Descrivere l'accesso condizionale di Azure

  • 3 minuti

L'accesso condizionale è uno strumento usato da Microsoft Entra ID per consentire o negare l'accesso alle risorse in base a segnali di identità. Questi segnali includono chi è l'utente, dove si trova l'utente e il dispositivo da cui richiede l'accesso.

L'accesso condizionale consente agli amministratori IT di:

  • Consentire agli utenti di essere produttivi ovunque e in qualsiasi momento.
  • Proteggere le risorse dell'organizzazione.

L'accesso condizionale offre anche un'esperienza di autenticazione a più fattori più granulare per gli utenti. È ad esempio possibile che a un utente non venga richiesto il secondo fattore di autenticazione se si trova in una posizione nota. Potrebbe essere invece richiesto all'utente un secondo fattore di autenticazione se i segnali di accesso sono insoliti o se l'utente si trova in una posizione imprevista.

Durante l'accesso, l'accesso condizionale raccoglie i segnali dall'utente, prende decisioni basate su tali segnali e quindi impone tale decisione consentendo o negando la richiesta di accesso o richiedendo una risposta dell'autenticazione a più fattori.

Il diagramma seguente illustra questo flusso:

Diagram showing the conditional access flow of a signal leading to a decision, leading to enforcement.

In questo caso, il segnale potrebbe essere la posizione dell'utente, il dispositivo dell'utente o l'applicazione a cui sta provando ad accedere.

In base a questi segnali, la decisione potrebbe essere quella di consentire l'accesso completo se l'utente accede da una posizione consueta. Se l'utente accede da una posizione insolita o contrassegnata come ad alto rischio, l'accesso potrebbe essere bloccato interamente o eventualmente concesso dopo che l'utente fornisce una seconda forma di autenticazione.

Per imposizione si intende l'azione che applica la decisione, ad esempio consentire l'accesso o richiedere all'utente di fornire una seconda forma di autenticazione.

Quando è possibile usare l'accesso condizionale?

L'accesso condizionale è utile quando è necessario:

  • Richiedere l'autenticazione a più fattori (MFA) per accedere a un'applicazione a seconda del ruolo, della posizione o della rete del richiedente. Ad esempio, è possibile richiedere l'autenticazione a più fattori per gli amministratori, ma non per gli utenti regolari o per le persone che si connettono dall'esterno della rete aziendale.
  • Richiedere l'accesso ai servizi solo tramite applicazioni client approvate. Ad esempio, è possibile limitare le applicazioni di posta elettronica che possono connettersi al servizio di posta elettronica.
  • Richiedere agli utenti di accedere all'applicazione solo da dispositivi gestiti. Un dispositivo gestito è un dispositivo che soddisfa gli standard di sicurezza e conformità.
  • Bloccare l'accesso da origini non attendibili, ad esempio l'accesso da posizioni sconosciute o impreviste.