Condividi tramite

Configurare e abilitare i criteri di rischio

  • Articolo

Esistono due tipi di criteri di rischio per l'accesso condizionale di Microsoft Entra che è possibile configurare. È possibile usare questi criteri per automatizzare la risposta ai rischi che consentono agli utenti di rimediare autonomamente quando viene rilevato il rischio:

Screenshot dei criteri di accesso condizionale che mostrano il rischio come condizioni.

Scelta di livelli di rischio accettabili

Le organizzazioni devono decidere il livello di rischio che ritengono necessario al controllo di accesso per il bilanciamento di esperienza utente e postura di sicurezza.

La scelta di applicare il controllo di accesso a un livello di rischio Alto riduce il numero di volte in cui viene attivato un criterio e riduce al minimo l'attrito per gli utenti. Tuttavia, esclude dai criteri i rischi di entità bassa o media, che potrebbe non bloccare un utente malintenzionato di sfruttare un'identità compromessa. La selezione di un livello di rischio Basso per richiedere il controllo di accesso introduce più interruzioni utente.

I percorsi di rete configurati come attendibili vengono usati da Microsoft Entra ID Protection, per alcuni rilevamenti dei rischi, per ridurre i falsi positivi.

Le configurazioni criterio seguenti includono il controllo della sessione frequenza di informazioni di accesso che richiede una nuova autenticazione per gli utenti a rischio e gli accessi.

Articolo consigliato di Microsoft

Microsoft consiglia le configurazioni criterio di rischio seguenti per proteggere l'organizzazione:

  • Criteri di rischio utente
    • Richiedere una modifica della password sicura quando il livello di rischio utente è Alto. L'autenticazione a più fattori Di Microsoft Entra è necessaria prima che l'utente possa creare una nuova password con writeback delle password per rimediare il rischio.
  • Criteri di rischio di accesso
    • Richiedere l'autenticazione a più fattori di Microsoft Entra quando il livello di rischio di accesso è Medio o Alto, consentendo agli utenti di dimostrare che sono loro ad accedere usando uno dei metodi di autenticazione registrati, rimediando in questo modo il rischio di accesso.

La richiesta del controllo di accesso quando il livello di rischio è basso introduce un aumento di attrito e di interrupt dell'utente rispetto a quelli medi o alti. La scelta di bloccare l'accesso anziché consentire opzioni di rimedio autonomo, ad esempio la modifica sicura delle password e l'autenticazione a più fattori, influisce ulteriormente sugli utenti e gli amministratori. Valutare queste scelte durante la configurazione dei criteri.

Rimedio del rischio

Le organizzazioni possono scegliere di bloccare l'accesso quando viene rilevato il rischio. Il blocco a volte impedisce agli utenti legittimi di eseguire le operazioni necessarie. Una soluzione migliore consiste nel configurare i criteri di accesso condizionale basati sul rischio di utente e di informazioni di accesso che consentono agli utenti di rimediare in modo autonomo.

Avviso

Gli utenti devono registrarsi per l'autenticazione a più fattori di Microsoft Entra prima di affrontare una situazione che richiede un rimedio. Per gli utenti ibridi sincronizzati dall'ambiente locale, è necessario abilitare il writeback delle password. Gli utenti non registrati vengono bloccati e richiedono l'intervento dell'amministratore.

La modifica della password (conosco la password e voglio modificarla con una nuova) al di fuori del flusso di rimedio dei criteri dell’utente a rischio non soddisfa i requisiti per la modifica sicura della password.

Abilitare i criteri

Le organizzazioni possono scegliere di implementare criteri basati sul rischio nell'accesso condizionale usando i passaggi seguenti o i modelli di accesso condizionale.

Prima che le organizzazioni abilitino questi criteri, devono intervenire per eseguire indagini e rimediare gli eventuali rischi attivi.

