Vantaggi dell'autenticazione dell'accesso condizionale personalizzato
Gli amministratori possono anche creare fino a 15 dei propri punti di forza di autenticazione personalizzati per soddisfare esattamente i requisiti. Un livello di autenticazione personalizzato può contenere una qualsiasi delle combinazioni supportate nella tabella precedente.
Accedi come amministratore all'interfaccia di amministrazione di Microsoft Entra.
Passare a Protezione>Metodi di autenticazione>Punti di forza dell'autenticazione.
Selezionare Nuovo livello di autenticazione.
Fornire un nome descrittivo per il nuovo livello di autenticazione.
Specificare facoltativamente una descrizione .
Selezionare uno dei metodi disponibili che si desidera consentire.
Scegliere Successivo ed esaminare la configurazione dei criteri.
Aggiornare ed eliminare i punti di forza di autenticazione personalizzati
È possibile modificare un livello di autenticazione personalizzato. Se fa riferimento a un criterio di accesso condizionale, non può essere eliminato ed è necessario confermare qualsiasi modifica. Per verificare se viene fatto riferimento a un livello di attendibilità dell'autenticazione da un criterio di accesso condizionale, fare clic sulla colonna criteri di accesso condizionale.
Opzioni avanzate della chiave di sicurezza FIDO2
È possibile limitare l'utilizzo delle chiavi di sicurezza FIDO2 in base ai GUID di attestazione dell'autenticatore (AAGUID). Questa funzionalità consente agli amministratori di richiedere una chiave di sicurezza FIDO2 da un produttore specifico per accedere alla risorsa. Per richiedere una chiave di sicurezza FIDO2 specifica, creare prima di tutto un livello di attendibilità di autenticazione personalizzato. Selezionare quindi chiave di sicurezza FIDO2e fare clic su Opzioni avanzate.
Accanto a chiavi FIDO2 consentite fare clic su +, copiare il valore AAGUID e fare clic su Salva.
Opzioni avanzate di autenticazione basata su certificati
Nei criteri dei metodi di autenticazione è possibile configurare se i certificati sono associati nel sistema a livelli di protezione con autenticazione a singolo fattore o a più fattori, in base all'OID dell'autorità di certificazione o dei criteri. È anche possibile richiedere certificati di autenticazione a singolo fattore o a più fattori per risorse specifiche, in base ai criteri di attendibilità dell'autenticazione dell'accesso condizionale.
Usando le opzioni avanzate di forza di autenticazione, è possibile richiedere un emittente di certificato specifico o un OID dei criteri per limitare ulteriormente gli accessi a un'applicazione.
Ad esempio, Contoso rilascia smart card ai dipendenti con tre diversi tipi di certificati a più fattori. Un certificato è per l'autorizzazione riservata, un altro per l'autorizzazione segreta e un terzo è per l'autorizzazione top secret. Ognuno di essi è distinto in base alle proprietà del certificato, ad esempio l'OID dei criteri o l'autorità emittente. Contoso vuole assicurarsi che solo gli utenti con il certificato a più fattori appropriato possano accedere ai dati per ogni classificazione.
Le sezioni successive illustrano come configurare le opzioni avanzate per CBA usando l'amministrazione di Microsoft Entra e Microsoft Graph.
Interfaccia di amministrazione di Microsoft Entra
Accedi all'interfaccia di amministrazione di Microsoft Entra come amministratore.
Passare a Protection>Metodi di autenticazione>Punti di forza dell'autenticazione.
Selezionare Nuovo livello di autenticazione.
Specificare un nome descrittivo per il nuovo livello di autenticazione.
È facoltativo fornire una descrizione .
Sotto Autenticazione basata su certificato (a singolo fattore o a più fattori), fare clic su Opzioni avanzate.
È possibile selezionare le autorità emittenti di certificati dal menu a discesa, digitare il nome delle autorità emittenti dei certificati e specificare gli ID dei criteri consentiti. Il menu a discesa elenca tutte le autorità di certificazione del tenant indipendentemente dal fatto che siano a fattore singolo o a più fattori.
- Se entrambe le autorità di certificazione consentite e gli OID dei criteri consentiti sono configurati, esiste una relazione E. L'utente deve usare un certificato che soddisfi entrambe le condizioni.
- Tra l'elenco emittenti di certificati consentiti e l'elenco OID della politica consentita, esiste una relazione OR. L'utente deve usare un certificato che soddisfi uno dei criteri degli enti emittenti o degli OID delle policy.
- Usa Altro emittente di certificati da SubjectkeyIdentifier se il certificato che desideri utilizzare non viene caricato nel tenant alle autorità di certificazione . Questa impostazione può essere usata per gli scenari utente esterni, se l'utente esegue l'autenticazione nel tenant principale.
