Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un livello di autenticazione è un controllo di accesso condizionale di Microsoft Entra che specifica combinazioni di metodi di autenticazione per l'accesso a una risorsa. Gli amministratori possono creare fino a 15 punti di forza di autenticazione personalizzati in base alle esigenze specifiche.
Prerequisiti
- Per usare l'accesso condizionale, il tenant deve avere una licenza microsoft Entra ID P1. Se non si ha questa licenza, è possibile avviare una versione di valutazione gratuita.
Creare un livello di autenticazione personalizzato
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Passare a Entra ID>Metodi di autenticazione>Punti di forza dell'autenticazione.
Selezionare Nuovo livello di autenticazione.
In Nome specificare un nome descrittivo per il nuovo livello di autenticazione.
Per Descrizione è possibile specificare una descrizione facoltativa.
Selezionare i metodi disponibili che si desidera consentire, ad esempio quelli in MFA resistente al phishing, MFA senza password e pass di accesso temporaneo.
Selezionare Avanti ed esaminare la configurazione dei criteri.
Aggiornare ed eliminare i punti di forza di autenticazione personalizzati
È possibile modificare un livello di autenticazione personalizzato. Se un criterio di accesso condizionale fa riferimento a tale livello di attendibilità dell'autenticazione, non è possibile eliminarlo ed è necessario confermare qualsiasi modifica.
Per verificare se un criterio di accesso condizionale fa riferimento a un livello di attendibilità dell'autenticazione, passare alla colonna Criteri di accesso condizionale .
Configurare le opzioni avanzate per passkey (FIDO2)
È possibile limitare l'utilizzo di passkey (FIDO2) in base ai GUID di attestazione dell'autenticatore (AAGUIDs). È possibile usare questa funzionalità per richiedere una chiave di sicurezza FIDO2 da un produttore specifico per l'accesso a una risorsa:
Dopo aver creato un livello di autenticazione personalizzato, selezionare Passkeys (FIDO2)>Opzioni avanzate.
Accanto a Aggiungi AAGUID selezionare il segno più (+), copiare il valore AAGUID e quindi selezionare Salva.
Configurare le opzioni avanzate per l'autenticazione basata su certificati
Nei criteri di associazione di autenticazione è possibile configurare se i certificati sono associati nel sistema a livelli di protezione a fattore singolo o a più fattori, in base all'OID (Certificate Issuer o Policy Object Identifier). È anche possibile richiedere certificati di autenticazione a singolo fattore o a più fattori per risorse specifiche, in base a criteri di attendibilità dell'autenticazione dell'accesso condizionale.
Utilizzando opzioni avanzate per l'intensità dell'autenticazione, è possibile richiedere un'autorità di certificazione specifica o un OID dei criteri specifici per limitare ulteriormente gli accessi a un'applicazione.
Si supponga, ad esempio, che un'organizzazione denominata Contoso emette smart card ai dipendenti con tre diversi tipi di certificati a più fattori. Un certificato è per l'autorizzazione riservata, un altro è per l'autorizzazione segreta e un terzo è per l'autorizzazione top-secret. Ognuno di essi è distinto dalle proprietà del certificato, ad esempio OID autorità di certificazione o criteri. Contoso vuole assicurarsi che solo gli utenti che dispongono del certificato a più fattori appropriato possano accedere ai dati per ogni classificazione.
Le sezioni successive illustrano come configurare le opzioni avanzate per l'autenticazione basata su certificati usando l'interfaccia di amministrazione di Microsoft Entra e Microsoft Graph.
Interfaccia di amministrazione di Microsoft Entra
Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore.
Passare a Entra ID>Metodi di autenticazione>Punti di forza dell'autenticazione.
Selezionare Nuovo livello di autenticazione.
In Nome specificare un nome descrittivo per il nuovo livello di autenticazione.
Per Descrizione è possibile specificare una descrizione facoltativa.
Sotto l'opzione per l'autenticazione basata su certificati (a fattore singolo o a più fattori), selezionare Opzioni avanzate.
Selezionare o immettere le autorità di certificazione e immettere gli OID dei criteri consentiti.
È possibile configurare gli emittenti di certificati selezionandoli dall'elenco a discesa Emittenti di certificati dagli sfruttatori di certificati nel tenant. L'elenco a discesa mostra tutte le autorità di certificazione del tenant, indipendentemente dal fatto che siano a fattore singolo o a più fattori.
Per gli scenari in cui il certificato che si desidera utilizzare non è caricato nelle autorità di certificazione del tenant, è possibile inserire gli emittenti del certificato nella casella Other Certificate Issuers by SubjectkeyIdentifier. Uno di questi esempi è costituito da scenari utente esterni, in cui l'utente potrebbe eseguire l'autenticazione nel tenant principale e il livello di autenticazione viene applicato al tenant della risorsa.
Si applicano queste condizioni:
- Se si configurano entrambi gli attributi (autorità emittenti di certificati e OID dei criteri), l'utente deve usare un certificato con almeno uno degli emittenti e uno degli OID dei criteri dall'elenco per soddisfare il livello di attendibilità dell'autenticazione.
