Configurare e abilitare i criteri di rischio

Come si è appreso nell'articolo Criteri di accesso basati sui rischi, è possibile configurare due tipi di criteri di rischio nell'accesso condizionale di Microsoft Entra. È possibile usare questi criteri per automatizzare la risposta ai rischi che consentono agli utenti di correggere automaticamente quando viene rilevato il rischio:

• Criteri di rischio di accesso
• Criteri di rischio utente

Scelta di livelli di rischio accettabili

Le organizzazioni devono decidere il livello di rischio che vogliono richiedere il controllo di accesso per bilanciare l'esperienza utente e il comportamento di sicurezza.

La scelta di applicare il controllo di accesso a un livello di rischio elevato riduce il numero di volte in cui viene attivato un criterio e riduce al minimo l'attrito per gli utenti. Tuttavia, esclude i rischi bassi e medi dai criteri, che potrebbero non impedire a un utente malintenzionato di sfruttare un'identità compromessa. Se si seleziona un livello di rischio basso per richiedere il controllo di accesso, vengono introdotti altri interrupt utente.

I percorsi di rete attendibili configurati vengono usati da Identity Protection in alcuni rilevamenti dei rischi per ridurre i falsi positivi.

Le configurazioni dei criteri seguenti includono il controllo della frequenza di accesso che richiede una riautenticazione per gli utenti a rischio e gli accessi.

Raccomandazione di Microsoft

Microsoft consiglia le configurazioni dei criteri di rischio seguenti per proteggere l'organizzazione:

• Criteri di rischio utente
  • Richiedere una modifica della password sicura quando il livello di rischio utente è Elevato. L'autenticazione a più fattori Di Microsoft Entra è necessaria prima che l'utente possa creare una nuova password con writeback delle password per correggere il rischio.
• Criteri di rischio di accesso
  • Richiedere l'autenticazione a più fattori di Microsoft Entra quando il livello di rischio di accesso è Medio o Alto, consentendo agli utenti di dimostrare che è loro usando uno dei metodi di autenticazione registrati, correggendo il rischio di accesso.

La richiesta del controllo di accesso quando il livello di rischio è basso introduce un maggiore attrito e gli interrupt dell'utente rispetto a quelli medi o alti. La scelta di bloccare l'accesso anziché consentire opzioni di correzione automatica, ad esempio la modifica sicura delle password e l'autenticazione a più fattori, influisce ulteriormente sugli utenti e gli amministratori. Valutare queste scelte durante la configurazione dei criteri.

Correzione dei rischi

Le organizzazioni possono scegliere di bloccare l'accesso quando viene rilevato il rischio. Il blocco a volte impedisce agli utenti legittimi di eseguire le operazioni necessarie. Una soluzione migliore consiste nel consentire la correzione automatica usando l'autenticazione a più fattori Di Microsoft Entra e la modifica sicura della password.

Avviso

Gli utenti devono registrarsi per l'autenticazione a più fattori Di Microsoft Entra prima di affrontare una situazione che richiede una correzione. Per gli utenti ibridi sincronizzati dall'ambiente locale al cloud, è necessario abilitare il writeback delle password. Gli utenti non registrati vengono bloccati e richiedono l'intervento dell'amministratore.

La modifica della password (conosco la password e voglio modificarla in qualcosa di nuovo) al di fuori del flusso di correzione dei criteri utente rischioso non soddisfa i requisiti per la modifica sicura della password.

Eseguire la migrazione dei criteri di rischio all'accesso condizionale

Se sono abilitati criteri di rischio legacy in Microsoft Entra ID Protection, è consigliabile eseguirne la migrazione all'accesso condizionale:

Avviso

I criteri di rischio legacy configurati in Microsoft Entra ID Protection verranno ritirati il 1° ottobre 2026.

Migrazione all'accesso condizionale

1. Creare un criterio equivalentebasato sul rischio utente e basato sui rischi per l'accesso in modalità solo report per l'accesso condizionale. È possibile creare un criterio con i passaggi precedenti o usare i modelli di accesso condizionale in base alle raccomandazioni di Microsoft e ai requisiti dell'organizzazione.
   1. Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.
2. Disabilitare i criteri di rischio precedenti in Protezione ID.
   1. Passare a Protezione identità Protection>> Selezionare i criteri rischio utente o Rischio di accesso.
   2. Impostare Imponi criteri su Disabilitato.
3. Creare altri criteri di rischio, se necessario nell'accesso condizionale.

Abilitare i criteri

Le organizzazioni possono scegliere di distribuire criteri basati sul rischio nell'accesso condizionale usando la procedura seguente o i modelli di accesso condizionale.

Prima che le organizzazioni abilitino questi criteri, devono intervenire per analizzare e correggere eventuali rischi attivi.

Esclusioni di criteri

I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli account seguenti dai criteri:

• Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano bloccati dal tenant, l'account amministrativo di accesso di emergenza può essere usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Criteri di rischio utente nell'accesso condizionale

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>dell'accesso condizionale.
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
   3. Selezionare Fatto.
6. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
7. In Condizioni>Rischio utente impostare Configura su Sì.
   1. In Consente di configurare i livelli di rischio utente necessari per l'applicazione dei criteri selezionare Alto. Queste linee guida si basano sulle raccomandazioni Microsoft e potrebbero essere diverse per ogni organizzazione
   2. Selezionare Fatto.
8. In Controlli di accesso>Concedi:
   1. Selezionare Concedi accesso, Richiedi autenticazione a più fattori e Richiedi modifica della password.
   2. Seleziona Seleziona.
9. In Sessione.
   1. Selezionare Frequenza di accesso.
   2. Assicurarsi che sia selezionata ogni volta .
   3. Seleziona Seleziona.
10. Confermare le impostazioni e impostare Attiva criterio su Solo report.
11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.

Criteri di rischio di accesso nell'accesso condizionale

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>dell'accesso condizionale.
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
   3. Selezionare Fatto.
6. In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
7. In Condizioni>Rischio di accesso impostare Configura su Sì.
   1. In Selezionare il livello di rischio di accesso a cui verranno applicati questi criteri selezionare Alto e Medio. Queste linee guida si basano sulle raccomandazioni Microsoft e potrebbero essere diverse per ogni organizzazione
   2. Selezionare Fatto.
8. In Controlli di accesso>Concedi:
   1. Selezionare Concedi accesso, Richiedi autenticazione a più fattori.
   2. Seleziona Seleziona.
9. In Sessione.
   1. Selezionare Frequenza di accesso.
   2. Assicurarsi che sia selezionata ogni volta .
   3. Seleziona Seleziona.
10. Confermare le impostazioni e impostare Attiva criterio su Solo report.
11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.

Contenuto correlato

• Abilitare i criteri di registrazione dell'autenticazione a più fattori di Microsoft Entra
• Che cosa sono i rischi?
• Analizzare i rilevamenti degli eventi di rischio
• Simulare i rilevamenti dei rischi