Condividi tramite

Accesso condizionale: assegnazione di rete

Gli amministratori possono creare criteri destinati a specifiche posizioni di rete come segnale, insieme ad altre condizioni, nel loro processo decisionale. Possono includere o escludere questi percorsi di rete come parte della configurazione dei criteri. Questi luoghi di rete possono includere informazioni di rete IPv4 o IPv6 pubbliche, paesi/aree geografiche, aree sconosciute che non sono mappate in paesi/aree geografiche specifiche, o rete conforme alla Global Secure Access.

Diagramma che illustra il concetto di segnali di accesso condizionale e la decisione di applicare i criteri dell'organizzazione.

Nota

I criteri di accesso condizionale vengono applicati dopo il completamento dell'autenticazione a prima fattoria. L'accesso condizionale non è destinato a essere la prima linea di difesa di un'organizzazione per scenari come gli attacchi Denial of Service (DoS), ma può usare i segnali di questi eventi per determinare l'accesso.

Le organizzazioni possono utilizzare queste posizioni per attività comuni, ad esempio:

  • Richiesta dell'autenticazione a più fattori per gli utenti che accedono a un servizio quando non sono connessi alla rete aziendale.
  • Bloccare l'accesso da paesi specifici in cui l'organizzazione non opera mai.

La posizione di un utente viene trovata usando l'indirizzo IP pubblico o le coordinate GPS fornite dall'app Microsoft Authenticator. I criteri di accesso condizionale vengono applicati a tutte le posizioni per impostazione predefinita.

Suggerimento

La condizione Posizione è stata spostata ed è stata rinominata Rete. Inizialmente, questa condizione viene visualizzata sia a livello di assegnazione che in Condizioni.

Gli aggiornamenti o le modifiche vengono visualizzati in entrambe le posizioni. La funzionalità rimane invariata e i criteri esistenti che utilizzano la posizione continuano a funzionare senza modifiche.

Screenshot che mostra la condizione di assegnazione di rete in un criterio di accesso condizionale.

Quando configurata nella policy

Quando si configura la condizione per la posizione, è possibile distinguere tra:

  • Qualsiasi rete o percorso
  • Tutte le reti e le posizioni attendibili
  • Tutte le sedi di rete conformi
  • Reti e posizioni selezionate

Qualsiasi rete o percorso

Se si seleziona Qualsiasi posizione , viene applicato un criterio a tutti gli indirizzi IP, inclusi gli indirizzi Internet. Questa impostazione non è limitata agli indirizzi IP configurati come posizione specifica. Quando si seleziona Qualsiasi posizione, è possibile escludere posizioni specifiche da un criterio. Ad esempio, applicare un criterio a tutte le posizioni, ad eccezione delle posizioni attendibili, per impostare l'ambito su tutte le posizioni, ad eccezione della rete aziendale.

Tutte le reti e le posizioni attendibili

Questa opzione si applica a:

  • Tutte le posizioni contrassegnate come attendibili.
  • Indirizzi IP attendibili per l'autenticazione a più fattori, se configurati.

Indirizzi IP attendibili per l'autenticazione a più fattori

L'uso della sezione IP attendibili delle impostazioni del servizio di autenticazione a più fattori non è consigliato. Questo controllo accetta solo indirizzi IPv4 ed è destinato a scenari specifici descritti nell'articolo Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra.

Se questi indirizzi IP attendibili sono configurati, vengono visualizzati come INDIRIZZI IP attendibili MFA nell'elenco di posizioni per la condizione di posizione.

Tutte le sedi di rete conformi

Le organizzazioni che hanno accesso alle funzionalità di Accesso sicuro globale visualizzano un'altra posizione elencata, costituita da utenti e dispositivi conformi ai criteri di sicurezza dell'organizzazione. Per altre informazioni, vedere Abilitare la segnalazione di accesso sicuro globale per l'accesso condizionale. Può essere usato con i criteri di accesso condizionale per eseguire un controllo di rete conforme per l'accesso alle risorse.

Reti e posizioni selezionate

Con questa opzione, selezionare una o più posizioni denominate. Per applicare un criterio con questa impostazione, un utente deve connettersi da una delle posizioni selezionate. Quando si sceglie Seleziona, viene visualizzato un elenco di posizioni definite. Questo elenco mostra il nome, il tipo e se il percorso di rete è contrassegnato come attendibile.

Come vengono definite queste posizioni?

Le posizioni sono presenti nell'interfaccia di amministrazione di Microsoft Entra in Entra ID>Accesso> condizionalePosizioni denominate. Gli amministratori con almeno il ruolo di amministratore dell'accesso condizionale possono creare e aggiornare le posizioni denominate.

Screenshot delle posizioni denominate nell'interfaccia di amministrazione di Microsoft Entra.

