Bloccare i flussi di autenticazione con i criteri di accesso condizionale

La procedura seguente consente di creare criteri di accesso condizionale per limitare l'uso del flusso del codice del dispositivo e del trasferimento dell'autenticazione all'interno dell'organizzazione.

Criteri per il flusso del codice dispositivo

Nota

Per migliorare il comportamento di sicurezza, Microsoft consiglia di bloccare o limitare il flusso del codice del dispositivo laddove possibile.

È consigliabile iniziare sempre configurando un criterio in modalità solo report per determinare il potenziale effetto sull'organizzazione.

È consigliabile che le organizzazioni si avvicinino al più vicino possibile a un blocco unilaterale nel flusso del codice del dispositivo. Le organizzazioni devono prendere in considerazione la creazione di un criterio per controllare l'uso esistente del flusso di codice del dispositivo e determinare se è ancora necessario.

Per le organizzazioni che non hanno stabilito l'uso del flusso di codice del dispositivo, il blocco può essere eseguito con i criteri di accesso condizionale seguenti:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Includi, seleziona gli utenti che vuoi siano oggetto del criterio (tutti gli utenti consigliati).
   2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione, oltre a tutti gli altri utenti necessari. Questo elenco di esclusione deve essere controllato regolarmente.
5. Sotto Risorse di destinazione>Risorse (in precedenza app cloud)>Incluse, seleziona le app che si desidera includere nell'ambito dei criteri (Tutte le risorse (in precedenza "Tutte le app cloud") consigliate).
6. Sotto Condizioni>flussi di autenticazione, imposta Configura su Sì.
   1. Selezionare Flusso di codice del dispositivo.
   2. Selezionare Fatto.
7. Sotto Controlli di accesso>Rifiuta, selezionare Blocca accesso.
   1. Selezionare Seleziona.
8. Conferma le impostazioni e imposta Attiva criterio su Solo segnalazione.
9. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo segnalazioni, possono spostare l'opzione Abilita criterio da Solo segnalazioni su Attivato.

Criteri di trasferimento dell'autenticazione

Usare la condizione nei flussi di autenticazione di Accesso Condizionale per gestire la funzionalità. È possibile bloccare trasferimento di autenticazione se non si vuole che gli utenti trasferiscano l'autenticazione dal PC a un dispositivo mobile. Ad esempio, se non si consente l'uso di Outlook nei dispositivi personali da parte di determinati gruppi. Il blocco del trasferimento di autenticazione può essere eseguito con i seguenti criteri di accesso condizionale:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale.
3. Selezionare Crea nuovo criterio.
4. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti o i gruppi di utenti da bloccare per il trasferimento dell'autenticazione.
   2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere gli account di emergenza dell'organizzazione o gli account di accesso rapido e tutti gli altri utenti necessari da escludere; questo elenco di esclusione deve essere controllato regolarmente.
5. In Risorse di destinazione>(in precedenza app cloud)>Includi, selezionare Tutte le risorse (in precedenza "Tutte le app cloud") o le app che si desidera bloccare per il trasferimento dell'autenticazione.
6. In Condizioni>Flussi di autenticazione, impostare Configura su Sì
   1. Selezionare Trasferimento di autenticazione.
   2. Selezionare Fatto.
7. In Controlli di accesso>Concessione, selezionare Blocca accesso.
   1. Selezionare Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Abilitato.
9. Selezionare Crea per abilitare la politica.

Contenuto correlato

• Accesso condizionale: flussi di autenticazione
• Accesso condizionale: trasferimento dell'autenticazione
• Accesso condizionale: condizioni