Procedura: Pianificare la distribuzione di accesso condizionale in Azure Active DirectoryHow To: Plan your Conditional Access deployment in Azure Active Directory

Pianificazione della distribuzione di accesso condizionale è fondamentale assicurarsi che ottenere la strategia di accesso necessario per le App e le risorse all'interno dell'organizzazione.Planning your Conditional Access deployment is critical to make sure you achieve the required access strategy for apps and resources in your organization. Per la maggior parte del tuo tempo durante la fase di pianificazione della distribuzione per i vari criteri che necessari per concedere o bloccare l'accesso agli utenti le condizioni che si sceglie di progettazione.Spend most of your time during the planning phase of your deployment to design the various policies you require to grant or block access to your users under the conditions you choose. Questo documento illustra i passaggi da eseguire per implementare i criteri di accesso condizionale sicuri ed efficaci.This document explains the steps you should take to implement secure and effective Conditional Access policies. Prima di iniziare, assicurarsi di comprendere la modalità accesso condizionale works e quando è consigliabile usarlo.Before you begin, make sure you understand how Conditional Access works and when you should use it.

Informazioni utiliWhat you should know

Accesso condizionale può essere paragonato a un framework che consente di controllare l'accesso alle App e risorse, invece di una funzionalità autonoma dell'organizzazione.Think of Conditional Access as a framework that allows you to control access to your organization’s apps and resources, instead of a stand-alone feature. Di conseguenza, alcune impostazioni di accesso condizionale richiedono funzionalità aggiuntive da configurare.Consequently, some Conditional Access settings require additional features to be configured. Ad esempio, è possibile configurare un criterio che risponda a un determinato livello di rischio di accesso.For example, you can configure a policy that responds to a specific sign-in risk level. Tuttavia, un criterio basato sul livello di rischio di accesso richiede l'abilitazione di Azure Active Directory Identity Protection.However, a policy that is based on a sign-in risk level requires Azure Active Directory identity protection to be enabled.

Se sono richieste funzionalità aggiuntive, può anche essere necessario ottenere le licenze correlate.If additional features are required, you might also need to get related licenses. Ad esempio, mentre l'accesso condizionale è una funzionalità di Azure AD Premium P1, la protezione dell'identità richiede una licenza di Azure AD Premium P2.For example, while Conditional Access is Azure AD Premium P1 feature, identity protection requires an Azure AD Premium P2 license.

Esistono due tipi di criteri di accesso condizionale: linea di base e standard.There are two types of Conditional Access policies: baseline and standard. Oggetto criterio di base è un criterio di accesso condizionale predefinito.A baseline policy is a predefined Conditional Access policy. L'obiettivo di questi criteri è assicurarsi di disporre almeno del livello di base della sicurezza abilitato.The goal of these policies is to make sure that you have at least the baseline level of security enabled. Criteri di base.Baseline policies. I criteri di base sono disponibili in tutte le edizioni di Azure AD e forniscono solo opzioni di personalizzazione limitate.Baseline policies are available in all editions of Azure AD, and they provide only limited customization options. Se uno scenario richiede una maggiore flessibilità, disabilitare i criteri di base e implementare i requisiti in criteri standard personalizzati.If a scenario requires more flexibility, disable the baseline policy, and implement your requirements in a custom standard policy.

In un criterio di accesso condizionale standard, è possibile personalizzare tutte le impostazioni per modificare i criteri per i requisiti aziendali.In a standard Conditional Access policy, you can customize all settings to adjust the policy to your business requirements. I criteri standard richiedono una licenza di Azure AD Premium P1.Standard policies require an Azure AD Premium P1 license.

