Accesso condizionale per le identità dei carichi di lavoro

I criteri di accesso condizionale in passato venivano applicati solo agli utenti, quando accedevano ad app e servizi come SharePoint Online. Stiamo estendendo il supporto per le policy di accesso condizionale da applicare ai principali del servizio di proprietà dell'organizzazione. Questa funzionalità viene chiamata Accesso condizionale per le identità dei carichi di lavoro.

Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un principale del servizio di accedere alle risorse, talvolta nel contesto di un utente. Queste identità di carico di lavoro differiscono dagli account utente tradizionali in quanto:

• Non è possibile eseguire l'autenticazione a più fattori.
• Spesso non hanno un processo del ciclo di vita formale.
• Devono archiviare le credenziali o i segreti da qualche parte.

Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.

Importante

Le licenze Premium delle Identità di Workload sono necessarie per creare o modificare i criteri di accesso condizionale per i principali del servizio. Nelle directory senza licenze appropriate, i criteri di accesso condizionale esistenti per le identità dei carichi di lavoro continueranno a funzionare, ma non possono essere modificati. Per maggiori informazioni, consultare la sezione ID dei carichi di lavoro di Microsoft Entra.  

Nota

Le politiche possono essere applicate ai principali del servizio a tenant singolo che sono stati registrati nel tuo tenant. Le app SaaS e multi-tenant di terze parti non rientrano nell'ambito. Le identità gestite non sono coperte dai criteri.

L'accesso condizionale per le identità dei carichi di lavoro abilita il blocco dei principali del servizio.

• Dall'esterno di intervalli IP pubblici noti.
• In base al rischio rilevato da Microsoft Entra ID Protection.
• In combinazione con contesti di autenticazione.

Implementazione

Creare criteri di accesso condizionale basato sulla posizione

Creare un criterio di accesso condizionale basato sulla posizione applicabile alle entità servizio.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. Assegna un nome alla tua polizza. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In A cosa si applica questo criterio?, selezionare Identità del carico di lavoro.
   2. In Includere, scegliere Seleziona principali del servizio e selezionare i principali del servizio appropriati dall'elenco.
6. In Risorse di destinazione>(in precedenza app cloud)>, sotto Includi, selezionare Tutte le risorse (in precedenza "Tutte le app cloud"). Il criterio si applica solo quando un'entità servizio richiede un token.
7. Sotto Condizioni>Posizioni, includere Qualsiasi posizione ed escludere le posizioni selezionate in cui si vuole consentire l'accesso.
8. Sotto Concedi, Blocca l'accesso è l'unica opzione disponibile. L'accesso viene bloccato quando viene effettuata una richiesta di token dall'esterno dell'intervallo consentito.
9. I criteri possono essere salvati in modalità solo report, consentendo agli amministratori di stimare gli effetti, oppure i criteri vengono applicati attivando la politica su On.
10. Seleziona Crea per completare la tua politica.

Creare criteri di accesso condizionale basato sul rischio

Creare criteri di accesso condizionale basati sul rischio che si applicano alle entità servizio.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Che cosa si applica questo criterio?, selezionare Identità dei carichi di lavoro.
   2. Sotto Include, scegli Seleziona le entità servizio e seleziona le entità servizio appropriate dall'elenco.
6. Nella sezione Risorse di destinazione>(in precedenza app cloud)>, sotto Include, selezionare Tutte le risorse (in precedenza "Tutte le app cloud"). Il criterio si applica solo quando un'entità servizio richiede un token.
7. In Condizioni>Rischio principale del servizio
   1. Impostare il toggle Configura su Sì.
   2. Seleziona i livelli di rischio in cui desideri attivare questa politica.
   3. Selezionare Fatto.
8. Sotto Concedi, Blocca l'accesso è l'unica opzione disponibile. L'accesso viene bloccato quando vengono visualizzati i livelli di rischio specificati.
9. I criteri possono essere salvati in modalità solo report, consentendo agli amministratori di stimarne gli effetti, oppure vengono applicati attivando i criteri con il On.
10. Selezionare Crea per completare la politica.

Annullare

Se si vuole eseguire il rollback di questa funzionalità, è possibile eliminare o disabilitare i criteri creati.

Log di accesso

I log di accesso vengono usati per esaminare il modo in cui vengono applicati i criteri per le entità servizio o gli effetti previsti dei criteri quando si usa la modalità solo report.

1. Passare a Identity>Monitoraggio e salute>Registri di accesso>Accessi principali del servizio.
2. Selezionare una voce di log e scegliere la scheda Accesso condizionale per visualizzare le informazioni di valutazione.

Motivo dell'errore quando l'accesso condizionale blocca un'entità servizio: "L'accesso è stato bloccato a causa dei criteri di accesso condizionale".

Modalità solo per report

Per visualizzare i risultati di un criterio basato sulla posizione, fare riferimento alla scheda Report-only degli eventi nel report di accesso oppure usare il quaderno di analisi e reportistica di Accesso condizionale.

Per visualizzare i risultati di una politica basata sul rischio, fare riferimento alla scheda Report-only degli eventi nel Report di accesso.

Riferimento

Ricerca dell'objectID

È possibile ottenere l'object-ID del principale del servizio da Microsoft Entra Enterprise Applications. Non può essere utilizzato l'ID oggetto nelle registrazioni dell'app Microsoft Entra. Questo identificatore è l'ID oggetto della registrazione dell'app, non dell'entità servizio.

1. Sfoglia fino a Identità>Applicazioni>Applicazioni aziendali, trovare l'applicazione registrata.
2. Nella scheda Panoramica copiare l'Object ID dell'applicazione. Questo identificatore è univoco per il principale del servizio, usato dalle policy di accesso condizionale per trovare l'app chiamante.

Microsoft Graph

Json di esempio per la configurazione basata sulla posizione usando l'endpoint beta di Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Passaggi successivi

• Uso della posizione di rete in un criterio di accesso condizionale
• Cos'è la modalità di solo report dell'accesso condizionale?