Accesso condizionale: utenti, gruppi e identità del carico di lavoro
I criteri di accesso condizionale devono includere un'assegnazione di identità utente, gruppo o carico di lavoro come uno dei segnali nel processo decisionale. Queste identità possono essere incluse o escluse dai criteri di accesso condizionale. Microsoft Entra ID valuta tutti i criteri e garantisce che tutti i requisiti vengano soddisfatti prima di concedere l'accesso.
Includi utenti
Questo elenco di utenti include in genere tutti gli utenti che un'organizzazione ha come destinazione un criterio di accesso condizionale.
Per la creazione di un criterio di accesso condizionale sono disponibili le opzioni seguenti.
- Nessuno
- Nessun utente selezionato
- Tutti gli utenti
- Tutti gli utenti presenti nella directory, inclusi gli utenti guest B2B.
- Selezionare utenti e gruppi
- Utenti guest o esterni
- Questa selezione offre diverse opzioni che possono essere usate per impostare come destinazione i criteri di accesso condizionale a tipi di utenti guest o esterni specifici e tenant specifici contenenti tali tipi di utenti. Esistono diversi tipi di utenti guest o esterni che possono essere selezionati e possono essere effettuate più selezioni:
- Utenti guest di Collaborazione B2B
- Utenti membri di Collaborazione B2B
- Utenti con connessione diretta B2B
- Utenti guest locali, ad esempio qualsiasi utente appartenente al tenant principale con l'attributo di tipo utente impostato su guest
- Utenti del provider di servizi, ad esempio cloud solution provider (CSP)
- Altri utenti esterni o utenti non rappresentati dalle altre selezioni dei tipi di utente
- È possibile specificare uno o più tenant per i tipi di utente selezionati oppure specificare tutti i tenant.
- Questa selezione offre diverse opzioni che possono essere usate per impostare come destinazione i criteri di accesso condizionale a tipi di utenti guest o esterni specifici e tenant specifici contenenti tali tipi di utenti. Esistono diversi tipi di utenti guest o esterni che possono essere selezionati e possono essere effettuate più selezioni:
- Ruoli della directory
- Consente agli amministratori di selezionare ruoli di directory predefiniti specifici usati per determinare l'assegnazione dei criteri. Ad esempio, le organizzazioni potrebbero creare criteri più restrittivi per gli utenti a cui è stato assegnato attivamente un ruolo con privilegi. Altri tipi di ruolo non sono supportati, inclusi ruoli con ambito unità amministrativa e ruoli personalizzati.
- L'accesso condizionale consente agli amministratori di selezionare alcuni ruoli elencati come deprecati. Questi ruoli vengono ancora visualizzati nell'API sottostante e gli amministratori possono applicare i criteri.
- Consente agli amministratori di selezionare ruoli di directory predefiniti specifici usati per determinare l'assegnazione dei criteri. Ad esempio, le organizzazioni potrebbero creare criteri più restrittivi per gli utenti a cui è stato assegnato attivamente un ruolo con privilegi. Altri tipi di ruolo non sono supportati, inclusi ruoli con ambito unità amministrativa e ruoli personalizzati.
- Utenti e gruppi
- Consente la destinazione di set specifici di utenti. Ad esempio, le organizzazioni possono selezionare un gruppo che contiene tutti i membri del reparto risorse umane quando un'app HR viene selezionata come app cloud. Un gruppo può essere qualsiasi tipo di gruppo di utenti in Microsoft Entra ID, inclusi gruppi di sicurezza e distribuzione dinamici o assegnati. I criteri vengono applicati a utenti e gruppi annidati.
- Utenti guest o esterni
Importante
Quando si selezionano gli utenti e i gruppi inclusi in un criterio di accesso condizionale, è previsto un limite al numero di singoli utenti che possono essere aggiunti direttamente a un criterio di accesso condizionale. Se è necessario aggiungere direttamente a un criterio di accesso condizionale una grande quantità di utenti singoli, è consigliabile inserire gli utenti in un gruppo e assegnare il gruppo ai criteri di accesso condizionale.
Se gli utenti o i gruppi sono membri di oltre 2048 gruppi, l'accesso potrebbe essere bloccato. Questo limite si applica sia all'appartenenza diretta che a quella annidata.
Avviso
I criteri di accesso condizionale non supportano gli utenti assegnati a un ruolo di directory con ambito a un'unità amministrativa o a ruoli della directory con ambito diretto a un oggetto, ad esempio tramite ruoli personalizzati.
