Accesso condizionale: assegnazione di rete
Gli amministratori possono creare criteri destinati a percorsi di rete specifici come segnale insieme ad altre condizioni nel processo decisionale. Possono includere o escludere questi percorsi di rete come parte della configurazione dei criteri. Questi percorsi di rete possono includere informazioni di rete IPv4 o IPv6 pubbliche, paesi, aree sconosciute che non eseguono il mapping a paesi specifici o una rete conforme ad Accesso globale sicuro.
Nota
I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.
Le organizzazioni possono usare queste posizioni per attività comuni, ad esempio:
- Richiesta dell'autenticazione a più fattori per gli utenti che accedono a un servizio quando non sono connessi alla rete aziendale.
- Bloccare l'accesso da paesi specifici in cui l'organizzazione non opera mai.
La posizione di un utente viene trovata usando l'indirizzo IP pubblico o le coordinate GPS fornite dall'app Microsoft Authenticator. I criteri di accesso condizionale vengono applicati a tutte le posizioni per impostazione predefinita.
Suggerimento
La condizione Percorso è stata spostata e rinominata in Rete. Inizialmente questa condizione verrà visualizzata sia a livello di Assegnazione che in Condizioni.
Gli aggiornamenti o le modifiche vengono visualizzati in entrambe le posizioni. La funzionalità rimane invariata e i criteri esistenti che usano Percorso continuano a funzionare senza modifiche.
Se configurata nei criteri
Quando si configura la condizione per la posizione, è possibile distinguere tra:
- Qualsiasi rete o percorso
- Tutte le reti e le posizioni attendibili
- Tutti i percorsi di rete conformi
- Reti e posizioni selezionate
Qualsiasi rete o percorso
Per impostazione predefinita, la selezione di Tutte le località fa in modo che i criteri vengano applicati a tutti gli indirizzi IP, cioè qualsiasi indirizzo su Internet. Questa impostazione non è limitata agli indirizzi IP configurati come posizione specifica. Quando si seleziona Tutte le località, è comunque possibile escludere percorsi specifici dai criteri. Ad esempio, è possibile applicare dei criteri a tutte le posizioni tranne che ai percorsi attendibili per impostare l'ambito per tutte le posizioni ad eccezione della rete aziendale.
Tutte le reti e le posizioni attendibili
Questa opzione si applica a:
- Tutte le posizioni contrassegnate come attendibili.
- Indirizzi IP attendibili per l'autenticazione a più fattori, se configurati.
Indirizzi IP attendibili per l'autenticazione a più fattori
L'uso della sezione IP attendibili delle impostazioni del servizio di autenticazione a più fattori non è più consigliato. Questo controllo accetta solo indirizzi IPv4 e deve essere usato solo per scenari specifici illustrati nell'articolo Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra.
Se si dispone di indirizzi IP attendibili configurati, vengono visualizzati come Indirizzi IP attendibili MFA nell'elenco di posizioni per la condizione della posizione.
Tutti i percorsi di rete conformi
Le organizzazioni con accesso alle funzionalità di accesso sicuro globale hanno un'altra posizione elencata costituita da utenti e dispositivi conformi ai criteri di sicurezza dell'organizzazione. Per altre informazioni, vedere la sezione Abilitare la segnalazione dell'Accesso globale sicuro per l'accesso condizionale. Può essere usato con i criteri di accesso condizionale per eseguire un controllo di rete conforme per l'accesso alle risorse.
Reti e posizioni selezionate
Con questa opzione è possibile selezionare una o più posizioni specifiche. Per applicare criteri con questa impostazione, un utente deve connettersi da una delle posizioni selezionate. Quando si sceglie Seleziona, viene visualizzato un elenco di posizioni definite. Questo elenco mostra il nome, il tipo e se il percorso di rete è contrassegnato come attendibile.
Come vengono definite queste posizioni?
Le località sono definite ed esistono nell'Interfaccia di amministrazione di Microsoft Entra in Protezione>Accesso condizionale>Località denominate. Gli amministratori con almeno il ruolo Amministratore accesso condizionale possono creare e aggiornare località denominate.
Le località denominate possono includere posizioni come intervalli di rete della sede centrale di un'organizzazione, intervalli di rete VPN o intervalli che da bloccare. Le località denominate contengono intervalli di indirizzi IPv4, intervalli di indirizzi IPv6 o paesi.
Intervalli di indirizzi IPv4 e IPv6
Per definire una località denominata in base a intervalli di indirizzi IPv4 o IPv6 pubblici, è necessario specificare:
- Immettere un Nome per la località.
