Condividi tramite

Abilitare il controllo della rete conforme con l'accesso condizionale

  • Articolo

Le organizzazioni che usano l'accesso condizionale insieme all'anteprima di Accesso sicuro globale possono impedire l'accesso dannoso alle app Microsoft, alle app SaaS di terze parti e alle app line-of-business private che usano più condizioni per garantire una difesa approfondita. Queste condizioni possono includere conformità, posizione e altro ancora per garantire la protezione contro il furto di identità utente o token. L'accesso globale sicuro introduce il concetto di rete conforme all'interno dell'accesso condizionale e della valutazione continua dell'accesso. Questo controllo di rete conforme garantisce che gli utenti si connettano da un modello di connettività di rete verificato per il tenant specifico e siano conformi ai criteri di sicurezza applicati dagli amministratori.

Il client di accesso sicuro globale installato nei dispositivi o negli utenti dietro reti remote configurate consente agli amministratori di proteggere le risorse dietro una rete conforme con controlli avanzati di accesso condizionale. Questa funzionalità di rete conforme rende più semplice per gli amministratori gestire e gestire, senza dover mantenere un elenco di tutti gli indirizzi IP delle posizioni di un'organizzazione. Gli amministratori non devono rimuovere il traffico attraverso i punti di uscita VPN dell'organizzazione per garantire la sicurezza.

La valutazione dell'accesso continuo (CAE) con la funzionalità di rete conforme è attualmente supportata per SharePoint Online. Con CAE è possibile applicare la difesa avanzata con la protezione del furto di token.

Questo controllo di rete conforme è specifico per ogni tenant.

  • Usando questo controllo è possibile assicurarsi che altre organizzazioni che usano i servizi di accesso sicuro globale di Microsoft non possano accedere alle risorse.
    • Ad esempio: Contoso può proteggere i servizi come Exchange Online e SharePoint Online dietro il controllo di rete conforme per garantire che solo gli utenti contoso possano accedere a queste risorse.
    • Se un'altra organizzazione come Fabrikam usava un controllo di rete conforme, non passerebbe il controllo di rete conforme a Contoso.

La rete conforme è diversa da IPv4, IPv6 o posizioni geografiche che è possibile configurare in Microsoft Entra. Non è necessario eseguire il backup dell'amministratore.

Prerequisiti

  • Gli amministratori che interagiscono con le funzionalità di anteprima di Accesso sicuro globale devono avere una o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite.
    • Ruolo Amministratore accesso sicuro globale per gestire le funzionalità di anteprima di Accesso sicuro globale.
    • Amministratore dell'accesso condizionale per creare e interagire con i criteri di accesso condizionale e le posizioni denominate.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.
  • Per usare il profilo di inoltro del traffico Microsoft, è consigliata una licenza di Microsoft 365 E3.

Limitazioni note

  • Il controllo di rete conforme alla valutazione dell'accesso continuo è ora supportato per SharePoint Online.
  • Il controllo di rete conforme non è attualmente supportato per le app di accesso privato.
  • La condizione del percorso di rete conforme non è supportata per i dispositivi non registrati nella gestione dei dispositivi mobili (MDM). Se si configura un criterio di accesso condizionale usando la condizione del percorso di rete conforme, gli utenti con dispositivi non ancora registrati in MDM potrebbero essere interessati. Gli utenti di questi dispositivi potrebbero non riuscire a controllare i criteri di accesso condizionale e bloccarli.
    • Assicurarsi di escludere gli utenti o i dispositivi interessati quando si usa la condizione del percorso di rete conforme.

Abilitare la segnalazione dell'accesso sicuro globale per l'accesso condizionale

Per abilitare l'impostazione richiesta per consentire il controllo di reti conformi, un amministratore deve effettuare i passaggi seguenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale dell'accesso sicuro.
  2. Passare a Accesso sicuro globale (anteprima)> Impostazioni globali>Gestionesessione Accesso adattivo.
  3. Selezionare l'interruttore per abilitare la segnalazione di Accesso globale sicuro nell'Accesso condizionale.
  4. Passare a Protezione>dei percorsi denominati per l'accesso>condizionale.
    1. Verificare che sia presente una località denominata Tutte le posizioni di rete conformi con il tipo di posizione Accesso di rete. Le organizzazioni possono contrassegnare facoltativamente questa località come attendibile.

