In questo articolo sono descritti i casi comuni di accesso sensibile al contesto e alcune configurazioni di esempio sviluppate nella modalità di base.
Per esempi di livelli di accesso sviluppati nella modalità avanzata (utilizzando l'editor CEL), vedi Esempi di accesso sensibile al contesto per la modalità avanzata.
Consentire l'accesso ai contrattisti solo tramite la rete aziendale
Molte aziende vogliono limitare l'accesso alle risorse aziendali da parte dei contrattisti, ad esempio quelli cui si rivolgono per rispondere alle chiamate di assistenza generiche o per lavorare nei centri assistenza e nei call center. Come i dipendenti a tempo pieno, i contrattisti devono disporre di una licenza supportata per rientrare nei criteri di accesso sensibile al contesto.
In questo esempio, i contrattisti possono accedere alle risorse aziendali solo utilizzando un determinato intervallo di indirizzi IP aziendali.
| Nome livello di accesso | accesso_contrattista |
| Un contrattista può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 | Subnet IP 74.125.192.0/18 |
| Assegnazione del livello di accesso | Unità organizzative per i contrattisti Tutte le applicazioni utilizzate dai contrattisti |
Bloccare l'accesso dagli indirizzi IP di noti malintenzionati
Per proteggere le risorse aziendali dai rischi di compromissione, molte aziende bloccano l'accesso per fonti note ad alto rischio.
In questo esempio, l'indirizzo IP 74.125.195.105 è bloccato. Gli utenti possono accedere alle risorse aziendali se le loro sessioni provengono da qualsiasi altro indirizzo IP. Puoi specificare più indirizzi IP e intervalli.
| Nome livello di accesso | blocca_altorischio |
| Un utente può accedere se | Non soddisfa gli attributi |
| Attributo condizione 1 | Subnet IP 74.125.195.105 |
| Assegnazione del livello di accesso | Unità organizzativa di primo livello Tutte le app |
Consentire o negare l'accesso da località specifiche
Se hai dipendenti che si recano regolarmente presso sedi aziendali o partner distaccati, puoi specificare le località geografiche da cui possono accedere alle risorse aziendali.
Ad esempio, se un gruppo di addetti alle vendite si reca regolarmente in visita presso clienti in Australia e in India, puoi limitare l'accesso per il gruppo alla sola sede principale, all'Australia e all'India. Se si recano in altri paesi per una vacanza personale nel quadro di un viaggio di lavoro, non potranno accedere alle risorse aziendali da quei paesi.
In questo esempio, il gruppo di addetti alle vendite può accedere alle risorse aziendali solo dagli Stati Uniti (sede principale), dall'Australia e dall'India.
| Nome livello di accesso | accesso_vendita |
| Il team di vendita può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 | Origine geografica USA, Australia, India |
| Assegnazione del livello di accesso | Gruppo di addetti alle vendite Tutte le app utilizzate dagli addetti alle vendite |
Puoi anche creare un criterio per negare l'accesso da determinati paesi, specificando che gli utenti possono accedere se non soddisfano le condizioni. In tal caso, inserisci nell'elenco i paesi da cui vuoi bloccare l'accesso.
Utilizzare livelli di accesso nidificati invece di selezionare più livelli di accesso durante l'assegnazione
In alcuni casi, quando cerchi di assegnare i livelli di accesso a una determinata unità organizzativa o a un'applicazione (o a un insieme di applicazioni), potresti visualizzare un messaggio di errore che ti chiede di ridurre il numero di applicazioni o di livelli di accesso.
Per evitare questo errore, puoi ridurre il numero di livelli di accesso utilizzati durante l'assegnazione nidificandoli in un unico livello. Il livello di accesso nidificato unisce più condizioni con un'operazione OR, in cui ogni condizione contiene un livello di accesso individuale.
In questo esempio, ITOvest, ITEst e ITCentro si trovano su tre livelli di accesso distinti. Supponiamo che tu voglia consentire agli utenti di accedere alle applicazioni se soddisfano uno qualsiasi dei livelli di accesso ITOvest OR ITEst OR ITCentro. Puoi creare un livello di accesso nidificato (chiamato ITArea) utilizzando l'operatore OR. Quando devi assegnare i livelli di accesso, assegna il livello ITArea all'applicazione per l'unità organizzativa o il gruppo.
|
Nome livello di accesso |
ITArea |
|
Un utente può accedere se |
Soddisfa gli attributi |
|
Attributo condizione 1 (solo un livello di accesso per condizione) |
Livello di accesso ITOvest |
|
Unisci la condizione 1 e la condizione 2 con |
OR |
|
Un utente può accedere se |
Soddisfa gli attributi |
|
Attributo condizione 2 |
Livello di accesso ITEst |
|
Unisci la condizione 2 e la condizione 3 con |
OR |
|
Un utente può accedere se |
Soddisfa gli attributi |
|
Attributo condizione 3 |
Livello di accesso ITCentro |
Richiedere la proprietà dell'azienda su desktop ma non su dispositivo mobile
Un'azienda potrebbe avere bisogno di richiedere la proprietà per un dispositivo desktop, ma non per un dispositivo mobile.
