Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Informazioni generali
Microsoft Entra ID sta implementando un modello di applicazione migliorato per i criteri di accesso condizionale destinati a Tutte le risorse e che includono una o più esclusioni di risorse. Questa modifica garantisce che gli accessi che richiedono solo gli ambiti di base ricevano le stesse protezioni di accesso condizionale di altre risorse.
In precedenza, alcuni ambiti con privilegi limitati venivano automaticamente esclusi dall'applicazione dei criteri quando esisteva un'esclusione di risorse. Con questa modifica, tali ambiti vengono ora valutati come accesso alla directory e sono soggetti ai criteri di accesso condizionale.
Per informazioni tecniche dettagliate, vedere Nuovo comportamento dell'accesso condizionale quando un criterio per tutte le risorse ha un'esclusione di risorse.
Importante
Questo aggiornamento dell'applicazione è allineato all'iniziativa Secure Future Initiative di Microsoft e agli investimenti nella difesa in profondità. Microsoft consiglia di adottare il nuovo modello di imposizione per migliorare il comportamento di sicurezza.
Chi è interessato
Questa modifica influisce sul tenant se tutte le condizioni seguenti sono vere:
- Avete uno o più criteri di accesso condizionale che si applicano a Tutte le risorse.
- Questi criteri hanno una o più esclusioni di risorse.
- Gli utenti nel tenant accedono tramite applicazioni che richiedono solo ambiti di base.
Se i criteri sono destinati a Tutte le risorse senza esclusioni di risorse, questa modifica non influisce sull'utente.
Che cosa sono gli ambiti di base
Gli ambiti di base sono un termine generico per il set di ambiti seguente:
-
Ambiti OpenID Connect (OIDC):
email,offline_access,openid,profile -
Ambiti della directory di base:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
Che cosa sta cambiando
Dopo l'implementazione, gli scenari seguenti potrebbero ora attivare problemi di accesso condizionale ( ad esempio MFA o conformità del dispositivo) in cui l'accesso è stato concesso in precedenza senza imposizione:
-
Applicazioni client pubbliche (ad esempio le app desktop) che richiedono solo ambiti di base. Ad esempio, un utente accede Visual Studio Code client desktop, che richiede
openideprofileambiti o interfaccia della riga di comando di Azure, che richiede soloUser.Read. -
Applicazioni client riservate (ad esempio le app Web) escluse da un criterio "Tutte le risorse" e che richiedono solo ambiti di directory di base. Ad esempio, un'applicazione Web esclusa dai criteri che richiede solo
User.ReadePeople.Read.
Le sfide esatte dipendono dai controlli di accesso configurati nei criteri che prendono di mira tutte le risorse o che puntano esplicitamente a Microsoft Entra ID (precedentemente noto come Windows Azure Active Directory) come risorsa.
Cosa non cambia
- Quando un'applicazione (pubblica o riservata) richiede qualsiasi ambito oltre gli ambiti di base (ad esempio,
Mail.Read), l'applicazione è già soggetta all'imposizione dell'accesso condizionale. Questo comportamento non cambia. - Per le applicazioni client riservate, escluse dai criteri Tutte le risorse e che richiedono solo scopi OIDC, non è prevista alcuna modifica.
Cosa devi fare
Usare la tabella seguente per determinare le azioni necessarie per le applicazioni:
| Tipo di applicazione | Proprietà | Azione richiesta |
|---|---|---|
| Client pubblico che richiede solo ambiti di base | Qualsiasi | Verificare se queste applicazioni devono rimanere esentate dall'applicazione dell'accesso condizionale. Se esistono motivi aziendali validi per mantenere un'esenzione, vedere Mantenere il comportamento legacy con le impostazioni dell'ambito di base. |
| Cliente riservato che richiede solo ambiti di directory principali, escluso dalla politica Tutte le risorse | Proprietà del tenant | Verificare se l'esclusione è ancora necessaria. Collaborare con gli sviluppatori di applicazioni per valutare se l'app può richiedere ambiti OIDC (ad esempio openid, profile) anziché ambiti di directory come User.Read per informazioni di base sull'utente. Se non è possibile completare gli aggiornamenti prima dell'implementazione, vedere Mantenere il comportamento legacy con le impostazioni dell'ambito di base. |
| Cliente riservato che richiede solo ambiti di directory principali, escluso dalla politica Tutte le risorse | Proprietà dell'ISV | Verificare se l'esclusione è ancora necessaria. Collaborare con l'ISV per valutare se l'applicazione può richiedere ambiti OIDC anziché ambiti di directory. Nella maggior parte dei casi, gli ambiti OIDC forniscono l'accesso con privilegi minimi necessari per questi scenari. Se l'ISV non è in grado di eseguire aggiornamenti in tempo, vedere Mantenere il comportamento legacy con le impostazioni dell'ambito di base. |
Importante
Per le applicazioni client pubbliche e riservate di proprietà del tenant, assicurarsi che l'applicazione possa gestire i problemi di accesso condizionale, ad esempio MFA o conformità del dispositivo. In caso contrario, potrebbero essere necessari aggiornamenti dell'applicazione. Fare riferimento alle indicazioni per gli sviluppatori di accesso condizionale su come aggiornare l'applicazione in modo appropriato.
