Accesso condizionale: sessione

All'interno di un criterio di accesso condizionale, un amministratore può usare i controlli sessione per abilitare esperienze limitate all'interno di applicazioni cloud specifiche.

Conditional Access policy with a grant control requiring multi-factor authentication

Restrizioni applicate dall'applicazione

Le organizzazioni possono usare questo controllo per richiedere Azure AD passare le informazioni sul dispositivo alle app cloud selezionate. Le informazioni sul dispositivo consentono alle app cloud di sapere se una connessione viene stabilita da un dispositivo conforme o aggiunto a un dominio e aggiornare l'esperienza di sessione. Questo controllo supporta solo SharePoint Online ed Exchange Online come app cloud selezionate. Se selezionata, l'app cloud usa le informazioni sul dispositivo per offrire agli utenti un'esperienza limitata o completa. Limitato quando il dispositivo non è gestito o conforme e pieno quando il dispositivo è gestito e conforme.

Per altre informazioni sull'uso e la configurazione delle restrizioni applicate dall'app, vedere gli articoli seguenti:

Controllo delle applicazioni per l'accesso condizionale

La funzionalità Controllo app per l'accesso condizionale prevede l'uso di un'architettura di proxy inverso ed è integrata in modo unico con l'accesso condizionale di Azure AD. Accesso condizionale di Azure AD consente di applicare i controlli di accesso sulle app dell'organizzazione in base a determinate condizioni. Le condizioni definiscono l'utente o il gruppo di utenti, app cloud, località e reti a cui si applicano i criteri di accesso condizionale. Dopo aver determinato le condizioni, è possibile indirizzare gli utenti a Microsoft Defender per le app cloud in cui è possibile proteggere i dati con Controllo app per l'accesso condizionale applicando i controlli di accesso e sessione.

Tramite il controllo delle app con l'accesso condizionale, è possibile monitorare e controllare l'accesso e le sessioni delle app dell'utente in tempo reale, in base ai criteri di accesso e di sessione. I criteri di accesso e di sessione vengono usati nel portale di Defender per le app cloud per perfezionare i filtri e impostare le azioni da eseguire. Con i criteri di accesso e di sessione è possibile eseguire le operazioni seguenti:

  • Impedire l'esfiltrazione di dati: è possibile bloccare le operazioni di download, taglio, copia e stampa di documenti sensibili, ad esempio nei dispositivi non gestiti.
  • Applicare la protezione durante il download: invece di bloccare il download dei documenti sensibili, è possibile richiedere che i documenti siano etichettati e protetti con Azure Information Protection. Questa azione garantisce che il documento sia protetto e che l'accesso utente sia limitato in una sessione potenzialmente rischiosa.
  • Impedire il caricamento di file senza etichetta: prima che un file sensibile venga caricato, distribuito e usato da altri utenti, è importante assicurarsi che il file abbia l'etichetta e la protezione appropriate. È possibile fare in modo che i file con contenuto sensibile ma non provvisti di etichetta vengano bloccati fino a quando l'utente non classifica il contenuto.
  • Monitorare la conformità delle sessioni utente (anteprima): gli utenti a rischio vengono monitorati quando a loro volta aano le app e le azioni vengono registrate dall'interno della sessione. È possibile esaminare e analizzare il comportamento degli utenti per comprendere dove e in quali condizioni applicare i criteri di sessione in futuro.
  • Blocca l'accesso (anteprima): è possibile bloccare in modo granulare l'accesso per app e utenti specifici a seconda di diversi fattori di rischio. Ad esempio, è possibile bloccarli se usano certificati client come forma di gestione dei dispositivi.
  • Bloccare le attività personalizzate: alcune app presentano scenari unici che comportano rischi, ad esempio l'invio di messaggi con contenuto sensibile in app come Microsoft Teams o Slack. In questi tipi di scenari è possibile analizzare i messaggi alla ricerca di contenuto sensibile e bloccarli in tempo reale.

Per altre informazioni, vedere l'articolo Distribuire Controllo app per l'accesso condizionale per le app in primo piano.

Frequenza di accesso

La frequenza di accesso definisce il periodo di tempo prima che all'utente venga richiesto di ripetere l'accesso quando tenta di accedere a una risorsa.

L'impostazione della frequenza di accesso funziona con le app che hanno implementato protocolli OAUTH2 o OIDC in base agli standard. La maggior parte delle app native Microsoft Windows, Mac e Mobile, incluse le applicazioni Web seguenti, seguono l'impostazione .

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Portale di amministrazione di Microsoft 365
  • Exchange Online
  • SharePoint e OneDrive
  • Client Web Teams
  • Dynamics CRM Online
  • Portale di Azure

Per altre informazioni, vedere l'articolo Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale.

Sessione persistente del browser

Una sessione del browser persistente consente agli utenti di rimanere connessi dopo aver chiuso e riaperto la finestra del browser.

Per altre informazioni, vedere l'articolo Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale.

Personalizzare la valutazione dell'accesso continuo

La valutazione dell'accesso continuo viene abilitata automaticamente come parte dei criteri di accesso condizionale di un'organizzazione. Per le organizzazioni che vogliono disabilitare la valutazione dell'accesso continuo, questa configurazione è ora un'opzione all'interno del controllo sessione all'interno dell'accesso condizionale. L'ambito dei criteri di valutazione dell'accesso continuo può essere limitato a tutti gli utenti o a utenti e gruppi specifici. Gli amministratori possono effettuare la selezione seguente durante la creazione di un nuovo criterio o durante la modifica di un criterio di accesso condizionale esistente.

  • Disabilitare solo il funzionamento quando è selezionata l'opzione Tutte le app cloud, non è selezionata alcuna condizione e l'opzione Disabilita è selezionata in Personalizza sessione per la valutazione dell'accesso continuo in un criterio di accesso condizionale. È possibile scegliere di disabilitare tutti gli utenti o utenti e gruppi specifici.

CAE Settings in a new Conditional Access policy in the Azure portal.

Disabilitare le impostazioni predefinite per la resilienza (anteprima)

Durante un'interruzione, Azure AD estenderà l'accesso alle sessioni esistenti durante l'applicazione dei criteri di accesso condizionale. Se non è possibile valutare un criterio, l'accesso è determinato dalle impostazioni di resilienza.

Se le impostazioni predefinite per la resilienza sono disabilitate, l'accesso viene negato alla scadenza delle sessioni esistenti. Per altre informazioni, vedere l'articolo Accesso condizionale: impostazioni predefinite per la resilienza.

Passaggi successivi