- Uno o più intervalli IP pubblici.
- Facoltativamente, scegliere l'opzione Contrassegna come percorso attendibile.
Le località denominate definite dagli intervalli di indirizzi IPv4/IPv6 sono soggette alle limitazioni seguenti:
- Non più di 195 località denominate.
- Non più di 2000 intervalli IP per ogni località denominata.
- Solo le maschere CIDR maggiori di /8 sono consentite quando si definisce un intervallo IP.
Per i dispositivi in una rete privata, l'indirizzo IP non è l'indirizzo client del dispositivo dell'utente nell'intranet (ad esempio 10.55.99.3), bensì l'indirizzo usato dalla rete per connettersi a Internet pubblico (ad esempio 198.51.100.3).
Percorsi attendibili
Facoltativamente, gli amministratori possono contrassegnare posizioni basate su IP come gli intervalli di rete pubblici dell'organizzazione come attendibili. Questo contrassegno viene usato dalle funzionalità in diversi modi.
- I criteri di accesso condizionale possono includere o escludere queste posizioni.
- Gli accessi da località denominate attendibili migliorano l'accuratezza del calcolo dei rischi di Microsoft Entra ID Protection.
I percorsi contrassegnati come attendibili non possono essere eliminati senza prima rimuovere la designazione attendibile.
Paesi/aree geografiche
Le organizzazioni possono determinare un paese geografico in base all'indirizzo IP o alle coordinate GPS.
Per definire una località denominata per paese, è necessario:
- Specificare un Nome per il percorso.
- Scegliere di determinare la posizione in base all'indirizzo IP o alle coordinate GPS.
- Aggiungere uno o più paesi/aree geografiche.
- Facoltativamente, scegliere l'opzione Includi paesi/aree sconosciuti.
Quando si seleziona Determina la posizione in base all'indirizzo IP, Microsoft Entra ID risolve l'indirizzo IPv4 o IPv6 in un paese o un'area geografica, in base a una tabella di mapping aggiornata periodicamente.
Quando si seleziona Determinare la posizione in base alle coordinate GPS, gli utenti devono avere installato l'app Microsoft Authenticator nel dispositivo mobile. Ogni ora il sistema contatta l'app Microsoft Authenticator dell'utente per raccogliere la posizione GPS del dispositivo mobile.
- La prima volta che l'utente deve condividere la propria posizione dall'app Microsoft Authenticator, riceve una notifica nell'app. L'utente deve aprire l’app e concedere le autorizzazioni per la posizione. Per le 24 ore successive, se l'utente accede ancora alla risorsa e concede all'app l'autorizzazione per l'esecuzione in background, la posizione del dispositivo viene condivisa automaticamente una volta all'ora.
- Dopo 24 ore, l'utente deve aprire l'app e approvare la notifica.
- Ogni volta che l'utente condivide la posizione GPS, l'app esegue il rilevamento di jailbreak usando la stessa logica di Microsoft Intune MAM SDK. Se il dispositivo è stato sottoposto a jailbreak, la posizione non è considerata valida e all'utente non viene concesso l'accesso.
- L'app Microsoft Authenticator in Android usa l'API di integrità di Google Play per facilitare il rilevamento di jailbreak. Se l'API di integrità di Google Play non è disponibile, la richiesta viene negata e l'utente non è in grado di accedere alla risorsa richiesta, a meno che i criteri di accesso condizionale non siano disattivati. Per altre informazioni sull'app Microsoft Authenticator, vedere l'articolo Domande frequenti sull'app Microsoft Authenticator.
- Gli utenti possono modificare la posizione GPS come segnalato dai dispositivi iOS e Android. Di conseguenza, l'app Microsoft Authenticator nega le autenticazioni tramite cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installata l'app. Gli utenti che modificano la posizione del dispositivo ricevono un messaggio di negazione per i criteri basati sulla posizione GPS.
Nota
Un criterio di accesso condizionale con località denominate basate su GPS in modalità solo report richiede agli utenti di condividere la posizione GPS, anche se non viene impedito l'accesso.
La posizione GPS può essere usata con l'accesso tramite telefono senza password solo se sono abilitate anche le notifiche push MFA. Gli utenti possono usare Microsoft Authenticator per accedere, ma devono anche approvare le notifiche push MFA successive per condividere la posizione GPS.
La posizione GPS non funziona quando vengono impostati solo i metodi di autenticazione senza password.
