Automatizza le decisioni sugli accessi grazie all’accesso condizionale
Gestione password self-service » Funzionalità » Automatizza le decisioni sugli accessi grazie all’accesso condizionale

Automatizza le decisioni sugli accessi grazie all’accesso condizionale

Il modello di lavoro da remoto si è dimostrato vantaggioso sia per le organizzazioni che per i lavoratori ed è previsto che continui. Dato che gli utenti da remoto sono più esposti agli attacchi informatici, è necessario applicare rigide misure di sicurezza come l’autenticazione a più fattori (MFA) per evitare violazioni dei dati. Tuttavia, l'applicazione a livello di organizzazione di criteri di accesso più rigidi come l'autenticazione a più fattori può avere effetti negativi sull’esperienza degli utenti. Mentre un’autenticazione a due o tre fattori è efficace nel proteggere gli accessi da remoto, può rivelarsi un’inutile seccatura per gli utenti già protetti dal fatto di essere fisicamente in ufficio. Un approccio più efficiente è l'applicazione di criteri diversi in base al contesto. La funzionalità di accesso condizionale di ADSelfService Plus aiuta proprio in questo. Le organizzazioni possono:

  • Applicare il controllo degli accessi senza intervento dell’amministratore IT.
  • Migliorare il livello di sicurezza dell’organizzazione senza peggiorare l’esperienza degli utenti.

Che cos'è l'accesso condizionale?

L’accesso condizionale applica una serie di regole che analizzano i vari fattori di rischio, come indirizzo IP, orario di accesso, dispositivo e posizione geografica dell’utente, per applicare decisioni automatizzate riguardo al controllo degli accessi. Queste decisioni vengono applicate in tempo reale, basandosi sui fattori di rischio di ogni utente, per evitare che vengano imposte inutili misure di sicurezza rigide in scenari a basso rischio. Ciò garantisce una migliore esperienza per gli utenti senza rinunciare alla sicurezza.

Questi sono alcuni degli scenari più comuni e le rispettive misure di sicurezza che possono essere applicate usando l’accesso condizionale:

  • Obbligo di verifica a più fattori per gli utenti con privilegi.
  • Obbligo di autenticazione a più fattori per l'accesso da remoto alle applicazioni aziendali critiche per tutti gli utenti.
  • Blocco degli accessi alle azioni a rischio elevato come le richieste di reimpostazione delle password da IP non attendibili o da dispositivi sconosciuti.

Come funziona il criterio di accesso a condizionale?

Prima di scoprire come funziona l’accesso condizionale, diamo un’occhiata ai componenti fondamentali che compongono una regola di accesso condizionale:

  1. Condizioni

    Comprendono l’elenco di fattori che hanno un impatto chiave sulla sicurezza della tua organizzazione. ADSelfService Plus consente di configurare condizioni in base ai seguenti fattori di rischio:

    • Indirizzo IP (attendibile e non attendibile)
    • Dispositivo (tipo di dispositivo e piattaforma)
    • Orario lavorativo (entro o fuori l’orario lavorativo)
    • Posizione geografica (in base all’origine della richiesta)
  2. Criteri

    Dopo aver configurato le condizioni, possono essere creati criteri utilizzando gli operatori logici AND, OR e NOT. Saranno questi criteri a essere associati al criterio di accesso.

  3. Criterio di accesso

    I singoli criteri vengono quindi associati a un criterio di accesso preconfigurato, che in ADSelfService Plus viene identificato come “criterio self-service”. Gli amministratori IT possono creare dei criteri self-service e abilitare specifiche funzionalità per gli utenti in base all'appartenenza a gruppi, domini e unità organizzative (OU).

Per ulteriori dettagli su come creare regole di accesso condizionale, consulta le guide relative ai criteri self-service e alla configurazione dell’accesso condizionale.

Una volta creata una regola di accesso condizionale, questo è ciò che succede:

conditional-access-policy

  1. Un utente tenta di accedere alla propria macchina o, dopo l'accesso, tenta di accedere a un’applicazione o a una delle funzionalità self-service di ADSelfService Plus.
  2. In base alle condizioni predefinite, vengono analizzati i fattori di rischio come indirizzo IP, orario di accesso e posizione geografica.
  3. Se i dati soddisfano le condizioni, l’utente viene assegnato a un criterio self-service che abilita una di queste azioni:
    • Completamento dell’accesso all’account del dominio e alle funzionalità
    • Protezione dell’accesso tramite autenticazione a più fattori
    • Limitazione dell’accesso ad alcune funzionalità
    • Imposizione di restrizioni di accesso a determinate funzionalità
  4. Se l’utente non soddisfa una delle regole di accesso condizionale configurate, viene applicato un criterio self-service in base al gruppo o alla unità organizzativa dell’utente.

