Accesso condizionale per le identità dei carichi di lavoro
I criteri di accesso condizionale in passato venivano applicati solo agli utenti, quando accedevano ad app e servizi come SharePoint Online. È in corso l'estensione del supporto per i criteri di accesso condizionale da applicare alle entità servizio di proprietà dell'organizzazione. Questa funzionalità viene chiamata Accesso condizionale per le identità dei carichi di lavoro.
Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un'entità servizio di accedere alle risorse, talvolta nel contesto di un utente. Queste identità differiscono dagli account utente tradizionali in quanto:
- Non è possibile eseguire l'autenticazione a più fattori.
- Spesso non hanno un processo del ciclo di vita formale.
- Devono archiviare le credenziali o i segreti da qualche parte.
Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.
Importante
Le licenze Premium delle identità dei carichi di lavoro sono necessarie per creare o modificare i criteri di accesso condizionale nell’ambito delle entità servizio. Nelle directory senza licenze appropriate, i criteri di accesso condizionale esistenti per le identità dei carichi di lavoro continueranno a funzionare, ma non possono essere modificati. Per maggiori informazioni, consultare la sezione ID dei carichi di lavoro di Microsoft Entra.
Nota
I criteri possono essere applicati alle entità servizio a tenant singolo registrate nel tenant. Le app SaaS e multi-tenant di terze parti non rientrano nell'ambito. Le identità gestite non sono coperte dai criteri.
L'accesso condizionale per le identità del carico di lavoro abilita il blocco delle entità servizio:
- Dall'esterno di intervalli IP pubblici noti.
- In base al rischio rilevato da Microsoft Entra ID Protection.
- In combinazione con i contesti di autenticazione.
Implementazione
Creare criteri di accesso condizionale basato sulla posizione
Creare un criterio di accesso condizionale basato sulla posizione applicabile alle entità servizio.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale>Criteri.
- Selezionare Nuovi criteri.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Che cosa si applica questo criterio?, selezionare Identità del carico di lavoro.
- In Includi scegliere Seleziona entità servizio e selezionare le entità servizio appropriate dall'elenco.
- In Risorse>di destinazione (in precedenza app cloud)>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud"). Il criterio si applica solo quando un'entità servizio richiede un token.
- In Posizioni condizioni>includere Qualsiasi posizione ed escludere le posizioni selezionate in cui si vuole consentire l'accesso.
- In Concedi l'opzione Blocca l'accesso è l'unica opzione disponibile. L'accesso viene bloccato quando viene effettuata una richiesta di token dall'esterno dell'intervallo consentito.
- I criteri possono essere salvati in modalità solo report, consentendo agli amministratori di stimare gli effetti oppure i criteri vengono applicati attivando i criteri.
- Selezionare Crea per completare i criteri.
Creare criteri di accesso condizionale basato sul rischio
Creare criteri di accesso condizionale basati sul rischio che si applicano alle entità servizio.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale>Criteri.
- Selezionare Nuovi criteri.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Che cosa si applica questo criterio?, selezionare Identità del carico di lavoro.
- In Includi scegliere Seleziona entità servizio e selezionare le entità servizio appropriate dall'elenco.
- In Risorse>di destinazione (in precedenza app cloud)>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud"). Il criterio si applica solo quando un'entità servizio richiede un token.
- In Condizioni>Rischio dell'entità servizio
- Impostare l'interruttore Configura su Sì.
- Selezionare i livelli di rischio in cui si vuole attivare questo criterio.
- Selezionare Fatto.
- In Concedi l'opzione Blocca l'accesso è l'unica opzione disponibile. L'accesso viene bloccato quando vengono visualizzati i livelli di rischio specificati.
- I criteri possono essere salvati in modalità solo report, consentendo agli amministratori di stimare gli effetti oppure i criteri vengono applicati attivando i criteri.
- Selezionare Crea per completare i criteri.
Rollback
Se si vuole eseguire il rollback di questa funzionalità, è possibile eliminare o disabilitare i criteri creati.
Log di accesso
I log di accesso vengono usati per esaminare il modo in cui vengono applicati i criteri per le entità servizio o gli effetti previsti dei criteri quando si usa la modalità solo report.
- Passare a Identity>Monitoring & health>Sign-in logs>Service principal sign-ins (Accessi entità servizio).
- Selezionare una voce di log e scegliere la scheda Accesso condizionale per visualizzare le informazioni di valutazione.
Motivo dell'errore quando l'accesso condizionale blocca un'entità servizio: "L'accesso è stato bloccato a causa dei criteri di accesso condizionale".
Modalità solo report
Per visualizzare i risultati di un criterio basato sulla posizione, fare riferimento alla scheda Report-only degli eventi nel report Di accesso oppure usare la cartella di lavoro Informazioni dettagliate e report per l'accesso condizionale.
Per visualizzare i risultati di un criterio basato sul rischio, fare riferimento alla scheda Report-only degli eventi nel report Di accesso.
Riferimento
Ricerca dell'objectID
È possibile ottenere l'objectID dell'entità servizio da Microsoft Entra Enterprise Applications. Non è possibile usare l'ID oggetto in Microsoft Entra Registrazioni app. Questo identificatore è l'ID oggetto della registrazione dell'app, non dell'entità servizio.
- Passare a Applicazioni aziendali di>identità>, trovare l'applicazione registrata.
- Nella scheda Panoramica copiare l'ID oggetto dell'applicazione. Questo identificatore è l'univoco dell'entità servizio, usato dai criteri di accesso condizionale per trovare l'app chiamante.
Microsoft Graph
Json di esempio per la configurazione basata sulla posizione usando l'endpoint beta di Microsoft Graph.
{
"displayName": "Name",
"state": "enabled OR disabled OR enabledForReportingButNotEnforced",
"conditions": {
"applications": {
"includeApplications": [
"All"
]
},
"clientApplications": {
"includeServicePrincipals": [
"[Service principal Object ID] OR ServicePrincipalsInMyTenant"
],
"excludeServicePrincipals": [
"[Service principal Object ID]"
]
},
"locations": {
"includeLocations": [
"All"
],
"excludeLocations": [
"[Named location ID] OR AllTrusted"
]
}
},
"grantControls": {
"operator": "and",
"builtInControls": [
"block"
]
}
}