Modi comuni per usare l’accesso condizionale

  • Articolo

Esistono due tipi di criteri di accesso condizionale che è possibile usare con Intune: l'accesso condizionale basato su dispositivo e l'accesso condizionale basato su app. Per supportare ognuno di essi, è necessario configurare i criteri di Intune correlati. Quando i criteri di Intune sono implementati e distribuiti, è possibile usare l'accesso condizionale per eseguire operazioni come consentire o bloccare l'accesso a Exchange, controllare l'accesso alla rete o integrarsi con una soluzione Mobile Threat Defense.

Le informazioni in questo articolo consentono di comprendere come usare le funzionalità di conformità dei dispositivi mobili di Intune e le funzionalità di gestione delle applicazioni mobili (MAM) di Intune.

Nota

L'accesso condizionale è una funzionalità Microsoft Entra inclusa in una licenza Microsoft Entra ID P1 o P2. Intune migliora questa funzionalità aggiungendo la conformità dei dispositivi mobili e la gestione delle app per dispositivi mobili alla soluzione. Il nodo accesso condizionale a cui si accede da Intune è lo stesso nodo a cui si accede dall Microsoft Entra ID.

Accesso condizionale basato sul dispositivo

Intune e Microsoft Entra ID interagiscono per assicurarsi che solo i dispositivi gestiti e conformi possano accedere alla posta elettronica dell'organizzazione, ai servizi di Microsoft 365, alle app SaaS (Software as a Service) e alle app locali. Inoltre, è possibile impostare un criterio nell'ID Microsoft Entra per abilitare solo i computer aggiunti al dominio o i dispositivi mobili registrati in Intune per accedere ai servizi di Microsoft 365.

Con Intune si distribuiscono i criteri di conformità dei dispositivi per determinare se un dispositivo soddisfa i requisiti di configurazione e sicurezza previsti. La valutazione dei criteri di conformità determina lo stato di conformità dei dispositivi, che viene segnalato sia a Intune che all'ID Microsoft Entra. È nell'ID Microsoft Entra che i criteri di accesso condizionale possono usare lo stato di conformità di un dispositivo per decidere se consentire o bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.

I criteri di accesso condizionale basato su dispositivo per Exchange Online e altri prodotti Microsoft 365 vengono configurati tramite l'interfaccia di amministrazione Microsoft Intune.

Nota

Quando si abilita l'accesso basato su dispositivo per il contenuto a cui gli utenti accedono dalle app del browser nei dispositivi del profilo di lavoro android di proprietà personale, gli utenti registrati prima di gennaio 2021 devono abilitare l'accesso al browser come indicato di seguito:

  1. Avviare l'app Portale aziendale.
  2. Passare alla pagina Impostazioni dal menu.
  3. Nella sezione Abilita accesso al browser toccare il pulsante ABILITA .
  4. Chiudere e riavviare l'app del browser.

Ciò consente l'accesso nelle app del browser, ma non per browser WebView aperti all'interno delle app.

Applicazioni disponibili nell'accesso condizionale per il controllo delle Microsoft Intune

Quando si configura l'accesso condizionale nell'interfaccia di amministrazione Microsoft Entra, è possibile scegliere tra due applicazioni:

  1. Microsoft Intune: questa applicazione controlla l'accesso all'interfaccia di amministrazione e alle origini dati Microsoft Intune. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione l'interfaccia di amministrazione Microsoft Intune e le origini dati.
  2. Microsoft Intune Registrazione: questa applicazione controlla il flusso di lavoro di registrazione. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione il processo di registrazione. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi di Intune.

Accesso condizionale basato sul controllo di accesso alla rete

Intune si integra con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per fornire controlli di accesso in base alla registrazione di Intune e allo stato di conformità del dispositivo.

Agli utenti può essere consentito o negato l'accesso alle risorse vpn o Wi-Fi aziendali in base al fatto che il dispositivo in uso sia gestito e conforme ai criteri di conformità dei dispositivi di Intune.

Accesso condizionale in base al rischio del dispositivo

Intune collabora con i fornitori di Mobile Threat Defense che forniscono una soluzione di sicurezza per rilevare malware, Trojan e altre minacce nei dispositivi mobili.

Funzionamento dell'integrazione di Intune e Mobile Threat Defense

Quando nei dispositivi mobili è installato l'agente Mobile Threat Defense, l'agente invia i messaggi di stato di conformità a Intune segnalando quando viene rilevata una minaccia nel dispositivo mobile stesso.

L'integrazione di Intune e mobile threat defense svolge un ruolo importante nelle decisioni relative all'accesso condizionale in base al rischio del dispositivo.