Disegnare i criteriDraft policies

Active Directory accesso condizionale di Azure consente agli utenti di usare la protezione delle App cloud a un nuovo livello.Azure Active Directory Conditional Access enables you to bring the protection of your cloud apps to a new level. In questo nuovo livello, le modalità di accesso a un'app cloud si basano su una valutazione dei criteri dinamica anziché su una configurazione di accesso statica.In this new level, how you can access a cloud app is based on a dynamic policy evaluation instead of a static access configuration. Con un criterio di accesso condizionale, è possibile definire una risposta (scopo) a una condizione di accesso (in questo caso).With a Conditional Access policy, you define a response (do this) to an access condition (when this happens).

Motivo e risposta

Definire ogni criterio di accesso condizionale che si desidera implementare usando questo modello di pianificazione.Define every Conditional Access policy you want to implement using this planning model. L'esercizio di pianificazione:The planning exercise:

  • Aiuta a delineare le risposte e le condizioni per ogni criterio.Helps you to outline the responses and conditions for each policy.
  • Risultati in un catalogo di criteri di accesso condizionale ben documentato per l'organizzazione.Results in a well-documented Conditional Access policy catalog for your organization.

È possibile usare il catalogo per valutare se l'implementazione dei criteri riflette i requisiti aziendali dell'organizzazione.You can use your catalog to assess whether your policy implementation reflects your organization's business requirements.

Per creare i criteri di accesso condizionale per l'organizzazione, usare il modello di esempio seguente:Use the following example template to create Conditional Access policies for your organization:

Quando accade questo:When this happens: Fare questo:Then do this:
Viene eseguito un tentativo di accesso:An access attempt is made:
A un'app cloud
- Da utenti e gruppi
- To a cloud app*
- By users and groups*

Usando:Using:
-Condizione 1 (ad esempio, all'esterno della rete aziendale)- Condition 1 (for example, outside Corp network)
- Condizione 2 (ad esempio, piattaforme del dispositivo)- Condition 2 (for example, device platforms)
Bloccare l'accesso all'applicazioneBlock access to the application
Viene eseguito un tentativo di accesso:An access attempt is made:
A un'app cloud
- Da utenti e gruppi
- To a cloud app*
- By users and groups*

Usando:Using:
-Condizione 1 (ad esempio, all'esterno della rete aziendale)- Condition 1 (for example, outside Corp network)
- Condizione 2 (ad esempio, piattaforme del dispositivo)- Condition 2 (for example, device platforms)
Concedere l'accesso con (E):Grant access with (AND):
-Requisito 1 (ad esempio, MFA)- Requirement 1 (for example, MFA)
-Requisito 2 (ad esempio, conformità del dispositivo)- Requirement 2 (for example, Device compliance)
Viene eseguito un tentativo di accesso:An access attempt is made:
A un'app cloud
- Da utenti e gruppi
- To a cloud app*
- By users and groups*

Usando:Using:
-Condizione 1 (ad esempio, all'esterno della rete aziendale)- Condition 1 (for example, outside Corp network)
- Condizione 2 (ad esempio, piattaforme del dispositivo)- Condition 2 (for example, device platforms)
Concedere l'accesso con (O):Grant access with (OR):
-Requisito 1 (ad esempio, MFA)- Requirement 1 (for example, MFA)
-Requisito 2 (ad esempio, conformità del dispositivo)- Requirement 2 (for example, Device compliance)

Come minimo, quando accade questo definisce l'entità di sicurezza (chi) che tenta di accedere a un'app cloud (cosa).At a minimum, when this happens defines the principal (who) that attempts to access a cloud app (what). Se necessario, è anche possibile includere come viene eseguito un tentativo di accesso.If necessary, you can also include how an access attempt is performed. Nell'accesso condizionale, gli elementi che definiscono chi, cosa accade e come sono note come condizioni.In Conditional Access, the elements that define the who, what, and how are known as conditions. Per altre informazioni, vedere quali sono le condizioni in Active Directory accesso condizionale di Azure?For more information, see What are conditions in Azure Active Directory Conditional Access?

