Applicare i criteri di accesso condizionale al profilo del traffico Microsoft

  • Articolo

Con un profilo di inoltro del traffico dedicato per il traffico Microsoft, è possibile applicare criteri di accesso condizionale al traffico Microsoft. Con l'accesso condizionale, è possibile richiedere l'autenticazione a più fattori e la conformità dei dispositivi per l'accesso alle risorse Microsoft.

Questo articolo descrive come applicare i criteri di accesso condizionale al profilo di inoltro del traffico Microsoft.

Prerequisiti

Creare criteri di accesso condizionale destinati al profilo di traffico Microsoft

I criteri di esempio seguenti sono destinati a tutti gli utenti, ad eccezione degli account break-glass e degli utenti guest/esterni, che richiedono l'autenticazione a più fattori, la conformità dei dispositivi o un dispositivo aggiunto a Microsoft Entra ibrido durante l'accesso al traffico Microsoft.

Screenshot che mostra un criterio di accesso condizionale destinato a un profilo di traffico.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Identità>Protezione>Accesso condizionale.
  3. Selezionare Crea nuovo criterio.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
      2. Selezionare Utenti guest o esterni e selezionare tutte le caselle di controllo.
  6. In Risorse di destinazione>Accesso sicuro globale*.
    1. Scegliere Traffico Microsoft.
  7. In Controlli di accesso>Concedi:
    1. Selezionare Richiedi autenticazione a più fattori, Richiedi che i dispositivi siano contrassegnati come conformi e Richiedi dispositivo ibrido aggiunto a Microsoft Entra
    2. Per più controlli selezionare Richiedi uno dei controlli selezionati.
    3. Seleziona Seleziona.

Dopo che gli amministratori confermano le impostazioni dei criteri usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Passaggi successivi

Il passaggio successivo per iniziare con Accesso a Internet Microsoft Entra consiste nell'esaminare i log di Accesso globale sicuro.

Per altre informazioni sull’inoltre del traffico, vedere i seguenti articoli: