Che cos'è l'accesso condizionale in Azure Active Directory?What is conditional access in Azure Active Directory?

La sicurezza è una priorità assoluta per le organizzazioni che usano il cloud.Security is a top concern for organizations using the cloud. Identità e accesso rappresentano aspetti chiave della sicurezza cloud in ambito di gestione delle risorse cloud.A key aspect of cloud security is identity and access when it comes to managing your cloud resources. In un mondo dominato dai dispositivi mobili e basato sul cloud, gli utenti possono accedere alle risorse dell'organizzazione con una serie di dispositivi e app ovunque si trovino.In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. Di conseguenza, non è più sufficiente concentrarsi solo su chi può accedere a una risorsa.As a result of this, just focusing on who can access a resource is not sufficient anymore. Per ottenere un equilibrio ideale tra produttività e sicurezza, nelle decisioni relative al controllo di accesso è anche necessario considerare il modo in cui si accede a una risorsa.To master the balance between security and productivity, you also need to factor how a resource is accessed into an access control decision. Con l'accesso condizionale di Azure Active Directory (Azure AD) è possibile soddisfare questo requisito.With Azure Active Directory (Azure AD) conditional access, you can address this requirement. L'accesso condizionale è una funzionalità di Azure Active Directory.Conditional access is a capability of Azure Active Directory. Con l'accesso condizionale è possibile implementare decisioni di controllo di accesso automatiche per l'accesso alle app cloud in base a determinate condizioni.With conditional access, you can implement automated access control decisions for accessing your cloud apps that are based on conditions.

I criteri di accesso condizionale vengono applicati dopo il completamento dell'autenticazione con primo fattore.Conditional access policies are enforced after the first-factor authentication has been completed. Pertanto l'accesso condizionale non è da intendersi come una prima misura difensiva da attacchi Denial of Service (DoS), ma può utilizzare segnali da questi eventi, come il livello di rischio di accesso, la posizione della richiesta e così via, per determinare l'accesso.Therefore, conditional access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (e.g. the sign-in risk level, location of the request, and so on) to determine access.

Controllo

Questo articolo offre una panoramica concettuale dell'accesso condizionale in Azure AD.This article provides you with a conceptual overview of conditional access in Azure AD.

Scenari comuniCommon scenarios

In un mondo in cui i dispositivi mobili e il cloud hanno sempre più importanza, Azure Active Directory consente ovunque l'accesso Single Sign-On a dispositivi, app e servizi.In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. Con il proliferare dei dispositivi (inclusi i dispositivi BYOD), del lavoro al di fuori delle reti aziendali e delle app SaaS di terze parti, è necessario confrontarsi con due obiettivi contrapposti:With the proliferation of devices (including BYOD), work off corporate networks, and third-party SaaS apps, you are faced with two opposing goals:

  • Fare in modo che gli utenti siano produttivi sempre e ovunqueEmpower users to be productive wherever and whenever
  • Proteggere gli asset aziendali in qualsiasi momentoProtect the corporate assets at any time

Grazie ai criteri di accesso condizionale è possibile applicare i controlli di accesso idonei nelle condizioni richieste.By using conditional access policies, you can apply the right access controls under the required conditions. L'accesso condizionale di Azure AD offre maggiore sicurezza quando è necessario e non interferisce con le attività dell'utente quando non lo è.Azure AD conditional access provides you with added security when needed and stays out of your user’s way when it isn’t.

Di seguito sono indicate alcune problematiche di accesso comuni per cui l'accesso condizionale può risultare utile:Following are some common access concerns that conditional access can help you with:

  • Rischio di accesso: Azure AD Identity Protection rileva i rischi di accesso.Sign-in risk: Azure AD Identity Protection detects sign-in risks. Come limitare l'accesso se un rischio di accesso rilevato indica un attore malintenzionato?How do you restrict access if a detected sign-in risk indicates a bad actor? Come fare se si intende avere prove più chiare del fatto che è stato eseguito un accesso da parte dell'utente legittimoWhat if you would like to get stronger evidence that a sign-in was performed by the legitimate user? o se sussistono dubbi sufficienti a impedire addirittura a utenti specifici di accedere a un'app?What if your doubts are strong enough to even block specific users from accessing an app?

