Quali sono le condizioni in Active Directory accesso condizionale di Azure?What are conditions in Azure Active Directory Conditional Access?

È possibile controllare l'accesso alle App cloud mediante accesso condizionale di Azure Active Directory (Azure AD).You can control how users access your cloud apps by using Azure Active Directory (Azure AD) Conditional Access. In un criterio di accesso condizionale si definisce la risposta ("quindi fare questo") per il motivo per attivare i criteri ("quando accade questo").In a Conditional Access policy, you define the response ("Then do this") to the reason for triggering your policy ("When this happens").

Motivo e risposta

Nel contesto di accesso condizionale in questo caso viene chiamato un condizione.In the context of Conditional Access, When this happens is called a condition. Fare questo è il controllo di accesso.Then do this is called an access control. La combinazione delle proprie condizioni e i controlli di accesso rappresenta un criterio di accesso condizionale.The combination of your conditions and your access controls represents a Conditional Access policy.

Criteri di accesso condizionale

Non vengono applicate le condizioni che nei criteri di accesso condizionale non è stato configurato.Conditions you haven't configured in a Conditional Access policy aren't applied. Alcune condizioni vengono obbligatori per applicare un criterio di accesso condizionale per un ambiente.Some conditions are mandatory to apply a Conditional Access policy to an environment.

Questo articolo viene fornita una panoramica delle condizioni e sul loro uso in un criterio di accesso condizionale.This article is an overview of the conditions and how they're used in a Conditional Access policy.

Utenti e gruppiUsers and groups

La condizione di utenti e gruppi è obbligatoria in un criterio di accesso condizionale.The users and groups condition is mandatory in a Conditional Access policy. Nei criteri è possibile selezionare Tutti gli utenti o selezionare utenti e gruppi specifici.In your policy, you can either select All users or select specific users and groups.

Utenti e gruppi

SelezionandoTutti gli utenti, i criteri vengono applicati a tutti gli utenti nella directory, inclusi gli utenti guest.When you select All users, your policy is applied to all users in the directory, including guest users.

Selezionare Utenti e gruppi consente di impostare le opzioni seguenti:When you Select users and groups, you can set the following options:

  • Tutti gli utenti guest consente di destinare i criteri agli utenti guest B2B.All guest users targets a policy to B2B guest users. Questa condizione corrisponde a qualsiasi account utente con l'attributo userType impostato su guest.This condition matches any user account that has the userType attribute set to guest. Usare questa impostazione nei casi in cui è necessario applicare criteri non appena l'account viene creato in un flusso di invito in Azure AD.Use this setting when a policy needs to be applied as soon as the account is created in an invite flow in Azure AD.
  • Ruoli della directory consente di destinare criteri in base alle assegnazioni di ruolo dell'utente.Directory roles targets a policy based on a user’s role assignment. Questa condizione supporta i ruoli della directory, ad esempio Amministratore globale oppure Amministratore password.This condition supports directory roles like Global administrator or Password administrator.
  • Utenti e gruppi consente di definire come destinazione insiemi specifici di utenti.Users and groups targets specific sets of users. Ad esempio, è possibile selezionare un gruppo contenente tutti i membri del reparto Risorse umane, quando è selezionata un'app per le risorse umane come app cloud.For example, you can select a group that contains all members of the HR department when an HR app is selected as the cloud app. Un gruppo può essere un gruppo di qualsiasi tipo in Azure AD, inclusi gruppi di sicurezza e distribuzione dinamici o assegnati.A group can be any type of group in Azure AD, including dynamic or assigned security and distribution groups.

È anche possibile escludere utenti o gruppi specifici da un criterio.You can also exclude specific users or groups from a policy. Un caso d'uso comune è rappresentato dagli account del servizio nel caso in cui il criterio applichi l'autenticazione a più fattori (MFA).One common use case is service accounts if your policy enforces multifactor authentication (MFA).

La definizione di insiemi di utenti specifici come destinazione è utile per la distribuzione di un nuovo criterio.Targeting specific sets of users is useful for the deployment of a new policy. In un nuovo criterio è necessario definire come destinazione solo l'insieme iniziale di utenti per convalidare il comportamento del criterio.In a new policy, you should target only an initial set of users to validate the policy behavior.

