Migrazione dei criteri classici di accesso condizionale

L'accesso condizionale è lo strumento usato da Azure Active Directory per raggruppare i segnali, consentendo di prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale è la base del nuovo piano di controllo basato su identità. Anche se lo scopo è ancora lo stesso, il rilascio della nuova portale di Azure ha introdotto miglioramenti significativi al funzionamento dell'accesso condizionale.

Valutare la possibilità di eseguire la migrazione dei criteri non creati nel portale di Azure perché:

• È ora possibile risolvere gli scenari che non è stato possibile gestire in precedenza.
• Il consolidamento consente di ridurre il numero di criteri da gestire.
• È possibile gestire tutti i criteri di accesso condizionale in un'unica posizione centrale.
• Il portale di Azure classico verrà ritirato.

Questo articolo illustra cosa è necessario sapere per eseguire la migrazione dei criteri di accesso condizionale esistenti al nuovo framework.

Criteri classici

Nella portale di Azure i criteri di accesso condizionale sono disponibili inAccesso condizionaleper la sicurezza> di Azure Active Directory>. L'organizzazione potrebbe anche avere criteri di accesso condizionale meno recenti non creati usando questa pagina. Questi criteri sono noti come criteri classici. I criteri classici sono criteri di accesso condizionale, creati in:

• Portale di Azure classico
• Portale di Intune classico
• Portale di Protezione app di Intune

Nella pagina Accesso condizionale è possibile accedere ai criteri classici facendo clic su Criteri classici nella sezione Gestisci .

La visualizzazione Criteri classici consente di eseguire queste operazioni:

• Filtrare i criteri classici.

• Disabilitare i criteri classici.

• Esaminare le impostazioni di un criterio classico e disabilitarlo.

  

Avviso

Dopo aver disabilitato un criterio classico non può essere riabilitato.

La visualizzazione dei dettagli di un criterio classico consente di documentare le impostazioni, modificare i gruppi inclusi o esclusi e disabilitare il criterio.

Modificando i gruppi selezionati o escludendo gruppi specifici, è possibile testare l'effetto di un criterio classico disabilitato per alcuni utenti di test prima di disabilitare i criteri per tutti gli utenti e i gruppi inclusi.

Considerazioni sulla migrazione

In questo articolo i criteri di accesso condizionale di Azure AD vengono definiti anche nuovi criteri. I criteri classici continuano a funzionare in parallelo con quelli nuovi finché non vengono disabilitati o eliminati.

Nella prospettiva di un consolidamento dei criteri è importante considerare gli aspetti seguenti:

• Diversamente dai criteri classici, che sono legati a un'app cloud specifica, i criteri nuovi consentono di selezionare tutte le app cloud desiderate.
• I controlli applicati da criteri classici e criteri nuovi per un'app cloud devono risultare tutti soddisfatti (AND).
• Nei criteri nuovi è possibile:
  • Combinare più condizioni, se necessarie per lo specifico scenario.
  • Selezionare più requisiti di controllo di accesso e combinarli con un OR logico (per richiedere uno dei controlli selezionati) o con un AND logico (per richiedere tutti i controlli selezionati).

Exchange Online

Se si vuole eseguire la migrazione dei criteri classici per Exchange Online che includono Exchange Active Sync come condizione delle app client, potrebbe non essere possibile consolidarle in un nuovo criterio.

Ciò avviene, ad esempio, quando si vuole includere il supporto per tutti i tipi di app client. In un criterio nuovo con Exchange Active Sync come condizione per le app client, non è possibile selezionare altre app client.

Il consolidamento in un criterio nuovo non è possibile nemmeno se i criteri classici contengono più condizioni. Un nuovo criterio con Exchange Active Sync come condizione delle app client configurate non supporta altre condizioni:

Se sono configurati nuovi criteri con Exchange Active Sync come condizione per le app client, è necessario assicurarsi che tutte le altre condizioni non siano configurate.

I criteri classici basati su app per Exchange Online che includono Exchange Active Sync come condizione delle app client consentono piattaforme di dispositivi supportate e non supportate. Anche se non si possono configurare singole piattaforme di dispositivo in un criterio nuovo correlato, è possibile limitare il supporto alle piattaforme di dispositivo supportate.

È possibile consolidare più criteri classici che includono Exchange Active Sync come condizione per le app client se questi hanno:

• Solo Exchange Active Sync come condizione
• Sono configurati diversi requisiti per la concessione dell'accesso

Uno scenario comune consiste nel consolidamento dei criteri seguenti:

• Un criterio classico basato su dispositivo configurato nel portale di Azure classico
• Un criterio classico basato su app configurato nel portale di Protezione app di Intune

In questo caso, è possibile consolidare i criteri classici in un unico criterio nuovo con entrambi i requisiti selezionati.

Piattaforme per dispositivi

I criteri classici con controlli basati su app sono preconfigurati con iOS e Android come condizione per le piattaforme di dispositivo.

In un criterio nuovo è necessario selezionare le piattaforme di dispositivo da supportare singolarmente.

Passaggi successivi

• Usare la modalità solo report per l'accesso condizionale per determinare l'impatto delle nuove decisioni relative ai criteri.
• Per informazioni su come configurare un criterio di accesso condizionale, vedere Criteri comuni di accesso condizionale.
• Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente, vedere l'articolo Procedura: Pianificare la distribuzione dell'accesso condizionale in Azure Active Directory.