Procedure consigliate per l'accesso condizionale in Azure Active DirectoryBest practices for conditional access in Azure Active Directory

Questo argomento fornisce informazioni sugli aspetti da conoscere e su ciò che è consigliabile evitare quando si configurano i criteri di accesso condizionale.This topic provides you with information about things you should know and what it is you should avoid doing when configuring conditional access policies. Prima di procedere nella lettura, occorre acquisire familiarità con i concetti e la terminologia descritti in Accesso condizionale in Azure Active DirectoryBefore reading this topic, you should familiarize yourself with the concepts and the terminology outlined in Conditional access in Azure Active Directory

Informazioni utiliWhat you should know

Elementi necessari per il funzionamento di un criterioWhat’s required to make a policy work?

Quando si crea un nuovo criterio, non sono selezionti utenti, gruppi, app o controlli di accesso.When you create a new policy, there are no users, groups, apps or access controls selected.

App cloud

Per far funzionare il criterio, è necessario configurare quanto segue:To make your policy work, you must configure the following:

CosaWhat ComeHow MotivoWhy
App cloudCloud apps È necessario selezionare una o più app.You need to select one or more apps. L'obiettivo di un criterio di accesso condizionale è consentire di ottimizzare il modo in cui gli utenti autorizzati possono accedere alle app.The goal of a conditional access policy is to enable you to fine-tune how authorized users can access your apps.
Utenti e gruppiUsers and groups È necessario selezionare almeno un utente o gruppo che è autorizzato ad accedere alle app cloud selezionate.You need to select at least one user or group that is authorized to access the cloud apps you have selected. Un criterio di accesso condizionale a cui non sono assegnati utenti e gruppi non viene mai attivato.A conditional access policy that has no users and groups assigned, is never triggered.
Controlli di accessoAccess controls È necessario selezionare almeno un controllo di accesso.You need to select at least one access control. Il processore del criterio deve sapere cosa fare se vengono soddisfatte le condizioni.Your policy processor needs to know what to do if your conditions are satisfied.

Oltre a questi requisiti di base, in molti casi è necessario anche configurare una condizione.In addition to these basic requirements, in many cases, you should also configure a condition. Mentre un criterio funzionerebbe anche senza una condizione configurata, le condizioni rappresentano il fattore determinante per ottimizzare l'accesso alle app.While a policy would also work without a configured condition, conditions are the driving factor for fine-tuning access to your apps.

App cloud

Come vengono valutate le assegnazioni?How are assignments evaluated?

Tutte le assegnazioni vengono collegate logicamente con l'operatore AND.All assignments are logically ANDed. Se è configurata più di un'assegnazione, per attivare un criterio, devono essere soddisfatte tutte le assegnazioni.If you have more than one assignment configured, to trigger a policy, all assignments must be satisfied.

Se è necessario configurare una condizione della località che si applica a tutte le connessioni stabilite dall'esterno della rete dell'organizzazione, è possibile:If you need to configure a location condition that applies to all connections made from outside your organization's network, you can accomplish this by:

  • Includere Tutte le localitàIncluding All locations
  • Escludere Tutti gli indirizzi IP attendibiliExcluding All trusted IPs

Che cosa accade se sono configurati criteri nel portale di Azure classico e nel portale di Azure?What happens if you have policies in the Azure classic portal and Azure portal configured?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.

Che cosa accade se sono presenti criteri nel portale di Intune Silverlight e nel portale di Azure?What happens if you have policies in the Intune Silverlight portal and the Azure Portal?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.

Che cosa accade se sono configurati più criteri per lo stesso utente?What happens if I have multiple policies for the same user configured?

Per ogni accesso, Azure Active Directory valuta tutti i criteri e verifica che tutti i requisiti vengano soddisfatti prima di concedere l'accesso all'utente.For every sign-in, Azure Active Directory evaluates all policies and ensures that all requirements are met before granted access to the user.

L'accesso condizionale funziona con Exchange ActiveSync?Does conditional access work with Exchange ActiveSync?

Sì, è possibile usare Exchange ActiveSync in criteri di accesso condizionale.Yes, you can use Exchange ActiveSync in a conditional access policy.

Azioni da evitareWhat you should avoid doing

Il framework di accesso condizionale offre ottima flessibilità di configurazione.The conditional access framework provides you with a great configuration flexibility. Tuttavia, questa flessibilità ideale comporta anche che è opportuno esaminare attentamente ogni criterio di configurazione prima che venga rilasciato, in modo da evitare risultati indesiderati.However, great flexibility also means that you should carefully review each configuration policy prior to releasing it to avoid undesirable results. In questo contesto, è necessario prestare particolare attenzione alle assegnazioni che interessano set completi, ad esempio tutti gli utenti/i gruppi/le applicazioni cloud.In this context, you should pay special attention to assignments affecting complete sets such as all users / groups / cloud apps.

Nell'ambiente, è necessario evitare le seguenti configurazioni:In your environment, you should avoid the following configurations:

Per tutti gli utenti e tutte le applicazioni cloud:For all users, all cloud apps:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.Block access - This configuration blocks your entire organization, which is definitely not a good idea.

