Condividi tramite

Richiedere l'autenticazione a più fattori per la registrazione di un dispositivo

Informazioni generali

Usare l'azione utente Accesso condizionale per applicare i criteri quando gli utenti registrano o aggiungono dispositivi a Microsoft Entra ID. Questo controllo offre una granularità nella configurazione dell'autenticazione a più fattori per la registrazione o l'aggiunta di dispositivi invece di un criterio a livello di tenant attualmente esistente. Gli amministratori possono personalizzare questo criterio in base alle esigenze di sicurezza dell'organizzazione.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati. È consigliabile escludere gli account seguenti dai criteri:

  • Accesso di emergenza o account break-glass (account d'emergenza) per evitare il blocco a causa di errori di configurazione delle politiche. Nello scenario improbabile in cui tutti gli amministratori sono bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere e ripristinare l'accesso.
  • account Service e Service principals, ad esempio Microsoft Entra Connect Sync Account. Gli account di servizio sono account non interattivi che non sono associati a un utente specifico. Vengono in genere usati dai servizi back-end per consentire l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non vengono bloccate dai criteri di accesso condizionale che si applicano agli utenti. Usare l'accesso condizionale per le identità del carico di lavoro per definire criteri destinati alle entità servizio.

Creare criteri di accesso condizionale

Avviso

Se si usano metodi di autenticazione esterni, questi metodi sono attualmente incompatibili con il livello di attendibilità dell'autenticazione ed è consigliabile usare il controllo Richiedi concessione di autenticazione a più fattori .

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.
  2. Passare a Entra ID>Accesso Condizionale>Politiche.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. Definire uno standard significativo per i nomi delle policy.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi, seleziona Utenti e gruppi e scegli gli account di accesso di emergenza o "break-glass" della tua organizzazione.
  6. In Risorse di destinazioneAzioni utente, selezionare Registra o aggiungi dispositivi.
  7. In Controlli di accesso>, sotto Concedi, selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
    2. Seleziona Seleziona.
  8. Confermate le impostazioni e impostate Abilita politica su Solo segnalazione.
  9. Selezionare Crea per abilitare il tuo criterio.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a .

Avviso

Quando un criterio di accesso condizionale è configurato con l'azione utente Registrare o connettere dispositivi, è necessario impostare ID>Dispositivi>Panoramica>Impostazioni dispositivi - Require Multifactor Authentication to register or join devices with Microsoft Entra a No. In caso contrario, i criteri di accesso condizionale con questa azione utente non vengono applicati correttamente. Altre informazioni su questa impostazione del dispositivo sono disponibili in Configurare le impostazioni del dispositivo.

Screenshot della funzionalità

Contenuto correlato

  • Last updated on