Accesso condizionale: filtrare le applicazioni

  • Articolo

Attualmente i criteri di accesso condizionale possono essere applicati a tutte le app o alle singole app. Le organizzazioni con un numero elevato di app potrebbero trovare questo processo difficile da gestire tra più criteri di accesso condizionale.

I filtri dell'applicazione per l'accesso condizionale consentono alle organizzazioni di contrassegnare le entità servizio con attributi personalizzati. Questi attributi personalizzati vengono quindi aggiunti ai criteri di accesso condizionale. I filtri per le applicazioni vengono valutati in fase di rilascio dei token, una domanda comune è se le app vengono assegnate in fase di esecuzione o in fase di configurazione.

In questo documento si crea un set di attributi personalizzato, si assegna un attributo di sicurezza personalizzato all'applicazione e si creano criteri di accesso condizionale per proteggere l'applicazione.

Assegnazione di ruoli

Gli attributi di sicurezza personalizzati sono sensibili alla sicurezza e possono essere gestiti solo dagli utenti delegati. Anche gli Amministrazione istratori globali non dispongono delle autorizzazioni predefinite per gli attributi di sicurezza personalizzati. Uno o più dei ruoli seguenti devono essere assegnati agli utenti che gestiscono o segnalano questi attributi.

Nome ruolo Descrizione
Amministratore assegnazione di attributi Assegnare chiavi e valori di attributi di sicurezza personalizzati agli oggetti Microsoft Entra supportati.
Lettore assegnazione attributi Leggere chiavi e valori di attributi di sicurezza personalizzati per gli oggetti Microsoft Entra supportati.
Definizione dell'attributo Amministrazione istrator Definire e gestire la definizione degli attributi di sicurezza personalizzati.
Lettore di definizioni di attributi Leggere la definizione degli attributi di sicurezza personalizzati.

Assegnare il ruolo appropriato agli utenti che gestiscono o segnalano questi attributi nell'ambito della directory. Per i passaggi dettagliati, vedere Assegnare un ruolo.

Creare attributi di sicurezza personalizzati

Seguire le istruzioni riportate nell'articolo Aggiungere o disattivare attributi di sicurezza personalizzati in Microsoft Entra ID per aggiungere il set di attributi e gli attributi New seguenti.

  • Creare un set di attributi denominato ConditionalAccessTest.
  • Creare nuovi attributi denominati policyRequirement che consenti l'assegnazione di più valori e Consenti solo l'assegnazione di valori predefiniti. Vengono aggiunti i valori predefiniti seguenti:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Screenshot che mostra l'attributo di sicurezza personalizzato e i valori predefiniti in Microsoft Entra ID.

Nota

I filtri di accesso condizionale per le applicazioni funzionano solo con attributi di sicurezza personalizzati di tipo "string". Gli attributi di sicurezza personalizzati supportano la creazione di un tipo di dati booleano, ma i criteri di accesso condizionale supportano solo "string".

Creare criteri di accesso condizionale

Screenshot che mostra un criterio di accesso condizionale con la finestra del filtro di modifica che mostra un attributo di require MFA.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator e un lettore di definizioni di attributi.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In Risorse di destinazione selezionare le opzioni seguenti:
    1. Selezionare i criteri applicati alle app cloud.
    2. Includi Selezionare le app.
    3. Selezionare Modifica filtro.
    4. Impostare Configura su .
    5. Selezionare l'attributo creato in precedenza denominato policyRequirement.
    6. Impostare Operatore su Contains.
    7. Impostare Valore per richiedereMFA.
    8. Selezionare Fatto.
  7. In Controlli>di accesso Concedi selezionare Concedi accesso, Richiedi autenticazione a più fattori e selezionare Seleziona.
  8. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  9. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Configurare attributi personalizzati

Passaggio 1: Configurare un'applicazione di esempio

Se si dispone già di un'applicazione di test che usa un'entità servizio, è possibile ignorare questo passaggio.

Configurare un'applicazione di esempio che illustra come un processo o un servizio Windows può essere eseguito con un'identità dell'applicazione anziché con l'identità di un utente. Seguire le istruzioni nell'articolo Avvio rapido: Ottenere un token e chiamare l'API Microsoft Graph usando l'identità di un'app console per creare questa applicazione.

Passaggio 2: Assegnare un attributo di sicurezza personalizzato a un'applicazione

Quando non è presente un'entità servizio elencata nel tenant, non può essere destinata. La famiglia di prodotti Office 365 è un esempio di un'entità servizio di questo tipo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale e assegnazione di attributi Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali.
  3. Selezionare l'entità servizio a cui applicare un attributo di sicurezza personalizzato.
  4. In Gestisci>attributi di sicurezza personalizzati selezionare Aggiungi assegnazione.
  5. In Set di attributi selezionare ConditionalAccessTest.
  6. In Nome attributo selezionare policyRequirement.
  7. In Valori assegnati selezionare Aggiungi valori, selezionare requireMFA nell'elenco e quindi selezionare Fine.
  8. Seleziona Salva.

Passaggio 3: Testare i criteri

Accedere come utente a cui si applicano i criteri e testare per verificare che l'autenticazione a più fattori sia necessaria per l'accesso all'applicazione.

Altri scenari

  • Bloccare l'autenticazione legacy
  • Blocco dell'accesso esterno alle applicazioni
  • Richiesta di criteri di protezione di dispositivi o app di Intune conformi
  • Applicazione dei controlli di frequenza di accesso per applicazioni specifiche
  • Richiesta di una workstation con accesso con privilegi per applicazioni specifiche
  • Richiedere controlli sessione per utenti ad alto rischio e applicazioni specifiche

Contenuto correlato

Modelli di accesso condizionale

Determinare l'effetto usando la modalità solo report per l'accesso condizionale

Usare la modalità solo report per l'accesso condizionale per determinare i risultati delle nuove decisioni relative ai criteri.