Accesso condizionale per le identità dei carichi di lavoro
I criteri di accesso condizionale in passato venivano applicati solo agli utenti, quando accedevano ad app e servizi come SharePoint Online. È in corso l'estensione del supporto per i criteri di accesso condizionale da applicare alle entità servizio di proprietà dell'organizzazione. Questa funzionalità viene chiamata Accesso condizionale per le identità dei carichi di lavoro.
Un'identità del carico di lavoro è un'identità che consente a un'applicazione o a un'entità servizio di accedere alle risorse, talvolta nel contesto di un utente. Queste identità differiscono dagli account utente tradizionali in quanto:
- Non è possibile eseguire l'autenticazione a più fattori.
- Spesso non hanno un processo del ciclo di vita formale.
- Devono archiviare le credenziali o i segreti da qualche parte.
Queste differenze rendono le identità del carico di lavoro più difficili da gestire e le mettono a rischio di compromissione.
Importante
Le licenze Premium delle identità dei carichi di lavoro sono necessarie per creare o modificare i criteri di accesso condizionale nell’ambito delle entità servizio. Nelle directory senza licenze appropriate, i criteri di accesso condizionale esistenti per le identità dei carichi di lavoro continueranno a funzionare, ma non possono essere modificati. Per maggiori informazioni, consultare la sezione ID dei carichi di lavoro di Microsoft Entra.
Nota
I criteri possono essere applicati alle entità servizio a tenant singolo registrate nel tenant. Le app SaaS e multi-tenant di terze parti non rientrano nell'ambito. Le identità gestite non sono coperte dai criteri.
L'accesso condizionale per le identità dei carichi di lavoro consente di bloccare le entità servizio al di fuori degli intervalli IP pubblici attendibili, in base al rischio rilevato da Microsoft Entra ID Protection o in combinazione con i contesti di autenticazione.
Implementazione
Creare criteri di accesso condizionale basato sulla posizione
Creare un criterio di accesso condizionale basato sulla posizione applicabile alle entità servizio.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>dell'accesso condizionale.
- Selezionare Crea nuovo criterio.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni selezionare Utenti o identità del carico di lavoro.
- In Che cosa si applica questo criterio?, selezionare Identità del carico di lavoro.
- In Includi scegliere Seleziona entità servizio e selezionare le entità servizio appropriate dall'elenco.
- In Risorse di destinazione>>App cloud Includi selezionare Tutte le app cloud. Il criterio si applica solo quando un'entità servizio richiede un token.
- In Posizioni condizioni>includere Qualsiasi posizione ed escludere le posizioni selezionate in cui si vuole consentire l'accesso.
- In Concedi l'opzione Blocca l'accesso è l'unica opzione disponibile. L'accesso viene bloccato quando viene effettuata una richiesta di token dall'esterno dell'intervallo consentito.
- I criteri possono essere salvati in modalità solo report, consentendo agli amministratori di stimare gli effetti oppure i criteri vengono applicati attivando i criteri.
- Selezionare Crea per completare i criteri.
Creare criteri di accesso condizionale basato sul rischio
Creare criteri di accesso condizionale basati sul rischio che si applicano alle entità servizio.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>dell'accesso condizionale.
- Selezionare Crea nuovo criterio.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni selezionare Utenti o identità del carico di lavoro.
- In Che cosa si applica questo criterio?, selezionare Identità del carico di lavoro.
- In Includi scegliere Seleziona entità servizio e selezionare le entità servizio appropriate dall'elenco.
- In Risorse di destinazione>>App cloud Includi selezionare Tutte le app cloud. Il criterio si applica solo quando un'entità servizio richiede un token.
- In Condizioni>Rischio dell'entità servizio
- Impostare l'interruttore Configura su Sì.
- Selezionare i livelli di rischio in cui si vuole attivare questo criterio.
- Selezionare Fatto.
- In Concedi l'opzione Blocca l'accesso è l'unica opzione disponibile. L'accesso viene bloccato quando vengono visualizzati i livelli di rischio specificati.
- I criteri possono essere salvati in modalità solo report, consentendo agli amministratori di stimare gli effetti oppure i criteri vengono applicati attivando i criteri.
- Selezionare Crea per completare i criteri.
Rollback
Se si vuole eseguire il rollback di questa funzionalità, è possibile eliminare o disabilitare i criteri creati.
Log di accesso
I log di accesso vengono usati per esaminare il modo in cui vengono applicati i criteri per le entità servizio o gli effetti previsti dei criteri quando si usa la modalità solo report.
- Passare a Identity>Monitoring & health>Sign-in logs>Service principal sign-ins (Accessi entità servizio).
- Selezionare una voce di log e scegliere la scheda Accesso condizionale per visualizzare le informazioni di valutazione.
Motivo dell'errore quando l'accesso condizionale blocca un'entità servizio: "L'accesso è stato bloccato a causa dei criteri di accesso condizionale".
Modalità solo report
Per visualizzare i risultati di un criterio basato sulla posizione, fare riferimento alla scheda Report-only degli eventi nel report Di accesso oppure usare la cartella di lavoro Informazioni dettagliate e report per l'accesso condizionale.
Per visualizzare i risultati di un criterio basato sul rischio, fare riferimento alla scheda Report-only degli eventi nel report Di accesso.
Riferimento
Ricerca dell'objectID
È possibile ottenere l'objectID dell'entità servizio da Microsoft Entra Enterprise Applications. Non è possibile usare l'ID oggetto in Microsoft Entra Registrazioni app. Questo identificatore è l'ID oggetto della registrazione dell'app, non dell'entità servizio.
- Passare a Applicazioni aziendali di>identità>, trovare l'applicazione registrata.
- Nella scheda Panoramica copiare l'ID oggetto dell'applicazione. Questo identificatore è l'univoco dell'entità servizio, usato dai criteri di accesso condizionale per trovare l'app chiamante.
Microsoft Graph
Json di esempio per la configurazione basata sulla posizione usando l'endpoint beta di Microsoft Graph.
{
"displayName": "Name",
"state": "enabled OR disabled OR enabledForReportingButNotEnforced",
"conditions": {
"applications": {
"includeApplications": [
"All"
]
},
"clientApplications": {
"includeServicePrincipals": [
"[Service principal Object ID] OR ServicePrincipalsInMyTenant"
],
"excludeServicePrincipals": [
"[Service principal Object ID]"
]
},
"locations": {
"includeLocations": [
"All"
],
"excludeLocations": [
"[Named location ID] OR AllTrusted"
]
}
},
"grantControls": {
"operator": "and",
"builtInControls": [
"block"
]
}
}