Come valutare l'impatto
Visualizzare in anteprima la modifica delle norme
È possibile visualizzare in anteprima il comportamento di imposizione migliorato prima dell'inizio dell'implementazione:
- Accedere al Interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Accesso Condizionale.
- Accedere alle impostazioni degli ambiti di base nell'accesso condizionale. Questo collegamento diretto è necessario per visualizzare le impostazioni di anteprima.
- Scegliere risorsa di destinazione predefinita (Windows Azure Active Directory).
- Seleziona Salva.
Annotazioni
Questa impostazione abilita immediatamente il comportamento aggiornato dell'accesso condizionale per Tutti i criteri di risorse con esclusioni.
Di conseguenza, alcuni accessi utente non precedentemente soggetti all'imposizione della CA possono ora essere valutati e applicati in Accesso condizionale usando Windows Azure Active Directory come risorsa di destinazione.
Per ripristinare il comportamento legacy, selezionare Reimposta dalle impostazioni ambito baseline.
Se non è selezionata una risorsa di destinazione personalizzata, l'implementazione basata su Windows Azure Active Directory come risorsa di destinazione predefinita per gli ambiti di base viene applicata in fasi.
Identificare le applicazioni interessate con una risorsa di destinazione personalizzata
È possibile usare le impostazioni dell'ambito di base per identificare le applicazioni nel tenant interessate. Dopo aver abilitato l'impostazione di anteprima, gli eventi di accesso in cui le applicazioni richiedono ambiti di base elencano l'applicazione personalizzata come gruppo di destinatari dell'accesso condizionale nei log di accesso. Per altre informazioni, vedere Risolvere i problemi di accesso con l'accesso condizionale.
Query per le applicazioni interessate
Usare il Microsoft Graph query seguente per elencare le applicazioni che richiedono solo gli ambiti di base:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Sostituire <your-custom-app-id> con l'ID app dell'applicazione personalizzata.
In un periodo di più giorni, il risultato di questa query fornisce un elenco di applicazioni client che richiedono solo ambiti di base.
Mantenere il comportamento legacy con le impostazioni di ambito predefinite
Annotazioni
Microsoft consiglia di allinearsi al nuovo modello di imposizione. Usare le impostazioni dell'ambito di base solo se sono presenti scenari specifici che richiedono il comportamento legacy.
Le impostazioni dell'ambito di base sono una configurazione a livello di tenant che consente di usare un'applicazione personalizzata di proprietà del tenant come risorsa di destinazione per gli ambiti di base. Escludendo questa applicazione personalizzata dai criteri Tutte le Risorse specifici, è possibile mantenere il comportamento preesistente.
Chi deve usare questa impostazione
Usare questa impostazione se sono presenti scenari specifici che richiedono di mantenere il comportamento legacy. Gli scenari di esempio includono:
- Tutti i criteri di risorse che richiedono un controllo di autorizzazione del dispositivo conforme: Le applicazioni escluse da questi criteri perché devono essere accessibili da dispositivi non gestiti.
- Tutti i criteri delle risorse che richiedono un controllo di concessione dei criteri di protezione delle app: applicazioni client non integrate con Intune SDK e che non possono soddisfare i criteri di protezione delle app.
- Tutti i criteri delle risorse con controllo di blocco: le applicazioni client che devono essere escluse dai criteri di blocco.
- Client pubblici che devono essere esentati dai requisiti di conformità del dispositivo: a causa di motivi specifici di sicurezza e conformità.
Domande frequenti
Come è possibile visualizzare in anteprima la modifica delle regole prima della distribuzione?
Passare a https://aka.ms/BaselineScopesSettingsUX, scegliere la risorsa di destinazione predefinita (Windows Azure Active Directory) e selezionare Salva. Questa impostazione applica immediatamente il comportamento migliorato. Per ripristinare, selezionare Reimposta. Per ulteriori informazioni, consultare Anteprima della modifica di applicazione.
Come è possibile mantenere il comportamento legacy dopo l'implementazione?
Usare le impostazioni di ambito di riferimento per assegnare un'applicazione personalizzata di proprietà del tenant come risorsa di destinazione per gli ambiti di riferimento, quindi escludere tale applicazione dai criteri per tutte le risorse. Per altre informazioni, vedere Mantenere il comportamento legacy con le impostazioni dell'ambito di base.
È necessario aggiornare tutte le applicazioni?
No Solo le applicazioni che richiedono esclusivamente ambiti di base e che sono interessate dai criteri di tutte le risorse con esclusioni di risorse necessitano attenzione. Le applicazioni che richiedono ambiti oltre la baseline (ad esempio , Mail.Read) sono già soggette all'imposizione dell'accesso condizionale e non sono interessate da questa modifica.