Accesso condizionale in Azure Active DirectoryConditional access in Azure Active Directory

In un mondo in cui i dispositivi mobili e il cloud hanno sempre più importanza, Azure Active Directory consente ovunque l'accesso Single Sign-On a dispositivi, app e servizi.In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. Con il proliferare dei dispositivi (inclusi i dispositivi BYOD), del lavoro al di fuori delle reti aziendali e delle app SaaS di terze parti, i professionisti IT hanno due obiettivi opposti:With the proliferation of devices (including BYOD), work off corporate networks, and 3rd party SaaS apps, IT professionals are faced with two opposing goals:

  • Fare in modo che gli utenti finali siano produttivi sempre e ovunqueEmpower the end users to be productive wherever and whenever
  • Proteggere gli asset aziendali in qualsiasi momentoProtect the corporate assets at any time

Per aumentare la produttività, Azure Active Directory consente agli utenti di accedere agli asset aziendali in molti modi diversi.To improve productivity, Azure Active Directory provides your users with a broad range of options to access your corporate assets. Con la gestione degli accessi alle applicazioni, Azure Active Directory consente di assicurarsi che solo le persone giuste possano accedere alle applicazioni.With application access management, Azure Active Directory enables you to ensure that only the right people can access your applications. Ma come comportarsi se si vuole più controllo sul modo in cui le persone giuste accedono alle risorse in determinate condizioni?What if you want to have more control over how the right people are accessing your resources under certain conditions? O nei casi in cui si vuole impedire anche alle persone giuste l'accesso a determinate app?What if you even have conditions under which you want to block access to certain apps even for the right people? Ad esempio, può non essere un problema se le persone giuste accedono a determinate app da una rete attendibile, ma può essere opportuno evitare che accedano a tali app da una rete considerata non attendibile.For example, it might be OK for you if the right people are accessing certain apps from a trusted network; however, you might not want them to access these apps from a network you don't trust. Per risolvere questi dubbi, è possibile usare l'accesso condizionale.You can address these questions using conditional access.

L'accesso condizionale è una funzionalità di Azure Active Directory che consente di applicare controlli sull'accesso alle app nel proprio ambiente in base a specifiche condizioni.Conditional access is a capability of Azure Active Directory that enables you to enforce controls on the access to apps in your environment based on specific conditions. Con i controlli, è possibile vincolare l'accesso a requisiti aggiuntivi o bloccarlo.With controls, you can either tie additional requirements to the access or you can block it. L'implementazione dell'accesso condizionale è basata su criteri.The implementation of conditional access is based on policies. Un approccio basato su criteri semplifica l'esperienza di configurazione perché risponde a esigenze specifiche nell'ambito dei requisiti di accesso.A policy-based approach simplifies your configuration experience because it follows the way you think about your access requirements.

In genere, per definire i requisiti di accesso, si usano istruzioni basate sullo schema seguente:Typically, you define your access requirements using statements that are based on the following pattern:

Controllo

Se si sostituiscono le due occorrenze di "questo" con le informazioni reali, si ottiene un esempio di istruzione dei criteri con cui probabilmente si ha familiarità:When you replace the two occurrences of “this” with real-world information, you have an example for a policy statement that probably looks familiar to you:

Quando i terzisti cercano di accedere alle app per cloud da reti non considerate attendibili, bloccare l'accesso.When contractors are trying to access our cloud apps from networks that are not trusted, then block access.

L'istruzione dei criteri precedente mette in evidenza l'efficacia dell'accesso condizionale.The policy statement above highlights the power of conditional access. Se da un lato si può consentire ai terzisti l'accesso di base alle app per cloud (chi), con l'accesso condizionale si possono anche definire le condizioni in cui l'accesso è possibile (come).While you can enable contractors to basically access your cloud apps (who), with conditional access, you can also define conditions under which the access is possible (how).

Nell'ambito dell'accesso condizionale di Azure Active Directory:In the context of Azure Active Directory conditional access,

  • "Quando accade questo" è l'istruzione della condizione"When this happens" is called condition statement
  • "Fare questo" sono i controlli"Then do this" is called controls

Controllo

La combinazione di un'istruzione della condizione con i controlli rappresenta un criterio di accesso condizionale.The combination of a condition statement with your controls represents a conditional access policy.

Controllo

ControlliControls

In un criterio di accesso condizionale i controlli definiscono che cosa deve accadere dopo che un'istruzione della condizione è stata soddisfatta.In a conditional access policy, controls define what it is that should happen when a condition statement has been satisfied.
Con i controlli, è possibile bloccare o consentire l'accesso con requisiti aggiuntivi.With controls, you can either block access or allow access with additional requirements. Quando si configura un criterio che consente l'accesso, è necessario selezionare almeno un requisito.When you configure a policy that allows access, you need to select at least one requirement.