Con fare questo, si definisce la risposta dei criteri a una condizione di accesso.With then do this, you define the response of your policy to an access condition. Nella risposta, si blocca o si concede l'accesso con requisiti aggiuntivi, ad esempio, l'autenticazione a più fattori (MFA).In your response, you either block or grant access with additional requirements, for example, multi-factor authentication (MFA). Per una panoramica completa, vedere consente di controllare quali sono l'accesso in Active Directory accesso condizionale di Azure?For a complete overview, see What are access controls in Azure Active Directory Conditional Access?

La combinazione delle condizioni con i controlli di accesso rappresenta un tipo di criteri di accesso condizionale.The combination of conditions with your access controls represents a Conditional Access policy.

Motivo e risposta

Per altre informazioni, vedere Elementi necessari per il funzionamento di un criterio.For more information, see what's required to make a policy work.

A questo punto si può stabilire uno standard di denominazione per i criteri.At this point, it's a good time to decide on a naming standard for your policies. Lo standard di denominazione aiuta a individuare i criteri e comprenderne le finalità senza aprirli nel portale di amministrazione di Azure.The naming standard helps you to find policies and understand their purpose without opening them in the Azure admin portal. Denomina il criterio da visualizzare:Name your policy to show:

  • Numero di sequenzaA sequence number
  • Cloud a cui si applicaThe cloud app it applies to
  • RispostaThe response
  • A chi si applicaWho it applies to
  • Quando si applica (se applicabile)When it applies (if applicable)

Standard di denominazione

Mentre un nome descrittivo consente di mantenere una panoramica dell'implementazione di accesso condizionale, il numero di sequenza è utile se è necessario fare riferimento a un criterio in una conversazione.While a descriptive name helps you to keep an overview of your Conditional Access implementation, the sequence number is helpful if you need to reference a policy in a conversation. Ad esempio, se si parla di un amministratore di colleghi sul telefono, è possibile chiedere loro di aprire Criteri EM063 per risolvere un problema.For example, if you talk a fellow administrator on the phone, you can ask them to open policy EM063 to solve an issue.

Ad esempio, il nome seguente indica che il criterio richiede l'autenticazione a più fattori per gli utenti di marketing su reti esterne che usano l'app Dynamics CRP:For example, the following name states that the policy requires MFA for marketing users on external networks using the Dynamics CRP app:

CA01 - Dynamics CRP: Require MFA For marketing When on external networks

Oltre ai criteri attivi, è consigliabile implementare anche criteri disabilitati che agiscano come controlli di accesso resilienti secondari in scenari di emergenza/interruzione dei servizi.In addition to your active policies, it is advisable to also implement disabled policies that act as secondary resilient access controls in outage/emergency scenarios. Lo standard di denominazione per i criteri di emergenza deve includere alcuni altri elementi:Your naming standard for the contingency policies should include a few more items:

  • ENABLE IN EMERGENCY all'inizio in modo che il nome si distingua dagli altri criteri.ENABLE IN EMERGENCY at the beginning to make the name stand out among the other policies.
  • Il nome dell'interruzione a cui deve essere applicato.The name of disruption it should apply to.
  • Un numero di sequenza di ordinamento per consentire all'amministratore di sapere in che ordine devono essere abilitati i criteri.An ordering sequence number to help the administrator to know in which order policies should be enabled.

Ad esempio, il nome seguente indica che questo criterio è il primo criterio su quattro che se è presente un'interruzione di MFA, è consigliabile abilitare:For example, the following name indicates that this policy is the first policy out of four you should enable if there is an MFA disruption:

EM01 - ENABLE IN EMERGENCY, MFA Disruption[1/4] - Exchange SharePoint: Require hybrid Azure AD join For VIP users

Pianificare i criteriPlan policies

Quando si pianifica una soluzione di criteri di accesso condizionale, valutare se è necessario creare i criteri per ottenere i risultati seguenti.When planning your Conditional Access policy solution, assess whether you need to create policies to achieve the following outcomes.