  • Richiedi un dispositivo conforme: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, tra cui l'accesso al portale di Intune.Require compliant device - For users that don't have enrolled their devices yet, this policy blocks all access including access to the Intune portal. Se l'utente è amministratore senza un dispositivo registrato, questo criterio blocca l'accesso al portale di Azure per la modifica dei criteri.If you are an administrator without an enrolled device, this policy blocks you from getting back into the Azure portal to change the policy.

  • Require domain join (Richiedi aggiunta a dominio): se ancora non si dispone di un dispositivo aggiunto al dominio, questo criterio di blocco dell'accesso è anche in grado di bloccare l'accesso per tutti gli utenti nell'organizzazione.Require domain join - This policy block access has also the potential to block access for all users in your organization if you don't have a domain-joined device yet.

Per tutti gli utenti, tutte le applicazioni cloud e tutte le piattaforme per dispositivi:For all users, all cloud apps, all device platforms:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.Block access - This configuration blocks your entire organization, which is definitely not a good idea.

Migrazione dei criteriPolicy migration

Se nel portale di Azure classico sono configurati dei criteri, è opportuno eseguirne la migrazione nel portale di Azure per i motivi seguenti:If you have policies in the Azure classic portal configured, you should migrate them to the Azure portal because:

  • Un utente per cui sono configurati criteri nel portale di Azure classico e nel portale di Azure deve soddisfare i requisiti per entrambi i criteriA user who is in an Azure classic portal policy and an Azure portal policy needs to meet the requirements in both policies

  • Se non si esegue la migrazione dei criteri esistenti, non si potranno implementare i criteri che concedono l'accessoIf you don't migrate your existing policies, you will not be able to implement policies that are granting access

Migrazione dal portale di Azure classicoMigration from the Azure classic portal

In questo scenario:In this scenario:

  • Nel portale di Azure classico sono configurati:In your Azure classic portal, you have configured:

    • SharePoint OnlineSharePoint Online

      Accesso condizionale

    • Criteri di accesso condizionale basato su dispositivoA device-based conditional access policy

      Accesso condizionale

  • Si vuole eseguire la configurazione di criteri di accesso condizionale con gestione di applicazioni mobili nel portale di AzureYou want to configure a mobile application management conditional access policy in the Azure portal

ConfigurazioneConfiguration

  • Esaminare i criteri di accesso condizionale basato su dispositivoReview your device-based conditional access policies

  • Eseguirne la migrazione nel portale di AzureMigrate them to the Azure portal

  • Aggiungere criteri di accesso condizionale con gestione di applicazioni mobiliAdd mobile application management conditional access policies

Migrazione da IntuneMigrating from Intune

In questo scenario:In this scenario:

  • In Intune sono configurati criteri di accesso condizionale con gestione di applicazioni mobili per Exchange Online o SharePoint OnlineIn Intune, you have a mobile application management conditional access policy for either Exchange Online or SharePoint Online configured

    Accesso condizionale

  • Si vuole eseguire la migrazione in modo da usare l'accesso condizionale con gestione di applicazioni mobili nel portale di AzureYou want to migrate to using mobile application management conditional access in the Azure portal

ConfigurazioneConfiguration

  • Esaminare i criteri di accesso condizionale basato su dispositivoReview your device-based conditional access policies

  • Eseguirne la migrazione nel portale di AzureMigrate them to the Azure portal

  • Esaminare i criteri di accesso condizionale con gestione di applicazioni mobili configurati per Exchange Online o SharePoint Online in IntuneReview you mobile application management conditional access policies configured for Exchange Online or SharePoint Online in Intune

  • Aggiungere il controllo per richiedere applicazioni approvate oltre al controllo basato su dispositivoAdd the control for Require approved applications in addition to the device-based control

Migrazione dal portale di Azure classico e IntuneMigrating from the Azure classic portal and Intune

In questo scenario:In this scenario:

  • Sono configurati i criteri seguenti:You have the following configured:

    • Portale di Azure classico: criteri di accesso condizionale basato su dispositivoAzure classic portal: Device-based conditional

    • Intune: criteri di accesso condizionale con gestione di applicazioni mobiliIntune: Mobile application management conditional access policies

  • Si vuole eseguire la migrazione di entrambi i criteri in modo da usare l'accesso condizionale con gestione di applicazioni mobili nel portale di AzureYou want to migrate both policies to using mobile application management conditional access policies in the Azure portal

ConfigurazioneConfiguration

  • Esaminare i criteri di accesso condizionale basato su dispositivoReview your device-based conditional access policies

  • Eseguirne la migrazione nel portale di AzureMigrate them to the Azure portal

  • Esaminare i criteri di accesso condizionale con gestione di applicazioni mobili configurati per Exchange Online o SharePoint Online in IntuneReview you mobile application management conditional access policy configured for Exchange Online or SharePoint Online in Intune

  • Aggiungere il controllo per richiedere applicazioni approvate oltre a quello basato su dispositivoAdd the control for Require approved applications in addition to the device-based

Passaggi successiviNext steps

Per informazioni su come configurare un criterio di accesso condizionale, vedere Get started with conditional access in Azure Active Directory (Introduzione all'accesso condizionale in Azure Active Directory).If you want to know how to configure a conditional access policy, see Get started with conditional access in Azure Active Directory.