Buonasera a tutti, in questo nuovo articolo parleremo del Conditional Access, il quale viene messo a disposizione dalla case di Redmond per permettere alle aziende di proteggere l'identità, che a sua volta previene spiacevoli sorprese alle nostre aziende.
Iniziamo a dire che la parte di Accesso Condizionale è compreso in tutte le sottoscrizioni che al loro interno includono "Azure Active Directory P1 o Azure Active Directory P2".
In questa schermata abbiamo a disposizione in maniera grafica uno schema di come è possibile implementare apposite regole per garantire o meno l'accesso alle nostre risorse aziendali secondo determinati criteri, che noi, come amministratori possiamo applicare.
Nella prima parte "SIGNALS" abbiamo appunto il segnale, o meglio l'input, con il quale possiamo generare la condizione, quindi possiamo creare una regola per:
- User and Location
- Device
- Application
- Real Time Risk
Per la parte di condizione basata sul Rischio (Sign-in o User Risk) abbiamo necessariamente bisogno di una licenza Azure Active Directory P2, naturalmente tutte le utenze che "sfruttano" queste funzionalità hanno necessità di essere in possesso di una licenza valida.
Nella parte "VERIFY EVERY ACCESS ATTEMPT" possiamo, come amministratori, concedere o meno l'accesso alle risorse aziendali quando viene validata la regola creata nel precedente step:
- Allow Access
- Require MFA
- Block Access
In questo modo potremmo bloccare l'accesso a risorse aziendali quando magari il Device da cui proviene il login non risulta compliance per delle policy che abbiamo creato nella parte di Microsoft Intune.
Di seguito riportiamo un esempio di Policy che blocca l'accesso quando il login dell'utente per tutte le applicazioni Microsoft arriva da sistemi operativi MacOs o iOS, questo perchè magari all'interno della nostra organizzazione abbiamo solo dispositivi Windows ed in questo modo riduciamo in modo concreto la superfice di attacco:
