Obiettivo:
Escludere una specifica subnet \ IP pubblico dall’autenticazione MFA controllata dagli accessi condizionali di Microsoft 365.
In questo articolo è già configurata una policy di accesso condizionale generica, andremo a configurare una nuova policy con località denominate e con livelli di autenticazione specifici.
E’ richiesta una licenza Entra P1.
I log seguenti riportano che l’utente è soggetto ai criteri di autenticazione a più fattori PER UTENTE
E’ importante disabilitarli completamente per il corretto funzionamento delle policy di accesso condizionale.
Creare una località denominata (intervallo di IP oppure località) e considerarla attendibile all’interno di Accesso condizionale – Località denominate
Modificare l’attuale criterio di accesso condizionale per MFA (deve essere già esistente, non trattato su questo articolo) escludendo la località denominata creata in precedenza
Creare un livello di autenticazione che specifichi di utilizzare autenticazione a fattore singolo
Creare una policy di accesso condizionale che imponga di utilizzare il livello di autenticazione creato in precedenza, solo per richieste provenienti dalla località denominata creata prima.
Come anticipato, è necessario disabilitare le impostazioni MFA per utente, altrimenti le policy di accesso condizionale non verranno prese in considerazione