Conditional Access Policies: Zero Trust in Azione 2025
Condividi
Introduzione: Accesso Intelligente Basato su Contesto
Nel 2025, Conditional Access Policies è il cuore della Zero Trust Security. Non è "username + password = accesso". È "chi sei, da dove sei, quale device usi, quale ora è, verso quale app vai = decisione dinamica di accesso".
Cos'è Conditional Access?
Conditional Access è "se-allora" intelligente per accesso. Esempio: "SE accesso da paese nuovo E time è 3 AM E device non gestito → ALLORA richiedi MFA extra + approvazione manager".
Componenti Chiave di Una Policy
| Componente | Descrizione | Esempi |
|---|---|---|
| Conditions (SE) | Situazioni che triggerano la policy | Location, device type, user risk, time of day |
| Users | Chi è soggetto alla policy | Tutti utenti, group specifico, es: Finance team |
| Cloud Apps | Quali app sono coperte | Exchange, SharePoint, Teams, Salesforce, etc. |
| Controls (ALLORA) | Azione se conditions sono soddisfatte | MFA, device compliance, block access |
Casi d'Uso Reali di Conditional Access
🌍 Caso 1: Location-Based Security
Policy: "SE accesso da paese nuovo → Richiedi MFA"
Scenario: Dipendente vola a Londra lunedì. Accede email da hotel. Sistema vede location UK = sconosciuta. Richiede MFA (codice telefono). Se dipendente legittimo, approva. Se hacker, non ha access.
Protezione: Blocca 95% degli attacchi di compromissione account da remoto.
🖥️ Caso 2: Device Compliance
Policy: "SE device non-compliant (niente password, niente BitLocker) → Block access"
Scenario: Dipendente accede OneDrive da PC personale senza password. Sistema blocca accesso. Dipendente deve configurare password su PC, then retry.
Protezione: Garantisce solo device sicuri accedono dati aziendali.
⏰ Caso 3: Time-Based Access
Policy: "SE accesso a app sensibile (Finance) fuori orario lavoro → Richiedi MFA extra"
Scenario: Finance manager accede budget spreadsheet a mezzanotte. Sistema richiede MFA + SMS approval. Se legitimate work, approva. Se fuori accesso non autorizzato.
Protezione: Previene accesso a dati sensibili fuori orario.
⚠️ Caso 4: Risk-Based Access
Policy: "SE Azure AD rileva risk level ALTO (es: password spray attack) → Block access"
Scenario: Hacker fa brute force attack. Azure AD rileva pattern. Tutti gli attacchi bloccati. Account locked temporaneamente.
Protezione: Defensive contro attacchi automatici.
Come Implementare Conditional Access: 5 Step
- Accedi Azure AD Admin Center (admin.microsoft.com → Azure AD → Security)
- Vai "Conditional Access" → "New policy"
- Seleziona conditions: Location, device, user risk, app
- Seleziona controls (azioni): MFA, block, etc.
- Test in report-only mode PRIMA di enforcement (7-14 giorni)
Best Practices Conditional Access
- ✓ Start con policy broad (es: "tutti utenti", "tutte app")
- ✓ Test in "Report only" mode PRIMA di enforce (evita disruption)
- ✓ Escludi emergenza break-glass account (per IT admin se policy blocca per errore)
- ✓ Monitor policy impact settimanalmente (quanti utenti bloccati?)
- ✓ Refine policy gradualmente (più granulari man mano)
Policy Templates Comuni (Pronto da Usare)
Users che accedono da fuori ufficio (non office IP) devono MFA
Solo device gestiti/compliant possono accedere M365
Se Azure AD rileva high risk, block accesso automaticamente
Block protocolli legacy (IMAP, POP3) che non supportano MFA
Domande Frequenti (FAQ)
Policy dovrebbe permettere escalation (es: "richiedi approvazione manager"). Admin può approvare una volta, ma policy continua dopo.
Solo se app integrata con Azure AD. App legacy (es: custom VB app) NON supporta Conditional Access—devi usare VPN/proxy.
Policy base è in Azure AD Free. Policy avanzate (location, device, risk) richiedono Azure AD Premium P1 (€8/utente/mese).
Dipende da complessità. PMI può stare con 3-5 policy. Enterprise può avere 50+. Start con poche, aggiungi man mano.
Sì! Offriamo design policy, implementation, testing, training. Contattaci.
Conclusione: Conditional Access è Obbligatorio nel 2025
Nel 2025, Conditional Access non è "nice-to-have"—è obbligatorio per compliance GDPR e sicurezza minima. Aziende senza CA sono vulnerabili. Costo: Azure AD P1 (€8/utente/mese) + setup (€1.000-2.000). Beneficio: Protezione 10x migliore. Contatta mslicenze.it per implementazione Conditional Access.