Blocca accessoBlock access

L'opzione per bloccare l'accesso è notevolmente efficace perché:The option to block access is powerful because it:

  • È prioritaria rispetto a tutte le altre assegnazioni per un utenteTrumps all other assignments for a user
  • Consente di bloccare l'accesso al tenant da parte dell'intera organizzazioneHas the power to block your entire organization from signing on to your tenant

Se si vuole bloccare l'accesso per tutti gli utenti, è necessario escludere dai criteri almeno un utente (in genere gli account di accesso di emergenza).If you want to block access for all users, you should at least exclude one user (typically emergency access accounts) from the policy. Per altre informazioni, vedere come selezionare utenti e gruppi.For more information, see select users and groups.

Richiedere l'autenticazione MFARequire MFA

Per semplificare l'esperienza di accesso degli utenti, è possibile consentire di accedere alle app cloud usando un nome utente e una password.To simplify the sign-in experience of your users, you might want to allow them to sign in to your cloud apps using a user name and a password. Tuttavia, in genere esistono almeno alcuni scenari per cui è consigliabile richiedere una forma di verifica degli account più avanzata.However, typically, there are at least some scenarios for which it is advisable to require a stronger form of account verification. Con un criterio di accesso condizionale, è possibile limitare il requisito di autenticazione a più fattori per determinati scenari.With a Conditional Access policy, you can limit the requirement for MFA to certain scenarios.

I casi d'uso comuni per richiedere l'autenticazione MFA riguardano l'accesso:Common use cases to require MFA are access:

Rispondere ad account potenzialmente compromessiRespond to potentially compromised accounts

Con i criteri di accesso condizionale, è possibile implementare risposte automatiche agli accessi dalle identità potenzialmente compromesse.With Conditional Access policies, you can implement automated responses to sign-ins from potentially compromised identities. La probabilità che un account sia stato compromesso viene espressa sotto forma di livelli di rischio.The probability that an account has been compromised is expressed in form of risk levels. Identity Protection calcola due livelli di rischio: rischio di accesso e rischio utente.There are two risk levels calculated by identity protection: sign-in risk and user risk. Per implementare una risposta a un rischio di accesso sono disponibili due opzioni:To implement a response to a sign-in risk, you have two options:

Usare il rischio di accesso come condizione è il metodo consigliato perché offre più opzioni di personalizzazione.Addressing the sign-in risk as condition is the preferred method because it gives you more customization options.

Il livello di rischio utente è disponibile solo sotto forma di criteri di rischio utente di Identity Protection.The user risk level is only available as user risk policy in identity protection.

Per altre informazioni, vedere Cos'è Azure Active Directory Identity Protection?For more information, see What is Azure Active Directory Identity Protection?

Richiedere dispositivi gestitiRequire managed devices

L'ampia diffusione dei dispositivi supportati per l'accesso alle risorse cloud offre notevoli vantaggi in termini di produttività degli utenti.The proliferation of supported devices to access your cloud resources helps to improve the productivity of your users. In alcuni casi, tuttavia, può essere necessario evitare che alcune risorse dell'ambiente risultino accessibili a dispositivi con un livello di protezione sconosciuto.On the flip side, you probably don't want certain resources in your environment to be accessed by devices with an unknown protection level. Per le risorse di questo tipo è opportuno definire un requisito di accessibilità in modo che gli utenti possano accedervi solo tramite un dispositivo gestito.For the affected resources, you should require that users can only access them using a managed device. Per altre informazioni, vedere come richiedere i dispositivi gestiti per accedere all'app cloud con l'accesso condizionale.For more information, see How to require managed devices for cloud app access with Conditional Access.

