Modi comuni per usare l’accesso condizionale

Esistono due tipi di criteri di accesso condizionale che è possibile usare con Intune: l'accesso condizionale basato su dispositivo e l'accesso condizionale basato su app. Per supportare ognuno di essi, è necessario configurare i criteri di Intune correlati. Quando i criteri di Intune sono implementati e distribuiti, è possibile usare l'accesso condizionale per eseguire operazioni come consentire o bloccare l'accesso a Exchange, controllare l'accesso alla rete o integrarsi con una soluzione Mobile Threat Defense.

Le informazioni contenute in questo articolo consentono di comprendere come usare le funzionalità di conformità dei dispositivi mobili Intune e le funzionalità di gestione delle applicazioni mobili (MAM) Intune.

Nota

L'accesso condizionale è una funzionalità di Azure Active Directory (Azure AD) inclusa in una licenza Di Azure AD Premium. Intune migliora questa funzionalità aggiungendo alla soluzione la conformità dei dispositivi mobili e la gestione delle app per dispositivi mobili. Il nodo accesso condizionale a cui si accede da Intune è lo stesso nodo a cui si accede da Azure AD.

Accesso condizionale basato sul dispositivo

Intune e Azure AD interagiscono per assicurarsi che solo i dispositivi gestiti e conformi possano accedere alla posta elettronica dell'organizzazione, Microsoft servizi 365, app SaaS (Software as a service) e app locali. Inoltre, è possibile impostare criteri in Azure AD per abilitare solo i computer aggiunti a un dominio o i dispositivi mobili registrati in Intune per accedere ai servizi Microsoft 365.

Con Intune si distribuiscono i criteri di conformità dei dispositivi per determinare se un dispositivo soddisfa i requisiti di configurazione e sicurezza previsti. La valutazione dei criteri di conformità determina lo stato di conformità dei dispositivi, che viene segnalato sia a Intune che ad Azure AD. È in Azure AD che i criteri di accesso condizionale possono usare lo stato di conformità di un dispositivo per decidere se consentire o bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.

I criteri di accesso condizionale basato su dispositivo per Exchange Online e altri prodotti Microsoft 365 vengono configurati tramite l'interfaccia di amministrazione di Microsoft Endpoint Manager.

Nota

Quando si abilita l'accesso basato su dispositivo per il contenuto a cui gli utenti accedono dalle app del browser nei dispositivi del profilo di lavoro di proprietà personale Android, gli utenti registrati prima di gennaio 2021 devono abilitare l'accesso al browser come indicato di seguito:

  1. Avviare l'app Portale aziendale.
  2. Passare alla pagina Impostazioni dal menu.
  3. Nella sezione Abilita accesso al browser toccare il pulsante ABILITA .
  4. Chiudere e riavviare l'app del browser.

Ciò consente l'accesso nelle app del browser, ma non per browser WebView aperti all'interno delle app.

Applicazioni disponibili nell'accesso condizionale per il controllo delle Microsoft Intune

Quando si configura l'accesso condizionale nel portale di Azure AD, sono disponibili due applicazioni tra cui scegliere:

  1. Microsoft Intune: questa applicazione controlla l'accesso alla console di Endpoint Manager Microsoft e alle origini dati. Configurare concessioni/controlli in questa applicazione quando si desidera impostare come destinazione le origini dati e la console di Endpoint Manager Microsoft.
  2. Microsoft Intune Registrazione: questa applicazione controlla il flusso di lavoro di registrazione. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione il processo di registrazione. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi Intune.

Accesso condizionale basato sul controllo di accesso alla rete

Intune si integra con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per fornire controlli di accesso in base alla registrazione Intune e allo stato di conformità del dispositivo.

Agli utenti può essere consentito o negato l'accesso alle risorse VPN o Wi-Fi aziendali in base al fatto che il dispositivo in uso sia gestito e conforme ai criteri di conformità dei dispositivi Intune.

Accesso condizionale in base al rischio del dispositivo

Intune partner con i fornitori di Mobile Threat Defense che forniscono una soluzione di sicurezza per rilevare malware, trojan e altre minacce nei dispositivi mobili.

Funzionamento dell'integrazione di Intune e Mobile Threat Defense

Quando nei dispositivi mobili è installato l'agente di Mobile Threat Defense, l'agente invia nuovamente messaggi di stato di conformità a Intune segnalazione quando viene rilevata una minaccia nel dispositivo mobile stesso.

L'integrazione Intune e mobile threat defense svolge un ruolo importante nelle decisioni relative all'accesso condizionale in base al rischio del dispositivo.

