Uso della condizione relativa alla posizione in un criterio di accesso condizionale

Come illustrato nell'articolo di panoramica i criteri di accesso condizionale sono al massimo un'istruzione if-then che combina i segnali, per prendere decisioni e applicare i criteri dell'organizzazione. Uno di questi segnali che possono essere incorporati nel processo decisionale è la posizione.

Segnale condizionale concettuale oltre a decisione per l'applicazione di criteri

Le organizzazioni possono usare questa posizione per attività comuni come:

  • Necessità dell'autenticazione a più fattori per gli utenti che accedono a un servizio quando non sono connessi alla rete aziendale.
  • Blocco dell'accesso per gli utenti che accedono a un servizio da specifici paesi o aree geografiche.

La posizione è determinata dall'indirizzo IP pubblico fornito da un client Azure Active Directory coordinate GPS fornite dall Microsoft Authenticator app. Per impostazione predefinita, i criteri di accesso condizionale si applicano a tutti gli indirizzi IPv4 e IPv6.

Posizioni specifiche

I percorsi vengono designati nell'portale di Azure in Azure Active Directory > sicurezza > condizionale Percorsi > denominati. Questi percorsi di rete denominati possono includere percorsi come gli intervalli di rete della sede centrale di un'organizzazione, gli intervalli di rete VPN o gli intervalli da bloccare. Le località denominate possono essere definite da intervalli di indirizzi IPv4/IPv6 o da paesi.

Percorsi denominati nella portale di Azure

Intervalli di indirizzi IP

Per definire una posizione denominata in base agli intervalli di indirizzi IPv4/IPv6, è necessario specificare:

  • Nome per il percorso
  • Uno o più intervalli IP
  • Facoltativamente, contrassegnare come percorso attendibile

Nuovi percorsi IP nella portale di Azure

Le posizioni denominate definite dagli intervalli di indirizzi IPv4/IPv6 sono soggette alle limitazioni seguenti:

  • Configurare fino a 195 località denominate
  • Configurare fino a 2000 intervalli IP per ogni località denominata
  • Sono supportati entrambi gli intervalli IPv4 e IPv6
  • Non è possibile configurare intervalli IP privati
  • Il numero di indirizzi IP contenuti in un intervallo è limitato. Quando si definisce un intervallo IP, sono consentite solo maschere CIDR maggiori di /8.

Percorsi attendibili

Gli amministratori possono designare le località definite dagli intervalli di indirizzi IP come posizioni denominate attendibili.

Gli accesso da posizioni denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Azure AD Identity Protection, abbassando il rischio di accesso di un utente quando esegue l'autenticazione da una posizione contrassegnata come attendibile. Inoltre, i percorsi denominati attendibili possono essere destinati ai criteri di accesso condizionale. Ad esempio, è possibile limitare la registrazione dell'autenticazione a più fattori ai percorsi attendibili.

Paesi

Le organizzazioni possono determinare la posizione del paese in base all'indirizzo IP o alle coordinate GPS.

Per definire una località denominata in base al paese, è necessario specificare:

  • Nome per il percorso
  • Scegliere di determinare la posizione in base all'indirizzo IP o alle coordinate GPS
  • Aggiungere uno o più paesi
  • Facoltativamente, scegliere Includi paesi/aree geografiche sconosciute

Paese come località nel portale di Azure

Se si seleziona Determinare la posizione in base all'indirizzo IP (solo IPv4), il sistema raccoglierà l'indirizzo IP del dispositivo a cui l'utente sta accedendo. Quando un utente accede, Azure AD risolve l'indirizzo IPv4 dell'utente in un paese o in un'area geografica e il mapping viene aggiornato periodicamente. Le organizzazioni possono usare località denominate definite dai paesi per bloccare il traffico dai paesi in cui non sono commerciali.

Nota

Gli account di accesso da indirizzi IPv6 non possono essere mappati a paesi o aree geografiche e sono considerate aree sconosciute. Solo gli indirizzi IPv4 possono essere mappati a paesi o aree geografiche.

