Abilitare l'accesso condizionale per proteggere meglio utenti, dispositivi e dati

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

L'accesso condizionale è una funzionalità che consente di proteggere meglio gli utenti e le informazioni aziendali assicurandosi che solo i dispositivi sicuri abbiano accesso alle applicazioni.

Con l'accesso condizionale è possibile controllare l'accesso alle informazioni aziendali in base al livello di rischio di un dispositivo. Ciò consente di mantenere gli utenti attendibili nei dispositivi attendibili usando applicazioni attendibili.

È possibile definire condizioni di sicurezza in base alle quali i dispositivi e le applicazioni possono eseguire e accedere alle informazioni dalla rete applicando criteri per impedire l'esecuzione delle applicazioni fino a quando un dispositivo non torna a uno stato conforme.

L'implementazione dell'accesso condizionale in Defender per endpoint si basa sui criteri di conformità dei dispositivi Microsoft Intune (Intune) e Microsoft Entra criteri di accesso condizionale.

I criteri di conformità vengono usati con l'accesso condizionale per consentire l'accesso alle applicazioni solo ai dispositivi che soddisfano una o più regole dei criteri di conformità dei dispositivi.

Informazioni sul flusso di accesso condizionale

L'accesso condizionale viene messo in atto in modo che, quando viene rilevata una minaccia in un dispositivo, l'accesso al contenuto sensibile venga bloccato fino a quando la minaccia non viene correzione.

Il flusso inizia con i dispositivi con un rischio basso, medio o elevato. Queste determinazioni dei rischi vengono quindi inviate a Intune.

A seconda della modalità di configurazione dei criteri in Intune, è possibile configurare l'accesso condizionale in modo che, quando vengono soddisfatte determinate condizioni, vengano applicati i criteri.

Ad esempio, è possibile configurare Intune per applicare l'accesso condizionale ai dispositivi con un rischio elevato.

In Intune vengono usati criteri di conformità dei dispositivi con Microsoft Entra l'accesso condizionale per bloccare l'accesso alle applicazioni. In parallelo, viene avviato un processo di indagine e correzione automatizzato.

Un utente può comunque usare il dispositivo durante l'analisi automatizzata e la correzione, ma l'accesso ai dati aziendali viene bloccato fino a quando la minaccia non viene completamente correzione.

Per risolvere il rischio riscontrato in un dispositivo, è necessario riportare il dispositivo a uno stato conforme. Un dispositivo torna a uno stato conforme quando non è presente alcun rischio.

Esistono tre modi per affrontare un rischio:

  1. Usare la correzione manuale o automatizzata.
  2. Risolvere gli avvisi attivi nel dispositivo. In questo modo il rischio viene rimosso dal dispositivo.
  3. È possibile rimuovere il dispositivo dai criteri attivi e di conseguenza l'accesso condizionale non verrà applicato nel dispositivo.

La correzione manuale richiede che un amministratore di secops analizzi un avviso e affronti il rischio riscontrato nel dispositivo. La correzione automatica viene configurata tramite le impostazioni di configurazione fornite nella sezione seguente , Configurare l'accesso condizionale.

Quando il rischio viene rimosso tramite correzione manuale o automatizzata, il dispositivo torna a uno stato conforme e viene concesso l'accesso alle applicazioni.

La sequenza di eventi di esempio seguente illustra l'accesso condizionale in azione:

  1. Un utente apre un file dannoso e Defender per endpoint contrassegna il dispositivo come ad alto rischio.
  2. La valutazione ad alto rischio viene passata a Intune. In parallelo, viene avviata un'indagine automatizzata per correggere la minaccia identificata. È anche possibile eseguire una correzione manuale per correggere la minaccia identificata.
  3. In base ai criteri creati in Intune, il dispositivo è contrassegnato come non conforme. La valutazione viene quindi comunicata a Microsoft Entra ID dai criteri di accesso condizionale di Intune. In Microsoft Entra ID, i criteri corrispondenti vengono applicati per bloccare l'accesso alle applicazioni.
  4. L'analisi e la correzione manuali o automatizzate vengono completate e la minaccia viene rimossa. Defender per endpoint rileva che non vi è alcun rischio nel dispositivo e Intune valuta che il dispositivo sia in uno stato conforme. Microsoft Entra ID applica il criterio, che consente l'accesso alle applicazioni.
  5. Gli utenti possono ora accedere alle applicazioni.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.