Criteri di accesso condizionale comuni: protezione della registrazione delle informazioni di sicurezza

Proteggere quando e come gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service è possibile con le azioni dell'utente in un criterio di accesso condizionale. Questa funzionalità è disponibile per le organizzazioni che hanno abilitato la registrazione combinata. Questa funzionalità consente alle organizzazioni di gestire il processo di registrazione come qualsiasi applicazione in un criterio di accesso condizionale e di usare la massima potenza dell'accesso condizionale per proteggere l'esperienza. Gli utenti che accedono all'app Microsoft Authenticator o abilitano l'accesso tramite telefono senza password sono soggetti a questo criterio.

Alcune organizzazioni in passato potrebbero aver usato la posizione di rete attendibile o la conformità dei dispositivi come mezzo per proteggere l'esperienza di registrazione. Con l'aggiunta di Pass di accesso temporaneo in Microsoft Entra ID, gli amministratori possono fornire credenziali limitate al tempo ai propri utenti che consentono loro di registrarsi da qualsiasi dispositivo o posizione. Le credenziali pass di accesso temporaneo soddisfano i requisiti di accesso condizionale per l'autenticazione a più fattori.

Distribuzione del modello

Le organizzazioni possono scegliere di distribuire questo criterio usando i passaggi descritti di seguito o usando i modelli di accesso condizionale.

Creare un criterio per proteggere la registrazione

I criteri seguenti si applicano agli utenti selezionati, che tentano di eseguire la registrazione usando l'esperienza di registrazione combinata. Il criterio richiede che gli utenti si trovano in un percorso di rete attendibile, eseseguono l'autenticazione a più fattori o usano credenziali pass di accesso temporaneo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione combinata delle informazioni di sicurezza con TAP.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.

      Avviso

      Gli utenti devono essere abilitati per la registrazione combinata.

    2. In Escludi.

      1. Selezionare Tutti gli utenti guest ed esterni.

      2. Selezionare Ruoli directory e scegliere Global Amministrazione istrator

        Nota

        Il pass di accesso temporaneo non funziona per gli utenti guest.

      3. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.

  6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
  7. In Condizioni>Percorsi:
    1. Impostare Configura su .
      1. Includere Tutte le località.
      2. Escluderetutti i percorsi attendibili.
  8. In Controlli di accesso>Concedi:
    1. Selezionare Concedi accesso, Richiedi autenticazione a più fattori.
    2. Seleziona Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Amministrazione istrator dovrà ora rilasciare credenziali pass di accesso temporaneo ai nuovi utenti in modo che possano soddisfare i requisiti per l'autenticazione a più fattori da registrare. I passaggi per eseguire questa attività sono disponibili nella sezione Creare un pass di accesso temporaneo nell'interfaccia di amministrazione di Microsoft Entra.

Le organizzazioni possono scegliere di richiedere altri controlli di concessione con o al posto di Richiedi autenticazione a più fattori al passaggio 8a. Quando si selezionano più controlli, assicurarsi di selezionare l'interruttore del pulsante di opzione appropriato per richiedere tutti o uno dei controlli selezionati quando si apporta questa modifica.

Registrazione utente guest

Per gli utenti guest che devono registrarsi per l'autenticazione a più fattori nella directory, è possibile scegliere di bloccare la registrazione dall'esterno dei percorsi di rete attendibili usando la guida seguente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione delle informazioni di sicurezza combinata su reti attendibili.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti guest ed esterni.
  6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
  7. In Condizioni>Percorsi:
    1. Configurare .
    2. Includere Tutte le località.
    3. Escluderetutti i percorsi attendibili.
  8. In Controlli di accesso>Concedi:
    1. Selezionare Blocca accesso.
    2. Fare clic su Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Passaggi successivi

Modelli di accesso condizionale

Determinare l'effetto usando la modalità solo report per l'accesso condizionale

Usare la modalità solo report per l'accesso condizionale per determinare i risultati delle nuove decisioni relative ai criteri.

Richiedere agli utenti di riconfermare le informazioni di autenticazione