Entra ID Conditional Access: una guida introduttiva

L'accesso condizionale è una funzione di sicurezza che consente alle organizzazioni di controllare l'accesso alle risorse aziendali in base a determinate condizioni. I motivi più comuni per l'utilizzo di questa tecnologia includono l'applicazione dell'autenticazione a più fattori (MFA), la richiesta di misure di autenticazione più robuste durante l'accesso e altro ancora. È anche una delle funzionalità principali di Microsoft Entra ID, focalizzata sul controllo degli accessi per applicazioni e identità nei servizi cloud di Microsoft 365. In questo articolo vedremo un po’ più da vicino cos’è e come funziona il Conditional Access in Entra ID e cercheremo di capire qual è il suo ruolo all’interno della postura di sicurezza della propria azienda.

Cosa troverai in questo articolo

  • Introduzione a Microsoft Entra ID
  • Entra ID Conditional Access e il problema di un'autenticazione sicura
  • Che cos’è il Conditional Access in Entra ID
  • Entra ID Conditional Access: gli elementi che lo costituiscono
  • Entra ID Conditional Access: testing e troubleshooting
Entra ID Conditional Access: una guida introduttiva

Introduzione a Microsoft Entra ID

Microsoft Entra ID (precedentemente noto come Azure Active Directory) è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Aiuta a gestire e proteggere le identità degli utenti, consente di sincronizzare le identità legacy o locali con il cloud e offre accesso Single Sign-On (SSO) alle applicazioni Infrastructure as a Service (IaaS) e Software as a Service (SaaS).

Entra ID svolge un ruolo cruciale nell'architettura cloud di Microsoft. È l'unico provider di identità che fornisce accesso diretto alle applicazioni Microsoft più diffuse, come Microsoft 365 e Azure Cloud Services, motivo per cui è essenziale configurare correttamente il proprio tenant Entra ID.

In caso contrario, le conseguenze possono essere gravi. Nell'ultimo anno, attori malevoli hanno sfruttato configurazioni errate di Entra ID in attacchi di alto profilo, tra cui l'ultima violazione ai danni di Microsoft, in cui il gruppo di hacker Midnight Blizzard ha ottenuto l’accesso a uno dei tenant Entra ID di Microsoft tramite un attacco di password spraying rivolto a utenti senza MFA.

Dopo l’iniziale violazione, il gruppo ha abusato dei permessi delle applicazioni OAuth per accedere alle caselle di posta di dirigenti e sottrarre informazioni sensibili. Violazioni di questo tipo sono prevenibili con adeguati controlli di sicurezza su Entra ID.

Implementare un sistema di autenticazione sicuro è una necessità per qualsiasi organizzazione. Tuttavia, troppe restrizioni possono rendere l’accesso non solo sicuro, ma anche frustrante per gli utenti. Per bilanciare sicurezza ed efficienza, Microsoft Entra ID utilizza le politiche di Accesso Condizionale per applicare diversi livelli di autenticazione, adattandosi alle varie condizioni.

Ma che cos’è il Conditional Access, a cosa serve e come lo si può implementare? Scopriamolo nelle prossime sezioni.

Entra ID Conditional Access e il problema di un'autenticazione sicura

Prendiamo uno scenario ipotetico come esempio: siamo i responsabili della gestione delle identità e degli accessi in un'azienda con sede in un paese europeo. L'azienda conta un centinaio di dipendenti distribuiti tra vari dipartimenti e dispone di un'infrastruttura ibrida che include:

  • Active Directory locale
  • Applicazioni legacy on-premises
  • Tenant Entra ID sincronizzato con l’AD locale
  • Carichi di lavoro su uno dei principali provider IaaS
  • Servizi cloud e applicazioni SaaS:
    • Microsoft 365 (Email, SharePoint e Office)
    • Salesforce
    • GitHub
    • Applicazione SaaS per contabilità e finanza

Sulla base di queste informazioni, il nostro compito sarà implementare una strategia di autenticazione sicura che tenga conto dei seguenti aspetti:

  • L'approccio deve essere il più permissivo possibile, adottando misure di sicurezza rigide solo quando strettamente necessario.
  • Ogni dipartimento deve essere in grado di operare da remoto, se necessario.
  • Gli utenti on-premises devono poter accedere a qualsiasi servizio dell’ambiente ibrido tramite Single Sign-On.
  • Separazione dei ruoli: i dipendenti devono avere accesso solo ai servizi pertinenti al loro lavoro.
  • Il principio del privilegio minimo deve essere applicato nell’assegnazione dei permessi alle applicazioni.