Accesso condizionale per PC Windows

L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili. Verranno ora illustrati i modi in cui è possibile usare l'accesso condizionale durante la gestione dei PC con Intune.

Di proprietà dell'azienda

  • Aggiunta ad Azure AD ibrido: Questa opzione viene comunemente usata dalle organizzazioni che hanno familiarità con il modo in cui gestiscono già i PC tramite criteri di gruppo o Configuration Manager di Active Directory.

  • Gestione Intune e aggiunta al dominio di Azure AD: questo scenario è destinato alle organizzazioni che vogliono essere al primo livello del cloud,ovvero usare principalmente servizi cloud, con l'obiettivo di ridurre l'uso di un'infrastruttura locale) o solo cloud (nessuna infrastruttura locale). Azure AD Join funziona bene in un ambiente ibrido, consentendo l'accesso sia alle app e alle risorse cloud che locali. Il dispositivo viene aggiunto ad Azure AD e viene registrato in Intune, che può essere usato come criterio di accesso condizionale quando si accede alle risorse aziendali.

Bring your own device (BYOD)

  • Aggiunta all'area di lavoro e gestione Intune: qui l'utente può aggiungere i propri dispositivi personali per accedere alle risorse e ai servizi aziendali. È possibile usare l'aggiunta a Workplace e registrare i dispositivi in Intune MDM per ricevere i criteri a livello di dispositivo, che sono un'altra opzione per valutare i criteri di accesso condizionale.

Altre informazioni sui Gestione dispositivi in Azure Active Directory.

Accesso condizionale basato su app

Intune e Azure AD interagiscono per assicurarsi che solo le app gestite possano accedere alla posta elettronica aziendale o ad altri servizi Microsoft 365.

Intune l'accesso condizionale per Exchange locale

L'accesso condizionale può essere usato per consentire o bloccare l'accesso a Exchange locale in base ai criteri di conformità dei dispositivi e allo stato di registrazione. Quando l'accesso condizionale viene usato in combinazione con un criterio di conformità del dispositivo, solo i dispositivi conformi possono accedere a Exchange in locale.

È possibile configurare le impostazioni avanzate in Accesso condizionale per un controllo più granulare, ad esempio:

  • Consentire o bloccare determinate piattaforme.

  • Blocca immediatamente i dispositivi che non sono gestiti da Intune.

Qualsiasi dispositivo usato per accedere a Exchange locale viene controllato per verificare la conformità quando vengono applicati i criteri di conformità e accesso condizionale del dispositivo.

Quando i dispositivi non soddisfano le condizioni impostate, l'utente finale viene guidato nel processo di registrazione del dispositivo per risolvere il problema che rende il dispositivo non conforme.

Nota

A partire da luglio 2020, il supporto per Exchange Connector è deprecato e sostituito dall'autenticazione moderna ibrida di Exchange (HMA). L'uso di HMA non richiede Intune per configurare e usare Exchange Connector. Con questa modifica, l'interfaccia utente per configurare e gestire Exchange Connector per Intune è stata rimossa dall'interfaccia di amministrazione di Microsoft Endpoint Manager, a meno che non si usi già un connettore exchange con la sottoscrizione.

Se nell'ambiente è configurato Exchange Connector, il tenant Intune rimane supportato per l'uso e si continuerà ad avere accesso all'interfaccia utente che ne supporta la configurazione. Per altre informazioni, vedere Installare il connettore exchange locale. È possibile continuare a usare il connettore o configurare HMA e quindi disinstallare il connettore.

L'autenticazione moderna ibrida offre funzionalità fornite in precedenza da Exchange Connector per Intune: mapping di un'identità del dispositivo al relativo record di Exchange. Questo mapping si verifica ora al di fuori di una configurazione eseguita in Intune o il requisito del connettore Intune di collegare Intune ed Exchange. Con HMA, è stato rimosso il requisito di usare la configurazione specifica "Intune" (il connettore).

Qual è il ruolo Intune?

Intune valuta e gestisce lo stato del dispositivo.

Qual è il ruolo del server Exchange?

Exchange Server fornisce l'API e l'infrastruttura per spostare i dispositivi in quarantena.

Importante

Tenere presente che l'utente che usa il dispositivo deve avere un profilo di conformità e Intune licenza assegnata per poter valutare la conformità del dispositivo. Se non vengono distribuiti criteri di conformità all'utente, il dispositivo viene considerato conforme e non vengono applicate restrizioni di accesso.

Passaggi successivi

Come configurare l'accesso condizionale in Azure Active Directory

Configurare i criteri di accesso condizionale basato su app

Come creare criteri di accesso condizionale per Exchange locale