Descrivere l'accesso condizionale di Azure

  • 3 minuti

L'accesso condizionale è uno strumento usato da Microsoft Entra ID per consentire o negare l'accesso alle risorse in base a segnali di identità. Questi segnali includono chi è l'utente, dove si trova l'utente e il dispositivo da cui richiede l'accesso.

L'accesso condizionale consente agli amministratori IT di:

  • Consentire agli utenti di essere produttivi ovunque e in qualsiasi momento.
  • Proteggere gli asset critici.

L'accesso condizionale offre anche un'esperienza di autenticazione a più fattori più granulare per gli utenti. Ad esempio, un utente potrebbe non essere richiesto per un secondo fattore di autenticazione se si trova in una posizione nota. Potrebbe essere invece richiesto all'utente un secondo fattore di autenticazione se i segnali di accesso sono insoliti o se l'utente si trova in una posizione imprevista.

Durante l'accesso, l'accesso condizionale raccoglie i segnali dall'utente, prende decisioni basate su tali segnali e quindi impone tale decisione consentendo o negando la richiesta di accesso o richiedendo una risposta dell'autenticazione a più fattori.

Il diagramma seguente illustra questo flusso:

Diagramma che mostra la pipeline di accesso condizionale: i segnali come ruolo utente, posizione e dispositivo vengono valutati, quindi applicati come consentiti, richiedono l'autenticazione a più fattori o il blocco.

In questo caso, il segnale potrebbe essere la posizione dell'utente, il dispositivo dell'utente o l'applicazione a cui sta provando ad accedere.

In base a questi segnali, la decisione potrebbe essere quella di consentire l'accesso completo se l'utente accede da una posizione consueta. Se l'utente accede da una posizione insolita o contrassegnata come ad alto rischio, l'accesso potrebbe essere bloccato interamente o eventualmente concesso dopo che l'utente fornisce una seconda forma di autenticazione.

Per imposizione si intende l'azione che applica la decisione, ad esempio consentire l'accesso o richiedere all'utente di fornire una seconda forma di autenticazione.

Quando è possibile usare l'accesso condizionale?

L'accesso condizionale è utile quando è necessario:

  • Richiedere l'autenticazione a più fattori (MFA) per accedere a un'applicazione a seconda del ruolo, della posizione o della rete del richiedente. Ad esempio, è possibile richiedere l'autenticazione a più fattori per gli amministratori o per gli utenti che si connettono da percorsi di rete attendibili esterni.
  • Richiedere l'accesso ai servizi solo tramite applicazioni client approvate. Ad esempio, è possibile limitare le applicazioni di posta elettronica che possono connettersi al servizio di posta elettronica.
  • Richiedere agli utenti di accedere all'applicazione solo da dispositivi gestiti. Un dispositivo gestito è un dispositivo che soddisfa gli standard di sicurezza e conformità.
  • Bloccare l'accesso da origini non attendibili, ad esempio l'accesso da posizioni sconosciute o impreviste.

Il diagramma seguente illustra come questi scenari comuni mappano i segnali alle azioni di applicazione.

Diagramma che mostra quattro scenari di accesso condizionale: MFA per ruoli con privilegi, solo app client approvate, richiedono dispositivi gestiti e bloccano origini non attendibili, ognuna con i relativi segnali e azioni di imposizione.

Le attività IT comuni includono la richiesta di autenticazione a più fattori per i ruoli con privilegi, la limitazione dell'accesso alle app sensibili da dispositivi non gestiti e il blocco degli accessi rischiosi da posizioni impreviste.