In buona sostanza, un sacco di requisiti che richiedono il perfetto bilanciamento tra severità e semplicità. Un compito non particolarmente semplice.

Anche se può sembrare complesso, questa è la realtà di molte aziende oggi. I dipendenti lavorano da remoto in tutto il mondo, con ruoli e livelli di accesso differenti, il che richiede strategie e metodi per garantire la sicurezza dell’autenticazione più rigorosi che mai.

Se, ad esempio, un amministratore effettua l’accesso mentre è in vacanza dall’altra parte del mondo, il suo processo di autenticazione deve essere necessariamente più severo rispetto a quando lavora in ufficio.

Per garantire questa flessibilità ai dipendenti e affrontare le diverse esigenze di sicurezza è fondamentale adottare una strategia di Conditional Access (accesso condizionale).

Questo consente di personalizzare le misure di sicurezza in base ai ruoli, alle posizioni geografiche e alle applicazioni, creando un framework di sicurezza solido e adattabile.

Ma cos'è esattamente? Vediamolo qua sotto.

Che cos’è il Conditional Access in Entra ID

Il Conditional Access è una funzionalità di sicurezza offerta da Entra ID. Questa viene fornita ai tenant premium P1 e P2, ma è disponibile anche con i piani Microsoft 365 Business Premium, M365 E3 + Security e M365 E5.

La funzione consente alle organizzazioni di controllare l’accesso ad applicazioni e risorse specifiche in base a criteri definiti per i tentativi di accesso. Gli amministratori IT possono creare più criteri per gestire le complessità e le esigenze uniche della propria infrastruttura.

Il meccanismo funziona valutando determinate condizioni al momento dell’accesso (note come condizioni di accesso), come la posizione, l’orario o il dispositivo utilizzato per effettuare la richiesta, applicando quindi criteri di sicurezza per garantire che l’accesso venga concesso solo se soddisfa le condizioni predefinite.

Panoramica dell'accesso condizionale in Microsoft Entra ID

Lo si può immaginare come un motore di analisi dei criteri di sicurezza che elabora segnali e attributi delle richieste di autenticazione e autorizzazione in ingresso, applicando le politiche aziendali per concedere o negare l’accesso alle risorse in base a tali parametri.

La gamma di impostazioni, condizioni e criteri disponibili consente di creare criteri su misura per soddisfare le esigenze di sicurezza e conformità della propria organizzazione.

Il Conditional Access si allinea ai principi fondamentali del modello di sicurezza Zero Trust (Nessuna fiducia) di Microsoft, secondo il quale la fiducia non è mai presunta e ogni tentativo di accesso viene verificato in maniera scrupolosa.

Quando viene configurato, il Conditional Access funge da guardiano della sicurezza, assicurando che l’autenticazione e l’accesso alle risorse rispettino le condizioni e i requisiti di autenticazione stabiliti.

Un tipico flusso di accesso condizionale segue questi passaggi:

  1. Il processo di autenticazione inizia quando l'utente inserisce le proprie credenziali primarie, di solito username e password. Se corrette, si procede alla fase successiva.
  2. Il criterio di accesso condizionale valuta se le condizioni definite nella policy sono soddisfatte. Se lo sono, vengono applicate le azioni previste.
  3. Se la policy richiede una verifica aggiuntiva, l'utente dovrà fornire un secondo fattore di autenticazione tra quelli disponibili. Dopo una verifica riuscita, il criterio di accesso viene nuovamente valutato per determinare se è necessario un ulteriore MFA.
  4. Se tutti i requisiti del criterio di accesso condizionale sono soddisfatti, l'accesso alla risorsa viene concesso. In caso contrario, l’accesso viene negato.
Zero Trust Policy con l’accesso condizionale di Entra ID

I criteri alla base del conditional access aiutano a prevenire l’accesso non autorizzato a risorse sensibili, migliorando la postura di sicurezza dell’organizzazione.

Sono strumenti estremamente versatili e si applicano a diversi scenari, ma possono risultare complessi da configurare.

