Implementare i controlli dei criteri di accesso condizionale e le assegnazioni

  • 8 minuti

Visual Studio App Center supporta l'accesso condizionale di Microsoft Entra ID, una funzionalità avanzata di Microsoft Entra ID che consente di specificare criteri dettagliati per il controllo degli utenti che possono accedere alle risorse. Con l'accesso condizionale è possibile proteggere le applicazioni limitando l'accesso degli utenti in base a elementi quali gruppo, tipo di dispositivo, posizione e ruolo.

Impostazione dell'accesso condizionale

Questa è una guida abbreviata per la configurazione dell'accesso condizionale. La documentazione completa è disponibile in Informazioni sull'accesso condizionale.

Nel portale di Azure aprire il tenant di Active Directory, quindi le impostazioni Sicurezza e selezionare Accesso condizionale.

Nelle impostazioni Accesso condizionale selezionare Nuovi criteri per creare un criterio.

Screenshot della schermata Accesso condizionale di Microsoft Entra con un elenco dei criteri attualmente esistenti.

Nelle impostazioni Nuovi criteri fare clic su Applicazioni cloud o azioni e selezionare Visual Studio App Center come destinazione del criterio. Selezionare quindi le altre condizioni che si vogliono applicare, abilitare il criterio e selezionare Crea per salvarlo.

Screenshot dell'accesso condizionale Microsoft Entra: Pagina delle azioni o app cloud per la configurazione.

Accesso condizionale basato sul rischio per l'accesso

La maggior parte degli utenti ha un comportamento normale di cui è possibile tenere traccia. Quando un utente rappresenta un'eccezione a questa regola, può essere rischioso consentirgli l'accesso. Si vuole bloccare l'utente o chiedergli di usare l'autenticazione a più fattori per dimostrare la sua effettiva identità.

Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità. Le organizzazioni con licenze Microsoft Entra ID Premium P2 possono creare criteri di accesso condizionale che incorporano il rilevamento dei rischi di accesso di Microsoft Entra ID Identity Protection.

Questi criteri possono essere assegnati tramite accesso condizionale o Microsoft Entra ID Identity Protection. Le organizzazioni devono scegliere una delle due opzioni per abilitare un criterio di accesso condizionale basato sul rischio di accesso che richiede una modifica sicura della password.

Accesso condizionale basato sul rischio per l'utente

Microsoft collabora con ricercatori, forze dell'ordine, diversi team di sicurezza di Microsoft e altre fonti attendibili per trovare coppie di nome utente e password perse. Le organizzazioni con licenze Microsoft Entra ID Premium P2 possono creare criteri di accesso condizionale che incorporano il rilevamento dei rischi utente di Microsoft Entra ID Identity Protection.

Analogamente all'accesso condizionale basato sui rischi di accesso, questi criteri possono essere assegnati tramite accesso condizionale o Microsoft Entra Identity Protection.

Protezione della registrazione delle informazioni di sicurezza

È ora possibile proteggere i tempi e il modo in cui gli utenti eseguono la registrazione per Multifactor Authentication e per la reimpostazione della password self-service con le azioni dell'utente nei criteri di accesso condizionale. Questa funzionalità in anteprima è disponibile per le organizzazioni che hanno abilitato l'anteprima della registrazione combinata. Questa funzionalità può essere abilitata nelle organizzazioni che vogliono usare condizioni come un percorso di rete attendibile per limitare l'accesso per la registrazione per Multifactor Authentication e la reimpostazione della password self-service.

Creare criteri per richiedere la registrazione da un percorso attendibile

I criteri seguenti si applicano a tutti gli utenti selezionati che tentano di eseguire la registrazione usando l'esperienza di registrazione combinata e bloccano l'accesso se la connessione non viene effettuata da un percorso contrassegnato come rete attendibile.

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Identità, quindi Protezione e quindi Accesso condizionale.

  2. Selezionare +Crea nuovo criterio.

  3. In Nome immettere un nome per i criteri. Ad esempio, Registrazione delle informazioni di sicurezza combinata su reti attendibili.

  4. In Assegnazioni selezionare Utenti e gruppi e quindi gli utenti e i gruppi a cui si vogliono applicare i criteri.

    1. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    2. Selezionare Fine.

