Accesso condizionale in Azure Active DirectoryConditional access in Azure Active Directory

La sicurezza è una priorità assoluta per le organizzazioni che usano il cloud.Security is a top concern for organizations using the cloud. Identità e accesso rappresentano aspetti chiave della sicurezza cloud in ambito di gestione delle risorse cloud.A key aspect of cloud security is identity and access when it comes to managing your cloud resources. In un mondo dominato dai dispositivi mobili e basato sul cloud, gli utenti possono accedere alle risorse dell'organizzazione con una serie di dispositivi e app ovunque si trovino.In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. Di conseguenza, non è più sufficiente concentrarsi solo su chi può accedere a una risorsa.As a result of this, just focusing on who can access a resource is not sufficient anymore. Per ottenere un equilibrio ideale tra produttività e sicurezza, nelle valutazioni in merito a un controllo di accesso i professionisti IT devono anche considerare il modo in cui si accede a una risorsa.In order to master the balance between security and productivity, IT professionals also need to factor how a resource is being accessed into an access control decision. Con l'accesso condizionale di Azure AD è possibile soddisfare questo requisito.With Azure AD conditional access, you can address this requirement. L'accesso condizionale è una funzionalità di Azure Active Directory che consente di applicare controlli sull'accesso alle app nel proprio ambiente in base a specifiche condizioni da una posizione centrale.Conditional access is a capability of Azure Active Directory that enables you to enforce controls on the access to apps in your environment based on specific conditions from a central location.

Controllo

Questo articolo offre una panoramica concettuale dell'accesso condizionale in Azure AD.This article provides you with a conceptual overview of conditional access in Azure AD.

Scenari comuniCommon scenarios

In un mondo in cui i dispositivi mobili e il cloud hanno sempre più importanza, Azure Active Directory consente ovunque l'accesso Single Sign-On a dispositivi, app e servizi.In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. Con il proliferare di dispositivi (inclusi i dispositivi BYOD), del lavoro al di fuori delle reti aziendali e delle app SaaS di terze parti, i professionisti IT hanno due obiettivi opposti:With the proliferation of devices (including BYOD), work off corporate networks, and third party SaaS apps, IT professionals are faced with two opposing goals:

  • Fare in modo che gli utenti siano produttivi sempre e ovunqueEmpower users to be productive wherever and whenever
  • Proteggere gli asset aziendali in qualsiasi momentoProtect the corporate assets at any time

Grazie ai criteri di accesso condizionale è possibile applicare i controlli di accesso idonei nelle condizioni richieste.By using conditional access policies, you can apply the right access controls under the required conditions. L'accesso condizionale di Azure AD offre maggiore sicurezza quando è necessario e non interferisce con le attività dell'utente quando non lo è.Azure AD conditional access provides you with added security when needed and stays out of your user’s way when it isn’t.

Di seguito sono indicate alcune problematiche di accesso comuni per cui l'accesso condizionale può risultare utile:Following are some common access concerns that conditional access can help you with:

  • Rischio di accesso: Azure AD Identity Protection rileva i rischi di accesso.Sign-in risk: Azure AD Identity Protection detects sign-in risks. Come limitare l'accesso se un rischio di accesso rilevato indica un attore malintenzionato?How do you restrict access if a detected sign-in risk indicates a bad actor? Cosa accade se si intende essere maggiormente certi del fatto che è stato eseguito un accesso dall'utente legittimo o se sussistono dubbi sufficienti a impedire addirittura a utenti specifici di accedere a un'app?What if you would like to get a stronger evidence that a sign-in was performed by the legitimate user or your doubts are strong enough to even block specific users from accessing an app?

  • Percorso di rete: Azure AD è accessibile da qualsiasi posizione.Network location: Azure AD is accessible from anywhere. Cosa accade se si esegue un tentativo di accesso da un percorso di rete al di fuori del controllo del reparto IT?What if an access attempt is performed from a network location that is not under the control of your IT department? L'uso di una combinazione di nome utente e password potrebbe essere sufficiente come identificazione per i tentativi di accesso alle risorse dalla rete aziendale.Using a username and password combination might be good enough as proof of identity for access attempts to your resources from your corporate network. Cosa accade se è necessario un livello superiore di identificazione per i tentativi di accesso avviati da altri paesi o regioni non previsti del mondo?What if you demand a stronger proof of identity for access attempts that are initiated from other unexpected countries or regions of the world? Cosa accade se si intende addirittura bloccare i tentativi di accesso da alcune posizioni?What if you even want to block access attempts from certain locations?

  • Gestione dei dispositivi: in Azure AD gli utenti possono accedere alle app cloud da una vasta gamma di dispositivi, inclusi i dispositivi mobili e i dispositivi personali.Device management: In Azure AD, users can access cloud apps from a broad range of devices including mobile and also personal devices. Cosa accade se si richiede che i tentativi di accesso vengano eseguiti solo usando i dispositivi gestiti dal reparto IT?What if you demand that access attempts should only be performed using devices that are managed by your IT department? Cosa accade se si intende addirittura impedire a determinati tipi di dispositivi l'accesso alle app cloud nell'ambiente in uso?What if you even want to block certain device types from accessing cloud apps in your environment?

