Accesso condizionale: richiedi autenticazione a più fattori per tutti gli utenti

Come cita Alex Weinert, Directory of Identity Security di Microsoft, nel post di blog Your Pa$$word doesn't matter:

La password non è importante, ma l'autenticazione a più fattori lo fa. In base agli studi, l'account ha più del 99,9% di probabilità di essere compromesso se si usa l'autenticazione a più fattori.

Le indicazioni fornite in questo articolo consentono all'organizzazione di creare criteri di autenticazione a più fattori bilanciati per l'ambiente.

Esclusioni di utenti

Poiché i criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere dai criteri gli account seguenti:

  • Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. In uno scenario improbabile in cui è bloccato l'accesso al tenant per tutti gli amministratori, è possibile usare l'account amministrativo di accesso di emergenza per accedere al tenant per recuperare l'accesso.
  • Gli account del servizio e le entità servizio, ad esempio l'account di sincronizzazione di Azure AD Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non sono bloccate dall'accesso condizionale.
    • Se l'organizzazione usa questi account negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Esclusioni di applicazioni

Le organizzazioni possono avere molte applicazioni cloud in uso. Non tutte queste applicazioni possono richiedere la stessa sicurezza. Ad esempio, le applicazioni per le retribuzioni e le frequenze possono richiedere l'autenticazione a più fattori, ma la mensa probabilmente no. Gli amministratori possono scegliere di escludere applicazioni specifiche dai criteri.

Creare criteri di accesso condizionale

La procedura seguente consente di creare criteri di accesso condizionale per richiedere a tutti gli utenti di eseguire l'autenticazione a più fattori.

  1. Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.
  2. Passare ad Azure Active Directory > Sicurezza > Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti e gruppi.
    1. In Includi selezionare Tutti gli utenti
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Operazione completata.
  6. In Applicazioni cloud o azioni > Includi selezionare Tutte le app cloud.
    1. In Escludi selezionare tutte le applicazioni che non richiedono l'autenticazione a più fattori.
  7. In Condizioni > App client (anteprima) in Selezionare le app client che verranno applicate per lasciare selezionate tutte le impostazioni predefinite e selezionare Fine.
  8. In Controlli di accesso > Concedi, selezionare Concedi accesso, Richiedi autenticazione a più fattori e selezionare Seleziona.
  9. Confermare le impostazioni e impostare Abilita criterio su Attivato.
  10. Selezionare Crea per creare e abilitare i criteri.

Posizioni specifiche

Le organizzazioni possono scegliere di incorporare i percorsi di rete noti noti come percorsi denominati nei criteri di accesso condizionale. Queste località denominate possono includere reti IPv4 attendibili come quelle per una sede principale. Per altre informazioni sulla configurazione delle località denominate, vedere l'articolo Qual è la condizione di posizione nell'Azure Active Directory condizionale?

Nei criteri di esempio precedenti, un'organizzazione può scegliere di non richiedere l'autenticazione a più fattori se accede a un'app cloud dalla rete aziendale. In questo caso potrebbero aggiungere la configurazione seguente al criterio:

  1. In Assegnazioni selezionare Percorsi > condizioni.
    1. Configurare .
    2. Includere Tutte le località.
    3. Escludere Tutte le posizioni attendibili.
    4. Selezionare Operazione completata.
  2. Selezionare Operazione completata.
  3. Salvare le modifiche ai criteri.

Passaggi successivi

Criteri comuni di accesso condizionale

Determinare l'impatto dell'uso della modalità di accesso condizionale solo report

Simulare il comportamento di accesso usando lo strumento What If per l'accesso condizionale