Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Informazioni generali
Microsoft Entra ID sta implementando un modello di applicazione migliorato per i criteri di accesso condizionale destinati a Tutte le risorse e che includono una o più esclusioni di risorse. Questa modifica garantisce che gli accessi che richiedono solo gli ambiti di base ricevano le stesse protezioni di accesso condizionale di altre risorse.
In precedenza, gli ambiti di base venivano esclusi automaticamente dall'imposizione dei criteri quando esisteva un'esclusione di risorse in un criterio Tutte le risorse . Con questa modifica, questi ambiti vengono ora valutati come accesso alla directory e sono soggetti ai criteri di accesso condizionale anche quando i criteri hanno esclusioni.
Per informazioni tecniche dettagliate, vedere Nuovo comportamento dell'accesso condizionale quando un criterio per tutte le risorse ha un'esclusione di risorse.
Importante
L'implementazione del modello di imposizione per gli ambiti di base inizia il 15 giugno 2026.
Questo aggiornamento dell'applicazione è allineato all'iniziativa Secure Future Initiative di Microsoft e agli investimenti nella difesa in profondità. Microsoft consiglia di adottare il nuovo modello di imposizione per migliorare il comportamento di sicurezza. Per altre informazioni, vedere Imminente modifica dell'accesso condizionale: Miglioramento dell'applicazione dei criteri con esclusioni di risorse.
Che cosa sono gli ambiti di base
Gli ambiti di base sono un termine generico per il set di ambiti seguente:
-
Ambiti OpenID Connect (OIDC):
email,offline_access,openid,profile -
Ambiti della directory di base:
User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All,GroupMember.Read.All,Member.Read.Hidden
Che cosa sta cambiando
Dopo l'implementazione, gli scenari seguenti potrebbero ora attivare problemi di accesso condizionale ( ad esempio MFA o conformità del dispositivo) in cui l'accesso è stato concesso in precedenza senza imposizione:
-
Applicazioni client pubbliche (ad esempio le app desktop) che richiedono solo ambiti di base. Ad esempio, un utente effettua l'accesso al client desktop di Visual Studio Code, che richiede le autorizzazioni
openideprofile. Un altro esempio è interfaccia della riga di comando di Azure, che richiede soloUser.Read. -
Applicazioni client riservate (ad esempio le app Web) escluse da un criterio "Tutte le risorse" e che richiedono solo ambiti di directory di base. Ad esempio, un'applicazione Web esclusa dai criteri che richiede solo
User.ReadePeople.Read.
Le difficoltà specifiche dipendono dai controlli di accesso configurati nelle policy che hanno come destinazione Tutte le risorse o che hanno esplicitamente come risorsa Windows Azure Active Directory (noto anche come Azure AD Graph).
Cosa non cambia
Gli scenari seguenti non sono influenzati dalla modifica dell'applicazione. Se un'applicazione corrisponde già a uno di questi scenari o è possibile aggiornarla a tale scopo, la nuova imposizione non modifica il comportamento dell'applicazione. Questi scenari consentono di mantenere un'applicazione funzionante come avviene oggi senza mantenere il comportamento legacy.
- Applicazioni che richiedono un ambito oltre gli ambiti di base. Quando un'applicazione (pubblica o riservata) richiede qualsiasi ambito oltre gli ambiti di base ,ad esempio
Mail.Read, l'applicazione è già soggetta all'imposizione dell'accesso condizionale, quindi questo comportamento non cambia. Per un'applicazione client pubblica, la richiesta di un ambito di base e almeno un altro ambito significa che l'applicazione continua a funzionare allo stesso modo in caso di modifica dell'imposizione. - Applicazioni client riservate che richiedono solo ambiti OIDC. Per le applicazioni client confidenziali escluse dai criteri "Tutte le risorse" e che richiedono solo scope OIDC (come
openideprofile), non è prevista alcuna modifica. Se un'applicazione client riservata richiede attualmente ambiti di directory di base (ad esempioUser.Read), collaborare con gli sviluppatori dell'applicazione per valutare se può richiedere ambiti OIDC. Gli ambiti OIDC sono già considerati sicuri, quindi questa modifica mantiene l'applicazione funzionante senza influire sul comportamento.
Chi è interessato
Questa modifica influisce sul tenant se tutte le condizioni seguenti sono vere:
- Avete uno o più criteri di accesso condizionale che si applicano a Tutte le risorse.
- Questi criteri hanno una o più esclusioni di risorse.
- Gli utenti nel tenant accedono tramite applicazioni che richiedono solo ambiti di base.
Se i criteri sono destinati a Tutte le risorse senza esclusioni di risorse, questa modifica non influisce sull'utente.
