Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Documentazione sull'accesso
condizionale di Azure AD
Informazioni su come configurare e testare l'accesso condizionale di Azure Active
Directory
e PANORAMICA
p CONCETTO
p CONCETTO
c GUIDA PRATICA
p CONCETTO
I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then: se
un utente vuole accedere a una risorsa, deve completare un'azione. Esempio: un
responsabile delle retribuzioni vuole accedere all'applicazione payroll ed è necessario
eseguire l'autenticazione a più fattori per accedervi.
Usare i criteri di accesso condizionale per applicare i controlli di accesso corretti quando
necessario per proteggere l'organizzazione.
) Importante
Segnali comuni
I segnali comuni su cui si basa l'accesso condizionale per stabilire i criteri includono i
seguenti:
Decisioni comuni
Blocca accesso
Decisione più restrittiva
Concedere l'accesso
Decisione meno restrittiva, può comunque richiedere una o più opzioni
seguenti:
Richiedere l'autenticazione a più fattori
Richiedere che i dispositivi siano contrassegnati come conformi
Richiedi dispositivo aggiunto ad Azure AD ibrido
Richiedere app client approvata
Richiedi criteri di protezione delle pp (anteprima)
Richiesta dell'autenticazione a più fattori per gli utenti con ruoli amministrativi
Richiesta dell'autenticazione a più fattori per le attività di gestione di Azure
Blocco degli accessi per gli utenti che provano a usare protocolli di autenticazione
legacy
Richiesta di percorsi attendibili per la registrazione dell'autenticazione a più fattori
di Azure AD
Blocco o concessione dell'accesso da specifiche posizioni
Blocco dei comportamenti di accesso rischiosi
Obbligo di usare dispositivi gestiti dall'organizzazione per specifiche applicazioni
Requisiti relativi alle licenze
L'uso di questa funzionalità richiede Azure AD Premium P1 licenze. Per trovare la licenza
corretta per le proprie esigenze, vedere il confronto delle funzionalità di Azure AD
disponibili a livello generale .
Anche i clienti con licenze Premium di Microsoft 365 Business possono accedere alle
funzionalità di accesso condizionale.
I criteri basati sui rischi richiedono l'accesso a Identity Protection, una funzionalità di
Azure AD P2.
Per altri prodotti e funzionalità che possono interagire con i criteri di accesso
condizionale sono richieste licenze appropriate.
Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono
disabilitati o eliminati automaticamente, in modo che i clienti possano eseguire la
migrazione da criteri di accesso condizionale senza una modifica improvvisa del
comportamento di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati,
ma non più aggiornati.
Zero Trust
Questa funzionalità consente alle organizzazioni di allineare le proprie identità ai tre
principi guida di un'architettura di Zero Trust:
Verifica esplicita
Usare privilegi minimi
Presunzione di violazione
Per altre informazioni su Zero Trust e altri modi per allineare l'organizzazione ai principi
guida, vedere Zero Trust Guidance Center.
Passaggi successivi
Creazione dettagliata di criteri di accesso condizionale
Pianificare la distribuzione dell'accesso condizionale
Informazioni su Identity Protection
Informazioni su Microsoft Defender for Cloud Apps
Informazioni su Microsoft Intune
Avvio rapido: Richiedere l'accettazione
di condizioni per l'utilizzo prima
dell'accesso alle app cloud
Articolo • 01/06/2023
Prerequisiti
Per completare lo scenario in questa guida introduttiva, sono necessari gli elementi
seguenti:
6. Nella casella di testo Nome digitare My TOU (Condizioni per l'utilizzo personali).
9. Nella casella di testo Nome visualizzato digitare My TOU (Condizioni per l'utilizzo
personali).
10. Per Richiedi agli utenti di espandere le Condizioni d'uso selezionare Attivata.
11. Per Applica con i modelli di criteri di accesso condizionale selezionare Criteri
personalizzati.
Portale di Azure come segnaposto per un'app cloud che richiede l'accettazione
delle condizioni per l'utilizzo.
Utente di esempio per testare i criteri di accesso condizionale.
Per testare i criteri, provare ad accedere al portale di Azure usando l'account di test.
Verrà visualizzata una finestra di dialogo che richiede di accettare le condizioni per
l'utilizzo.
Pulire le risorse
Quando non sono più necessari, eliminare l'utente di test e i criteri di accesso
condizionale:
Passaggi successivi
Richiedere Multi-Factor Authentication per app specifiche
Esercitazione: Proteggere gli eventi di
accesso degli utenti con Azure AD
Multi-Factor Authentication
Articolo • 24/04/2023
) Importante
Prerequisiti
Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:
Un tenant di Azure AD funzionante con licenze di valutazione o di Azure AD
Premium P1 abilitate.
Se necessario, crearne uno gratuitamente .
Un account non amministratore con una password nota. Per questa esercitazione è
stato creato un account di questo tipo, denominato testuser. In questa
esercitazione viene testata l'esperienza dell'utente finale per la configurazione e
l'uso di Azure AD Multi-Factor Authentication.
Per informazioni sulla creazione di un account utente, vedere Aggiungere o
eliminare utenti con Azure Active Directory.
I criteri di accesso condizionale possono essere applicati a utenti, gruppi e app specifici.
L'obiettivo è proteggere l'organizzazione fornendo al tempo stesso i livelli di accesso
corretti agli utenti che ne hanno bisogno.
Poiché non sono ancora selezionate app, l'elenco di app (mostrato nel passaggio
successivo) viene aperto automaticamente.
Suggerimento
3. Esplorare l'elenco degli eventi di accesso disponibili che è possibile usare. Per
questa esercitazione, selezionare Gestione di Microsoft Azure in modo che il
criterio si applichi agli eventi di accesso al portale di Azure. Quindi scegliere
Seleziona.
Configurare l'autenticazione a più fattori per l'accesso
Configurare quindi i controlli di accesso. I controlli di accesso consentono di definire i
requisiti per concedere l'accesso a un utente. Potrebbe essere necessario usare un'app
client approvata o un dispositivo aggiunto ad Azure AD ibrido.
Per prima cosa, accedere a una risorsa che non richiede l'autenticazione a più fattori:
L'uso di una modalità privata per il browser impedisce alle credenziali esistenti di
influire su questo evento di accesso.
Se si tratta della prima istanza dell'accesso con questo account, viene richiesto di
modificare la password. Non viene tuttavia richiesto di configurare o usare
l'autenticazione a più fattori.
Pulire le risorse
Se non si vuole più usare i criteri di accesso condizionale configurati come parte di
questa esercitazione, eliminare i criteri seguendo questa procedura:
Commenti e suggerimenti
Was this page helpful? ツ Sì ト No
I modelli di accesso condizionale offrono un metodo pratico per distribuire nuovi criteri
allineati alle raccomandazioni Microsoft. Questi modelli sono progettati per fornire la
protezione massima allineata ai criteri comunemente usati in vari tipi e posizioni dei
clienti.
Proteggere le basi
Zero Trust
Lavoro remoto
Proteggere gli amministratori
Minacce emergenti
Tutti
) Importante
I criteri del modello di accesso condizionale escluderanno solo l'utente che crea il
criterio dal modello. Se l'organizzazione deve escludere altri account, sarà possibile
modificare i criteri dopo la creazione. Passare semplicemente a portale di Azure>
Criterio diaccesso> condizionaledi Sicurezza>di Azure Active Directory>,
selezionare i criteri per aprire l'editor e modificare gli utenti e i gruppi esclusi per
selezionare gli account da escludere.
Per impostazione predefinita, ogni criterio viene creato in modalità solo report, si
consiglia alle organizzazioni di testare e monitorare l'utilizzo, per garantire il
risultato previsto, prima di attivare ogni criterio.
Esclusioni di utenti
I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, l'account amministrativo per l'accesso di emergenza può essere
usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare
l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a un determinato utente. Vengono in genere
usati dai servizi back-end che consentono l'accesso a livello di codice alle
applicazioni, ma vengono usati anche per accedere ai sistemi per scopi
amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi
poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Passaggi successivi
Simulare il comportamento di accesso usando lo strumento What If per l'accesso
condizionale.
Usare la modalità solo report per l'accesso condizionale per determinare i risultati
delle nuove decisioni relative ai criteri.
Creazione di un criterio di accesso
condizionale
Articolo • 18/03/2023
In che modo un'organizzazione crea questi criteri? Che cosa è necessario? Come
vengono applicate?
Assegnazioni
La parte assegnazioni controlla chi, cosa e dove dei criteri di accesso condizionale.
Utenti e gruppi
Gli utenti e i gruppi assegnano chi includerà o escluderà i criteri. Questa assegnazione
può includere tutti gli utenti, gruppi specifici di utenti, ruoli della directory o utenti guest
esterni.
Condizioni
Un criterio può contenere più condizioni.
Rischio di accesso
Per le organizzazioni con Azure AD Identity Protection, i rilevamenti dei rischi generati
possono influire sui criteri di accesso condizionale.
Percorsi
I dati sulla posizione vengono forniti dai dati di georilevazione IP. Gli amministratori
possono scegliere di definire posizioni e scegliere di contrassegnare alcuni come
attendibili come quelli per i percorsi di rete dell'organizzazione.
App client
Il software che l'utente sta impiegando per accedere all'app cloud. Ad esempio,
"Browser" e "App per dispositivi mobili e client desktop". Per impostazione predefinita,
tutti i criteri di accesso condizionale appena creati verranno applicati a tutti i tipi di app
client anche se la condizione delle app client non è configurata.
Il comportamento della condizione delle app client è stato aggiornato nell'agosto 2020.
Se sono presenti criteri di accesso condizionale, rimarranno invariati. Tuttavia, se si
seleziona un criterio esistente, l'interruttore configura è stato rimosso e vengono
selezionate le app client a cui si applica il criterio.
Controlli di accesso
La parte relativa ai controlli di accesso dei criteri di accesso condizionale controlla la
modalità di applicazione di un criterio.
Concedi
Grant fornisce agli amministratori un mezzo di imposizione dei criteri in cui possono
bloccare o concedere l'accesso.
Blocca accesso
Concedere l'accesso
Il controllo grant può attivare l'imposizione di uno o più controlli.
Gli amministratori possono scegliere di richiedere uno dei controlli precedenti o di tutti i
controlli selezionati usando le opzioni seguenti. L'impostazione predefinita per più
controlli consiste nel richiedere tutti.
sessione
I controlli sessione possono limitare l'esperienza
Criteri semplici
Un criterio di accesso condizionale deve contenere almeno quanto segue per essere
applicato:
Passaggi successivi
Creare criteri di accesso condizionale
Nessuno
Nessun utente selezionato
tutti gli utenti
Tutti gli utenti presenti nella directory, inclusi i guest B2B.
Selezionare Utenti e gruppi
Utenti guest o esterni
Questa selezione offre diverse opzioni che possono essere usate per
indirizzare i criteri di accesso condizionale a tipi di utente guest o esterni
specifici e tenant specifici contenenti tali tipi di utenti. Esistono diversi tipi di
utenti guest o esterni che possono essere selezionati e possono essere
effettuate più selezioni:
Utenti guest di collaborazione B2B
Utenti del membro di collaborazione B2B
Utenti di connessione diretta B2B
Utenti guest locali, ad esempio qualsiasi utente appartenente al tenant
home con l'attributo di tipo utente impostato su guest
Utenti del provider di servizi, ad esempio un provider di soluzioni cloud
(CSP)
Altri utenti esterni o utenti non rappresentati dagli altri tipi di utente
selezionati
È possibile specificare uno o più tenant per i tipi di utente selezionati oppure
specificare tutti i tenant.
Ruoli della directory
Consente agli amministratori di selezionare ruoli di directory predefiniti di
Azure AD specifici usati per determinare l'assegnazione dei criteri. Ad
esempio, le organizzazioni possono creare criteri più restrittivi per gli utenti
assegnati al ruolo Amministratore globale. Altri tipi di ruolo non sono
supportati, inclusi ruoli con ambito unità amministrativa e ruoli personalizzati.
Utenti e gruppi
Consente la destinazione di set specifici di utenti. Ad esempio, le
organizzazioni possono selezionare un gruppo che contiene tutti i membri
del reparto hr quando un'app HR è selezionata come app cloud. Un gruppo
può essere qualsiasi tipo di gruppo di utenti in Azure AD, inclusi i gruppi di
sicurezza e distribuzione dinamici o assegnati. I criteri verranno applicati agli
utenti e ai gruppi annidati.
) Importante
2 Avviso
Se gli utenti o i gruppi sono membri di oltre 2048 gruppi, l'accesso può essere
bloccato. Questo limite si applica sia all'appartenenza diretta sia al gruppo
annidato.
2 Avviso
Le opzioni seguenti sono disponibili per escludere quando si creano criteri di accesso
condizionale.
Per altre informazioni, vedere l'articolo Accesso condizionale per le identità del carico di
lavoro.
Passaggi successivi
Accesso condizionale: App o azioni cloud
Criteri comuni di accesso condizionale
Accesso condizionale: app, azioni e
contesto di autenticazione cloud
Articolo • 14/03/2023
Office 365
Azure Analysis Services
Azure DevOps
Esplora dati di Azure
Hub eventi di Azure
Bus di servizio di Azure
Azure SQL Database e Azure Synapse Analytics
Common Data Service
Microsoft Application Insights Analytics
Microsoft Azure Information Protection
Gestione di Microsoft Azure
Gestione delle sottoscrizioni di Microsoft Azure
Microsoft Defender for Cloud Apps
Portale di controllo di accesso di Microsoft Commerce Tools
Servizio di autenticazione di Microsoft Commerce Tools
Microsoft Forms
Microsoft Intune
Registrazione di Microsoft Intune
Microsoft Planner
Microsoft Power Apps
Microsoft Power Automate
Microsoft Search in Bing
Microsoft StaffHub
Microsoft Stream
Microsoft Teams
Exchange Online
SharePoint
Yammer
Office Delve
Office Sway
Outlook Groups
Servizio Power BI
Project Online
Skype for Business Online
Rete privata virtuale (VPN)
Windows Defender ATP
) Importante
Office 365
Microsoft 365 offre servizi di produttività e collaborazione basati sul cloud, ad esempio
Exchange, SharePoint e Microsoft Teams. I servizi cloud di Microsoft 365 sono integrati
profondamente per garantire esperienze fluide e collaborative. Questa integrazione può
causare confusione quando si creano criteri perché alcune app, come ad esempio
Microsoft Teams, presentano dipendenze da altre, quali SharePoint o Exchange.
La suite di Office 365 consente di indirizzare tutti questi servizi in una sola volta. È
consigliabile usare la nuova suite di Office 365 anziché indirizzare singole app cloud per
evitare problemi con le dipendenze del servizio.
Gli amministratori possono escludere l'intera suite di Office 365 o le app cloud
specifiche Office 365 dai criteri di accesso condizionale.
Exchange Online
Servizio di ricerca di Microsoft 365
Microsoft Forms
Microsoft Planner (ProjectWorkManagement)
Microsoft Stream
Microsoft Teams
Microsoft To-Do
Microsoft Flow
portale Microsoft Office 365
Applicazione client di Microsoft Office
Microsoft To-Do WebApp
Servizi di lavagna Microsoft
Office Delve
Office Online
OneDrive
Power Apps
Power Automate
Portale di conformità alla sicurezza &
SharePoint Online
Skype for Business Online
API Amministrazione tenant di Skype e Teams
Sway
Yammer
7 Nota
Suggerimento
Altre applicazioni
Gli amministratori possono aggiungere qualsiasi applicazione registrata di Azure AD ai
criteri di accesso condizionale. Queste applicazioni possono includere:
7 Nota
Alcune applicazioni non vengono visualizzate nella selezione. L'unico modo per
includere queste applicazioni in un criterio di accesso condizionale consiste
nell'includere tutte le app cloud.
Tutte le app cloud
L'applicazione di criteri di accesso condizionale a Tutte le app cloud comporta
l'applicazione dei criteri per tutti i token rilasciati ai siti e ai servizi Web. Questa opzione
include applicazioni a cui non è possibile applicare individualmente un criterio di
accesso condizionale, ad esempio Azure Active Directory.
Azioni utente
Le azioni dell'utente sono attività che possono essere eseguite da un utente.
Attualmente l'accesso condizionale supporta due azioni utente:
Contesto di autenticazione
Il contesto di autenticazione può essere usato per proteggere ulteriormente i dati e le
azioni nelle applicazioni. Queste applicazioni possono essere applicazioni personalizzate,
applicazioni line-of-business personalizzate, applicazioni come SharePoint o applicazioni
protette da Microsoft Defender for Cloud Apps.
È possibile combinare più condizioni per creare criteri di accesso condizionale con
granularità fine e specifici.
Rischio di accesso
Per i clienti con accesso a Identity Protection, è possibile valutare il rischio di accesso
come parte di un criterio di accesso condizionale. Un rischio di accesso rappresenta la
probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal
proprietario dell'identità. Altre informazioni sul rischio di accesso sono disponibili negli
articoli , Informazioni su rischio e procedura: Configurare e abilitare i criteri di rischio.
Rischio utente
Per i clienti con accesso a Identity Protection, il rischio utente può essere valutato come
parte di un criterio di accesso condizionale. Il rischio utente rappresenta la probabilità
che un'identità o un account sia compromesso. Altre informazioni sul rischio utente
sono disponibili negli articoli , Cosa è rischio e Procedura: Configurare e abilitare i criteri
di rischio.
Android
iOS
Windows
macOS
Linux
) Importante
Percorsi
Quando si configura la posizione come condizione, le organizzazioni possono scegliere
di includere o escludere alcune località. Queste posizioni denominate possono includere
le informazioni di rete IPv4 o IPv6 pubbliche, il paese o l'area geografica o anche aree
sconosciute che non mappano a paesi o aree specifiche. Solo gli intervalli IP possono
essere contrassegnati come località attendibile.
App client
Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati
verranno applicati a tutti i tipi di app client, anche se la condizione per le app client non
è configurata.
7 Nota
Il comportamento della condizione delle app client è stato aggiornato nel mese di
agosto 2020. Se sono presenti criteri di accesso condizionale esistenti, rimarranno
invariati. Tuttavia, se si fa clic su un criterio esistente, l'interruttore configura è stato
rimosso e le app client a cui si applica il criterio sono selezionate.
) Importante
Gli accessi dai client di autenticazione legacy non supportano l'autenticazione a più
fattori e non passano le informazioni sullo stato del dispositivo ad Azure AD,
pertanto verranno bloccate dai controlli di concessione di accesso condizionale, ad
esempio la richiesta di MFA o dispositivi conformi. Se si dispone di account che
devono usare l'autenticazione legacy, è necessario escludere tali account dai criteri
o configurare il criterio per applicare solo ai client di autenticazione moderni.
Browser supportati
Questa impostazione funziona con tutti i browser. Tuttavia, per soddisfare i criteri di un
dispositivo, ad esempio un requisito di dispositivo conforme, sono supportati i sistemi
operativi e i browser seguenti. I sistemi operativi e i browser che hanno esaurito il
supporto mainstream non sono visualizzati in questo elenco:
7 Nota
Edge 85+ richiede che l'utente sia connesso al browser per passare correttamente
l'identità del dispositivo. In caso contrario, si comporta come Chrome senza
l'estensione degli account. Questo accesso potrebbe non verificarsi
automaticamente in uno scenario di aggiunta ad Azure AD ibrido.
Supporto di Chrome
Per il supporto di Chrome in Windows 10 Creators Update (versione 1703) o versioni
successive, installare le estensioni di Windows Account o Office . Queste estensioni
sono necessarie quando un criterio di accesso condizionale richiede dettagli specifici del
dispositivo.