Ecco alcuni modi per utilizzare i controlli dell’Accesso Condizionale per raggiungere i propri obiettivi di sicurezza e conformità:

  • Blocco degli accessi non autorizzati: consentire l’accesso solo con metodi di autenticazione senza password o resistenti al phishing, riducendo il rischio di compromissione degli account utente.
  • Accesso basato sulla posizione: concedere o bloccare l'accesso in base all'origine della richiesta di autenticazione. Si possono definire zone attendibili e non attendibili, applicando regole diverse. Ad esempio, si potrebbe richiedere MFA per gli utenti che accedono da casa, ma rilassare la regola per quelli che effettuano l’accesso dalla sede centrale.
  • Accesso basato sulla conformità: regolare l'accesso in base al dispositivo utilizzato per l’autenticazione. Si possono applicare condizioni diverse in base allo stato di conformità del dispositivo. Ad esempio, se il dispositivo è contrassegnato come conforme in Entra ID e unito al dominio, è possibile adottare controlli meno restrittivi rispetto a una politica Zero Trust più severa.
  • Controlli di sessione: limitare la durata della sessione in base al ruolo dell’utente nella directory. Per impostazione predefinita, il periodo di ri-autenticazione di Entra ID è di 90 giorni ma si possono creare criteri personalizzati per diversi ruoli aziendali in base alla loro sensibilità, ad esempio richiedendo agli amministratori di autenticarsi più frequentemente rispetto agli utenti senza privilegi.
  • Granularità di identità e applicazioni: creare criteri specifici per determinate applicazioni o utenti particolari. Ad esempio, sarebbe possibile definire una policy che concede accesso a un amministratore di emergenza (break-glass) solo in condizioni specifiche o applicare controlli di autenticazione più rigidi per le applicazioni sensibili (come i portali di amministrazione di Entra) rispetto ad altre applicazioni cloud.

Sai che aiutiamo i nostri clienti nella gestione dei loro tenant Azure?

Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:

  • ottimizzare i costi delle risorse
  • implementare procedure di scaling e high availability
  • creare deployment applicativi tramite le pipeline di DevOps
  • monitoring
  • e soprattutto security!

Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.

Entra ID Conditional Access: le novità più recenti

Di recente, sono state annunciate e rilasciate una serie di grosse novità che hanno interessato Microsoft Entra ID e le sue funzionalità di Conditional Access. Diamo uno sguardo qui sotto alle principali.

Integrazione con Security Copilot

Sappiamo quanto Microsoft stia integrando sempre più il suo Copilot all’interno di tutti i suoi strumenti e le sue suite di sicurezza non fanno eccezione.

L’integrazione di Security Copilot nel Microsoft Entra Admin Center permetterà agli amministratori di accedere alle funzionalità più avanzate dell’assistente AI della casa di Redmond per la gestione della sicurezza delle identità.

Le principali funzionalità includono:

  • Assistenza AI per l'analisi dei rischi di identità: Security Copilot fornisce riepiloghi in linguaggio naturale dei contesti e delle informazioni relativi alle identità, consentendo una risposta rapida alle minacce.
  • Suggerimenti per la configurazione delle policy: l'intelligenza artificiale integrata offre raccomandazioni per ottimizzare le policy di sicurezza, migliorando la postura complessiva dell'organizzazione.
  • Supporto nel troubleshooting degli accessi: gli amministratori possono utilizzare Security Copilot per diagnosticare e risolvere rapidamente problemi relativi agli accessi, riducendo i tempi di inattività e migliorando l'efficienza operativa.
  • Protezione dell'accesso ai servizi AI generativi come Microsoft 365 Copilot: l'integrazione garantisce che l'accesso a servizi avanzati come Microsoft 365 Copilot sia sicuro, monitorando e gestendo i rischi associati.

Modifiche strutturali

Microsoft ha annunciato l'introduzione dell'autenticazione multifattore (MFA) obbligatoria per l'accesso al Microsoft Entra Admin Center, al Microsoft Azure Portal e al Microsoft Intune Admin Center.

Inoltre, sono previste altre modifiche, tra cui l'unificazione di 'Cloud apps' e 'Global Secure Access' sotto un'unica voce 'Resources', l'aggiornamento automatico dello schema delle policy esistenti e nuove opzioni per la gestione delle notifiche MFA, inclusa l'integrazione con WhatsApp per alcuni paesi.

Tuttavia, al momento non sono disponibili informazioni ufficiali su queste modifiche e si consiglia, quindi, di monitorare gli annunci di Microsoft per avere conferma degli aggiornamenti futuri.

