• Cloud, Guide, Microsoft 365, Sicurezza
• 31 Marzo 2023

L’accesso condizionale di Azure AD è una funzionalità di sicurezza avanzata che consente alle organizzazioni di proteggere l’accesso alle risorse aziendali, controllando l’accesso degli utenti in base a determinati criteri di sicurezza. I Conditional Access policy templates permettono di distribuire le policy di accesso condizionale implementando quelle che sono le raccomandazioni da parte di Microsoft.

Nelle organizzazioni moderne il panorama delle minacce per la sicurezza è in continua evoluzione e i professionisti IT e i responsabili tecnici devono tenere il passo e apportare le modifiche necessarie alle impostazioni di sicurezza per mitigare queste minacce. Grazie a questi template Microsoft ci suggerisce la modalità ottimale per mettere in sicurezza gli accessi ad Azure AD e a tutte le applicazioni che usano Azure AD per l’autenticazione, di fatto semplificandoci il lavoro e implementando le best practices per accessi sicuri.

L’utilizzo dei template di Conditional Access di Azure AD presenta diversi vantaggi, tra cui:

• Semplificazione della configurazione: I template di Conditional Access offrono una serie di configurazioni predefinite che semplificano l’impostazione delle politiche di sicurezza.
• Risparmio di tempo: Grazie alla possibilità di utilizzare i template predefiniti, gli amministratori di sicurezza possono risparmiare tempo nella creazione delle politiche di Conditional Access.
• Sicurezza avanzata: I template di Conditional Access consentono di implementare politiche di sicurezza avanzate, come l’autenticazione a più fattori, la rilevazione delle minacce e la limitazione dell’accesso a determinate app o risorse.
• Personalizzazione: I template di Conditional Access possono essere personalizzati per soddisfare le specifiche esigenze di sicurezza delle organizzazioni, garantendo quindi un alto livello di flessibilità.

Dal portale Microsoft Entra admin center spostatevi nella sezione Protect & Secure e scegliete Conditional Access. Cliccate sul nodo + New policy from template (Preview) per visualizzare i template disponibili.

Figura 1: Creazione di una policy di accesso condizionale ad Azure AD partendo dai template

Attualmente sono disponibili 14 template, raggruppati in 5 scenari differenti:

• Secure foundation
• Zero Trust
• Remote work
• Protect administrators
• Emerging threats

I template sono:

• Block legacy authentication
• Require multifactor authentication for admins
• Require multifactor authentication for all users
• Require multifactor authentication for Azure management
• Block access for unknown or unsupported device platform
• No persistent browser session
• Require approved client apps or app protection
• Require compliant or hybrid Azure AD joined device or multifactor authentication for all users
• Require compliant or Hybrid Azure AD joined device for administrators
• Require multifactor authentication for risky sign-in Richiede Azure AD Premium P2
• Require multifactor authentication for guest access
• Require password change for high-risk users Richiede Azure AD Premium P2
• Securing security info registration
• Use application enforced restrictions for unmanaged devices
• Block access by location
• Block access except specific apps

Di fatto i primi 4 templates (Block legacy authentication, Require multifactor authentication for admins, Require multifactor authentication for all users, Require multifactor authentication for Azure management) se configurati insieme offrono le stesse funzionalità dei security defaults, di cui ho anche parlato nell’articolo Ridurre i rischi di attacchi utilizzando Azure AD Security Defaults

Selezionando i diversi template avrete a disposizione un sommario delle configurazioni applicate, potrete modificarne il contenuto ed eventualmente potete scaricarli in formato JSON per potermi modificare e successivamente riutilizzare.

Figura 2: Conditional access policy templates attualmente disponibili

Figura 3: Policy di accesso condizionale disponibili nel template

Figura 4: Template in formato JSON che è possibile scaricare e successivamente riutilizzare

Selezionate il template che volete distribuire e modificate a vostro piacimento il Policy state.

Figura 5: Schermata riepilogativa della creazione della policy di accesso condizionale con l’utilizzo di un template

Figura 6: Policy di accesso condizionale creata con successo

Potrebbe essere molto utile controllare l’effetto della policy di accesso condizionale utilizzando la funzionalità What If per verificare che una configurazione sia stata effettuata in modo appropriato.

Figura 7: Verifica della policy di accesso condizionale utilizzando la funzionalità What If

Conclusioni

L’utilizzo dei template di Conditional Access di Azure AD consente alle organizzazioni di migliorare la sicurezza delle risorse aziendali, semplificare la configurazione delle politiche di sicurezza e risparmiare tempo ed energie per l’amministrazione della sicurezza.