Procedure consigliate per l'accesso condizionale in Azure Active Directory

Questo argomento fornisce informazioni sugli aspetti da conoscere e su ciò che è consigliabile evitare quando si configurano i criteri di accesso condizionale. Prima di procedere nella lettura, occorre acquisire familiarità con i concetti e la terminologia descritti in Accesso condizionale in Azure Active Directory

Informazioni utili

Elementi necessari per il funzionamento di un criterio

Quando si crea un nuovo criterio, non sono selezionti utenti, gruppi, app o controlli di accesso.

App cloud

Per far funzionare il criterio, è necessario configurare quanto segue:

Cosa Come Motivo
App cloud È necessario selezionare una o più app. L'obiettivo di un criterio di accesso condizionale è consentire di ottimizzare il modo in cui gli utenti autorizzati possono accedere alle app.
Utenti e gruppi È necessario selezionare almeno un utente o gruppo che è autorizzato ad accedere alle app cloud selezionate. Un criterio di accesso condizionale a cui non sono assegnati utenti e gruppi non viene mai attivato.
Controlli di accesso È necessario selezionare almeno un controllo di accesso. Il processore del criterio deve sapere cosa fare se vengono soddisfatte le condizioni.

Oltre a questi requisiti di base, in molti casi è necessario anche configurare una condizione. Mentre un criterio funzionerebbe anche senza una condizione configurata, le condizioni rappresentano il fattore determinante per ottimizzare l'accesso alle app.

App cloud

Come vengono valutate le assegnazioni?

Tutte le assegnazioni vengono collegate logicamente con l'operatore AND. Se è configurata più di un'assegnazione, per attivare un criterio, devono essere soddisfatte tutte le assegnazioni.

Se è necessario configurare una condizione della località che si applica a tutte le connessioni stabilite dall'esterno della rete dell'organizzazione, è possibile:

  • Includere Tutte le località
  • Escludere Tutti gli indirizzi IP attendibili

Che cosa accade se sono configurati criteri nel portale di Azure classico e nel portale di Azure?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.

Che cosa accade se sono presenti criteri nel portale di Intune Silverlight e nel portale di Azure?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.

Che cosa accade se sono configurati più criteri per lo stesso utente?

Per ogni accesso, Azure Active Directory valuta tutti i criteri e verifica che tutti i requisiti vengano soddisfatti prima di concedere l'accesso all'utente.

L'accesso condizionale funziona con Exchange ActiveSync?

Sì, è possibile usare Exchange ActiveSync in criteri di accesso condizionale.

Azioni da evitare

Il framework di accesso condizionale offre ottima flessibilità di configurazione. Tuttavia, questa flessibilità ideale comporta anche che è opportuno esaminare attentamente ogni criterio di configurazione prima che venga rilasciato, in modo da evitare risultati indesiderati. In questo contesto, è necessario prestare particolare attenzione alle assegnazioni che interessano set completi, ad esempio tutti gli utenti/i gruppi/le applicazioni cloud.

Nell'ambiente, è necessario evitare le seguenti configurazioni:

Per tutti gli utenti e tutte le applicazioni cloud:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.

  • Richiedi un dispositivo conforme: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, tra cui l'accesso al portale di Intune. Se l'utente è amministratore senza un dispositivo registrato, questo criterio blocca l'accesso al portale di Azure per la modifica dei criteri.

  • Require domain join (Richiedi aggiunta a dominio): se ancora non si dispone di un dispositivo aggiunto al dominio, questo criterio di blocco dell'accesso è anche in grado di bloccare l'accesso per tutti gli utenti nell'organizzazione.

Per tutti gli utenti, tutte le applicazioni cloud e tutte le piattaforme per dispositivi:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.

Migrazione dei criteri

Se nel portale di Azure classico sono configurati dei criteri, è opportuno eseguirne la migrazione nel portale di Azure per i motivi seguenti:

  • Un utente per cui sono configurati criteri nel portale di Azure classico e nel portale di Azure deve soddisfare i requisiti per entrambi i criteri

  • Se non si esegue la migrazione dei criteri esistenti, non si potranno implementare i criteri che concedono l'accesso

Migrazione dal portale di Azure classico

In questo scenario:

  • Nel portale di Azure classico sono configurati:

    • SharePoint Online

      Accesso condizionale

    • Criteri di accesso condizionale basato su dispositivo

      Accesso condizionale

  • Si vuole eseguire la configurazione di criteri di accesso condizionale con gestione di applicazioni mobili nel portale di Azure

Configurazione

  • Esaminare i criteri di accesso condizionale basato su dispositivo

  • Eseguirne la migrazione nel portale di Azure

  • Aggiungere criteri di accesso condizionale con gestione di applicazioni mobili

Migrazione da Intune

In questo scenario:

  • In Intune sono configurati criteri di accesso condizionale con gestione di applicazioni mobili per Exchange Online o SharePoint Online

    Accesso condizionale

  • Si vuole eseguire la migrazione in modo da usare l'accesso condizionale con gestione di applicazioni mobili nel portale di Azure

Configurazione

  • Esaminare i criteri di accesso condizionale basato su dispositivo

  • Eseguirne la migrazione nel portale di Azure

  • Esaminare i criteri di accesso condizionale con gestione di applicazioni mobili configurati per Exchange Online o SharePoint Online in Intune

  • Aggiungere il controllo per richiedere applicazioni approvate oltre al controllo basato su dispositivo

Migrazione dal portale di Azure classico e Intune

In questo scenario:

  • Sono configurati i criteri seguenti:

    • Portale di Azure classico: criteri di accesso condizionale basato su dispositivo

    • Intune: criteri di accesso condizionale con gestione di applicazioni mobili

  • Si vuole eseguire la migrazione di entrambi i criteri in modo da usare l'accesso condizionale con gestione di applicazioni mobili nel portale di Azure

Configurazione

  • Esaminare i criteri di accesso condizionale basato su dispositivo

  • Eseguirne la migrazione nel portale di Azure

  • Esaminare i criteri di accesso condizionale con gestione di applicazioni mobili configurati per Exchange Online o SharePoint Online in Intune

  • Aggiungere il controllo per richiedere applicazioni approvate oltre a quello basato su dispositivo

Passaggi successivi

Per informazioni su come configurare un criterio di accesso condizionale, vedere Get started with conditional access in Azure Active Directory (Introduzione all'accesso condizionale in Azure Active Directory).