Entra ID Conditional Access: gli elementi che lo costituiscono

L'Accesso Condizionale è determinato dalle policy. Gli amministratori possono progettare e creare criteri per diversi scenari d'uso, controllando chi può accedere a cosa e quando. In base ai controlli stabiliti, le policy determinano se un utente può accedere o meno a una specifica applicazione o servizio.

Alla base del loro funzionamento, operano come dichiarazioni "se-allora". Ad esempio, se un utente tenta di accedere a un'applicazione da una posizione sconosciuta o non attendibile, dovrà utilizzare l'autenticazione a più fattori (MFA) per ottenere l’accesso.

Se, invece, l'utente sta effettuando l’accesso da una delle sedi aziendali, il prompt MFA potrebbe non essere necessario.

Le policy di Accesso Condizionale sono composte da due sezioni principali:

  • Assegnazioni
    • Utenti – Chi è interessato dalla policy?
    • Risorse target – Quali risorse sono protette dalla policy?
    • Condizioni – In quali condizioni la policy concede o nega l'accesso?
  • Controlli di accesso
    • Grant – Bloccare o consentire l’accesso. Se l’accesso è consentito, è possibile specificare misure di sicurezza aggiuntive.
    • Session – Gestione della durata delle sessioni in Entra ID.

Per creare una nuova policy nel portale Entra ID, accediamo come amministratore e andiamo su Security > Conditional Access > Create new policy.

Conditional Access nel Microsoft Entra Admin Center

Utenti

Configura chi è interessato dalla policy.

È possibile includere ed escludere entità all'interno della stessa policy. Ad esempio, una policy può includere un gruppo specifico (come utenti privilegiati) ed escludere ruoli specifici (come Amministratori Globali) per garantire il massimo livello di accesso granulare possibile.

Risorse target

Quattro tipi di risorse target possono essere protetti dalle policy di Accesso Condizionale:

  1. Applicazioni cloud – Qualsiasi applicazione a cui Entra ID fornisce accesso. La policy viene valutata quando un utente accede a una delle applicazioni definite come target.
  2. Azioni utente – La policy viene valutata quando l'utente tenta di registrare informazioni di sicurezza (MFA, password, ecc.) o di connettere un nuovo dispositivo al tenant.
  3. Global Secure Access – Una soluzione di sicurezza di rete che protegge e controlla l'accesso alle risorse aziendali, applicando policy di accesso condizionale a livello di rete. Per maggiori informazioni, invitiamo a consultare la documentazione di Microsoft.
  4. Contesto di autenticazione – Un tag applicabile a Azioni Protette (azioni a livello di tenant), Gruppi Entra ID e dati SharePoint. Quando si configura una policy basata sul contesto di autenticazione, è necessario selezionare almeno un contesto di autenticazione. La policy viene valutata nei seguenti casi:
    • L'utente esegue un'azione protetta associata al contesto di autenticazione.
    • L'utente è membro di un gruppo associato al contesto di autenticazione.
    • L'utente tenta di accedere a un file associato al contesto di autenticazione.

Conditions

Sei condizioni possono essere applicate a una policy di Accesso Condizionale:

  1. Rischio utente – Questa funzionalità di sicurezza di Entra ID contrassegna gli utenti come a rischio se vengono rilevate attività sospette.
  2. Rischio di accesso – Se Entra ID identifica un tentativo di autenticazione come rischioso, la policy viene valutata al momento dell’accesso. Puoi controllare l’accesso degli utenti in base al livello di rischio rilevato da Entra ID durante l’autenticazione.
  3. Piattaforme dei dispositivi – Approva o nega le richieste di autenticazione in base al sistema operativo del dispositivo utilizzato per l’accesso.
  4. Posizione – Le posizioni sono oggetti configurabili che raggruppano elenchi di indirizzi IP, CIDR (Classless Inter-Domain Routing) e località geografiche. Si possono approvare o negare gli accessi in base all’origine della richiesta di autenticazione.
  5. Applicazioni client – Esistono due principali tipi di applicazioni client: quelle che utilizzano l'autenticazione moderna e quelle che si basano su protocolli di autenticazione legacy. È possibile approvare o negare una richiesta di autenticazione in base all’applicazione client utilizzata per l’accesso, il che è particolarmente utile, poiché le applicazioni legacy possono esporre il tenant a rischi come la scoperta degli utenti e attacchi brute-force.
  6. Filtro per dispositivi – Si possono applicare condizioni personalizzate sui dispositivi per decidere quali sono autorizzati ad accedere al proprio tenant.