Le posizioni denominate possono includere gli intervalli di rete della sede centrale di un'organizzazione, gli intervalli di rete VPN o gli intervalli che si desidera bloccare. Le località denominate contengono intervalli di indirizzi IPv4, intervalli di indirizzi IPv6 o paesi.

Intervalli di indirizzi IPv4 e IPv6

Per definire una posizione denominata in base agli intervalli di indirizzi IPv4 o IPv6 pubblici, fornire:

  • Nome per la posizione.
  • Uno o più intervalli IP pubblici.
  • Opzionalmente, contrassegna come percorso attendibile.

Le posizioni denominate definite dagli intervalli di indirizzi IPv4 o IPv6 presentano le seguenti limitazioni:

  • Non più di 195 località denominate.
  • Non più di 2000 intervalli IP per ogni località denominata.
  • Solo le maschere CIDR maggiori di /8 sono consentite quando si definisce un intervallo IP.

Per i dispositivi in una rete privata, l'indirizzo IP non è l'indirizzo client del dispositivo dell'utente nell'intranet (ad esempio 10.55.99.3), bensì l'indirizzo usato dalla rete per connettersi a Internet pubblico (ad esempio 198.51.100.3).

Luoghi attendibili

Gli amministratori possono facoltativamente contrassegnare come attendibili le posizioni basate su IP, ad esempio gli intervalli di rete pubblica dell'organizzazione. Questo contrassegno viene usato dalle funzionalità in diversi modi.

  • I criteri di accesso condizionale possono includere o escludere queste posizioni.
  • Gli accessi da località denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection.

I percorsi contrassegnati come attendibili non possono essere eliminati senza prima rimuovere la designazione attendibile.

Paesi/aree geografiche

Le organizzazioni possono determinare un paese geografico o una località geografica in base all'indirizzo IP o alle coordinate GPS.

Per definire una posizione denominata in base al paese o all'area geografica, effettuare le seguenti operazioni:

  • Fornire un nome per la posizione.
  • Scegliere di determinare la posizione in base all'indirizzo IP o alle coordinate GPS.
  • Aggiungere uno o più paesi/aree geografiche.
  • Facoltativamente, scegliere Includi paesi/aree geografiche sconosciute.

Screenshot della creazione di una nuova località usando i paesi.

Quando si seleziona Determina posizione in base all'indirizzo IP, Microsoft Entra ID risolve l'indirizzo IPv4 o IPv6 dell'utente in un paese o un'area geografica, in base a una tabella di mapping aggiornata periodicamente.

Quando si seleziona Determina la posizione in base alle coordinate GPS, gli utenti devono avere installato l'app Microsoft Authenticator nel dispositivo mobile. Ogni ora il sistema contatta l'app Microsoft Authenticator dell'utente per raccogliere la posizione GPS del dispositivo mobile.

  • La prima volta che l'utente deve condividere la propria posizione dall'app Microsoft Authenticator, riceve una notifica nell'app. L'utente deve aprire l’app e concedere le autorizzazioni per la posizione. Per le 24 ore successive, se l'utente accede ancora alla risorsa e concede all'app l'autorizzazione per l'esecuzione in background, la posizione del dispositivo viene condivisa automaticamente una volta all'ora.
  • Dopo 24 ore, l'utente deve aprire l'app e approvare la notifica.
  • Ogni volta che l'utente condivide la posizione GPS, l'app esegue il rilevamento di jailbreak usando la stessa logica di Microsoft Intune MAM SDK. Se il dispositivo è stato sottoposto a jailbreak, la posizione non è considerata valida e all'utente non viene concesso l'accesso.
    • L'app Microsoft Authenticator in Android usa l'API di integrità di Google Play per facilitare il rilevamento di jailbreak. Se l'API di integrità di Google Play non è disponibile, la richiesta viene negata e l'utente non è in grado di accedere alla risorsa richiesta, a meno che i criteri di accesso condizionale non siano disattivati. Per altre informazioni sull'app Microsoft Authenticator, vedere l'articolo Domande comuni sull'app Microsoft Authenticator.
  • Gli utenti possono modificare la posizione GPS come riportato dai dispositivi iOS e Android. Di conseguenza, l'app Microsoft Authenticator nega le autenticazioni tramite cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installata l'app. Gli utenti che modificano la posizione del dispositivo ricevono un messaggio di negazione per i criteri basati sulla posizione GPS.
  • Il codice paese restituito dipende dall'API della piattaforma del dispositivo: ad esempio, una piattaforma potrebbe riportare US per Porto Rico, mentre un'altra riporta PR.

Nota

Una politica di accesso condizionale con località denominate basate su GPS in modalità solo report richiede agli utenti di condividere la loro posizione GPS, anche se non viene bloccato l'accesso.

La posizione GPS può essere usata con l'accesso tramite telefono senza password solo se sono abilitate anche le notifiche push MFA. Gli utenti possono usare Microsoft Authenticator per accedere, ma devono anche approvare le notifiche push MFA successive per condividere la posizione GPS.