  • Percorso di rete: Azure AD è accessibile da qualsiasi posizione.Network location: Azure AD is accessible from anywhere. Cosa accade se si esegue un tentativo di accesso da un percorso di rete al di fuori del controllo del reparto IT?What if an access attempt is performed from a network location that is not under the control of your IT department? Una combinazione di nome utente e password potrebbe essere sufficiente come identificazione per i tentativi di accesso dalla rete aziendale.A username and password combination might be good enough as proof of identity for access attempts from your corporate network. Cosa accade se è necessario un livello superiore di identificazione per i tentativi di accesso avviati da altri paesi o aree geografiche non previsti del mondo?What if you demand a stronger proof of identity for access attempts that are initiated from other unexpected countries or regions of the world? Cosa accade se si intende addirittura bloccare i tentativi di accesso da alcune posizioni?What if you even want to block access attempts from certain locations?

  • Gestione dei dispositivi: in Azure AD gli utenti possono accedere alle app cloud da una vasta gamma di dispositivi, inclusi i dispositivi mobili e i dispositivi personali.Device management: In Azure AD, users can access cloud apps from a broad range of devices including mobile and also personal devices. Cosa accade se è necessario che i tentativi di accesso vengano eseguiti solo con dispositivi gestiti dal reparto IT?What if you demand that access attempts should only be performed with devices that are managed by your IT department? Cosa accade se si intende addirittura impedire a determinati tipi di dispositivi l'accesso alle app cloud nell'ambiente in uso?What if you even want to block certain device types from accessing cloud apps in your environment?

  • Applicazione client: oggi è possibile accedere a molte app cloud con tipi di app diversi, ad esempio app basate sul Web, app per dispositivi mobili o app desktop.Client application: Today, you can access many cloud apps using different app types such as web-based apps, mobile apps, or desktop apps. Cosa accade se un tentativo di accesso viene eseguito usando un tipo di app client che causa problemi noti?What if an access attempt is performed using a client app type that causes known issues? Cosa accade se è necessario un dispositivo gestito dal reparto IT per determinati tipi di app?What if you require a device that is managed by your IT department for certain app types?

Queste domande e le relative risposte rappresentano scenari comuni per l'accesso condizionale di Azure AD.These questions and the related answers represent common access scenarios for Azure AD conditional access. L'accesso condizionale è una funzionalità di Azure Active Directory che consente di gestire gli scenari di accesso con un approccio basato su criteri.Conditional access is a capability of Azure Active Directory that enables you to handle access scenarios using a policy-based approach.

Criteri di accesso condizionaleConditional access policies

I criteri di accesso condizionale rappresentano una definizione di uno scenario di accesso con il criterio seguente:A conditional access policy is a definition of an access scenario using the following pattern:

Controllo

La seconda parte specifica la risposta dei criteri.Then do this specifies the response of your policy. È importante notare che l'obiettivo dei criteri di accesso condizionale è quello di non concedere l'accesso a un'app cloud.It is important to note that the objective of a conditional access policy is not to grant access to a cloud app. In Azure AD la concessione dell'accesso alle app cloud è soggetta alle assegnazioni utente.In Azure AD, granting access to cloud apps is subject of user assignments. Con i criteri di accesso condizionale l'utente controlla il modo in cui gli utenti autorizzati (che hanno ottenuto l'accesso a un'app cloud) possono accedere alle app cloud in condizioni specifiche.With a conditional access policy, you control how authorized users (users that have been granted access to a cloud app) can access cloud apps under specific conditions. Nella risposta l'utente applica altri requisiti, ad esempio l'autenticazione a più fattori o un dispositivo gestito.In your response, you enforce additional requirements such as multi-factor authentication, a managed device, and others. Nel contesto dell'accesso condizionale di Azure AD, i requisiti applicati dai criteri vengono chiamati controlli di accesso.In the context of Azure AD conditional access, the requirements your policy enforces are called access controls. Nella forma più restrittiva, i criteri possono bloccare l'accesso.In the most restrictive form, your policy can block access. Per altre informazioni, vedere Controlli di accesso nell'accesso condizionale di Azure Active Directory.For more information, see Access controls in Azure Active Directory conditional access.

Quando accade questo definisce il motivo per attivare i criteri.When this happens defines the reason for triggering your policy. Questo motivo è caratterizzato da un gruppo di condizioni soddisfatte.This reason is characterized by a group of conditions that have been satisfied. Nell'accesso condizionale di Azure AD le due condizioni di assegnazione svolgono un ruolo particolare:In Azure AD conditional access, the two assignment conditions play a special role:

  • Utenti: gli utenti che eseguono un tentativo di accesso (Chi).Users: The users performing an access attempt (Who).

  • App cloud: le destinazioni di un tentativo di accesso (Cosa).Cloud apps: The targets of an access attempt (What).

