Bloccare i flussi di autenticazione con i criteri di accesso condizionale

La procedura seguente consente di creare criteri di accesso condizionale per limitare l'uso del flusso del codice del dispositivo e del trasferimento dell'autenticazione all'interno dell'organizzazione.

Criteri per il flusso del codice dispositivo

È consigliabile che le organizzazioni si avvicinino al più vicino possibile a un blocco unilaterale nel flusso del codice del dispositivo. Prendere in considerazione la creazione di un criterio per controllare l'uso esistente del flusso di codice del dispositivo e determinare se è ancora necessario. Consentire solo il flusso del codice del dispositivo in casi d'uso ben documentati e protetti, ad esempio strumenti legacy che non possono essere aggiornati.

Per le organizzazioni che non usano il flusso del codice del dispositivo, bloccarlo con i criteri di accesso condizionale seguenti:

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
2. Passare a Entra ID>Accesso Condizionale>Politiche.
3. Selezionare Nuovo criterio.
4. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi, selezionare gli utenti da includere nell'ambito della politica (tutti gli utenti consigliati).
   2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e gli altri utenti necessari. Controlla regolarmente questo elenco di esclusione.
5. In Risorse di destinazione>(precedentemente app cloud)>Includi, seleziona le app che vuoi includere nell'ambito dei criteri (Tutte le risorse (precedentemente "Tutte le app cloud") consigliato).
6. In Condizioni>flussi di autenticazione impostare Configura su Sì.
   1. Selezionare Flusso di codice del dispositivo.
   2. Selezionare Fine.
7. In Controlli di accesso>Autorizzazioni, selezionare Blocca l'accesso.
   1. Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Solo report.
9. Selezionare Crea per abilitare i criteri.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a Sì.

Criteri di trasferimento dell'autenticazione

Usare la condizione nei flussi di autenticazione di Accesso Condizionale per gestire la funzionalità. Blocca il trasferimento dell'autenticazione se non vuoi che gli utenti trasferiscano l'autenticazione dal PC a un dispositivo mobile. Ad esempio, bloccare il trasferimento dell'autenticazione se non si consente l'uso di Outlook nei dispositivi personali da parte di determinati gruppi. Usare i criteri di accesso condizionale seguenti per bloccare il trasferimento dell'autenticazione:

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
2. Passare a Entra ID>Accesso Condizionale>Politiche.
3. Selezionare Nuovo criterio.
4. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti o i gruppi di utenti da bloccare per il trasferimento dell'autenticazione.
   2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e gli altri utenti necessari. Controlla regolarmente questo elenco di esclusione.
5. In Risorse> di destinazione(in precedenza app cloud)>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud") o le app da bloccare per il trasferimento dell'autenticazione.
6. In Condizioni>flussi di autenticazione impostare Configura su Sì
   1. Selezionare Trasferimento di autenticazione.
   2. Selezionare Fine.
7. In Controlli di accesso>Autorizzazioni, selezionare Blocca l'accesso.
   1. Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Abilitato.
9. Selezionare Crea per abilitare i criteri.

Contenuto correlato

• Accesso condizionale: flussi di autenticazione
• Accesso condizionale: trasferimento dell'autenticazione
• Accesso condizionale: condizioni