Richiedere app client approvateRequire approved client apps

Una delle prime decisioni da prendere per gli scenari BYOD (Bring Your Own Device) è se gestire l'intero dispositivo o solo i dati al suo interno.One of the first decisions you need to make for bring your own devices (BYOD) scenarios, is whether you need to manage the entire device or just the data on it. I dipendenti usano dispositivi mobili sia per le attività personali che per quelle aziendali.Your employees use mobile devices for both personal and work tasks. È importante assicurarsi che i dipendenti siano produttivi e al contempo evitare la perdita di dati.While making sure your employees can be productive, you also want to prevent data loss. Con l'accesso condizionale di Azure Active Directory (Azure AD), è possibile limitare l'accesso alle App cloud per le app client approvate che consente di proteggere i dati aziendali.With Azure Active Directory (Azure AD) Conditional Access, you can restrict access to your cloud apps to approved client apps that can protect your corporate data. Per altre informazioni, vedere come richiedere l'App client approvate per accedere all'app cloud con l'accesso condizionale.For more information, see How to require approved client apps for cloud app access with Conditional Access.

Bloccare l'autenticazione legacyBlock legacy authentication

Azure AD supporta diversi dei protocolli di autenticazione e autorizzazione più ampiamente usati.Azure AD supports several of the most widely used authentication and authorization protocols including legacy authentication. Come si può impedire alle app che usano l'autenticazione legacy di accedere alle risorse dei tenant?How can you prevent apps using legacy authentication from accessing your tenant's resources? Si consiglia di appena bloccarli mediante un criterio di accesso condizionale.The recommendation is to just block them with a Conditional Access policy. Se necessario, è possibile autorizzare solo determinati utenti e percorsi di rete specifici per l’uso delle app basate sull’autenticazione legacy.If necessary, you allow only certain users and specific network locations to use apps that are based on legacy authentication. Per altre informazioni, vedere come bloccare l'autenticazione legacy per Azure AD con accesso condizionale.For more information, see How to block legacy authentication to Azure AD with Conditional Access.

Verificare i criteriTest your policy

Prima di implementare i criteri nell'ambiente di produzione, è consigliabile testarli per verificare che tutto funzioni come previsto.Before rolling out a policy into production, you should test is to verify that it behaves as expected.

  1. Creare utenti di testCreate test users
  2. Creare un piano di testCreate a test plan
  3. Configurare i criteriConfigure the policy
  4. Valutare un accesso simulatoEvaluate a simulated sign-in
  5. Verificare i criteriTest your policy
  6. PuliziaCleanup

Creare utenti di testCreate test users

Per testare un criterio, creare un set di utenti simili agli utenti nell'ambiente in uso.To test a policy, create a set of users that is similar to the users in your environment. La creazione di utenti di test consente di verificare che i criteri funzionino come previsto di applicarli agli utenti reali e potenzialmente compromettere il loro accesso alle app e alle risorse.Creating test users allows you to verify that your policies work as expected before you impact real users and potentially disrupt their access to apps and resources.

Alcune organizzazioni hanno tenant di test a questo scopo.Some organizations have test tenants for this purpose. Tuttavia, può essere difficile ricreare tutte le condizioni e le app in un tenant di test per verificare completamente i risultati di un criterio.However, it can be difficult to recreate all conditions and apps in a test tenant to fully test the outcome of a policy.

Creare un piano di testCreate a test plan

Il piano di test è importante per disporre di un confronto tra i risultati previsti e i risultati effettivi.The test plan is important to have a comparison between the expected results and the actual results. È sempre necessario definire il risultato atteso prima di eseguire un test.You should always have an expectation before testing something. Nella tabella seguente vengono descritti alcuni test case di esempio.The following table outlines example test cases. Modificare gli scenari e i risultati previsti in base al modo in cui sono configurati i criteri di accesso condizionale.Adjust the scenarios and expected results based on how your CA policies are configured.

