Creazione di criteri di accesso condizionale

Come illustrato nell'articolo Informazioni sull'accesso condizionale,un criterio di accesso condizionale è un'istruzione if-then, di assegnazioni e controlli di accesso. I criteri di accesso condizionale raggruppano i segnali, prendono decisioni e applicano i criteri aziendali.

In che modo un'organizzazione crea questi criteri? Che cosa è necessario? Come vengono applicate?

Accesso condizionale (segnali + decisioni + imposizione = criteri)

Più criteri di accesso condizionale possono essere applicati a un singolo utente in qualsiasi momento. In questo caso, devono essere soddisfatti tutti i criteri applicati. Ad esempio, se un criterio richiede l'autenticazione a più fattori (MFA) e un altro richiede un dispositivo conforme, è necessario completare l'autenticazione a più fattori e usare un dispositivo conforme. Tutte le assegnazioni vengono collegate logicamente con l'operatore AND. Se sono configurate più assegnazioni, tutte le assegnazioni devono essere soddisfatte per attivare un criterio.

Se è selezionato un criterio in cui è selezionato "Richiedi uno dei controlli selezionati", viene richiesto nell'ordine definito, non appena vengono soddisfatti i requisiti dei criteri, viene concesso l'accesso.

Tutti i criteri vengono applicati in due fasi:

  • Fase 1: Raccogliere i dettagli della sessione
    • Raccogliere i dettagli della sessione, ad esempio il percorso di rete e l'identità del dispositivo che saranno necessari per la valutazione dei criteri.
    • La fase 1 della valutazione dei criteri si verifica per i criteri abilitati e i criteri in modalità solo report.
  • Fase 2: imposizione
    • Usare i dettagli della sessione raccolti nella fase 1 per identificare eventuali requisiti che non sono stati soddisfatti.
    • Se è presente un criterio configurato per bloccare l'accesso, con il controllo di concessione del blocco, l'applicazione verrà interrotta qui e l'utente verrà bloccato.
    • All'utente verrà richiesto di completare altri requisiti di controllo delle concessioni che non sono stati soddisfatti durante la fase 1 nell'ordine seguente, fino a quando non viene soddisfatto il criterio:
      • Autenticazione a più fattori
      • Criteri di protezione app/app client approvati
      • Dispositivo gestito (conformità o aggiunta Azure AD ibrida)
      • Condizioni per l'utilizzo
      • Controlli personalizzati
    • Dopo aver soddisfatto tutti i controlli di concessione, applicare i controlli sessione (App applicate, Microsoft Defender per le app cloud e durata del token)
    • La fase 2 della valutazione dei criteri viene eseguita per tutti i criteri abilitati.

Assegnazioni

La parte relativa alle assegnazioni controlla chi, cosa e dove dei criteri di accesso condizionale.

Utenti e gruppi

Gli utenti e i gruppi assegnano gli utenti che i criteri includeranno o escludono. Questa assegnazione può includere tutti gli utenti, gruppi specifici di utenti, ruoli di directory o utenti guest esterni.

App o azioni cloud

Le app o le azioni cloud possono includere o escludere applicazioni cloud, azioni utente o contesti di autenticazione che verranno soggetti ai criteri.

Condizioni

Un criterio può contenere più condizioni.

Rischio di accesso

Per le organizzazioni con Azure AD Identity Protection,i rilevamenti dei rischi generati possono influire sui criteri di accesso condizionale.

Piattaforme per dispositivi

Le organizzazioni con più piattaforme del sistema operativo per dispositivi possono voler applicare criteri specifici su piattaforme diverse.

Le informazioni usate per calcolare la piattaforma del dispositivo provengono da origini nonverificate, ad esempio stringhe agente utente che possono essere modificate.

Percorsi

I dati sulla posizione vengono forniti dai dati di georilevazione IP. Gli amministratori possono scegliere di definire i percorsi e scegliere di contrassegnare alcuni come attendibili come quelli per i percorsi di rete dell'organizzazione.

