Informazioni sull'accesso condizionale

La sicurezza moderna si estende oltre il perimetro di rete di un'organizzazione per includere l'identità di utenti e dispositivi. Le organizzazioni ora usano questi segnali di identità durante il processo decisionale relativo al controllo di accesso. L'accesso condizionale di Microsoft Entra riunisce i segnali per prendere decisioni e imporre i criteri dell'organizzazione. L'accesso condizionale è il motore dei criteri Zero Trust di Microsoft che prende in considerazione i segnali provenienti da varie origini quando si applicano decisioni sui criteri.

Diagramma che mostra il concetto di segnali di accesso condizionale e la decisione di applicare i criteri dell'organizzazione.

I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then - if un utente vuole accedere a una risorsa, then deve completare un'azione. Ad esempio: se un utente vuole accedere a un'applicazione o a un servizio come Microsoft 365, deve eseguire l'autenticazione a più fattori.

Gli amministratori devono raggiungere due obiettivi primari:

  • Fare in modo che gli utenti siano produttivi sempre e ovunque
  • Proteggere gli asset dell'organizzazione

Usare i criteri di accesso condizionale per applicare i controlli di accesso corretti quando necessario per proteggere l'organizzazione.

Importante

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Segnali comuni

L'accesso condizionale prende in considerazione i segnali provenienti da varie origini quando si prendono decisioni di accesso.

Diagramma che mostra l'accesso condizionale come motore dei criteri Zero Trust che aggrega i segnali provenienti da varie origini.

Questi segnali includono:

  • Utente o appartenenza a un gruppo
    • I criteri possono essere destinati a specifici utenti e gruppi offrendo agli amministratori un controllo granulare dell'accesso.
  • Informazioni sugli indirizzi IP
    • Le organizzazioni possono creare intervalli di indirizzi IP attendibili da usare per prendere decisioni sui criteri.
    • Gli amministratori possono specificare intervalli IP in interi paesi/aree geografiche per bloccare o consentire il traffico in ingresso e in uscita.
  • Dispositivo
    • Per applicare i criteri di accesso condizionale, è possibile considerare utenti con dispositivi di specifiche piattaforme o contrassegnati con uno stato specifico.
    • Usare i filtri per i dispositivi per assegnare criteri a dispositivi specifici, ad esempio workstation con accesso con privilegi.
  • Applicazione
    • Gli utenti che tentano di accedere ad applicazioni specifiche possono attivare criteri di accesso condizionale diversi.
  • Rilevamento dei rischi in tempo reale e calcolato
    • L’integrazione dei segnali con Microsoft Entra ID Protection consente ai criteri di accesso condizionale di identificare e rimediare gli utenti rischiosi e il comportamento di accesso.
  • Microsoft Defender for Cloud Apps
    • Consente di monitorare e controllare in tempo reale l'accesso alle applicazioni utente e le sessioni. Questa integrazione aumenta la visibilità e il controllo sull'accesso alle attività eseguite all'interno dell'ambiente cloud.

Decisioni comuni

  • Blocca accesso
    • Decisione più restrittiva
  • Concedere l'accesso
    • Decisione meno restrittiva, può comunque richiedere una o più delle opzioni seguenti:
      • Richiedere l'autenticazione a più fattori
      • Richiedere un livello di autenticazione
      • Richiedere che il dispositivo sia contrassegnato come conforme
      • Richiedere un dispositivo aggiunto a Microsoft Entra ibrido
      • Richiedi app client approvata
      • Richiedere criteri di protezione dell'app
      • Richiedere la modifica della password
      • Richiedere le condizioni per l'utilizzo

Criteri applicati comunemente

Molte organizzazioni condividono preoccupazioni che possono essere risolte con i criteri di accesso condizionale, ad esempio:

  • Richiesta dell'autenticazione a più fattori per gli utenti con ruoli amministrativi
  • Richiesta dell'autenticazione a più fattori per le attività di gestione di Azure
  • Blocco degli accessi per gli utenti che tentano di usare protocolli di autenticazione legacy
  • Richiesta di posizioni attendibili per la registrazione delle informazioni di sicurezza
  • Blocco o concessione dell'accesso da posizioni specifiche
  • Blocco dei comportamenti di accesso rischiosi
  • Richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche

Gli amministratori possono creare criteri da zero o iniziare da un criterio modello nel portale o usando l'API Microsoft Graph.

Esperienza amministratore

Gli amministratori con il ruolo Amministratore accesso condizionale possono gestire i criteri.

L'accesso condizionale si trova nell'interfaccia di amministrazione di Microsoft Entra in Protezione>Accesso condizionale.

Screenshot che mostra la pagina di panoramica dell'accesso condizionale.

  • La pagina Panoramica fornisce un riepilogo dello stato dei criteri, degli utenti, dei dispositivi e delle applicazioni, nonché degli avvisi generali e di sicurezza con suggerimenti.
  • La pagina Copertura fornisce un riepilogo delle applicazioni con e senza copertura dei criteri di accesso condizionale negli ultimi sette giorni.
  • La pagina Monitoraggio consente agli amministratori di visualizzare un grafico degli accessi che può essere filtrato per visualizzare potenziali lacune nella copertura dei criteri.

I criteri di accesso condizionale nella pagina Criteri possono essere filtrati dagli amministratori in base a elementi come l'attore, la risorsa di destinazione, la condizione, il controllo applicato, lo stato o la data. Questa capacità di filtro consente agli amministratori di trovare rapidamente criteri specifici in base alla configurazione.

Requisiti di licenza

L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Anche i clienti con licenze Microsoft 365 Business Premium possono accedere alle funzionalità di accesso condizionale.

I criteri basati sul rischio richiedono l'accesso a Microsoft Entra ID Protection, che richiede licenze P2.

Per altri prodotti e funzionalità che interagiscono con i criteri di accesso condizionale sono richieste licenze appropriate.

Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente. Ciò consente ai clienti di eseguire la migrazione dai criteri di accesso condizionale senza un improvviso cambiamento nella postura di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.

Le impostazioni predefinite per la sicurezza consentono di proteggersi da attacchi correlati all'identità e sono disponibili per tutti i clienti.

Zero Trust

Questa funzionalità consente alle organizzazioni di allineare le proprie identità ai tre principi guida di un'architettura Zero Trust:

  • Verificare esplicita
  • Usare privilegi minimi
  • Presunzione di violazione

Per altre informazioni su Zero Trust e altri modi per allineare l'organizzazione ai principi guida, fare riferimento allo Zero Trust Guidance Center.

Passaggi successivi