Creazione di criteri di accesso condizionale

Come illustrato nell'articolo Che cos'è l'accesso condizionale, una politica di accesso condizionale è un'istruzione if-then basata su assegnazioni e controlli di accesso. I criteri di accesso condizionale raggruppano i segnali, per prendere decisioni e applicare i criteri dell'organizzazione.

In che modo un'organizzazione crea questi criteri? Cosa è necessario? Come vengono applicati?

Più criteri di accesso condizionale possono essere applicati a un singolo utente in qualsiasi momento. In questo caso, tutti i criteri che si applicano devono essere soddisfatti. Ad esempio, se un criterio richiede l'autenticazione a più fattori e un altro richiede un dispositivo conforme, è necessario completare l'autenticazione a più fattori e usare un dispositivo conforme. Tutte le assegnazioni sono logicamente connesse con operazione 'AND'. Se sono configurate più assegnazioni, tutte le assegnazioni devono essere soddisfatte per attivare un criterio.

Se viene selezionato un criterio in cui è richiesto "Richiedi uno dei controlli selezionati", verrà eseguita una richiesta nell'ordine definito e, non appena i requisiti del criterio saranno soddisfatti, verrà concesso l'accesso.

Tutti i criteri vengono applicati in due fasi:

• fase 1: raccogliere i dettagli della sessione
  • Raccogliere i dettagli della sessione, ad esempio il percorso di rete e l'identità del dispositivo necessari per la valutazione dei criteri.
  • La fase 1 della valutazione dei criteri viene eseguita per i criteri e i criteri abilitati in modalità di solo report.
• fase 2: imposizione
  • Usare i dettagli della sessione raccolti nella fase 1 per identificare eventuali requisiti non soddisfatti.
  • Se sono presenti criteri configurati con il blocco e il controllo di concessione, l'applicazione si arresta qui e l'utente viene bloccato.
  • All'utente viene richiesto di completare più requisiti di controllo delle concessioni che non sono stati soddisfatti durante la fase 1 nell'ordine seguente, fino a quando i criteri non vengono soddisfatti:
    1. l'autenticazione a più fattori
    2. Dispositivo da contrassegnare come conforme
    3. dispositivo connesso ibrido di Microsoft Entra
    4. 'app client approvata
    5. criteri di protezione delle app
    6. modifica della password
    7. Condizioni per l'utilizzo
    8. controlli personalizzati
  • Una volta soddisfatti tutti i controlli di concessione, applicare i controlli della sessione (Controlli Applicativi, Microsoft Defender per le app cloud e Durata del token)
  • La fase 2 della valutazione dei criteri si verifica per tutti i criteri abilitati.

Assegnazioni

La parte assegnazioni controlla chi, cosa e dove dei criteri di accesso condizionale.

Utenti e gruppi

Utenti e gruppi assegna chi includere o escludere quando la policy è applicata. Questa assegnazione può includere tutti gli utenti, gruppi specifici di utenti, ruoli della directory o utenti guest esterni.

Risorse di destinazione

Le risorse di destinazione possono includere o escludere applicazioni cloud, azioni utente o contesti di autenticazione soggetti ai criteri.

Rete

Network contiene indirizzi IP, aree geografiche e la rete conforme di Global Secure Access alle decisioni di policy di accesso condizionale. Gli amministratori possono scegliere di definire posizioni geografiche e contrassegnarne alcune come attendibili, ad esempio quelle per le posizioni di rete primarie dell'organizzazione.

Condizioni

Un criterio può contenere più condizioni di .

Rischio di accesso

Per le organizzazioni con Microsoft Entra ID Protection, i rilevamenti dei rischi generati possono influenzare i criteri di accesso condizionale.

Piattaforme per dispositivi

Le organizzazioni con più piattaforme del sistema operativo del dispositivo potrebbero applicare criteri specifici su piattaforme diverse.

Le informazioni usate per calcolare la piattaforma del dispositivo provengono da origini non verificate, ad esempio stringhe dell'agente utente che possono essere modificate.

App client

Il software che l'utente sta impiegando per accedere all'app cloud. Ad esempio, "Browser" e "App per dispositivi mobili e client desktop". Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati si applicano a tutti i tipi di app client anche se la condizione delle app client non è configurata.

Filtrare i dispositivi

Questo controllo consente la destinazione di dispositivi specifici in base ai relativi attributi in un criterio.

Controlli di accesso

La parte dei controlli di accesso dei criteri di accesso condizionale controlla la modalità di applicazione di un criterio.

Concedere

Grant fornisce agli amministratori un mezzo di imposizione dei criteri in cui possono bloccare o concedere l'accesso.

Bloccare l'accesso

Blocca l'accesso, blocca l'accesso nelle assegnazioni specificate. Il controllo del blocco è potente e dovrebbe essere usato con la conoscenza appropriata.

Concedere l'accesso

Il controllo delle autorizzazioni può attivare l'applicazione di uno o più controlli.

• Richiedere l'autenticazione a più fattori
• Richiedere che il dispositivo sia contrassegnato come conforme (Intune)
• Richiedi un dispositivo ibrido connesso a Microsoft Entra
• Richiedere l'app client approvata
• Richiedi criteri di protezione delle app
• Richiedere cambio della password
• Richiedi condizioni per l'utilizzo

Gli amministratori possono scegliere di richiedere uno dei controlli precedenti o tutti i controlli selezionati usando le opzioni seguenti. L'impostazione predefinita per più controlli consiste nel richiedere tutto.

• Richiedi tutti i controlli selezionati (controllo e controllo)
• Richiedi uno dei controlli selezionati (controllo A o controllo B)

Sessione

i controlli sessione possono limitare l'esperienza degli utenti.

• Usare le restrizioni imposte dall'app
  • Attualmente funziona solo con Exchange Online e SharePoint Online.
  • Passa le informazioni sul dispositivo per consentire il controllo dell'esperienza concedendo l'accesso completo o limitato.
• Controllo di accesso condizionale alle app
  • Usa i segnali di Microsoft Defender for Cloud Apps per eseguire operazioni come:
    • Bloccare il download, tagliare, copiare e stampare documenti sensibili.
    • Monitorare il comportamento delle sessioni rischiose.
    • Richiedere l'etichettatura dei file sensibili.
• Frequenza di accesso:
  • Possibilità di modificare la frequenza di accesso predefinita per l'autenticazione moderna.
• Sessione del browser persistente:
  • Consente agli utenti di rimanere connessi dopo la chiusura e la riapertura della finestra del browser.
• Personalizzare la valutazione dell'accesso continuo
• Disabilitare le impostazioni predefinite per la resilienza

Criteri semplici

Un criterio di accesso condizionale deve contenere almeno quanto segue per essere applicato:

• nome della politica.
• Assegnazioni
  • utenti e/o gruppi a cui applicare le politiche.
  • le app cloud o le azioni a cui applicare la politica.
• controlli di accesso
  • Concedere o controlli blocca

L'articolo criteri di accesso condizionale comuni include alcuni criteri che riteniamo utili per la maggior parte delle organizzazioni.

Contenuto correlato

• Creare un criterio di accesso condizionale

• Gestione della conformità dei dispositivi con Intune

• Microsoft Defender per le app cloud e l'accesso condizionale