Che cos'è la condizione della posizione in Active Directory accesso condizionale di Azure?What is the location condition in Azure Active Directory Conditional Access?

Con accesso condizionale di Azure Active Directory (Azure AD), è possibile controllare gli utenti come autorizzati possono accedere alle App cloud.With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users can access your cloud apps. La condizione della posizione di un criterio di accesso condizionale consente di associare le impostazioni di controlli di accesso ai percorsi di rete degli utenti.The location condition of a Conditional Access policy enables you to tie access controls settings to the network locations of your users.

Questo articolo fornisce le informazioni necessarie per configurare la condizione della posizione.This article provides you with the information you need to configure the location condition.

LocalitàLocations

Azure AD Abilita single sign-on ai dispositivi, App e servizi da qualsiasi posizione nella rete internet pubblica.Azure AD enables single sign-on to devices, apps, and services from anywhere on the public internet. Con la condizione della posizione, è possibile controllare l'accesso alle app cloud in base al percorso di rete dell'utente.With the location condition, you can control access to your cloud apps based on the network location of a user. Casi d'uso comuni per la condizione della posizione:Common use cases for the location condition are:

  • Necessità dell'autenticazione a più fattori per gli utenti che accedono a un servizio quando non sono connessi alla rete aziendale.Requiring multi-factor authentication for users accessing a service when they are off the corporate network.
  • Blocco dell'accesso per gli utenti che accedono a un servizio da specifici paesi o aree geografiche.Blocking access for users accessing a service from specific countries or regions.

Un percorso è un'etichetta per un percorso di rete che rappresenta una posizione specifica o multi-factor authentication, gli indirizzi IP attendibili.A location is a label for a network location that either represents a named location or multi-factor authentication Trusted IPs.

Posizioni specificheNamed locations

Con le località denominate, è possibile creare raggruppamenti logici di intervalli di indirizzi IP o paesi e aree geografiche.With named locations, you can create logical groupings of IP address ranges or countries and regions.

È possibile accedere a specifiche posizioni il Gestisci sezione della pagina di accesso condizionale.You can access your named locations in the Manage section of the Conditional Access page.

Località denominate nell'accesso condizionale

Una posizione specifica ha le caratteristiche seguenti:A named location has the following components:

Creare un nuovo percorso

  • Nome: nome visualizzato di una posizione specifica.Name - The display name of a named location.

  • Intervalli IP: uno o più intervalli di indirizzi IPv4 in formato CIDR.IP ranges - One or more IPv4 address ranges in CIDR format. Specifica un intervallo di indirizzi IPv6 non è supportata.Specifying an IPv6 address range is not supported.

    Nota

    IPv6 indirizzo rangess attualmente non è possibile includere in una posizione denominata.IPv6 address rangess cannot currently be included in a named location. Gli intervalli IPv6 questo measn non possono essere esclusa da un criterio di accesso condizionale.This measn IPv6 ranges cannot be excluded from a Conditional Access policy.

  • Contrassegna come posizione attendibile: flag che è possibile impostare per una posizione specifica per indicare un percorso attendibile.Mark as trusted location - A flag you can set for a named location to indicate a trusted location. In genere, i percorsi attendibili sono aree della rete controllate dal reparto IT.Typically, trusted locations are network areas that are controlled by your IT department. Oltre all'accesso condizionale, posizioni attendibili sono usate anche dai report di sicurezza di Azure Identity Protection e Azure AD per ridurre falsi positivi.In addition to Conditional Access, trusted named locations are also used by Azure Identity Protection and Azure AD security reports to reduce false positives.

  • Paesi/aree geografiche: questa opzione consente di selezionare uno o più paesi o aree geografiche per definire una posizione specifica.Countries/Regions - This option enables you to select one or more country or region to define a named location.

  • Includi aree sconosciute -alcuni indirizzi IP non sono mappati a un paese specifico.Include unknown areas - Some IP addresses are not mapped to a specific country or region. Questa opzione consente di scegliere se questi indirizzi IP devono essere inclusi nella posizione specifica.This option allows you to choose if these IP addresses should be included in the named location. Usare questa impostazione quando i criteri che usano la posizione specifica devono essere applicati a posizioni sconosciute.Use this setting when the policy using the named location should apply to unknown locations.