Le app cloud e le azioniCloud apps and actions

Un'app cloud è un sito Web, servizio o endpoint protetti da Azure AD Application Proxy.A cloud app is a website, service, or endpoint protected by Azure AD Application Proxy. Per una descrizione dettagliata delle app cloud supportate, vedere Assegnazioni di app cloud.For a detailed description of supported cloud apps, see cloud apps assignments. Il Cloud apps o azioni condizione è obbligatoria in un criterio di accesso condizionale.The Cloud apps or actions condition is mandatory in a Conditional Access policy. Nei criteri, è possibile selezionare tutte le app cloud oppure specificare le app con selezionare le app.In your policy, you can either select All cloud apps or specify apps with Select apps.

Le organizzazioni possono scegliere tra le opzioni seguenti:Organizations can choose from the following:

  • Tutte le app cloud quando si applicano i criteri di base si applicano all'intera organizzazione.All cloud apps when applying baseline policies to apply to the entire organization. Utilizzare questa selezione per i criteri che richiedono l'autenticazione a più fattori quando viene rilevato rischio di accesso per qualsiasi app cloud.Use this selection for policies that require multi-factor authentication when sign-in risk is detected for any cloud app. Applicata un criterio a tutte le app cloud si applica per l'accesso a tutti i siti Web e servizi.A policy applied to All cloud apps applies to access to all websites and services. Questa impostazione non è limitata alle App cloud che vengono visualizzati nell'elenco di App selezionare.This setting isn't limited to the cloud apps that appear on the Select apps list.
  • Seleziona app per definire i servizi specifici in base ai propri criteri.Select apps to target specific services by your policy. Ad esempio, è possibile richiedere agli utenti di avere un dispositivo conforme per accedere a SharePoint Online.For example, you can require users to have a compliant device to access SharePoint Online. Questo criterio viene applicato anche ad altri servizi quando accedono a contenuto di SharePoint.This policy is also applied to other services when they access SharePoint content. Un esempio è Microsoft Teams.An example is Microsoft Teams.

Nota

È possibile escludere App specifiche da un criterio.You can exclude specific apps from a policy. Tuttavia, queste app sono comunque soggette ai criteri applicati ai servizi a cui accedono.However, these apps are still subject to the policies applied to the services they access.

Le azioni utente sono attività che possono essere eseguite da un utente.User actions are tasks that can be performed by a user. L'unica azione attualmente supportata è registrare le informazioni di sicurezza (anteprima) , che consente di criteri di accesso condizionale imporrà quando gli utenti che sono abilitati per la registrazione combinata tentano di registrare la sicurezza informazioni.The only currently supported action is Register security information (preview), which allows Conditional Access policy to enforce when users who are enabled for combined registration attempt to register their security information. Altre informazioni sono reperibili nell'articolo combinato di abilitare la registrazione di informazioni di sicurezza (anteprima).More information can be found in the article, Enable combined security information registration (preview).

Rischio di accessoSign-in risk

Il rischio di accesso è un'indicazione della probabilità (alta, media o bassa) che un accesso non sia stato eseguito dal legittimo proprietario di un account utente.A sign-in risk is an indicator of the likelihood (high, medium, or low) that a sign-in wasn't made by the legitimate owner of a user account. Azure AD calcola il livello di rischio di accesso durante l'accesso di un utente.Azure AD calculates the sign-in risk level during a user's sign-in. È possibile usare il livello di rischio di accesso calcolato come condizione nei criteri di accesso condizionale.You can use the calculated sign-in risk level as condition in a Conditional Access policy.

Livelli di rischio di accesso

Per usare questa condizione, è necessario che sia abilitato Azure Active Directory Identity Protection.To use this condition, you need to have Azure Active Directory Identity Protection enabled.

