Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Con Microsoft Entra ID Protection e l'accesso condizionale, è possibile:
- Richiedere la registrazione degli utenti per l'autenticazione a più fattori di Microsoft Entra.
- Automatizzare la correzione degli accessi a rischio e degli utenti compromessi
- Bloccare gli utenti in casi specifici.
I criteri di accesso condizionale che integrano il rischio di accesso e utente influiscono sull'esperienza di accesso per gli utenti. Consentire agli utenti di usare strumenti come l'autenticazione a più fattori Di Microsoft Entra e la reimpostazione della password self-service possono ridurre l'impatto. Questi strumenti, insieme alle scelte appropriate per i criteri, offrono agli utenti un'opzione di correzione automatica quando ne hanno bisogno, pur applicando controlli di sicurezza avanzati.
Registrazione per l'autenticazione a più fattori
Quando un amministratore abilita i criteri di protezione ID che richiedono la registrazione dell'autenticazione a più fattori di Microsoft Entra, gli utenti possono usare l'autenticazione a più fattori Di Microsoft Entra per correggere automaticamente. La configurazione di questo criterio offre agli utenti un periodo di 14 giorni per la registrazione, dopodiché sono costretti a registrarsi.
Interruzione della registrazione
All'accesso a qualsiasi applicazione integrata Microsoft Entra, l'utente riceve una notifica relativa alla necessità di configurare l'account per l'autenticazione a più fattori. Questo criterio viene attivato anche durante l'esperienza iniziale di Windows per i nuovi utenti con dispositivi nuovi.
Completare i passaggi guidati per eseguire la registrazione per l'autenticazione a più fattori di Microsoft Entra e accedere.
Correzione automatica dei rischi
Quando un amministratore configura i criteri di accesso condizionale basato sul rischio, gli utenti interessati vengono interrotti quando raggiungono il livello di rischio configurato. Se gli amministratori consentono la correzione automatica tramite l'autenticazione a più fattori, questo processo viene visualizzato come richiesta di autenticazione a più fattori normale.
Se l'utente completa l'autenticazione a più fattori, il rischio viene risolto e può eseguire l'accesso.
Se l'utente è a rischio, non solo l'accesso, gli amministratori possono configurare criteri di rischio utente nell'accesso condizionale per richiedere una modifica della password oltre all'autenticazione a più fattori. In tal caso, l'utente visualizza la schermata aggiuntiva seguente.
Correzione gestita da Microsoft
I criteri di correzione gestiti da Microsoft supportano tutti i metodi di autenticazione, inclusi quelli basati su password e senza password. I controlli di concessione per questa politica includono automaticamente Richiedi forza di autenticazione e Frequenza di accesso - ogni volta per garantire che agli utenti venga richiesto di riautenticarsi dopo che le loro sessioni sono state revocate. Per altre informazioni, vedere [concept-identity-protection-policies.md#require-risk-remediation-with-microsoft-managed-remediation-preview].
Quando un utente deve correggere il rischio con questo criterio attivato, gli utenti devono accedere immediatamente dopo la revoca delle sessioni. Se l'utente ha appena eseguito l'accesso, ma è a rischio, verrà richiesto di eseguire di nuovo l'accesso. Il rischio viene risolto dopo che l'utente ha eseguito l'accesso alla seconda volta.
Sblocco dell'accesso rischioso da parte dell'amministratore
Gli amministratori potrebbero bloccare gli utenti all'accesso a seconda del livello di rischio. Per ottenere lo sblocco, gli utenti devono contattare il personale IT o provare ad accedere da una posizione o un dispositivo familiare. La correzione automatica non è un'opzione in questo caso.
Il personale IT può seguire le istruzioni riportate in Sbloccare gli utenti per consentire agli utenti di accedere di nuovo.
Tecnico ad alto rischio
Se il tenant di origine non ha abilitato le politiche di auto-correzione, un amministratore del tenant di origine del tecnico deve correggere il rischio. Ad esempio:
- Un'organizzazione ha un provider di servizi gestiti (MSP) o un provider di soluzioni cloud (CSP) che si occupa della configurazione dell'ambiente cloud.
- Una delle credenziali dei tecnici MSP viene persa e attiva un rischio elevato. Il tecnico è bloccato dall'accesso ad altri tenant.
- Il tecnico può correggere automaticamente e accedere se il tenant principale ha abilitato i criteri appropriati che richiedono la modifica della password per gli utenti ad alto rischio o MFA per gli utenti a rischio.
- Se il tenant di origine non ha abilitato i criteri di correzione automatica, un amministratore nel tenant di origine del tecnico deve correggere il rischio.