Sono disponibili due tipi di controlli:There are two types of controls:

  • Controlli concessione: questi controlli determinano se un utente può completare o meno l'autenticazione e raggiungere la risorsa a cui sta tentando di accedere.Grant controls - Grant controls govern whether or not a user can complete authentication and reach the resource that they’re attempting to sign-in to. Se si dispone di più controlli selezionati, è possibile configurare se sono tutti obbligatori quando vengono elaborati i criteri.If you have multiple controls selected, you can configure whether all of them are required when your policy is processed. L'implementazione corrente di Azure Active Directory consente di configurare i requisiti dei controlli di concessione seguenti:The current implementation of Azure Active Directory enables you to configure the following grant control requirements:

    Controllo

  • Controlli della sessione: questi controlli consentono di limitare l'esperienza all'interno di un'app cloud.Session controls - Session controls enable limiting experience within a cloud app. Questi controlli sono imposti dalle app cloud e si basano sulle informazioni aggiuntive relative alla sessione fornite da Azure AD all'app.The session controls are enforced by cloud apps and rely on additional information provided by Azure AD to the app about the session.

    Controllo

Per altre informazioni, vedere Controls in Azure Active Directory Conditional Access (Controlli nell'accesso condizionale in Azure Active Directory).For more information, see controls in Azure Active Directory Conditional Access.

Istruzione della condizioneCondition Statement

La sezione precedente ha illustrato le opzioni supportate per bloccare o limitare l'accesso alle risorse sotto forma di controlli.The previous section has introduced you to supported options to block or restrict access to your resources in form of controls. In un criterio di accesso condizionale si definiscono i criteri che devono essere soddisfatti per i controlli da applicare sotto forma di istruzione della condizione.In a conditional access policy, you define the criteria that need to be met for your controls to be applied in form of a condition statement.

È possibile includere le assegnazioni seguenti nell'istruzione della condizione:You can include the following assignments into your condition statement:

Controllo

Chi?Who?

Quando si configura un criterio di accesso condizionale, è necessario selezionare gli utenti o i gruppi a cui il criterio si applica.When you configure a conditional access policy, you need to select the users or groups your policy applies to. In molti casi è necessario applicare i controlli a uno specifico set di utenti.In many cases, you want your controls to be applied to a specific set of users. In un'istruzione della condizione è possibile definire questo set selezionando gli utenti e gruppi necessari a cui si applica il criterio.In a condition statement, you can define this set by selecting the required users and groups your policy applies to. Se necessario, è anche possibile escludere in modo esplicito un set di utenti dal criterio esentandoli.If necessary, you can also explicitly exclude a set of users from your policy by exempting them.

Controllo

Cosa?What?

Quando si configura un criterio di accesso condizionale, è necessario selezionare le app cloud a cui il criterio si applica.When you configure a conditional access policy, you need to select the cloud apps your policy applies to. Di solito nel proprio ambiente sono presenti alcune app che, dal punto di vista della protezione, richiedono più attenzione di altre,Typically, there are certain apps in your environment requiring, from a protection perspective, more attention than others. ad esempio, app che hanno accesso a dati sensibili.This affects, for example, apps that have access to sensitive data. Selezionando le app per cloud, si definisce l'ambito delle app per cloud a cui si applica il criterio.By selecting cloud apps, you define the scope of cloud apps your policy applies to. Se necessario, è anche possibile escludere in modo esplicito un set di app dal criterio.If necessary, you can also explicitly exclude a set of apps from your policy.

Controllo

Per un elenco completo delle app cloud che è possibile usare nel criterio di accesso condizionale, vedere Documentazione tecnica sull'accesso condizionale di Azure Active Directory.For a complete list of the cloud apps you can use in your conditional access policy, see the Azure Active Directory Conditional Access technical reference.

Come?How?

Purché l'accesso alle app avvenga in condizioni controllabili, non è necessario imporre altri controlli sull'accesso degli utenti alle app per cloud.As long as access to your apps is performed under conditions you can control, there might be no need for imposing additional controls on how your cloud apps are accessed by your users. Le cose tuttavia cambiano se l'accesso alle app per cloud viene eseguito, ad esempio, da reti non considerate attendibili o da dispositivi non conformi.However, things might look different if access to your cloud apps is performed, for example, from networks that are not trusted or devices that are not compliant. In un'istruzione della condizione è possibile definire alcune condizioni di accesso con requisiti aggiuntivi per l'esecuzione dell'accesso alle app.In a condition statement, you can define certain access conditions that have additional requirements for how access to your apps is performed.

