L'accesso condizionale è una funzione di sicurezza che consente alle organizzazioni di controllare l'accesso alle risorse aziendali in base a determinate condizioni. I motivi più comuni per l'utilizzo di questa tecnologia includono l'applicazione dell'autenticazione a più fattori (MFA), la richiesta di misure di autenticazione più robuste durante l'accesso e altro ancora. È anche una delle funzionalità principali di Microsoft Entra ID, focalizzata sul controllo degli accessi per applicazioni e identità nei servizi cloud di Microsoft 365. In questo articolo vedremo un po’ più da vicino cos’è e come funziona il Conditional Access in Entra ID e cercheremo di capire qual è il suo ruolo all’interno della postura di sicurezza della propria azienda.
Microsoft Entra ID (precedentemente noto come Azure Active Directory) è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Aiuta a gestire e proteggere le identità degli utenti, consente di sincronizzare le identità legacy o locali con il cloud e offre accesso Single Sign-On (SSO) alle applicazioni Infrastructure as a Service (IaaS) e Software as a Service (SaaS).
Entra ID svolge un ruolo cruciale nell'architettura cloud di Microsoft. È l'unico provider di identità che fornisce accesso diretto alle applicazioni Microsoft più diffuse, come Microsoft 365 e Azure Cloud Services, motivo per cui è essenziale configurare correttamente il proprio tenant Entra ID.
In caso contrario, le conseguenze possono essere gravi. Nell'ultimo anno, attori malevoli hanno sfruttato configurazioni errate di Entra ID in attacchi di alto profilo, tra cui l'ultima violazione ai danni di Microsoft, in cui il gruppo di hacker Midnight Blizzard ha ottenuto l’accesso a uno dei tenant Entra ID di Microsoft tramite un attacco di password spraying rivolto a utenti senza MFA.
Dopo l’iniziale violazione, il gruppo ha abusato dei permessi delle applicazioni OAuth per accedere alle caselle di posta di dirigenti e sottrarre informazioni sensibili. Violazioni di questo tipo sono prevenibili con adeguati controlli di sicurezza su Entra ID.
Implementare un sistema di autenticazione sicuro è una necessità per qualsiasi organizzazione. Tuttavia, troppe restrizioni possono rendere l’accesso non solo sicuro, ma anche frustrante per gli utenti. Per bilanciare sicurezza ed efficienza, Microsoft Entra ID utilizza le politiche di Accesso Condizionale per applicare diversi livelli di autenticazione, adattandosi alle varie condizioni.
Ma che cos’è il Conditional Access, a cosa serve e come lo si può implementare? Scopriamolo nelle prossime sezioni.
Prendiamo uno scenario ipotetico come esempio: siamo i responsabili della gestione delle identità e degli accessi in un'azienda con sede in un paese europeo. L'azienda conta un centinaio di dipendenti distribuiti tra vari dipartimenti e dispone di un'infrastruttura ibrida che include:
Sulla base di queste informazioni, il nostro compito sarà implementare una strategia di autenticazione sicura che tenga conto dei seguenti aspetti:
In buona sostanza, un sacco di requisiti che richiedono il perfetto bilanciamento tra severità e semplicità. Un compito non particolarmente semplice.
Anche se può sembrare complesso, questa è la realtà di molte aziende oggi. I dipendenti lavorano da remoto in tutto il mondo, con ruoli e livelli di accesso differenti, il che richiede strategie e metodi per garantire la sicurezza dell’autenticazione più rigorosi che mai.
Se, ad esempio, un amministratore effettua l’accesso mentre è in vacanza dall’altra parte del mondo, il suo processo di autenticazione deve essere necessariamente più severo rispetto a quando lavora in ufficio.
Per garantire questa flessibilità ai dipendenti e affrontare le diverse esigenze di sicurezza è fondamentale adottare una strategia di Conditional Access (accesso condizionale).
Questo consente di personalizzare le misure di sicurezza in base ai ruoli, alle posizioni geografiche e alle applicazioni, creando un framework di sicurezza solido e adattabile.
Ma cos'è esattamente? Vediamolo qua sotto.
Il Conditional Access è una funzionalità di sicurezza offerta da Entra ID. Questa viene fornita ai tenant premium P1 e P2, ma è disponibile anche con i piani Microsoft 365 Business Premium, M365 E3 + Security e M365 E5.
