Condividi tramite

Configurare e abilitare i criteri di rischio

  • Articolo

Esistono due tipi di criteri di rischio per l'accesso condizionale di Microsoft Entra che è possibile configurare. È possibile usare questi criteri per automatizzare la risposta ai rischi che consentono agli utenti di rimediare autonomamente quando viene rilevato il rischio:

Screenshot dei criteri di accesso condizionale che mostrano il rischio come condizioni.

Scelta di livelli di rischio accettabili

Le organizzazioni devono decidere il livello di rischio che ritengono necessario al controllo di accesso per il bilanciamento di esperienza utente e postura di sicurezza.

La scelta di applicare il controllo di accesso a un livello di rischio Alto riduce il numero di volte in cui viene attivato un criterio e riduce al minimo l'attrito per gli utenti. Tuttavia, esclude dalla polizza i rischi di entità bassa e media, che potrebbero non bloccare un utente malintenzionato dallo sfruttare un'identità compromessa. La selezione di un livello di rischio Basso per richiedere il controllo di accesso introduce più interruzioni utente.

Le posizioni di rete configurate come attendibili vengono usate da Microsoft Entra ID Protection in alcuni rilevamenti dei rischi per ridurre i falsi positivi.

Le configurazioni delle policy seguenti includono il controllo della frequenza di accesso nella sessione che richiede una ri-autenticazione per gli utenti a rischio e i loro accessi.

Raccomandazione di Microsoft

Microsoft consiglia le configurazioni criterio di rischio seguenti per proteggere l'organizzazione:

  • Criteri di rischio utente
    • Richiedere una modifica della password sicura quando il livello di rischio utente è Alto. L'autenticazione multifattore di Microsoft Entra è necessaria prima che l'utente possa creare una nuova password con riscrittura delle password per mitigare il loro rischio.
    • Una modifica della password sicura che usa la reimpostazione della password self-service è l'unico modo per correggere automaticamente i rischi utente, indipendentemente dal livello di rischio.
  • Criteri di rischio di accesso
    • Richiedere l'autenticazione a più fattori di Microsoft Entra quando il livello di rischio di accesso è Medio o Alto, consentendo agli utenti di dimostrare che sono loro ad accedere usando uno dei metodi di autenticazione registrati, rimediando in questo modo il rischio di accesso.
    • Un'autenticazione a più fattori riuscita è l'unico modo per correggere automaticamente il rischio di accesso, indipendentemente dal livello di rischio.

La richiesta del controllo di accesso quando il livello di rischio è basso introduce più frizioni e interruzioni per l'utente rispetto a quelli medi o alti. La scelta di bloccare l'accesso anziché consentire opzioni di rimedio autonomo, ad esempio la modifica sicura delle password e l'autenticazione a più fattori, influisce ulteriormente sugli utenti e gli amministratori. Valutare queste scelte durante la configurazione dei criteri.

Rimedio del rischio

Le organizzazioni possono scegliere di bloccare l'accesso quando viene rilevato il rischio. Il blocco a volte impedisce agli utenti legittimi di eseguire le operazioni necessarie. Una soluzione migliore consiste nel configurare criteri di accesso condizionale basati sul rischio di utente e accesso che consentono agli utenti di rimediare in modo indipendente.

Avviso

Gli utenti devono registrarsi per l'autenticazione a più fattori di Microsoft Entra prima di affrontare una situazione che richiede un rimedio. Per gli utenti ibridi sincronizzati dall'ambiente locale, è necessario abilitare il writeback delle password. Gli utenti non registrati vengono bloccati e richiedono l'intervento dell'amministratore.

La modifica della password (conosco la password e voglio modificarla con una nuova) al di fuori del flusso di rimedio dei criteri dell’utente a rischio non soddisfa i requisiti per la modifica sicura della password.

Abilitare i criteri

Le organizzazioni possono scegliere di implementare criteri basati sul rischio nell'accesso condizionale usando i passaggi seguenti o i modelli di accesso condizionale.

Prima che le organizzazioni abilitino questi criteri, devono intervenire per eseguire indagini e rimediare gli eventuali rischi attivi.

