Share via

Applicare rigorosamente i criteri di posizione usando la valutazione dell'accesso continuo (anteprima)

  • Articolo

Applicare rigorosamente i criteri di posizione è una nuova modalità di imposizione per la valutazione dell'accesso continuo (CAE), usata nei criteri di accesso condizionale. Questa nuova modalità fornisce protezione per le risorse, arrestando immediatamente l'accesso se l'indirizzo IP rilevato dal provider di risorse non è consentito dai criteri di accesso condizionale. Questa opzione è la modalità di sicurezza più elevata dell'applicazione della posizione CAE e richiede che gli amministratori comprendano il routing delle richieste di autenticazione e accesso nel proprio ambiente di rete. Vedere l'introduzione alla valutazione dell'accesso continuo per una revisione del modo in cui i client e i provider di risorse che supportano CAE, ad esempio il client di posta elettronica di Outlook e Exchange Online valutano le modifiche alla posizione.

Modalità di imposizione della posizione Topologia di rete consigliata Se l'indirizzo IP rilevato dalla risorsa non è incluso nell'elenco consentito Vantaggi Impostazione
Standard (impostazione predefinita) Adatto a tutte le topologie Un token di breve durata viene emesso solo se Microsoft Entra ID rileva un indirizzo IP consentito. In caso contrario, l'accesso è bloccato Esegue il fallback alla modalità di rilevamento della posizione pre-CAE nelle distribuzioni di rete split tunnel in cui l'imposizione dell'autorità di certificazione influisce sulla produttività. CaE applica comunque altri eventi e criteri. Nessuno (impostazione predefinita)
Criteri di posizione applicati rigorosamente Gli indirizzi IP in uscita sono dedicati ed enumerabili sia per l'ID Microsoft Entra che per tutto il traffico del provider di risorse Accesso bloccato Più sicuro, ma richiede percorsi di rete ben compresi 1. Testare i presupposti degli indirizzi IP con una piccola popolazione

2. Abilitare "Imponi rigorosamente" nei controlli sessione

Configurare criteri di posizione rigorosamente applicati

Passaggio 1: Configurare un criterio basato sulla posizione dell'accesso condizionale per gli utenti di destinazione

Prima che gli amministratori creino criteri di accesso condizionale che richiedono un'imposizione rigorosa della posizione, devono essere a proprio agio usando criteri come quello descritto in Criteri basati sulla posizione dell'accesso condizionale. I criteri come questo devono essere testati con un subset di utenti prima di procedere al passaggio successivo. Amministrazione istrator può evitare discrepanze tra gli indirizzi IP consentiti e effettivi visualizzati da Microsoft Entra ID durante l'autenticazione, testando prima di abilitare l'imposizione rigorosa.

Passaggio 2: Testare i criteri in un piccolo subset di utenti

Screenshot che mostra un criterio di accesso condizionale con

Dopo aver abilitato i criteri che richiedono un'imposizione rigorosa della posizione in un subset di utenti di test, convalidare l'esperienza di test usando l'indirizzo IP del filtro (visto dalla risorsa) nei log di accesso di Microsoft Entra. Questa convalida consente agli amministratori di trovare scenari in cui un'imposizione rigorosa della posizione potrebbe bloccare gli utenti con un indirizzo IP non consentito visualizzato dal provider di risorse abilitato per CAE.

Prima che gli amministratori accesano i criteri di accesso condizionale che richiedono un'imposizione rigorosa della posizione, devono:

  • Assicurarsi che tutto il traffico di autenticazione verso Microsoft Entra ID e il traffico di accesso ai provider di risorse provenano da indirizzi IP in uscita dedicati noti.
    • Come Exchange Online, Teams, SharePoint Online e Microsoft Graph
  • Assicurarsi che tutti gli indirizzi IP da cui gli utenti possano accedere all'ID e ai provider di risorse Microsoft Entra siano inclusi nelle posizioni denominate basate su IP.
  • Assicurarsi che non inviino traffico alle applicazioni non Microsoft 365 tramite Accesso sicuro globale.
    • Il ripristino ip di origine non è supportato per queste applicazioni non Microsoft 365. L'abilitazione di un'imposizione rigorosa della posizione con Accesso sicuro globale blocca l'accesso anche se l'utente si trova in una posizione IP attendibile.
  • Esaminare i criteri di accesso condizionale per assicurarsi che non dispongano di criteri che non supportano CAE. Per altre informazioni, vedere Criteri ca supportati da CAE.

Se gli amministratori non eseguono questa convalida, gli utenti potrebbero avere un impatto negativo. Se il traffico verso Microsoft Entra ID o una risorsa supportata da CAE è tramite un indirizzo IP in uscita condiviso o indefinibile, non abilitare l'applicazione rigorosa della posizione nei criteri di accesso condizionale.

