Procedure consigliate per l'accesso condizionale in Azure Active DirectoryBest practices for conditional access in Azure Active Directory

Con l'accesso condizionale di Azure Active Directory (Azure AD) è possibile controllare il modo in cui gli utenti autorizzati accedono alle app cloud.With Azure Active Directory (Azure AD) conditional access, you can control how authorized users access your cloud apps. Questo articolo illustra quanto segue:This article provides you with information about:

  • Informazioni utiliThings you should know
  • Azioni da evitare nella configurazione dei criteri di accesso condizionaleWhat it is you should avoid doing when configuring conditional access policies.

Questo articolo presuppone che l'utente abbia familiarità con i concetti e la terminologia descritti in Accesso condizionale in Azure Active Directory.This article assumes that you familiar the concepts and the terminology outlined in Conditional access in Azure Active Directory

Elementi necessari per il funzionamento di un criterioWhat’s required to make a policy work?

Quando si crea un nuovo criterio, non sono presenti utenti, gruppi, app o controlli di accesso selezionati.When you create a new policy, there are no users, groups, apps, or access controls selected.

App cloud

Affinché il criterio funzioni, è necessario configurare quanto segue:To make your policy work, you must configure:

CosaWhat ComeHow MotivoWhy
App cloudCloud apps È necessario selezionare una o più app.You need to select one or more apps. L'obiettivo di un criterio di accesso condizionale è consentire di controllare il modo in cui gli utenti potranno accedere alle app cloud.The goal of a conditional access policy is to enable you to control how authorized users can access cloud apps.
Utenti e gruppiUsers and groups È necessario selezionare almeno un utente o un gruppo autorizzato ad accedere alle app cloud selezionate.You need to select at least one user or group that is authorized to access your selected cloud apps. Un criterio di accesso condizionale a cui non sono assegnati utenti e gruppi non viene mai attivato.A conditional access policy that has no users and groups assigned, is never triggered.
Controlli di accessoAccess controls È necessario selezionare almeno un controllo di accesso.You need to select at least one access control. L'elaboratore di criteri deve sapere quali operazioni eseguire se le condizioni vengono soddisfatte.If your conditions are satisfied, your policy processor needs to know what to do.

Informazioni utiliWhat you should know

Come vengono valutate le assegnazioni?How are assignments evaluated?

Tutte le assegnazioni vengono collegate logicamente con l'operatore AND.All assignments are logically ANDed. Se sono configurate più assegnazioni, per attivare un criterio devono essere soddisfatte tutte.If you have more than one assignment configured, all assignments must be satisfied to trigger a policy.

Se è necessario configurare una condizione relativa alla località applicata a tutte le connessioni stabilite dall'esterno della rete dell'organizzazione:If you need to configure a location condition that applies to all connections made from outside your organization's network:

  • Includere Tutte le localitàInclude All locations
  • Escludere Tutti gli indirizzi IP attendibiliExclude All trusted IPs

Quali operazioni è necessario eseguire se non si riesce ad accedere al portale di amministrazione di Azure AD?What to do if you are locked out of the Azure AD admin portal?

Se non si riesce ad accedere al portale di Azure AD a causa di un'impostazione errata in un criterio di accesso condizionale:If you are locked out of the Azure AD portal due to an incorrect setting in a conditional access policy:

  • Verificare se siano presenti altri amministratori dell'organizzazione che non sono ancora stati bloccati.Verify whether there are other administrators in your organization that are not blocked yet. Un amministratore con accesso al portale di Azure può disabilitare il criterio che impedisce l'accesso.An administrator with access to the Azure portal can disable the policy that is impacting your sign in.

  • Se nessun amministratore dell'organizzazione può aggiornare il criterio, è necessario inviare una richiesta di supporto.If none of the administrators in your organization can update the policy, you need to submit a support request. Il supporto tecnico Microsoft può esaminare e aggiornare i criteri di accesso condizionale che impediscono l'accesso.Microsoft support can review and update conditional access policies that are preventing access.

Che cosa accade se sono configurati criteri nel portale di Azure classico e nel portale di Azure?What happens if you have policies in the Azure classic portal and Azure portal configured?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.

Che cosa accade se sono presenti criteri nel portale di Intune Silverlight e nel portale di Azure?What happens if you have policies in the Intune Silverlight portal and the Azure portal?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.

Che cosa accade se sono configurati più criteri per lo stesso utente?What happens if I have multiple policies for the same user configured?

Per ogni accesso, Azure Active Directory valuta tutti i criteri e verifica che tutti i requisiti vengano soddisfatti prima di concedere l'accesso all'utente.For every sign-in, Azure Active Directory evaluates all policies and ensures that all requirements are met before granted access to the user.