Grant

Questo consente o nega l'accesso al tenant in base alle assegnazioni configurate.

Se la policy consente l’accesso, puoi applicare uno o più controlli di sicurezza come requisiti di accesso aggiuntivi.

Questi possono includere:

  • Richiedere l'autenticazione a più fattori (MFA) – È necessario qualsiasi tipo di MFA per accedere.
  • Richiedere un livello di autenticazione specifico – Scegli quali tipi di MFA (passwordless, resistente al phishing o qualsiasi tipo) sono richiesti per l'accesso.
  • Richiedere che il dispositivo sia conforme – Determinato dalla policy di conformità di Intune.
  • Richiedere che il dispositivo sia unito a Entra ID in modalità ibrida – Consente l’accesso solo se il dispositivo è registrato in Entra ID.
  • Richiedere un'app client approvata – Consente l’accesso solo se l'utente si autentica tramite applicazioni elencate nella documentazione di Microsoft.
  • Richiedere una policy di protezione delle app – L’applicazione utilizzata per l’accesso deve essere protetta da una policy di protezione delle app di Intune. Per ulteriori dettagli, consulta la documentazione di Microsoft.
  • Richiedere il cambio della password – Consente l’accesso e forza un cambio di password dopo un’autenticazione riuscita.

Session

Questi controlli gestiscono le proprietà della sessione, come durata, persistenza, accesso continuo e altro, dopo un'autenticazione riuscita e permettono agli admin di implementare proprietà come:

  • Utilizzare le restrizioni applicate dall’app – Definisce una sessione limitata o completa in base al dispositivo di origine. Quando si utilizza questo controllo, Entra ID trasmette le informazioni sul dispositivo all’applicazione di destinazione. Ogni applicazione può essere configurata per stabilire sessioni con diverse capacità in base ai dati ricevuti. I servizi cloud di Microsoft, come Microsoft 365, Exchange Online e SharePoint Online, supportano questo controllo. Ad esempio, puoi configurare Microsoft 365 per consentire sessioni illimitate solo quando l’accesso avviene da un dispositivo ibrido unito al dominio, anche per gli utenti amministratori.
  • Utilizzare il controllo delle app con Accesso Condizionale – I tenant con una licenza Microsoft Defender for Cloud e Entra ID P1 possono reindirizzare il traffico verso le loro applicazioni cloud tramite Defender for Cloud Apps. Questo funge da proxy tra l'utente e l'app di destinazione, monitorando l'attività dell'utente per rilevare eventuali azioni sospette.
  • Frequenza di accesso – Determina il tempo massimo prima che un utente debba autenticarsi nuovamente.
  • Sessione del browser persistente – Permette alla sessione di rimanere attiva anche dopo la chiusura del browser. Questa opzione non è consigliata poiché espone la sessione a rischi inutili.
  • Personalizzare la valutazione dell’accesso continuo – Revoca i token di accesso in base a eventi critici in tempo reale. Ad esempio, puoi monitorare continuamente l'indirizzo IP della sessione e revocarla se cambia (indicando un possibile furto di sessione), costringendo l’utente a ri-autenticarsi.
  • Disabilitare le impostazioni di resilienza predefinite – Controlla cosa accade se le policy non possono essere valutate, ad esempio a causa di un’interruzione di corrente. Per impostazione predefinita, Entra ID estende automaticamente la durata delle sessioni attive se non può elaborare le policy. Se attivi questo controllo, Entra ID non estenderà la sessione.
  • Richiedere la protezione del token per le sessioni di accesso (anteprima) – Collega le sessioni utente al dispositivo da cui sono state generate. Questa funzione è disponibile per dispositivi supportati ed è rilevante solo per Exchange Online e SharePoint. Consulta la documentazione Microsoft per ulteriori dettagli.
  • Utilizzare il profilo di sicurezza di Global Secure Access – Rilevante solo se la risorsa target della policy è impostata su Global Secure Access.

Una volta terminata la configurazione dei controlli rilevanti è possibile applicare una delle seguenti modalità operative:

  • On – La policy è attiva e consente o nega l'accesso in base ai controlli configurati.
  • Off – La policy non è attiva.
  • Report-only – La policy non è attiva, ma registra i risultati della valutazione della policy. Questa opzione è ideale per il debug delle policy.