Per il supporto di Chrome in Windows 8.1 e 7, creare la chiave del Registro di sistema
seguente:
Percorso
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
Nome 1
Tipo REG_SZ (string)
Dati {"pattern":https://device.login.microsoftonline.com"";"filter":{"ISSUER":
{"CN":"MS-Organization-Access"}}}
Questa impostazione interessa i tentativi di accesso eseguiti dalle app per dispositivi
mobili e client desktop seguenti:
MFA e criteri relativi alle applicazioni. I criteri basati su Qualsiasi Android e iOS
dispositivo non sono supportati. servizio app
Mie app
Microsoft Teams Services : questa app client controlla tutti i Microsoft Windows 10,
servizi che supportano Microsoft Teams e tutte le relative app Teams Windows 8.1,
client - Windows Desktop, iOS, Android, WP e client Web Windows 7, iOS,
Android e
macOS
App client Servizio di Piattaforma
destinazione
App di Office 2016, Office 2013 (con autenticazione moderna), SharePoint Windows 8.1,
sincronizzazione OneDrive client Windows 7
App di Office 2016, app di Office universale, Office 2013 (con SharePoint Windows 10
autenticazione moderna), sincronizzazione OneDrive client Online
Outlook 2016, Outlook 2013 (con l'autenticazione moderna), Exchange Windows 8.1,
Skype for Business (con l'autenticazione moderna) Online Windows 7
Altri client
Selezionando Altri client è possibile specificare una condizione che influisce sulle app
che usano l'autenticazione di base con protocolli di posta elettronica come IMAP, MAPI,
POP, SMTP e le app Office meno recenti che non usano l'autenticazione moderna.
La condizione dello stato del dispositivo è stata usata per escludere i dispositivi aggiunti
ad Azure AD ibrido e/o i dispositivi contrassegnati come conformi a un criterio di
conformità Microsoft Intune dai criteri di accesso condizionale di un'organizzazione.
Ad esempio, tutti gli utenti che accedono all'app cloud di Gestione di Microsoft Azure ,
incluso Tutti gli stati del dispositivo esclusi device hybrid Azure AD e Device
contrassegnati come conformi e per i controlli Access, Block.
In questo esempio viene creato un criterio che consente solo l'accesso a Microsoft
Azure Management dai dispositivi aggiunti ad Azure AD ibridi o ai dispositivi
contrassegnati come conformi.
Lo scenario precedente può essere configurato usando Tutti gli utenti che accedono
all'app cloud di Gestione di Microsoft Azure con Filtro per i dispositivi in modalità di
esclusione usando la regola seguente device.trustType -eq "ServerAD" -or
device.isCompliant -eq True e per i controlli Access, Block.
In questo esempio viene creato un criterio che blocca l'accesso all'app cloud di
Gestione di Microsoft Azure da dispositivi non gestiti o non conformi.
) Importante
Lo stato del dispositivo e i filtri per i dispositivi non possono essere usati insieme
nei criteri di accesso condizionale. I filtri per i dispositivi offrono una destinazione
più granulare, incluso il supporto per le informazioni sullo stato del dispositivo
tramite la trustType proprietà e isCompliant .
Passaggi successivi
Accesso condizionale: concessione
Blocca accesso
Il controllo per bloccare l'accesso considera le assegnazioni e impedisce l'accesso in
base alla configurazione dei criteri di accesso condizionale.
Windows Hello for Business soddisfa il requisito per l'autenticazione a più fattori nei
criteri di accesso condizionale.
Supporta solo i dispositivi Windows 10+, iOS, Android e macOS registrati con
Azure AD e registrati con Intune.
Considera Microsoft Edge in modalità InPrivate un dispositivo non conforme.
7 Nota
In Windows 7, iOS, Android, macOS e alcuni Web browser di terze parti Azure AD
identifica il dispositivo usando un certificato client di cui viene effettuato il
provisioning quando il dispositivo viene registrato con Azure AD. Quando accede
per la prima volta tramite il browser, all'utente viene richiesto di selezionare il
certificato. Per continuare a usare il browser, è necessario che l'utente selezioni il
certificato.
È possibile usare l'app Microsoft Defender per endpoint con i criteri dell'app client
approvati in Intune per impostare i criteri di conformità del dispositivo su Criteri di
accesso condizionale. Non è necessaria alcuna esclusione per l'app Microsoft Defender
per endpoint durante la configurazione dell'accesso condizionale. Anche se Microsoft
Defender per endpoint in Android e iOS (ID app dd47d17a-3194-4d86-bfd5-
c6ae6f5651e3) non è un'app approvata, ha l'autorizzazione per segnalare il
comportamento di sicurezza del dispositivo. Questa autorizzazione consente il flusso
delle informazioni di conformità all'accesso condizionale.
Quando si usa il flusso OAuth del codice dispositivo, il controllo di concessione richiesto
per il dispositivo gestito o una condizione di stato del dispositivo non è supportato. Ciò
è dovuto al fatto che il dispositivo che esegue l'autenticazione non può fornire lo stato
del dispositivo al dispositivo che fornisce un codice. Inoltre, lo stato del dispositivo nel
token è bloccato per il dispositivo che esegue l'autenticazione. Usare invece il controllo
Richiedi autenticazione a più fattori .
Le app client seguenti supportano questa impostazione, questo elenco non è esaustivo
ed è soggetto a modifiche:
Osservazioni:
Per esempi di configurazione , vedere Richiedi app client approvate per l'accesso alle
app cloud con accesso condizionale .
Le applicazioni devono avere l'SDK di Intune con la garanzia dei criteri implementata e
devono soddisfare determinati altri requisiti per supportare questa impostazione. Gli
sviluppatori che implementano applicazioni con l'SDK di Intune possono trovare altre
informazioni su questi requisiti nella documentazione di SDK.
Le app client seguenti sono confermate per supportare questa impostazione, questo
elenco non è esaustivo ed è soggetto a modifiche:
Questo elenco non è tutto incluso, se l'app non è presente in questo elenco, controllare
con il fornitore dell'applicazione per confermare il supporto.
7 Nota
Kaizala, Skype for Business e Visio non supportano la concessione dei criteri
Richiedi protezione app. Se è necessario che queste app funzionino, usare
esclusivamente l'opzione Richiedi app approvate . L'uso della clausola "o" tra le
due concessioni non funzionerà per queste tre applicazioni.
Le app per i criteri di protezione delle app supportano la funzionalità di gestione delle
applicazioni per dispositivi mobili Intune con protezione dei criteri.
Supporta solo iOS e Android per la condizione della piattaforma del dispositivo.
Richiede un'app broker per registrare il dispositivo. In iOS l'app broker è Microsoft
Authenticator. In Android l'app broker è Portale aziendale Intune.
Vedere Richiedi criteri di protezione delle app e un'app client approvata per l'accesso
alle app cloud con accesso condizionale per esempi di configurazione.
Quando un utente viene richiesto di modificare una password, sarà prima necessario
completare l'autenticazione a più fattori. Assicurarsi che tutti gli utenti siano registrati
per l'autenticazione a più fattori, quindi vengono preparati nel caso in cui venga rilevato
il rischio per il proprio account.
2 Avviso
Gli utenti devono essere registrati in precedenza per l'autenticazione a più fattori
prima di attivare i criteri di rischio utente.
Il criterio deve essere assegnato a "tutte le app cloud". Questo requisito impedisce
a un utente malintenzionato di usare un'app diversa per modificare la password
dell'utente e reimpostare il rischio dell'account accedendo a un'app diversa.
Richiedere la modifica della password non può essere usata con altri controlli, ad
esempio la richiesta di un dispositivo conforme.
Il controllo delle modifiche della password può essere usato solo con la condizione
di assegnazione utente e gruppo, la condizione di assegnazione dell'app cloud
(che deve essere impostata su "tutti") e sulle condizioni di rischio utente.
Per altre informazioni sull'uso e sulla configurazione delle restrizioni imposte dalle app,
vedere gli articoli seguenti:
Abilitazione dell'accesso limitato con SharePoint Online
Abilitazione dell'accesso limitato con Exchange Online
Frequenza di accesso
La frequenza di accesso definisce il periodo di tempo prima che all'utente venga
richiesto di ripetere l'accesso quando tenta di accedere a una risorsa. Gli amministratori
possono selezionare un periodo di tempo (ore o giorni) o scegliere di richiedere la
riutenticazione ogni volta.
L'impostazione della frequenza di accesso funziona con le app che hanno implementato
i protocolli OAUTH2 o OIDC secondo gli standard. La maggior parte delle app native
Microsoft per Windows, Mac e Mobile, incluse le applicazioni Web seguenti, seguono
l'impostazione.
L'anteprima funziona solo per scenari specifici. Per altre informazioni, vedere l'articolo
Accesso condizionale: Protezione token (anteprima) .
Passaggi successivi
Criteri comuni di accesso condizionale
L'accesso condizionale viene ampiamente usato dai nostri clienti per garantire la
sicurezza applicando i controlli di accesso corretti nelle circostanze giuste. Tuttavia, una
delle sfide legate alla distribuzione di un criterio di accesso condizionale
nell'organizzazione consiste nel determinare l'impatto per gli utenti finali. Può essere
difficile prevedere il numero e i nomi degli utenti interessati da iniziative di distribuzione
comuni, ad esempio bloccare l'autenticazione legacy, richiedere l'autenticazione a più
fattori per una popolazione di utenti o implementare criteri di rischio di accesso.
La modalità solo report è un nuovo stato dei criteri di accesso condizionale che
consente agli amministratori di valutare l'impatto dei criteri di accesso condizionale
prima di abilitarli nell'ambiente in uso. Con il rilascio della modalità solo report:
https://www.youtube-nocookie.com/embed/NZbPYfhb5Kc
2 Avviso
Risultato Descrizione
Solo Tutte le condizioni dei criteri configurate, i controlli di concessione non interattivi
report: richiesti e i controlli sessione sono stati soddisfatti. Ad esempio, un requisito di
Operazione autenticazione a più fattori viene soddisfatto da un'attestazione MFA già presente
riuscita nel token oppure un criterio del dispositivo conforme viene soddisfatto eseguendo
un controllo del dispositivo in un dispositivo conforme.
Solo Tutte le condizioni dei criteri configurate sono state soddisfatte, ma non tutti i
report: controlli di concessione non interattivi richiesti o i controlli sessione sono stati
errore soddisfatti. Ad esempio, un criterio si applica a un utente in cui è configurato un
controllo di blocco oppure un dispositivo non riesce a rispettare i criteri del
dispositivo.
Solo Tutte le condizioni dei criteri configurate sono state soddisfatte, ma l'azione
report: dell'utente deve soddisfare i controlli di concessione o i controlli sessione necessari.
azione Con la modalità solo report, all'utente non viene richiesto di soddisfare i controlli
dell'utente richiesti. Ad esempio, agli utenti non vengono richiesti problemi di autenticazione a
richiesta più fattori o condizioni per l'utilizzo.
Solo Non tutte le condizioni dei criteri configurate sono state soddisfatte. Ad esempio,
report: non l'utente viene escluso dal criterio o il criterio si applica solo a determinate posizioni
applicato denominate attendibili.
Cartella di lavoro di Insights per l'accesso
condizionale
Gli amministratori hanno la possibilità di creare più criteri in modalità solo report, quindi
è necessario comprendere sia l'impatto individuale di ogni criterio che l'impatto
combinato di più criteri valutati insieme. La nuova cartella di lavoro di Informazioni
dettagliate sull'accesso condizionale consente agli amministratori di visualizzare le query
di accesso condizionale e monitorare l'impatto di un criterio per un determinato
intervallo di tempo, un set di applicazioni e utenti specificati.
Passaggi successivi
Configurare la modalità solo report in un criterio di accesso condizionale
Che cosa sono le dipendenze del
servizio nell'accesso condizionale di
Azure Active Directory?
Articolo • 18/03/2023
Suggerimento
L'uso dell'app Office 365 avrà come destinazione tutte le app di Office per evitare
problemi con le dipendenze del servizio nello stack di Office.
L'applicazione dei criteri con associazione anticipata significa che un utente deve
soddisfare i criteri del servizio dipendente prima di accedere all'app chiamante. Ad
esempio, un utente deve soddisfare i criteri di SharePoint prima di accedere a MS
Teams.
L'applicazione dei criteri con associazione tardiva si verifica dopo che l'utente
accede all'app chiamante. L'applicazione viene posticipata a quando si chiamano le
richieste dell'app, un token per il servizio downstream. Ad esempio, MS Teams
accede a Planner e Office.com l'accesso a SharePoint.
Il diagramma seguente illustra le dipendenze del servizio MS Teams. Le frecce a tinta
unita indicano l'imposizione con associazione anticipata la freccia tratteggiata per
Planner indica l'imposizione con associazione tardiva.
Come procedura consigliata, è consigliabile impostare criteri comuni tra app e servizi
correlati, quando possibile. Un comportamento di sicurezza coerente offre un'esperienza
utente ottimale. Ad esempio, l'impostazione di criteri comuni in Exchange Online,
SharePoint Online, Microsoft Teams e Skype for business riduce significativamente le
richieste impreviste che possono derivare da criteri diversi applicati ai servizi
downstream.
Un ottimo modo per eseguire criteri comuni con le applicazioni nello stack di Office
consiste nell'usare l'app Office 365 invece di scegliere come destinazione singole
applicazioni.
Nella tabella seguente sono elencate altre dipendenze del servizio, in cui le app client
devono soddisfare. Questo elenco non è esaustivo.
Azure Data Lake Gestione di Microsoft Azure (portale e API) Associazione anticipata
Passaggi successivi
Per informazioni su come implementare l'accesso condizionale nell'ambiente in uso,
vedere Pianificare la distribuzione dell'accesso condizionale in Azure Active Directory.
Accesso condizionale: Filtro per le
applicazioni (anteprima)
Articolo • 17/03/2023
I filtri dell'applicazione sono una nuova funzionalità per l'accesso condizionale che
consente alle organizzazioni di contrassegnare le entità servizio con attributi
personalizzati. Questi attributi personalizzati vengono quindi aggiunti ai criteri di
accesso condizionale. I filtri per le applicazioni vengono valutati al runtime di rilascio dei
token, una domanda comune è se le app vengono assegnate in fase di esecuzione o in
fase di configurazione.
) Importante
Assegnare ruoli
Gli attributi di sicurezza personalizzati sono sensibili alla sicurezza e possono essere
gestiti solo dagli utenti delegati. Anche gli amministratori globali non dispongono delle
autorizzazioni predefinite per gli attributi di sicurezza personalizzati. Uno o più dei ruoli
seguenti devono essere assegnati agli utenti che gestiscono o segnalano questi attributi.
Lettore di assegnazione degli Leggere chiavi e valori degli attributi di sicurezza personalizzati
attributi per gli oggetti Azure AD supportati.
Nome del ruolo Descrizione
7 Nota
Passaggi successivi
Criteri comuni di accesso condizionale
La protezione dei token (talvolta definita associazione di token nel settore) tenta di
ridurre gli attacchi usando il furto di token assicurando che un token sia utilizzabile solo
dal dispositivo previsto. Quando un utente malintenzionato è in grado di rubare un
token, eseguendo il hijacking o la riproduzione, può rappresentare la vittima fino alla
scadenza del token o revocarlo. Il furto di token è pensato come un evento
relativamente raro, ma il danno da esso può essere significativo.
La protezione dei token crea un legame crittografico sicuro tra il token e il dispositivo
(segreto client) a cui viene rilasciato. Senza il segreto client, il token associato è inutile.
Quando un utente registra un Windows 10 o un dispositivo più recente in Azure AD,
l'identità primaria è associata al dispositivo. Questa connessione significa che qualsiasi
token di accesso rilasciato è associato al dispositivo riducendo significativamente la
probabilità di attacchi di furto e riproduzione.
) Importante
Con questa anteprima si offre la possibilità di creare criteri di accesso condizionale per
richiedere la protezione dei token per i token di accesso (token di aggiornamento) per
servizi specifici. Supportiamo la protezione dei token per i token di accesso in Accesso
condizionale per le applicazioni desktop che accedono a Exchange Online e SharePoint
Online nei dispositivi Windows.
7 Nota
Limitazioni note
Gli utenti esterni (Azure AD B2B) non sono supportati e non devono essere inclusi
nei criteri di accesso condizionale.
Le applicazioni seguenti non supportano l'accesso usando i flussi di token protetti
e gli utenti vengono bloccati quando si accede a Exchange e SharePoint:
Power BI Desktop client
Moduli di PowerShell che accedono agli ambiti exchange, SharePoint o
Microsoft Graph gestiti da Exchange o SharePoint
Estensione PowerQuery per Excel
Estensioni a Visual Studio Code che accedono a Exchange o SharePoint
Visual Studio
I dispositivi client Windows seguenti non sono supportati:
Windows Server
Surface Hub
Distribuzione
Per gli utenti, la distribuzione di criteri di accesso condizionale per applicare la
protezione dei token deve essere invisibile quando si usano piattaforme client
compatibili su dispositivi registrati e applicazioni compatibili.
Questo processo consente di valutare la compatibilità del client e dell'app degli utenti
per l'applicazione della protezione dei token.
2 Avviso
I criteri di accesso condizionale devono essere configurati solo per queste
applicazioni. La selezione del gruppo di applicazioni Office 365 può
causare errori imprevisti. Si tratta di un'eccezione alla regola generale che il
gruppo di applicazioni Office 365 deve essere selezionato in un criterio di
accesso condizionale.
b. Scegliere Seleziona.
7. In Condizioni:
a. In Piattaforme dispositivo:
i. Impostare Configura su Sì.
ii. Includono>Selezionare le piattaforme> del dispositivo Windows.
iii. Selezionare Fine.
b. In App client:
i. Impostare Configura su Sì.
ii. In Client di autenticazione moderni selezionare solo App per dispositivi
mobili e client desktop. Lasciare deselezionati altri elementi.
iii. Selezionare Fine.
8. In Controlli di accesso>Sessione selezionare Richiedi protezione token per le
sessioni di accesso e selezionare Seleziona.
9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
10. Selezionare Crea per creare e abilitare il criterio.
Log di accesso
Log Analytics
È anche possibile usare Log Analytics per eseguire query sui log di accesso (interattivi e
non interattivi) per le richieste bloccate a causa di errori di applicazione della protezione
dei token.
Ecco una query di Log Analytics di esempio che cerca i log di accesso non interattivi per
gli ultimi sette giorni, evidenziando Le richieste bloccate rispetto alle richieste
consentite da applicazione.
Kusto
//SigninLogs
AADNonInteractiveUserSignInLogs
| mv-expand todynamic(ConditionalAccessPolicies)
| extend SessionNotSatisfyResult =
ConditionalAccessPolicies["sessionControlsNotSatisfied"]
Il risultato della query precedente dovrebbe essere simile allo screenshot seguente:
Nell'esempio di query seguente viene esaminato il log di accesso non interattivo per gli
ultimi sette giorni, evidenziando Le richieste bloccate rispetto alle richieste
consentitedall'utente.
Kusto
//SigninLogs
AADNonInteractiveUserSignInLogs
| mv-expand todynamic(ConditionalAccessPolicies)
| extend SessionNotSatisfyResult =
ConditionalAccessPolicies.sessionControlsNotSatisfied
Passaggi successivi
Che cos'è un token di aggiornamento primario?
Uso della condizione relativa alla
posizione in un criterio di accesso
condizionale
Articolo • 03/05/2023
) Importante
Richiedere l'autenticazione a più fattori per gli utenti che accedono a un servizio
quando si trovano fuori dalla rete aziendale.
Bloccare l'accesso per gli utenti che accedono a un servizio da paesi o aree
geografiche specifiche da cui l'organizzazione non funziona mai.
Suggerimento
I criteri di accesso condizionale vengono applicati dopo il completamento del
primo fattore di autenticazione. L'accesso condizionale non è destinato a essere
usato come prima misura di difesa di un'organizzazione per attacchi Denial of
Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare
l'accesso.
