Accesso condizionale: assegnazione di rete

  • Articolo

Amministrazione istrator possono creare criteri destinati a percorsi di rete specifici come segnale insieme ad altre condizioni nel processo decisionale. Possono includere o escludere questi percorsi di rete come parte della configurazione dei criteri. Questi percorsi di rete possono includere informazioni di rete IPv4 o IPv6 pubbliche, paesi, aree sconosciute che non eseguono il mapping a paesi specifici o rete conforme all'accesso sicuro globale.

Diagramma che mostra il concetto di segnali di accesso condizionale e la decisione di applicare i criteri dell'organizzazione.

Nota

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Le organizzazioni possono usare queste posizioni per attività comuni, ad esempio:

  • Richiedere l'autenticazione a più fattori per gli utenti che accedono a un servizio quando si trovano fuori dalla rete aziendale.
  • Bloccare l'accesso da paesi specifici da cui l'organizzazione non opera mai.

La posizione di un utente viene trovata usando l'indirizzo IP pubblico o le coordinate GPS fornite dall'app Microsoft Authenticator. I criteri di accesso condizionale si applicano a tutte le posizioni per impostazione predefinita.

Suggerimento

La condizione Location è stata spostata e è stata rinominata Rete. All'inizio questa condizione verrà visualizzata sia a livello di assegnazione che in Condizioni.

Screenshot che mostra la condizione di assegnazione di rete nei criteri di accesso condizionale.

Se configurata nei criteri

Quando si configura la condizione per la posizione, è possibile distinguere tra:

  • Qualsiasi rete o percorso
  • Tutte le reti e le località attendibili
  • Tutti i percorsi di rete conformi
  • Reti e località selezionate

Qualsiasi rete o percorso

Per impostazione predefinita, se si seleziona Qualsiasi posizione , un criterio viene applicato a tutti gli indirizzi IP, il che significa qualsiasi indirizzo su Internet. Questa impostazione non è limitata agli indirizzi IP configurati come percorsi denominati. Quando si seleziona Tutte le località, è comunque possibile escludere percorsi specifici dai criteri. Ad esempio, è possibile applicare dei criteri a tutte le posizioni tranne che ai percorsi attendibili per impostare l'ambito per tutte le posizioni ad eccezione della rete aziendale.

Tutte le reti e le località attendibili

Questa opzione si applica a:

  • Tutte le posizioni contrassegnate come posizioni attendibili.
  • Ip attendibili per l'autenticazione a più fattori, se configurati.

Indirizzi IP attendibili per l'autenticazione a più fattori

L'uso della sezione INDIRIZZI IP attendibili delle impostazioni del servizio di autenticazione a più fattori non è più consigliato. Questo controllo accetta solo indirizzi IPv4 e deve essere usato solo per scenari specifici illustrati nell'articolo Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra.

Se questi indirizzi IP attendibili sono configurati, vengono visualizzati come INDIRIZZI IP attendibili MFA nell'elenco di posizioni per la condizione di posizione.

Tutti i percorsi di rete conformi

Le organizzazioni con accesso alle funzionalità di anteprima di Accesso sicuro globale hanno un'altra posizione elencata costituita da utenti e dispositivi conformi ai criteri di sicurezza dell'organizzazione. Per altre informazioni, vedere la sezione Abilitare la segnalazione dell'accesso sicuro globale per l'accesso condizionale. Può essere usato con i criteri di accesso condizionale per eseguire un controllo di rete conforme per l'accesso alle risorse.

Reti e località selezionate

Con questa opzione è possibile selezionare una o più posizioni specifiche. Per applicare criteri con questa impostazione, un utente deve connettersi da una delle posizioni selezionate. Quando si sceglie Seleziona, viene visualizzato un elenco di posizioni definite. Questo elenco mostra il nome, il tipo e se il percorso di rete è contrassegnato come attendibile.

Come vengono definite queste posizioni?

Le posizioni sono definite ed esistono nell'interfaccia di amministrazione di Microsoft Entra in Protezione>dei percorsi denominati per l'accesso>condizionale. Amministrazione istratori con almeno il L'accesso condizionale Amministrazione istrator può creare e aggiornare percorsi denominati.

Screenshot delle posizioni denominate nell'interfaccia di amministrazione di Microsoft Entra.

Le posizioni denominate possono includere posizioni come intervalli di rete della sede centrale di un'organizzazione, intervalli di rete VPN o intervalli che si desidera bloccare. Le località denominate contengono intervalli di indirizzi IPv4, intervalli di indirizzi IPv6 o paesi.