Casi d'uso per illustrare il funzionamento dei criteri di accesso condizionale

Caso d’uso 1: Gli accessi da remoto al dominio Active Directory (AD) di un’organizzazione richiedono di essere protetti tramite autenticazione a più fattori

Nel nostro esempio, immaginiamo che gli utenti locali siano il 50% della forza lavoro della tua organizzazione. Un altro 20% è composto da utenti remoti. Il rimanente 30% è formato da utenti che alternano modelli di lavoro in presenza e da remoto, a seconda delle esigenze. Vogliamo applicare l’autenticazione a più fattori a tutti gli utenti che effettuano l'accesso da remoto. L'utilizzo dell’accesso condizionale in questo scenario prevede di:

  1. Applicare un criterio self-service che abiliti l'autenticazione a più fattori degli endpoint.
  2. Configurazione di due condizioni:
    • Indirizzo IP: Viene fornito un elenco di indirizzi IP attendibili.
    • Posizione geografica: Selezione di posizioni geografiche diverse dalla sede dell’organizzazione.
  3. Creazione del criterio seguente:
    • (NOT indirizzi IP attendibili) AND posizioni selezionate
  4. Il criterio viene quindi associato al criterio self-service.

Ecco come funziona questo criterio di accesso condizionale:

Quando un utente tenta di effettuare l'accesso a una macchina, vengono analizzati l’indirizzo IP dell’utente e la sua posizione geografica. Se non si tratta di un indirizzo IP attendibile e la posizione geografica è una di quelle selezionate, la regola è soddisfatta e all’utente viene assegnato un criterio self-service che impone un'autenticazione a più fattori per gli endpoint. Quando le condizioni non sono soddisfatte, viene assegnato all’utente un qualsiasi altro criterio self-service applicabile.

Caso d’uso 2: L’accesso alle applicazioni aziendali tramite SSO solo agli utenti con macchine appartenenti al dominio

Le applicazioni aziendali sono spesso utilizzate per elaborare e archiviare i dati sensibili degli utenti. Dato che la maggior parte di queste applicazioni è ora distribuita in cloud e al di fuori dal perimetro di sicurezza della tua rete, sono uno dei bersagli preferiti da parte degli autori di attacchi informatici. Gli hacker utilizzano il phishing e altre tecniche di attacco per ottenere accesso all’applicazione ed esfiltrare i dati da remoto. Con l’accesso condizionale, puoi consentire l’accesso alle applicazioni contenenti dati sensibili solo agli utenti collegati da un computer appartenente al dominio. Per un livello di sicurezza ancora più alto, puoi autorizzare l’accesso alle applicazioni critiche solo per un elenco di indirizzi IP attendibili, garantendo che gli hacker non possano accedere alle applicazioni neanche in caso di furto delle credenziali di un utente. Questo è un esempio di configurazione di una regola per l’accesso condizionale in questo scenario:

  1. Configurazione di un criterio self-service che abilita il SSO per le applicazioni necessarie.
  2. Configurazione di due condizioni:
    • In base all’indirizzo IP: Viene fornito un elenco di indirizzi IP attendibili.
    • In base al dispositivo: Vengono selezionati tutti gli oggetti computer appartenenti al dominio.
  3. Creazione del criterio seguente:
    • Indirizzi IP attendibili AND oggetti computer selezionati
  4. Associazione della regola con il criterio self-service appena creato.

Questo è il funzionamento di questa regola di accesso condizionale:

Quando un utente tenta di effettuare l'accesso a un applicazione tramite SSO, vengono analizzati l’indirizzo IP e il tipo di dispositivo. Se si tratta di un indirizzo IP attendibile e l’oggetto computer appartiene al dominio AD, la regola creata è soddisfatta. Di conseguenza, all’utente viene assegnato il criterio self-service associato al criterio. Ciò permette all’utente di accedere alle applicazioni aziendali tramite SSO.

Vantaggi dell'abilitazione dell'accesso condizionale con ADSelfService Plus

  • Utilizzo di oltre 20 fattori di autenticazione avanzati per applicare l'autenticazione a più fattori
  • Controllo degli accessi a macchine, VPN, RDP, OWA e centro di amministrazione di Exchange da una singola console
  • Abilitazione dei singoli criteri di accesso condizionale per diversi dipartimenti dell'organizzazione

Rinforza la gestione degli accessi con l'autenticazione contestuale in base ai rischi.