Innanzitutto, crea un livello di accesso per i dispositivi desktop:
|
Nome livello di accesso |
accesso_desktop |
|
Gli utenti possono accedere se |
Soddisfano gli attributi |
|
Attributo condizione 1 |
Criteri relativi ai dispositivi
Crittografia dispositivo = Non supportata Sistema operativo del dispositivo macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
Quindi, crea un livello di accesso per i dispositivi mobili:
|
Nome livello di accesso |
accesso_dispositivi |
|
Gli utenti possono accedere se |
Soddisfano gli attributi |
|
Attributo condizione 1 |
Sistema operativo del dispositivo iOS = 0.0.0 Android = 0.0.0 |
Richiedere sistemi di sicurezza di base sui dispositivi
La maggior parte delle aziende ora chiede ai dipendenti di accedere alle risorse aziendali tramite dispositivi criptati che soddisfano requisiti minimi di versione del sistema operativo. Alcune richiedono anche che i dipendenti utilizzino dispositivi di proprietà dell'azienda.
Puoi configurare questi criteri per tutte le unità organizzative o solo per coloro che lavorano con dati sensibili, come i dirigenti aziendali, il reparto finanza o le risorse umane.
Esistono diversi modi per configurare criteri che includano la crittografia dei dispositivi, la versione minima del sistema operativo e i dispositivi di proprietà dell'azienda. Per ognuno di questi modi esistono pro e contro.
Un solo livello di accesso che comprende tutti i requisiti di sicurezza
Ad esempio, se un dispositivo utente è criptato ed è di proprietà dell'azienda ma non esegue una versione conforme del sistema operativo, gli verrà negato l'accesso.
Pro: facile da configurare. Quando assegni questo livello di accesso a un'applicazione, l'utente deve soddisfare tutti i requisiti.
Contro: per assegnare separatamente i requisiti di sicurezza a diverse unità organizzative, devi creare un livello di accesso distinto per ogni requisito di sicurezza.
| Nome livello di accesso | sicurezza_dispositivo |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 (Puoi aggiungere tutti gli attributi a una sola condizione oppure creare tre condizioni e unirle con E.) |
Sistema operativo del dispositivo |
Tre livelli di accesso distinti
Ad esempio, un utente che ha un dispositivo criptato ed esegue una versione obsoleta del sistema operativo su un dispositivo di sua proprietà potrà accedere.
Pro: offre un metodo granulare per specificare i livelli di accesso. Puoi assegnare separatamente i livelli di accesso a diverse unità organizzative.
Contro: gli utenti devono soddisfare le condizioni di un solo livello di accesso.
| Nome livello di accesso | dispositivo_criptato |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 |
Criteri relativi ai dispositivi |
| Nome livello di accesso | dispositivo_aziendale |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 |
Criteri relativi ai dispositivi |
| Nome livello di accesso | os_min |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 |
Criteri relativi ai dispositivi |
Un livello di accesso con livelli di accesso nidificati
Quando assegni il quarto livello di accesso alle applicazioni, gli utenti devono soddisfare le condizioni di ciascuno dei tre livelli di accesso nidificati per poter accedere. Si tratta di livelli di accesso logico di tipo AND.
Ad esempio, un utente che ha un dispositivo criptato ed esegue una versione obsoleta del sistema operativo su un dispositivo di sua proprietà non potrà accedere.
Pro: hai più flessibilità in quanto puoi separare i requisiti di sicurezza nei livelli di accesso 1, 2 e 3. Utilizzando il livello di accesso 4, puoi anche applicare un solo criterio con tutti i requisiti di sicurezza.
Contro: il log di controllo acquisisce solo l'accesso negato al livello di accesso 4 e non ai livelli 1, 2 e 3, in quanto questi ultimi non sono assegnati direttamente alle applicazioni.
Crea tre livelli di accesso come descritto nella sezione precedente "Tre livelli di accesso distinti": “dispositivo_criptato,” “dispositivo_aziendale” e “os_min.” Quindi crea un quarto livello di accesso denominato "sicurezza_dispositivo” che contiene le tre condizioni. Ogni condizione ha un livello di accesso come attributo. (Puoi aggiungere un solo attributo del livello di accesso per ogni condizione.)
| Nome livello di accesso | sicurezza_dispositivo |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 (solo un livello di accesso per condizione) |
Livello di accesso dispositivo_criptato |
| Unisci la condizione 1 e la condizione 2 con | AND |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 | Livello di accesso dispositivo_aziendale |
| Unisci la condizione 2 e la condizione 3 con | AND |
| Un utente può accedere se | Soddisfa gli attributi |
| Attributo condizione 1 | Livello di accesso os_min |
Informazioni correlate
- Panoramica dell'accesso sensibile al contesto
- Configurare software e creare livelli di accesso sensibile al contesto
- Assegnare i livelli di accesso sensibile al contesto alle app
- Personalizzare l'accesso sensibile al contesto con i gruppi
- Esempi di accesso sensibile al contesto per la modalità avanzata
- Log di controllo di accesso sensibile al contesto
