Configurare e abilitare i criteri di rischio

Esistono due tipi di criteri di rischio per l'accesso condizionale di Microsoft Entra che è possibile configurare. È possibile usare questi criteri per automatizzare la risposta ai rischi che consentono agli utenti di rimediare autonomamente quando viene rilevato il rischio:

• Criteri di rischio di accesso
• Criteri di rischio utente

Scelta di livelli di rischio accettabili

Le organizzazioni devono decidere il livello di rischio che ritengono necessario al controllo di accesso per il bilanciamento di esperienza utente e postura di sicurezza.

La scelta di applicare il controllo di accesso a un livello di rischio elevato riduce il numero di volte in cui viene attivato un criterio e riduce al minimo l'attrito per gli utenti. Tuttavia, esclude i rischi bassi e medi dai criteri, che potrebbero non impedire a un utente malintenzionato di sfruttare un'identità compromessa. Se si seleziona un livello di rischio basso per richiedere il controllo di accesso, si introducono più interruzioni per l'utente.

Le \posizioni di rete\ attendibili configurate vengono usate da Microsoft Entra ID Protection in alcuni rilevamenti dei rischi per ridurre i falsi positivi.

Le configurazioni dei criteri seguenti includono il controllo della frequenza della sessione di accesso che richiede una riautenticazione per gli utenti a rischio e per gli accessi potenzialmente rischiosi.

Raccomandazione di Microsoft

Microsoft consiglia le configurazioni criterio di rischio seguenti per proteggere l'organizzazione:

• Criteri di rischio utente
  • Richiedere una modifica della password sicura quando il livello di rischio utente è Elevato. L'autenticazione multifattore di Microsoft Entra è necessaria prima che l'utente possa creare una nuova password con riscrittura delle password per mitigare il loro rischio.
  • Il cambio sicuro della password tramite la reimpostazione della password self-service è l'unico modo per autocorreggere il rischio utente, indipendentemente dal livello di rischio.
• Criteri di rischio di accesso
  • Richiedere l'autenticazione a più fattori di Microsoft Entra quando il livello di rischio di accesso è Medio o Alto, consentendo agli utenti di dimostrare che è loro usando uno dei metodi di autenticazione registrati, correggendo il rischio di accesso.
  • Un'autenticazione a più fattori riuscita è l'unico modo per correggere automaticamente il rischio di accesso, indipendentemente dal livello di rischio.

La richiesta del controllo di accesso quando il livello di rischio è basso introduce più frizioni e interruzioni per l'utente rispetto a quelli medi o alti. La scelta di bloccare l'accesso anziché consentire opzioni di rimedio autonomo, ad esempio la modifica sicura delle password e l'autenticazione a più fattori, influisce ulteriormente sugli utenti e gli amministratori. Valutare queste scelte durante la configurazione dei criteri.

Rimedio del rischio

Le organizzazioni possono scegliere di bloccare l'accesso quando viene rilevato il rischio. Il blocco a volte impedisce agli utenti legittimi di eseguire le operazioni necessarie. Una soluzione migliore consiste nel configurare criteri di accesso condizionale basati sul rischio per l'utente e l'accesso, che consentano agli utenti di rimediare autonomamente.

Abilitare i criteri

Le organizzazioni possono scegliere di distribuire criteri basati sul rischio nell'accesso condizionale usando la procedura seguente o i modelli di accesso condizionale.

Prima che le organizzazioni abilitino questi criteri, devono intervenire per analizzare e correggere eventuali rischi attivi.

Esclusioni della polizza

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per prevenire il blocco causato da una configurazione errata delle politiche. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e principali del servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dai principali di servizio non verranno bloccate dai criteri di accesso condizionale con ambito sugli utenti. Usare l'accesso condizionale per le identità dei carichi di lavoro al fine di definire criteri destinati ai principali di servizio.
  • Se l'organizzazione ha questi account in uso negli script o nel codice, è consigliabile sostituirli con le identità gestite.

Criteri di rischio utente nell’accesso condizionale

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
2. Navigare su Entra ID>Accesso condizionale.
3. Selezionare Nuovo criterio.
4. Dai un nome alla tua polizza. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
   3. Selezionare Fine.
6. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
7. In Condizioni>Rischio utente impostare Configura su Sì.
   1. In Configura i livelli di rischio utente necessari per applicare i criteri selezionare Alto. Queste linee guida si basano sulle raccomandazioni Microsoft e potrebbero essere diverse per ogni organizzazione
   2. Selezionare Fine.
8. In Controlli di accesso>, Concedi, selezionare Concedi accesso.
   1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
   2. Selezionare Richiedi cambio password.
   3. Seleziona.
9. Sotto Sessione.
   1. Selezionare Frequenza di accesso.
   2. Assicurati che "Ogni volta" sia selezionata.
   3. Seleziona.
10. Confermare le impostazioni e impostare Abilita politica in Solo report.
11. Selezionare Crea per abilitare i criteri.