Intervalli di indirizzi IPv4 e IPv6

Per definire una posizione denominata in base a intervalli di indirizzi IPv4 o IPv6 pubblici, è necessario specificare:

  • Nome per la posizione.
  • Uno o più intervalli IP pubblici.
  • Facoltativamente, contrassegna come percorso attendibile.

Le posizioni denominate definite dagli intervalli di indirizzi IPv4/IPv6 sono soggette alle limitazioni seguenti:

  • Non più di 195 località denominate.
  • Non più di 2000 intervalli IP per ogni località denominata.
  • Solo le maschere CIDR maggiori di /8 sono consentite quando si definisce un intervallo IP.

Per i dispositivi in una rete privata, l'indirizzo IP non è l'indirizzo IP client del dispositivo dell'utente nella intranet (ad esempio 10.55.99.3), è l'indirizzo usato dalla rete per connettersi a Internet pubblico (ad esempio 198.51.100.3).

Percorsi attendibili

Amministrazione istrator possono contrassegnare facoltativamente percorsi basati su IP come gli intervalli di rete pubblici dell'organizzazione come attendibili. Questo contrassegno viene usato dalle funzionalità in diversi modi.

  • I criteri di accesso condizionale possono includere o escludere queste posizioni.
  • Gli accessi da posizioni denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection.

I percorsi contrassegnati come attendibili non possono essere eliminati senza prima rimuovere la designazione attendibile.

Paesi/aree geografiche

Le organizzazioni possono determinare un paese geografico in base all'indirizzo IP o alle coordinate GPS.

Per definire una località denominata per paese, è necessario:

  • Specificare un nome per il percorso.
  • Scegliere di determinare la posizione in base all'indirizzo IP o alle coordinate GPS.
  • Aggiungere uno o più paesi/aree geografiche.
  • Facoltativamente, scegliere Includi paesi/aree geografiche sconosciute.

Screenshot della creazione di una nuova località usando i paesi.

Quando si seleziona Determina posizione in base all'indirizzo IP, Microsoft Entra ID risolve l'indirizzo IPv4 o IPv6 dell'utente in un paese o un'area geografica, in base a una tabella di mapping aggiornata periodicamente.

Quando si seleziona Determina la posizione in base alle coordinate GPS, gli utenti devono avere installato l'app Microsoft Authenticator nel dispositivo mobile. Ogni ora, il sistema contatta l'app Microsoft Authenticator dell'utente per raccogliere la posizione GPS del dispositivo mobile.

  • La prima volta che l'utente deve condividere la propria posizione dall'app Microsoft Authenticator, riceve una notifica nell'app. L'utente deve aprire l'app e concedere le autorizzazioni per la posizione. Per le 24 ore successive, se l'utente accede ancora alla risorsa e concede all'app l'autorizzazione per l'esecuzione in background, la posizione del dispositivo viene condivisa automaticamente una volta all'ora.
  • Dopo 24 ore, l'utente deve aprire l'app e approvare la notifica.
  • Ogni volta che l'utente condivide la posizione GPS, l'app esegue il rilevamento di jailbreak usando la stessa logica di Microsoft Intune MAM SDK. Se il dispositivo è jailbroken, la posizione non è considerata valida e all'utente non viene concesso l'accesso.
    • L'app Microsoft Authenticator in Android usa l'API di integrità di Google Play per facilitare il rilevamento di jailbreak. Se l'API di integrità di Google Play non è disponibile, la richiesta viene negata e l'utente non è in grado di accedere alla risorsa richiesta, a meno che i criteri di accesso condizionale non siano disabilitati. Per altre informazioni sull'app Microsoft Authenticator, vedere l'articolo Domande comuni sull'app Microsoft Authenticator.
  • Gli utenti potrebbero modificare la posizione GPS come segnalato dai dispositivi iOS e Android. Di conseguenza, l'app Microsoft Authenticator nega le autenticazioni in cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installata l'app. Gli utenti che modificano la posizione del dispositivo ricevono un messaggio di rifiuto per i criteri basati sulla posizione GPS.

Nota

Un criterio di accesso condizionale con posizioni denominate basate su GPS in modalità di solo report richiede agli utenti di condividere la posizione GPS, anche se non è impedito l'accesso.

La posizione GPS non funziona con metodi di autenticazione senza password.

