Bloccare i flussi di autenticazione con i criteri di accesso condizionale

Informazioni generali

La procedura seguente consente di creare criteri di accesso condizionale per limitare l'uso del flusso del codice del dispositivo e del trasferimento dell'autenticazione all'interno dell'organizzazione.

Criteri per il flusso del codice dispositivo

È consigliabile che le organizzazioni si avvicinino al più vicino possibile a un blocco unilaterale nel flusso del codice del dispositivo. Prendere in considerazione la creazione di un criterio per controllare l'uso esistente del flusso di codice del dispositivo e determinare se è ancora necessario. Consentire solo il flusso del codice del dispositivo in casi d'uso ben documentati e protetti, ad esempio strumenti legacy che non possono essere aggiornati.

Per le organizzazioni che non usano il flusso del codice del dispositivo, bloccarlo con i criteri di accesso condizionale seguenti:

1. Accedere al Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.
2. Passare a Entra ID>Accesso condizionale>Politiche.
3. Selezionare Nuovo criterio.
4. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi, selezionare gli utenti da includere nell'ambito della politica (tutti gli utenti consigliati).
   2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e gli altri utenti necessari. Controlla regolarmente questo elenco di esclusione.
5. In Risorse di destinazione>(precedentemente app cloud)>Includi, seleziona le app che vuoi includere nell'ambito dei criteri (Tutte le risorse (precedentemente "Tutte le app cloud") consigliato).
6. In Condizioni>flussi di autenticazione impostare Configura su Sì.
   1. Selezionare Flusso di codice del dispositivo.
   2. Selezionare Fine.
7. In Controlli di accesso>Autorizzazioni, selezionare Blocca l'accesso.
   1. Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Solo report.
9. Selezionare Crea per abilitare la politica.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a Sì.

Criteri di trasferimento dell'autenticazione

Usare la condizione nei flussi di autenticazione di Accesso Condizionale per gestire la funzionalità. Blocca il trasferimento dell'autenticazione se non vuoi che gli utenti trasferiscano l'autenticazione dal PC a un dispositivo mobile. Ad esempio, bloccare il trasferimento dell'autenticazione se non si consente l'uso di Outlook nei dispositivi personali da parte di determinati gruppi. Usare i criteri di accesso condizionale seguenti per bloccare il trasferimento dell'autenticazione:

1. Accedere al Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.
2. Passare a Entra ID>Accesso condizionale>Politiche.
3. Selezionare Nuovo criterio.
4. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti o i gruppi di utenti da bloccare per il trasferimento dell'autenticazione.
   2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e gli altri utenti necessari. Controlla regolarmente questo elenco di esclusione.
5. In Risorse> di destinazione(in precedenza app cloud)>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud") o le app da bloccare per il trasferimento dell'autenticazione.
6. In Condizioni>flussi di autenticazione impostare Configura su Sì
   1. Selezionare Trasferimento di autenticazione.
   2. Selezionare Fine.
7. In Controlli di accesso>Autorizzazioni, selezionare Blocca l'accesso.
   1. Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Abilitato.
9. Selezionare Crea per abilitare la politica.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati. È consigliabile escludere gli account seguenti dai criteri:

• Accesso di emergenza o account break-glass (account d'emergenza) per evitare il blocco a causa di errori di configurazione delle politiche. Nello scenario improbabile in cui tutti gli amministratori sono bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere e ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestisci gli account di accesso di emergenza in Microsoft Entra ID.
• Account di servizio e principali del servizio, come l'account Microsoft Entra Connect Sync. Gli account di servizio sono account non interattivi che non sono associati a un utente specifico. Vengono in genere usati dai servizi back-end per consentire l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dai principali di servizio non vengono bloccate dai criteri di accesso condizionale applicati agli utenti. Usare l'accesso condizionale per le identità di carico di lavoro per definire criteri destinati ai principali del servizio.
  • Se l'organizzazione usa questi account in script o codice, sostituirli con identità gestite.

Contenuto correlato

• Accesso condizionale: flussi di autenticazione
• Accesso condizionale: trasferimento dell'autenticazione
• Accesso condizionale: condizioni