Condividi tramite

Applicare i criteri di accesso condizionale alle app di accesso privato

  • Articolo

L'applicazione dei criteri di accesso condizionale alle app Accesso privato Microsoft Entra è un modo efficace per applicare i criteri di sicurezza per le risorse interne e private. È possibile applicare criteri di accesso condizionale alle app Accesso rapido e Accesso privato da Accesso sicuro globale (anteprima).

Questo articolo descrive come applicare i criteri di accesso condizionale alle app accesso rapido e accesso privato.

Prerequisiti

  • Amministrazione istratori che interagiscono con Le funzionalità di anteprima di Accesso sicuro globale devono avere una o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite.
    • Ruolo del ruolo Accesso sicuro globale Amministrazione istrator per gestire le funzionalità di anteprima di Accesso sicuro globale.
    • L'accesso condizionale Amministrazione istrator per creare e interagire con i criteri di accesso condizionale.
  • È necessario aver configurato l'accesso rapido o l'accesso privato.
  • L'anteprima richiede una licenza microsoft Entra ID P1. Se necessario, è possibile acquistare licenze o ottenere licenze di valutazione.

Limitazioni note

  • Al momento, per acquisire il traffico di accesso privato è necessario connettersi tramite il client di accesso sicuro globale.

Accesso condizionale e accesso sicuro globale

È possibile creare criteri di accesso condizionale per le app accesso rapido o accesso privato da Accesso sicuro globale. L'avvio del processo da Accesso sicuro globale aggiunge automaticamente l'app selezionata come risorsa di destinazione per i criteri. È sufficiente configurare le impostazioni dei criteri.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Global Secure Access (anteprima)>Applicazioni>aziendali.

  3. Seleziona un'applicazione dall'elenco.

    Screenshot dei dettagli delle applicazioni aziendali.

  4. Selezionare Accesso condizionale dal menu laterale. Tutti i criteri di accesso condizionale esistenti vengono visualizzati in un elenco.

    Screenshot dell'opzione di menu Accesso condizionale.

  5. Selezionare Crea nuovo criterio. L'app selezionata viene visualizzata nei dettagli delle risorse di destinazione .

    Screenshot dei criteri di accesso condizionale con l'app Accesso rapido selezionata.

  6. Configurare le condizioni, i controlli di accesso e assegnare utenti e gruppi in base alle esigenze.

È anche possibile applicare criteri di accesso condizionale a un gruppo di applicazioni in base agli attributi personalizzati. Per altre informazioni, vedere Filtrare le applicazioni nei criteri di accesso condizionale (anteprima).

Esempio di assegnazioni e controlli di accesso

Modificare i dettagli dei criteri seguenti per creare criteri di accesso condizionale che richiedono l'autenticazione a più fattori, la conformità del dispositivo o un dispositivo aggiunto a Microsoft Entra ibrido per l'applicazione accesso rapido. Le assegnazioni degli utenti assicurano che l'accesso di emergenza o gli account break-glass dell'organizzazione vengano esclusi dai criteri.

  1. In Assegnazioni selezionare Utenti:
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
  2. In Controlli di>accesso Concedere:
    1. Selezionare Richiedi autenticazione a più fattori, Richiedi che il dispositivo sia contrassegnato come conforme e Richiedi dispositivo aggiunto ibrido a Microsoft Entra
  3. Confermare le impostazioni e impostare Attiva criterio su Solo report.

Dopo che gli amministratori confermano le impostazioni dei criteri usando la modalità solo report, un amministratore può spostare l'interruttore Abilita criterio da Solo report a .

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli account seguenti dai criteri:

  • Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano bloccati dal tenant, l'account amministrativo di accesso di emergenza può essere usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Passaggi successivi