Entra ID Conditional Access: testing e troubleshooting

Man mano che le organizzazioni crescono, crescono anche i casi d'uso per l'accesso e ogni caso d'uso potrebbe richiedere una policy dedicata, senza contare poi che queste policy applicabili dovranno poi essere soddisfatte contemporaneamente.

A questo punto, ci si potrebbe trovare a gestire decine di policy e a chiedersi: Ci sono policy duplicate? Vengono valutate correttamente? C'è un errore logico nella configurazione della policy che nega un servizio cruciale? Ci sono utenti bloccati per errore?

Queste sono tutte preoccupazioni valide, ecco quindi due metodi semplici per risolvere eventuali problemi con le policy.

Sign-in logs

I log di accesso di Entra ID forniscono dettagli su quali policy sono state valutate durante il processo di accesso e quale è stato il loro risultato. Per visualizzare i log, accediamo a Entra ID e andiamo su Monitoring > Sign-in logs. Possiamo cliccare su ogni log e passare alla scheda Conditional Access per comprendere quali policy sono state valutate e vedere i risultati.

Log di accesso di Microsoft Entra ID

Possiamo utilizzare i filtri di ricerca per rispondere a domande specifiche come: "Quali policy sono state valutate per l'utente X?" o "Quale policy sta impedendo all'utente Y di accedere a Entra?".

Nella pagina dei log di accesso, clicchiamo su Add filters, scegli Conditional Access e applichiamo.

Per impostazione predefinita, il nuovo valore del filtro sarà impostato su None selected. Clicchiamo sul nuovo filtro e selezioniamo Failure.

Clicchiamo su un log di accesso fallito specifico e scegliamo la scheda Conditional Access. Selezioniamo una riga di policy specifica, poi i tre puntini sul lato destro e infine Show details. La nuova pagina aiuterà a capire perché il risultato è Failure.

What if

Non dobbiamo necessariamente aspettare che uno scenario si verifichi per poter capire se le nostre policy funzionano o meno. Possiamo provocarlo noi stessi.

Prima che qualcuno tiri fuori un laptop con Kali, però, specifichiamo che una feature molto interessante di Entra ID è quella di poter simulare un evento di accesso per poter verificare la solidità delle policy che sono state implementate con la funzione What if.

Per farlo, dalla console di Entra ID, andiamo su Security > Conditional Access > Policy. Poi selezioniamo What If.

Nella nuova finestra, possiamo fornire allo strumento i dettagli ipotetici dell'accesso. Dopo aver compilato i dettagli, selezioniamo What If e una nuova sezione apparirà con due schede: Policies that will apply e Policies that will not apply.

Simulare un evento di accesso con What If di Microsoft Entra ID

Conclusioni

Con la maggiore diffusione del lavoro remoto e l’aumento repentino degli ultimi anni delle minacce alla sicurezza digitale, avere policy d’accesso flessibili e severe al tempo stesso è fondamentale per tutti i propri utenti aziendali.

Entra ID, con le sue funzionalità di Conditional Access offre esattamente questa combinazione apparentemente paradossale e permette un controllo degli accessi certosino e che tenga in considerazione ogni potenziale fattore di rischio che possa rendere questi accessi potenzialmente sospetti.

Conoscere a fondo questa funzionalità è essenziale per tutti gli utenti Entra ID. Per chi invece sia ancora indeciso o non sappia nulla sull’argomento, non ci resta che invitare questi utenti ad approfondire l’argomento Entra ID e a mettere al sicuro le proprie identità aziendali e le proprie risorse digitali il prima possibile.

FAQ sull'accesso condizionale in Entra ID

Che cos’è il Conditional Access in Entra ID?

Il Conditional Access è una funzionalità di sicurezza di Entra ID che permette di controllare l’accesso alle risorse aziendali in base a condizioni predefinite. Si basa su policy che valutano fattori come la posizione geografica, il dispositivo utilizzato e il livello di rischio dell’accesso per determinare se concedere o negare l’autenticazione.

Quali sono i principali vantaggi del Conditional Access?

