Creazione di criteri di accesso condizionale

Come illustrato nell'articolo Informazioni sull'accesso condizionale, un criterio di accesso condizionale è un'istruzione if-then di Assegnazioni e controlli di accesso. I criteri di accesso condizionale combinano i segnali per prendere decisioni e applicare i criteri dell'organizzazione.

In che modo un'organizzazione crea questi criteri? Cosa è necessario? Come vengono applicati?

Più criteri di accesso condizionale possono essere applicati a un singolo utente in qualsiasi momento. In questo caso, tutti i criteri applicabili devono essere soddisfatti. Ad esempio, se un criterio richiede l'autenticazione a più fattori e un altro richiede un dispositivo conforme, è necessario completare l'autenticazione a più fattori e usare un dispositivo conforme. Tutte le assegnazioni vengono combinate logicamente usando AND. Se sono configurate più assegnazioni, tutte le assegnazioni devono essere soddisfatte per attivare un criterio.

Se viene selezionato un criterio con "Richiedi uno dei controlli selezionati", le richieste vengono visualizzate nell'ordine definito. Dopo aver soddisfatto i requisiti dei criteri, viene concesso l'accesso.

Tutti i criteri vengono applicati in due fasi:

• fase 1: raccogliere i dettagli della sessione
  • Raccogliere i dettagli della sessione, ad esempio il percorso di rete e l'identità del dispositivo necessari per la valutazione dei criteri.
  • La fase 1 della valutazione dei criteri viene eseguita per i criteri e i criteri abilitati in modalità di solo report.
• fase 2: imposizione
  • Usare i dettagli della sessione raccolti nella fase 1 per identificare eventuali requisiti non soddisfatti.
  • Se sono presenti criteri configurati con il blocco e il controllo di concessione, l'applicazione si arresta qui e l'utente viene bloccato.
  • All'utente viene richiesto di completare più requisiti di controllo delle concessioni che non sono stati soddisfatti durante la fase 1 nell'ordine seguente, fino a quando i criteri non vengono soddisfatti:
    1. l'autenticazione a più fattori
    2. Dispositivo da contrassegnare come conforme
    3. dispositivo connesso ibrido di Microsoft Entra
    4. 'app client approvata
    5. criteri di protezione delle app
    6. modifica della password
    7. Condizioni per l'utilizzo
    8. controlli personalizzati
  • Una volta soddisfatti tutti i controlli di concessione, vengono applicati i controlli sessione (Applicazione app, Microsoft Defender per app cloud e durata dei token).
  • La fase 2 della valutazione dei criteri si verifica per tutti i criteri abilitati.

Assegnazioni

La sezione assegnazioni definisce chi, cosa e dove per i criteri di accesso condizionale.

Utenti e gruppi

Utenti e gruppi assegna chi includere o escludere quando la policy è applicata. Questa assegnazione può includere tutti gli utenti, gruppi specifici di utenti, ruoli della directory o utenti guest esterni. Anche le organizzazioni con licenze id carico di lavoro Microsoft Entra potrebbero essere destinate alle identità del carico di lavoro .

I criteri destinati a ruoli o gruppi vengono valutati solo quando viene rilasciato un token. Questo significa che:

• Gli utenti appena aggiunti a un ruolo o a un gruppo non sono soggetti ai criteri fino a quando non ottengono un nuovo token.
• Se un utente ha già un token valido prima di essere aggiunto al ruolo o al gruppo, i criteri non si applicano retroattivamente.

La procedura consigliata consiste nell'attivare la valutazione dell'accesso condizionale durante l'attivazione dei ruoli o l'attivazione dell'appartenenza a gruppi tramite Microsoft Entra Privileged Identity Management.

Risorse di destinazione

Le risorse di destinazione possono includere o escludere applicazioni cloud, azioni utente o contesti di autenticazione soggetti ai criteri.