Condizioni

CondizioniConditions

Nell'implementazione corrente di Azure Active Directory è possibile definire condizioni per le aree seguenti:In the current implementation of Azure Active Directory, you can define conditions for the following areas:

  • Rischio di accessoSign-in risk
  • Piattaforme del dispositivoDevice platforms
  • LocalitàLocations
  • App clientClient apps

Condizioni

Rischio di accessoSign-in risk

Un rischio di accesso è un oggetto usato da Azure Active Directory per tenere traccia della probabilità che un tentativo di accesso non sia eseguito dal proprietario legittimo di un account utente.A sign-in risk is an object that is used by Azure Active Directory to track the likelihood that a sign-in attempt was not performed by the legitimate owner of a user account. In questo oggetto la probabilità (alta, media o bassa) viene archiviata sotto forma di attributo denominato livello di rischio di accesso.In this object, the likelihood (High, Medium, or Low) is stored in form of an attribute called sign-in risk level. L'oggetto viene generato durante l'accesso di un utente se vengono rilevati rischi di accesso da Azure Active Directory.This object is generated during a sign-in of a user if sign-in risks have been detected by Azure Active Directory. Per altre informazioni, vedere Accessi a rischio.For more information, see Risky sign-ins.
È possibile usare il livello di rischio di accesso calcolato come condizione nei criteri di accesso condizionale.You can use the calculated sign-in risk level as condition in a conditional access policy.

Condizioni

Piattaforme del dispositivoDevice platforms

La piattaforma del dispositivo è caratterizzata dal sistema operativo in esecuzione nel dispositivo: è possibile definire le piattaforme del dispositivo incluse, nonché le piattaforme del dispositivo esentate dai criteri.The device platform is characterized by the operating system that is running on your device: You can define the device platforms that are included as well as device platforms that are exempted from a policy.
Per usare le piattaforme del dispositivo, impostare prima i controlli di configurazione su e quindi selezionare tutte oppure una o più piattaforme del dispositivo a cui il criterio si applica.To use device platforms in the policy, first change the configure toggles to Yes, and then select all or individual device platforms the policy applies to. Se si selezionano singole piattaforme del dispositivo, il criterio ha effetto solo su queste piattaforme.If you select individual device platforms, the policy has only an impact on these platforms. In questo caso, gli accessi alle altre piattaforme supportate non sono interessati dal criterio.In this case, sign-ins to other supported platforms are not impacted by the policy.

Condizioni

Per un elenco completo delle piattaforme del dispositivo supportate, vedere Condizione per le piattaforme del dispositivo.For a complete list of the supported device platforms, see device platform condition.

LocalitàLocations

Le località consentono di definire le condizioni che dipendono dal punto in cui è stato avviato un tentativo di connessione.With locations, you have the option to define conditions that are based on where a connection attempt was initiated from. Nell'elenco delle località le voci sono suddivise tra località denominate e indirizzi IP attendibili MFA.The entries in the locations list are either named locations or MFA trusted IPs.

Località denominate è una funzionalità di Azure Active Directory che consente di definire etichette per le località da cui sono stati eseguiti tentativi di connessione.Named locations is a feature of Azure Active Directory that allows you to define labels for the locations connection attempts were made from. Per definire una località, è possibile configurare un intervallo di indirizzi IP oppure selezionare un paese o un'area geografica.To define a location, you can either configure an IP address ranges or you select a country / region.

Condizioni

È possibile anche contrassegnare una località denominata come località attendibile.Additionally, you can mark a named location as trusted location. Per i criteri di accesso condizionale, la località attendibile è un'altra opzione di filtro che consente di selezionare Tutte le posizioni attendibili nella condizione delle località.For a conditional access policy, the trusted location is another filter option that enables you to select All trusted locations in your locations condition. Le località denominate sono importanti anche nel contesto del rilevamento di eventi di rischio per ridurre il numero di falsi positivi per eventi di rischio di tipo Trasferimento impossibile a posizioni atipiche.Named locations are also important in the context of the detection of risk events to reduce the number of false-positives for the impossible travel to atypical locations risk event.

Il numero di località denominate che è possibile configurare è limitato dalle dimensioni dell'oggetto correlato in Azure AD.The number of named locations you can configure is constrained by the size of the related object in Azure AD. È possibile configurare:You can configure:

  • Una località denominata con un massimo di 500 intervalli IPOne named location with up to 500 IP ranges
  • Un massimo di 60 località denominate (anteprima), ognuna con un intervallo IP assegnatoA maximum of 60 named locations (preview) with one IP range assigned to each of them

Per altre informazioni, vedere Località denominate in Azure Active Directory.For more information, see named locations in Azure Active Directory.

