Descrivere l'accesso condizionale

  • 6 minuti

L'accesso condizionale è una funzionalità di Microsoft Entra che fornisce un livello di sicurezza aggiuntivo prima di consentire agli utenti autenticati di accedere ai dati o ad altri asset. L'accesso condizionale viene implementato tramite criteri creati e gestiti in Microsoft Entra ID. I criteri di accesso condizionale analizzano i segnali, inclusi utenti, località, dispositivi, applicazioni e rischi, per automatizzare le decisioni per l'autorizzazione dell'accesso alle risorse (app e dati).

Image showing Conditional Access policy flow. Signals are used to decide whether to allow or block access to apps and data.

I criteri di accesso condizionale sono le istruzioni if-then più semplici. Ad esempio, un criterio di accesso condizionale può stabilire che se un utente appartiene a un determinato gruppo, dovrà eseguire l'autenticazione a più fattori per accedere a un'applicazione.

Importante

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Componenti dei criteri di accesso condizionale

Un criterio di accesso condizionale in Microsoft Entra ID è costituito da due componenti, assegnazioni e controlli di accesso.

Screen capture showing the two components of a conditional access policy, the assignments and the access controls.

Attività

Quando si creano criteri di accesso condizionale, gli amministratori possono stabilire quali segnali usare mediante le assegnazioni. Le assegnazioni costituiscono la parte del criterio che controlla il chi, il cosa e il dove del criterio di accesso condizionale. Tutte le assegnazioni vengono collegate logicamente con l'operatore AND. Se sono configurate più assegnazioni, per attivare un criterio devono essere soddisfatte tutte. Alcune delle assegnazioni includono:

  • Gli utenti e i gruppi assegnano chi sarà incluso o escluso dai criteri. Questa assegnazione può includere tutti gli utenti, gruppi specifici di utenti, ruoli della directory o utenti guest esterni. Questa assegnazione può includere anche entità servizio a tenant singolo (applicazioni) registrate nel tenant.
  • Le app o le azioni cloud possono includere o escludere le applicazioni cloud, le azioni dell'utente o i contesti di autorizzazione che saranno soggetti ai criteri. L'integrazione di Microsoft Defender per il cloud con l'accesso condizionale consente visibilità e controllo in tempo reale sull'accesso e sulle attività eseguite all'interno dell'ambiente cloud.
  • Le Condizioni definiscono dove e quando verranno applicati i criteri. È possibile combinare più condizioni per creare criteri di accesso condizionale con granularità fine e specifici. Alcune delle condizioni includono:
    • Rischio di accesso e rischio utente. L'integrazione con Microsoft Entra ID Protection consente ai criteri di accesso condizionale di identificare le azioni sospette correlate agli account utente nella directory e attivare un criterio. Il rischio di accesso rappresenta la probabilità che un accesso specifico (o una richiesta di autenticazione) non sia autorizzato dal proprietario dell'identità. Il rischio utente rappresenta la probabilità che un'identità o un account specifico sia compromesso.
    • Piattaforma dispositivi. La piattaforma del dispositivo, caratterizzata dal sistema operativo in esecuzione in un dispositivo, può essere usata quando si applicano i criteri di accesso condizionale.
    • Informazioni sugli indirizzi IP. Le organizzazioni possono definire intervalli di indirizzi IP attendibili da usare per prendere decisioni sui criteri. Gli amministratori possono anche decidere di bloccare o consentire il traffico dall'intervallo di indirizzi IP di un intero paese/area geografica.
    • App client. Anche le app client, il software usato dall'utente per accedere all'app cloud, inclusi browser, app per dispositivi mobili, client desktop, possono essere usati nella decisione dei criteri di accesso.
    • Filtri per dispositivi. Le organizzazioni possono applicare criteri in base alle proprietà del dispositivo, usando l'opzione filtri per i dispositivi. Ad esempio, questa opzione può essere usata per impostare come destinazione criteri per dispositivi specifici, ad esempio workstation con accesso con privilegi.

In sostanza, la parte assegnazioni controlla chi, cosa e dove dei criteri di accesso condizionale.

Controlli di accesso

Quando sono applicati i criteri di accesso condizionale, viene raggiunta una decisione informata sulla possibilità di bloccare l'accesso, concedere l'accesso, concedere l'accesso con una verifica aggiuntiva o applicare un controllo sessione per abilitare un'esperienza limitata. La decisione viene indicata come la parte relativa ai controlli di accesso dei criteri di accesso condizionale e definisce come viene applicato un criterio. Le decisioni comuni sono:

  • Blocca accesso
  • Concedere l'accesso. Gli amministratori possono concedere l'accesso senza alcun controllo aggiuntivo oppure possono scegliere di applicare uno o più controlli durante la concessione dell'accesso. Esempi di controlli usati per concedere l'accesso includono richiedere agli utenti di eseguire l'autenticazione a più fattori, richiedere metodi di autenticazione specifici per accedere a una risorsa, richiedere ai dispositivi di soddisfare requisiti specifici dei criteri di conformità, richiedere una modifica della password e altro ancora. Per un elenco completo, vedere Controlli di concessione nei criteri di accesso condizionale.
  • Sessione. All'interno di un criterio di accesso condizionale, un amministratore può usare i controlli sessione per abilitare esperienze limitate all'interno di applicazioni cloud specifiche. Ad esempio, Controllo app per l'accesso condizionale usa i segnali di Microsoft Defender for Cloud Apps per bloccare le funzionalità di download, taglio, copia e stampa per i documenti sensibili o per richiedere l'assegnazione di etichette ai file riservati. Altri controlli della sessione includono la frequenza di accesso e le restrizioni imposte dall'applicazione che, per le applicazioni selezionate, usano le informazioni sul dispositivo per offrire agli utenti un'esperienza completa o limitata, a seconda dello stato del dispositivo. Per un elenco completo, vedere Controlli sessione nei criteri di accesso condizionale.

In sintesi, la parte assegnazioni controlla chi, cosa e dove dei criteri di accesso condizionale mentre la parte dei controlli di accesso controlla la modalità di applicazione di un criterio.