La posizione GPS non funziona quando vengono impostati solo i metodi di autenticazione senza password .

Più criteri di accesso condizionale potrebbero richiedere agli utenti la propria posizione GPS prima che vengano applicati tutti. A causa del modo in cui vengono applicati i criteri di accesso condizionale, a un utente potrebbe essere negato l'accesso se supera il controllo della posizione ma non supera un altro criterio. Per altre informazioni sull'applicazione dei criteri, vedere l'articolo Creazione di criteri di accesso condizionale.

Importante

Gli utenti potrebbero ricevere messaggi ogni ora che li informano che l'ID Microsoft Entra sta controllando la loro posizione nell'app Authenticator. Questa funzionalità deve essere usata solo per proteggere le app molto sensibili in cui questo comportamento è accettabile o in cui l'accesso deve essere limitato per un paese o un'area geografica specifica.

Includi paesi/aree geografiche sconosciute

Alcuni indirizzi IP non possono essere mappati a un paese o a un'area geografica specifica. Per acquisire queste posizioni IP, selezionare la casella Includi paesi/aree geografiche sconosciute durante la definizione di una posizione geografica. Questa opzione consente di scegliere se questi indirizzi IP devono essere inclusi nella posizione specifica. Usare questa impostazione quando i criteri che usano la posizione specifica devono essere applicati a posizioni sconosciute.

Domande frequenti

È disponibile il supporto dell'API Graph?

È disponibile il supporto dell'API Graph per le posizioni denominate. Per altre informazioni, vedere l'API namedLocation.

Cosa accade se si usa un proxy cloud o una VPN?

Quando si usa un proxy ospitato nel cloud o una soluzione VPN, l'indirizzo IP usato da Microsoft Entra ID durante la valutazione dei criteri è l'indirizzo IP del proxy. L'intestazione X-Forwarded-For (XFF) che contiene l'indirizzo IP pubblico dell'utente non viene usata perché non esiste alcuna convalida che provenga da un'origine attendibile. Questa mancanza di convalida potrebbe consentire di falsificare un indirizzo IP.

Quando è presente un proxy cloud, una politica che richiede un dispositivo Microsoft Entra unito ibrido o conforme può essere più semplice da gestire. Mantenere un elenco di up-todi indirizzi IP utilizzati dalla tua soluzione proxy o VPN ospitata nel cloud è quasi impossibile.

È consigliabile che le organizzazioni usino l'accesso sicuro globale per consentire il ripristino ip di origine per evitare questa modifica nell'indirizzo e semplificare la gestione.

Quando viene valutata una posizione?

I criteri di accesso condizionale valutano quando:

  • Un utente accede inizialmente a un'app Web, un'applicazione per dispositivi mobili o un'applicazione desktop.
  • Un'applicazione desktop o per dispositivo mobili che usa l'autenticazione moderna usa un token di aggiornamento per acquisire un nuovo token di accesso. Per impostazione predefinita, questo controllo viene eseguito una volta all'ora.

Per le applicazioni per dispositivi mobili e le applicazioni desktop che usano l'autenticazione moderna, questo controllo significa che una modifica del percorso viene rilevata entro un'ora dalla modifica del percorso di rete. Per le applicazioni desktop e per dispositivi mobili che non usano l'autenticazione moderna, questo criterio viene applicato a ogni richiesta di token. La frequenza della richiesta può variare in base all'applicazione. Analogamente, per le applicazioni Web i criteri vengono applicati all'accesso iniziale e rimangono validi per l'intera durata della sessione dell'applicazione Web interessata. A causa delle differenze a livello di durata delle sessioni delle applicazioni, il tempo tra le valutazioni dei criteri può variare. Il criterio viene applicato ogni volta che l'applicazione richiede un nuovo token di accesso.

Per impostazione predefinita, Microsoft Entra ID rilascia un token su base oraria. Se gli utenti escono dalla rete aziendale, entro un'ora i criteri vengono applicati per le applicazioni che usano l'autenticazione moderna.

Quando è possibile bloccare le posizioni?

I criteri che usano la condizione di posizione per bloccare l'accesso vengono considerati restrittivi e devono essere eseguiti con attenzione dopo un test approfondito. Alcune istanze dell'uso della condizione di posizione per bloccare l'autenticazione possono includere:

  • Blocco di paesi/aree geografiche in cui l'organizzazione non opera mai.
  • Blocco di intervalli IP specifici, ad esempio:
    • Indirizzi IP dannosi noti prima che un criterio firewall possa essere modificato.
    • Azioni altamente sensibili o privilegiate e applicazioni cloud.
    • In base a uno specifico intervallo IP dell'utente, come l'accesso ad applicazioni di contabilità o gestione stipendi.

Contenuto correlato