Casi d'uso comuni per questa condizione sono criteri che hanno le seguenti protezioni:Common use cases for this condition are policies that have the following protections:

  • Blocco degli utenti con un rischio di accesso elevato.Block users with a high sign-in risk. Questa protezione impedisce agli utenti potenzialmente non legittimi di accedere alle app cloud.This protection prevents potentially non-legitimate users from accessing your cloud apps.
  • Richiesta di autenticazione a più fattori per gli utenti con un rischio di accesso medio.Require multifactor authentication for users with a medium sign-in risk. Tramite l'applicazione dell'autenticazione a più fattori, si aumenta la certezza che l'accesso venga eseguito dal legittimo proprietario di un account.By enforcing multifactor authentication, you can provide additional confidence that the sign-in is done by the legitimate owner of an account.

Per altre informazioni, vedere bloccare l'accesso quando viene rilevato un rischio nella sessione.For more information, see block access when a session risk is detected.

Piattaforme del dispositivoDevice platforms

La piattaforma del dispositivo è caratterizzata dal sistema operativo in esecuzione sul dispositivo.The device platform is characterized by the operating system that runs on your device. Azure AD identifica la piattaforma usando le informazioni offerte dal dispositivo, ad esempio l'agente utente.Azure AD identifies the platform by using information provided by the device, such as user agent. Informazione non verificata.This information is unverified. È consigliabile che tutte le piattaforme abbiano criteri applicati a essi.We recommend that all platforms have a policy applied to them. I criteri devono bloccare l'accesso, richiedere la conformità ai criteri di Microsoft Intune o richiedere che il dispositivo sia aggiunto a un dominio.The policy should either block access, require compliance with Microsoft Intune policies, or require the device be domain joined. L'impostazione predefinita è l'applicazione di un criterio a tutte le piattaforme del dispositivo.The default is to apply a policy to all device platforms.

Configurazione delle piattaforme del dispositivo

Per un elenco delle piattaforme del dispositivo supportate, vedere Condizione per le piattaforme del dispositivo.For a list of the supported device platforms, see device platform condition.

Un caso d'uso comune per questa condizione sono criteri che limitano l'accesso alle app cloud per i dispositivi gestiti.A common use case for this condition is a policy that restricts access to your cloud apps to managed devices. Per altri scenari, tra cui la condizione della piattaforma del dispositivo, vedere accesso condizionale basato su app di Azure Active Directory.For more scenarios including the device platform condition, see Azure Active Directory app-based Conditional Access.

Stato del dispositivoDevice state

La condizione di stato dispositivo esclude ibridi che aggiunti ad Azure AD i dispositivi e i dispositivi contrassegnati come conformi da criteri di accesso condizionale.The device state condition excludes hybrid Azure AD joined devices and devices marked as compliant from a Conditional Access policy.

Configurazione dello stato del dispositivo

Tale condizione è utile quando i criteri devono essere applicati solo al dispositivo non gestito per fornire ulteriore sicurezza della sessione.This condition is useful when a policy should apply only to an unmanaged device to provide additional session security. Ad esempio, applicare il controllo di sessione di Microsoft Cloud App Security solo quando un dispositivo non è gestito.For example, only enforce the Microsoft Cloud App Security session control when a device is unmanaged.

LocalitàLocations

Utilizzando le posizioni, è possibile definire le condizioni in base a dove è stata tentata una connessione.By using locations, you can define conditions based on where a connection was attempted.

Configurazione delle posizioni

Casi d'uso comuni per questa condizione sono criteri che hanno le seguenti protezioni:Common use cases for this condition are policies with the following protections:

  • Richiedere l'autenticazione a più fattori per utenti che accedono a un servizio quando sono connessi alla rete aziendale.Require multi-factor authentication for users accessing a service when they're off the corporate network.
  • Bloccano l'accesso per gli utenti che accedono a un servizio da specifici paesi o aree geografiche.Block access for users accessing a service from specific countries or regions.

Per altre informazioni, vedere qual è la condizione della posizione in Active Directory accesso condizionale di Azure?.For more information, see What is the location condition in Azure Active Directory Conditional Access?.