Posizioni specifiche
I percorsi sono presenti nella portale di Azure in Percorsidenominatiper l'accesso>
condizionaleper la sicurezza> di Azure Active Directory>. Questi percorsi di rete
specifici possono includere posizioni come intervalli di rete della sede centrale di
un'organizzazione, intervalli di rete VPN o intervalli che da bloccare. Le località
denominate sono definite dagli intervalli di indirizzi IPv4 e IPv6 o da paesi/aree
geografiche.
https://www.youtube-nocookie.com/embed/P80SffTIThY
Percorsi attendibili
2 Avviso
Paesi
Le organizzazioni possono determinare la posizione del paese in base all'indirizzo IP o
alle coordinate GPS.
Per definire una località denominata per paese/area geografica, è necessario specificare:
Se si seleziona Determina posizione in base alle coordinate GPS, l'utente deve avere
installato l'app Microsoft Authenticator nel dispositivo mobile. Ogni ora, il sistema
contatta l'app Microsoft Authenticator dell'utente per raccogliere la posizione GPS del
dispositivo mobile dell'utente.
La prima volta che l'utente deve condividere la propria posizione dall'app Microsoft
Authenticator, l'utente riceve una notifica nell'app. L'utente deve aprire l'app e
concedere le autorizzazioni per la posizione. Ogni ora l'utente accede alle risorse
coperte dai criteri necessari per approvare una notifica push dall'app.
Ogni volta che l'utente condivide la propria posizione GPS, l'app esegue il rilevamento
di jailbreak (usando la stessa logica del Intune MAM SDK). Se il dispositivo è jailbroken,
la posizione non è considerata valida e all'utente non viene concesso l'accesso.
7 Nota
Più criteri di accesso condizionale possono richiedere agli utenti la propria posizione
GPS prima che vengano applicati tutti. A causa del modo in cui vengono applicati i
criteri di accesso condizionale, è possibile che un utente venga negato l'accesso se
supera il controllo della posizione ma non supera un altro criterio. Per altre informazioni
sull'applicazione dei criteri, vedere l'articolo Creazione di criteri di accesso condizionale.
) Importante
Gli utenti possono ricevere richieste ogni ora per sapere che Azure AD sta
controllando la propria posizione nell'app Authenticator. L'anteprima deve essere
usata solo per proteggere le app molto sensibili in cui questo comportamento è
accettabile o in cui l'accesso deve essere limitato a un paese/area geografica
specifico.
Definire le posizioni
1. Accedere al portale di Azure come amministratore dell'accesso condizionale o
amministratore della sicurezza.
2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale>Posizioni
specifiche.
3. Scegliere Nuova posizione.
4. Assegnare un nome alla posizione.
5. Scegliere Intervalli IP se si conoscono gli specifici intervalli di indirizzi IPv4
accessibili dall'esterno che fanno parte di tale posizione o di tali Paesi/aree
geografiche.
a. Specificare gli intervalli IP o selezionare i paesi/aree geografiche per la località
specificata.
Se si sceglie Paesi/aree geografiche, è possibile scegliere di includere aree
sconosciute.
6. Scegliere Salva
Tutti i percorsi
Tutte le località attendibili
Le località selezionate
Tutti i percorsi
Per impostazione predefinita, se si seleziona Qualsiasi posizione , un criterio viene
applicato a tutti gli indirizzi IP, ovvero a qualsiasi indirizzo su Internet. Questa
impostazione non è limitata agli indirizzi IP configurati come percorso denominato.
Quando si seleziona Tutte le località, è comunque possibile escludere percorsi specifici
dai criteri. Ad esempio, è possibile applicare dei criteri a tutte le posizioni tranne che ai
percorsi attendibili per impostare l'ambito per tutte le posizioni ad eccezione della rete
aziendale.
L'uso della sezione indirizzi IP attendibili delle impostazioni del servizio di autenticazione
a più fattori non è più consigliato. Questo controllo accetta solo indirizzi IPv4 e deve
essere usato solo per scenari specifici illustrati nell'articolo Configurare le impostazioni
di autenticazione a più fattori di Azure AD
Le località selezionate
Con questa opzione è possibile selezionare una o più posizioni specifiche. Per applicare
criteri con questa impostazione, un utente deve connettersi da una delle posizioni
selezionate. Quando si seleziona il controllo di selezione di rete denominato che mostra
l'elenco delle reti denominate viene aperto. L'elenco mostra anche se il percorso di rete
è contrassegnato come attendibile.
Traffico IPv6
I criteri di accesso condizionale si applicano a tutto il traffico IPv4 e IPv6 (a partire dal 3
aprile 2023).
È anche possibile trovare l'INDIRIZZO IP client facendo clic su una riga nel report e
quindi passando alla scheda "Posizione" nei dettagli dell'attività di accesso.
Informazioni utili
Questo controllo indica che le applicazioni mobili e desktop che usano l'autenticazione
moderna, viene rilevato un cambiamento nella posizione entro un'ora di modifica del
percorso di rete. Per le applicazioni mobili e desktop che non usano l'autenticazione
moderna, i criteri si applicano a ogni richiesta di token. La frequenza della richiesta può
variare in base all'applicazione. Analogamente, per le applicazioni Web, i criteri si
applicano all'accesso iniziale e sono validi per la durata della sessione nell'applicazione
Web. A causa delle differenze nella durata della sessione tra applicazioni, il tempo tra la
valutazione dei criteri varia. Ogni volta che l'applicazione richiede un nuovo token di
accesso, viene applicato il criterio.
Per impostazione predefinita, Azure AD rilascia un token su base oraria. Dopo che gli
utenti si spostano dalla rete aziendale, entro un'ora il criterio viene applicato per le
applicazioni usando l'autenticazione moderna.
Indirizzo IP utente
L'indirizzo IP usato nella valutazione dei criteri è l'indirizzo IPv4 o IPv6 pubblico
dell'utente. Per i dispositivi in una rete privata, questo indirizzo IP non è l'IP client del
dispositivo dell'utente nella intranet, è l'indirizzo usato dalla rete per connettersi a
Internet pubblico.
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Passaggi successivi
Configurare un esempio di criteri di accesso condizionale usando il percorso,
vedere l'articolo Accesso condizionale: Bloccare l'accesso in base alla posizione.
Accesso condizionale per le identità del
carico di lavoro
Articolo • 17/03/2023
I criteri di accesso condizionale sono stati applicati storicamente solo agli utenti quando
accedono ad app e servizi come SharePoint online o la portale di Azure. Ora si estende il
supporto per i criteri di accesso condizionale da applicare alle entità servizio di proprietà
dell'organizzazione. Questa funzionalità viene chiamata Accesso condizionale per le
identità del carico di lavoro.
Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le
mettono a rischio di compromissione.
) Importante
Identità dei carichi di lavoro licenze Premium sono necessarie per creare o
modificare criteri di accesso condizionale con ambito entità servizio.
Nelle directory
senza licenze appropriate, i criteri di accesso condizionale esistenti per le identità
del carico di lavoro continueranno a funzionare, ma non possono essere modificati.
Per altre informazioni, vedere Identità dei carichi di lavoro di Microsoft Entra .
7 Nota
I criteri possono essere applicati a singole entità servizio tenant registrate nel
tenant. Le app SaaS e multi-tenant di terze parti non rientrano nell'ambito. Le
identità gestite non sono coperte dai criteri.
L'accesso condizionale per le identità del carico di lavoro consente di bloccare le entità
servizio dall'esterno degli intervalli IP pubblici attendibili o in base al rischio rilevato da
Azure AD Identity Protection.
Implementazione
Eseguire il rollback
Se si desidera eseguire il rollback di questa funzionalità, è possibile eliminare o
disabilitare i criteri creati.
Log di accesso
I log di accesso vengono usati per esaminare la modalità di applicazione dei criteri per le
entità servizio o gli effetti previsti dei criteri quando si usa la modalità di sola report.
Per visualizzare i risultati di un criterio basato sulla posizione, fare riferimento alla
scheda Report-only degli eventi nel report di accesso o usare la cartella di lavoro
Informazioni dettagliate per l'accesso condizionale e creazione di report .
Per visualizzare i risultati di un criterio basato sui rischi, fare riferimento alla scheda
Report-only degli eventi nel report di accesso.
Riferimento
Ricerca dell'oggettoID
È possibile ottenere l'objectID dell'entità servizio da Applicazioni aziendali di Azure AD.
L'ID oggetto in Azure AD Registrazioni app non può essere usato. Questo identificatore
è l'ID oggetto della registrazione dell'app, non dell'entità servizio.
Microsoft Graph
Esempio JSON per la configurazione basata sulla posizione usando l'endpoint beta di
Microsoft Graph.
JSON
"displayName": "Name",
"conditions": {
"applications": {
"includeApplications": [
"All"
},
"clientApplications": {
"includeServicePrincipals": [
],
"excludeServicePrincipals": [
},
"locations": {
"includeLocations": [
"All"
],
"excludeLocations": [
},
"grantControls": {
"operator": "and",
"builtInControls": [
"block"
Passaggi successivi
Uso della condizione relativa alla posizione in un criterio di accesso condizionale
Accesso condizionale: accesso a livello di codice
Cos'è la modalità solo report dell'accesso condizionale?
Valutazione continua dell'accesso
Articolo • 21/03/2023
La scadenza e l'aggiornamento dei token sono un meccanismo standard del settore. Quando
un'applicazione client come Outlook si connette a un servizio come Exchange Online, le richieste API
vengono autorizzate usando i token di accesso OAuth 2.0. Per impostazione predefinita, i token di
accesso sono validi per un'ora, quando scadono il client viene reindirizzato ad Azure AD per aggiornarli.
Tale periodo di aggiornamento offre la possibilità di rivalutare i criteri per l'accesso degli utenti. Ad
esempio, è possibile scegliere di non aggiornare il token a causa di un criterio di accesso condizionale o
perché l'utente è stato disabilitato nella directory.
I clienti hanno espresso preoccupazioni sul ritardo tra quando le condizioni cambiano per un utente e
quando vengono applicate le modifiche ai criteri. Azure AD ha sperimentato l'approccio "blunt object"
delle durate dei token ridotte, ma ha scoperto che possono ridurre le esperienze utente e l'affidabilità
senza eliminare i rischi.
Una risposta tempestiva alle violazioni dei criteri o ai problemi di sicurezza richiede realmente una
"conversazione" tra l'emittente del token (Azure AD) e la relying party (app abilitate). Questa
conversazione bidirezionale offre due importanti funzionalità. La relying party può vedere quando le
proprietà cambiano, ad esempio il percorso di rete, e comunicarlo all'autorità di certificazione del token.
Inoltre offre all’autorità di certificazione del token un modo per indicare alla relying party di
interrompere il rispetto dei token per un determinato utente a causa di una compromissione o
disabilitazione dell'account o di altri problemi. Il meccanismo per questa conversazione è la valutazione
dell'accesso continuo (continuous access evaluation, CAE). L'obiettivo per la valutazione critica degli
eventi è la risposta quasi in tempo reale, ma la latenza fino a 15 minuti può essere osservata a causa del
tempo di propagazione degli eventi; Tuttavia, l'applicazione dei criteri delle posizioni IP è immediata.
Per preparare le applicazioni per l'uso di CAE, vedere Come usare le API abilitate per la valutazione
dell'accesso continuo nelle applicazioni.
La valutazione dell'accesso continuo è disponibile nei tenant di Azure per enti pubblici (GCC High e
DOD) per Exchange Online.
Vantaggi principali
Cessazione dell’utente o modifica/reimpostazione della password: la revoca della sessione utente
verrà applicata quasi in tempo reale.
Modifica del percorso di rete: i criteri dei percorsi di accesso condizionale verranno applicati quasi
in tempo reale.
L'esportazione di token in un computer esterno a una rete attendibile può essere impedita con i
criteri dei percorsi di accesso condizionale.
Scenari
Esistono due scenari che costituiscono la valutazione continua dell'accesso, la valutazione critica degli
eventi e la valutazione dei criteri di accesso condizionale.
Questo processo consente agli utenti di perdere l'accesso ai file di SharePoint Online
dell'organizzazione, alla posta elettronica, al calendario o alle attività e alle app client di Teams da
Microsoft 365 entro pochi minuti da un evento critico.
7 Nota
Questo processo abilita lo scenario in cui gli utenti perdono l'accesso ai file dell'organizzazione, alla
posta elettronica, al calendario o alle attività dalle app client di Microsoft 365 o da SharePoint Online
subito dopo la modifica del percorso di rete.
7 Nota
Non tutte le combinazioni di app client e provider di risorse sono supportate. Vedere le tabelle
seguenti. La prima colonna di questa tabella si riferisce alle applicazioni Web avviate tramite Web
browser ,ad esempio PowerPoint avviato nel Web browser, mentre le altre quattro colonne fanno
riferimento alle applicazioni native in esecuzione in ogni piattaforma descritta. Inoltre, i riferimenti a
"Office" includono Word, Excel e PowerPoint.
Outlook Web Outlook Win32 Outlook iOS Outlook Android Outlook Mac
Web OneDrive OneDrive Win32 OneDrive iOS OneDrive Android OneDrive Mac
Web di Teams Teams Win32 Teams iOS Teams Android Teams Mac
* La durata dei token per le app Web di Office viene ridotta a 1 ora quando viene impostato un
criterio di accesso condizionale.
7 Nota
Teams è costituito da più servizi e tra questi i servizi di chiamata e chat non rispettano i criteri di
accesso condizionale basati su IP.
Funzionalità client
La durata del token è aumentata fino a 28 ore nelle sessioni CAE. La revoca è basata su eventi critici e
valutazione dei criteri, non solo da un periodo di tempo arbitrario. Questa modifica aumenta la stabilità
delle applicazioni senza influire sul comportamento di sicurezza.
Se non si usano client compatibili con CAE, la durata predefinita del token di accesso rimarrà 1 ora.
L'impostazione predefinita cambia solo se è stata configurata la durata del token di accesso con la
funzionalità di anteprima del token configurabile (CTL).
Migrazione
I clienti che hanno configurato le impostazioni CAE in Sicurezza prima di dover eseguire la migrazione
delle impostazioni a un nuovo criterio di accesso condizionale. Seguire questa procedura per eseguire la
migrazione delle impostazioni CAE a un criterio di accesso condizionale.
1. Accedere alla portale di Azure come amministratore di accesso condizionale, amministratore della
sicurezza o amministratore globale.
2. Passare allavalutazione dell'accesso continuo allasicurezza> di Azure Active Directory>.
3. Verrà quindi visualizzata l'opzione Migrazione dei criteri. Questa azione è l'unica a cui si avrà
accesso a questo punto.
4. Passare all'accesso condizionale e si troverà un nuovo criterio denominato Criteri di accesso
condizionale creati dalle impostazioni CAE con le impostazioni configurate. Gli amministratori
possono scegliere di personalizzare questo criterio o crearne uno per sostituirlo.
La tabella seguente descrive l'esperienza di migrazione di ogni gruppo di clienti in base alle
impostazioni CAE configurate in precedenza.
Nuovi tenant che non No Sì L'impostazione CAE precedente verrà nascosta in quanto
hanno configurato probabilmente questi clienti non hanno visto l'esperienza
nulla nell'esperienza prima della disponibilità generale.
precedente.
Altre informazioni sulla valutazione dell'accesso continuo come controllo sessione sono disponibili nella
sezione Personalizzare la valutazione dell'accesso continuo.
Limitazioni
Oltre alle variazioni IP, i clienti possono anche usare soluzioni e servizi di rete che:
Usare gli indirizzi IP che possono essere condivisi con altri clienti. Ad esempio, i servizi proxy basati
sul cloud in cui gli indirizzi IP in uscita vengono condivisi tra i clienti.
Usare facilmente indirizzi IP diversi o indefinibili. Ad esempio, le topologie in cui sono presenti set
dinamici di indirizzi IP in uscita di grandi dimensioni usati, ad esempio scenari aziendali di grandi
dimensioni o suddivisione del traffico di rete in uscita e in uscita locale.
Le reti in cui gli indirizzi IP in uscita possono cambiare spesso o sono condivisi possono influire
sull'accesso condizionale di Azure AD e continua la valutazione dell'accesso (CAE). Questa variabilità può
influire sul funzionamento di queste funzionalità e sulle relative configurazioni consigliate. Il tunneling di
divisione può causare blocchi imprevisti anche quando un ambiente è configurato usando procedure
consigliate per il tunneling VPN split. Il routing degli indirizzi IP ottimizzati tramite un indirizzo IP/VPN
attendibile può essere necessario per evitare blocchi correlati a "insufficient_claims" o "Controllo
applicazione IP immediata non riuscita".
2. Gli INDIRIZZI Traffico di 1.1.1.1 x.x.x.x 1.1.1.1 Eventi critici Durata del Non
IP in uscita sono rete verso token di aggiungere
dedicati ed Azure AD accesso indirizzi IP
enumerabili per in uscita predefinito non dedicati
Azure AD, ma fino alla - 1 ora o non
non per il traffico versione enumerabili
degli indirizzi IP 1.1.1.1. (x.x.x.x.x) in
Traffico regole di
RP in accesso
uscita condizionale
tramite con nome
x.x.x.x.x attendibile
in quanto
può
indebolire la
sicurezza
3. Gli indirizzi IP Traffico di y.y.y.y x.x.x.x N/A -no criteri Eventi critici Lunga Non
in uscita non rete ad CA IP/Percorsi durata - aggiungere
sono Azure AD attendibili fino a 28 indirizzi IP
dedicati/condivisi in uscita configurati ore non dedicati
o non tramite o non
enumerabili per il y.y.y.y. enumerabili
traffico di Azure Traffico (x.x.x/y.y.y.y)
AD e RPS RP in in regole CA
uscita denominate
attraverso attendibili in
x.x.x.x.x quanto può
indebolire la
sicurezza
Le reti e i servizi di rete usati dai client che si connettono a provider di identità e risorse continuano a
evolversi e cambiare in risposta alle tendenze moderne. Queste modifiche possono influire sulle
configurazioni dell'accesso condizionale e dell'autorità di certificazione che si basano sugli indirizzi IP
sottostanti. Quando si decide su queste configurazioni, fattore nelle modifiche future nella tecnologia e
nel ripristino dell'elenco di indirizzi definito nel piano.
) Importante
Se si desidera che i criteri di posizione vengano applicati in tempo reale dalla valutazione
dell'accesso continuo, usare solo la condizione di posizione dell'accesso condizionale basato su IP
e configurare tutti gli indirizzi IP, inclusi IPv4 e IPv6, che possono essere visualizzati dal provider di
identità e dal provider di risorse. Non usare le condizioni di località paese/area geografica o la
funzionalità ips attendibile disponibile nella pagina delle impostazioni del servizio di Azure AD
Multifactor Authentication.
Canale Enterprise Se impostato su abilitato o 1, CAE non Se impostato su abilitato o 1, CAE non
semestrale sarà supportato. sarà supportato.
Canale corrente
CaE è supportato indipendentemente CaE è supportato indipendentemente
oppure
dall'impostazione dall'impostazione
Canale Enterprise mensile
Per una spiegazione dei canali di aggiornamento di Office, vedere Panoramica dei canali di
aggiornamento per Microsoft 365 Apps. È consigliabile che le organizzazioni non disabilitino Web
Account Manager (WAM).
Per ridurre ulteriormente questo tempo, un amministratore di SharePoint può ridurre la durata massima
delle sessioni di creazione condivisa per i documenti archiviati in SharePoint Online e OneDrive for
Business, configurando i criteri dei percorsi di rete in SharePoint Online. Una volta modificata questa
configurazione, la durata massima delle sessioni di creazione condivisa verrà ridotta a 15 minuti e può
essere modificata ulteriormente usando il comando PowerShell di SharePoint Online "Set-SPOTenant –
IPAddressWACTokenLifetime".
