Modelli di criteri di accesso condizionale

I modelli di accesso condizionale forniscono un metodo pratico per distribuire nuovi criteri allineati alle raccomandazioni Microsoft. Questi modelli sono progettati per fornire la protezione massima allineata ai criteri comunemente usati in vari tipi e posizioni dei clienti.

Categorie di modelli

I modelli di criteri di accesso condizionale sono organizzati nelle categorie seguenti:

Base sicura

Microsoft consiglia questi criteri come base per tutte le organizzazioni. È consigliabile distribuire questi criteri come gruppo.

• Richiedere l'autenticazione a più fattori per gli amministratori
• Protezione della registrazione delle informazioni di sicurezza
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Richiedere l'autenticazione a più fattori per la gestione di Azure
• Richiedere un dispositivo conforme, un dispositivo ibrido aggiunto a Microsoft Entra o MFA per tutti gli utenti
• Richiedere un dispositivo conforme

Zero Trust

Questi criteri come gruppo contribuiscono al supporto di un'architettura Zero Trust.

• Richiedere l'autenticazione a più fattori per gli amministratori
• Protezione della registrazione delle informazioni di sicurezza
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Richiedere l'autenticazione a più fattori per l'accesso guest
• Richiedere l'autenticazione a più fattori per la gestione di Azure
• Richiedere l'autenticazione a più fattori per l'accesso a rischioRichiede Microsoft Entra ID P2
• Richiedere la modifica della password per gli utenti ad alto rischioRichiede Microsoft Entra ID P2
• Bloccare l'accesso alla piattaforma del dispositivo sconosciuta o non supportata
• Nessuna sessione del browser persistente
• Richiedere app client approvate o criteri di protezione delle app
• Richiedere un dispositivo conforme, un dispositivo ibrido aggiunto a Microsoft Entra o MFA per tutti gli utenti
• Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
• Bloccare l'accesso per gli utenti con rischio insiderRichiede Microsoft Purview

Lavoro remoto

Questi criteri consentono di proteggere le organizzazioni con i lavoratori remoti.

• Protezione della registrazione delle informazioni di sicurezza
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per tutti gli utenti
• Richiedere l'autenticazione a più fattori per l'accesso guest
• Richiedere l'autenticazione a più fattori per l'accesso a rischioRichiede Microsoft Entra ID P2
• Richiedere la modifica della password per gli utenti ad alto rischioRichiede Microsoft Entra ID P2
• Richiedere un dispositivo conforme o ibrido aggiunto a Microsoft Entra per gli amministratori
• Bloccare l'accesso alla piattaforma del dispositivo sconosciuta o non supportata
• Nessuna sessione del browser persistente
• Richiedere un dispositivo conforme
• Richiedere app client approvate o criteri di protezione delle app
• Usa le restrizioni imposte dall'applicazione per i dispositivi non gestiti

Proteggere l'amministratore

Questi criteri sono indirizzati agli amministratori con privilegi elevati nell'ambiente in cui la compromissione potrebbe causare il maggior danno.

• Richiedere l'autenticazione a più fattori per gli amministratori
• Bloccare l'autenticazione legacy
• Richiedere l'autenticazione a più fattori per la gestione di Azure
• Richiedere un dispositivo conforme o ibrido aggiunto a Microsoft Entra per gli amministratori
• Richiedere un dispositivo conforme
• Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori

Minacce emergenti

I criteri di questa categoria offrono nuovi modi per proteggersi dalla compromissione.

• Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori

Trovare questi modelli nell'interfaccia di amministrazione di Microsoft Entra>Protezione>accesso condizionale>Creare nuovi criteri dai modelli. Selezionare Mostra altro per visualizzare tutti i modelli di criteri in ogni categoria.

Importante

I criteri dei modelli di accesso condizionale escludono solo l'utente che crea il criterio dal modello. Se l'organizzazione deve escludere altri account, sarà possibile modificare il criterio dopo la creazione. Questi criteri sono disponibili nell'interfaccia di amministrazione di Microsoft Entra>Protezione>Accesso condizionale>Criteri. Selezionare un criterio per aprire l'editor e modificare gli utenti e i gruppi esclusi per scegliere gli account da escludere.

Per impostazione predefinita, ogni criterio viene creato in modalità solo report, è consigliabile testare e monitorare l'utilizzo delle organizzazioni per garantire il risultato previsto, prima di attivare ogni criterio.

Le organizzazioni possono selezionare singoli modelli di criteri e:

• Visualizzare un riepilogo delle impostazioni dei criteri.
• Modificare per personalizzare in base alle esigenze dell'organizzazione.
• Esportare la definizione JSON da usare nei flussi di lavoro programmatici.
  • Queste definizioni JSON possono essere modificate e quindi importate nella pagina principale dei criteri di accesso condizionale usando l'opzione Carica file di criteri.

Altri criteri comuni

• Richiedere l'autenticazione a più fattori per la registrazione di un dispositivo
• Bloccare l'accesso in base alla località
• Bloccare l'accesso ad eccezione di app specifiche

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Passaggi successivi

• Simulare il comportamento di accesso usando lo strumento What If per l'accesso condizionale.
• Usare la modalità Solo report per l'accesso condizionale per determinare i risultati delle nuove decisioni relative ai criteri.