App clientClient apps

Per impostazione predefinita, si applica un criterio di accesso condizionale per le app seguenti:By default, a Conditional Access policy applies to the following apps:

  • App del browser - Le app del browser includono siti Web che usano SAML, WS-Federation oppure i protocolli OpenID Connect SSO web.Browser apps - Browser apps include websites using the SAML, WS-Federation, or OpenID Connect web SSO protocols. Questo vale anche per qualsiasi sito web o servizio web che sia stato registrato come un client riservato OAuth.This also applies to any website or web service that has been registered as an OAuth confidential client. Ad esempio, il sito web Office 365 SharePoint.For example, the Office 365 SharePoint website.
  • App per dispositivi mobili e desktop tramite l'autenticazione moderna - Queste app includono le app desktop di Office e le app per telefoni.Mobile and desktop apps using modern authentication - These apps include the Office desktop apps and phone apps.

Inoltre, è possibile assegnare un criterio per le app client specifiche che non usano l'autenticazione moderna, ad esempio:Additionally, you can target a policy to specific client apps that are not using modern authentication, for example:

App client

Casi d'uso comuni per questa condizione sono criteri che hanno i seguenti requisiti:Common use cases for this condition are policies with the following requirements:

  • Richiedono un dispositivo gestito per applicazioni desktop e app per dispositivi mobili che scaricano dati in un dispositivo.Require a managed device for mobile and desktop applications that download data to a device. Allo stesso tempo, consentono l'accesso al browser da qualsiasi dispositivo.At the same time, allow browser access from any device. Questo scenario impedisce il salvataggio e la sincronizzazione di documenti in un dispositivo non gestito.This scenario prevents saving and syncing documents to an unmanaged device. Con questo metodo, è possibile ridurre la probabilità di perdita dei dati se il dispositivo viene smarrito o rubato.With this method, you can reduce the probability for data loss if the device is lost or stolen.
  • Richiedono un dispositivo gestito per le app tramite ActiveSync per accedere a Exchange Online.Require a managed device for apps using ActiveSync to access Exchange Online.
  • Bloccano l'autenticazione legacy per Azure AD (altri client)Block legacy authentication to Azure AD (other clients)
  • Bloccano l'accesso da applicazioni Web, ma lo consentono dalle applicazioni desktop e per dispositivi mobili.Block access from web applications but allow access from mobile and desktop applications.

Client Exchange ActiveSyncExchange ActiveSync clients

È possibile selezionare client Exchange ActiveSync solo se:You can only select Exchange ActiveSync clients if:

  • Microsoft Office 365 Exchange Online è l'unica app cloud selezionata.Microsoft Office 365 Exchange Online is the only cloud app you've selected.

    App cloud

  • Non si dispone di altre condizioni configurate in un criterio.You don't have other conditions configured in a policy. Tuttavia, è possibile limitare l'ambito di questa condizione in modo da applicarla solo alle piattaforme supportate.However, you can narrow down the scope of this condition to apply only to supported platforms.

    Applicazione dei criteri solo alle piattaforme supportate

Quando l'accesso è bloccato perché viene richiesto un dispositivo gestito, gli utenti interessati ottengono un singolo messaggio di posta elettronica che li guida all'uso di Intune.When access is blocked because a managed device is required, the affected users get a single mail that guides them to use Intune.

Se è necessaria un'app approvata, gli utenti interessati ottengono linee guida per installare e usare il client di Outlook per dispositivi mobili.If an approved app is required, the affected users get guidelines to install and use the Outlook mobile client.

In altri casi, ad esempio, se è obbligatoria l'autenticazione a più fattori, gli utenti interessati vengono bloccati, perché i client che usano l'autenticazione di base non supportano l'autenticazione a più fattori.In other cases, for example, if MFA is required, the affected users are blocked, because clients using Basic authentication don't support MFA.

È possibile avere come destinazione solo questa impostazione per utenti e gruppi.You can only target this setting to users and groups. Non supporta guest e ruoli.It doesn’t support guests or roles. Se una condizione guest o il ruolo è configurata, tutti gli utenti sono bloccati perché l'accesso condizionale non è possibile determinare se applicare i criteri per l'utente o No.If a guest or role condition is configured, all users are blocked because Conditional Access can't determine if the policy should apply to the user or not.

Per altre informazioni, vedere:For more information, see:

Passaggi successiviNext steps