Nota
Quando si impostano come destinazione i criteri per gli utenti esterni con connessione diretta B2B, questi criteri verranno applicati anche agli utenti di Collaborazione B2B che accedono a Teams o SharePoint Online che sono idonei anche per la connessione diretta B2B. Lo stesso vale per i criteri destinati agli utenti esterni di Collaborazione B2B, ovvero gli utenti che accedono ai canali condivisi di Teams avranno criteri di collaborazione B2B se hanno anche una presenza utente guest nel tenant.
Escludere gli utenti
Quando le organizzazioni includono ed escludono un utente o un gruppo, l'utente o il gruppo viene escluso dai criteri. L'azione di esclusione sostituisce l'azione di inclusione nei criteri. Le esclusioni vengono comunemente usate per gli account di accesso di emergenza o break-glass. Altre informazioni sugli account di accesso di emergenza e sui motivi per cui sono importanti sono disponibili negli articoli seguenti:
- Gestire gli account di accesso di emergenza in Microsoft Entra ID
- Creare una strategia di gestione resiliente del controllo di accesso con Microsoft Entra ID
Quando si creano criteri di accesso condizionale, sono disponibili le opzioni seguenti.
- Utenti guest o esterni
- Questa selezione offre diverse opzioni che possono essere usate per impostare come destinazione i criteri di accesso condizionale a tipi di utenti guest o esterni specifici e tenant specifici contenenti tali tipi di utenti. Esistono diversi tipi di utenti guest o esterni che possono essere selezionati e possono essere effettuate più selezioni:
- Utenti guest di Collaborazione B2B
- Utenti membri di Collaborazione B2B
- Utenti con connessione diretta B2B
- Utenti guest locali, ad esempio qualsiasi utente appartenente al tenant principale con l'attributo di tipo utente impostato su guest
- Utenti del provider di servizi, ad esempio cloud solution provider (CSP)
- Altri utenti esterni o utenti non rappresentati dalle altre selezioni dei tipi di utente
- È possibile specificare uno o più tenant per i tipi di utente selezionati oppure specificare tutti i tenant.
- Questa selezione offre diverse opzioni che possono essere usate per impostare come destinazione i criteri di accesso condizionale a tipi di utenti guest o esterni specifici e tenant specifici contenenti tali tipi di utenti. Esistono diversi tipi di utenti guest o esterni che possono essere selezionati e possono essere effettuate più selezioni:
- Ruoli della directory
- Consente agli amministratori di selezionare specifici ruoli della directory Microsoft Entra usati per determinare l'assegnazione. Ad esempio, le organizzazioni potrebbero creare criteri più restrittivi per gli utenti a cui è stato assegnato il ruolo global Amministrazione istrator.
- Utenti e gruppi
- Consente la destinazione di set specifici di utenti. Ad esempio, le organizzazioni possono selezionare un gruppo che contiene tutti i membri del reparto risorse umane quando un'app HR viene selezionata come app cloud. Un gruppo può essere qualsiasi tipo di gruppo in Microsoft Entra ID, inclusi i gruppi di sicurezza e distribuzione dinamici o assegnati. I criteri vengono applicati a utenti e gruppi annidati.
Prevenzione del blocco dell'amministratore
Per impedire il blocco dell'amministratore, quando si crea un criterio applicato a Tutti gli utenti e a Tutte le app, viene visualizzato l'avviso seguente.
Non rinchiuderti! È consigliabile applicare un criterio a un piccolo set di utenti per prima cosa per verificarne il comportamento previsto. È anche consigliabile escludere almeno un amministratore da questo criterio. In questo modo si garantisce di avere ancora accesso e di aggiornare un criterio se è necessaria una modifica. Esaminare gli utenti e le app interessati.
Per impostazione predefinita, il criterio offre un'opzione per escludere l'utente corrente dai criteri, ma un amministratore può eseguire l'override come illustrato nell'immagine seguente.
Se ti trovi bloccato, vedi Cosa fare se sei bloccato?
Accesso per i partner esterni
I criteri di accesso condizionale destinati agli utenti esterni potrebbero interferire con l'accesso al provider di servizi, ad esempio privilegi di amministratore delegati granulari Introduzione ai privilegi di amministratore delegati granulari (GDAP). Per i criteri destinati ai tenant del provider di servizi di destinazione, usare il tipo di utente esterno del provider di servizi disponibile nelle opzioni di selezione Utenti guest o esterni.
Identità dei carichi di lavoro
Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un'entità servizio di accedere alle risorse, talvolta nel contesto di un utente. I criteri di accesso condizionale possono essere applicati alle entità servizio a tenant singolo registrate nel tenant. Le app SaaS e multi-tenant di terze parti non rientrano nell'ambito. Le identità gestite non sono coperte dai criteri.
Le organizzazioni possono definire come destinazione identità specifiche del carico di lavoro da includere o escludere dai criteri.
Per altre informazioni, vedere l'articolo Accesso condizionale per le identità del carico di lavoro.