PolicyPolicy ScenarioScenario Risultato previstoExpected Result RisultatoResult
Richiedi autenticazione a più fattori quando non al lavoroRequire MFA when not at work Un utente autorizzato accede ad App da un percorso attendibile/dal posto di lavoroAuthorized user signs into App while on a trusted location / work All'utente non viene richiesta l'autenticazione a più fattoriUser isn't prompted to MFA
Richiedi autenticazione a più fattori quando non al lavoroRequire MFA when not at work Un utente autorizzato accede ad App da un percorso non attendibile/non dal posto di lavoroAuthorized user signs into App while not on a trusted location / work All'utente viene richiesta l'autenticazione a più fattori e può eseguire correttamente l'accessoUser is prompted to MFA and can sign in successfully
Richiedi autenticazione a più fattori (per l'amministratore)Require MFA (for admin) L'amministratore globale accede ad AppGlobal Admin signs into App All'amministratore viene richiesta l'autenticazione a più fattoriAdmin is prompted to MFA
Accessi a rischioRisky sign-ins L'utente accede ad App usando un browser TorUser signs into App using a Tor browser All'amministratore viene richiesta l'autenticazione a più fattoriAdmin is prompted to MFA
Gestione del dispositivoDevice management Un utente autorizzato cerca di accedere da un dispositivo autorizzatoAuthorized user attempts to sign in from an authorized device Accesso concessoAccess Granted
Gestione del dispositivoDevice management Un utente autorizzato cerca di accedere da un dispositivo non autorizzatoAuthorized user attempts to sign in from an unauthorized device Accesso bloccatoAccess blocked
Modifica password per gli utenti a rischioPassword change for risky users Un utente autorizzato cerca di accedere con credenziali compromesse (accesso ad alto rischio)Authorized user attempts to sign in with compromised credentials (high risk sign in) All'utente viene richiesto di cambiare la password o l'accesso viene bloccato in base al criterioUser is prompted to change password or access is blocked based on your policy

Configurare i criteriConfigure the policy

La gestione di criteri di accesso condizionale è un'attività manuale.Managing Conditional Access policies is a manual task. Nel portale di Azure, è possibile gestire i criteri di accesso condizionale in una posizione centrale: pagina di accesso condizionale.In the Azure portal, you can manage your Conditional Access policies in one central location - the Conditional Access page. Un punto di ingresso alla pagina di accesso condizionale è il sicurezza sezione il Active Directory riquadro di spostamento.One entry point to the Conditional Access page is the Security section in the Active Directory navigation pane.

Accesso condizionale

Per altre informazioni su come creare criteri di accesso condizionale, vedere Richiedi autenticazione a più fattori per App specifiche con Azure Active Directory l'accesso condizionale.If you want to learn more about how to create Conditional Access policies, see Require MFA for specific apps with Azure Active Directory Conditional Access. Questo argomento di avvio rapido consente di:This quickstart helps you to:

  • Acquisire familiarità con l'interfaccia utente.Become familiar with the user interface.
  • Ottenere una panoramica del funzionamento dell'accesso condizionale.Get a first impression of how Conditional Access works.

Valutare un accesso simulatoEvaluate a simulated sign-in

Ora che sono stati configurati i criteri di accesso condizionale, è possibile sapere se funzionano come previsto.Now that you have configured your Conditional Access policy, you probably want to know whether it works as expected. Come primo passaggio, usare lo strumento per i criteri What If dell'accesso condizionale per simulare un accesso dell'utente di test.As a first step, use the Conditional Access what if policy tool to simulate a sign-in of your test user. La simulazione valuta l'impatto di questo accesso sui criteri e genera un report di simulazione.The simulation estimates the impact this sign-in has on your policies and generates a simulation report.

Nota

Mentre un'esecuzione simulata fornisce impressione dell'impatto prodotto che dispone di un criterio di accesso condizionale, non sostituisce un'esecuzione dei test effettivo.While a simulated run gives you impression of the impact a Conditional Access policy has, it does not replace an actual test run.