Cosa devi fare
Usare la tabella seguente per determinare le azioni necessarie per le applicazioni:
| Tipo di applicazione | Proprietà | Azione richiesta |
|---|---|---|
| Client pubblico che richiede solo ambiti di base | Di proprietà del tenant o dell'ISV | Verificare se queste applicazioni devono rimanere esentate dall'applicazione dell'accesso condizionale. Se esistono motivi aziendali validi per mantenere un'esenzione, vedere Mantenere il comportamento legacy con il comportamento di personalizzazione. |
| Cliente riservato che richiede solo ambiti di directory principali, escluso dalla politica Tutte le risorse | Proprietà del tenant | Verificare se l'esclusione è ancora necessaria. Collaborare con gli sviluppatori di applicazioni per valutare se l'app può richiedere ambiti OIDC (ad esempio openid, profile) anziché ambiti di directory come User.Read per informazioni di base sull'utente. Se non è possibile completare gli aggiornamenti prima dell'implementazione, vedere Mantenere il comportamento legacy con il comportamento di personalizzazione. |
| Cliente riservato che richiede solo ambiti di directory principali, escluso dalla politica Tutte le risorse | Proprietà dell'ISV | Verificare se l'esclusione è ancora necessaria. Collaborare con l'ISV per valutare se l'applicazione può richiedere ambiti OIDC anziché ambiti di directory. Nella maggior parte dei casi, gli ambiti OIDC forniscono l'accesso con privilegi minimi necessari per questi scenari. Se l'ISV non è in grado di eseguire aggiornamenti in tempo, vedere Mantenere il comportamento legacy con il comportamento di personalizzazione. |
Importante
Per le applicazioni client pubbliche e riservate di proprietà del tenant, assicurarsi che l'applicazione possa gestire i problemi di accesso condizionale, ad esempio MFA o conformità del dispositivo. In caso contrario, potrebbero essere necessari aggiornamenti dell'applicazione. Fare riferimento alle indicazioni per gli sviluppatori di accesso condizionale su come aggiornare l'applicazione in modo appropriato.
Scegliere il modo in cui vengono applicati gli ambiti di base
Questa modifica di imposizione viene applicata a tutti i tenant come parte dell'implementazione. Hai il controllo su come entra in vigore tramite le impostazioni degli ambiti della baseline. È possibile attivare immediatamente l'applicazione invece di attendere il completamento della distribuzione nel proprio tenant, personalizzarla a livello di criterio per mantenere il comportamento preesistente per scenari specifici oppure disattivarla temporaneamente finché non si è pronti. L'implementazione inizia il 15 giugno 2026 e verrà implementata progressivamente in diverse settimane.
Tip
È possibile aggiornare le impostazioni di imposizione in qualsiasi momento dalle impostazioni Ambiti di base.
Abilitare l'imposizione (scelta consigliata)
È possibile abilitare il comportamento di imposizione migliorato prima dell'inizio dell'implementazione. Usare questa opzione in un tenant di test per esaminare l'impatto sulle applicazioni e sugli utenti.
È possibile abilitare l'imposizione quando sono state esaminate le esclusioni delle app nei criteri Tutte le risorse e non sono stati identificati scenari simili a quelli descritti nella sezione Chi deve usare questa impostazione .
- Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
- Accedere alle impostazioni degli ambiti di base nell'accesso condizionale. Questo collegamento diretto è necessario per visualizzare le impostazioni.
- Selezionare Abilita imposizione.
- Seleziona Salva.
- Selezionare di nuovo Abilita imposizione per confermare la modifica.
Annotazioni
Questa impostazione abilita immediatamente il comportamento aggiornato dell'accesso condizionale per Tutti i criteri di risorse con esclusioni.
Di conseguenza, alcuni accessi utente che in precedenza non erano soggetti all'imposizione dell'accesso condizionale potrebbero ora essere valutati e applicati in Accesso condizionale usando Windows Azure Active Directory come risorsa di destinazione.
Per ripristinare il comportamento precedente, torna a impostazioni degli ambiti di base e seleziona Disabilita applicazione.
Personalizzare il comportamento
Se devi escludere dall'applicazione criteri specifici anziché per l'intero tenant, usa l'opzione Personalizza il comportamento. Questo approccio mantiene il comportamento precedente solo per i criteri che configuri, mentre l'applicazione viene effettuata in tutti gli altri casi.
È possibile personalizzare il comportamento se sono stati identificati scenari business critical simili a quelli descritti nella sezione Chi deve usare questa impostazione che potrebbe essere interessata da questa modifica. È possibile usare questa opzione per mantenere il comportamento precedente per determinati criteri.
Annotazioni
Microsoft consiglia di allinearsi al nuovo modello di imposizione. Usare l'opzione Personalizza comportamento solo se sono presenti scenari specifici che richiedono il comportamento legacy per determinati criteri.
Per personalizzare il comportamento, configurare un'applicazione personalizzata per definire gli ambiti di base di destinazione.