Più criteri di accesso condizionale potrebbero richiedere agli utenti la propria posizione GPS prima che vengano applicati tutti. A causa del modo in cui vengono applicati i criteri di accesso condizionale, un utente potrebbe essere negato l'accesso se supera il controllo della posizione, ma non supera un altro criterio. Per altre informazioni sull'applicazione dei criteri, vedere l'articolo Creazione di criteri di accesso condizionale.

Importante

Gli utenti possono ricevere richieste ogni ora per sapere che Microsoft Entra ID sta controllando la propria posizione nell'app Authenticator. Questa funzionalità deve essere usata solo per proteggere le app molto sensibili in cui questo comportamento è accettabile o in cui l'accesso deve essere limitato per un paese o un'area geografica specifica.

Includi paesi/aree geografiche sconosciute

Alcuni indirizzi IP non eseguono il mapping a un paese o a un'area geografica specifica. Per acquisire queste posizioni IP, selezionare la casella Includi paesi/aree geografiche sconosciute durante la definizione di una posizione geografica. Questa opzione consente di scegliere se questi indirizzi IP devono essere inclusi nella posizione specifica. Usare questa impostazione quando i criteri che usano la posizione specifica devono essere applicati a posizioni sconosciute.

Domande frequenti

È disponibile il supporto dell'API Graph?

Il supporto dell'API Graph per le posizioni denominate è disponibile. Per altre informazioni, vedere l'API namedLocation.

Cosa accade se si usa un proxy cloud o una VPN?

Quando si usa un proxy ospitato nel cloud o una soluzione VPN, l'indirizzo IP usato da Microsoft Entra ID durante la valutazione di un criterio è l'indirizzo IP del proxy. L'intestazione X-Forwarded-For (XFF) che contiene l'indirizzo IP pubblico dell'utente non viene usata perché non esiste alcuna convalida proveniente da un'origine attendibile, quindi presenterebbe un metodo per la creazione di un indirizzo IP.

Quando è in atto un proxy cloud, un criterio che richiede un dispositivo aggiunto ibrido o conforme a Microsoft Entra può essere più semplice da gestire. Mantenere aggiornato un elenco di indirizzi IP usati dal proxy ospitato nel cloud o dalla soluzione VPN può essere quasi impossibile.

È consigliabile che le organizzazioni usino l'accesso sicuro globale per consentire il ripristino ip di origine per evitare questa modifica nell'indirizzo e semplificare la gestione.

Quando viene valutata una posizione?

I criteri di accesso condizionale vengono valutati quando:

  • Un utente accede inizialmente a un'app Web, un'applicazione per dispositivi mobili o un'applicazione desktop.
  • Un'applicazione desktop o per dispositivo mobili che usa l'autenticazione moderna usa un token di aggiornamento per acquisire un nuovo token di accesso. Per impostazione predefinita, questo controllo è una volta all'ora.

Questo controllo indica che le applicazioni per dispositivi mobili e desktop che usano l'autenticazione moderna, viene rilevata una modifica della posizione entro un'ora dalla modifica del percorso di rete. Per le applicazioni per dispositivi mobili e desktop che non usano l'autenticazione moderna, i criteri si applicano a ogni richiesta di token. La frequenza della richiesta può variare in base all'applicazione. Analogamente, per le applicazioni Web, i criteri si applicano all'accesso iniziale e sono validi per la durata della sessione nell'applicazione Web. A causa delle differenze nelle durate delle sessioni tra le applicazioni, il tempo tra la valutazione dei criteri varia. Il criterio viene applicato ogni volta che l'applicazione richiede un nuovo token di accesso.

Per impostazione predefinita, Microsoft Entra ID emette un token su base oraria. Dopo che gli utenti si spostano dalla rete aziendale, entro un'ora i criteri vengono applicati per le applicazioni che usano l'autenticazione moderna.

Quando è possibile bloccare le posizioni?

I criteri che usano la condizione di posizione per bloccare l'accesso vengono considerati restrittivi e devono essere eseguiti con attenzione dopo un test approfondito. Alcune istanze dell'uso della condizione di posizione per bloccare l'autenticazione possono includere:

  • Blocco di paesi/aree geografiche in cui l'organizzazione non fa mai affari.
  • Blocco di intervalli IP specifici, ad esempio:
    • Indirizzi IP dannosi noti prima che un criterio firewall possa essere modificato.
    • Azioni altamente sensibili o privilegiate e applicazioni cloud.
    • In base a un intervallo IP specifico dell'utente, ad esempio l'accesso alle applicazioni contabili o retribuzioni.

Contenuto correlato