Proteggere la registrazione delle informazioni di sicurezza con i criteri di accesso condizionale

Proteggere quando e come gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service è possibile con le azioni dell'utente in un criterio di accesso condizionale. Questa funzionalità è disponibile per le organizzazioni che abilitano la registrazione combinata. Questa funzionalità consente alle organizzazioni di gestire il processo di registrazione come qualsiasi applicazione in un criterio di accesso condizionale e di usare la massima potenza dell'accesso condizionale per proteggere l'esperienza. Gli utenti che accedono all'app Microsoft Authenticator o abilitano l'accesso tramite telefono senza password sono soggetti a questo criterio.

Alcune organizzazioni in passato potrebbero aver usato la posizione di rete attendibile o la conformità dei dispositivi come mezzo per proteggere l'esperienza di registrazione. Con l'aggiunta di Pass di accesso temporaneo in Microsoft Entra ID, gli amministratori possono fornire credenziali limitate al tempo ai propri utenti che consentono loro di registrarsi da qualsiasi dispositivo o posizione. Le credenziali pass di accesso temporaneo soddisfano i requisiti di accesso condizionale per l'autenticazione a più fattori.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Distribuzione modelli

Le organizzazioni possono scegliere di distribuire questo criterio usando i passaggi descritti di seguito o usando i modelli di accesso condizionale.

Creare un criterio per proteggere la registrazione

I criteri seguenti si applicano agli utenti selezionati, che tentano di eseguire la registrazione usando l'esperienza di registrazione combinata. Il criterio richiede che gli utenti si trovano in un percorso di rete attendibile e eseseguono l'autenticazione a più fattori oppure usano credenziali pass di accesso temporaneo.

Avviso

Se si usano metodi di autenticazione esterni, questi sono attualmente incompabili con livello di autenticazione ed è necessario usare il controllo Richiedi concessione autenticazione a più fattori.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione combinata delle informazioni di sicurezza con TAP.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

   1. In Includi selezionare Tutti gli utenti.

      Avviso

      Gli utenti devono essere abilitati per la registrazione combinata.

   2. In Escludi.

      1. Selezionare Tutti gli utenti guest ed esterni.

         Nota

         Il pass di accesso temporaneo non funziona per gli utenti guest.

      2. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.

6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
7. In Condizioni>Percorsi:
   1. Impostare Configura su Sì.
      1. Includere Tutte le località.
      2. Escluderetutti i percorsi attendibili.
8. In Controlli di accesso>Concedi selezionare Concedi accesso.
   1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione predefinito o personalizzato appropriato dall'elenco.
   2. Selezionare Seleziona.
9. Confermare le impostazioni e impostare Abilitare criterio su Solo report.
10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Gli amministratori devono rilasciare credenziali pass di accesso temporaneo ai nuovi utenti in modo che possano soddisfare i requisiti per la registrazione dell'autenticazione a più fattori. I passaggi per eseguire questa attività sono disponibili nella sezione Creare un pass di accesso temporaneo nell'interfaccia di amministrazione di Microsoft Entra.

Le organizzazioni potrebbero scegliere di richiedere altri controlli di concessione con o al posto di Richiedi autenticazione a più fattori al passaggio 8a. Quando si selezionano più controlli, assicurarsi di selezionare l'interruttore del pulsante di opzione appropriato per richiedere tutti o uno dei controlli selezionati quando si apporta questa modifica.

Registrazione utente guest

Per gli utenti guest che devono registrarsi per l'autenticazione a più fattori nella directory, è possibile scegliere di bloccare la registrazione dall'esterno dei percorsi di rete attendibili usando la guida seguente.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione delle informazioni di sicurezza combinata su reti attendibili.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti guest ed esterni.
6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
7. In Condizioni>Percorsi:
   1. Configurare Sì.
   2. Includere Tutte le località.
   3. Escluderetutti i percorsi attendibili.
8. In Controlli di accesso>Concedi.
   1. Selezionare Blocca accesso.
   2. Quindi, scegli Seleziona.
9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Contenuto correlato

• Ruoli predefiniti Microsoft Entra
• Modelli di accesso condizionale
• Richiedere agli utenti di riconfermare le informazioni di autenticazione