Esclusioni della polizza

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Accesso di emergenza o account break-glass (emergenza) per impedire il blocco a causa di errori di configurazione dei criteri di sistema. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e principali del servizio, come l'account di sincronizzazione di Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dai principali di servizio non verranno bloccate dai criteri di accesso condizionale con ambito sugli utenti. Usare l'accesso condizionale per le identità dei carichi di lavoro al fine di definire criteri destinati ai principali di servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Criteri di rischio utente nell’accesso condizionale

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passa a Protezione>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua polizza. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio utente impostare Configurare su .
    1. In Configurare i livelli di rischio utente necessari per l'applicazione dei criteri selezionare Alto. Queste indicazioni si basano sulle raccomandazioni Microsoft e potrebbero variare per ogni organizzazione
    2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Seleziona Richiedi un cambio password.
    3. Seleziona Seleziona.
  9. In Sessione.
    1. Selezionare Frequenza di accesso.
    2. Assicurarsi che sia selezionato Ogni volta.
    3. Seleziona Seleziona.
  10. Conferma le impostazioni e imposta Abilita la politica su Solo rapporto.
  11. Selezionare Crea per creare e abilitare la tua politica.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report su Attiva.

Scenari senza password

Per le organizzazioni che adottano metodi di autenticazione senza password apportano le modifiche seguenti:

Aggiornare i criteri di rischio utente senza password

  1. In Utenti:
    1. Includere, selezionare Utenti e gruppi e specificare come destinazione gli utenti senza password.
  2. In Controlli>di accesso Blocca l'accesso per gli utenti senza password.

Suggerimento

Potrebbe essere necessario disporre di due criteri per un periodo di tempo durante la distribuzione di metodi senza password.

  • Uno che consente la correzione automatica per coloro che non usano metodi senza password.
  • Un altro che blocca gli utenti senza password ad alto rischio.

Correggere e sbloccare il rischio utente senza password

  1. Richiedere indagini e correzioni da parte dell'amministratore di qualsiasi rischio.
  2. Sbloccare l'utente.

Criteri di rischio di accesso per l’accesso condizionale

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passa a Protezione>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegna un nome al criterio. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio di accesso impostare Configurare su .
    1. In Selezionare il livello di rischio di accesso a cui verranno applicati questi criteri selezionare Alto e Medio. Questa guida si basa sulle raccomandazioni di Microsoft e potrebbe variare per ogni organizzazione
    2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Seleziona Seleziona.
  9. In Sessione
    1. Selezionare Frequenza di accesso.
    2. Assicurarsi che sia selezionato Ogni volta.
    3. Seleziona Seleziona.
  10. Conferma le impostazioni e imposta Abilita criterio su Solo segnalazione.
  11. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare il toggle Abilita politica da Solo report a Attivato.

Scenari senza password

Per le organizzazioni che adottano metodi di autenticazione senza password apportano le modifiche seguenti:

Aggiornare i criteri di rischio di accesso senza password

  1. In Utenti:
    1. Includere, selezionare Utenti e gruppi e specificare come destinazione gli utenti senza password.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  2. In App o azioni cloud>includere, seleziona Tutte le risorse (precedentemente "Tutte le app cloud").
  3. In Condizioni>Rischio di accesso impostare Configurare su .
    1. In Selezionare il livello di rischio di accesso a cui verranno applicati questi criteri selezionare Alto e Medio. Per altre informazioni sui livelli di rischio, vedere Scelta dei livelli di rischio accettabili.
    2. Selezionare Fatto.
  4. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di sicurezza dell'autenticazione, quindi selezionare l'MFA senza password predefinito o l'MFA resistente al phishing in base al metodo che gli utenti di destinazione hanno.
    2. Seleziona Seleziona.
  5. Sotto Sessione:
    1. Selezionare Frequenza di accesso.
    2. Assicurarsi che sia selezionato Ogni volta.
    3. Seleziona Seleziona.

Eseguire la migrazione dei criteri di rischio per l'accesso condizionale

Se sono abilitati criteri di rischio legacy in Microsoft Entra ID Protection, è consigliabile organizzare la migrazione all'accesso condizionale:

Avviso

I criteri di rischio legacy configurati in Microsoft Entra ID Protection verranno ritirati il 1° ottobre 2026.

Eseguire la migrazione all'accesso condizionale

  1. Creare politiche equivalentibasate sul rischio utente e basate sul rischio di accesso in Accesso Condizionale in modalità solo di report. È possibile creare un criterio con i passaggi precedenti o usare i Modelli di accesso condizionale in base ai consigli di Microsoft e ai requisiti dell'organizzazione.
    1. Dopo che gli amministratori confermano le impostazioni usando la modalità di solo report, possono spostare l'opzione Attiva politica da Solo report a Attiva.
  2. Disabilitare i criteri di rischio precedenti in Protezione ID.
    1. Passare a Protezione>Identità Protezione> Selezionare i criteri Rischio utente o Rischio di accesso.
    2. Impostare Imponi criteri su Disabilitato.
  3. Creare altri criteri di rischio, se sono necessari nell'accesso condizionale.

Contenuto correlato