Se si seleziona Determinare la posizione in base alle coordinate GPS, l'utente dovrà installare l Microsoft Authenticator app nel dispositivo mobile. Ogni ora, il sistema contatta l'app Microsoft Authenticator dell'utente per raccogliere la posizione GPS del dispositivo mobile dell'utente.

La prima volta che l'utente deve condividere la propria posizione dall'app Microsoft Authenticator, l'utente riceverà una notifica nell'app. L'utente dovrà aprire l'app e concedere le autorizzazioni per la posizione.

Per le 24 ore successive, se l'utente sta ancora accedendo alla risorsa e ha concesso all'app l'autorizzazione per l'esecuzione in background, la posizione del dispositivo viene condivisa automaticamente una volta all'ora. Dopo 24 ore, l'utente deve aprire l'app e approvare la notifica. Ogni volta che l'utente condivide la posizione GPS, l'app esegue il rilevamento jailbreak usando la stessa logica di Intune MAM SDK. Se il dispositivo è jailbroken, la posizione non viene considerata valida e all'utente non viene concesso l'accesso.

Un criterio di accesso condizionale con posizioni denominate basate su GPS in modalità solo report richiede agli utenti di condividere la posizione GPS, anche se non è bloccato l'accesso.

Importante

Gli utenti possono ricevere richieste ogni ora informandoli che Azure AD la propria posizione nell'app Authenticator locale. L'anteprima deve essere usata solo per proteggere le app molto sensibili in cui questo comportamento è accettabile o in cui l'accesso deve essere limitato a un paese/area geografica specifico.

Includi paesi/aree geografiche sconosciute

Alcuni indirizzi IP non vengono mappati a un paese o a un'area geografica specifica, inclusi tutti gli indirizzi IPv6. Per acquisire queste località IP, selezionare la casella Includi paesi/aree geografiche sconosciute quando si definisce una posizione geografica. Questa opzione consente di scegliere se questi indirizzi IP devono essere inclusi nella posizione specifica. Usare questa impostazione quando i criteri che usano la posizione specifica devono essere applicati a posizioni sconosciute.

Configurare gli IP attendibili dell'autenticazione a più fattori

È inoltre possibile configurare gli intervalli di indirizzi IP che rappresentano la Intranet locale dell'organizzazione nelle impostazioni del servizio di autenticazione a più fattori. Questa funzionalità consente di configurare fino a 50 intervalli di indirizzi IP. Gli intervalli di indirizzi IP sono in formato CIDR. Per altre informazioni, vedere Ip attendibili.

Se sono stati configurati indirizzi IP attendibili, questi vengono visualizzati come INDIRIZZI IP attendibili MFA nell'elenco dei percorsi per la condizione di località.

Ignorare l'autenticazione a più fattori

Nella pagina delle impostazioni del servizio di autenticazione a più fattori, è possibile identificare gli utenti della rete Intranet aziendale selezionando Ignora l'autenticazione a più fattori per le richieste provenienti da utenti federati nella Intranet. Questa impostazione indica che l'attestazione della rete aziendale interna, rilasciata da AD FS, deve essere attendibile e usata per identificare l'utente come appartenente alla rete aziendale. Per altre informazioni, vedere Abilitare la funzionalità Ip attendibili tramite l'accesso condizionale.

Dopo aver selezionato questa opzione, incluso il percorso denominato Gli IP attendibili MFA verranno applicati a tutti i criteri con questa opzione selezionata.

Per le applicazioni per dispositivi mobili e desktop, con durate di sessione di lunga durata, l'accesso condizionale viene rivalutato periodicamente. Il valore predefinito è una volta ogni ora. Quando l'attestazione della rete aziendale interna viene emessa solo al momento dell'autenticazione iniziale, Azure AD potrebbe non disporre di un elenco di intervalli IP attendibili. In questo caso, è più difficile determinare se l'utente sia ancora presente nella rete aziendale:

  1. Verificare se l'indirizzo IP dell'utente è in uno degli intervalli di indirizzi IP attendibili.
  2. Controllare se i primi tre ottetti dell'indirizzo IP dell'utente corrispondono ai primi tre ottetti dell'indirizzo IP dell'autenticazione iniziale. L'indirizzo IP viene confrontato con l'autenticazione iniziale quando l'attestazione all'interno della rete aziendale è stata originariamente rilasciata e il percorso utente è stato convalidato.

