Obiettivo:
Abilitare i criteri di accesso condizionale all’interno del pannello di amministrazione di Entra e creare le seguenti policy:
- Consentire l’accesso dall’estero per utenti membri del gruppo MFA-ESTERO (e di conseguenza bloccare accesso dall’estero per tutti gli altri utenti)
- Bypass MFA da IP pubblici attendibili
- Richiedere MFA per tutti gli utenti
- Protezione registrazioni informazioni di sicurezza
Prerequisiti:
MFA per utente disabilitata
Sicurezza predefinita disabilitata (prestare attenzione)
Controllare che sia presente la licenza Entra P1 dall’interfaccia di amministrazione di Microsoft Entra > Panoramica
Località denominate e livelli di autenticazione
Sulla sezione “Accesso condizionale” passare a “Località denominate” e creare la “Località dei paesi” “Italia”
Creare la “Posizione degli intervalli IP” con gli indirizzi IP pubblici riconosciuti, selezionando il flag “Contrassegna come posizione attendibile”
Sulla sezione “Livelli di autenticazione” creare un nuovo livello chiamato “NO MFA – Password only” selezionando la voce “Password” sulla sezione “Autenticazione a fattore singolo”
Criterio Richiedere l’autenticazione a più fattori per tutti gli utenti e Protezione della registrazione delle informazioni di sicurezza
Sulla sezione “Protezione” > “Accesso condizionale” > “Criteri” creare un nuovo criterio da modello con il pulsante “Nuovi criteri dal modello” , selezionare poi il criterio “Richiedere l’autenticazione a più fattori per tutti gli utenti” e premendo il pulsante “Rivedi e crea”
Selezionare il comportamento del criterio desiderato (attivo, disattivo o solo report) e premere il pulsante “Crea”
Fare lo stesso per il modello del criterio “Protezione della registrazione delle informazioni di sicurezza”
Criterio Bypass MFA da IP pubblici attendibili
Sulla sezione “Protezione” > “Accesso condizionale” > “Criteri” creare un nuovo criterio con il pulsante “Nuovi criteri” e nominarlo “Bypass MFA da IP pubblici attendibili”
Nella sezione “Utenti” includere “Tutti gli utenti”
Nella sezione “Risorse di destinazione” includere “Tutte le app cloud”
Nella sezione “Rete” attivare l’interruttore “Configura” su SI, selezionare di includere “Reti e posizioni selezionate” e selezionare gli indirizzi IP pubblici precedentemente creati
Nella sezione “Concedi” Selezionare “Concedi accesso” , selezionare il flag “Richiedi complessità dell’autenticazione” e dal menu a tendina selezionare il livello di autenticazione “NO MFA – Password only” creato in precedenza.
Salvare il criterio.
Consentire l’accesso dall’estero per utenti membri del gruppo MFA-ESTERO
Sulla sezione “Protezione” > “Accesso condizionale” > “Criteri” creare un nuovo criterio con il pulsante “Nuovi criteri” e nominarlo “Consentire l’accesso dall’estero per utenti membri del gruppo MFA-ESTERO”
Nella sezione “Utenti” > “Includi” selezionare “Tutti gli utenti” poi su “Escludi” seleziona “Utenti e gruppi” selezionando il gruppo Active Directory o Microsoft 365 se non è presente Entra Connect
Nella sezione “Risorse di destinazione” includere “Tutte le app cloud”
Nella sezione “Rete” impostare “Configura” su SI includendo “Qualsiasi rete o posizione”
Escludere “Reti e posizioni selezionate” selezionando il GEOIP-ITALIA creato in precedenza
Nella sezione “Concedi” selezionare “Blocca accesso”
Salvare il criterio.
Nota: per evitare di bloccare l’accesso, l’utente amministratore utilizzato per creare i criteri di accesso condizionale viene automaticamente escluso da ogni criterio creato.
E’ quindi necessario accertarsi che l’MFA per utente sia abilitato per l’utente amministratore utilizzato.
MFA per user
Per il corretto funzionamento delle policy di accesso condizionale è necessario disabilitare tutte le MFA per utente configurate, altrimenti gli utenti non rientreranno nelle policy create.
Nell’interfaccia di amministrazione di Microsoft Entra, selezionare “Utenti” e poi “MFA per utente”
Disabilitare tutte le MFA in stato “Enforced”
Lasciare attiva (e forzata se già registrato MFA) solo per l’utente amministratore attualmente utilizzato.
- MFA Enabled: L’utente è stato aggiunto alla campagnia di registrazione MFA ma non ha ancora completato il processo di registrazione. Verrà richiesto al prossimo login.
- MFA Enforced: L’utente è stato aggiunto alla campagnia di registrazione MFA e ha completato il processo di registrazione. Lo stato verrà automaticamente aggiornato da “enabled” ad “enforced” quando registreranno i dati per MFA
- MFA Disabled: Stato di default per un nuovo utente che non è stato aggiunto alla campagna di registrazione.