Il numero di località denominate che è possibile configurare è limitato dalle dimensioni dell'oggetto correlato in Azure AD.The number of named locations you can configure is constrained by the size of the related object in Azure AD. Le organizzazioni possono configurare fino a 90 posizioni specifiche, ciascuna configurata con un massimo di 1200 intervalli IP.Organizations can configure up to 90 named locations, each configured with up to 1200 IP ranges.

Criteri di accesso condizionale si applicano al traffico IPv4 e IPv6.Conditional Access policy applies to IPv4 and IPv6 traffic. Località denominate attualmente non consentire gli intervalli IPv6 da configurare.Currently named locations do not allow IPv6 ranges to be configured. Questa limitazione comporta le situazioni seguenti:This limitation causes the following situations:

  • Criteri di accesso condizionale non possono essere assegnati a specifici intervalli IPv6Conditional Access policy cannot be targeted to specific IPv6 ranges
  • Criteri di accesso condizionale non è possibile escludere specifici intervalli IPV6Conditional Access policy cannot exclude specific IPV6 ranges

Se un criterio è configurato per applicare in "Qualsiasi percorso", verrà applicata al traffico IPv4 e IPv6.If a policy is configured to apply to “Any location”, it will apply to IPv4 and IPv6 traffic. Località denominate configurate per paesi e regioni specificato supporta solo indirizzi IPv4.Named locations configured for specified countries and regions only support IPv4 addresses. Il traffico IPv6 è solo se è selezionata l'opzione per "Includi aree sconosciute" inclusa.IPv6 traffic is only included if the option to “include unknown areas” selected.

Indirizzi IP attendibiliTrusted IPs

È inoltre possibile configurare gli intervalli di indirizzi IP che rappresentano la Intranet locale dell'organizzazione nelle impostazioni del servizio di autenticazione a più fattori.You can also configure IP address ranges representing your organization's local intranet in the multi-factor authentication service settings. Questa funzionalità consente di configurare fino a 50 intervalli di indirizzi IP.This feature enables you to configure up to 50 IP address ranges. Gli intervalli di indirizzi IP sono in formato CIDR.The IP address ranges are in CIDR format. Per altre informazioni, vedere gli indirizzi IP attendibili.For more information, see Trusted IPs.

Se si dispone di indirizzi IP attendibili configurati, vengono visualizzati come indirizzi IP attendibili MFA nell'elenco di percorsi per la condizione della posizione.If you have Trusted IPs configured, they show up as MFA Trusted IPS in the list of locations for the location condition.

Ignorare l'autenticazione a più fattoriSkipping multi-factor authentication

Nella pagina delle impostazioni del servizio di autenticazione a più fattori, è possibile identificare gli utenti della rete Intranet aziendale selezionando Ignora l'autenticazione a più fattori per le richieste provenienti da utenti federati nella Intranet.On the multi-factor authentication service settings page, you can identify corporate intranet users by selecting Skip multi-factor authentication for requests from federated users on my intranet. Questa impostazione indica che l'attestazione della rete aziendale interna, rilasciata da AD FS, deve essere attendibile e usata per identificare l'utente come appartenente alla rete aziendale.This setting indicates that the inside corporate network claim, which is issued by AD FS, should be trusted and used to identify the user as being on the corporate network. Per altre informazioni, vedere abilitare la funzionalità indirizzi IP attendibili usando l'accesso condizionale.For more information, see Enable the Trusted IPs feature by using Conditional Access.

Dopo aver selezionato questa opzione, inclusa la posizione specifica indirizzi IP attendibili MFA verranno applicate a tutti i criteri con questa opzione è selezionata.After checking this option, including the named location MFA Trusted IPS will apply to any policies with this option selected.

