criteri di sola segnalazione che eseguono controlli di conformità dei dispositivi. Si noti che la modalità di solo report non è applicabile ai criteri di accesso condizionale con ambito "Azioni utente".

Report-only tab in Azure AD sign-in log

Risultati dei criteri

Quando un criterio in modalità di solo report viene valutato per un determinato accesso, sono disponibili quattro nuovi valori di risultato possibili:

Risultato Descrizione
Solo report: Esito positivo Tutte le condizioni dei criteri configurate, i controlli di concessione non interattivi necessari e i controlli sessione sono stati soddisfatti. Ad esempio, un requisito di autenticazione a più fattori è soddisfatto da un'attestazione MFA già presente nel token o un criterio di dispositivo conforme viene soddisfatto eseguendo un controllo del dispositivo in un dispositivo conforme.
Solo report: errore Tutte le condizioni dei criteri configurate sono state soddisfatte, ma non tutti i controlli di concessione non interattivi richiesti o i controlli sessione sono stati soddisfatti. Ad esempio, un criterio si applica a un utente in cui è configurato un controllo a blocchi o un dispositivo non riesce a un criterio di dispositivo conforme.
Solo report: azione utente richiesta Tutte le condizioni dei criteri configurate sono state soddisfatte, ma l'azione dell'utente deve soddisfare i controlli di concessione o i controlli sessione richiesti. Con la modalità di solo report, l'utente non viene richiesto di soddisfare i controlli necessari. Ad esempio, gli utenti non vengono richiesti problemi di autenticazione a più fattori o condizioni di utilizzo.
Solo report: non applicato Non tutte le condizioni dei criteri configurate sono state soddisfatte. Ad esempio, l'utente viene escluso dal criterio o il criterio si applica solo a determinate posizioni denominate attendibili.

Cartella di lavoro accesso condizionale Insights

Gli amministratori hanno la possibilità di creare più criteri in modalità di solo report, pertanto è necessario comprendere sia l'impatto individuale di ogni criterio sia l'impatto combinato di più criteri valutati insieme. La nuova cartella di lavoro accesso condizionale Insights consente agli amministratori di visualizzare le query di accesso condizionale e monitorare l'impatto di un criterio per un determinato intervallo di tempo, un set di applicazioni e utenti.

Passaggi successivi

Configurare la modalità di sola report in un criterio di accesso condizionale