Verificare i criteriTest your policy

Eseguire i test case in base al piano di test.Run test cases according to your test plan. In questo passaggio viene eseguito un test completo di ogni criterio per gli utenti di test, per verificare che il loro comportamento sia quello previsto.In this step, you run through an end-to-end test of each policy for your test users to make sure each policy behaves correctly. Usare gli scenari creati in precedenza per eseguire ogni test.Use the scenarios created above to execute each test.

È importante assicurarsi di testare i criteri di esclusione di un criterio.It is important to make sure you test the exclusion criteria of a policy. È ad esempio possibile escludere un utente o gruppo da un criterio che richiede l'autenticazione MFA.For example, you may exclude a user or group from a policy that requires MFA. Verificare se gli utenti esclusi richiesto per MFA, perché la combinazione di altri criteri potrebbe richiedere l'autenticazione MFA per gli utenti.Test if the excluded users are prompted for MFA, because the combination of other policies might require MFA for those users.

PuliziaCleanup

La procedura di pulizia comprende i passaggi seguenti:The cleanup procedure consists of the following steps:

  1. Disabilitare il criterio.Disable the policy.
  2. Rimuovere gli utenti e gruppi assegnati.Remove the assigned users and groups.
  3. Eliminare gli utenti di test.Delete the test users.

Passare in produzioneMove to production

Quando i nuovi criteri sono pronti per l'ambiente, distribuirli in più fasi:When new policies are ready for your environment, deploy them in phases:

  • Dare comunicazione delle modifiche agli utenti finali.Provide internal change communication to end users.
  • Iniziare con un set ridotto di utenti e verificare che il criterio abbia il comportamento previsto.Start with a small set of users and verify that the policy behaves as expected.
  • Quando si espande un criterio per includere un maggior numero di utenti, continuare a escludere tutti gli amministratori.When you expand a policy to include more users, continue to exclude all administrators. Escludere gli amministratori assicura che qualcuno possa comunque accedere a un criterio, se è necessaria una modifica.Excluding administrators ensures that someone still has access to a policy if a change is required.
  • Applicare un criterio a tutti gli utenti solo se necessario.Apply a policy to all users only if it's required.

Come procedura consigliata, creare almeno un account utente che sia:As a best practice, create at least one user account that is:

  • Dedicato all'amministrazione dei criteriDedicated to policy administration
  • Escluso da tutti i criteriExcluded from all your policies

Procedura di ripristino dello stato precedenteRollback steps

Nel caso in cui sia necessario eseguire il rollback dei criteri appena implementati, usare uno o più delle opzioni seguenti:In case you need to roll back your newly implemented policies, use one or more of the following options to roll back:

  1. Disabilitare il criterio -La disabilitazione di un criterio garantisce che non venga applicato quando un utente tenta di accedere.Disable the policy - Disabling a policy makes sure it doesn't apply when a user tries to sign in. È sempre possibile tornare indietro e abilitare il criterio quando si vorrà utilizzarlo.You can always come back and enable the policy when you’d like to use it.

    Disabilitare il criterio

  2. Escludere un utente o gruppo da un criterio -Se un utente non è in grado di accedere all'app, è possibile scegliere di escluderlo dal criterioExclude a user / group from a policy - If a user is unable to access the app, you can choose to exclude the user from the policy

    Escludere utenti

    Nota

    Questa opzione deve essere usata solo se necessario, solo in situazioni in cui l'utente è attendibile.This option should be used sparingly, only in situations where the user is trusted. L'utente deve essere nuovamente aggiunto al criterio o al gruppo appena possibile.The user should be added back into the policy or group as soon as possible.

  3. Eliminare il criterio: se il criterio non è più necessario, eliminarlo.Delete the policy - If the policy is no longer required, delete it.

Passaggi successiviNext steps

Consultare la Documentazione sull'accesso condizionale di Azure AD per una panoramica delle informazioni disponibili.Check out Azure AD Conditional Access Documentation to get an overview of the available information.