Fare clic su Avanti per esaminare la configurazione, quindi fare clic su Crea.
Microsoft Graph
Per creare un nuovo criterio di attendibilità dell'autenticazione dell'accesso condizionale con combinazione di certificatiConfigurazione:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Per aggiungere una nuova configurazione combinata a una politica esistente:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Limitazioni
Opzioni avanzate della chiave di sicurezza FIDO2
- Opzioni avanzate della chiave di sicurezza FIDO2: le opzioni avanzate non sono supportate per gli utenti esterni con un tenant home che si trova in un cloud Microsoft diverso rispetto al tenant delle risorse.
Opzioni avanzate di autenticazione basata su certificati
In ogni sessione del browser è possibile usare un solo certificato. Dopo aver eseguito l'accesso con un certificato, viene memorizzato nella cache nel browser per la durata della sessione. Non verrà richiesto di scegliere un altro certificato se non soddisfa i requisiti di attendibilità dell'autenticazione. È necessario disconnettersi e accedere di nuovo per riavviare la sessione. Scegliere quindi il certificato pertinente.
Le autorità di certificazione e i certificati utente devono essere conformi allo standard X.509 v3. In particolare, per applicare le restrizioni dell'emittente SKI CBA, i certificati devono avere AKI validi.
Nota
Se il certificato non è conforme, l'autenticazione utente potrebbe avere esito positivo, ma non soddisfare le restrizioni issuerSki per i criteri di attendibilità dell'autenticazione.
Al momento dell'accesso, i primi 5 OID dei criteri dal certificato dell'utente finale vengono considerati e confrontati con gli OID dei criteri configurati nella politica di forza dell'autenticazione. Se il certificato dell'utente finale ha più di 5 OID dei criteri, vengono presi in considerazione i primi 5 OID dei criteri in ordine lessicale che corrispondono ai requisiti di attendibilità dell'autenticazione.
Per gli utenti B2B, si prenda un esempio in cui Contoso ha invitato gli utenti di Fabrikam nel loro tenant. In questo caso, Contoso è il tenant delle risorse e Fabrikam è il tenant principale.
- Quando l'impostazione di accesso tra tenant è Disattivata (Contoso non accetta l'autenticazione a più fattori eseguita dal tenant principale): l'uso dell'autenticazione basata su certificati nel tenant della risorsa non è supportato.
- Quando l'impostazione di accesso tra tenant è In, Fabrikam e Contoso si trovano nello stesso cloud Microsoft, ovvero sia Fabrikam che i tenant Contoso si trovano nel cloud commerciale di Azure o nel cloud di Azure per il governo degli Stati Uniti. Contoso considera inoltre attendibile l'MFA eseguita nel tenant originario. In questo caso:
- L'accesso a una risorsa specifica può essere limitato usando gli OID dei criteri o "altri emittenti di certificati tramite SubjectkeyIdentifier" nei criteri di forza dell'autenticazione personalizzati.
- L'accesso a risorse specifiche può essere limitato usando l'impostazione "Altra autorità di certificazione per SubjectkeyIdentifier" nei criteri personalizzati di forza dell'autenticazione.
- Quando l'impostazione di accesso tra tenant è In, Fabrikam e Contoso non si trovano nello stesso cloud Microsoft. Ad esempio, il tenant di Fabrikam si trova nel cloud commerciale di Azure, mentre il tenant di Contoso si trova nel cloud di Azure dedicato al governo degli Stati Uniti. In questo contesto, l'accesso a risorse specifiche non può essere limitato usando l'ID autorità emittente o gli ID dei criteri nei criteri di forza dell'autenticazione personalizzati.
Risoluzione dei problemi relativi alle opzioni avanzate di livello di autenticazione
Gli utenti non possono usare la chiave di sicurezza FIDO2 per accedere
Un amministratore dell'accesso condizionale può limitare l'accesso a chiavi di sicurezza specifiche. Quando un utente tenta di accedere usando una chiave che non può usare, viene visualizzato questo Non è possibile accedervi da qui messaggio. L'utente deve riavviare la sessione e accedere con una chiave di sicurezza FIDO2 diversa.
Come controllare gli OID dei criteri dei certificati e l'autorità emittente
È possibile verificare che le proprietà del certificato personale corrispondano alla configurazione nelle opzioni avanzate di livello di autenticazione.
Nel dispositivo dell'utente accedere come amministratore. Fare clic su Esegui, digitare certmgr.msce premere INVIO. Per controllare gli OID delle policy, fare clic su Personale, fare clic con il pulsante destro del mouse sul certificato e scegliere Dettagli.
