Modelli di accesso condizionale
I modelli di accesso condizionale offrono un metodo pratico per distribuire nuovi criteri allineati alle raccomandazioni Microsoft. Questi modelli sono progettati per fornire la protezione massima allineata ai criteri comunemente usati in vari tipi e posizioni dei clienti.
Categorie di modelli
I modelli di criteri di accesso condizionale sono organizzati nelle categorie seguenti:
Microsoft consiglia questi criteri come base per tutte le organizzazioni. È consigliabile distribuire questi criteri come gruppo.
- Richiedere l'autenticazione a più fattori per gli amministratori
- Protezione della registrazione delle informazioni di sicurezza
- Bloccare l'autenticazione legacy
- Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
- Richiedere l'autenticazione a più fattori per tutti gli utenti
- Richiedere l'autenticazione a più fattori per la gestione di Azure
- Richiedere la conformità o l'autenticazione a più fattori aggiunti a Microsoft Entra ibrido per tutti gli utenti
Trovare questi modelli nell'interfaccia >di amministrazione di Microsoft Entra Protezione>accesso>condizionale Creare nuovi criteri dai modelli. Selezionare Mostra altro per visualizzare tutti i modelli di criteri in ogni categoria.
Importante
I criteri dei modelli di accesso condizionale escluderanno solo l'utente che crea il criterio dal modello. Se l'organizzazione deve escludere altri account, sarà possibile modificare i criteri dopo la creazione. Questi criteri sono disponibili nell'interfaccia >di amministrazione di Microsoft Entra Protezione>dei criteri di accesso> condizionale. Selezionare un criterio per aprire l'editor e modificare gli utenti e i gruppi esclusi per selezionare gli account da escludere.
Per impostazione predefinita, ogni criterio viene creato in modalità solo report, è consigliabile testare e monitorare l'utilizzo delle organizzazioni per garantire il risultato previsto, prima di attivare ogni criterio.
Le organizzazioni possono selezionare singoli modelli di criteri e:
- Visualizzare un riepilogo delle impostazioni dei criteri.
- Modificare per personalizzare in base alle esigenze dell'organizzazione.
- Esportare la definizione JSON da usare nei flussi di lavoro programmatici.
- Queste definizioni JSON possono essere modificate e quindi importate nella pagina principale dei criteri di accesso condizionale usando l'opzione Carica file di criteri.
Altri criteri comuni
Esclusioni di utenti
I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli account seguenti dai criteri:
- Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano bloccati dal tenant, l'account amministrativo di accesso di emergenza può essere usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare l'accesso.
- Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
- Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account di servizio sono account non interattivi che non sono associati a un determinato utente. Vengono normalmente usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le identità del carico di lavoro per definire criteri destinati alle entità servizio.
- Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.