Se entrambi i passaggi danno esito negativo, l'utente non viene più considerato come su un indirizzo IP attendibile.

Condizione di posizione nei criteri

Quando si configura la condizione di posizione, è possibile distinguere tra:

  • Tutti i percorsi
  • Tutte le località attendibili
  • Le località selezionate

Tutti i percorsi

Per impostazione predefinita, la selezione di Tutte le località fa in modo che i criteri vengano applicati a tutti gli indirizzi IP, cioè qualsiasi indirizzo su Internet. Questa impostazione non è limitata agli indirizzi IP configurati come posizione specifica. Quando si seleziona Tutte le località, è comunque possibile escludere percorsi specifici dai criteri. Ad esempio, è possibile applicare dei criteri a tutte le posizioni tranne che ai percorsi attendibili per impostare l'ambito per tutte le posizioni ad eccezione della rete aziendale.

Tutte le località attendibili

Questa opzione si applica a:

  • Tutte le posizioni che sono state contrassegnate come attendibili
  • Indirizzi IP attendibili MFA (se configurati)

Le località selezionate

Con questa opzione è possibile selezionare una o più posizioni specifiche. Per applicare criteri con questa impostazione, un utente deve connettersi da una delle posizioni selezionate. Quando si seleziona il controllo di selezione della rete denominato che mostra l'elenco delle reti denominate, viene aperto. L'elenco indica anche se il percorso di rete è stato contrassegnato come attendibile. La posizione specifica denominata Indirizzi IP attendibili MFA viene usata per includere le impostazioni IP che possono essere configurate nella pagina di impostazione del servizio di autenticazione a più fattori.

Traffico IPv6

Per impostazione predefinita, i criteri di accesso condizionale verranno applicati a tutto il traffico IPv6. È possibile escludere intervalli di indirizzi IPv6 specifici da un criterio di accesso condizionale se non si vuole applicare criteri per intervalli IPv6 specifici. Ad esempio, se si vuole non applicare un criterio per gli usi nella rete aziendale e la rete aziendale è ospitata in intervalli IPv6 pubblici.

Identificazione del traffico IPv6 nei Azure AD di attività di accesso

È possibile individuare il traffico IPv6 nel tenant accedendo ai report Azure AD attività di accesso. Dopo aver aperto il report attività, aggiungere la colonna "Indirizzo IP". Questa colonna consente di identificare il traffico IPv6.

È anche possibile trovare l'INDIRIZZO IP client facendo clic su una riga nel report e quindi andando alla scheda "Posizione" nei dettagli dell'attività di accesso.

Quando il tenant avrà traffico IPv6?

Azure Active Directory (Azure AD) non supporta attualmente connessioni di rete dirette che usano IPv6. Tuttavia, in alcuni casi il traffico di autenticazione viene proxy tramite un altro servizio. In questi casi, l'indirizzo IPv6 verrà usato durante la valutazione dei criteri.

La maggior parte del traffico IPv6 che viene proxy Azure AD proviene da Microsoft Exchange Online. Se disponibile, Exchange preferiranno le connessioni IPv6. Pertanto, se si dispone di criteri di accesso condizionale per Exchange, che sono stati configurati per intervalli IPv4 specifici, è necessario assicurarsi di aver aggiunto anche gli intervalli IPv6 delle organizzazioni. L'esclusione degli intervalli IPv6 causerà un comportamento imprevisto per i due casi seguenti:

  • Quando un client di posta elettronica viene usato per connettersi Exchange Online con autenticazione legacy, Azure AD un indirizzo IPv6. La richiesta di autenticazione iniziale passa Exchange e viene quindi inviata tramite proxy Azure AD.
  • Quando Outlook Accesso Web (OWA) viene usato nel browser, verifica periodicamente che tutti i criteri di accesso condizionale continuino a essere soddisfatti. Questo controllo viene usato per rilevare i casi in cui un utente potrebbe essere stato spostato da un indirizzo IP consentito a una nuova posizione, ad esempio il bar in fondo alla strada. In questo caso, se viene usato un indirizzo IPv6 e se l'indirizzo IPv6 non è in un intervallo configurato, è possibile che la sessione venga interrotta e venga reindirizzata nuovamente a Azure AD per eseguire di nuovo l'autenticazione.