Per le applicazioni per dispositivi mobili e desktop, che hanno lunga durata della sessione, l'accesso condizionale viene rivalutato periodicamente.For mobile and desktop applications, which have long lived session lifetimes, Conditional Access is periodically reevaluated. Il valore predefinito è una volta ogni ora.The default is once an hour. Quando l'attestazione della rete aziendale interna viene emessa solo al momento dell'autenticazione iniziale, Azure AD potrebbe non disporre di un elenco di intervalli IP attendibili.When the inside corporate network claim is only issued at the time of the initial authentication, Azure AD may not have a list of trusted IP ranges. In questo caso, è più difficile determinare se l'utente sia ancora presente nella rete aziendale:In this case, it is more difficult to determine if the user is still on the corporate network:

  1. Verificare se l'indirizzo IP dell'utente è in uno degli intervalli di indirizzi IP attendibili.Check if the user’s IP address is in one of the trusted IP ranges.
  2. Verificare se i primi tre ottetti dell'indirizzo IP dell'utente corrispondono i primi tre ottetti dell'indirizzo IP dell'autenticazione iniziale.Check whether the first three octets of the user’s IP address match the first three octets of the IP address of the initial authentication. L'indirizzo IP viene confrontato con l'iniziale l'autenticazione quando l'attestazione della rete azienda interna è stata emessa originariamente e la posizione dell'utente è stata convalidata.The IP address is compared with the initial authentication when the inside corporate network claim was originally issued and the user location was validated.

Se entrambi i passaggi danno esito negativo, l'utente non viene più considerato come su un indirizzo IP attendibile.If both steps fail, a user is considered to be no longer on a trusted IP.

Configurazione della condizione della posizioneLocation condition configuration

Quando si configura la condizione per la posizione, è possibile distinguere tra:When you configure the location condition, you have the option to distinguish between:

  • Qualsiasi localitàAny location
  • Tutte le località attendibiliAll trusted locations
  • Le località selezionateSelected locations

Configurazione della condizione della posizione

Qualsiasi localitàAny location

Per impostazione predefinita, la selezione di Tutte le località fa in modo che i criteri vengano applicati a tutti gli indirizzi IP, cioè qualsiasi indirizzo su Internet.By default, selecting Any location causes a policy to be applied to all IP addresses, which means any address on the Internet. Questa impostazione non è limitata agli indirizzi IP configurati come posizione specifica.This setting is not limited to IP addresses you have configured as named location. Quando si seleziona Tutte le località, è comunque possibile escludere percorsi specifici dai criteri.When you select Any location, you can still exclude specific locations from a policy. Ad esempio, è possibile applicare dei criteri a tutte le posizioni tranne che ai percorsi attendibili per impostare l'ambito per tutte le posizioni ad eccezione della rete aziendale.For example, you can apply a policy to all locations except trusted locations to set the scope to all locations, except the corporate network.

Tutte le località attendibiliAll trusted locations

Questa opzione si applica a:This option applies to:

  • Tutte le posizioni che sono state contrassegnate come attendibiliAll locations that have been marked as trusted location
  • Gli indirizzi IP attendibili MFA (se configurati)MFA Trusted IPS (if configured)

Le località selezionateSelected locations

Con questa opzione è possibile selezionare una o più posizioni specifiche.With this option, you can select one or more named locations. Per applicare criteri con questa impostazione, un utente deve connettersi da una delle posizioni selezionate.For a policy with this setting to apply, a user needs to connect from any of the selected locations. Quando si fa clic su Seleziona, si apre il controllo di selezione delle reti denominate che mostra l'elenco delle reti denominate.When you click Select the named network selection control that shows the list of named networks opens. L'elenco indica anche se il percorso di rete è stato contrassegnato come attendibile.The list also shows if the network location has been marked as trusted. La posizione specifica denominata Indirizzi IP attendibili MFA viene usata per includere le impostazioni IP che possono essere configurate nella pagina di impostazione del servizio di autenticazione a più fattori.The named location called MFA Trusted IPs is used to include the IP settings that can be configured in the multi-factor authentication service setting page.

Informazioni utiliWhat you should know

Quando viene valutata una posizione?When is a location evaluated?

Criteri di accesso condizionale vengono valutati quando:Conditional Access policies are evaluated when:

  • Un utente accede inizialmente a un'app Web, un'applicazione per dispositivi mobili o un'applicazione desktop.A user initially signs in to a web app, mobile or desktop application.
  • Un'applicazione desktop o per dispositivo mobili che usa l'autenticazione moderna usa un token di aggiornamento per acquisire un nuovo token di accesso.A mobile or desktop application that uses modern authentication, uses a refresh token to acquire a new access token. Per impostazione predefinita questo controllo è una sola volta con cadenza oraria.By default this check is once an hour.

