Usare i criteri di accesso condizionale basato su app con Intune

Intune i criteri di protezione delle app funzionano con l'accesso condizionale, una funzionalità di Azure Active (Azure AD) per proteggere i dati dell'organizzazione nei dispositivi usati dagli utenti. Questi criteri funzionano nei dispositivi registrati con Intune e nei dispositivi di proprietà dei dipendenti che non si registrano.

Protezione di app criteri sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita.

  • Un criterio di protezione delle app può essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app.
  • Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e può essere gestita da Intune.
  • È anche possibile bloccare le app di posta elettronica predefinite in iOS/iPadOS e Android quando si consente solo all'app Outlook Microsoft di accedere Exchange Online. Inoltre, è possibile bloccare le app che non hanno Intune criteri di protezione delle app applicate dall'accesso a SharePoint Online.

L'accesso condizionale basato su app con la gestione delle app client aggiunge un livello di sicurezza assicurandosi che solo le app client che supportano Intune criteri di protezione delle app possano accedere a Exchange Online e ad altri servizi Microsoft 365.

Prerequisiti

Prima di creare un criterio di accesso condizionale basato su app, è necessario disporre di:

  • Enterprise Mobility + Security (EMS) o una sottoscrizione di Azure AD Premium
  • Gli utenti devono avere una licenza per EMS o Azure AD

Per altre informazioni, vedere Prezzi di Enterprise Mobility o Prezzi di Azure Active Directory.

App supportate

Un elenco di app che supportano l'accesso condizionale basato su app è disponibile in Accesso condizionale: Condizioni nella documentazione di Azure AD.

L'accesso condizionale basato su app supporta anche le app line-of-business(LOB), ma queste app devono usare l'autenticazione moderna Microsoft 365.

Funzionamento dell'accesso condizionale basato su app

In questo esempio, l'amministratore ha applicato criteri di protezione delle app all'app Outlook seguita da una regola di accesso condizionale che aggiunge l'app Outlook a un elenco approvato di app che possono essere usate quando si accede alla posta elettronica aziendale.

Nota

Il diagramma di flusso seguente può essere usato per altre app gestite.

Processo di accesso condizionale basato su app illustrato in un diagramma di flusso

  1. L'utente tenta di eseguire l'autenticazione in Azure AD dall'app Outlook.

  2. L'utente viene reindirizzato all'App Store per installare un'app broker quando tenta di eseguire l'autenticazione per la prima volta. L'app broker può essere l'autenticatore Microsoft per iOS o Microsoft portale aziendale per dispositivi Android.

    Se gli utenti provano a usare un'app di posta elettronica nativa, verranno reindirizzati all'App Store per installare l'app Outlook.

  3. L'app broker viene installata nel dispositivo.

  4. L'app broker avvia il processo di registrazione di Azure AD, che crea un record del dispositivo in Azure AD. Questo processo non è lo stesso del processo di registrazione della gestione dei dispositivi mobili (MDM), ma questo record è necessario in modo che i criteri di accesso condizionale possano essere applicati nel dispositivo.

  5. L'app broker conferma l'ID dispositivo di Azure AD, l'utente e l'applicazione. Queste informazioni vengono passate ai server di accesso di Azure AD per convalidare l'accesso al servizio richiesto.

  6. L'app broker invia l'ID client dell'app ad Azure AD come parte del processo di autenticazione utente per verificare se è incluso nell'elenco dei criteri approvati.

  7. Azure AD consente all'utente di autenticare e usare l'app in base all'elenco approvato dai criteri. Se l'app non è presente nell'elenco, Azure AD nega l'accesso all'app.

  8. L'app Outlook comunica con Il servizio cloud di Outlook per avviare la comunicazione con Exchange Online.

  9. Outlook Cloud Service comunica con Azure AD per recuperare Exchange Online token di accesso al servizio per l'utente.

  10. L'app Outlook comunica con Exchange Online per recuperare la posta elettronica aziendale dell'utente.

  11. La posta elettronica aziendale viene recapitata alla cassetta postale dell'utente.

Passaggi successivi