Inoltre, se si usano reti virtuali di Azure, si avrà traffico proveniente da un indirizzo IPv6. Se il traffico di rete virtuale è bloccato da criteri di accesso condizionale, controllare il Azure AD di accesso. Dopo aver identificato il traffico, è possibile ottenere l'indirizzo IPv6 in uso ed escluderlo dai criteri.

Nota

Se si vuole specificare un intervallo CIDR IP per un singolo indirizzo, applicare la maschera di bit /128. Se viene visualizzato l'indirizzo IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a e si vuole escludere il singolo indirizzo come intervallo, usare 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Informazioni utili

Quando viene valutata una posizione?

I criteri di accesso condizionale vengono valutati quando:

  • Un utente accede inizialmente a un'app Web, un'applicazione per dispositivi mobili o un'applicazione desktop.
  • Un'applicazione desktop o per dispositivo mobili che usa l'autenticazione moderna usa un token di aggiornamento per acquisire un nuovo token di accesso. Per impostazione predefinita, questo controllo è una volta all'ora.

Questo controllo significa che per le applicazioni per dispositivi mobili e desktop che usano l'autenticazione moderna, una modifica della posizione verrà rilevata entro un'ora dalla modifica del percorso di rete. Per le applicazioni desktop e per dispositivi mobili che non usano l'autenticazione moderna, questo criterio viene applicato a ogni richiesta di token. La frequenza della richiesta può variare in base all'applicazione. Analogamente, per le applicazioni Web il criterio viene applicato all'accesso iniziale e rimane valido per l'intera durata della sessione dell'applicazione Web interessata. A causa delle differenze a livello di durata delle sessioni delle applicazioni, anche il tempo tra le valutazioni dei criteri può variare. Ogni volta che l'applicazione richiede un nuovo token di accesso, vengono applicati i criteri.

Per impostazione predefinita, Azure AD rilascia un token su base oraria. Se si esce dalla rete aziendale, entro un'ora i criteri vengono applicati per le applicazioni che usano l'autenticazione moderna.

Indirizzo IP utente

L'indirizzo IP usato nella valutazione dei criteri è l'indirizzo IP pubblico dell'utente. Per i dispositivi in una rete privata, questo indirizzo IP non è l'INDIRIZZO IP client del dispositivo dell'utente nella intranet, ma è l'indirizzo usato dalla rete per connettersi alla rete Internet pubblica.

Caricamento e download in blocco delle posizioni specifiche

Quando si creano o si aggiornano le posizioni specifiche, per gli aggiornamenti in blocco è possibile caricare o scaricare un file CSV con gli intervalli di indirizzi IP. Un caricamento sostituisce gli intervalli IP nell'elenco con gli intervalli del file. Ogni riga del file contiene un intervallo di indirizzi IP in formato CIDR.

Proxy cloud e VPN

Quando si usa un proxy ospitato nel cloud o una soluzione VPN, l'indirizzo IP usato da Azure AD durante la valutazione dei criteri è l'indirizzo IP del proxy. L'intestazione X-Forwarded-For (XFF) che contiene l'indirizzo IP pubblico dell'utente non viene usata perché non è certo che provenga da un'origine attendibile, pertanto potrebbe essere un metodo per falsificare un indirizzo IP.

Quando è presente un proxy cloud, è possibile usare un criterio usato per richiedere un dispositivo aggiunto Azure AD ibrido o l'attestazione corpnet interna da AD FS.

Supporto dell'API e PowerShell

Per altre informazioni, vedere l'API namedLocationGraph disponibile una versione di anteprima dell'API di Graph per i percorsi denominati.

Passaggi successivi