Più criteri di accesso condizionale potrebbero richiedere agli utenti la propria posizione GPS prima che vengano applicati tutti. A causa del modo in cui vengono applicati i criteri di accesso condizionale, a un utente potrebbe essere negato l'accesso se supera il controllo della posizione ma non supera un altro criterio. Per altre informazioni sull'applicazione dei criteri, vedere l'articolo Creazione di criteri di accesso condizionale.
Importante
Gli utenti possono ricevere richieste ogni ora per sapere che Microsoft Entra ID sta controllando la loro posizione nell'app Authenticator. Questa funzionalità deve essere usata solo per proteggere le app molto sensibili in cui questo comportamento è accettabile o in cui l'accesso deve essere limitato per un paese o un'area geografica specifica.
Includi paesi/aree geografiche sconosciute
Alcuni indirizzi IP non eseguono il mapping a un paese o a un'area geografica specifica. Per acquisire queste posizioni IP, selezionare la casella Includi paesi/aree sconosciuti quando si definisce una posizione geografica. Questa opzione consente di scegliere se questi indirizzi IP devono essere inclusi nella posizione specifica. Usare questa impostazione quando i criteri che usano la posizione specifica devono essere applicati a posizioni sconosciute.
Domande frequenti
È disponibile il supporto dell'API Graph?
È disponibile il supporto dell'API Graph per le località denominate. Per altre informazioni, vedere l'API namedLocation.
Cosa accade se si usa un proxy cloud o una VPN?
Quando si usa un proxy ospitato nel cloud o una soluzione VPN, l'indirizzo IP usato da Microsoft Entra ID durante la valutazione dei criteri è l'indirizzo IP del proxy. L'intestazione X-Forwarded-For (XFF) che contiene l'indirizzo IP pubblico dell'utente non viene usata perché non è certo che provenga da un'origine attendibile, pertanto potrebbe essere un metodo per falsificare un indirizzo IP.
Quando è attivo un proxy cloud, un criterio che richiede un dispositivo aggiunto ibrido o conforme a Microsoft Entra può essere più facile da gestire. Mantenere aggiornato un elenco di indirizzi IP usati dal proxy ospitato nel cloud o dalla soluzione VPN può essere quasi impossibile.
È consigliabile che le organizzazioni usino l'accesso sicuro globale per abilitare il ripristino IP di origine per evitare questa modifica nell'indirizzo e semplificare la gestione.
Quando viene valutata una posizione?
I criteri di accesso condizionale vengono valutati quando:
- Un utente accede inizialmente a un'app Web, un'applicazione per dispositivi mobili o un'applicazione desktop.
- Un'applicazione desktop o per dispositivo mobili che usa l'autenticazione moderna usa un token di aggiornamento per acquisire un nuovo token di accesso. Per impostazione predefinita, questo controllo viene effettuato una volta all'ora.
Per le applicazioni per dispositivi mobili e le applicazioni desktop che usano l'autenticazione moderna, questo controllo significa che una modifica del percorso viene rilevata entro un'ora dalla modifica del percorso di rete. Per le applicazioni desktop e per dispositivi mobili che non usano l'autenticazione moderna, questo criterio viene applicato a ogni richiesta di token. La frequenza della richiesta può variare in base all'applicazione. Analogamente, per le applicazioni Web i criteri vengono applicati all'accesso iniziale e rimangono validi per l'intera durata della sessione dell'applicazione Web interessata. A causa delle differenze a livello di durata delle sessioni delle applicazioni, il tempo tra le valutazioni dei criteri può variare. Il criterio viene applicato ogni volta che l'applicazione richiede un nuovo token di accesso.
Per impostazione predefinita, Microsoft Entra ID rilascia un token su base oraria. Se gli utenti escono dalla rete aziendale, entro un'ora i criteri vengono applicati per le applicazioni che usano l'autenticazione moderna.
Quando è possibile bloccare le posizioni?
I criteri che usano la condizione di posizione per bloccare l'accesso vengono considerati restrittivi e devono essere eseguiti con attenzione dopo un test approfondito. Alcune istanze dell'uso della condizione di posizione per bloccare l'autenticazione possono includere:
- Blocco di paesi/aree geografiche in cui l'organizzazione non opera mai.
- Blocco di intervalli IP specifici, ad esempio:
- Indirizzi IP dannosi noti prima che un criterio firewall possa essere modificato.
- Azioni altamente sensibili o privilegiate e applicazioni cloud.
- In base a un intervallo IP specifico dell'utente, ad esempio l'accesso alle applicazioni contabili o retribuzioni.