Il Conditional Access offre protezione contro accessi non autorizzati e consente di applicare l’autenticazione a più fattori solo quando necessario, evitando inutili complicazioni per gli utenti. Consente inoltre di personalizzare i criteri di accesso in base a diversi parametri, come il ruolo, la posizione e il dispositivo utilizzato. Seguendo i principi Zero Trust, garantisce un controllo rigoroso su ogni tentativo di accesso, contribuendo a rafforzare la sicurezza dell’organizzazione.

Quali licenze sono necessarie per usare il Conditional Access?

Per utilizzare il Conditional Access è necessario disporre di una licenza Entra ID Premium P1 o P2. È incluso anche nei piani Microsoft 365 Business Premium, M365 E3 + Security e M365 E5.

Come funziona il Conditional Access in pratica?

Quando un utente tenta di accedere a una risorsa aziendale, Entra ID valuta una serie di condizioni definite dalle policy. Queste possono includere il dispositivo utilizzato, la posizione geografica, l’orario di accesso e il livello di rischio associato all’utente. Se le condizioni stabilite vengono soddisfatte, l’accesso viene concesso. In caso contrario, può essere richiesto un ulteriore passaggio di autenticazione o l’accesso può essere negato.

Il Conditional Access può essere usato per bloccare accessi da determinate posizioni?

Sì, è possibile configurare policy che limitano l’accesso in base alla posizione geografica e agli indirizzi IP. Per esempio, si può consentire l’accesso senza restrizioni agli utenti che si connettono dagli uffici aziendali, mentre per chi accede da una rete domestica potrebbe essere richiesto l’uso dell’autenticazione a più fattori. Gli accessi da Paesi considerati ad alto rischio possono essere completamente bloccati.

Il Conditional Access può proteggere l’accesso alle applicazioni cloud?

Sì, il Conditional Access supporta applicazioni SaaS come Microsoft 365, Salesforce e GitHub, oltre ai carichi di lavoro ospitati su provider IaaS come Azure. Gli amministratori possono creare policy per garantire che solo utenti e dispositivi conformi possano accedere a queste applicazioni, migliorando così la sicurezza complessiva dell’infrastruttura aziendale.

Cosa succede se un utente non soddisfa i requisiti di una policy di Conditional Access?

Se un utente non soddisfa le condizioni stabilite dalle policy, l’accesso alla risorsa può essere negato oppure può essere richiesta un’autenticazione aggiuntiva, come l’uso dell’MFA. In alcuni casi, possono essere applicate restrizioni alla sessione, come la necessità di ri-autenticarsi dopo un certo periodo di tempo.

Come si possono testare le policy di Conditional Access prima di applicarle?

Entra ID offre due strumenti per verificare il funzionamento delle policy prima di renderle operative. I sign-in logs forniscono dettagli su quali policy sono state valutate durante il processo di accesso e quale sia stato il loro impatto. La funzione What If permette invece di simulare scenari di accesso per prevedere come le policy reagirebbero a condizioni specifiche, consentendo di correggere eventuali errori prima di implementarle.

Il Conditional Access è compatibile con l’autenticazione passwordless?

Sì, è possibile configurare policy che richiedano metodi di autenticazione senza password, come Windows Hello, FIDO2 e Microsoft Authenticator. Questo permette di ridurre il rischio di attacchi basati su credenziali compromesse, aumentando il livello di sicurezza per l’accesso alle risorse aziendali.

Quali sono i principali errori da evitare nella configurazione del Conditional Access?

Uno degli errori più comuni è configurare policy troppo restrittive, che potrebbero impedire l’accesso a utenti legittimi. È fondamentale garantire che i ruoli critici, come gli amministratori, siano sempre protetti dall’autenticazione a più fattori. Un altro errore è non monitorare regolarmente i log di accesso, perché potrebbero rivelare tentativi di accesso sospetti o configurazioni errate. È inoltre importante evitare policy duplicate o contraddittorie, che potrebbero causare problemi nell’applicazione delle regole di accesso.

Come posso iniziare a configurare il Conditional Access in Entra ID?

Per creare una nuova policy di Conditional Access, è necessario accedere al portale Entra ID e navigare nella sezione Security > Conditional Access > Create new policy. Dopo aver selezionato gli utenti e le risorse target, si devono definire le condizioni di accesso e i controlli di sicurezza da applicare, come l’MFA o le restrizioni di sessione. Prima di attivare la policy, è consigliabile testarla in modalità Report-only per verificarne il funzionamento senza influenzare gli accessi degli utenti.

Scopri perché scegliere il team

Infra & Sec

Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).