- Se si configura solo l'attributo autorità emittenti di certificati, l'utente deve usare un certificato con almeno uno degli emittenti per soddisfare il livello di autenticazione.
- Se si configura solo l'attributo OID dei criteri, l'utente deve usare un certificato con almeno uno degli ID dei criteri per soddisfare il livello di attendibilità dell'autenticazione.
Nota
È possibile configurare un massimo di cinque emittenti e cinque OID per un livello di attendibilità dell'autenticazione.
Selezionare Avanti per esaminare la configurazione e quindi selezionare Crea.
Microsoft Graph
Per creare un nuovo criterio di attendibilità dell'autenticazione dell'accesso condizionale usando combinationConfigurations per un certificato, usare questo codice:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Per aggiungere nuove combinationConfiguration informazioni a un criterio esistente, usare questo codice:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Comprendere le limitazioni
Opzioni avanzate per passkey (FIDO2)
Le opzioni avanzate per i passkey (FIDO2) non sono supportate per gli utenti esterni il cui tenant principale e tenant di risorse si trovano in diversi cloud Microsoft.
Opzioni avanzate per l'autenticazione basata su certificati
Un utente può usare un solo certificato in ogni sessione del browser. Dopo che l'utente ha eseguito l'accesso con un certificato, questo viene memorizzato nella cache del browser per la durata della sessione. All'utente non viene richiesto di scegliere un altro certificato se non soddisfa i requisiti di attendibilità dell'autenticazione. L'utente deve disconnettersi e accedere di nuovo per riavviare la sessione e quindi scegliere il certificato pertinente.
Le autorità di certificazione e i certificati utente devono essere conformi allo standard X.509 v3. In particolare, per applicare restrizioni CBA per gli identificatori di chiave dell'autorità di certificazione (SKU), i certificati necessitano di identificatori di chiave dell'autorità validi (AKI).
Nota
Se il certificato non è conforme, l'autenticazione utente potrebbe andare a buon fine ma non soddisfare le restrizioni dell'SKI dell'emittente del certificato per i criteri di attendibilità dell'autenticazione.
Durante l'accesso, Microsoft Entra ID considera i primi cinque OID dei criteri dal certificato utente e li confronta con gli OID dei criteri configurati nel criterio di forza dell'autenticazione. Se il certificato utente ha più di cinque OID dei criteri, Microsoft Entra ID tiene conto dei primi cinque OID dei criteri (in ordine lessicale) che corrispondono ai requisiti di forza dell'autenticazione.
Per gli utenti business-to-business, si prenda un esempio in cui Contoso invita gli utenti di un'altra organizzazione (Fabrikam) al tenant. In questo caso, Contoso è il tenant delle risorse e Fabrikam è il tenant principale. L'accesso dipende dall'impostazione di accesso tra tenant:
- Quando l'impostazione di accesso tra tenant è Disattivata, significa che Contoso non accetta l'autenticazione a più fattori eseguita dal tenant principale. L'autenticazione basata su certificati nel tenant delle risorse non è supportata.
- Quando l'impostazione di accesso tra tenant è Attivata, i tenant di Fabrikam e Contoso si trovano nello stesso cloud Microsoft (la piattaforma cloud commerciale di Azure o la piattaforma cloud di Azure per il governo degli Stati Uniti). Contoso considera inoltre attendibile l'MFA eseguita nel tenant originario. In questo caso:
- L'amministratore può limitare l'accesso a una risorsa specifica usando gli OID delle policy o l'impostazione Other Certificate Issuers by SubjectkeyIdentifier nella policy personalizzata di solidità dell'autenticazione.
- L'amministratore può limitare l'accesso a risorse specifiche usando l'impostazione Other Certificate Issuers by SubjectkeyIdentifier nei criteri di attendibilità dell'autenticazione personalizzati.
- Quando l'impostazione di accesso tra tenant è Attivata, Fabrikam e Contoso non si trova nello stesso cloud Microsoft. Ad esempio, il tenant di Fabrikam si trova nella piattaforma cloud commerciale di Azure e il tenant di Contoso si trova nella piattaforma cloud di Azure per il governo degli Stati Uniti. L'amministratore non può limitare l'accesso a risorse specifiche utilizzando l'ID emittente o gli OID dei criteri nella politica di forza dell'autenticazione personalizzata.
Risolvere i problemi relativi alle opzioni avanzate per i punti di forza dell'autenticazione
Gli utenti non possono usare la passkey (FIDO2) per accedere
Un amministratore dell'accesso condizionale può limitare l'accesso a chiavi di sicurezza specifiche. Quando un utente tenta di accedere con una chiave che non può usare, viene visualizzato un messaggio "Non è possibile accedervi da qui". L'utente deve riavviare la sessione e accedere con una passkey diversa (FIDO2).
È necessario controllare l'OID dell'autorità di certificazione o dei criteri
È possibile verificare che le proprietà del certificato personale corrispondano alla configurazione nelle opzioni avanzate per i punti di forza dell'autenticazione:
Nel dispositivo dell'utente accedere come amministratore.
Selezionare Esegui, digitare certmgr.msc e quindi premere INVIO .
Selezionare Certificati personali>, fare clic con il pulsante destro del mouse sul certificato e quindi passare alla scheda Dettagli.