La funzione consente alle organizzazioni di controllare l’accesso ad applicazioni e risorse specifiche in base a criteri definiti per i tentativi di accesso. Gli amministratori IT possono creare più criteri per gestire le complessità e le esigenze uniche della propria infrastruttura.
Il meccanismo funziona valutando determinate condizioni al momento dell’accesso (note come condizioni di accesso), come la posizione, l’orario o il dispositivo utilizzato per effettuare la richiesta, applicando quindi criteri di sicurezza per garantire che l’accesso venga concesso solo se soddisfa le condizioni predefinite.
Lo si può immaginare come un motore di analisi dei criteri di sicurezza che elabora segnali e attributi delle richieste di autenticazione e autorizzazione in ingresso, applicando le politiche aziendali per concedere o negare l’accesso alle risorse in base a tali parametri.
La gamma di impostazioni, condizioni e criteri disponibili consente di creare criteri su misura per soddisfare le esigenze di sicurezza e conformità della propria organizzazione.
Il Conditional Access si allinea ai principi fondamentali del modello di sicurezza Zero Trust (Nessuna fiducia) di Microsoft, secondo il quale la fiducia non è mai presunta e ogni tentativo di accesso viene verificato in maniera scrupolosa.
Quando viene configurato, il Conditional Access funge da guardiano della sicurezza, assicurando che l’autenticazione e l’accesso alle risorse rispettino le condizioni e i requisiti di autenticazione stabiliti.
Un tipico flusso di accesso condizionale segue questi passaggi:
I criteri alla base del conditional access aiutano a prevenire l’accesso non autorizzato a risorse sensibili, migliorando la postura di sicurezza dell’organizzazione.
Sono strumenti estremamente versatili e si applicano a diversi scenari, ma possono risultare complessi da configurare.
Ecco alcuni modi per utilizzare i controlli dell’Accesso Condizionale per raggiungere i propri obiettivi di sicurezza e conformità:
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Di recente, sono state annunciate e rilasciate una serie di grosse novità che hanno interessato Microsoft Entra ID e le sue funzionalità di Conditional Access. Diamo uno sguardo qui sotto alle principali.
Sappiamo quanto Microsoft stia integrando sempre più il suo Copilot all’interno di tutti i suoi strumenti e le sue suite di sicurezza non fanno eccezione.
L’integrazione di Security Copilot nel Microsoft Entra Admin Center permetterà agli amministratori di accedere alle funzionalità più avanzate dell’assistente AI della casa di Redmond per la gestione della sicurezza delle identità.
Le principali funzionalità includono:
Microsoft ha annunciato l'introduzione dell'autenticazione multifattore (MFA) obbligatoria per l'accesso al Microsoft Entra Admin Center, al Microsoft Azure Portal e al Microsoft Intune Admin Center.
Inoltre, sono previste altre modifiche, tra cui l'unificazione di 'Cloud apps' e 'Global Secure Access' sotto un'unica voce 'Resources', l'aggiornamento automatico dello schema delle policy esistenti e nuove opzioni per la gestione delle notifiche MFA, inclusa l'integrazione con WhatsApp per alcuni paesi.
Tuttavia, al momento non sono disponibili informazioni ufficiali su queste modifiche e si consiglia, quindi, di monitorare gli annunci di Microsoft per avere conferma degli aggiornamenti futuri.
L'Accesso Condizionale è determinato dalle policy. Gli amministratori possono progettare e creare criteri per diversi scenari d'uso, controllando chi può accedere a cosa e quando. In base ai controlli stabiliti, le policy determinano se un utente può accedere o meno a una specifica applicazione o servizio.
Alla base del loro funzionamento, operano come dichiarazioni "se-allora". Ad esempio, se un utente tenta di accedere a un'applicazione da una posizione sconosciuta o non attendibile, dovrà utilizzare l'autenticazione a più fattori (MFA) per ottenere l’accesso.
Se, invece, l'utente sta effettuando l’accesso da una delle sedi aziendali, il prompt MFA potrebbe non essere necessario.
Le policy di Accesso Condizionale sono composte da due sezioni principali:
Per creare una nuova policy nel portale Entra ID, accediamo come amministratore e andiamo su Security > Conditional Access > Create new policy.