Gli IP attendibili MFA sono una funzionalità di Multi-Factor Authentication che consente di definire intervalli di indirizzi IP attendibili che rappresentano la Intranet locale dell'organizzazione.MFA trusted IPs is a feature of multi-factor authentication that enables you to define trusted IP address ranges representing your organization's local intranet. Quando si configura la condizione di una località, Indirizzi IP attendibili consente di distinguere le connessioni stabilite dalla rete dell'organizzazione da quelle stabilite da tutte le altre località.When you configure a location condition, Trusted IPs enables you to distinguish between connections made from your organization's network and all other locations. Per altre informazioni, vedere IP attendibili.For more information, see trusted IPs.

Nei criteri di accesso condizionale, è possibile:In your conditional access policy, you can:

  • IncludiInclude
    • Qualsiasi localitàAny location
    • Tutte le località attendibiliAll trusted locations
    • Le località selezionateSelected locations
  • EscludiExclude
    • Tutte le località attendibiliAll trusted locations
    • Le località selezionateSelected locations

Condizioni

App clientClient apps

L'app client può essere, a livello generale, l'app (Web browser, app per dispositivi mobili, client desktop) usata per la connessione ad Azure Active Directory oppure è possibile selezionare in modo specifico Exchange Active Sync.The client app can be either on a generic level the app (web browser, mobile app, desktop client) you have used to connect to Azure Active Directory or you can specifically select Exchange Active Sync.
L'autenticazione legacy fa riferimento ai client che usano l'autenticazione di base, ad esempio i client Office meno recenti che non usano la moderna autenticazione.Legacy authentication refers to clients using basic authentication such as older Office clients that don’t use modern authentication. L'accesso condizionale non è attualmente supportato con l'autenticazione legacy.Conditional access is currently not supported with legacy authentication.

Condizioni

Per un elenco completo delle app client che è possibile usare nel criterio di accesso condizionale, vedere Documentazione tecnica sull'accesso condizionale di Azure Active Directory.For a complete list of the client apps you can use in your conditional access policy, see the Azure Active Directory Conditional Access technical reference.

Scenari comuniCommon scenarios

Richiesta dell'autenticazione a più fattori per le appRequiring multi-factor authentication for apps

Diversi ambienti hanno app che richiedono un livello di protezione maggiore delle altre,Many environments have apps requiring a higher level of protection than the others. ad esempio, app che hanno accesso a dati sensibili.This is, for example, the case for apps that have access to sensitive data. Per aggiungere un altro livello di protezione a queste app, è possibile configurare un criterio di accesso condizionale che richiede l'autenticazione a più fattori quando gli utenti accedono a queste app.If you want to add another layer of protection to these apps, you can configure a conditional access policy that requires multi-factor authentication when users are accessing these apps.

Richiesta dell'autenticazione a più fattori per l'accesso da reti non considerate attendibiliRequiring multi-factor authentication for access from networks that are not trusted

Questo scenario è simile a quello precedente perché aggiunge un requisito per l'autenticazione a più fattori.This scenario is similar to the previous scenario because it adds a requirement for multi-factor authentication. La differenza principale è tuttavia la condizione per questo requisito.However, the main difference is the condition for this requirement.
Mentre l'elemento essenziale dello scenario precedente sono le app con accesso a dati sensibili, in questo scenario l'elemento essenziale sono le località attendibili.While the focus of the previous scenario was on apps with access to sensitve data, the focus of this scenario is on trusted locations.
In altre parole, è possibile avere un requisito per l'autenticazione a più fattori se un'app è accessibile a un utente da una rete non considerata attendibile.In other words, you might have a requirement for multi-factor authentication if an app is accessed by a user from a network you don't trust.

Solo i dispositivi attendibili possono accedere ai servizi di Office 365Only trusted devices can access Office 365 services

Se si usa Intune nell'ambiente, è possibile iniziare immediatamente a usare l'interfaccia del criterio di accesso condizionale nella console Azure.If you are using Intune in your environment, you can immediately start using the conditional access policy interface in the Azure console.

Molti clienti Intune usano l'accesso condizionale per assicurarsi che solo i dispositivi attendibili possano accedere a Office 365.Many Intune customers are using conditional access to ensure that only trusted devices can access Office 365 services. Di conseguenza i dispositivi mobili vengono registrati con Intune e soddisfano i requisiti dei criteri di conformità e i PC Windows vengono aggiunti e un dominio locale.This means that mobile devices are enrolled with Intune and meet compliance policy requirements, and that Windows PCs are joined to an on-premises domain. Un importante miglioramento consiste nel fatto che non è necessario impostare lo stesso criterio per ogni servizio di Office 365.A key improvement is that you do not have to set the same policy for each of the Office 365 services. Quando si crea un nuovo criterio, configurare le app per cloud in modo da includere ogni app di O365 da proteggere con l'accesso condizionale.When you create a new policy, configure the Cloud apps to include each of the O365 apps that you wish to protect with Conditional Access.

Passaggi successiviNext steps