Abilitare dopo che un utente è disabilitato
Se si abilita un utente subito dopo la disabilitazione, si verifica una certa latenza prima che l'account
venga riconosciuto come abilitato nei servizi Microsoft downstream.
Notifiche push
I criteri degli indirizzi IP non vengono valutati prima del rilascio delle notifiche push. Questo scenario
esiste perché le notifiche push sono in uscita e non hanno un indirizzo IP associato per la valutazione. Se
un utente seleziona tale notifica push, ad esempio un messaggio di posta elettronica in Outlook, i criteri
di indirizzo IP caE vengono ancora applicati prima che il messaggio di posta elettronica possa essere
visualizzato. Le notifiche push visualizzano un'anteprima dei messaggi, che non è protetta da un criterio
di indirizzo IP. Tutti gli altri controlli CAE vengono eseguiti prima dell'invio della notifica push. Se un
utente o un dispositivo ha accesso rimosso, l'imposizione viene eseguita entro il periodo documentato.
Utenti guest
Gli account utente guest non sono supportati da CAE. Gli eventi di revoca cae e i criteri di accesso
condizionale basati su IP non vengono applicati immediatamente.
Passaggi successivi
Come usare le API abilitate per la valutazione dell'accesso continuo nelle applicazioni
Problematiche delle attestazioni, richieste di attestazioni e funzionalità client
Accesso condizionale: sessione
Monitorare la valutazione continua dell'accesso e risolvere i problemi
Valutazione continua dell'accesso per le
identità del carico di lavoro (anteprima)
Articolo • 01/06/2023
La valutazione dell'accesso continuo (CAE) per le identità del carico di lavoro offre
vantaggi per la sicurezza per l'organizzazione. Consente l'applicazione in tempo reale
dei criteri di posizione e rischio di accesso condizionale, insieme all'applicazione
immediata degli eventi di revoca dei token per le identità dei carichi di lavoro.
Ambito dell'anteprima
L'ambito di anteprima pubblica delle identità di accesso continuo per le identità del
carico di lavoro include il supporto per Microsoft Graph come provider di risorse.
Le entità servizio di anteprima sono destinate alle applicazioni line of business (LOB).
La valutazione di accesso continuo per le identità del carico di lavoro supporta i criteri di
accesso condizionale destinati alla posizione e al rischio.
Abilitare l'applicazione
Gli sviluppatori possono acconsentire esplicitamente alla valutazione di accesso
continuo per le identità del carico di lavoro quando le richieste xms_cc API sono
un'attestazione facoltativa. L'attestazione xms_cc con un valore di nel token di cp1
accesso è il modo autorevole per identificare un'applicazione client in grado di gestire
una richiesta di attestazioni. Per altre informazioni su come lavorare nell'applicazione,
vedere l'articolo Attestazioni, richieste di attestazioni e funzionalità client.
Disabilita
Per rifiutare esplicitamente, non inviare l'attestazione xms_cc con un valore di cp1 .
Le organizzazioni che dispongono di Azure AD Premium possono creare criteri di
accesso condizionale per disabilitare la valutazione dell'accesso continuo applicata a
identità del carico di lavoro specifiche come misura immediata di stop-gap.
Passaggi successivi
Registrare un'applicazione con Azure AD e creare un'entità servizio
Come usare le API abilitate per la valutazione dell'accesso continuo nelle
applicazioni
Applicazione di esempio che usa la valutazione continua dell'accesso
Che cos'è la valutazione dell'accesso continuo?
Accesso condizionale: filtro per i
dispositivi
Articolo • 10/03/2023
Scenari comuni
Esistono più scenari che le organizzazioni possono ora abilitare usando il filtro per le
condizioni dei dispositivi. Gli scenari seguenti forniscono esempi di come usare questa
nuova condizione.
Limitare l'accesso alle risorse con privilegi. Per questo esempio, si supponga di
voler consentire l'accesso a Gestione di Microsoft Azure da un utente a cui è
assegnato un ruolo con privilegi Amministratore globale, abbia soddisfatto
l'autenticazione a più fattori e l'accesso da un dispositivo con privilegi o
workstation amministrative sicure e attestato come conforme. Per questo scenario,
le organizzazioni creerebbero due criteri di accesso condizionale:
Criterio 1: tutti gli utenti con il ruolo di directory amministratore globale,
l'accesso all'app cloud di gestione di Microsoft Azure e per i controlli di accesso,
Concedere l'accesso, ma richiedono l'autenticazione a più fattori e richiedono
che il dispositivo sia contrassegnato come conforme.
Criterio 2: tutti gli utenti con il ruolo di directory amministratore globale,
l'accesso all'app cloud di gestione di Microsoft Azure, escluso un filtro per i
dispositivi che usano l'espressione regola device.extensionAttribute1 è uguale a
SAW e per i controlli di accesso, Blocca. Informazioni su come aggiornare
extensionAttributes in un oggetto dispositivo di Azure AD.
Bloccare l'accesso alle risorse dell'organizzazione dai dispositivi che eseguono
un sistema operativo non supportato. Per questo esempio, si supponga di voler
bloccare l'accesso alle risorse dalla versione del sistema operativo Windows
precedente a Windows 10. Per questo scenario, le organizzazioni creerebbero i
criteri di accesso condizionale seguenti:
Tutti gli utenti, che accedono a tutte le app cloud, escludendo un filtro per i
dispositivi che usano l'espressione regola device.operatingSystem è uguale a
Windows e device.operatingSystemVersion avviaWith "10.0" e per i controlli di
accesso, Blocca.
Non richiedere l'autenticazione a più fattori per account specifici in dispositivi
specifici. Per questo esempio, si supponga di non richiedere l'autenticazione a più
fattori quando si usano account di servizio in dispositivi specifici, ad esempio
telefoni Teams o dispositivi Surface Hub. Per questo scenario, le organizzazioni
creerebbero i due criteri di accesso condizionale seguenti:
Criterio 1: tutti gli utenti esclusi gli account del servizio, l'accesso a tutte le app
cloud e per i controlli di accesso, Concedere l'accesso, ma richiedere
l'autenticazione a più fattori.
Criterio 2: selezionare utenti e gruppi e includere il gruppo che contiene solo gli
account del servizio, l'accesso a tutte le app cloud, escluso un filtro per i
dispositivi che usano l'espressione regola device.extensionAttribute2 non è
uguale a TeamsPhoneDevice e per i controlli di accesso, Blocca.
7 Nota
Azure AD usa l'autenticazione del dispositivo per valutare le regole di filtro dei
dispositivi. Per un dispositivo che non è registrato con Azure AD, tutte le proprietà
del dispositivo vengono considerate come valori Null e gli attributi del dispositivo
non possono essere determinati perché il dispositivo non esiste nella directory. Il
modo migliore per impostare come destinazione i criteri per i dispositivi non
registrati consiste nell'usare l'operatore negativo perché la regola di filtro
configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro
verrà applicata solo quando un dispositivo esiste nella directory e la regola
configurata corrisponde all'attributo nel dispositivo.
Criterio 1: tutti gli utenti con il ruolo di directory amministratore globale, l'accesso
all'app cloud di gestione di Microsoft Azure e per i controlli di accesso, Concedere
l'accesso, ma richiedono l'autenticazione a più fattori e richiedono che il dispositivo sia
contrassegnato come conforme.
2 Avviso
Criterio 2: tutti gli utenti con il ruolo di directory amministratore globale, l'accesso
all'app cloud di gestione di Microsoft Azure, escluso un filtro per i dispositivi che usano
l'espressione regola device.extensionAttribute1 è uguale a SAW e per i controlli di
accesso, Blocca.
2 Avviso
JSON
"conditions": {
"devices": {
"deviceFilter": {
"mode": "exclude",
7 Nota
Azure AD usa l'autenticazione del dispositivo per valutare le regole di filtro dei
dispositivi. Per un dispositivo che non è registrato con Azure AD, tutte le proprietà
del dispositivo vengono considerate come valori Null e gli attributi del dispositivo
non possono essere determinati perché il dispositivo non esiste nella directory. Il
modo migliore per impostare come destinazione i criteri per i dispositivi non
registrati consiste nell'usare l'operatore negativo perché la regola di filtro
configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro
verrà applicata solo quando un dispositivo esiste nella directory e la regola
configurata corrisponde all'attributo nel dispositivo.
7 Nota
7 Nota
Gli Contains operatori funzionano NotContains in modo diverso a seconda dei tipi
di attributo. Per gli attributi di stringa, operatingSystem ad esempio e model ,
l'operatore Contains indica se si verifica una sottostringa specificata all'interno
dell'attributo. Per gli attributi della raccolta di stringhe, physicalIds ad esempio e
systemLabels , l'operatore Contains indica se una stringa specificata corrisponde a
una delle stringhe intere della raccolta.
Passaggi successivi
Tornare all'istituto di istruzione: uso corretto dell'algebra booleana nei filtri
complessi
Aggiornare API Graph dispositivo
Accesso condizionale: condizioni
Criteri comuni di accesso condizionale
Protezione dei dispositivi come parte della storia di accesso con privilegi
Usare lo strumento What If per risolvere
i problemi dei criteri di accesso
condizionale
Articolo • 17/03/2023
Funzionamento
Nello strumento What If per l'accesso condizionale è prima necessario configurare le
condizioni dello scenario di accesso da simulare. Queste impostazioni possono
includere:
L'utente da testare
Le app cloud a cui l'utente proverà ad accedere
Le condizioni in cui viene eseguito l'accesso alle app cloud configurate
Al termine della valutazione, lo strumento genera un report dei criteri interessati. Per
raccogliere altre informazioni sui criteri di accesso condizionale, le informazioni
dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report
possono fornire altri dettagli sui criteri in modalità solo report e sui criteri attualmente
abilitati.
Esecuzione dello strumento
È possibile trovare lo strumento What If nel portale di Azure inAccesso> condizionaledi
Sicurezza di>Azure Active Directory>.
Condizioni
L'unica condizione che è necessario fare è la selezione di un'identità utente o del carico
di lavoro. Tutte le altre condizioni sono facoltative. Per una definizione di queste
condizioni, vedere l'articolo Creazione di criteri di accesso condizionale.
Versione di valutazione
Per avviare una valutazione, fare clic su What If .You start an evaluation by click What If.
Al termine della valutazione, viene generato un report contenente gli elementi seguenti:
Indicatore che indica se nell'ambiente sono presenti criteri classici.
Criteri che verranno applicati all'identità utente o del carico di lavoro.
Criteri che non si applicano all'identità utente o del carico di lavoro.
Se per le app cloud selezionate sono presenti criteri classici, viene visualizzato un
indicatore. Facendo clic sull'indicatore, si viene reindirizzati alla pagina dei criteri classici.
In questa pagina è possibile semplicemente disabilitare un criterio classico o eseguirne
la migrazione. Chiudendo la pagina è possibile tornare ai risultati della valutazione.
Nell'elenco dei criteri che non si applicano, è possibile trovare i motivi per cui questi
criteri non si applicano. Per ogni criterio elencato, il motivo rappresenta la prima
condizione che non è stata soddisfatta.
Passaggi successivi
Per altre informazioni sull'applicazione dei criteri di accesso condizionale, vedere
l'uso della modalità di solo report dei criteri tramite informazioni dettagliate
sull'accesso condizionale e creazione di report.
Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente,
vedere Criteri comuni di accesso condizionale.
Pianificare una distribuzione
dell'accesso condizionale
Articolo • 07/04/2023
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Condizioni
Per le organizzazioni con licenze di Azure AD Premium P2, possono includere rischi per
l'utente e l'accesso nei criteri di accesso condizionale. Queste aggiunte possono
contribuire a ridurre l'attrito delle misure di sicurezza richiedendo l'autenticazione a più
fattori o la modifica sicura della password solo quando un utente o un accesso è
considerato rischioso.
Per altre informazioni sul rischio e sull'uso nei criteri, vedere l'articolo Informazioni sui
rischi.
Si desidera concedere l'accesso alle risorse richiedendo uno o più degli elementi
seguenti?
Controlli di sessione
Si desidera applicare uno dei controlli di accesso seguenti nelle applicazioni cloud?
Combinazione di criteri
Quando si creano e si assegnano criteri, è necessario tenere conto del funzionamento
dei token di accesso. I token di accesso concedono o negano l'accesso in base al fatto
che gli utenti che effettuano una richiesta siano stati autorizzati e autenticati. Se il
richiedente può dimostrare di essere chi dichiara di essere, può accedere alle risorse o
alle funzionalità protette.
Questo criterio non impedisce all'app di avere la propria capacità di bloccare l'accesso.
Per garantire che gli utenti esterni al gruppo finanziario non possano accedere all'app
con retribuzione, è possibile creare criteri separati per bloccare tutti gli altri utenti, come
i criteri semplificati seguenti:
Ora, quando l'utente B tenta di accedere all'APP con pagamento in base al consumo ,
viene bloccato.
Consigli
Tenendo conto delle nostre informazioni sull'uso dell'accesso condizionale e del
supporto di altri clienti, ecco alcune raccomandazioni basate sulle nostre informazioni.
Suggerimento
Abilitare i criteri in modalità solo report. Dopo aver salvato un criterio in modalità solo
report, è possibile visualizzare l'effetto sugli accessi in tempo reale nei log di accesso.
Nei log di accesso selezionare un evento e passare alla scheda Solo report per
visualizzare il risultato di ogni criterio solo report.
Pianificare l'interruzione
Se ci si basa su un singolo controllo di accesso, ad esempio l'autenticazione a più fattori
o un percorso di rete per proteggere i sistemi IT, si è soggetti a errori di accesso se tale
singolo controllo di accesso diventa non disponibile o non è configurato correttamente.
Un numero di sequenza
Le applicazioni cloud a cui si applica
Risposta.
A chi si applica
Quando si applica (se applicabile)
Esempio: un criterio per richiedere l'autenticazione a più fattori per gli utenti di
marketing che accedono all'app Dynamics CRP da reti esterne potrebbe essere:
ENABLE IN EMERGENCY all'inizio in modo che il nome si distingua dagli altri criteri.
Il nome dell'interruzione a cui deve essere applicato.
Un numero di sequenza di ordinamento per consentire all'amministratore di
sapere in che ordine devono essere abilitati i criteri.
Esempio: il nome seguente indica che questo criterio è il primo di quattro criteri da
abilitare in caso di interruzione dell'autenticazione a più fattori:
È consigliabile usare gli strumenti seguenti per valutare l'effetto dei criteri prima e dopo
aver apportato modifiche. Un'esecuzione simulata offre una buona idea dell'effetto di
un criterio di accesso condizionale, non sostituisce un'esecuzione di test effettiva in un
ambiente di sviluppo configurato correttamente.
Testare i criteri
Assicurarsi di testare i criteri di esclusione di un criterio. È ad esempio possibile
escludere un utente o gruppo da un criterio che richiede l'autenticazione MFA. Verificare
se agli utenti esclusi viene richiesta l'autenticazione MFA, perché la combinazione di altri
criteri potrebbe richiedere l'autenticazione MFA per questi stessi utenti.
Eseguire tutti i test nel piano di test con gli utenti di test. Il piano di test è importante
per disporre di un confronto tra i risultati previsti e i risultati effettivi. La tabella seguente
illustra alcuni test case di esempio. Modificare gli scenari e i risultati previsti in base al
modo in cui sono configurati i criteri di accesso condizionale.
Accessi a L'utente accede all'app Calcola un punteggio di rischio in base alla probabilità
rischio usando un browser non che l'accesso non sia stato eseguito dall'utente.
approvato Richiede all'utente di correggere automaticamente
l'autenticazione a più fattori
Distribuire in produzione
Dopo aver confermato l'impatto usando la modalità di solo report, un amministratore
può spostare l'opzione Abilita criterio da Solo report a Attiva.
Nel caso in cui sia necessario eseguire il rollback dei criteri appena implementati, usare
una o più delle opzioni seguenti:
U Attenzione
Passaggi successivi
Altre informazioni sull'autenticazione a più fattori
Gli esempi seguenti vengono forniti come non supportano. È possibile usare questi
esempi come base per gli strumenti nell'organizzazione.
Molti degli esempi seguenti usano strumenti come Identità gestite, App per lalogica,
OneDrive , Teams e Azure Key Vault.
Configurare
PowerShell
) Importante
A causa della deprecazione pianificata dei moduli di PowerShell (MSOL & AAD)
dopo dicembre 2022, non sono previsti altri aggiornamenti per questi moduli per
supportare nuove funzionalità di accesso condizionale. Per altre informazioni,
vedere gli annunci recenti: https://aka.ms/AzureADPowerShellDeprecation . Le
nuove funzionalità di accesso condizionale potrebbero non essere disponibili o non
possono essere funzionali all'interno di questi moduli di PowerShell come risultato
di questo annuncio. Prendere in considerazione la migrazione a Microsoft Graph
PowerShell . Altre indicazioni ed esempi verranno rilasciati presto.
Test
In questo esempio vengono modelli di procedure di distribuzione più sicure con flussi di
lavoro di approvazione che possono copiare i criteri di accesso condizionale da un
ambiente, ad esempio pre-produzione, a un altro, come l'ambiente di produzione.
Monitoraggio
Questo esempio fornisce un meccanismo per monitorare le modifiche dei criteri di
accesso condizionale nel tempo e può attivare avvisi quando vengono modificati i criteri
chiave.
Gestione
Backup e ripristino
Automatizzare il backup e il ripristino dei criteri di accesso condizionale con le
approvazioni in Teams usando questo esempio.
Piani di emergenza
Le cose non funzionano sempre nel modo desiderato, quando ciò accade è necessario
un modo per tornare a uno stato in cui il lavoro può continuare. L'esempio seguente
offre un modo per ripristinare i criteri in un piano di emergenza noto e disabilitare altri
criteri di accesso condizionale.
Contributo comunitario
Questi esempi sono disponibili nel repository GitHub . Siamo lieti di supportare i
contributi della community tramite i problemi di GitHub e le richieste pull.
Passaggi successivi
Overview of Microsoft Graph (Panoramica di Microsoft Graph)
Gli account a cui sono assegnati diritti amministrativi sono interessati da utenti
malintenzionati. La richiesta di autenticazione a più fattori (MFA) su tali account è un
modo semplice per ridurre il rischio di compromissione di tali account.
Microsoft consiglia di richiedere l'autenticazione a più fattori nei ruoli seguenti almeno,
in base alle raccomandazioni relative al punteggio di identità:
Amministratore globale
Amministratore di applicazioni
Amministratore dell'autenticazione
Amministratore fatturazione
Amministratore di applicazioni cloud
Amministratore di accesso condizionale
Amministratore di Exchange
Amministratore dell'help desk
Amministratore password
Amministratore autenticazione con privilegi
Amministratore dei ruoli con privilegi
Amministratore della sicurezza
Amministratore di SharePoint
Amministratore utenti
Esclusioni di utenti
I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, l'account amministrativo per l'accesso di emergenza può essere
usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare
l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a un determinato utente. Vengono in genere
usati dai servizi back-end che consentono l'accesso a livello di codice alle
applicazioni, ma vengono usati anche per accedere ai sistemi per scopi
amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi
poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Amministratore globale
Amministratore di applicazioni
Amministratore dell'autenticazione
Amministratore fatturazione
Amministratore di applicazioni cloud
Amministratore accesso condizionale
Amministratore di Exchange
Amministratore dell'help desk
Amministratore password
Amministratore autenticazione con privilegi
Amministratore dei ruoli con privilegi
Amministratore della sicurezza
Amministratore di SharePoint
Amministratore utenti
2 Avviso
Passaggi successivi
Criteri comuni di accesso condizionale
La protezione quando e come gli utenti registrano l'autenticazione a più fattori di Azure
AD e la reimpostazione della password self-service sono possibili con le azioni utente in
un criterio di accesso condizionale. Questa funzionalità è disponibile per le
organizzazioni che hanno abilitato la registrazione combinata. Questa funzionalità
consente alle organizzazioni di trattare il processo di registrazione come qualsiasi
applicazione in un criterio di accesso condizionale e usare la potenza completa
dell'accesso condizionale per proteggere l'esperienza. Gli utenti che accedono all'app
Microsoft Authenticator o abilitano l'accesso telefonico senza password sono soggetti a
questo criterio.