L'accesso condizionale funziona con Exchange ActiveSync?Does conditional access work with Exchange ActiveSync?

Sì, è possibile usare Exchange ActiveSync in criteri di accesso condizionale.Yes, you can use Exchange ActiveSync in a conditional access policy.

Azioni da evitareWhat you should avoid doing

Il framework di accesso condizionale offre ottima flessibilità di configurazione.The conditional access framework provides you with a great configuration flexibility. Con un'elevata flessibilità, tuttavia, è consigliabile esaminare attentamente ogni criterio di configurazione prima del rilascio per evitare risultati indesiderati.However, great flexibility also means that you should carefully review each configuration policy before releasing it to avoid undesirable results. In questo contesto, è necessario prestare particolare attenzione alle assegnazioni che interessano set completi, ad esempio tutti gli utenti/i gruppi/le applicazioni cloud.In this context, you should pay special attention to assignments affecting complete sets such as all users / groups / cloud apps.

Nell'ambiente, è necessario evitare le seguenti configurazioni:In your environment, you should avoid the following configurations:

Per tutti gli utenti e tutte le applicazioni cloud:For all users, all cloud apps:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.Block access - This configuration blocks your entire organization, which is definitely not a good idea.

  • Richiedi un dispositivo conforme: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, incluso l'accesso al portale di Intune.Require compliant device - For users that have not enrolled their devices yet, this policy blocks all access including access to the Intune portal. Se l'utente è amministratore senza un dispositivo registrato, questo criterio blocca l'accesso al portale di Azure per la modifica dei criteri.If you are an administrator without an enrolled device, this policy blocks you from getting back into the Azure portal to change the policy.

  • Require domain join (Richiedi aggiunta a dominio): se ancora non si dispone di un dispositivo aggiunto al dominio, questo criterio di blocco dell'accesso è anche in grado di bloccare l'accesso per tutti gli utenti nell'organizzazione.Require domain join - This policy block access has also the potential to block access for all users in your organization if you don't have a domain-joined device yet.

Per tutti gli utenti, tutte le applicazioni cloud e tutte le piattaforme per dispositivi:For all users, all cloud apps, all device platforms:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.Block access - This configuration blocks your entire organization, which is definitely not a good idea.

Come distribuire un nuovo criterioHow should you deploy a new policy?

Come primo passaggio, è consigliabile valutare il criterio con lo strumento per l'analisi di simulazione.As a first step, you should evaluate your policy using the what if tool.

Quando si è pronti a distribuire un nuovo criterio nel proprio ambiente, è consigliabile procedere per fasi:When you are ready to deploy a new policy into your environment, you should do this in phases:

  1. Applicare un criterio a un set ridotto di utenti e verificare che abbia il comportamento previsto.Apply a policy to a small set of users and verify it behaves as expected.

  2. Quando si espande un criterio per includere un maggior numero di utenti, continuare a escludere tutti gli amministratori dal criterio.When you expand a policy to include more users, continue to exclude all administrators from the policy. In questo modo, gli amministratori potranno comunque accedere e aggiornare il criterio, se è necessaria una modifica.This ensures that administrators still have access and can update a policy if a change is required.

  3. Applicare un criterio a tutti gli utenti solo se realmente necessario.Apply a policy to all users only if this is really required.

Come procedura consigliata, creare un account utente che sia:As a best practice, create a user account that is:

  • Dedicato all'amministrazione dei criteriDedicated to policy administration
  • Escluso da tutti i criteriExcluded from all your policies

Migrazione dei criteriPolicy migration

Valutare la possibilità di eseguire la migrazione dei criteri che non sono stati creati nel portale di Azure per i motivi seguenti:Consider migrating the policies you have not created in the Azure portal because:

  • È ora possibile gestire scenari che in precedenza non era possibile gestire.You can now address scenarios you could not handle before.

  • Il consolidamento consente di ridurre il numero di criteri da gestire.You can reduce the number of policies you have to manage by consolidating them.

  • È possibile gestire tutti i criteri di accesso condizionale in un'unica posizione centrale.You can manage all your conditional access policies in one central location.

  • Il portale di Azure classico è stato ritirato.The Azure classic portal has been retired.

Per altre informazioni, vedere Migrare i criteri classici nel portale di Azure.For more information, see Migrate classic policies in the Azure portal.

Passaggi successiviNext steps

Per informazioni su come configurare un criterio di accesso condizionale, vedere Get started with conditional access in Azure Active Directory (Introduzione all'accesso condizionale in Azure Active Directory).If you want to know how to configure a conditional access policy, see Get started with conditional access in Azure Active Directory.