Modelli di criteri di accesso condizionale

I modelli di accesso condizionale forniscono un metodo pratico per distribuire nuovi criteri allineati alle raccomandazioni Microsoft. Questi modelli sono progettati per fornire la protezione massima allineata ai criteri comunemente usati in vari tipi e posizioni dei clienti.

Screenshot che mostra i criteri e i modelli di accesso condizionale nell'interfaccia di amministrazione di Microsoft Entra.

Categorie di modelli

I modelli di criteri di accesso condizionale sono organizzati nelle categorie seguenti:

Microsoft consiglia questi criteri come base per tutte le organizzazioni. È consigliabile distribuire questi criteri come gruppo.

Trovare questi modelli nell'interfaccia di amministrazione di Microsoft Entra>Protezione>accesso condizionale>Creare nuovi criteri dai modelli. Selezionare Mostra altro per visualizzare tutti i modelli di criteri in ogni categoria.

Screenshot che mostra come creare un criterio di accesso condizionale da un modello preconfigurato nell'interfaccia di amministrazione di Microsoft Entra.

Importante

I criteri dei modelli di accesso condizionale escludono solo l'utente che crea il criterio dal modello. Se l'organizzazione deve escludere altri account, sarà possibile modificare il criterio dopo la creazione. Questi criteri sono disponibili nell'interfaccia di amministrazione di Microsoft Entra>Protezione>Accesso condizionale>Criteri. Selezionare un criterio per aprire l'editor e modificare gli utenti e i gruppi esclusi per scegliere gli account da escludere.

Per impostazione predefinita, ogni criterio viene creato in modalità solo report, è consigliabile testare e monitorare l'utilizzo delle organizzazioni per garantire il risultato previsto, prima di attivare ogni criterio.

Le organizzazioni possono selezionare singoli modelli di criteri e:

  • Visualizzare un riepilogo delle impostazioni dei criteri.
  • Modificare per personalizzare in base alle esigenze dell'organizzazione.
  • Esportare la definizione JSON da usare nei flussi di lavoro programmatici.
    • Queste definizioni JSON possono essere modificate e quindi importate nella pagina principale dei criteri di accesso condizionale usando l'opzione Carica file di criteri.

Altri criteri comuni

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Passaggi successivi