  5. In Applicazioni cloud o azioni selezionare Azioni utente e quindi Registra le informazioni di sicurezza.

  6. In Condizioni selezionare Località.

    1. Configurare .
    2. Includere Tutte le località.
    3. Escluderetutti i percorsi attendibili.
    4. Selezionare Fine nella schermata Località.
    5. Selezionare Fine nella schermata Condizioni.

  7. In Condizioni in App client (anteprima) impostare Configura su e selezionare Fine.

  8. In Controlli di accesso selezionare Concedi.

    1. Selezionare Blocca accesso.
    2. Usare quindi l'opzione Seleziona.

  9. Impostare Abilita criterio su .

  10. Quindi selezionare Salva.

Al passaggio 6 per questi criteri, le organizzazioni possono effettuare alcune scelte. I criteri riportati sopra richiedono la registrazione da un percorso di rete attendibile. Le organizzazioni possono scegliere di utilizzare qualsiasi condizione disponibile invece di Percorsi. Ricordare che si tratta di un criterio di blocco, quindi tutto ciò che è incluso verrà bloccato.

È possibile scegliere di usare lo stato del dispositivo anziché la posizione nel passaggio 6 precedente:

  1. In Condizioni selezionare Stato del dispositivo (anteprima).
  2. Configurare .
  3. Includere Tutti gli stati dei dispositivi.
  4. Escludere Dispositivo aggiunto a Microsoft Entra ibrido e/o Dispositivo contrassegnato come conforme.
  5. Selezionare Fine nella schermata Località.
  6. Selezionare Fine nella schermata Condizioni.

Bloccare l'accesso in base alla località

Con la condizione relativa alla posizione nell'accesso condizionale, è possibile controllare l'accesso alle app cloud in base al percorso di rete dell'utente. La condizione relativa alla posizione viene comunemente usata per bloccare l'accesso da paesi o aree geografiche da cui non dovrebbe provenire traffico verso l'organizzazione.

Definire le posizioni

  1. Accedere al portale di amministrazione di Microsoft Entra come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare a Identità, quindi Protezione, Accesso condizionale e quindi Località denominate.

  3. Scegliere Nuova posizione.

  4. Assegnare un nome alla posizione.

  5. Scegliere Intervalli IP se si conoscono gli specifici intervalli di indirizzi IPv4 accessibili dall'esterno che fanno parte di tale posizione o di tali Paesi/aree geografiche.

    1. Specificare gli intervalli IP oppure selezionare i paesi o le aree geografiche per la posizione specificata.
    • Se si sceglie Paesi/aree geografiche, è possibile scegliere di includere aree sconosciute.

  6. Scegliere Salva.

Creare criteri di accesso condizionale

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare a Identità, quindi Protectione quindi l'accesso condizionale.

  3. Selezionare +Crea nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. In Assegnazioni selezionare Utenti e gruppi.

    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fine.

  6. In Applicazioni cloud o azioni, Includi, quindi selezionare Tutte le app cloud.

  7. In Condizioni, quindi Percorso.

    1. Impostare Configura su .
    2. In Includi selezionare Località selezionate.
    3. Selezionare la posizione bloccata creata per l'organizzazione.
    4. Scegli Seleziona.

  8. In Controlli di accesso selezionare Blocca accesso e quindi Seleziona.

  9. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  10. Selezionare Crea per creare i criteri di accesso condizionale.

Richiede dispositivi conformi

Le organizzazioni che hanno distribuito Microsoft Intune possono usare le informazioni restituite dai dispositivi per identificare i dispositivi che soddisfano i requisiti di conformità, ad esempio:

  • Richiesta di un PIN per lo sblocco.
  • Richiesta della crittografia del dispositivo.
  • Richiesta di una versione minima o massima del sistema operativo.
  • Richiesta di un dispositivo non jailbroken o rooted.

Queste informazioni di conformità ai criteri vengono inoltrate a Microsoft Entra ID dove l'accesso condizionale può decidere se concedere o bloccare l'accesso alle risorse.

Creare criteri di accesso condizionale

La procedura seguente consente di creare un criterio di accesso condizionale per richiedere che i dispositivi che accedono alle risorse siano contrassegnati come conformi ai criteri di conformità di Intune dell'organizzazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.

  2. Passare a Identità, quindi Protectione quindi l'accesso condizionale.

  3. Selezionare +Crea nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. In Assegnazioni selezionare Utenti e gruppi.

    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fine.

  6. In Applicazioni cloud o azioni, Includi, quindi selezionare Tutte le app cloud.

    1. Se è necessario escludere applicazioni specifiche dai criteri, è possibile selezionarle nella scheda Escludi in Seleziona app cloud escluse e scegliere Seleziona.
    2. Selezionare Fine.

  7. In Condizioni, selezionare App client (anteprima), quindi Selezionare le app client a cui verranno applicati questi criteri, lasciare selezionate tutte le impostazioni predefinite e selezionare Fine.

  8. In Controlli di accesso selezionare Concedi, quindi Richiedi che i dispositivi siano contrassegnati come conformi.

    1. Selezionare Seleziona.

  9. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  10. Selezionare Crea per creare e abilitare il criterio.

    Nota

    È possibile registrare i nuovi dispositivi in Intune anche se si seleziona Richiedi che i dispositivi siano contrassegnati come conformi per Tutti gli utenti e Tutte le app cloud usando la procedura precedente. Il controllo Richiedi che i dispositivi siano contrassegnati come conformi non blocca la registrazione in Intune.

Comportamento noto

In Windows 7, iOS, Android, macOS e alcuni Web browser di terze parti, Microsoft Entra ID identifica il dispositivo usando un certificato client di cui viene effettuato il provisioning quando il dispositivo viene registrato in Microsoft Entra ID. Quando accede per la prima volta tramite il browser, all'utente viene richiesto di selezionare il certificato. Per continuare a usare il browser l'utente finale deve selezionare il certificato.

Blocca accesso

Per le organizzazioni con un approccio di migrazione cloud conservativo, il criterio di blocco di tutti gli utenti è un'opzione utilizzabile.

Avviso

La configurazione errata di un criterio di blocco può comportare il blocco delle organizzazioni dal portale di Azure.

I criteri di questo tipo possono avere effetti collaterali imprevisti. L'esecuzione appropriata di test e della convalida è fondamentale prima dell'abilitazione. È consigliabile che gli amministratori usino la modalità solo report e What If dell'accesso condizionale.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati. È consigliabile escludere dai criteri gli account seguenti:

  • Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. In uno scenario improbabile in cui l'accesso al tenant è bloccato per tutti gli amministratori, è possibile usare l'account amministrativo per l'accesso di emergenza per accedere al tenant ed eseguire i passaggi necessari per recuperare l'accesso.

  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non sono bloccate dall'accesso condizionale.

    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Condizioni per l'utilizzo dell'accesso condizionale

Screenshot della finestra di dialogo di Identity Governance per la creazione di nuovi Condizioni per l'utilizzo relative alle soluzioni cloud.

È possibile creare Condizioni per l'utilizzo per un sito avvalendosi degli strumenti di Identity Governance. Avviare l'app Identity Governance e scegliere Condizioni per l'utilizzo dal menu. È necessario mettere a disposizione le Condizioni per l'utilizzo in formato PDF. È possibile configurare vari tipi di regole, ad esempio se le condizioni hanno una scadenza o se l'utente deve aprirle prima di accettarle. Dopo aver creato le Condizioni per l'utilizzo, è possibile creare una regola condizionale personalizzata direttamente in Identity Governance. In alternativa, è possibile salvare le condizioni e usare l'accesso condizionale in Microsoft Entra ID. Per creare nuove Condizioni per l'utilizzo, compilare i campi della finestra di dialogo sopra riportata.

Screenshot della pagina di configurazione dell'accesso condizionale di Microsoft Entra che mostra l'aggiunta di regole relative alle Condizioni per l'utilizzo per poter accedere alle risorse.

Il collegamento del consenso (ovvero la richiesta di accettare le condizioni prima dell'accesso) e l'accesso condizionale sono sempre più diffusi. Le organizzazioni hanno la possibilità di imporre a un utente l'accettazione delle condizioni per l'utilizzo. Le organizzazioni possono anche impostare una scadenza per il consenso fornito o modificare le condizioni per l'utilizzo e richiedere di nuovo all'utente di accettarle.

Prima che gli utenti accedano ad app cloud specifiche all'interno dell'ambiente in uso, è consigliabile ottenere il consenso di questi sotto forma di accettazione delle condizioni per l'utilizzo. L'accesso condizionale di Microsoft Entra offre:

  • Un metodo semplice per la configurazione delle condizioni per l'utilizzo
  • La possibilità di richiedere l'accettazione delle condizioni per l'utilizzo tramite criteri di accesso condizionale