Configura chi è interessato dalla policy.
È possibile includere ed escludere entità all'interno della stessa policy. Ad esempio, una policy può includere un gruppo specifico (come utenti privilegiati) ed escludere ruoli specifici (come Amministratori Globali) per garantire il massimo livello di accesso granulare possibile.
Quattro tipi di risorse target possono essere protetti dalle policy di Accesso Condizionale:
Sei condizioni possono essere applicate a una policy di Accesso Condizionale:
Questo consente o nega l'accesso al tenant in base alle assegnazioni configurate.
Se la policy consente l’accesso, puoi applicare uno o più controlli di sicurezza come requisiti di accesso aggiuntivi.
Questi possono includere:
Questi controlli gestiscono le proprietà della sessione, come durata, persistenza, accesso continuo e altro, dopo un'autenticazione riuscita e permettono agli admin di implementare proprietà come:
Una volta terminata la configurazione dei controlli rilevanti è possibile applicare una delle seguenti modalità operative:
Man mano che le organizzazioni crescono, crescono anche i casi d'uso per l'accesso e ogni caso d'uso potrebbe richiedere una policy dedicata, senza contare poi che queste policy applicabili dovranno poi essere soddisfatte contemporaneamente.
A questo punto, ci si potrebbe trovare a gestire decine di policy e a chiedersi: Ci sono policy duplicate? Vengono valutate correttamente? C'è un errore logico nella configurazione della policy che nega un servizio cruciale? Ci sono utenti bloccati per errore?
Queste sono tutte preoccupazioni valide, ecco quindi due metodi semplici per risolvere eventuali problemi con le policy.
I log di accesso di Entra ID forniscono dettagli su quali policy sono state valutate durante il processo di accesso e quale è stato il loro risultato. Per visualizzare i log, accediamo a Entra ID e andiamo su Monitoring > Sign-in logs. Possiamo cliccare su ogni log e passare alla scheda Conditional Access per comprendere quali policy sono state valutate e vedere i risultati.
Possiamo utilizzare i filtri di ricerca per rispondere a domande specifiche come: "Quali policy sono state valutate per l'utente X?" o "Quale policy sta impedendo all'utente Y di accedere a Entra?".
Nella pagina dei log di accesso, clicchiamo su Add filters, scegli Conditional Access e applichiamo.
Per impostazione predefinita, il nuovo valore del filtro sarà impostato su None selected. Clicchiamo sul nuovo filtro e selezioniamo Failure.
Clicchiamo su un log di accesso fallito specifico e scegliamo la scheda Conditional Access. Selezioniamo una riga di policy specifica, poi i tre puntini sul lato destro e infine Show details. La nuova pagina aiuterà a capire perché il risultato è Failure.
Non dobbiamo necessariamente aspettare che uno scenario si verifichi per poter capire se le nostre policy funzionano o meno. Possiamo provocarlo noi stessi.
Prima che qualcuno tiri fuori un laptop con Kali, però, specifichiamo che una feature molto interessante di Entra ID è quella di poter simulare un evento di accesso per poter verificare la solidità delle policy che sono state implementate con la funzione What if.
Per farlo, dalla console di Entra ID, andiamo su Security > Conditional Access > Policy. Poi selezioniamo What If.
Nella nuova finestra, possiamo fornire allo strumento i dettagli ipotetici dell'accesso. Dopo aver compilato i dettagli, selezioniamo What If e una nuova sezione apparirà con due schede: Policies that will apply e Policies that will not apply.
Con la maggiore diffusione del lavoro remoto e l’aumento repentino degli ultimi anni delle minacce alla sicurezza digitale, avere policy d’accesso flessibili e severe al tempo stesso è fondamentale per tutti i propri utenti aziendali.
Entra ID, con le sue funzionalità di Conditional Access offre esattamente questa combinazione apparentemente paradossale e permette un controllo degli accessi certosino e che tenga in considerazione ogni potenziale fattore di rischio che possa rendere questi accessi potenzialmente sospetti.
Conoscere a fondo questa funzionalità è essenziale per tutti gli utenti Entra ID. Per chi invece sia ancora indeciso o non sappia nulla sull’argomento, non ci resta che invitare questi utenti ad approfondire l’argomento Entra ID e a mettere al sicuro le proprie identità aziendali e le proprie risorse digitali il prima possibile.