2 Avviso
b. In Escludi.
7 Nota
Passaggi successivi
Criteri comuni di accesso condizionale
7 Nota
Passaggi successivi
Criteri comuni di accesso condizionale
Richiedere agli utenti guest di eseguire l'autenticazione a più fattori quando si accede
alle risorse dell'organizzazione.
Esclusioni di utenti
I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, l'account amministrativo per l'accesso di emergenza può essere
usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare
l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a un determinato utente. Vengono in genere
usati dai servizi back-end che consentono l'accesso a livello di codice alle
applicazioni, ma vengono usati anche per accedere ai sistemi per scopi
amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi
poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Passaggi successivi
Criteri comuni di accesso condizionale
Come Alex Weinert, la Directory of Identity Security at Microsoft, cita nel suo post di
blog Il tuo pa$$word non importa :
La password non importa, ma MFA fa! In base ai nostri studi, il tuo account è più del
99,9% meno probabile che venga compromesso se usi MFA.
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Esclusioni dell'applicazione
Le organizzazioni possono avere molte applicazioni cloud in uso. Non tutte queste
applicazioni possono richiedere la stessa sicurezza. Ad esempio, le applicazioni di
pagamento e partecipazione possono richiedere MFA, ma la caffetteria probabilmente
non è. Gli amministratori possono scegliere di escludere applicazioni specifiche dai
criteri.
Attivazione dell'abbonamento
Le organizzazioni che usano l'attivazione della sottoscrizione per consentire agli utenti
di "eseguire il passaggio" da una versione di Windows a un'altra, potrebbero voler
escludere le API del servizio universal Store e l'applicazione Web, AppID 45a330b1-
b1ec-4cc1-9161-9f0392a49f da tutti gli utenti tutti i criteri MFA delle app cloud.
Posizioni specifiche
Le organizzazioni possono scegliere di incorporare percorsi di rete noti noti come
percorsi denominati ai criteri di accesso condizionale. Queste posizioni denominate
possono includere reti IPv4 attendibili come quelle per una posizione principale
dell'ufficio. Per altre informazioni sulla configurazione dei percorsi denominati, vedere
l'articolo Qual è la condizione di posizione in Accesso condizionale di Azure Active
Directory?
1. In Assegnazioni selezionarePosizionicondizioni>.
a. Configurare Sì.
b. Includere Tutte le località.
c. Escludere Tutte le posizioni attendibili.
d. Selezionare Fine.
2. Selezionare Fine.
3. Salvare le modifiche dei criteri.
Passaggi successivi
Criteri comuni di accesso condizionale
Portale di Azure
Azure PowerShell
Interfaccia della riga di comando di Azure
Questi strumenti consentono l'accesso con privilegi elevati alle risorse che possono
apportare le modifiche seguenti:
Esclusioni di utenti
I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, l'account amministrativo per l'accesso di emergenza può essere
usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare
l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a un determinato utente. Vengono in genere
usati dai servizi back-end che consentono l'accesso a livello di codice alle
applicazioni, ma vengono usati anche per accedere ai sistemi per scopi
amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi
poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
U Attenzione
Passaggi successivi
Criteri comuni di accesso condizionale
Esistono due posizioni in cui questo criterio può essere configurato, accesso
condizionale e Identity Protection. La configurazione usando un criterio di accesso
condizionale è il metodo preferito che offre più contesto, tra cui dati di diagnostica
avanzati, integrazione in modalità di report, API Graph supporto e la possibilità di usare
altri attributi di accesso condizionale come la frequenza di accesso nei criteri.
I criteri basati sui rischi di accesso proteggono gli utenti dalla registrazione
dell'autenticazione a più fattori nelle sessioni rischiose. Se gli utenti non sono registrati
per MFA, gli accessi rischiosi vengono bloccati e vengono visualizzati un errore
AADSTS53004.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report,
è possibile spostare l'opzione Abilita criterio solo da Report a Attiva.
Passaggi successivi
Richiedere la riutenticazione ogni volta
Correggere i rischi e sbloccare gli utenti
Criteri comuni di accesso condizionale
Accesso condizionale basato sul rischio per l'utente
Determinare l'impatto dell'uso della modalità di accesso condizionale solo report
Simulare il comportamento di accesso usando lo strumento What If per l'accesso
condizionale
Che cos'è Azure Active Directory Identity Protection?
Criteri di accesso condizionale comuni:
modifica della password basata sui
rischi dell'utente
Articolo • 17/03/2023
Esistono due posizioni in cui questo criterio può essere configurato, accesso
condizionale e Identity Protection. La configurazione usando un criterio di accesso
condizionale è il metodo preferito che offre più contesto, tra cui dati di diagnostica
avanzati, integrazione in modalità di report, API Graph supporto e la possibilità di usare
altri attributi di accesso condizionale come la frequenza di accesso nei criteri.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report,
è possibile spostare l'opzione Abilita criterio solo da Report a Attiva.
Passaggi successivi
Richiedere la riutenticazione ogni volta
Correggere i rischi e sbloccare gli utenti
Criteri comuni di accesso condizionale
Accesso condizionale basato sul rischio per l'accesso
Determinare l'impatto dell'uso della modalità di accesso condizionale solo report
Simulare il comportamento di accesso usando lo strumento What If per l'accesso
condizionale
Che cos'è Azure Active Directory Identity Protection?
Criteri comuni di accesso condizionale:
richiedere un dispositivo aggiunto ad
Azure AD conforme o ibrido per gli
amministratori
Articolo • 18/03/2023
Gli account a cui sono assegnati diritti amministrativi sono interessati da utenti
malintenzionati. Richiedere agli utenti con questi diritti con privilegi elevati di eseguire
azioni dai dispositivi contrassegnati come conformi o aggiunti ad Azure AD ibrido può
contribuire a limitare la possibile esposizione.
Altre informazioni sui criteri di conformità dei dispositivi sono disponibili nell'articolo
Impostare le regole nei dispositivi per consentire l'accesso alle risorse
dell'organizzazione usando Intune
Microsoft consiglia di abilitare questo criterio per i ruoli seguenti almeno in base alle
raccomandazioni relative al punteggio di identità:
Amministratore globale
Amministratore di applicazioni
Amministratore dell'autenticazione
Amministratore fatturazione
Amministratore di applicazioni cloud
Amministratore di accesso condizionale
Amministratore di Exchange
Amministratore dell'help desk
Amministratore password
Amministratore autenticazione con privilegi
Amministratore dei ruoli con privilegi
Amministratore della sicurezza
Amministratore di SharePoint
Amministratore utenti
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, l'account amministrativo per l'accesso di emergenza può essere
usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare
l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a un determinato utente. Vengono in genere
usati dai servizi back-end che consentono l'accesso a livello di codice alle
applicazioni, ma vengono usati anche per accedere ai sistemi per scopi
amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi
poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Amministratore globale
Amministratore di applicazioni
Amministratore dell'autenticazione
Amministratore fatturazione
Amministratore dell'applicazione cloud
Amministratore accesso condizionale
Amministratore di Exchange
Amministratore del supporto tecnico
Amministratore password
Amministratore autenticazione con privilegi
Amministratore dei ruoli con privilegi
Amministratore della protezione
Amministratore di SharePoint
Amministratore utenti
2 Avviso
7 Nota
Comportamento noto
In Windows 7, iOS, Android, macOS e alcuni Web browser di terze parti, Azure AD
identifica il dispositivo usando un certificato client di cui viene effettuato il provisioning
quando il dispositivo viene registrato in Azure AD. Quando un utente accede per la
prima volta tramite il browser, all'utente viene richiesto di selezionare il certificato. Per
continuare a usare il browser l'utente finale deve selezionare il certificato.
Attivazione dell'abbonamento
Le organizzazioni che usano la funzionalità attivazione della sottoscrizione per
consentire agli utenti di eseguire il "passaggio" da una versione di Windows a un'altra,
possono voler escludere le API del servizio di Archiviazione universale e l'applicazione
Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dai criteri di conformità dei
dispositivi.
Passaggi successivi
Criteri comuni di accesso condizionale
Gli utenti verranno bloccati all'accesso alle risorse aziendali quando il tipo di dispositivo
è sconosciuto o non supportato.
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Passaggi successivi
Criteri comuni di accesso condizionale
Gli utenti usano spesso i dispositivi mobili sia per le attività personali che per quelle di
lavoro. Assicurandosi che il personale possa essere produttivo, le organizzazioni
vogliono anche impedire la perdita di dati dalle applicazioni nei dispositivi che
potrebbero non gestire completamente.
Con l'accesso condizionale, le organizzazioni possono limitare l'accesso alle app client
approvate (con funzionalità di autenticazione moderna) con criteri di protezione delle
app Intune. Per le app client meno recenti che potrebbero non supportare i criteri di
protezione delle app, gli amministratori possono limitare l'accesso alle app client
approvate.
2 Avviso
Per richiedere app client approvate per dispositivi iOS e Android, è necessario
registrare prima i dispositivi in Azure AD.
7 Nota
Per altre informazioni sui vantaggi dell'uso dei criteri di protezione delle app, vedere
l'articolo Protezione di app panoramica dei criteri.
Creare criteri di accesso condizionale
I criteri seguenti vengono inseriti in modalità solo report per avviare in modo che gli
amministratori possano determinare l'impatto che avranno sugli utenti esistenti.
Quando gli amministratori sono sicuri che i criteri si applicano in base alle loro
intenzioni, possono passare a Attiva o fase della distribuzione aggiungendo gruppi
specifici ed esclusi altri.
Passaggi successivi
Panoramica dei criteri di protezione app
Proteggere l'accesso utente nei dispositivi non gestiti impedendo alle sessioni del
browser di rimanere connessi dopo la chiusura del browser e impostando una frequenza
di accesso su 1 ora.
Esclusioni di utenti
I criteri di accesso condizionale sono strumenti avanzati, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, l'account amministrativo per l'accesso di emergenza può essere
usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare
l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a un determinato utente. Vengono in genere
usati dai servizi back-end che consentono l'accesso a livello di codice alle
applicazioni, ma vengono usati anche per accedere ai sistemi per scopi
amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi
poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Passaggi successivi
Criteri comuni di accesso condizionale
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
7 Nota
Comportamento noto
In Windows 7, iOS, Android, macOS e alcuni Web browser di terze parti, Azure AD
identifica il dispositivo usando un certificato client di cui viene effettuato il provisioning
quando il dispositivo viene registrato in Azure AD. Quando un utente accede per la
prima volta tramite il browser, viene richiesto di selezionare il certificato. Per continuare
a usare il browser l'utente finale deve selezionare il certificato.
Attivazione dell'abbonamento
Le organizzazioni che usano la funzionalità Attivazione sottoscrizione per consentire agli
utenti di "eseguire il passaggio" da una versione di Windows a un'altra, potrebbero voler
escludere le API del servizio universal Store e l'applicazione Web, AppID 45a30b1-b1ec-
4cc1-9161-9f03992a49f dai criteri di accesso condizionale.
Passaggi successivi
Criteri comuni di accesso condizionale
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Passaggi successivi
Criteri comuni di accesso condizionale
Si applica a:
Android
iOS/iPadOS
macOS
Windows 8.1
Windows 10
Windows 11
Prerequisiti
Per implementare questo criterio, è necessario assegnare Azure Active Directory
Premium P1 o versioni successive agli utenti.
) Importante
Non configurare le regole di accesso basate su dispositivo per la registrazione
Microsoft Intune.
Dopo aver applicato e distribuito questo criterio, gli utenti visualizzeranno una richiesta
di autenticazione a più fattori una tantum quando registrano il dispositivo.
7 Nota
7 Nota
Definire le posizioni
1. Accedere al portale di Azure come amministratore dell'accesso condizionale,
amministratore della sicurezza o amministratore globale.
2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale>Posizioni
specifiche.
3. Scegliere Nuova posizione.
4. Assegnare un nome alla posizione.
5. Scegliere Intervalli IP se si conoscono gli specifici intervalli di indirizzi IPv4
accessibili dall'esterno che fanno parte di tale posizione o di tali Paesi/aree
geografiche.
a. Specificare gli intervalli IP o selezionare i paesi/aree geografiche per la località
specificata.
6. Scegliere Salva
Altre informazioni sulla condizione relativa alla posizione nell'accesso condizionale sono
disponibili nell'articolo Condizione relativa alla posizione nell'accesso condizionale di
Azure Active Directory
Passaggi successivi
Criteri comuni di accesso condizionale
U Attenzione
Esclusioni di utenti
I criteri di accesso condizionale sono potenti strumenti, è consigliabile escludere gli
account seguenti dai criteri:
Gli account di accesso di emergenza o critici per impedire il blocco degli account
a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano
bloccati dal tenant, è possibile usare l'account amministrativo di accesso di
emergenza per accedere al tenant per eseguire i passaggi per ripristinare l'accesso.
Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di
emergenza in Azure AD.
Gli account del servizio e le entità servizio, ad esempio l'account di
sincronizzazione di Azure AD Connect. Gli account del servizio sono account non
interattivi che non sono associati a alcun utente specifico. In genere vengono usati
dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni,
ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli
account del servizio di questo tipo dovrebbero essere esclusi poiché
l'autenticazione a più fattori non può essere eseguita a livello di codice. Le
chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di
accesso condizionale con ambito agli utenti. Usare l'accesso condizionale per le
identità del carico di lavoro per definire criteri destinati alle entità servizio.
Se l'organizzazione usa questi account negli script o nel codice, è consigliabile
sostituirli con identità gestite. Come soluzione alternativa temporanea, è
possibile escludere questi account specifici dai criteri di base.
Il primo criterio blocca l'accesso a tutte le app, ad eccezione delle applicazioni Microsoft
365, se l'utente non è in una posizione attendibile.
7 Nota
Passaggi successivi
Criteri comuni di accesso condizionale
È possibile usare uno dei punti di forza predefiniti o creare una forza di autenticazione
personalizzata in base ai metodi di autenticazione da richiedere.
Negli scenari utente esterni, i metodi di autenticazione MFA che un tenant di risorse può
accettare variano a seconda che l'utente stia completando l'autenticazione a più fattori
nel tenant principale o nel tenant della risorsa. Per informazioni dettagliate, vedere Forza
di autenticazione di accesso condizionale .
7 Nota
I metodi di autenticazione che gli utenti esterni possono usare per soddisfare i requisiti
MFA sono diversi a seconda che l'utente stia completando l'autenticazione a più fattori
nel tenant principale o nel tenant della risorsa. Vedere la tabella in Livello di
autenticazione di accesso condizionale .
) Importante
Passaggi successivi
Criteri comuni di accesso condizionale
Durante un'interruzione, non tutte le condizioni possono essere valutate in tempo reale
dal servizio di autenticazione di backup per determinare se deve essere applicato un
criterio di accesso condizionale. Le impostazioni predefinite di resilienza dell'accesso
condizionale sono un nuovo controllo sessione che consente agli amministratori di
decidere tra:
) Importante
Come funziona?
Durante un'interruzione, il servizio di autenticazione di backup ripubblicerà
automaticamente i token di accesso per determinate sessioni:
Nuova sessione No
Quando una sessione esistente scade durante un'interruzione di Azure AD, la richiesta di
un nuovo token di accesso viene indirizzata al servizio di autenticazione di backup e tutti
i criteri di accesso condizionale vengono rivalutati. Se non sono presenti criteri di
accesso condizionale o tutti i controlli necessari, ad esempio MFA, sono stati soddisfatti
in precedenza all'inizio della sessione, il servizio di autenticazione di backup rilascia un
nuovo token di accesso per estendere la sessione.
Appartenenza al gruppo
Appartenenza al ruolo
Rischio di accesso
Rischio utente
Posizione del paese (risoluzione di nuove coordinate IP o GPS)
Punti di forza di autenticazione
Esempio: un criterio con impostazioni predefinite di resilienza abilitato richiede a tutti gli
amministratori globali di accedere alla portale di Azure per eseguire l'autenticazione a
più fattori. Prima di un'interruzione, se un utente che non è un amministratore globale
accede al portale di Azure, il criterio non verrà applicato e l'utente verrà concesso
l'accesso senza essere richiesto per l'autenticazione a più fattori. Durante
un'interruzione, il servizio di autenticazione di backup rivaluta i criteri per determinare se
l'utente deve essere richiesto per l'autenticazione a più fattori. Poiché il servizio di
autenticazione di backup non può valutare l'appartenenza al ruolo in tempo reale,
userebbe i dati raccolti all'inizio della sessione dell'utente per determinare che i criteri
non devono ancora essere applicati. Di conseguenza, l'utente verrà concesso l'accesso
senza essere richiesto per l'autenticazione a più fattori.
Portale di Azure
1. Passareall'accesso condizionaleportale di Azure>Security>
2. Creare un nuovo criterio o selezionare un criterio esistente
3. Aprire le impostazioni del controllo Sessione
4. Selezionare Disabilita le impostazioni predefinite di resilienza per disabilitare
l'impostazione per questo criterio. Gli accessi nell'ambito dei criteri verranno
bloccati durante un'interruzione di Azure AD
5. Salvare le modifiche apportate ai criteri
API MS Graph
È anche possibile gestire le impostazioni predefinite di resilienza per i criteri di accesso
condizionale usando il API Graph MS e Microsoft Graph Explorer.
PATCH
https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
JSON
"sessionControls": {
"disableResilienceDefaults": true
PowerShell
Questa operazione di patch può essere distribuita usando Microsoft PowerShell dopo
l'installazione del modulo Microsoft.Graph.Authentication. Per installare questo modulo,
aprire un prompt di PowerShell con privilegi elevati ed eseguire
PowerShell
Install-Module Microsoft.Graph.Authentication
PowerShell
Connect-MgGraph -Scopes
Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -
TenantId <TenantID>
PowerShell
PowerShell
Consigli
Microsoft consiglia di abilitare le impostazioni predefinite di resilienza. Sebbene non
siano presenti problemi di sicurezza diretti, i clienti devono valutare se vogliono
consentire al servizio di autenticazione di backup di valutare i criteri di accesso
condizionale durante un'interruzione usando i dati raccolti all'inizio della sessione
anziché in tempo reale.
Passaggi successivi
Valutazione dell'accesso continuo (CAE)
Informazioni dettagliate e report di
Accesso condizionale
Articolo • 18/03/2023
Prerequisiti
Per abilitare la cartella di lavoro Informazioni dettagliate e report, il tenant deve avere
un'area di lavoro Log Analytics per conservare i dati dei log di accesso. Per usare
l'accesso condizionale, gli utenti devono avere licenze di Azure AD Premium P1 o P2.
Gli utenti devono avere almeno il ruolo lettore di sicurezza assegnato e i ruoli
collaboratore dell'area di lavoro Log Analytics assegnati.
Funzionamento
Per accedere alla cartella di lavoro Informazioni dettagliate e report:
Criteri di accesso condizionale: selezionare uno o più criteri di accesso condizionale per
visualizzarne l'impatto combinato. I criteri sono suddivisi in due gruppi: criteri abilitati e
in modalità solo report. Per impostazione predefinita, sono selezionati tutti i criteri
abilitati, che sono i criteri attualmente applicati nel tenant.
App: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati
per tutte le app. Per filtrare una singola app, digitarne il nome nel campo di testo. Per
filtrare tutte le app, digitare "Tutte le app" nel campo di testo o lasciare vuoto il
parametro.
Data view (Visualizzazione dati): selezionare se si vuole che i risultati vengano
visualizzati nel dashboard in termini di numero di utenti o numero di accessi. In un
determinato intervallo di tempo, un singolo utente può avere centinaia di accessi a
numerose app con molti risultati diversi. Se si seleziona la visualizzazione dati per essere
utenti, un utente potrebbe essere incluso nel conteggio degli errori e dell'esito positivo.
