Applicare i criteri di accesso condizionale alle app di Accesso privato

L'applicazione dei criteri di accesso condizionale alle app di Accesso privato Microsoft Entra è un modo efficace per applicare i criteri di sicurezza per le risorse interne private. È possibile applicare criteri di accesso condizionale alle app Accesso rapido e Accesso privato dal servizio Accesso globale sicuro.

Questo articolo descrive come applicare i criteri di accesso condizionale alle app Accesso rapido e Accesso privato.

Prerequisiti

• Gli amministratori che interagiscono con le funzionalità di Accesso globale sicuro , a seconda delle attività che svolgono, devono avere almeno una delle seguenti assegnazioni di ruolo.
  • Il ruolo di Amministratore Accesso globale sicuro per gestire le funzionalità di Accesso globale sicuro.
  • Il ruolo Amministratore accesso condizionale per creare e interagire con i criteri di accesso condizionale.
• È necessario aver configurato l'opzione Accesso rapido o Accesso privato.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.

Limitazioni note

• Al momento, per acquisire il traffico di accesso privato è necessario connettersi tramite il client Accesso globale sicuro.

Accesso condizionale e Accesso globale sicuro

È possibile creare criteri di accesso condizionale per le app Accesso rapido o Accesso privato dal servizio Accesso globale sicuro. L'avvio del processo dal servizio Accesso globale sicuro aggiunge automaticamente l'app selezionata come risorsa di destinazione per i criteri. È sufficiente configurare le impostazioni dei criteri.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

2. Passare ad Accesso globale sicuro>Applicazioni>Applicazioni aziendali.

3. Seleziona un'applicazione dall'elenco.

   

4. Selezionare Accesso condizionale nel menu laterale. Tutti i criteri di accesso condizionale esistenti vengono visualizzati in un elenco.

5. Selezionare Nuovi criteri. L'app selezionata viene visualizzata nei dettagli delle risorse di destinazione.

6. Configurare le condizioni, i controlli di accesso e assegnare utenti e gruppi in base alle esigenze.

È anche possibile applicare criteri di accesso condizionale a un gruppo di applicazioni in base agli attributi personalizzati. Per altre informazioni, vedere Filtrare in base alle applicazioni nei criteri di accesso condizionale.

Esempio di assegnazioni e controlli di accesso

Modificare i dettagli dei criteri seguenti per creare criteri di accesso condizionale che richiedono l'autenticazione a più fattori, la conformità del dispositivo o un dispositivo aggiunto a Microsoft Entra ibrido per l'applicazione Accesso rapido. Le assegnazioni degli utenti assicurano che gli account di accesso di emergenza o gli account critici dell'organizzazione vengano esclusi dai criteri.

1. In Assegnazioni selezionare Utenti:
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
2. In Controlli di accesso>Concedi:
   1. Selezionare Richiedi autenticazione a più fattori, Richiedi che i dispositivi siano contrassegnati come conformi e Richiedi dispositivo ibrido aggiunto a Microsoft Entra
3. Confermare le impostazioni e impostare Attiva criterio su Solo report.

Dopo che gli amministratori confermano le impostazioni dei criteri usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Passaggi successivi

• Abilitare il profilo di inoltro del traffico di Accesso privato.
• Abilitare il ripristino dell'IP di origine