Creazione di un criterio di collegamento

• Autenticazione del provider di identità (facoltativo): immettere o selezionare tutti i provider di identità utilizzati per autenticare gli account utente valutati da questa regola. Se si lascia vuoto questo campo, per l'autenticazione verranno utilizzate le altre condizioni.
• Appartenenza al gruppo: immettere o selezionare Azione, quindi Aggiungi per aggiungere i gruppi di cui si è membri per soddisfare i criteri di questa regola.
• Amministratore: selezionare questa opzione se l'utente deve essere assegnato ai ruoli amministratore nel dominio di Identity per soddisfare i criteri di questa regola.

  Conserva collegamento: selezionare questa opzione per applicare la regola solo se esiste una sessione di mantenimento collegamento valida per l'utente.

  Per utilizzare questa condizione, è necessario abilitare Mantieni connessione. Fare riferimento alla sezione Modifica delle Impostazioni della Sessione.

  Il criterio di accesso esegue l'override della sessione Keep-me connected. Ciò significa che, anche se un utente ha effettuato l'accesso utilizzando Keep-me connected, dopo la scadenza della sessione, se il criterio richiede la riautenticazione o l'autenticazione a più fattori (MFA), all'utente viene richiesto di rieseguire l'autenticazione o viene richiesto di fornire l'autenticazione MFA.

• Escludi utenti: immettere o selezionare gli utenti da escludere dalla regola. Inserire almeno tre caratteri per avviare la ricerca per gli utenti.
  Importante
  
  Assicurarsi di escludere un amministratore del dominio di Identity da ciascun criterio, il che garantisce che almeno un amministratore abbia sempre accesso al dominio di Identity in caso di problemi.
• Filtrare in base all'indirizzo IP del client: selezionare una delle opzioni seguenti:

  • Ovunque: gli utenti possono collegarsi al dominio di Identity utilizzando qualsiasi indirizzo IP.

  • Limita ai perimetri di rete seguenti: gli utenti possono connettersi al dominio di Identity utilizzando solo gli indirizzi IP contenuti nei perimetri di rete definiti. Nella casella di testo Perimetri di rete immettere o selezionare i perimetri di rete definiti. Per ulteriori informazioni, vedere Creazione di un perimetro di rete.

Se si seleziona Nega accesso, passare al passo successivo.

Se si seleziona Consenti accesso, immettere i valori per le opzioni aggiuntive riportate di seguito.

• Richiedi nuova autenticazione: consente di attivare o disattivare lo switch per forzare l'utente a immettere di nuovo le credenziali per accedere all'applicazione assegnata anche quando è presente una sessione di domini IAM esistente.
  • Se selezionata, questa opzione impedisce l'accesso Single Sign-On per le applicazioni assegnate al criterio di accesso. Ad esempio, un utente autenticato deve eseguire l'accesso a una nuova applicazione.
  • Se non è selezionata e l'utente ha eseguito l'autenticazione in precedenza, può accedere all'applicazione utilizzando la sessione Single Sign-On esistente senza dover immettere le credenziali
• Richiedi un fattore aggiuntivo: consente di attivare o disattivare lo switch per richiedere un fattore aggiuntivo per connettersi al dominio di Identity.

  Quando si seleziona questa opzione, specificare se iscriversi all'autenticazione a più fattori (MFA) e la frequenza con cui questo fattore aggiuntivo deve essere utilizzato per l'accesso.

• Qualsiasi fattore o Solo fattori specificati: selezionare una delle opzioni riportate di seguito.
  • Qualsiasi fattore: richiede all'utente di iscriversi e verificare qualsiasi fattore abilitato nelle impostazioni a livello di tenant MFA.
  • Fattori specificati: richiede solo all'utente di iscriversi e verificare un subset di fattori abilitati nelle impostazioni a livello di tenant MFA. Dopo aver selezionato Fattori specifici, selezionare i fattori che devono essere applicati da questa regola.
• Frequenza: specificare la frequenza con cui agli utenti viene richiesto un secondo fattore.
  • Una volta per sessione o dispositivo sicuro: per ogni sessione che l'utente ha aperto da un dispositivo affidabile, deve utilizzare sia il nome utente che le password e un secondo fattore.
  • Ogni volta: ogni volta che un utente accede da un dispositivo attendibile, deve utilizzare i nomi utente e le password e un secondo fattore.
  • Intervallo personalizzato: specificare la frequenza con cui gli utenti devono fornire un secondo fattore per eseguire l'accesso. Ad esempio, se si desidera che gli utenti utilizzino questo fattore aggiuntivo ogni due settimane, selezionare 14 per Numero e selezionare Giorni per Intervallo. Se è stato configurato l'autenticazione MFA, questo numero deve essere minore o uguale al numero di giorni in cui un dispositivo può essere considerato sicuro in base alle impostazioni MFA. Per ulteriori informazioni, vedere Gestione dell'autenticazione a più fattori.
• Iscrizione: selezionare una delle opzioni seguenti:
  Importante
  
  Impostare Iscrizione su Facoltativo fino al termine del test del criterio di accesso.
  • Obbligatorio obbliga l'utente a iscriversi a MFA.
  • Selezionare Facoltativo per offrire agli utenti la possibilità di ignorare l'iscrizione a MFA. Gli utenti visualizzano il processo di impostazione dell'iscrizione in linea dopo aver immesso il nome utente e la password, ma possono selezionare Ignora. Gli utenti possono quindi abilitare l'autenticazione MFA in un secondo momento dall'impostazione Verifica a 2 fasi nelle impostazioni Sicurezza del profilo personale. Agli utenti non viene richiesto di impostare un fattore alla successiva connessione. Se si imposta Iscrizione su Obbligatorio e in seguito si passa a Facoltativo, la modifica interessa solo i nuovi utenti. Gli utenti già iscritti a MFA non visualizzeranno il processo di iscrizione in linea e non saranno in grado di selezionare Ignora al momento dell'accesso