App client

Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati verranno applicati a tutti i tipi di app client anche se la condizione delle app client non è configurata.

Il comportamento della condizione delle app client è stato aggiornato ad agosto 2020. Se si dispone di criteri di accesso condizionale esistenti, questi rimarranno invariati. Tuttavia, se si seleziona un criterio esistente, l'interruttore configura è stato rimosso e vengono selezionate le app client a cui si applica il criterio.

Stato del dispositivo

Questo controllo viene usato per escludere i dispositivi che sono Azure AD aggiunti o contrassegnati come conformi in Intune. Questa esclusione può essere eseguita per bloccare i dispositivi non gestiti.

Filtri per i dispositivi (anteprima)

Questo controllo consente di scegliere come destinazione dispositivi specifici in base ai relativi attributi in un criterio.

Controlli di accesso

La parte relativa ai controlli di accesso dei criteri di accesso condizionale controlla la modalità di applicazione di un criterio.

Concedi

La concessione fornisce agli amministratori un mezzo per l'applicazione dei criteri in cui possono bloccare o concedere l'accesso.

Blocca accesso

Blocca l'accesso non fa altro che bloccare l'accesso nelle assegnazioni specificate. Il controllo del blocco è potente e deve essere utilizzato con le conoscenze appropriate.

Concedere l'accesso

Il controllo di concessione può attivare l'imposizione di uno o più controlli.

  • Richiedere l'autenticazione a più fattori (Azure AD Multi-Factor Authentication)
  • Richiedere che il dispositivo sia contrassegnato come conforme (Intune)
  • Richiedi dispositivo aggiunto ad Azure AD ibrido
  • Richiedere app client approvata
  • Richiedere criteri di protezione dell'app
  • Richiedere la modifica della password
  • Richiedere le condizioni per l'utilizzo

Gli amministratori possono scegliere di richiedere uno dei controlli precedenti o tutti i controlli selezionati usando le opzioni seguenti. L'impostazione predefinita per più controlli è richiedere tutti.

  • Richiedi tutti i controlli selezionati (controllo e controllo)
  • Richiedere uno dei controlli selezionati (controllo o controllo)

sessione

I controlli sessione possono limitare l'esperienza

  • Usa restrizioni imposte dalle app
    • Attualmente funziona solo con Exchange Online e SharePoint Online.
      • Passa le informazioni sul dispositivo per consentire il controllo dell'esperienza che concede l'accesso completo o limitato.
  • Usare il controllo app per l'accesso condizionale
    • Usa i segnali di Microsoft Defender per le app cloud per eseguire operazioni come:
      • Bloccare il download, il taglio, la copia e la stampa di documenti sensibili.
      • Monitorare il comportamento della sessione a rischio.
      • Richiedere l'etichettatura dei file sensibili.
  • Frequenza di accesso
    • Possibilità di modificare la frequenza di accesso predefinita per l'autenticazione moderna.
  • Sessione persistente del browser
    • Consente agli utenti di rimanere connessi dopo la chiusura e la riapertura della finestra del browser.

Criteri semplici

I criteri di accesso condizionale devono contenere almeno quanto segue per essere applicati:

  • Nome del criterio.
  • Assegnazioni
    • Utenti e/o gruppi a cui applicare i criteri.
    • App cloud o azioni a cui applicare i criteri.
  • Controlli di accesso
    • Concedere o bloccare i controlli

Criteri di accesso condizionale vuoti

L'articolo Criteri di accesso condizionale comuni include alcuni criteri che si pensa siano utili per la maggior parte delle organizzazioni.

Passaggi successivi

Creare criteri di accesso condizionale

Simulare il comportamento di accesso usando lo strumento What If per l'accesso condizionale

Pianificazione di una distribuzione di Azure AD Multi-Factor Authentication basata sul cloud

Gestione della conformità dei dispositivi con Intune

Microsoft Defender per le app cloud e l'accesso condizionale