Procedure consigliate per l'accesso condizionale in Azure Active Directory

Questo argomento fornisce informazioni sugli aspetti da conoscere e su ciò che è consigliabile evitare quando si configurano i criteri di accesso condizionale. Prima di procedere nella lettura, occorre acquisire familiarità con i concetti e la terminologia descritti in Accesso condizionale in Azure Active Directory

Informazioni utili

Elementi necessari per il funzionamento di un criterio

Quando si crea un nuovo criterio, non sono selezionti utenti, gruppi, app o controlli di accesso.

App cloud

Per far funzionare il criterio, è necessario configurare quanto segue:

Cosa Come Motivo
App cloud È necessario selezionare una o più app. L'obiettivo di un criterio di accesso condizionale è consentire di ottimizzare il modo in cui gli utenti autorizzati possono accedere alle app.
Utenti e gruppi È necessario selezionare almeno un utente o gruppo che è autorizzato ad accedere alle app cloud selezionate. Un criterio di accesso condizionale a cui non sono assegnati utenti e gruppi non viene mai attivato.
Controlli di accesso È necessario selezionare almeno un controllo di accesso. Il processore del criterio deve sapere cosa fare se vengono soddisfatte le condizioni.

Oltre a questi requisiti di base, in molti casi è necessario anche configurare una condizione. Mentre un criterio funzionerebbe anche senza una condizione configurata, le condizioni rappresentano il fattore determinante per ottimizzare l'accesso alle app.

App cloud

Come vengono valutate le assegnazioni?

Tutte le assegnazioni vengono collegate logicamente con l'operatore AND. Se è configurata più di un'assegnazione, per attivare un criterio, devono essere soddisfatte tutte le assegnazioni.

Se è necessario configurare una condizione della località che si applica a tutte le connessioni stabilite dall'esterno della rete dell'organizzazione, è possibile:

  • Includere Tutte le località
  • Escludere Tutti gli indirizzi IP attendibili

Che cosa accade se sono configurati criteri nel portale di Azure classico e nel portale di Azure?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.

Che cosa accade se sono presenti criteri nel portale di Intune Silverlight e nel portale di Azure?

Entrambi i criteri vengono applicati da Azure Active Directory e l'utente ottiene l'accesso solo quando tutti i requisiti vengono soddisfatti.

Che cosa accade se sono configurati più criteri per lo stesso utente?

Per ogni accesso, Azure Active Directory valuta tutti i criteri e verifica che tutti i requisiti vengano soddisfatti prima di concedere l'accesso all'utente.

L'accesso condizionale funziona con Exchange ActiveSync?

Sì, è possibile usare Exchange ActiveSync in criteri di accesso condizionale.

Azioni da evitare

Il framework di accesso condizionale offre ottima flessibilità di configurazione. Tuttavia, questa flessibilità ideale comporta anche che è opportuno esaminare attentamente ogni criterio di configurazione prima che venga rilasciato, in modo da evitare risultati indesiderati. In questo contesto, è necessario prestare particolare attenzione alle assegnazioni che interessano set completi, ad esempio tutti gli utenti/i gruppi/le applicazioni cloud.

Nell'ambiente, è necessario evitare le seguenti configurazioni:

Per tutti gli utenti e tutte le applicazioni cloud:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.

  • Richiedi un dispositivo conforme: per gli utenti che non hanno ancora registrato i propri dispositivi, questo criterio blocca tutti gli accessi, tra cui l'accesso al portale di Intune. Se l'utente è amministratore senza un dispositivo registrato, questo criterio blocca l'accesso al portale di Azure per la modifica dei criteri.

  • Require domain join (Richiedi aggiunta a dominio): se ancora non si dispone di un dispositivo aggiunto al dominio, questo criterio di blocco dell'accesso è anche in grado di bloccare l'accesso per tutti gli utenti nell'organizzazione.

Per tutti gli utenti, tutte le applicazioni cloud e tutte le piattaforme per dispositivi:

  • Blocca accesso: questa configurazione consente di bloccare l'intera organizzazione. Un'idea chiaramente non buona.

Scenari comuni

Richiesta dell'autenticazione a più fattori per le app

Diversi ambienti hanno app che richiedono un livello di protezione maggiore delle altre, ad esempio, app che hanno accesso a dati sensibili. Per aggiungere un altro livello di protezione a queste app, è possibile configurare un criterio di accesso condizionale che richiede l'autenticazione a più fattori quando gli utenti accedono a queste app.

Richiesta dell'autenticazione a più fattori per l'accesso da reti non considerate attendibili

Questo scenario è simile a quello precedente perché aggiunge un requisito per l'autenticazione a più fattori. La differenza principale è tuttavia la condizione per questo requisito.
Mentre l'elemento essenziale dello scenario precedente sono le app con accesso a dati sensibili, in questo scenario l'elemento essenziale sono le località attendibili.
In altre parole, è possibile avere un requisito per l'autenticazione a più fattori se un'app è accessibile a un utente da una rete non considerata attendibile.

Solo i dispositivi attendibili possono accedere ai servizi di Office 365

Se si usa Intune nell'ambiente, è possibile iniziare immediatamente a usare l'interfaccia del criterio di accesso condizionale nella console Azure.

Molti clienti Intune usano l'accesso condizionale per assicurarsi che solo i dispositivi attendibili possano accedere a Office 365. Di conseguenza i dispositivi mobili vengono registrati con Intune e soddisfano i requisiti dei criteri di conformità e i PC Windows vengono aggiunti e un dominio locale. Un importante miglioramento consiste nel fatto che non è necessario impostare lo stesso criterio per ogni servizio di Office 365. Quando si crea un nuovo criterio, configurare le app per cloud per includere ogni app di O365 che si vuole proteggere con l'accesso condizionale.

Passaggi successivi

Per informazioni su come configurare un criterio di accesso condizionale, vedere Get started with conditional access in Azure Active Directory (Introduzione all'accesso condizionale in Azure Active Directory).