Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

  • Articolo

L'accesso condizionale interpreta i segnali, applica i criteri e determina se a un utente viene concesso l'accesso alle risorse. In questo articolo vengono fornite informazioni sull'applicazione dei criteri di accesso condizionale agli utenti esterni. L'articolo presuppone che non si abbia accesso alla gestione entitlement, una funzionalità che è possibile usare con l'accesso condizionale.

Altre informazioni:

Il diagramma seguente illustra i segnali all'accesso condizionale che attivano i processi di accesso.

Diagram of Conditional Access signal input and resulting access processes.

Operazioni preliminari

Questo articolo è il numero 7 di una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Allineare un piano di sicurezza ai criteri di accesso condizionale

Nel terzo articolo, nel set di 10 articoli, sono disponibili indicazioni sulla creazione di un piano di sicurezza. Usare questo piano per creare criteri di accesso condizionale per l'accesso esterno. Parte del piano di sicurezza include:

  • Applicazioni e risorse raggruppate per l'accesso semplificato
  • Requisiti di accesso per gli utenti esterni

Importante

Creare account di test utente interni ed esterni per testare i criteri prima di applicarli.

Vedere l'articolo tre, Creare un piano di sicurezza per l'accesso esterno alle risorse

Criteri di accesso condizionale per l'accesso esterno

Le sezioni seguenti sono procedure consigliate per gestire l'accesso esterno con i criteri di accesso condizionale.

Gestione entitlement o gruppi

Se non è possibile usare le organizzazioni connesse nella gestione entitlement, creare un gruppo di sicurezza Di Microsoft Entra o un gruppo di Microsoft 365 per le organizzazioni partner. Assegnare utenti da tale partner al gruppo. È possibile usare i gruppi nei criteri di accesso condizionale.

Altre informazioni:

Creazione di criteri di accesso condizionale

Creare il minor numero possibile di criteri di accesso condizionale. Per le applicazioni con gli stessi requisiti di accesso, aggiungerle allo stesso criterio.

I criteri di accesso condizionale si applicano a un massimo di 250 applicazioni. Se più di 250 applicazioni hanno lo stesso requisito di accesso, creare criteri duplicati. Ad esempio, il criterio A si applica alle app 1-250, il criterio B si applica alle app 251-500 e così via.

Convenzione di denominazione

Usare una convenzione di denominazione che chiarisca lo scopo dei criteri. Gli esempi di accesso esterno sono:

  • ExternalAccess_actiontaken_AppGroup
  • ExternalAccess_Block_FinanceApps

Consentire l'accesso esterno a utenti esterni specifici

Esistono scenari in cui è necessario consentire l'accesso per un piccolo gruppo specifico.

Prima di iniziare, è consigliabile creare un gruppo di sicurezza che contiene utenti esterni che accedono alle risorse. Vedere Avvio rapido: Creare un gruppo con membri e visualizzare tutti i gruppi e i membri in Microsoft Entra ID.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti guest e gli utenti esterni.
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e il gruppo di sicurezza degli utenti esterni.
  6. In Risorse di destinazione>App cloud selezionare le opzioni seguenti:
    1. In Includi selezionare Tutte le app cloud
    2. In Escludi selezionare le applicazioni da escludere.
  7. In Controlli di accesso>Concedi selezionare Blocca accesso, quindi Seleziona.
  8. Selezionare Crea per creare e abilitare il criterio.

Nota

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Altre informazioni: Gestire gli account di accesso di emergenza in Microsoft Entra ID

Accesso al provider di servizi

I criteri di accesso condizionale per gli utenti esterni potrebbero interferire con l'accesso al provider di servizi, ad esempio privilegi granulari di amministrazione delegata.

Altre informazioni: Introduzione ai privilegi di amministratore delegati granulari (GDAP)

Modelli di accesso condizionale

I modelli di accesso condizionale sono un metodo pratico per distribuire nuovi criteri allineati alle raccomandazioni Microsoft. Questi modelli forniscono protezione allineata ai criteri di uso comune in diversi tipi di clienti e località.

Altre informazioni: Modelli di accesso condizionale (anteprima)

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

  1. Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID

  2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

  3. Creare un piano di sicurezza per l'accesso esterno alle risorse

  4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

  5. Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration

  6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

  7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale (qui)

  8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

  9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID

  10. Convertire gli account guest locali in account guest Microsoft Entra B2B