Ad esempio, se ci sono 10 utenti, 8 di essi potrebbero avere avuto un risultato di
successo negli ultimi 30 giorni e 9 di loro potrebbero avere avuto un risultato di errore
negli ultimi 30 giorni.
Riepilogo dell'impatto
Dopo l'impostazione dei parametri, viene caricato il riepilogo dell'impatto. Il riepilogo
mostra il numero di utenti o di accessi per i quali, nell'intervallo di tempo, il risultato con
la valutazione dei criteri selezionati è stato "Operazione riuscita", "Errore", "È richiesto
l'intervento dell'utente" o "Non applicato".
Total: numero di utenti o di accessi durante il periodo di tempo in cui è stato valutato
almeno uno dei criteri selezionati.
Non applicato: numero di utenti o di accessi durante il periodo di tempo in cui nessuno
dei criteri selezionati è stato applicato.
Informazioni sull'impatto
Visualizzare il dettaglio degli utenti o degli accessi per ognuna delle condizioni. È
possibile filtrare gli accessi di un determinato risultato (ad esempio, Operazione riuscita
o Errore) selezionando i riquadri di riepilogo nella parte superiore della cartella di lavoro.
È possibile visualizzare il dettaglio degli accessi per ognuna delle condizioni di accesso
condizionale: stato del dispositivo, piattaforma del dispositivo, app client, località,
applicazione e rischio di accesso.
Dettagli di accesso
È anche possibile esaminare gli accessi di un utente specifico cercando gli accessi nella
parte inferiore del dashboard. La query visualizza gli utenti più frequenti. Se si seleziona
un utente, la query viene filtrata.
7 Nota
Quando si scaricano i log di accesso, scegliere il formato JSON per includere i dati
dei risultati solo del report di accesso condizionale.
Configurare criteri di accesso condizionale in
modalità solo report
Per configurare criteri di accesso condizionale in modalità solo report:
Suggerimento
Passaggi successivi
Modalità solo report dell'accesso condizionale
Per altre informazioni sulle cartelle di lavoro di Azure AD, vedere l'articolo Come
usare cartelle di lavoro di Monitoraggio di Azure per i report di Azure Active
Directory.
Criteri comuni di accesso condizionale
Bloccare l'autenticazione legacy con
Azure AD con l'accesso condizionale
Articolo • 11/03/2023
Per consentire agli utenti di accedere facilmente alle app cloud, Azure Active Directory
(Azure AD) supporta una vasta gamma di protocolli di autenticazione, inclusa
l'autenticazione legacy. Tuttavia, l'autenticazione legacy non supporta elementi come
l'autenticazione a più fattori (MFA). L'autenticazione a più fattori è un requisito comune
per migliorare il comportamento di sicurezza nelle organizzazioni.
7 Nota
Alex Weinert, Direttore della sicurezza delle identità di Microsoft, nel post di blog del 12
marzo 2020 Nuovi strumenti per bloccare l'autenticazione legacy nell'organizzazione
sottolineano perché le organizzazioni devono bloccare l'autenticazione legacy e quali
altri strumenti microsoft fornisce per eseguire questa attività:
Prerequisiti
Questo articolo presuppone che si abbia familiarità con i concetti di base dell'accesso
condizionale di Azure AD.
7 Nota
Come si può impedire alle app che usano l'autenticazione legacy di accedere alle risorse
dei tenant? È consigliabile bloccarle con criteri di accesso condizionale. Se necessario, è
possibile autorizzare solo determinati utenti e percorsi di rete specifici per l’uso delle
app basate sull’autenticazione legacy.
Implementazione
Questa sezione illustra come configurare criteri di accesso condizionale per bloccare
l'autenticazione legacy.
Per altre informazioni su questi protocolli e servizi di autenticazione, vedere Report sulle
attività di accesso nel portale di Azure.
Indicatori di Azure AD
1. Passare ailog di accesso di Portale di Azure>Azure Active Directory>.
2. Aggiungere la colonna App client se non viene visualizzata facendo clic su
Colonne>App client.
3. Selezionare Aggiungi filtri>App> client scegliere tutti i protocolli di autenticazione
legacy e selezionare Applica.
4. Se è stata attivata la nuova anteprima dei report delle attività di accesso, ripetere i
passaggi precedenti anche nella scheda Accessi utente (non interattivo).
Applicando il filtro verranno visualizzati solo i tentativi di accesso eseguiti dai protocolli
di autenticazione legacy. Facendo clic su ogni singolo tentativo di accesso verranno
visualizzati altri dettagli. Nel campo App client nella scheda Info di base sarà indicato il
protocollo di autenticazione legacy che è stato usato.
Questi log indicano dove gli utenti usano i client che dipendono ancora
dall'autenticazione legacy. Per gli utenti che non vengono visualizzati in questi log e
vengono confermati di non usare l'autenticazione legacy, implementare un criterio di
accesso condizionale solo per questi utenti.
Inoltre, per valutare l'autenticazione legacy all'interno del tenant, usare gli accessi
usando la cartella di lavoro di autenticazione legacy.
Per determinare se un client usa l'autenticazione legacy o moderna in base alla finestra
di dialogo presentata all'accesso, vedere l'articolo Deprecation of Basic authentication in
Exchange Online( Deprecation of Basic authentication in Exchange Online).
Considerazioni importanti
Molti client che in precedenza supportano solo l'autenticazione legacy ora supportano
l'autenticazione moderna. I client che supportano l'autenticazione legacy e moderna
possono richiedere l'aggiornamento della configurazione per passare dall'autenticazione
legacy all'autenticazione moderna. Se vengono visualizzati dispositivi mobili, client
desktop o browsermoderni per un client nei log di Azure AD, viene usata
l'autenticazione moderna. Se ha un nome client o protocollo specifico, ad esempio
Exchange ActiveSync, usa l'autenticazione legacy. I tipi di client in Accesso condizionale,
log di accesso di Azure AD e la cartella di lavoro di autenticazione legacy distinguono
tra client di autenticazione moderni e legacy.
) Importante
Quando si implementa Exchange Active Sync (EAS) con CBA, configurare i client per
l'uso dell'autenticazione moderna. I client che non usano l'autenticazione moderna
per EAS con CBA non vengono bloccati con deprecazione dell'autenticazione di
base in Exchange Online. Tuttavia, questi client sono bloccati dai criteri di accesso
condizionale configurati per bloccare l'autenticazione legacy.
Per altre informazioni sull'implementazione del supporto per CBA con Azure AD e
l'autenticazione moderna, vedere How to configure Azure AD certificate-based
authentication (Preview) (Come configurare l'autenticazione basata su certificati
di Azure AD (anteprima). Come un'altra opzione, l'autenticazione ABA eseguita in
un server federativo può essere usata con l'autenticazione moderna.
Informazioni utili
I criteri di accesso condizionale possono richiedere fino a 24 ore.
Bloccando l'accesso con Altri client vengono bloccati anche Exchange Online
PowerShell e Dynamics 365 con autenticazione di base.
Passaggi successivi
Determinare l'impatto dell'uso della modalità di accesso condizionale solo report
Se non si ha familiarità con la configurazione dei criteri di accesso condizionale,
vedere Richiedere MFA per app specifiche con l'accesso condizionale di Azure
Active Directory per un esempio.
Per altre informazioni sul supporto dell'autenticazione moderna, vedere Come
funziona l'autenticazione moderna per le app client di Office
Come configurare un dispositivo o un'applicazione multifunzione per inviare
messaggi di posta elettronica tramite Microsoft 365
Abilitare l'autenticazione moderna in Exchange Online
Abilitare l'autenticazione moderna per Office 2013 nei dispositivi Windows
Come configurare Exchange Server locale per l'uso dell'autenticazione moderna
ibrida
Come usare l'autenticazione moderna con Skype for Business
Condizioni per l'utilizzo di Azure Active
Directory
Articolo • 10/03/2023
7 Nota
Questo articolo illustra come eliminare i dati personali dal dispositivo o dal servizio
e può essere usato per supportare gli obblighi previsti dal GDPR. Per informazioni
generali sul GDPR, vedere la sezione GDPR del Centro protezione Microsoft e la
sezione GDPR del portale di trust del servizio .
Panoramica video
Il video seguente offre una rapida panoramica dei criteri ToU.
https://www.youtube-nocookie.com/embed/tj-LK0abNao
Prerequisiti
Per usare e configurare le condizioni di utilizzo di Azure AD, è necessario disporre di:
Tenant di Azure AD funzionante con Azure AD Premium P1 o licenza di valutazione
abilitata. Se necessario, crearne uno gratuitamente .
Gli amministratori che interagiscono con le condizioni per l'uso devono avere una
o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite. Per
seguire il principio Zero Trust dei privilegi minimi, valutare l'uso di Privileged
Identity Management (PIM) per attivare le assegnazioni di ruolo con privilegi just-
in-time.
Leggere le condizioni per l'uso della configurazione e dei criteri di accesso
condizionale
Ruolo con autorizzazioni di lettura per la sicurezza
Ruolo con autorizzazioni di lettura globali
Creare o modificare le condizioni per l'uso e i criteri di accesso condizionale
Amministratore accesso condizionale
Amministratore della sicurezza
5. Per Il documento Condizioni per l'uso, passare ai termini finali dell'uso del pdf dei
criteri e selezionarlo.
9. Per richiedere agli utenti finali di accettare i criteri di utilizzo in ogni dispositivo a
cui accedono, impostare Richiedi agli utenti di consentire il consenso in ogni
dispositivo su Attiva. Se questa opzione è abilitata, è possibile che gli utenti
debbano installare altre applicazioni. Per altre informazioni, vedere Condizioni per
ogni dispositivo per l'uso.
10. Se si desidera scadere le condizioni per l'uso dei criteri in base a una pianificazione,
impostare Scadenza consenso su Attiva. Se impostata su Attiva, vengono
visualizzate due impostazioni di pianificazione.
Data Ogni mese A partire da oggi, gli utenti devono accettare i criteri di utilizzo e
odierna quindi riaccettare ogni mese.
Data nel Ogni mese A partire da oggi, gli utenti devono accettare le condizioni di
futuro utilizzo dei criteri. Quando si verifica la data futura, i consenso
scadono e quindi gli utenti devono riaccettare ogni mese.
13. In Accesso condizionale usare l'elenco Applica con criteri di accesso condizionale
per selezionare il modello per applicare i criteri relativi alle condizioni per l'utilizzo.
Modello Descrizione
Criteri personalizzati Selezionare gli utenti, i gruppi e le app a cui vengono applicati i
criteri relativi alle condizioni per l'utilizzo.
Creare criteri di accesso Questo criterio per le condizioni per l'utilizzo viene visualizzato
condizionale in un nell'elenco di controllo delle concessioni durante la creazione di
secondo momento un criterio di accesso condizionale.
) Importante
I controlli dei criteri di accesso condizionale (inclusi i criteri per l'utilizzo) non
supportano l'applicazione degli account del servizio. È consigliabile escludere
tutti gli account di servizio dai criteri di accesso condizionale.
Per iniziare a usare i log di controllo di Azure AD, seguire questa procedura:
Gli utenti possono visualizzare i criteri relativi alle condizioni per l'utilizzo e, se
necessario, usare i pulsanti per ingrandire e ridurre.
La schermata seguente mostra l'aspetto dei criteri tou nei dispositivi mobili.
Gli utenti devono accettare i criteri per le condizioni per l'utilizzo una sola volta e non
vedranno di nuovo le condizioni per l'utilizzo nei successivi accessi.
1. Accedere a https://myaccount.microsoft.com/ .
2. Selezionare Impostazioni & Privacy.
3. Selezionare Privacy.
4. In Avviso dell'organizzazione selezionare Visualizza accanto all'istruzione
condizioni per l'utilizzo da esaminare.
Nome : nome interno dell'unità utente non condivisa con gli utenti finali
Nome visualizzato : il nome che gli utenti finali possono visualizzare durante
la visualizzazione dell'oggetto ToU
Richiedi agli utenti di espandere le condizioni per l'utilizzo : l'impostazione
di questa opzione su Sì impone all'utente finale di espandere il documento
dei criteri per le condizioni per l'utilizzo prima di accettarlo.
(Anteprima) È possibile aggiornare un documento sulle condizioni per
l'utilizzo
È possibile aggiungere una lingua a un oggetto ToU esistente
5. Per la lingua che si vuole aggiornare una nuova versione, selezionare Aggiorna
nella colonna azione
6. Nel riquadro a destra caricare il pdf per la nuova versione
3. Selezionare i criteri per le condizioni per l'utilizzo per i quali si desidera visualizzare
una cronologia delle versioni.
8. Selezionare Salva
App nativa Sì Sì Sì
Microsoft Edge Sì Sì Sì
Internet Sì Sì Sì
Explorer
Chrome (con Sì Sì Sì
estensione)
Se il dispositivo dell'utente non è aggiunto, riceve un messaggio che informa che deve
essere aggiunto al dispositivo. La loro esperienza dipende dalla piattaforma e dal
software.
Browser
Se un utente usa un browser non supportato, viene chiesto di usare un browser diverso.
Eliminare le condizioni per l'utilizzo
È possibile eliminare i criteri delle condizioni per l'utilizzo precedenti usando la
procedura seguente.
) Importante
Guest B2B
La maggior parte delle organizzazioni dispone di un processo che consente ai
dipendenti di fornire il consenso alle condizioni per l'utilizzo e alle informative sulla
privacy dell'organizzazione. Ma come è possibile applicare gli stessi consensi per i guest
di Azure AD business-to-business (B2B) quando vengono aggiunti tramite SharePoint o i
team? Usando l'accesso condizionale e i criteri per l'utilizzo, è possibile applicare un
criterio direttamente agli utenti guest B2B. Durante il flusso di riscatto dell'invito,
l'utente viene presentato con i criteri relativi alle condizioni per l'utilizzo.
I criteri per le condizioni per l'utilizzo verranno visualizzati solo quando l'utente ha un
account guest in Azure AD. SharePoint Online ha attualmente un'esperienza destinatario
di condivisione esterna ad hoc per condividere un documento o una cartella che non
richiede all'utente di avere un account guest. In questo caso, i criteri relativi alle
condizioni per l'utilizzo non vengono visualizzati.
7 Nota
L'app di registrazione Intune non è supportata per le condizioni per l'utilizzo per
dispositivo.
7 Nota
Domande frequenti
D: Non è possibile accedere usando PowerShell quando sono abilitate le condizioni
per l'utilizzo.
R: L'utente conta nei report sulle condizioni per l'utilizzo e chi ha accettato/rifiutato
viene archiviato per la durata delle condizioni per l'utilizzo. I log di controllo di Azure AD
vengono archiviati per 30 giorni.
R: I dati di panoramica delle condizioni per l'utilizzo vengono archiviati per la durata dei
criteri relativi alle condizioni per l'utilizzo, mentre i log di controllo di Azure AD vengono
archiviati per 30 giorni.
D: Se i collegamenti ipertestuali sono nel documento PDF dei criteri per l'utilizzo, gli
utenti finali potranno fare clic su di essi?
R: Sì, gli utenti finali possono selezionare collegamenti ipertestuali ad altre pagine, ma i
collegamenti alle sezioni all'interno del documento non sono supportati. Inoltre, i
collegamenti ipertestuali in termini di criteri di utilizzo PDF non funzionano quando si
accede dal portale MyApps/MyAccount di Azure AD.
R: Sì. Attualmente sono disponibili 108 lingue diverse che un amministratore può
configurare per un singolo criterio per le condizioni per l'utilizzo. Un amministratore può
caricare più documenti PDF e contrassegnare i documenti con una lingua
corrispondente (fino a 108). Quando gli utenti finali accedono, vengono esaminate le
preferenze della lingua del browser e viene visualizzato il documento corrispondente. Se
non esiste alcuna corrispondenza, viene visualizzato il documento predefinito, ovvero il
primo documento caricato.
R: I criteri per le condizioni per l'utilizzo vengono attivati durante l'esperienza di accesso.
R: Sì, creando più criteri di accesso condizionale destinati a tali gruppi o applicazioni. Se
un utente rientra nell'ambito di più criteri per l'utilizzo, accetta un criterio per l'utilizzo
alla volta.
D: Quali endpoint usano le condizioni per l'utilizzo del servizio per l'autenticazione?
Passaggi successivi
Avvio rapido: Richiedere l'accettazione di condizioni per l'utilizzo prima
dell'accesso alle app cloud
Configurare la gestione delle sessioni di
autenticazione con l'accesso
condizionale
Articolo • 23/05/2023
L'impostazione della frequenza di accesso funziona con le app che hanno implementato
protocolli OAuth2 o OIDC in base agli standard. La maggior parte delle app native
Microsoft per Windows, Mac e Mobile, incluse le applicazioni Web seguenti, è conforme
all'impostazione .
Esempio 1: quando si continua a lavorare sullo stesso documento in SPO per un'ora
Se l'app client (in dettagli attività) è un browser, rinviiamo l'applicazione della frequenza
di accesso di eventi/criteri nei servizi in background fino alla successiva interazione
dell'utente.
Esempio 3: con ciclo di aggiornamento di 4 ore del token di aggiornamento primario dallo
sblocco
Scenari supportati:
2 Avviso
5. Scegliere tutte le condizioni necessarie per l'ambiente del cliente, incluse le app
cloud di destinazione.
7 Nota
6. In Controlli di accesso>Sessione.
a. Selezionare Frequenza di accesso.
i. Scegliere Riutenticazione periodica e immettere un valore di ore o giorni o
selezionare Ogni volta.
7. Salvare i criteri.
Criterio 2: Sessione del browser persistente
1. Accedere alla portale di Azure come amministratore di accesso condizionale,
amministratore della sicurezza o amministratore globale.
7 Nota
Si noti che questo controllo richiede di scegliere "Tutte le app cloud" come
condizione. La persistenza della sessione del browser è controllata dal token
di sessione di autenticazione. Tutte le schede in una sessione del browser
condividono un singolo token di sessione e pertanto devono condividere lo
stato di persistenza.
6. In Controlli di accesso>Sessione.
7 Nota
7. Salvare i criteri.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report,
è possibile spostare l'opzione Abilita criterio solo da Report a Attiva.
Convalida
Usare lo strumento What If per simulare un accesso dall'utente all'applicazione di
destinazione e altre condizioni in base alla configurazione dei criteri. I controlli di
gestione delle sessioni di autenticazione vengono visualizzati nei risultati dello
strumento.
Tolleranza di richiesta
Fattoriamo per cinque minuti di deviazione dell'orologio, in modo che non venga
richiesto agli utenti più spesso di una volta ogni cinque minuti. Se l'utente ha eseguito
l'autenticazione a più fattori negli ultimi 5 minuti e ha raggiunto un altro criterio di
accesso condizionale che richiede la riutenticazione, non verrà richiesto all'utente.
L'over-prompt degli utenti per la riutenticazione può influire sulla produttività e
aumentare il rischio di approvazione delle richieste MFA che non hanno avviato. Usare
"Frequenza di accesso: ogni volta" solo per esigenze aziendali specifiche.
Problemi noti
Se si configura la frequenza di accesso per i dispositivi mobili: l'autenticazione
dopo ogni intervallo di frequenza di accesso potrebbe essere lenta, può richiedere
30 secondi in media. Inoltre, potrebbe verificarsi in varie app
contemporaneamente.
Nei dispositivi iOS: se un'app configura i certificati come primo fattore di
autenticazione e l'app ha frequenza di accesso e Intune criteri di gestione delle
applicazioni mobili applicati, gli utenti finali vengono bloccati dall'accesso all'app
quando i criteri attivano.
Passaggi successivi
Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente,
vedere l'articolo Pianificare una distribuzione di accesso condizionale.