Indica che questo controllo per dispositivi mobili e applicazioni desktop con l'autenticazione moderna, una modifica nella posizione viene rilevata entro un'ora di modifica del percorso di rete.This check means for mobile and desktop applications using modern authentication, a change in location would be detected within an hour of changing the network location. Per le applicazioni desktop e per dispositivi mobili che non usano l'autenticazione moderna, questo criterio viene applicato a ogni richiesta di token.For mobile and desktop applications that don’t use modern authentication, the policy is applied on each token request. La frequenza della richiesta può variare in base all'applicazione.The frequency of the request can vary based on the application. Analogamente, per le applicazioni Web il criterio viene applicato all'accesso iniziale e rimane valido per l'intera durata della sessione dell'applicazione Web interessata.Similarly, for web applications, the policy is applied at initial sign-in and is good for the lifetime of the session at the web application. A causa delle differenze a livello di durata delle sessioni delle applicazioni, anche il tempo tra le valutazioni dei criteri può variare.Due to differences in session lifetimes across applications, the time between policy evaluation will also vary. Il criterio viene applicato ogni volta che l'applicazione richiede un nuovo token di accesso.Each time the application requests a new sign-in token, the policy is applied.

Per impostazione predefinita, Azure AD rilascia un token su base oraria.By default, Azure AD issues a token on an hourly basis. Se si esce dalla rete aziendale, entro un'ora i criteri vengono applicati per le applicazioni che usano l'autenticazione moderna.After moving off the corporate network, within an hour the policy is enforced for applications using modern authentication.

Indirizzo IP utenteUser IP address

L'indirizzo IP usato nella valutazione dei criteri è l'indirizzo IP pubblico dell'utente.The IP address that is used in policy evaluation is the public IP address of the user. Per i dispositivi in una rete privata, questo indirizzo IP non è l'indirizzo IP del client del dispositivo dell'utente sulla intranet, l'indirizzo usato dalla rete per la connessione a internet pubblico.For devices on a private network, this IP address is not the client IP of the user’s device on the intranet, it is the address used by the network to connect to the public internet.

Avviso

Se il dispositivo ha solo un indirizzo IPv6, configurare la condizione di percorso non è supportata.If your device has only an IPv6 address, configuring the location condition is not supported.

Caricamento e download in blocco delle posizioni specificheBulk uploading and downloading of named locations

Quando si creano o si aggiornano le posizioni specifiche, per gli aggiornamenti in blocco è possibile caricare o scaricare un file CSV con gli intervalli di indirizzi IP.When you create or update named locations, for bulk updates, you can upload or download a CSV file with the IP ranges. Con un'operazione di caricamento si sostituiscono gli intervalli di indirizzi IP nell'elenco con quelli del file.An upload replaces the IP ranges in the list with those from the file. Ogni riga del file contiene un intervallo di indirizzi IP in formato CIDR.Each row of the file contains one IP Address range in CIDR format.

Proxy cloud e VPNCloud proxies and VPNs

Quando si usa un proxy ospitato nel cloud o una soluzione VPN, l'indirizzo IP usato da Azure AD durante la valutazione dei criteri è l'indirizzo IP del proxy.When you use a cloud hosted proxy or VPN solution, the IP address Azure AD uses while evaluating a policy is the IP address of the proxy. L'intestazione X-Forwarded-For (XFF) che contiene l'indirizzo IP pubblico dell'utente non viene usata perché non è certo che provenga da un'origine attendibile, pertanto potrebbe essere un metodo per falsificare un indirizzo IP.The X-Forwarded-For (XFF) header that contains the user’s public IP address is not used because there is no validation that it comes from a trusted source, so would present a method for faking an IP address.

Quando è presente un proxy cloud, è possibile usare criteri che richiedono un dispositivo aggiunto al dominio o l'attestazione della rete aziendale intera di AD FS.When a cloud proxy is in place, a policy that is used to require a domain joined device can be used, or the inside corpnet claim from AD FS.

Supporto dell'API e PowerShellAPI support and PowerShell

API e PowerShell non è ancora supportata per le posizioni specifiche o per i criteri di accesso condizionale.API and PowerShell is not yet supported for named locations, or for Conditional Access policies.

Passaggi successiviNext steps