Rete

Network contiene indirizzi IP, aree geografiche e la rete conforme di Global Secure Access alle decisioni di policy di accesso condizionale. Gli amministratori possono definire posizioni e contrassegnare alcuni come attendibili, ad esempio i percorsi di rete principali dell'organizzazione.

Condizioni

Un criterio può contenere più condizioni di .

Rischio di accesso

Per le organizzazioni con Microsoft Entra ID Protection, i rilevamenti dei rischi generati possono influenzare i criteri di accesso condizionale.

Piattaforme per dispositivi

Le organizzazioni con più piattaforme del sistema operativo del dispositivo potrebbero applicare criteri specifici su piattaforme diverse.

Le informazioni usate per determinare la piattaforma del dispositivo provengono da origini non verificate, ad esempio stringhe dell'agente utente che possono essere modificate.

App client

Il software che l'utente sta impiegando per accedere all'app cloud. Ad esempio, "Browser" e "App per dispositivi mobili e client desktop". Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati si applicano a tutti i tipi di app client anche se la condizione delle app client non è configurata.

Filtrare i dispositivi

Questo controllo consente la destinazione di dispositivi specifici in base ai relativi attributi in un criterio.

Controlli di accesso

La parte dei controlli di accesso dei criteri di accesso condizionale controlla la modalità di applicazione di un criterio.

Concedere

Grant fornisce agli amministratori un mezzo di imposizione dei criteri in cui possono bloccare o concedere l'accesso.

Bloccare l'accesso

Blocca l'accesso blocca l'accesso nelle assegnazioni specificate. Questo controllo è potente e richiede conoscenze appropriate per usarlo in modo efficace.

Concedere l'accesso

Il controllo grant attiva l'imposizione di uno o più controlli.

• Richiedere l'autenticazione a più fattori
• Richiedere la forza dell'autenticazione
• Richiedere che il dispositivo sia contrassegnato come conforme (Intune)
• Richiedi un dispositivo ibrido connesso a Microsoft Entra
• Richiedere l'app client approvata
• Richiedi criteri di protezione delle app
• Richiedere cambio della password
• Richiedi condizioni per l'utilizzo

Gli amministratori scelgono di richiedere uno dei controlli precedenti o tutti i controlli selezionati usando le opzioni seguenti. Per impostazione predefinita, più controlli richiedono tutti.

• Richiedi tutti i controlli selezionati (controllo e controllo)
• Richiedi uno dei controlli selezionati (controllo A o controllo B)

Sessione

i controlli sessione possono limitare l'esperienza degli utenti.

• Usare le restrizioni imposte dall'app
  • Funziona solo con Exchange Online e SharePoint Online.
  • Passa le informazioni sul dispositivo per controllare l'esperienza, concedendole l'accesso completo o limitato.
• Controllo di accesso condizionale alle app
  • Usa i segnali di Microsoft Defender for Cloud Apps per eseguire operazioni come:
    • Bloccare il download, tagliare, copiare e stampare documenti sensibili.
    • Monitorare il comportamento delle sessioni rischiose.
    • Richiedere l'etichettatura dei file sensibili.
• Frequenza di accesso:
  • Possibilità di modificare la frequenza di accesso predefinita per l'autenticazione moderna.
• Sessione del browser persistente:
  • Consente agli utenti di rimanere connessi dopo la chiusura e la riapertura della finestra del browser.
• Personalizzare la valutazione dell'accesso continuo.
• Disabilitare le impostazioni predefinite per la resilienza.

Criteri semplici

Per applicare un criterio di accesso condizionale, è necessario includere almeno quanto segue:

• Nome del criterio
• Assegnazioni
  • Utenti e/o gruppi a cui applicare i criteri
  • Risorse di destinazione a cui applicare i criteri
• controlli di accesso
  • Concedere o controlli blocca

L'articolo Criteri di accesso condizionale comuni include criteri che potrebbero essere utili per la maggior parte delle organizzazioni.

Contenuto correlato

• Criteri comuni di accesso condizionale

• Gestione della conformità dei dispositivi con Intune

• Microsoft Defender per le app cloud e l'accesso condizionale