Risoluzione dei problemi relativi alle
modifiche dei criteri di accesso
condizionale
Articolo • 17/03/2023
Il log di controllo di Azure Active Directory (Azure AD) è una fonte preziosa di
informazioni durante la risoluzione dei problemi relativi al motivo e al modo in cui i
criteri di accesso condizionale sono stati modificati nell'ambiente.
I dati del log di controllo vengono mantenuti solo per 30 giorni per impostazione
predefinita, che potrebbero non essere abbastanza lunghi per ogni organizzazione. Le
organizzazioni possono archiviare i dati per periodi più lunghi modificando le
impostazioni di diagnostica in Azure AD in:
Dopo aver abilitato l'accesso a Log Analytics nella portale di Azure>Azure AD>Log
Analytics. La tabella di interesse per gli amministratori di accesso condizionale è
AuditLogs.
Kusto
AuditLogs
JSON
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
},
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
"a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
"state": "enabled"
JSON
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
},
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
"state": "enabled"
Nell'esempio precedente, i criteri aggiornati non includono le condizioni per l'uso nei
controlli di concessione.
Passaggi successivi
Che cos'è il monitoraggio di Azure Active Directory?
Installare e usare le viste di analisi dei log per Azure Active Directory
Accesso condizionale: accesso a livello di codice
Risoluzione dei problemi di accesso con
l'accesso condizionale
Articolo • 11/03/2023
Le informazioni contenute in questo articolo possono essere usate per risolvere i risultati
di accesso imprevisti relativi all'accesso condizionale usando i messaggi di errore e il log
di accesso di Azure AD.
Per tutti gli utenti, tutte le applicazioni cloud e tutte le piattaforme per dispositivi:
Nell'errore qui sopra il messaggio indica che è possibile accedere all'applicazione solo
da dispositivi o applicazioni client che soddisfano i criteri di gestione dei dispositivi
mobili della società. In questo caso, l'applicazione e il dispositivo non soddisfano tali
criteri.
Per altre informazioni sul problema, fare clic su Altri dettagli nella pagina iniziale
dell'errore. Facendo clic su Altri dettagli vengono visualizzate informazioni sulla
risoluzione dei problemi utili durante la ricerca degli eventi di accesso di Azure AD per
individuare l'evento di errore specifico visualizzato dall'utente o quando si apre un
evento imprevisto di supporto con Microsoft.
53000 DeviceNotCompliant
Codice errore di accesso Stringa di errore
53001 DeviceNotDomainJoined
53002 ApplicationUsedIsNotAnApprovedApp
53003 BlockedByConditionalAccess
53004 ProofUpBlockedDueToRisk
Altre informazioni sui codici errore sono disponibili nell'articolo Autenticazione di Azure
AD e codici errore relativi all'autorizzazione. I codici errore nell'elenco vengono
visualizzati con un prefisso AADSTS seguito dal codice visualizzato nel browser, ad
esempio AADSTS53002 .
Passaggi successivi
Usare lo strumento What If per risolvere i problemi dei criteri di accesso
condizionale
Report sulle attività di accesso nel portale di Azure
Risoluzione dei problemi di Accesso condizionale tramite lo strumento What If
Risoluzione dei problemi di Accesso
condizionale tramite lo strumento What
If
Articolo • 17/03/2023
Lo strumento What If in Accesso condizionale è utile per comprendere il motivo per cui
determinati criteri sono o non sono stati applicati a un utente in una circostanza
specifica o se dei criteri verrebbero applicati in uno stato noto.
Raccolta di informazioni
Lo strumento What If richiede solo un'identità Utente o Carico di lavoro per iniziare.
Queste informazioni possono essere raccolte dall'utente, dal dispositivo dell'utente o dal
log degli accessi di Azure AD.
Criteri applicabili
Questo elenco indica i criteri di accesso condizionale che saranno applicabili in base alle
condizioni. L'elenco includerà sia i controlli di concessione che di sessione che si
applicano, inclusi quelli dei criteri in modalità solo report. Alcuni esempi includono la
richiesta di autenticazione a più fattori per accedere a un'applicazione specifica.
Caso d'uso
Molte organizzazioni creano criteri in base ai percorsi di rete, autorizzando i percorsi
attendibili e bloccando i percorsi dai quali non è previsto che si esegua l'accesso.
Per verificare che una configurazione sia stata eseguita in modo appropriato, un
amministratore può usare lo strumento What If per simulare l'accesso sia da un percorso
consentito sia da un percorso non consentito.
In questo caso all'utente viene impedito l'accesso a qualsiasi app cloud durante il suo
viaggio in Corea del Nord, perché Contoso ha bloccato l'accesso da tale località.
Questo test potrebbe essere espanso per incorporare altri punti dati al fine di limitare
l'ambito.
Passaggi successivi
Cos'è la modalità solo report dell'accesso condizionale?
Informazioni su Azure Active Directory Identity Protection
Informazioni sulle identità dei dispositivi
Funzionamento: Autenticazione a più fattori di Azure AD
Monitorare la valutazione continua
dell'accesso e risolvere i problemi
Articolo • 06/04/2023
Da qui, gli amministratori vengono presentati con informazioni sugli eventi di accesso
dell'utente. Selezionare qualsiasi accesso per visualizzare i dettagli sulla sessione, ad
esempio i criteri di accesso condizionale applicati e se l'autorità di certificazione è
abilitata.
Sono presenti più richieste di accesso per ogni autenticazione. Alcuni si trovano nella
scheda interattiva, mentre altri si trovano nella scheda non interattiva. CaE è
contrassegnato come true solo per una delle richieste, può trovarsi nella scheda
interattiva o nella scheda non interattiva. Gli amministratori devono controllare
entrambe le schede per verificare se l'autenticazione dell'utente è abilitata o meno da
CAE.
Questa tabella della cartella di lavoro illustra questi scenari visualizzando i rispettivi
indirizzi IP e specificando se è stato emesso un token CAE durante la sessione.
Questa cartella di lavoro può essere utile, ad esempio quando: un utente apre Outlook
sul desktop e tenta di accedere alle risorse all'interno di Exchange Online. Questa azione
di accesso può essere mappata a più richieste di accesso interattive e non interattive nei
log, rendendo difficile la diagnosi dei problemi.
Configurazione dell'indirizzo IP
Il provider di identità e i provider di risorse potrebbero visualizzare indirizzi IP diversi.
Questa mancata corrispondenza può verificarsi a causa degli esempi seguenti:
Se questo scenario esiste nell'ambiente in uso, per evitare cicli infiniti, Azure AD rilascia
un token CAE di un'ora e non applica la modifica della posizione client durante tale
periodo di un'ora. Anche in questo caso, la sicurezza è migliorata rispetto ai token
tradizionali di un'ora, poiché stiamo ancora valutando gli altri eventi oltre agli eventi di
modifica della posizione client.
Per sbloccare gli utenti, gli amministratori possono aggiungere indirizzi IP specifici a una
posizione denominata attendibile.
7 Nota
Per altre informazioni sulle località denominate, vedere l'articolo Uso della condizione di
posizione
Passaggi successivi
Integrare i log di Azure AD con i log di Monitoraggio di Azure
Uso della condizione di posizione
Valutazione continua dell'accesso
Eseguire la migrazione dell'app client
approvata ai criteri di protezione delle
applicazioni nell'accesso condizionale
Articolo • 31/03/2023
Dopo marzo 2026, Microsoft smetterà di applicare il controllo dell'app client approvata
e sarà come se questa concessione non sia selezionata. Usare la procedura seguente
prima di marzo 2026 per proteggere i dati dell'organizzazione.
Ripetere i passaggi precedenti in tutti i criteri che usano la concessione dell'app client
approvata.
2 Avviso
7 Nota
Se un'app non supporta Richiedi i criteri di protezione delle app, gli utenti finali
che provano ad accedere alle risorse da tale app verranno bloccati.
Passaggi successivi
Per altre informazioni sui criteri di protezione delle applicazioni, vedere:
7 Nota
Per altre informazioni sulle modifiche che stiamo pianificando per la funzionalità
Controllo personalizzato, vedere l'archivio di febbraio 2020 per novità.
) Importante
L'opzione per creare un controllo personalizzato si trova nella sezione Gestisci della
pagina Accesso condizionale .
Facendo clic su Nuovo controllo personalizzato si apre un pannello con una casella di
testo per i dati JSON relativi al controllo.
Eliminazione di controlli personalizzati
Per eliminare un controllo personalizzato, è prima necessario assicurarsi che non venga
usato in alcun criterio di accesso condizionale. Al termine della procedura:
Limitazioni note
I controlli personalizzati non possono essere usati con l'automazione di Identity
Protection che richiede l'autenticazione a più fattori di Azure AD, la reimpostazione della
password self-service di Azure AD, soddisfa i requisiti di attestazione di autenticazione a
più fattori, per elevare i ruoli in Privileged Identity Manager (PIM), come parte Intune
della registrazione del dispositivo, per i trust tra tenant o quando si unisce i dispositivi
ad Azure AD.
Passaggi successivi
Criteri comuni di accesso condizionale
Modalità solo report
Simulare il comportamento di accesso usando lo strumento What If per l'accesso
condizionale
Migrazione dei criteri classici di accesso
condizionale
Articolo • 17/03/2023
Valutare la possibilità di eseguire la migrazione dei criteri non creati nel portale di Azure
perché:
È ora possibile risolvere gli scenari che non è stato possibile gestire in precedenza.
Il consolidamento consente di ridurre il numero di criteri da gestire.
È possibile gestire tutti i criteri di accesso condizionale in un'unica posizione
centrale.
Il portale di Azure classico verrà ritirato.
Questo articolo illustra cosa è necessario sapere per eseguire la migrazione dei criteri di
accesso condizionale esistenti al nuovo framework.
Criteri classici
Nella portale di Azure i criteri di accesso condizionale sono disponibili inAccesso
condizionaleper la sicurezza> di Azure Active Directory>. L'organizzazione potrebbe
anche avere criteri di accesso condizionale meno recenti non creati usando questa
pagina. Questi criteri sono noti come criteri classici. I criteri classici sono criteri di
accesso condizionale, creati in:
Nella pagina Accesso condizionale è possibile accedere ai criteri classici facendo clic su
Criteri classici nella sezione Gestisci .
La visualizzazione Criteri classici consente di eseguire queste operazioni:
Diversamente dai criteri classici, che sono legati a un'app cloud specifica, i criteri
nuovi consentono di selezionare tutte le app cloud desiderate.
I controlli applicati da criteri classici e criteri nuovi per un'app cloud devono
risultare tutti soddisfatti (AND).
Nei criteri nuovi è possibile:
Combinare più condizioni, se necessarie per lo specifico scenario.
Selezionare più requisiti di controllo di accesso e combinarli con un OR logico
(per richiedere uno dei controlli selezionati) o con un AND logico (per richiedere
tutti i controlli selezionati).
Exchange Online
Se si vuole eseguire la migrazione dei criteri classici per Exchange Online che includono
Exchange Active Sync come condizione delle app client, potrebbe non essere possibile
consolidarle in un nuovo criterio.
Ciò avviene, ad esempio, quando si vuole includere il supporto per tutti i tipi di app
client. In un criterio nuovo con Exchange Active Sync come condizione per le app client,
non è possibile selezionare altre app client.
Se sono configurati nuovi criteri con Exchange Active Sync come condizione per le app
client, è necessario assicurarsi che tutte le altre condizioni non siano configurate.
I criteri classici basati su app per Exchange Online che includono Exchange Active Sync
come condizione delle app client consentono piattaforme di dispositivi supportate e
non supportate. Anche se non si possono configurare singole piattaforme di dispositivo
in un criterio nuovo correlato, è possibile limitare il supporto alle piattaforme di
dispositivo supportate.
È possibile consolidare più criteri classici che includono Exchange Active Sync come
condizione per le app client se questi hanno:
In questo caso, è possibile consolidare i criteri classici in un unico criterio nuovo con
entrambi i requisiti selezionati.
Piattaforme per dispositivi
I criteri classici con controlli basati su app sono preconfigurati con iOS e Android come
condizione per le piattaforme di dispositivo.
Passaggi successivi
Usare la modalità solo report per l'accesso condizionale per determinare l'impatto
delle nuove decisioni relative ai criteri.
Per informazioni su come configurare un criterio di accesso condizionale, vedere
Criteri comuni di accesso condizionale.
Se si è pronti per configurare i criteri di accesso condizionale per l'ambiente,
vedere l'articolo Procedura: Pianificare la distribuzione dell'accesso condizionale in
Azure Active Directory.
Eseguire la migrazione di criteri classici
nel portale di Azure
Articolo • 17/03/2023
Questo articolo illustra come eseguire la migrazione di criteri classici che richiedono
l'autenticazione a più fattori per un'app cloud. Anche se non è un prerequisito, è
consigliabile leggere Eseguire la migrazione dei criteri classici nel portale di Azure prima
di iniziare la migrazione dei criteri classici.
Per esempi di criteri comuni e la relativa configurazione nei portale di Azure, vedere
l'articolo Criteri di accesso condizionale comuni.
Ciclo di aumento
Registratore di chiamate
Connettori
servizio Gestione dispositivi
EnrichmentSvc
IC3 Gateway
Servizio di analisi e trasformazione dei supporti
App Richiamo messaggi
Supporto asincrono per la messaggistica
MessagingAsyncMediaProd
Microsoft 365 Reporting Service
Servizio Di individuazione Microsoft
protezione Microsoft Exchange Online
Microsoft Flow
Microsoft Flow GCC
Microsoft Forms
Microsoft Forms Web
Microsoft Forms Web in Azure per enti pubblici
Microsoft Legacy To-Do WebApp
portale di Microsoft Office 365
Applicazione client di Microsoft Office
Servizio schede Contatti Microsoft
Microsoft SharePoint Online - Home page di SharePoint
portale di Microsoft Stream
servizio Microsoft Stream
Microsoft Teams
Microsoft Teams - T4L Web Client
Microsoft Teams - Servizio Teams e canali
Microsoft Teams Chat Aggregator
Servizio Graph di Microsoft Teams
Servizio di vendita al dettaglio di Microsoft Teams
Servizi di Microsoft Teams
Interfaccia utente di Microsoft Teams
Microsoft Teams Web Client
Microsoft To-Do WebApp
Microsoft Whiteboard Services
Esperienza utente di Office 365 Suite
Servizio di archiviazione OCPS
Office 365'app, corrispondente a un siteId migrato.
microservizi di Exchange Office 365
Office 365 Exchange Online
Servizio di ricerca di Office 365
Office 365 SharePoint Online
Office 365 Yammer
Office Delve
Office Hive
Office Hive Azure per enti pubblici
Office Online
Office Services Manager
Office Services Manager in USGov
Servizio Office Shredding
WCSS-Client shell di Office365
WCSS-Client shell di Office365 in Azure per enti pubblici
OfficeClientService
OfficeHome
OneDrive
OneDrive SyncEngine
OneNote
Estensione del browser Outlook
Servizio Outlook per Exchange
Servizio PowerApps
PowerApps Web
PowerApps Web GCC
ProjectWorkManagement
ProjectWorkManagement_USGov
Rispondi alla menzione
Centro sicurezza & conformità
Estendibilità del client Web di SharePoint Online
Isolamento dell'estendibilità del client Web di SharePoint Online
API Amministrazione tenant di Skype e Teams
Skype for Business Online
Skype meeting broadcast
Servizio Di presenza Skype
SmartCompose
Sway
Servizio di messaggistica di destinazione
App DoD GCC per office.com
WCSS-Client DoD della shell di Office365
conditionalAccessPolicy resource type
Article • 01/21/2022
Namespace: microsoft.graph
Methods
Method Return Type Description
Properties
Property Type Description
Relationships
None.
JSON representation
The following is a JSON representation of the resource.
JSON
"conditions": {"@odata.type":
"microsoft.graph.conditionalAccessConditionSet"},
"displayName": "String",
"grantControls": {"@odata.type":
"microsoft.graph.conditionalAccessGrantControls"},
"sessionControls": {"@odata.type":
"microsoft.graph.conditionalAccessSessionControls"},
"state": "string"
Namespace: microsoft.graph
This is the base class that represents an Azure Active Directory named location. Named
locations are custom rules that define network locations which can then be used in a
Conditional Access policy.
Methods
Method Return Type Description
Properties
Property Type Description
createdDateTime DateTimeOffset The Timestamp type represents creation date and time of
the location using ISO 8601 format and is always in UTC
time. For example, midnight UTC on Jan 1, 2014 is 2014-
01-01T00:00:00Z . Read-only.
modifiedDateTime DateTimeOffset The Timestamp type represents last modified date and
time of the location using ISO 8601 format and is always
in UTC time. For example, midnight UTC on Jan 1, 2014 is
2014-01-01T00:00:00Z . Read-only.
Relationships
None.
JSON representation
The following is a JSON representation of the resource.
JSON
"displayName": "String",
See also
What is Conditional Access?
Using the location condition in a Conditional Access policy
countryNamedLocation resource type
Article • 01/21/2022
Namespace: microsoft.graph
Represents an Azure Active Directory named location defined by countries and regions.
Named locations are custom rules that define network locations which can then be used
in a Conditional Access policy.
Methods
Method Return Type Description
Properties
Property Type Description
id String Identifier of a
namedLocation object.
Read-only. Inherited from
namedLocation.
Relationships
None.
JSON representation
The following is a JSON representation of the resource.
JSON
"countriesAndRegions": ["String"],
"countryLookupMethod": "String",
"displayName": "String",
"includeUnknownCountriesAndRegions": true,
See also
What is Conditional Access?
Using the location condition in a Conditional Access policy
ipNamedLocation resource type
Article • 02/03/2023
Namespace: microsoft.graph
Methods
Method Return Type Description
Properties
Property Type Description
createdDateTime DateTimeOffset The Timestamp type represents creation date and time of
the location using ISO 8601 format and is always in UTC
time. For example, midnight UTC on Jan 1, 2014 is 2014-
01-01T00:00:00Z . Read-only. Inherited from
namedLocation.
modifiedDateTime DateTimeOffset The Timestamp type represents last modified date and
time of the location using ISO 8601 format and is always
in UTC time. For example, midnight UTC on Jan 1, 2014 is
2014-01-01T00:00:00Z . Read-only. Inherited from
namedLocation.
Relationships
None.
JSON representation
The following is a JSON representation of the resource.
JSON
"displayName": "String",
"isTrusted": true,
See also
What is Conditional Access?
Using the location condition in a Conditional Access policy
conditionalAccessTemplate resource
type
Article • 01/26/2023
Namespace: microsoft.graph
Methods
Method Return type Description
Properties
Property Type Description
JSON representation
The following is a JSON representation of the resource.
JSON
"@odata.type": "#microsoft.graph.conditionalAccessTemplate",
"description": "String",
"details": {
"@odata.type": "microsoft.graph.conditionalAccessPolicyDetail",
"name": "String",
"scenarios": "String"
Ricevere una notifica su quando rivedere questa pagina per gli aggiornamenti
copiando e incollando questo URL: https://learn.microsoft.com/api/search/rss?
search=%22Release+notes+-+Azure+Active+Directory%22&locale=en-us nel di icone
del lettore di feed di feed feed RSS.
Azure AD viene regolarmente migliorato. Per stare al passo con gli sviluppi più recenti,
questo articolo fornisce informazioni sugli argomenti seguenti:
Questa pagina viene aggiornata ogni mese, quindi rivedila regolarmente. Se si cercano
elementi più vecchi di sei mesi, è possibile trovarli in Archivio per novità in Azure Active
Directory.
Maggio 2023
Attivare App per la logica con estensioni personalizzate nella gestione entitlement
(anteprima)
accessPackageAssignmentRequest: resume
tipo di risorsa accessPackageAssignmentWorkflowExtension
tipo di risorsa accessPackageAssignmentRequestWorkflowExtension
La versione più recente di MSAL.NET laureati le API di gestione delle identità nella
modalità di disponibilità generale del supporto, il che significa che gli sviluppatori
possono integrarli in modo sicuro nei carichi di lavoro di produzione.