Queste due condizioni sono obbligatorie nei criteri di accesso condizionale.These two conditions are mandatory in a conditional access policy. Oltre alle due condizioni obbligatorie, è anche possibile includere altre condizioni che descrivono il modo in cui viene eseguito il tentativo di accesso.In addition to the two mandatory conditions, you can also include additional conditions that describe how the access attempt is performed. Esempi comuni sono l'uso di dispositivi mobili o posizioni all'esterno della rete aziendale.Common examples are using mobile devices or locations that are outside your corporate network. Per altre informazioni, vedere Condizioni nell'accesso condizionale di Azure Active Directory.For more information, see Conditions in Azure Active Directory conditional access.

La combinazione delle condizioni con i controlli di accesso rappresenta un tipo di criteri di accesso condizionale.The combination of conditions with your access controls represents a conditional access policy.

Controllo

Con l'accesso condizionale di Azure AD è possibile controllare il modo in cui gli utenti autorizzati possono accedere alle app cloud.With Azure AD conditional access, you can control how authorized users can access your cloud apps. L'obiettivo dei criteri di accesso condizionale è applicare controlli di accesso aggiuntivi per un tentativo di accesso a un'app cloud in base a come il tentativo viene eseguito.The objective of a conditional access policy is to enforce additional access controls on an access attempt to a cloud app based on how an access attempt is performed.

Con un approccio basato su criteri per la protezione dell'accesso alle app cloud, si può iniziare a definire i requisiti dei criteri per l'ambiente usando la struttura illustrata in questo articolo senza preoccuparsi dell'implementazione tecnica.A policy-based approach to protect access to your cloud apps enables you to start drafting the policy requirements for your environment using the structure outlined in this article without worrying about the technical implementation.

Autenticazione federata e accesso condizionale di Azure ADAzure AD conditional access and federated authentication

I criteri di accesso condizionale interagiscono senza problemi con l'autenticazione federata.Conditional access policies work seamlessly with federated authentication. Tale interazione include tutti i controlli e le condizioni supportati e la visibilità del modo in cui i criteri vengono applicati agli accessi utente attivi con i report di Azure AD.This support includes all supported conditions and controls and visibility into how policy is applied to active user sign-ins using Azure AD reporting.

Con l'autenticazione federata con Azure AD, l'autenticazione degli utenti ad Azure AD viene gestita da un servizio di autenticazione attendibile,Federated authentication with Azure AD means that a trusted authentication service handles user authentication to Azure AD. come ad esempio Active Directory Federation Services (AD FS) o qualsiasi altro servizio federativo.A trusted authentication service is, for example, Active Directory Federation Services (AD FS), or any other federation service. In questa configurazione, l'autenticazione utente primaria viene eseguita nel servizio, quindi viene usato Azure AD per l'accesso alle singole applicazioni.In this configuration, primary user authentication is performed at the service and then Azure AD is used to sign into individual applications. L'accesso condizionale di Azure AD viene applicato prima della concessione dell'accesso all'applicazione a cui l'utente sta accedendo.Azure AD conditional access is applied before access is granted to the application the user is accessing.

Quando i criteri di accesso condizionale configurati richiedono l'autenticazione a più fattori, Azure AD usa per impostazione predefinita Azure MFA.When the configured conditional access policy requires multi-factor authentication, Azure AD defaults to using Azure MFA. Se si usa il servizio federativo per MFA, è possibile configurare Azure AD in modo da reindirizzare il servizio federativo quando è necessario MFA impostando -SupportsMFA su $true in PowerShell.If you use the federation service for MFA, you can configure Azure AD to redirect to the federation service when MFA is needed by setting -SupportsMFA to $true in PowerShell. Questa impostazione funziona per i servizi di autenticazione federata che supportano la richiesta di autenticazione MFA generata da Azure AD con wauth= http://schemas.microsoft.com/claims/multipleauthn.This setting works for federated authentication services that support the MFA challenge request issued by Azure AD using wauth= http://schemas.microsoft.com/claims/multipleauthn.

Dopo l'accesso dell'utente al servizio di autenticazione federata, Azure AD gestisce gli altri requisiti dei criteri, come la conformità del dispositivo o un'applicazione approvata.After the user has signed in to the federated authentication service, Azure AD handles other policy requirements such as device compliance or an approved application.

Requisiti di licenza per l'uso dell'accesso condizionaleLicense requirements for using conditional access

L'uso dell'accesso condizionale richiede una licenza di Azure AD Premium.Using conditional access requires an Azure AD Premium license. Per trovare la licenza corretta per le proprie esigenze, vedere Caratteristiche e funzionalità di Azure Active Directory.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Passaggi successiviNext steps

Per informazioni su come implementare l'accesso condizionale nell'ambiente in uso, vedere Pianificare la distribuzione dell'accesso condizionale in Azure Active Directory.To learn how to implement conditional access in your environment, see Plan your conditional access deployment in Azure Active Directory.