Accesso condizionale per PC Windows

L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili. Verranno ora illustrati i modi in cui è possibile usare l'accesso condizionale durante la gestione dei PC con Intune.

Di proprietà dell'azienda

  • Microsoft Entra aggiunto ibrido: questa opzione viene comunemente usata dalle organizzazioni che hanno familiarità con il modo in cui stanno già gestendo i PC tramite criteri di gruppo o Configuration Manager di Active Directory.

  • Microsoft Entra gestione aggiunta a un dominio e Gestione di Intune: questo scenario è destinato alle organizzazioni che vogliono essere al primo livello del cloud (ovvero, usano principalmente servizi cloud, con l'obiettivo di ridurre l'uso di un'infrastruttura locale) o solo cloud (nessuna infrastruttura locale). Microsoft Entra join funziona bene in un ambiente ibrido, consentendo l'accesso sia alle app che alle risorse cloud e locali. Il dispositivo viene aggiunto all'ID Microsoft Entra e viene registrato in Intune, che può essere usato come criterio di accesso condizionale quando si accede alle risorse aziendali.

Bring your own device (BYOD)

  • Aggiunta all'area di lavoro e gestione di Intune: Qui l'utente può aggiungere i propri dispositivi personali per accedere alle risorse e ai servizi aziendali. È possibile usare Workplace join e registrare i dispositivi in Intune MDM per ricevere i criteri a livello di dispositivo, che sono un'altra opzione per valutare i criteri di accesso condizionale.

Altre informazioni su Gestione dispositivi nell'ID Microsoft Entra.

Accesso condizionale basato su app

Intune e Microsoft Entra ID interagiscono per assicurarsi che solo le app gestite possano accedere alla posta elettronica aziendale o ad altri servizi di Microsoft 365.

Accesso condizionale di Intune per Exchange locale

L'accesso condizionale può essere usato per consentire o bloccare l'accesso a Exchange locale in base ai criteri di conformità dei dispositivi e allo stato di registrazione. Quando l'accesso condizionale viene usato in combinazione con un criterio di conformità del dispositivo, solo i dispositivi conformi possono accedere a Exchange in locale.

È possibile configurare le impostazioni avanzate in Accesso condizionale per un controllo più granulare, ad esempio:

  • Consenti o blocca determinate piattaforme.

  • Blocca immediatamente i dispositivi che non sono gestiti da Intune.

Qualsiasi dispositivo usato per accedere a Exchange locale viene controllato per verificare la conformità quando vengono applicati i criteri di conformità e accesso condizionale del dispositivo.

Quando i dispositivi non soddisfano le condizioni impostate, l'utente finale viene guidato nel processo di registrazione del dispositivo per risolvere il problema che rende il dispositivo non conforme.

Nota

A partire da luglio 2020, il supporto per Exchange Connector è deprecato e sostituito dall'autenticazione moderna ibrida di Exchange (HMA). L'uso di HMA non richiede Intune per configurare e usare Exchange Connector. Con questa modifica, l'interfaccia utente per configurare e gestire Exchange Connector per Intune è stata rimossa dall'interfaccia di amministrazione di Microsoft Intune, a meno che non si usi già un connettore exchange con la sottoscrizione.

Se nell'ambiente è configurato Exchange Connector, il tenant di Intune rimane supportato per l'uso e si continuerà ad avere accesso all'interfaccia utente che ne supporta la configurazione. Per altre informazioni, vedere Installare il connettore exchange locale. È possibile continuare a usare il connettore o configurare HMA e quindi disinstallare il connettore.

L'autenticazione moderna ibrida offre funzionalità fornite in precedenza da Exchange Connector per Intune: mapping di un'identità del dispositivo al relativo record di Exchange. Questo mapping si verifica ora al di fuori di una configurazione effettuata in Intune o del requisito del connettore di Intune per il bridge di Intune ed Exchange. Con HMA, è stato rimosso il requisito di usare la configurazione specifica di "Intune" (il connettore).

Qual è il ruolo di Intune?

Intune valuta e gestisce lo stato del dispositivo.

Qual è il ruolo del server Exchange?

Exchange Server fornisce l'API e l'infrastruttura per spostare i dispositivi in quarantena.

Importante

Tenere presente che all'utente che usa il dispositivo devono essere assegnati un profilo di conformità e una licenza di Intune in modo che il dispositivo possa essere valutato per la conformità. Se non vengono distribuiti criteri di conformità all'utente, il dispositivo viene considerato conforme e non vengono applicate restrizioni di accesso.

Passaggi successivi

Come configurare l'accesso condizionale nell'ID Microsoft Entra

Configurare i criteri di accesso condizionale basato su app

Come creare criteri di accesso condizionale per Exchange locale