Accesso condizionale: applicare il filtro in base alle applicazioni

Attualmente i criteri di accesso condizionale possono essere applicati a tutte le app o alle singole app. Le organizzazioni con un numero elevato di app potrebbero trovare questo processo difficile da gestire tra più criteri di accesso condizionale.

I filtri dell'applicazione per l'accesso condizionale consentono alle organizzazioni di contrassegnare le entità servizio con attributi personalizzati. Questi attributi personalizzati vengono quindi aggiunti ai criteri di accesso condizionale. I filtri per le applicazioni vengono valutati in fase di rilascio dei token, una domanda comune è se le app vengono assegnate in fase di esecuzione o in fase di configurazione.

In questo documento si crea un set di attributi personalizzato, si assegna un attributo di sicurezza personalizzato all'applicazione e si creano criteri di accesso condizionale per proteggere l'applicazione.

Assegnazione di ruoli

Gli attributi di sicurezza personalizzati sono sensibili alla sicurezza e possono essere gestiti solo dagli utenti delegati. Uno o più dei ruoli seguenti devono essere assegnati agli utenti che gestiscono o segnalano questi attributi.

Nome ruolo Descrizione
Amministratore assegnazione di attributi Assegnare le chiavi e i valori degli attributi di sicurezza personalizzati agli oggetti di Microsoft Entra supportati.
Ruolo con autorizzazioni di assegnazioni di attributi Leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati.
Amministratore definizione di attributi Definisce e gestisce la definizione degli attributi di sicurezza personalizzati.
Lettore definizione di attributi Legge la definizione degli attributi di sicurezza personalizzati.

Assegnare il ruolo appropriato agli utenti che gestiscono o segnalano questi attributi nell'ambito della directory. Per informazioni dettagliate sulla procedura, vedere Assegnare un ruolo.

Importante

Per impostazione predefinita, Amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Creare attributi di sicurezza personalizzati

Seguire le istruzioni riportate nell'articolo, Aggiungere o disattivare attributi di sicurezza personalizzati in Microsoft Entra ID per aggiungere il set di attributi seguente e Nuovi attributi.

  • Creare un set di attributi denominato ConditionalAccessTest.
  • Creare Nuovi attributi denominati policyRequirement che consentono l'assegnazione di più valori e consentono solo l'assegnazione di valori predefiniti. Si aggiungono i valori predefiniti seguenti:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Screenshot che mostra l'attributo di sicurezza personalizzato e i valori predefiniti in Microsoft Entra ID.

Nota

I filtri di accesso condizionale per le applicazioni funzionano solo con attributi di sicurezza personalizzati di tipo "string". Gli attributi di sicurezza personalizzati supportano la creazione del tipo di dati booleano, ma i criteri di accesso condizionale supportano solo "string".

Creare criteri di accesso condizionale

Screenshot che mostra un criterio di accesso condizionale con la finestra del filtro di modifica che mostra un attributo di MFA obbligatorio.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore dell'accesso condizionale e lettore definizioni degli attributi.
  2. Passare a Protezione>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
    3. Selezionare Fatto.
  6. In Risorse di destinazioneselezionare le opzioni seguenti:
    1. Selezionare a che cosa si applica questo criterio in App cloud.
    2. Includi Selezionare le risorse.
    3. Selezionare Modifica filtro.
    4. Impostare Configura su .
    5. Selezionare l'attributo creato in precedenza denominato policyRequirement.
    6. Impostare Operatore su Contiene.
    7. Impostare Valore su requireMFA.
    8. Selezionare Fatto.
  7. In Controlli di accesso>Concedi, selezionare Concedi accesso, Richiedi autenticazione a più fattori e selezionare Seleziona.
  8. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  9. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Configurare attributi personalizzati

Passaggio 1: Configurare un'applicazione di esempio

Se si dispone già di un'applicazione di test che usa un'entità servizio, è possibile ignorare questo passaggio.

Configurare un esempio di applicazione che dimostra anche come è possibile eseguire un processo o un servizio di Windows con un'identità dell'applicazione invece che con un'identità dell'utente. Seguire le istruzioni riportate nell'articolo Avvio rapido: Ottenere un token e chiamare l'API Microsoft Graph usando l'identità di un'app console per creare questa applicazione.

Passaggio 2: Assegnare un attributo di sicurezza personalizzato a un'applicazione

Quando non è presente un'entità servizio elencata nel tenant, questa non può essere destinata. La famiglia di prodotti Office 365 è un esempio di un'entità servizio di questo tipo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale ~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) e Amministratore assegnazione attributi.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali.
  3. Selezionare l'entità servizio a cui applicare un attributo di sicurezza personalizzato.
  4. In Gestisci>Attributi di sicurezza personalizzatiselezionare Aggiungi assegnazione.
  5. In Set di attributi, selezionare ConditionalAccessTest.
  6. In Nome attributo, selezionare policyRequirement.
  7. In Valori assegnatiselezionare Aggiungi valori, selezionare requireMFA dall'elenco, quindi selezionare Fine.
  8. Seleziona Salva.

Passaggio 3: Testare il criterio

Accedere come utente a cui si applicano i criteri e testare per verificare che l'autenticazione a più fattori sia necessaria per l'accesso all'applicazione.

Altri scenari

  • Bloccare l'autenticazione legacy
  • Blocco dell'accesso esterno alle applicazioni
  • Richiesta di criteri di protezione di dispositivi o app di Intune conformi
  • Applicazione dei controlli di frequenza di accesso per applicazioni specifiche
  • Richiesta di una workstation con accesso con privilegi per applicazioni specifiche
  • Richiedere controlli sessione per utenti ad alto rischio e applicazioni specifiche

Modelli di accesso condizionale

Determinare l'effetto dell'uso della modalità di accesso condizionale solo report

Usare la modalità Solo report per l'accesso condizionale per determinare i risultati delle nuove decisioni relative ai criteri.