  • Applicazione client: oggi è possibile accedere a molte app cloud con tipi di app diversi, ad esempio app basate sul Web, app per dispositivi mobili o app desktop.Client application: Today, you can access many cloud apps using different app types such as web-based apps, mobile apps, or desktop apps. Cosa accade se un tentativo di accesso viene eseguito usando un tipo di app client che causa problemi noti?What if an access attempt is performed using a client app type that causes known issues? Cosa accade se è necessario un dispositivo gestito dal reparto IT per determinati tipi di app?What if you require a device that is managed by your IT department for certain app types?

Queste domande e le relative risposte rappresentano scenari comuni per l'accesso condizionale di Azure AD.These questions and the related answers represent common access scenarios for Azure AD conditional access. L'accesso condizionale è una funzionalità di Azure Active Directory che consente di gestire gli scenari di accesso con un approccio basato su criteri.Conditional access is a capability of Azure Active Directory that enables you to handle access scenarios using a policy-based approach.

Criteri di accesso condizionaleConditional access policies

I criteri di accesso condizionale rappresentano una definizione di uno scenario di accesso con il criterio seguente:A conditional access policy is a definition of an access scenario using the following pattern:

Controllo

Fare questo definisce la risposta dei criteri.Then do this defines the response of your policy. È importante notare che l'obiettivo dei criteri di accesso condizionale è quello di non concedere l'accesso a un'app cloud.It is important to note that the objective of a conditional access policy is not to grant access to a cloud app. In Azure AD la concessione dell'accesso alle app cloud è soggetta alle assegnazioni utente.In Azure AD, granting access to cloud apps is subject of user assignments. Con i criteri di accesso condizionale l'utente controlla il modo in cui gli utenti autorizzati (che hanno ottenuto l'accesso a un'app cloud) possono accedere alle app cloud in condizioni specifiche.With a conditional access policy, you control how authorized users (users that have been granted access to a cloud app) can access cloud apps under specific conditions. Nella risposta l'utente applica altri requisiti, ad esempio l'autenticazione a più fattori o un dispositivo gestito.In your response, you enforce additional requirements such as multi-factor authentication, a managed device, and others. Nel contesto dell'accesso condizionale di Azure AD, i requisiti applicati dai criteri vengono chiamati controlli di accesso.In the context of Azure AD conditional access, the requirements your policy enforces are called access controls. Nella forma più restrittiva, i criteri possono bloccare l'accesso.In the most restrictive form, your policy can block access. Per altre informazioni, vedere Controlli di accesso nell'accesso condizionale di Azure Active Directory.For more information, see Access controls in Azure Active Directory conditional access.

Quando accade questo definisce il motivo per attivare i criteri.When this happens defines the reason for triggering your policy. Questo motivo è caratterizzato da un gruppo di condizioni soddisfatte.This reason is characterized by a group of conditions that have been satisfied. Nell'accesso condizionale di Azure AD le due condizioni di assegnazione svolgono un ruolo particolare:In Azure AD conditional access, the two assignment conditions play a special role:

  • Utenti: gli utenti che eseguono un tentativo di accesso (Chi).Users: The users performing an access attempt (Who).

  • App cloud: le destinazioni di un tentativo di accesso (Cosa).Cloud apps: The targets of an access attempt (What).

Queste due condizioni sono obbligatorie nei criteri di accesso condizionale.These two conditions are mandatory in a conditional access policy. Oltre alle due condizioni obbligatorie, è anche possibile includere altre condizioni che descrivono il modo in cui viene eseguito il tentativo di accesso.In addition to the two mandatory conditions, you can also include additional conditions that describe how the access attempt is performed. Esempi comuni sono l'uso di dispositivi mobili o posizioni all'esterno della rete aziendale.Common examples are using mobile devices or locations that are outside your corporate network. Per altre informazioni, vedere Condizioni nell'accesso condizionale di Azure Active Directory.For more information, see Conditions in Azure Active Directory conditional access.

La combinazione delle condizioni con i controlli di accesso rappresenta un tipo di criteri di accesso condizionale.The combination of conditions with your access controls represents a conditional access policy.

Controllo

Con l'accesso condizionale di Azure AD è possibile controllare il modo in cui gli utenti autorizzati possono accedere alle app cloud.With Azure AD conditional access, you can control how authorized users can access your cloud apps. L'obiettivo dei criteri di accesso condizionale è quello di applicare altri controlli di accesso a un tentativo di accesso a un'app cloud basato sulla modalità di esecuzione di un tentativo di accesso.The objective of a conditional access policy is to enforce additional access controls on an access attempt to a cloud app that is driven by how an access attempt is performed.

Un vantaggio relativo all'uso di un approccio basato su criteri per proteggere l'accesso alle app cloud è dato dal fatto che è possibile iniziare a elaborare i requisiti dei criteri per l'ambiente usando la struttura descritta in questo articolo, senza doversi preoccupare dell'implementazione tecnica.One benefit of using a policy-based approach to protect access to your cloud apps is that you can start drafting the policy requirements for your environment using the structure outlined in this article without worrying about the technical implementation.

Requisiti di licenza per l'uso dell'accesso condizionaleLicense requirements for using conditional access

L'uso dell'accesso condizionale richiede una licenza Azure AD Premium.Using conditional access requires a Azure AD Premium license. Per trovare la licenza corretta per le proprie esigenze, vedere Caratteristiche e funzionalità di Azure Active Directory.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Passaggi successiviNext steps