- Creare un'applicazione: Registrare una nuova applicazione in Microsoft Entra ID per fungere da risorsa di destinazione personalizzata per gli ambiti di base. Registrare l'applicazione come applicazione a tenant singolo. Non è necessaria alcuna configurazione aggiuntiva durante la registrazione dell'applicazione.
- Escludere l'applicazione dai criteri pertinenti: nei criteri di accesso condizionale in cui è necessario mantenere il comportamento legacy, escludere l'applicazione personalizzata dalle risorse di destinazione.
- Seleziona l'applicazione nell'interfaccia utente delle impostazioni degli ambiti baseline: vai a Impostazioni degli ambiti baseline, seleziona Personalizza il comportamento, quindi seleziona Salva e scegli la tua applicazione segnaposto dall'elenco.
Dopo aver completato questi passaggi, gli ambiti di base vengono valutati rispetto all'applicazione segnaposto personalizzata per tale criterio. Poiché l'applicazione segnaposto è esclusa dal criterio, il comportamento precedente viene mantenuto solo per quel criterio.
Chi deve usare l'impostazione di personalizzazione del comportamento
Usare questa impostazione solo se sono presenti scenari specifici che richiedono di mantenere il comportamento legacy. Gli scenari di esempio includono:
- Tutti i criteri delle risorse con richiedono un controllo di concessione di dispositivi conforme: sono disponibili applicazioni specifiche che devono essere accessibili da dispositivi non gestiti.
- Tutti i criteri delle risorse con richiedono un controllo di concessione dei criteri di protezione delle app: sono disponibili applicazioni client che non sono integrate con Microsoft Intune SDK e non possono soddisfare i criteri di protezione delle app.
- Tutti i criteri delle risorse con controllo di blocco: sono presenti applicazioni specifiche che devono essere escluse dai criteri di blocco.
- Client pubblici che devono essere esentati dai requisiti dei dispositivi conformi: Si dispone di specifiche applicazioni client pubbliche che non devono essere soggette al controllo di concessione basato sulla conformità del dispositivo.
Annotazioni
In precedenza in tutti questi scenari, se il criterio Tutte le risorse presentava esclusioni di risorse e se le applicazioni client si basavano solo sugli ambiti di base, l'accesso veniva concesso senza che l'accesso fosse soggetto all'imposizione dell'accesso condizionale. Dopo la modifica dell'applicazione, l'accesso viene concesso solo dopo che la procedura di accesso soddisfa i requisiti di Accesso condizionale.
Identificare le applicazioni interessate con una risorsa di destinazione personalizzata
È possibile usare le impostazioni dell'ambito di base per identificare le applicazioni nel tenant interessate prima dell'implementazione. Dopo aver selezionato l'opzione Abilita imposizione , gli eventi di accesso in cui le applicazioni richiedono ambiti di base elencano l'applicazione personalizzata come gruppo di destinatari dell'accesso condizionale nei log di accesso. Per altre informazioni, vedere Risolvere i problemi di accesso con l'accesso condizionale.
Query per le applicazioni interessate
Usare il Microsoft Graph query seguente per elencare le applicazioni che richiedono solo gli ambiti di base:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=createdDateTime ge 2026-05-26T00:00:00Z and createdDateTime lt 2026-05-27T00:00:00Z and conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=createdDateTime,appId,appDisplayName,userDisplayName,userPrincipalName,ipAddress,conditionalAccessStatus
Sostituire <your-custom-app-id> con l'ID app dell'applicazione personalizzata. Modificare i valori di timestamp in base alle esigenze per l'intervallo di tempo specifico.
In un periodo di più giorni, il risultato di questa query fornisce un elenco di applicazioni client che richiedono solo ambiti di base.
Disattivare l'applicazione
Avvertimento
L'opzione Disabilita imposizione nelle impostazioni Ambiti di base non è consigliata.
La selezione di questa opzione disabilita l'applicazione di tutti i criteri nel tenant, il che potrebbe creare lacune nella copertura di Accesso condizionale.
Se si sceglie di disabilitare l'imposizione o personalizzare il comportamento, l'organizzazione continuerà a usare il comportamento configurato e l'implementazione futura non eseguirà l'override del comportamento configurato. È possibile aggiornare manualmente la configurazione in qualsiasi momento accedendo alle impostazioni degli ambiti di base.
Esperienza utente
Nei flussi di accesso utente in cui le applicazioni client richiedono solo gli ambiti elencati in precedenza, gli utenti potrebbero ora ricevere problemi di accesso condizionale( ad esempio MFA o conformità del dispositivo). La sfida esatta dipende dai controlli di accesso configurati nei criteri destinati a Tutte le risorse (con o senza esclusioni di risorse) o ai criteri destinati in modo esplicito ad Azure AD Graph.