Dopo che gli amministratori valutano le impostazioni dei criteri usando l'impatto dei criteri o la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.

Scenari senza password

Per le organizzazioni che adottano metodi di autenticazione senza password apportano le modifiche seguenti:

Aggiornare i criteri di rischio utente senza password

1. In Utenti:
   1. Includere, selezionare Utenti e gruppi e specificare come destinazione gli utenti senza password.
2. In Controlli> di accessoBlocca l'accesso per gli utenti senza password.

Mitigare e sbloccare il rischio per gli utenti senza password

1. Richiedere indagini e correzioni da parte dell'amministratore di qualsiasi rischio.
2. Sbloccare l'utente.

Politica di rischio di accesso nell'Accesso Condizionale

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
2. Passare a Entra ID>Accesso condizionale.
3. Selezionare Nuovo criterio.
4. Dai un nome alla tua polizza. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
   3. Selezionare Fine.
6. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
7. In Condizioni>Rischio di accesso impostare Configura su Sì.
   1. In Selezionare il livello di rischio di accesso a cui verrà applicato questo criterio selezionare Alto e Medio. Queste linee guida si basano sulle raccomandazioni Microsoft e potrebbero essere diverse per ogni organizzazione
   2. Selezionare Fine.
8. Sotto Controlli di accesso>Concedi, selezionare Concedi accesso.
   1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione a più fattori predefinito nell'elenco.
   2. Seleziona.
9. Sotto Sessione.
   1. Selezionare Frequenza di accesso.
   2. Assicurarsi che sia selezionata Ogni Volta.
   3. Seleziona.
10. Conferma le impostazioni e imposta Abilita criterio a Solo resoconto.
11. Selezionare Crea per abilitare i criteri.

Dopo che gli amministratori valutano le impostazioni dei criteri usando l'impatto dei criteri o la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a Sì.

Scenari senza password

Per le organizzazioni che adottano metodi di autenticazione senza password apportano le modifiche seguenti:

Aggiornare i criteri di rischio di accesso senza password

1. In Utenti:
   1. Includere, selezionare Utenti e gruppi e specificare come destinazione gli utenti senza password.
   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o di tipo break-glass dell'organizzazione.
   3. Selezionare Fine.
2. In App cloud o azioni>Includi selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
3. In Condizioni>Rischio di accesso impostare Configura su Sì.
   1. In Selezionare il livello di rischio di accesso a cui verrà applicato questo criterio selezionare Alto e Medio. Per altre informazioni sui livelli di rischio, vedere Scelta dei livelli di rischio accettabili.
   2. Selezionare Fine.
4. Nei controlli di accesso>, sotto Concedi, selezionare Concedi accesso.
   1. Selezionare Richiedi livello di autenticazione, quindi selezionare l'autenticazione mfa senza password predefinita o l'autenticazione a più fattori resistente al phishing in base al metodo di destinazione degli utenti.
   2. Selezionare Seleziona.
5. In Sessione:
   1. Selezionare Frequenza di accesso.
   2. Assicurarsi che sia selezionata Ogni volta.
   3. Seleziona.

Eseguire la migrazione dei criteri di rischio per l'accesso condizionale

Se sono abilitati criteri di rischio legacy in Microsoft Entra ID Protection, è consigliabile organizzare la migrazione all'accesso condizionale:

Eseguire la migrazione all'accesso condizionale

1. Creare criteri equivalentibasati sul rischio utente e basati sul rischio di accesso in modalità solo report per l'accesso condizionale. È possibile creare un criterio con i passaggi precedenti o usare i modelli di accesso condizionale in base alle raccomandazioni di Microsoft e ai requisiti dell'organizzazione.
   1. Dopo che gli amministratori confermano le impostazioni usando la modalità solo segnalazione, possono spostare l'interruttore Abilita criterio da Solo segnalazione a Attivo.
2. Disabilitare i criteri di rischio precedenti in Protezione ID.
   1. Passare a ID Protezione> e Dashboard>. Selezionare la criterio di rischio utente o criterio di rischio di accesso.
   2. Impostare Applica politica su Disattivata.
3. Creare altri criteri di rischio, se necessario nell'accesso condizionale.

Contenuto correlato

• Abilitare i criteri di registrazione dell'autenticazione a più fattori di Microsoft Entra
• Che cos'è il rischio
• Analizzare i rilevamenti dei rischi
• Simulare i rilevamenti dei rischi