Informazioni sull'accesso condizionaleWhat is Conditional Access?

Il perimetro di sicurezza moderno si estende ora oltre la rete di un'organizzazione per includere l'identità di utenti e dispositivi.The modern security perimeter now extends beyond an organization's network to include user and device identity. Le organizzazioni possono usare questi segnali di identità come parte delle decisioni relative al controllo di accesso.Organizations can utilize these identity signals as part of their access control decisions.

L'accesso condizionale è lo strumento usato da Azure Active Directory per raggruppare i segnali, consentendo di prendere decisioni e applicare i criteri dell'organizzazione.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. L'accesso condizionale è la base del nuovo piano di controllo basato su identità.Conditional Access is at the heart of the new identity driven control plane.

Segnale condizionale concettuale oltre a decisione per l'applicazione di criteri

I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then: se un utente vuole accedere a una risorsa, deve completare un'azione.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Esempio: Un responsabile retribuzioni per accedere all'apposita applicazione deve eseguire l'autenticazione a più fattori.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Gli amministratori devono perseguire due obiettivi principali:Administrators are faced with two primary goals:

  • Fare in modo che gli utenti siano produttivi sempre e ovunqueEmpower users to be productive wherever and whenever
  • Proteggere gli asset dell'organizzazioneProtect the organization's assets

Con i criteri di accesso condizionale, è possibile applicare i controlli di accesso appropriati per preservare la sicurezza dell'organizzazione quando è necessario ed evitare di ostacolare gli utenti quando non lo è.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

Flusso del processo di accesso condizionale concettuale

Importante

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione.Conditional Access policies are enforced after first-factor authentication is completed. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.Conditional Access isn't intended to be an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but it can use signals from these events to determine access.

Segnali comuniCommon signals

I segnali comuni su cui si basa l'accesso condizionale per stabilire i criteri includono i seguenti:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Appartenenza di utenti o gruppiUser or group membership
    • I criteri possono essere destinati a specifici utenti e gruppi offrendo agli amministratori un controllo granulare dell'accesso.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • Informazioni sugli indirizzi IPIP Location information
    • Le organizzazioni possono creare intervalli di indirizzi IP attendibili da usare per prendere decisioni sui criteri.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Gli amministratori possono specificare intervalli IP in interi paesi/aree geografiche per bloccare o consentire il traffico in ingresso e in uscita.Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
  • DispositivoDevice
    • Per applicare i criteri di accesso condizionale, è possibile considerare utenti con dispositivi di specifiche piattaforme o contrassegnati con uno stato specifico.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ApplicazioneApplication
    • Gli utenti che provano ad accedere a specifiche applicazioni possono attivare diversi criteri di accesso condizionale.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Rilevamento del rischio calcolato e in tempo realeReal-time and calculated risk detection
    • Grazie all'integrazione dei segnali con Azure AD Identity Protection, i criteri di accesso condizionale identificano il comportamento di accesso a rischio.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. I criteri possono quindi forzare gli utenti a cambiare la password o a eseguire l'autenticazione a più fattori per ridurre il livello di rischio oppure possono bloccarne l'accesso finché un amministratore non interviene manualmente.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Consente il monitoraggio e il controllo in tempo reale delle sessioni e dell'accesso alle applicazioni, aumentando la visibilità e il controllo sull'accesso e sulle attività eseguite nell'ambiente cloud.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Decisioni comuniCommon decisions

  • Blocca accessoBlock access
    • Decisione più restrittivaMost restrictive decision
  • Concedere l'accessoGrant access
    • Decisione meno restrittiva, può comunque richiedere una o più opzioni seguenti:Least restrictive decision, can still require one or more of the following options:
      • Richiedi autenticazione a più fattoriRequire multi-factor authentication
      • Richiedere che i dispositivi siano contrassegnati come conformiRequire device to be marked as compliant
      • Richiedi dispositivo aggiunto ad Azure AD ibridoRequire Hybrid Azure AD joined device
      • Richiedere app client approvataRequire approved client app
      • Richiedi criteri di protezione delle pp (anteprima)Require app protection policy (preview)

Criteri comunemente applicatiCommonly applied policies

Molte organizzazioni condividono preoccupazioni che possono essere risolte con i criteri di accesso condizionale, ad esempio:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Obbligo di eseguire l'autenticazione a più fattori per gli utenti con ruoli amministrativiRequiring multi-factor authentication for users with administrative roles
  • Obbligo di eseguire l'autenticazione a più fattori per le attività di gestione di AzureRequiring multi-factor authentication for Azure management tasks
  • Blocco degli accessi per gli utenti che provano a usare protocolli di autenticazione legacyBlocking sign-ins for users attempting to use legacy authentication protocols
  • Obbligo di usare posizioni attendibili per la registrazione ad Azure AD Multi-Factor AuthenticationRequiring trusted locations for Azure AD Multi-Factor Authentication registration
  • Blocco o concessione dell'accesso da specifiche posizioniBlocking or granting access from specific locations
  • Blocco dei comportamenti di accesso rischiosiBlocking risky sign-in behaviors
  • Obbligo di usare dispositivi gestiti dall'organizzazione per specifiche applicazioniRequiring organization-managed devices for specific applications

Requisiti relativi alle licenzeLicense requirements

Per usare questa funzionalità è necessario disporre di una licenza di Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Per trovare la licenza adatta alle proprie esigenze, vedere il  confronto tra le funzionalità disponibili a livello generale per le edizioni Gratuita, Basic e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Anche i clienti con licenze Premium di Microsoft 365 Business possono accedere alle funzionalità di accesso condizionale.Customers with Microsoft 365 Business Premium licenses also have access to Conditional Access features.

Rischio di accesso richiede l'accesso a Identity ProtectionSign-in Risk requires access to Identity Protection

Passaggi successiviNext steps