Con MSAL.NET 4.54.0, le API di gestione delle identità sono ora stabili. Sono state
aggiunte alcune modifiche che semplificano l'uso e l'integrazione che potrebbero
richiedere la modifica del codice se è stata usata l'implementazione sperimentale :
La possibilità per gli utenti di creare tenant dalla panoramica di Gestisci tenant è stata
presente in Azure AD sin dall'inizio del portale di Azure. Questa nuova funzionalità nel
riquadro Impostazioni utente consente agli amministratori di impedire agli utenti di
creare nuovi tenant. È disponibile anche un nuovo ruolo Autore tenant per consentire a
utenti specifici di creare tenant. Per altre informazioni, vedere Autorizzazioni utente
predefinite.
Gli amministratori possono ora limitare agli utenti l'accesso self-service alle chiavi
BitLocker tramite la pagina Impostazioni dispositivi. L'attivazione di questa funzionalità
nasconde le chiavi BitLocker di tutti gli utenti non amministratori. Ciò consente di
controllare la gestione degli accessi di BitLocker a livello di amministratore. Per altre
informazioni, vedere Limitare le autorizzazioni predefinite degli utenti membri.
Sono state aggiunte le nuove applicazioni seguenti nella raccolta app con il supporto
per il provisioning. È ora possibile automatizzare la creazione, l'aggiornamento e
l'eliminazione degli account utente per queste nuove app integrate:
Authenticator Lite (in Outlook) è una soluzione di autenticazione per gli utenti che non
hanno ancora scaricato l'app Microsoft Authenticator. Gli utenti vengono richiesti in
Outlook sul dispositivo mobile per registrare per l'autenticazione a più fattori. Dopo aver
immesso la password all'accesso, sarà possibile inviare una notifica push al dispositivo
Android o iOS.
A causa del miglioramento della sicurezza questa funzionalità fornisce agli utenti, il
valore gestito microsoft di questa funzionalità verrà modificato da "disabilitato" a
"abilitato" il 9 giugno. Sono state apportate alcune modifiche alla configurazione della
funzionalità, quindi se è stato effettuato un aggiornamento prima della disponibilità
generale, il 17 maggio, verificare che la funzionalità sia nello stato corretto per il tenant
prima del 9 giugno. Se non si desidera abilitare questa funzionalità il 9 giugno, spostare
lo stato su "disabilitato" o impostare gli utenti per includere ed escludere i gruppi.
Per altre informazioni, vedere: Come abilitare Microsoft Authenticator Lite per Outlook
mobile (anteprima).
Nel maggio 2023 sono state aggiunte le seguenti 51 nuove applicazioni nella raccolta
app con supporto della federazione
Per elencare l'applicazione nella raccolta di app di Azure AD, leggere i dettagli qui
https://aka.ms/AzureADAppRequest
Sono stati migliorati gli accessi personali e my Security-Info per offrire maggiore
chiarezza sui tipi di altre app Authenticator di Microsoft Authenticator che un utente ha
registrato. Gli utenti vedranno ora le registrazioni di Microsoft Authenticator con
informazioni aggiuntive che mostrano l'app come registrata come MFA basata su push o
accesso al telefono senza password (PSI) e per altre app Authenticator (Software OATH)
che ora indicano che sono registrate come metodo password one-time basato su
tempo. Per altre informazioni, vedere: Configurare l'app Microsoft Authenticator come
metodo di verifica .
I provider di identità basati su SAML/Ws Fed per l'autenticazione in Azure AD B2B sono
disponibili a livello generale nei cloud US Sec, US Nat e Cina. Per altre informazioni,
vedere Federazione con provider di identità SAML/WS-Fed per gli utenti guest.
Aprile 2023
Azure Active Directory Domain Services supporta ora la sincronizzazione degli attributi
personalizzati da Azure AD per gli account locali. Per altre informazioni, vedere: Attributi
personalizzati per Azure Active Directory Domain Services.
Gli amministratori possono ora definire più proprietà durante la creazione e l'invito di un
utente nel portale di amministrazione di Entra. Questi miglioramenti portano
l'esperienza utente alla parità con le API utente create. Inoltre, gli amministratori
possono ora aggiungere utenti a un gruppo o a un'unità amministrativa e assegnare
ruoli. Per altre informazioni, vedere : Aggiungere o eliminare utenti con Azure Active
Directory.
Token Protection per le sessioni di accesso è la prima versione in una mappa stradale
per combattere gli attacchi che coinvolgono il furto di token e la riproduzione. Fornisce
l'imposizione dell'accesso condizionale di verifica del token per i client e i servizi
supportati che garantiscono l'accesso alle risorse specificate solo da un dispositivo a cui
l'utente ha eseguito l'accesso. Per altre informazioni, vedere: Accesso condizionale:
Protezione token (anteprima).
Disponibilità generale- Nuovi limiti relativi al numero e
alle dimensioni dei segreti del gruppo a partire da giugno
2023
Tipo: Modifica pianificata
A partire da giugno 2023, i segreti archiviati in un singolo gruppo non possono superare
48 singoli segreti o avere una dimensione totale maggiore di 10 KB in tutti i segreti in un
singolo gruppo. I gruppi con più di 10 KB di segreti smetteranno immediatamente di
lavorare nel giugno 2023. In giugno, i gruppi che superano 48 segreti non possono
aumentare il numero di segreti che hanno, anche se possono comunque aggiornare o
eliminare tali segreti. È consigliabile ridurre meno di 48 segreti entro gennaio 2024.
I segreti del gruppo vengono in genere creati quando un gruppo viene assegnato le
credenziali a un'app usando l'accesso Single Sign-On basato su password. Per ridurre il
numero di segreti assegnati a un gruppo, è consigliabile creare gruppi aggiuntivi e
suddividere le assegnazioni di gruppo alle applicazioni SSO basate su password in
questi nuovi gruppi. Per altre informazioni, vedere: Aggiungere l'accesso Single Sign-On
basato su password a un'applicazione.
Authenticator Lite è una superficie aggiuntiva per gli utenti di Azure Active Directory per
completare l'autenticazione a più fattori usando notifiche push nel dispositivo Android o
iOS. Con Authenticator Lite, gli utenti possono soddisfare un requisito di autenticazione
a più fattori dalla praticità di un'app familiare. Authenticator Lite è attualmente abilitato
nell'app Outlook per dispositivi mobili. Gli utenti possono ricevere una notifica nell'app
outlook per dispositivi mobili per approvare o negare o usare l'app Outlook per
generare un codice di verifica OATH che può essere immesso durante l'accesso.
L'impostazione 'Microsoft managed' per questa funzionalità verrà impostata su abilitata il
26 maggio 2023. In questo modo è possibile abilitare la funzionalità per tutti gli utenti
nei tenant in cui la funzionalità è impostata su Microsoft gestita. Se si vuole modificare
lo stato di questa funzionalità, eseguire questa operazione prima del 26 maggio 2023.
Per altre informazioni, vedere: Come abilitare Microsoft Authenticator Lite per Outlook
mobile (anteprima).
Disponibilità generale - Aspetto aggiornato per MFA per
utente
Tipo: Modifica pianificata
Ad aprile 2023 sono state aggiunte le seguenti 10 nuove applicazioni nella raccolta app
con supporto federativo:
Per elencare l'applicazione nella raccolta di app di Azure AD, leggere i dettagli qui
https://aka.ms/AzureADAppRequest
Sono state aggiunte le nuove applicazioni seguenti nella raccolta app con il supporto
per il provisioning. È ora possibile automatizzare la creazione, l'aggiornamento e
l'eliminazione degli account utente per queste nuove app integrate:
Alvao
Stack migliore
BIS
Connettore
Howspace
Kno2fy
Netsparker Enterprise
uniFLOW Online
Marzo 2023
Sono state aggiunte le nuove applicazioni seguenti nella raccolta app con il supporto
per il provisioning. È ora possibile automatizzare la creazione, l'aggiornamento e
l'eliminazione degli account utente per queste nuove app integrate:
Acunetix 360
Accesso alle applicazioni Akamai Enterprise
Ardoq
Torii
La federazione delle identità del carico di lavoro consente agli sviluppatori di usare
identità gestite per i carichi di lavoro software in esecuzione ovunque e accedere alle
risorse di Azure senza bisogno di segreti. Gli scenari principali includono:
Accesso alle risorse di Azure dai pod Kubernetes in esecuzione in qualsiasi cloud o
locale
Flussi di lavoro di GitHub da distribuire in Azure, senza segreti necessari
Accesso alle risorse di Azure da altre piattaforme cloud che supportano OIDC, ad
esempio Google Cloud Platform.
Per altre informazioni, vedere: Aggiornare le informazioni sui gruppi nel portale di App
personali .
Questa nuova cartella di lavoro semplifica l'analisi e l'analisi dei flussi di lavoro di
provisioning in un determinato tenant. Ciò include il provisioning basato sulle risorse
umane, la sincronizzazione cloud, il provisioning delle app e la sincronizzazione tra
tenant.
Alcune domande chiave che questa cartella di lavoro può aiutare a rispondere sono:
Per altre informazioni, vedere: Come usare la corrispondenza dei numeri nelle notifiche
di autenticazione a più fattori - Criteri di autenticazione
In precedenza, è stato annunciato il piano per portare il supporto IPv6 a Microsoft Azure
Active Directory (Azure AD), consentendo ai clienti di raggiungere i servizi di Azure AD
tramite endpoint IPv4, IPv6 o dual stack. Questo è solo un promemoria che è stato
avviato l'introduzione del supporto IPv6 nei servizi di Azure AD in un approccio in fase
di fine marzo 2023.
Per altre informazioni sulle impostazioni del cloud Microsoft per la collaborazione B2B,
vedere Impostazioni cloud Microsoft.
A partire da luglio 2023, vengono modernezzate le seguenti condizioni per l'uso degli
utenti finali con un visualizzatore PDF aggiornato e lo spostamento delle esperienze da
https://account.activedirectory.windowsazure.com a
https://myaccount.microsoft.com :
Febbraio 2023
Per altre informazioni sulle impostazioni del cloud Microsoft, vedere Attivare i ruoli delle
risorse di Azure in Privileged Identity Management.
È ora possibile richiedere agli utenti idonei per un ruolo di soddisfare i requisiti dei
criteri di accesso condizionale per l'attivazione: usare un metodo di autenticazione
specifico applicato tramite i punti di forza dell'autenticazione, attivare da Intune
dispositivo conforme, rispettare le condizioni per l'utilizzo e usare l'autenticazione a più
fattori di terze parti e soddisfare i requisiti di posizione.
Il rilevamento dei rischi delle proprietà di accesso non familiari fornisce ora motivi di
rischio per cui le proprietà non sono note per i clienti per analizzare meglio tale rischio.
Identity Protection presenta ora le proprietà non note nel portale di Azure
nell'esperienza utente e nell'API come Informazioni aggiuntive con una descrizione
intuitiva che spiega che le proprietà seguenti non sono note per questo accesso dell'utente
specificato.
Non sono disponibili ulteriori operazioni per abilitare questa funzionalità, le proprietà
sconosciute vengono visualizzate per impostazione predefinita. Per altre informazioni,
vedere: Rischio di accesso.
Disponibilità generale - Nuove app federate disponibili
nella raccolta di applicazioni di Azure AD - Febbraio 2023
Tipo: Nuova funzionalità
A febbraio 2023 sono state aggiunte le 10 nuove applicazioni seguenti nella raccolta di
app con il supporto per la federazione:
Per elencare l'applicazione nella raccolta di app di Azure AD, leggere i dettagli qui
https://aka.ms/AzureADAppRequest
Sono state aggiunte le nuove applicazioni seguenti nella raccolta di app con il supporto
per il provisioning. È ora possibile automatizzare la creazione, l'aggiornamento e
l'eliminazione di account utente per le app appena integrate:
Atmos
Gennaio 2023
Anteprima pubblica - Sincronizzazione tra tenant
Tipo: Nuova funzionalità
Nella versione di gennaio 2023 di Authenticator per iOS non è disponibile alcuna app
complementare per watchOS perché non è compatibile con le funzionalità di sicurezza
authenticator, ovvero non è possibile installare o usare Authenticator in Apple Watch.
Questa modifica influisce solo su Apple Watch, quindi puoi comunque usare
Authenticator negli altri dispositivi. Per altre informazioni, vedere: Domande comuni
sull'app Microsoft Authenticator .
A gennaio 2023 sono state aggiunte le 10 nuove applicazioni seguenti nella raccolta di
app con il supporto della federazione:
MINT TMS, Exterro Legal GRC Software Platform, SIX. ONE Identity Access Manager ,
Lusha, Descartes, Travel Management System , Pinpoint (SAML),my.sdworx.com, itopia
Labs , Better Stack .
Sono state aggiunte le nuove applicazioni seguenti nella raccolta di app con il supporto
per il provisioning. È ora possibile automatizzare la creazione, l'aggiornamento e
l'eliminazione di account utente per le app appena integrate:
SurveyMonkey Enterprise
Per altre informazioni su come abilitare questa funzionalità, vedere: Estensioni della
directory di Sincronizzazione cloud e mapping degli attributi personalizzati
Dicembre 2022
Questa funzionalità analizza i log lato client caricati, noti anche come log di diagnostica,
da un dispositivo Windows 10+ che ha un problema e suggerisce i passaggi di
correzione per risolvere i problemi. Gli amministratori possono usare l'utente finale per
raccogliere i log lato client e quindi caricarli in questo strumento di risoluzione dei
problemi nel portale entra. Per altre informazioni, vedere: Risoluzione dei problemi dei
dispositivi Windows in Azure AD.
Gli utenti finali possono ora abilitare l'accesso telefonico senza password per più
account nell'app Authenticator in qualsiasi dispositivo iOS supportato. I consulenti, gli
studenti e gli altri con più account in Azure AD possono aggiungere ogni account a
Microsoft Authenticator e usare l'accesso telefonico senza password per tutti dallo
stesso dispositivo iOS. Gli account Azure AD possono trovarsi nello stesso tenant o in
tenant diversi. Gli account guest non sono supportati per più accessi account da un
dispositivo.
Gli utenti finali non sono necessari per abilitare l'impostazione di telemetria facoltativa
nell'app Authenticator. Per altre informazioni, vedere Abilitare l'accesso senza password
con Microsoft Authenticator.
La possibilità per gli utenti di creare tenant dalla panoramica di Gestisci tenant è stata
presente in Azure AD dall'inizio quasi dell'portale di Azure. Questa nuova funzionalità
nell'opzione Impostazioni utente consente agli amministratori di limitare gli utenti alla
creazione di nuovi tenant. Esiste anche un nuovo ruolo creatore tenant per consentire
agli utenti specifici di creare tenant. Per altre informazioni, vedere Autorizzazioni utente
predefinite.
Sono state consolidate le impostazioni di avvio delle app pertinenti in una nuova
sezione Launcher app nei portali di Azure e Entra. Il punto di ingresso è disponibile in
Applicazioni aziendali, in cui raccolte usate per essere. È possibile trovare l'opzione
Raccolte selezionando Avvia app. Inoltre, è stata aggiunta una nuova opzione
Impostazioni di avvio app. Questa opzione include alcune impostazioni che potrebbero
essere già familiari con le impostazioni di Microsoft 365. Le nuove opzioni Impostazioni
dispongono anche di controlli per le anteprime. Come amministratore, è possibile
scegliere di provare nuove funzionalità di avvio delle app mentre sono in anteprima.
L'abilitazione di una funzionalità di anteprima significa che la funzionalità viene attivata
per l'organizzazione. Questa funzionalità abilitata riflette nel portale di App personali e
altri avviatori di app per tutti gli utenti. Per altre informazioni sulle impostazioni di
anteprima, vedere: Esperienze utente finali per le applicazioni.
È ora possibile usare le unità amministrative per delegare la gestione dei dispositivi
specificati nel tenant aggiungendo dispositivi a un'unità amministrativa. È anche
possibile assegnare ruoli predefiniti e personalizzati di gestione dei dispositivi, con
ambito a tale unità amministrativa. Per altre informazioni, vedere Gestione dei
dispositivi.
Le aziende spesso forniscono dispositivi mobili ai lavoratori frontline che devono essere
condivisi tra i turni. La modalità dispositivo condivisa di Microsoft consente ai lavoratori
front-line di eseguire facilmente l'autenticazione eseguendo automaticamente l'accesso
e l'accesso automatico di tutte le app che hanno abilitato questa funzionalità. Oltre a
Microsoft Teams e Schermata iniziale gestita disponibile a livello generale, siamo lieti di
annunciare che le app Microsoft Edge e Yammer in Android sono ora disponibili in
Anteprima pubblica.
Per i passaggi per configurare la modalità dispositivo condivisa con Intune, vedere:
Intune blog di configurazione .
Anteprima pubblica - Nuovi connettori di provisioning
nella Raccolta applicazioni di Azure AD - Dicembre 2022
Tipo: Nuova funzionalità
Sono state aggiunte le nuove applicazioni seguenti nella raccolta app con il supporto
per il provisioning. È ora possibile automatizzare la creazione, l'aggiornamento e
l'eliminazione degli account utente per queste nuove app integrate:
GHAE
Nel dicembre 2022 sono state aggiunte le seguenti 44 nuove applicazioni nella raccolta
app con supporto federativo:
Bionexo IDM , SMART Meeting Pro , Piano di controllo Venafi – Datacenter, HighQ,
Drawboard PDF , ETU Skillsims, TencentCloud IDaaS, TeamHeadquarters Email Agent
OAuth , Verizon MDM, QRadar SOAR, Tripwire Enterprise, Cisco Unified
Communications Manager, Howspace , Flipsnack SAML, Albert , Altinget.no , Coveo
Hosted Services, Cybozu(cybozu.com), BombBomb , VMware Identity Service,
HexaSync , Trifecta Teams , VerosoftDesign , Mazepay , Wistia, Begin.AI , WebCE,
Dream Broker Studio , PKSHA Chatbot, PGM-BCP , ChartDesk SSO, Elsevier SP,
GreenCommerce IdentityServer , Fullview , Aqua Platform , SpedTrack, Pinpoint ,
Componente aggiuntivo di Darzin Outlook , Componenti aggiuntivi di Outlook per gli
stakeholder, tesma, Parkable, Unite Us
Per elencare l'applicazione nella raccolta di app di Azure AD, leggere i dettagli qui
https://aka.ms/AzureADAppRequest
Perché lo facciamo?
Man mano che si consolida e si evolve microsoft Identity Platform, si investe anche in
miglioramenti significativi all'esperienza e al servizio per sviluppatori che consentono di
creare applicazioni sicure, affidabili e resilienti. Per rendere disponibili queste
funzionalità ai clienti, è necessario aggiornare l'architettura dei kit di sviluppo software.
A seguito di questa modifica, è stato deciso che il percorso in avanti richiede il tramonto
di Azure Active Directory Authentication Library. Ciò consente di concentrarsi sugli
investimenti nell'esperienza di sviluppo con Azure Active Directory Authentication
Library.
Nel giugno 2020, abbiamo annunciato la fine di 2 anni della sequenza temporale
di supporto per ADAL .
Nel dicembre 2022 è stato deciso di estendere la fine del supporto di Azure Active
Directory Authentication Library a giugno 2023.
Attraverso i sei mesi successivi (gennaio 2023 – giugno 2023) continuiamo a
informare i clienti sulla prossima fine del supporto e fornire indicazioni sulla
migrazione.
Il 2023 di giugno 2023 si creerà ufficialmente azure Active Directory Authentication
Library, rimuovendo la documentazione della libreria e archiviando tutti i
repository GitHub correlati al progetto.