Nell'esempio seguente il tenant ha un criterio di accesso condizionale con i dettagli seguenti:
- Selezione di tutti gli utenti e tutte le risorse
- Esclusioni di risorse per un'applicazione client riservata e Exchange Online
- L'autenticazione a più fattori è configurata come controllo di concessione delle autorizzazioni
Scenari di esempio
| Scenario di esempio | Impatto utente (prima di → dopo) | Valutazione dell'accesso condizionale |
|---|---|---|
| Un utente accede al client desktop di Visual Studio Code, che richiede ambiti openid e profilo. |
Prima: all'utente non viene richiesta l'autenticazione a più fattori Dopo: all'utente viene richiesta l'Autenticazione a più fattori |
L'accesso condizionale viene ora valutato usando Windows Azure Active Directory come pubblico di applicazione. |
Un utente accede usando interfaccia della riga di comando di Azure, che richiede solo User.Read. |
Prima: all'utente non viene richiesta l'autenticazione a più fattori Dopo: all'utente viene richiesta l'Autenticazione a più fattori |
L'accesso condizionale viene ora valutato usando Windows Azure Active Directory come pubblico di applicazione. |
Un utente accede tramite un'applicazione client riservata (esclusa dai criteri) che richiede solo User.Read e People.Read. |
Prima: all'utente non viene richiesta l'autenticazione a più fattori Dopo: all'utente viene richiesta l'Autenticazione a più fattori |
L'accesso condizionale viene ora valutato usando Windows Azure Active Directory come pubblico di applicazione. |
Non viene apportata alcuna modifica al comportamento quando un'applicazione client richiede un ambito oltre quelli elencati in precedenza, come illustrato negli esempi seguenti.
Scenari di esempio
| Scenario di esempio | Impatto sugli utenti | Valutazione dell'accesso condizionale |
|---|---|---|
Un utente accede a un'applicazione client riservata (esclusa dai criteri) che richiede l'accesso a offline_access e a SharePoint (Files.Read). |
Nessuna modifica del comportamento | L'accesso condizionale continua a essere applicato in base alla risorsa SharePoint. |
Un utente accede al client di sincronizzazione desktop di OneDrive. OneDrive richiede offline_access e l'accesso a Exchange Online (Mail.Read). |
Nessuna modifica del comportamento | L'accesso condizionale non viene applicato perché Exchange Online è escluso dai criteri. |
La maggior parte delle applicazioni richiede ambiti oltre gli ambiti elencati in precedenza e sono già soggetti all'imposizione dell'accesso condizionale, a meno che l'applicazione non venga esplicitamente esclusa dai criteri. In questi casi, non vi è alcuna modifica del comportamento.
Le applicazioni personalizzate progettate intenzionalmente per richiedere solo gli ambiti elencati in precedenza e non sono progettate per gestire i problemi di accesso condizionale potrebbero dover essere aggiornate in modo che possano gestire le problematiche di accesso condizionale. Per informazioni dettagliate sull'implementazione, vedere le linee guida per gli sviluppatori per l'accesso condizionale Microsoft .
Domande frequenti
Cosa succede se non faccio alcuna azione?
L'applicazione viene applicata automaticamente come parte dell'implementazione pianificata a partire dal 15 giugno 2026. Se non sono state apportate modifiche alle impostazioni degli ambiti di riferimento, l'applicazione viene attivata automaticamente nell'arco di diverse settimane. Non vedrai alcuna selezione nelle impostazioni degli ambiti di riferimento dopo l'applicazione forzata, perché il comportamento diventa quello predefinito.
Se in precedenza si è scelto Disabilita imposizione o Personalizza comportamento, il tenant continua a usare la configurazione selezionata. È possibile passare all'imposizione completa in qualsiasi momento.
Come è possibile abilitare l'imposizione prima dell'implementazione?
Passare a https://aka.ms/BaselineScopesSettingsUX, selezionare Abilita imposizione e Salva. Questa impostazione applica immediatamente il comportamento migliorato. Per tornare indietro, selezionare Disabilita applicazione forzata.
Come è possibile mantenere il comportamento legacy dopo l'implementazione?
Usa Personalizza il comportamento per assegnare un'applicazione personalizzata di proprietà del tenant come risorsa di destinazione per gli ambiti di riferimento, quindi escludi tale applicazione dai criteri "Tutte le risorse". Per altre informazioni, vedere Mantenere il comportamento legacy con il comportamento di personalizzazione.
Quale delle applicazioni è interessata?
Solo le applicazioni client che richiedono ambiti di base esclusivamente richiedono attenzione. Le applicazioni che richiedono ambiti oltre la baseline (ad esempio , Mail.Read) sono già soggette all'imposizione dell'accesso condizionale e non sono interessate da questa modifica. Per la maggior parte delle organizzazioni, è consigliabile esaminare le applicazioni escluse in modo esplicito dai criteri Tutte le risorse .