Il Conditional Access è una funzionalità di sicurezza di Entra ID che permette di controllare l’accesso alle risorse aziendali in base a condizioni predefinite. Si basa su policy che valutano fattori come la posizione geografica, il dispositivo utilizzato e il livello di rischio dell’accesso per determinare se concedere o negare l’autenticazione.
Il Conditional Access offre protezione contro accessi non autorizzati e consente di applicare l’autenticazione a più fattori solo quando necessario, evitando inutili complicazioni per gli utenti. Consente inoltre di personalizzare i criteri di accesso in base a diversi parametri, come il ruolo, la posizione e il dispositivo utilizzato. Seguendo i principi Zero Trust, garantisce un controllo rigoroso su ogni tentativo di accesso, contribuendo a rafforzare la sicurezza dell’organizzazione.
Per utilizzare il Conditional Access è necessario disporre di una licenza Entra ID Premium P1 o P2. È incluso anche nei piani Microsoft 365 Business Premium, M365 E3 + Security e M365 E5.
Quando un utente tenta di accedere a una risorsa aziendale, Entra ID valuta una serie di condizioni definite dalle policy. Queste possono includere il dispositivo utilizzato, la posizione geografica, l’orario di accesso e il livello di rischio associato all’utente. Se le condizioni stabilite vengono soddisfatte, l’accesso viene concesso. In caso contrario, può essere richiesto un ulteriore passaggio di autenticazione o l’accesso può essere negato.
Sì, è possibile configurare policy che limitano l’accesso in base alla posizione geografica e agli indirizzi IP. Per esempio, si può consentire l’accesso senza restrizioni agli utenti che si connettono dagli uffici aziendali, mentre per chi accede da una rete domestica potrebbe essere richiesto l’uso dell’autenticazione a più fattori. Gli accessi da Paesi considerati ad alto rischio possono essere completamente bloccati.
Sì, il Conditional Access supporta applicazioni SaaS come Microsoft 365, Salesforce e GitHub, oltre ai carichi di lavoro ospitati su provider IaaS come Azure. Gli amministratori possono creare policy per garantire che solo utenti e dispositivi conformi possano accedere a queste applicazioni, migliorando così la sicurezza complessiva dell’infrastruttura aziendale.
Se un utente non soddisfa le condizioni stabilite dalle policy, l’accesso alla risorsa può essere negato oppure può essere richiesta un’autenticazione aggiuntiva, come l’uso dell’MFA. In alcuni casi, possono essere applicate restrizioni alla sessione, come la necessità di ri-autenticarsi dopo un certo periodo di tempo.
Entra ID offre due strumenti per verificare il funzionamento delle policy prima di renderle operative. I sign-in logs forniscono dettagli su quali policy sono state valutate durante il processo di accesso e quale sia stato il loro impatto. La funzione What If permette invece di simulare scenari di accesso per prevedere come le policy reagirebbero a condizioni specifiche, consentendo di correggere eventuali errori prima di implementarle.
Sì, è possibile configurare policy che richiedano metodi di autenticazione senza password, come Windows Hello, FIDO2 e Microsoft Authenticator. Questo permette di ridurre il rischio di attacchi basati su credenziali compromesse, aumentando il livello di sicurezza per l’accesso alle risorse aziendali.
Uno degli errori più comuni è configurare policy troppo restrittive, che potrebbero impedire l’accesso a utenti legittimi. È fondamentale garantire che i ruoli critici, come gli amministratori, siano sempre protetti dall’autenticazione a più fattori. Un altro errore è non monitorare regolarmente i log di accesso, perché potrebbero rivelare tentativi di accesso sospetti o configurazioni errate. È inoltre importante evitare policy duplicate o contraddittorie, che potrebbero causare problemi nell’applicazione delle regole di accesso.
Per creare una nuova policy di Conditional Access, è necessario accedere al portale Entra ID e navigare nella sezione Security > Conditional Access > Create new policy. Dopo aver selezionato gli utenti e le risorse target, si devono definire le condizioni di accesso e i controlli di sicurezza da applicare, come l’MFA o le restrizioni di sessione. Prima di attivare la policy, è consigliabile testarla in modalità Report-only per verificarne il funzionamento senza influenzare gli accessi degli utenti.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