Passaggio 3- Usare la cartella di lavoro CAE per identificare gli indirizzi IP da aggiungere ai percorsi denominati

Se non è già stato fatto, creare una nuova cartella di lavoro di Azure usando il modello pubblico "Continuous Access Evaluation Insights" per identificare la mancata corrispondenza IP tra l'indirizzo IP visualizzato da Microsoft Entra ID e indirizzo IP (visto dalla risorsa). In questo caso, potrebbe essere disponibile una configurazione di rete split tunnel. Per assicurarsi che gli utenti non vengano accidentalmente bloccati quando è abilitata l'imposizione rigorosa della posizione, gli amministratori devono:

  • Esaminare e identificare gli indirizzi IP identificati nella cartella di lavoro cae.

  • Aggiungere indirizzi IP pubblici associati ai punti in uscita dell'organizzazione noti ai percorsi denominati definiti.

    Screenshot di cae-workbook con un esempio di indirizzo IP visualizzato dal filtro delle risorse.

    Lo screenshot seguente mostra un esempio di accesso di un client a una risorsa bloccata. Questo blocco è dovuto a criteri che richiedono un'imposizione rigorosa della posizione da attivare revocando la sessione del client.

    Screenshot del messaggio visualizzato da un utente se sono bloccati da un'imposizione rigorosa della posizione.

    Questo comportamento può essere verificato nei log di accesso. Cercare l'indirizzo IP (visto dalla risorsa) e analizzare l'aggiunta di questo indirizzo IP a posizioni denominate se si verificano blocchi imprevisti dall'accesso condizionale agli utenti.

    Screenshot di una voce di log di accesso con indirizzo IP e indirizzo IP visualizzato dalla risorsa.

    Per informazioni dettagliate sugli eventi di accesso bloccati, vedere la scheda Dettagli dei criteri di accesso condizionale.

    Screenshot dei dettagli dei criteri di accesso condizionale con le posizioni visualizzate.

Passaggio 4: Continuare la distribuzione

Ripetere i passaggi 2 e 3 con gruppi espansi di utenti fino a quando non vengono applicati criteri di posizione rigorosamente nella base utente di destinazione. Implementare attentamente per evitare di influire sull'esperienza utente.

Risoluzione dei problemi relativi ai log di accesso

Amministrazione istrator può analizzare i log di accesso per trovare i casi con Indirizzo IP (visualizzato dalla risorsa).

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
  2. Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
  3. Trovare gli eventi da esaminare aggiungendo filtri e colonne per filtrare le informazioni non necessarie.

    1. Aggiungere la colonna Indirizzo IP (vista dalla risorsa) e filtrare gli elementi vuoti per restringere l'ambito. L'indirizzo IP (visto dalla risorsa) è vuoto quando l'INDIRIZZO IP visualizzato dall'ID Microsoft Entra corrisponde all'indirizzo IP visualizzato dalla risorsa.

      Screenshot che mostra un esempio di come trovare altre informazioni nei log di accesso.

      L'indirizzo IP (visto dalla risorsa) contiene il filtro non è vuoto negli esempi seguenti:

Autenticazione iniziale

  1. L'autenticazione ha esito positivo usando un token CAE.

    Screenshot che mostra un accesso riuscito con un token CAE.

  2. L'indirizzo IP (visto dalla risorsa) è diverso dall'indirizzo IP visualizzato dall'ID Microsoft Entra. Anche se l'indirizzo IP visualizzato dalla risorsa è noto, non esiste alcuna imposizione fino a quando la risorsa reindirizza l'utente per la rivalutazione dell'indirizzo IP visualizzato dalla risorsa.

    Screenshot che mostra l'indirizzo IP e l'indirizzo IP visualizzati dalla risorsa nel log di accesso.

  3. L'autenticazione di Microsoft Entra ha esito positivo perché l'applicazione rigorosa della posizione non viene applicata a livello di risorsa.

    Screenshot che mostra che i criteri di accesso condizionale non sono stati applicati perché il percorso è escluso.

Reindirizzamento delle risorse per la rivalutazione

  1. L'autenticazione ha esito negativo e non viene emesso un token CAE.

    Screenshot che mostra un'autenticazione non riuscita.

  2. L'indirizzo IP (visto dalla risorsa) è diverso dall'IP visualizzato dall'ID Microsoft Entra.

    Screenshot che mostra una mancata corrispondenza negli indirizzi IP.

  3. L'autenticazione non riesce perché l'indirizzo IP (visualizzato dalla risorsa) non è una posizione denominata nota nell'accesso condizionale.

    Screenshot che mostra un criterio di accesso condizionale applicato, perché l'indirizzo IP è stato incluso in una regola di blocco.

Contenuto correlato