Informazioni sull'accesso condizionale

Il perimetro di sicurezza moderno si estende ora oltre la rete di un'organizzazione per includere l'identità di utenti e dispositivi. Le organizzazioni possono usare segnali basati sull'identità come parte delle decisioni di controllo degli accessi.

L'accesso condizionale riunisce i segnali per prendere decisioni e imporre i criteri dell'organizzazione. L'accesso condizionale di Azure AD è al centro del nuovo piano di controllo basato sull'identità.

Segnale condizionale concettuale oltre a decisione per l'applicazione di criteri

I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then: se un utente vuole accedere a una risorsa, deve completare un'azione. Esempio: un responsabile del pagamento vuole accedere all'applicazione di pagamento e deve eseguire l'autenticazione a più fattori per accedervi.

Gli amministratori devono perseguire due obiettivi principali:

  • Fare in modo che gli utenti siano produttivi sempre e ovunque
  • Proteggere gli asset dell'organizzazione

Usare i criteri di accesso condizionale per applicare i controlli di accesso corretti quando necessario per proteggere l'organizzazione.

Flusso del processo di accesso condizionale concettuale

Importante

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Segnali comuni

I segnali comuni su cui si basa l'accesso condizionale per stabilire i criteri includono i seguenti:

  • Appartenenza di utenti o gruppi
    • I criteri possono essere destinati a specifici utenti e gruppi offrendo agli amministratori un controllo granulare dell'accesso.
  • Informazioni sugli indirizzi IP
    • Le organizzazioni possono creare intervalli di indirizzi IP attendibili da usare per prendere decisioni sui criteri.
    • Gli amministratori possono specificare intervalli IP in interi paesi/aree geografiche per bloccare o consentire il traffico in ingresso e in uscita.
  • Dispositivo
    • Per applicare i criteri di accesso condizionale, è possibile considerare utenti con dispositivi di specifiche piattaforme o contrassegnati con uno stato specifico.
    • Usare i filtri per i dispositivi per indirizzare i criteri a dispositivi specifici, ad esempio workstation di accesso con privilegi.
  • Applicazione
    • Gli utenti che provano ad accedere a specifiche applicazioni possono attivare diversi criteri di accesso condizionale.
  • Rilevamento del rischio calcolato e in tempo reale
    • L'integrazione dei segnali con Azure AD Identity Protection consente ai criteri di accesso condizionale di identificare il comportamento di accesso rischioso. I criteri possono quindi forzare agli utenti di modificare la password, eseguire l'autenticazione a più fattori per ridurre il livello di rischio o bloccare l'accesso fino a quando un amministratore non esegue un'azione manuale.
  • Microsoft Defender for Cloud Apps
    • Consente di monitorare e controllare in tempo reale l'accesso e le sessioni dell'applicazione utente, aumentando la visibilità e il controllo sull'accesso alle attività eseguite all'interno dell'ambiente cloud.

Decisioni comuni

  • Blocca accesso
    • Decisione più restrittiva
  • Concedere l'accesso
    • Decisione meno restrittiva, può comunque richiedere una o più opzioni seguenti:
      • Richiedi autenticazione a più fattori
      • Richiedere che i dispositivi siano contrassegnati come conformi
      • Richiedi dispositivo aggiunto ad Azure AD ibrido
      • Richiedere app client approvata
      • Richiedi criteri di protezione delle pp (anteprima)

Criteri comunemente applicati

Molte organizzazioni condividono preoccupazioni che possono essere risolte con i criteri di accesso condizionale, ad esempio:

  • Obbligo di eseguire l'autenticazione a più fattori per gli utenti con ruoli amministrativi
  • Obbligo di eseguire l'autenticazione a più fattori per le attività di gestione di Azure
  • Blocco degli accessi per gli utenti che provano a usare protocolli di autenticazione legacy
  • Obbligo di usare posizioni attendibili per la registrazione ad Azure AD Multi-Factor Authentication
  • Blocco o concessione dell'accesso da specifiche posizioni
  • Blocco dei comportamenti di accesso rischiosi
  • Obbligo di usare dispositivi gestiti dall'organizzazione per specifiche applicazioni

Requisiti relativi alle licenze

L'uso di questa funzionalità richiede licenze Azure AD Premium P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Azure AD disponibili a livello generale.

Anche i clienti con licenze Premium di Microsoft 365 Business possono accedere alle funzionalità di accesso condizionale.

I criteri basati sui rischi richiedono l'accesso a Identity Protection, ovvero una funzionalità azure AD P2.

Per altri prodotti e funzionalità che possono interagire con i criteri di accesso condizionale sono richieste licenze appropriate.

Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente in modo che i clienti possano eseguire la migrazione da criteri di accesso condizionale senza un cambiamento improvviso nel comportamento di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.

Le impostazioni predefinite di sicurezza consentono di proteggere dagli attacchi correlati all'identità e sono disponibili per tutti i clienti.

Passaggi successivi