Esclusioni di criteri

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Criteri di rischio utente nell’accesso condizionale

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passa a Protezione>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio utente impostare Configurare su .
    1. In Configurare i livelli di rischio utente necessari per l'applicazione dei criteri selezionare Alto. Questo materiale sussidiario si basa sui consigli Microsoft e potrebbe essere diverso per ogni organizzazione
    2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Selezionare Richiedi modifica password.
    3. Seleziona Seleziona.
  9. In Sessione.
    1. Selezionare Frequenza di accesso.
    2. Assicurarsi che sia selezionato Ogni volta.
    3. Selezionare Seleziona.
  10. Confermare le impostazioni e impostare Abilitare criterio su Solo report.
  11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Scenari senza password

Per le organizzazioni che adottano metodi di autenticazione senza password apportano le modifiche seguenti:

Aggiornare i criteri di rischio utente senza password

  1. In Utenti:
    1. Includere, selezionare Utenti e gruppi e specificare come destinazione gli utenti senza password.
  2. In Controlli>di accesso Blocca l'accesso per gli utenti senza password.

Suggerimento

Potrebbe essere necessario disporre di due criteri per un periodo di tempo durante la distribuzione di metodi senza password.

  • Uno che consente la correzione automatica per coloro che non usano metodi senza password.
  • Un altro che blocca gli utenti senza password ad alto rischio.

Correggere e sbloccare il rischio utente senza password

  1. Richiedere indagini e correzioni da parte dell'amministratore di qualsiasi rischio.
  2. Sbloccare l'utente.

Criteri di rischio di accesso per l’accesso condizionale

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passa a Protezione>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio di accesso impostare Configurare su .
    1. In Selezionare il livello di rischio di accesso a cui verranno applicati questi criteri selezionare Alto e Medio. Questo materiale sussidiario si basa sui consigli Microsoft e potrebbe essere diverso per ogni organizzazione
    2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Seleziona Seleziona.
  9. In Sessione.
    1. Selezionare Frequenza di accesso.
    2. Assicurarsi che sia selezionato Ogni volta.
    3. Selezionare Seleziona.
  10. Confermare le impostazioni e impostare Abilitare criterio su Solo report.
  11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Scenari senza password

Per le organizzazioni che adottano metodi di autenticazione senza password apportano le modifiche seguenti:

Aggiornare i criteri di rischio di accesso senza password

  1. In Utenti:
    1. Includere, selezionare Utenti e gruppi e specificare come destinazione gli utenti senza password.
  2. In Selezionare il livello di rischio di accesso a cui verrà applicato questo criterio selezionare Alto.
  3. In Controlli>di accesso Blocca l'accesso per gli utenti senza password.

Suggerimento

Potrebbe essere necessario disporre di due criteri per un periodo di tempo durante la distribuzione di metodi senza password.

  • Uno che consente la correzione automatica per coloro che non usano metodi senza password.
  • Un altro che blocca gli utenti senza password ad alto rischio.

Correggere e sbloccare il rischio di accesso senza password

  1. Richiedere indagini e correzioni da parte dell'amministratore di qualsiasi rischio.
  2. Sbloccare l'utente.

Eseguire la migrazione dei criteri di rischio per l'accesso condizionale

Se sono abilitati criteri di rischio legacy in Microsoft Entra ID Protection, è consigliabile organizzare la migrazione all'accesso condizionale:

Avviso

I criteri di rischio legacy configurati in Microsoft Entra ID Protection verranno ritirati il 1° ottobre 2026.

Eseguire la migrazione all'accesso condizionale

  1. Creare criteri equivalenti basati sul rischio utente e basati sul rischio di accesso nell’accesso condizionale in modalità solo report. È possibile creare un criterio con i passaggi precedenti o usare i Modelli di accesso condizionale in base ai consigli di Microsoft e ai requisiti dell'organizzazione.
    1. Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.
  2. Disabilitare i criteri di rischio precedenti in Protezione ID.
    1. Passare a Protezione>Identità Protezione> Selezionare i criteri Rischio utente o Rischio di accesso.
    2. Impostare Applica criteri su Disabilitato.
  3. Creare altri criteri di rischio, se sono necessari nell'accesso condizionale.

Contenuto correlato