Condividi tramite


Identity Protection e l'accesso condizionale per Azure AD B2C

Migliorare la sicurezza di Azure Active Directory B2C (Azure AD B2C) con Microsoft Entra ID Protection e accesso condizionale. Le funzionalità di rilevamento di rischi di Identity Protection, tra cui utenti a rischio e accessi a rischio, vengono automaticamente rilevate e visualizzate nel tenant di Azure AD B2C. È possibile creare criteri di accesso condizionale che usano questi rilevamenti di rischi per determinare le azioni da adottare e applicare i criteri dell'organizzazione. Grazie alla combinazione di queste funzionalità i proprietari di applicazioni Azure AD B2C possono usufruire di maggior controllo sulle autenticazioni rischiose e sui criteri di accesso.

Se si ha già familiarità con Identity Protection e l'accesso condizionale in Microsoft Entra ID, l'uso di queste funzionalità con Azure AD B2C sarà un'esperienza familiare, con le differenze minori illustrate in questo articolo.

Accesso condizionale in un tenant B2C

Nota

Azure AD B2C Premium P2 è necessario per creare criteri di accesso rischiosi. I tenant Premium P1 possono creare criteri basati su criteri basati su posizione, applicazione, basata sull'utente o sui criteri basati su gruppi. Per altre informazioni, vedere Modificare il piano tariffario di Azure AD B2C.

Vantaggi dell'uso di Identity Protection e dell'accesso condizionale per Azure AD B2C

Combinando i criteri di accesso condizionale con il rilevamento dei rischi di Identity Protection, è possibile rispondere alle autenticazioni rischiose con l'azione dei criteri appropriata.

  • Acquisire un nuovo livello di visibilità sui rischi di autenticazione per le app e la base di clienti. Con i segnali provenienti da miliardi di autenticazioni mensili in Microsoft Entra ID e account Microsoft, gli algoritmi di rilevamento dei rischi contrassegneranno ora le autenticazioni come basso, medio o alto rischio per l'utente locale o le autenticazioni dei cittadini.
  • Rispondere automaticamente ai rischi configurando un sistema personale di autenticazione adattiva. Per applicazioni specificate, è possibile richiedere a un set specifico di utenti di fornire un secondo fattore di autenticazione, come nel caso dell'autenticazione a più fattori (MFA). In alternativa, è possibile bloccare l'accesso in base al livello di rischio rilevato. Come per altre esperienze B2C di Azure AD, è possibile personalizzare l'esperienza utente finale risultante con la voce, lo stile e il marchio dell'organizzazione. È anche possibile visualizzare le alternative di mitigazione se l'utente non riesce ad accedere.
  • Controllare l'accesso in base a località, gruppi e app.    È possibile usare l'accesso condizionale anche per controllare situazioni non basate sul rischio. Ad esempio, è possibile richiedere l'autenticazione a più fattori per clienti che accedono a un'app specifica o bloccare l'accesso da aree geografiche specifiche.
  • Definire l'integrazione con i flussi utente di Azure AD B2C e i criteri personalizzati di Identity Experience Framework. È possibile usare le esperienze personalizzate esistenti e aggiungere i controlli necessari per interfacciarsi con l'accesso condizionale. È anche possibile implementare scenari avanzati per concedere l'accesso, ad esempio l'accesso basato sulla conoscenza o il provider MFA preferito.

Differenze e limitazioni delle funzionalità

Identity Protection e accesso condizionale in Azure AD B2C funzionano in genere allo stesso modo dell'ID Microsoft Entra, con le eccezioni seguenti:

  • Microsoft Defender per Cloud non è disponibile in Azure AD B2C.

  • Identity Protection e l'accesso condizionale non sono supportati per i flussi da server a server ROPC in tenant di Azure AD B2C.

  • Nei tenant di Azure AD B2C, i rilevamenti dei rischi di Identity Protection sono disponibili sia per le identità locali che per le identità sociali, ad esempio Google o Facebook. Per le identità sociali, l'accesso condizionale deve essere attivato. Il rilevamento è limitato perché le credenziali dell'account social vengono gestite dal provider di identità esterno.

  • Nei tenant di Azure AD B2C è disponibile un subset dei rilevamenti di rischi di Identity Protection. Vedere Analizzare i rischi con Identity Protection e Aggiungere l'accesso condizionale ai flussi utente.

  • La funzionalità Conformità del dispositivo dell'accesso condizionale non è disponibile nei tenant di Azure AD B2C.

Integrare l'accesso condizionale con flussi utente e criteri personalizzati

In Azure AD B2C è possibile attivare le condizioni di accesso condizionale da flussi utente predefiniti. È anche possibile incorporare l'accesso condizionale in criteri personalizzati. Come per gli altri aspetti del flusso utente B2C, la messaggistica dell'esperienza utente finale può essere personalizzata in base alle alternative per il messaggio, il marchio e la mitigazione della propria organizzazione. Vedere Aggiungere l'accesso condizionale ai flussi utente.

API Microsoft Graph

È anche possibile gestire i criteri di accesso condizionale in Azure AD B2C con l'API Microsoft Graph. Per informazioni dettagliate, vedere la documentazione sull'accesso condizionale e le operazioni di Microsoft Graph.

Passaggi successivi