Screenshot che mostra l'interruttore per abilitare la segnalazione nell'accesso condizionale.

Attenzione

Se l'organizzazione dispone di criteri di accesso condizionale attivi in base al controllo di rete conforme e si disabilita la segnalazione dell'accesso sicuro globale nell'accesso condizionale, è possibile impedire involontariamente agli utenti finali di accedere alle risorse. Se è necessario disabilitare questa funzionalità, eliminare prima i criteri di accesso condizionale corrispondenti.

Proteggere le risorse dietro la rete conforme

I criteri di accesso condizionale di rete conformi possono essere usati per proteggere le risorse Microsoft e di terze parti.

Nell'esempio seguente viene illustrato questo tipo di criteri. Inoltre, la protezione del furto di token tramite CAE per SharePoint Online è ora supportata.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passa a Protezione>Accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
  6. In Risorse di destinazione>Includi e selezionare Seleziona app.
    1. Scegliere Office 365 Exchange Online e/o Office 365 SharePoint Online e/o una delle app SaaS di terze parti.
    2. L'app cloud specifica di Office 365 nella selezione app non è attualmente supportata, quindi non selezionare questa app cloud.
  7. In Condizioni>Posizione
    1. Impostare Configura su .
    2. In Includi selezionare Tutte le località.
    3. In Escludi selezionare Località selezionate.
      1. Selezionare il percorso Tutti i percorsi di rete conformi.
    4. Seleziona Seleziona.
  8. In Controlli di accesso:
    1. Concedi, seleziona Blocca accesso e seleziona Seleziona.
  9. Confermare le impostazioni e impostare Abilita criterio su Attivato.
  10. Selezionare il pulsante Crea per creare per abilitare i criteri.

Nota

È possibile usare profili di traffico di accesso sicuro globale insieme a criteri di accesso condizionale che richiedono una rete conforme per Tutte le app cloud. Non è necessaria alcuna esclusione quando si configura un criterio usando il percorso Tutti i percorsi di rete conformi e Tutte le app cloud.

I profili di traffico vengono esclusi internamente dall'applicazione dell'accesso condizionale quando è necessaria una rete conforme. Questa esclusione consente al client Di accesso sicuro globale di accedere alle risorse necessarie.

Il profilo di traffico escluso viene visualizzato nei log di accesso come l'applicazione ZTNA Network Access Traffic Profile seguente.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nell'improbabile scenario in cui tutti gli amministratori siano bloccati dal tenant, l'account di amministrazione con accesso di emergenza può essere utilizzato per accedere al tenant e ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Provare i criteri di rete conformi

  1. In un dispositivo dell'utente finale con il client Accesso sicuro globale installato ed eseguito, passare a https://outlook.office.com/mail/ o https://yourcompanyname.sharepoint.com/, si ha accesso alle risorse.
  2. Sospendere il client Accesso sicuro globale facendo clic con il pulsante destro del mouse sull'applicazione nella barra di Windows e scegliendo Sospendi.
  3. Passare a https://outlook.office.com/mail/ o https://yourcompanyname.sharepoint.com/, non è possibile accedere alle risorse con un messaggio di errore che indica che non è possibile accedervi al momento.

Screenshot che mostra il messaggio di errore nella finestra del browser Non è possibile accedervi al momento.

Risoluzione dei problemi

Verificare che la nuova posizione denominata sia stata creata automaticamente usando Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Screenshot che mostra i risultati di Graph Explorer della query

Condizioni per l’Utilizzo

L'uso delle Accesso privato Microsoft Entra e delle Accesso a Internet Microsoft Entra esperienze e funzionalità di anteprima è disciplinato dai termini e dalle condizioni del servizio online di anteprima dei contratti in base ai quali sono stati ottenuti i servizi. Le anteprime possono essere soggette a impegni di sicurezza, conformità e privacy ridotti o diversi, come illustrato in dettaglio nelle Condizioni di licenza universali per i servizi online e nel componente aggiuntivo per la protezione dei dati dei prodotti e servizi Microsoft ("DPA") e qualsiasi altro avviso fornito con l'anteprima.

Passaggi successivi

Client di accesso sicuro globale per Windows (anteprima)