Proteggere la registrazione delle informazioni di sicurezza con i criteri di accesso condizionale

Proteggere il momento e il modo in cui gli utenti si registrano per l'autenticazione multifattore di Microsoft Entra e il reset della password self-service è possibile mediante azioni utente in una strategia di accesso condizionale. Questa funzionalità è disponibile per le organizzazioni che abilitano la registrazione combinata. Questa funzionalità consente alle organizzazioni di gestire il processo di registrazione come qualsiasi applicazione in un criterio di accesso condizionale e di usare la massima potenza dell'accesso condizionale per proteggere l'esperienza. Gli utenti che accedono all'app Microsoft Authenticator o abilitano l'accesso tramite telefono senza password sono soggetti a questo criterio.

Alcune organizzazioni in passato potrebbero aver usato la posizione di rete attendibile o la conformità dei dispositivi come mezzo per proteggere l'esperienza di registrazione. Con l'aggiunta di Pass di accesso temporaneo in Microsoft Entra ID, gli amministratori possono fornire credenziali limitate al tempo ai propri utenti che consentono loro di registrarsi da qualsiasi dispositivo o posizione. Le credenziali pass di accesso temporaneo soddisfano i requisiti di accesso condizionale per l'autenticazione a più fattori.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account di emergenza (break-glass) per impedire il blocco a causa di errori nella configurazione delle politiche. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account di servizio e principali di servizio, come l'account di sincronizzazione di Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dalle politiche di accesso condizionale che riguardano gli utenti. Usare l'accesso condizionale per le identità di carico di lavoro al fine di definire politiche destinate ai principali di servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Distribuzione dei modelli

Le organizzazioni possono scegliere di distribuire questo criterio usando i passaggi descritti di seguito o usando i modelli di accesso condizionale.

Creare un criterio per proteggere la registrazione

I criteri seguenti si applicano agli utenti selezionati, che tentano di eseguire la registrazione usando l'esperienza di registrazione combinata. Il criterio richiede che gli utenti si trovano in un percorso di rete attendibile e eseseguono l'autenticazione a più fattori oppure usano credenziali pass di accesso temporaneo.

Avviso

Se si usano metodi di autenticazione esterni, questi sono attualmente incompatibili con il livello di attendibilità dell'autenticazione ed è consigliabile usare il Richiedi autenticazione a più fattori controllo di concessione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. In Nome, immettere un nome per questo criterio. Ad esempio, Registrazione combinata delle informazioni di sicurezza con TAP.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

   1. In Includi selezionare Tutti gli utenti.

      Avviso

      Gli utenti devono essere abilitati per la registrazione combinata.

   2. Nella sezione Escludi.

      1. Selezionare Tutti gli utenti guest e esterni.

         Nota

         Il pass di accesso temporaneo non funziona per gli utenti guest.

      2. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.

6. Sotto Risorse di destinazione>Azioni utente, verificare Registra informazioni di sicurezza.
7. In Condizioni>Luoghi
   1. Impostare Configura su Sì.
      1. Includere Qualsiasi località.
      2. Escludere tutti i percorsi attendibili.
8. In Controlli di accesso>Concedi selezionare Concedi accesso.
   1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione predefinito o personalizzato appropriato dall'elenco.
   2. Selezionare Seleziona.
9. Conferma le impostazioni e imposta Abilita criteri su Solo segnalazione.
10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo rapporto, possono spostare l'opzione Attiva politica da Solo rapporto ad Attiva.

Gli amministratori devono rilasciare credenziali pass di accesso temporaneo ai nuovi utenti in modo che possano soddisfare i requisiti per la registrazione dell'autenticazione a più fattori. I passaggi per eseguire questa attività sono disponibili nella sezione Creare un pass di accesso temporaneo nell'interfaccia di amministrazione di Microsoft Entra.

Le organizzazioni potrebbero scegliere di richiedere altri controlli di concessione con o al posto di Richiedi autenticazione a più fattori al passaggio 8a. Quando si selezionano più controlli, assicurarsi di selezionare il pulsante di opzione appropriato per richiedere tutti o uno dei controlli selezionati quando si effettua questa modifica.

Registrazione utente ospite

Per gli utenti ospiti che devono registrarsi per l'autenticazione a più fattori nella tua directory, potresti scegliere di bloccare la registrazione dall'esterno delle posizioni di rete attendibili utilizzando la seguente guida.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. In Nome, immettere un nome per questo criterio. Ad esempio, Registrazione delle informazioni di sicurezza combinata su reti attendibili.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. Sotto Includi, selezionare Tutti gli utenti guest e esterni.
6. Sotto Risorse di destinazione>Azioni utente, verificare Registrare informazioni sulla sicurezza.
7. Sotto Condizioni>Luoghi
   1. Configurare Sì.
   2. Includere Qualsiasi località.
   3. Escludere tutte le posizioni attendibili.
8. Sotto Controlli di accesso>Concedi.
   1. Selezionare Blocca accesso.
   2. Quindi, scegli Seleziona.
9. Conferma le impostazioni e imposta Abilita criteri su Solo segnalazione.
10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo segnalazione, possono spostare l'opzione Attiva criterio da Solo segnalazione ad Attiva.

Contenuto correlato

• Ruoli predefiniti Microsoft Entra
• Modelli di accesso condizionale
• Richiedere agli utenti di riconfermare le informazioni di autenticazione