Accesso condizionale: filtro per i dispositivi

Quando si creano criteri di accesso condizionale, gli amministratori possono definire dispositivi di destinazione o escludere dispositivi specifici nel proprio ambiente. Il filtro delle condizioni per i dispositivi offre agli amministratori la possibilità di scegliere come destinazione dispositivi specifici. L'amministratore può utilizzare operatori e proprietà supportati per i filtri dei dispositivi e le altre condizioni di assegnazione disponibili nei criteri di accesso condizionale.

Scenari comuni

Esistono più scenari che le organizzazioni possono ora abilitare usando il filtro per le condizioni dei dispositivi. Gli scenari seguenti forniscono esempi di come usare questa nuova condizione.

• Limitare l'accesso alle risorse con privilegi Per questo esempio, si supponga di voler consentire l'accesso all'API di Gestione dei servizi di Windows Azure da un utente:
  • A cui è stato assegnato un ruolo con privilegi.
  • Che ha completato l'autenticazione a più fattori.
  • Si trova in un dispositivo con privilegi o workstation amministrative sicure e attestato come conforme.
  • Per questo scenario, le organizzazioni creerebbero due criteri di accesso condizionale:
    • Criterio 1: tutti gli utenti con un ruolo di amministratore che accedono all'app cloud per le API di Gestione dei servizi di Windows Azure e per i controlli di accesso, Concedi l'accesso, ma richiedi l'autenticazione a più fattori e richiedi che il dispositivo sia contrassegnato come conforme.
    • Criterio 2: tutti gli utenti con un amministratore, che accedono all'app cloud per le API di Gestione dei servizi di Windows Azure, escludendo un filtro per i dispositivi che usano l'espressione regola device.extensionAttribute1 è uguale a SAW e per i controlli di accesso, Blocca. Informazioni su come aggiornare extensionAttributes in un oggetto dispositivo Microsoft Entra.
• Bloccare l'accesso alle risorse dell'organizzazione dai dispositivi che eseguono un sistema operativo non supportato. Per questo esempio, si supponga di voler bloccare l'accesso alle risorse da una versione del sistema operativo Windows precedente a Windows 10. Per questo scenario, le organizzazioni creerebbero i criteri di accesso condizionale seguenti:
  • Tutti gli utenti, l'accesso a tutte le risorse, escluso un filtro per i dispositivi che usano l'espressione regola device.operatingSystemSystem è uguale a Windows e device.operatingSystemVersion viene avviatoWith "10.0" e per Controlli di accesso, Blocca.
• Non richiedere l'autenticazione a più fattori per account specifici in dispositivi specifici. Per questo esempio, si supponga di non voler richiedere l'autenticazione a più fattori quando si usano account di servizio in dispositivi specifici, ad esempio telefoni Teams o dispositivi Surface Hub. Per questo scenario, le organizzazioni creerebbero i due criteri di accesso condizionale seguenti:
  • Criterio 1: tutti gli utenti esclusi gli account del servizio, l'accesso a tutte le risorse e per i controlli di accesso, Concedere l'accesso, ma richiedono l'autenticazione a più fattori.
  • Criterio 2: selezionare utenti e gruppi e includere il gruppo che contiene solo gli account di servizio, l'accesso a tutte le risorse, escludendo un filtro per i dispositivi che usano l'espressione regola device.extensionAttribute2 non è uguale a TeamsPhoneDevice e per i controlli di accesso, Blocca.

Nota

Microsoft Entra ID usa l'autenticazione del dispositivo per valutare le regole di filtro dei dispositivi. Per un dispositivo non registrato con Microsoft Entra ID, tutte le proprietà del dispositivo vengono considerate come valori null e gli attributi del dispositivo non possono essere determinati perché il dispositivo non esiste nella directory. Il modo migliore per impostare come destinazione i criteri per i dispositivi non registrati consiste nell'usare l'operatore negativo perché la regola di filtro configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro verrebbe applicata solo quando un dispositivo esiste nella directory e la regola configurata corrisponde all'attributo nel dispositivo.

Creare criteri di accesso condizionale

Il filtro per i dispositivi è un controllo facoltativo durante la creazione di un criterio di accesso condizionale.

I passaggi seguenti consentono di creare due criteri di accesso condizionale per supportare il primo scenario in Scenari comuni.

Criterio 1: tutti gli utenti con un ruolo di amministratore che accedono all'app cloud per le API di Gestione dei servizi di Windows Azure e per i controlli di accesso, Concedi l'accesso, ma richiedi l'autenticazione a più fattori e richiedi che il dispositivo sia contrassegnato come conforme.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

   1. In Includi selezionare Ruoli directory, quindi tutti i ruoli con amministratore nel nome.

      Avviso

      I criteri di accesso condizionale supportano i ruoli predefiniti. I criteri di accesso condizionale non vengono applicati per altri tipi di ruolo, inclusi ruoli con ambito unità amministrativa o personalizzati.

   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.

   3. Selezionare Fatto.

6. In Risorse>di destinazione (in precedenza app cloud)>Includi>risorse selezionare le risorse, scegliere API gestione dei servizi di Windows Azure e selezionare Seleziona.
7. In Controlli di accesso> Concedi, Selezionare Concedi accesso, Richiedi autenticazione a più fattori e Richiedi che il dispositivo sia contrassegnato come conforme, quindi selezionare Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Attivato.
9. Selezionare Crea per creare e abilitare il criterio.

Criterio 2: tutti gli utenti con un ruolo di amministratore, che accedono all'app cloud per le API di gestione dei servizi di Azure, escludendo un filtro per i dispositivi che usano l'espressione di regola device.extensionAttribute1 è uguale a SAW e per i controlli di accesso, Blocca.

1. Selezionare Nuovi criteri.
2. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
3. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

   1. In Includi, selezionare Ruoli directory, quindi tutti i ruoli con amministratore nel nome

      Avviso

      I criteri di accesso condizionale supportano i ruoli predefiniti. I criteri di accesso condizionale non vengono applicati per altri tipi di ruolo, inclusi ruoli con ambito unità amministrativa o personalizzati.

   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.

   3. Selezionare Fatto.

4. In Risorse>di destinazione (in precedenza app cloud)>Includi>risorse selezionare le risorse, scegliere API gestione dei servizi di Windows Azure e selezionare Seleziona.
5. In Condizioni,Filtra per dispositivi.
   1. Imposta Configura su Sì.
   2. Impostare Dispositivi corrispondenti alla regola su Escludi i dispositivi filtrati dal criterio.
   3. Impostare la proprietà su ExtensionAttribute1, l'operatore su Equals e il valore su SAW.
   4. Selezionare Fatto.
6. In Controlli di accesso>Concedi selezionare Blocca accesso, quindi Seleziona.
7. Confermare le impostazioni e impostare Abilita criterio su Attivato.
8. Selezionare Crea per creare e abilitare il criterio.

Avviso

I criteri che richiedono dispositivi conformi possono richiedere agli utenti su Mac, iOS e Android di selezionare un certificato del dispositivo durante la valutazione del criterio, anche se la conformità del dispositivo non viene applicata. Queste richieste possono essere ripetute fino a quando il dispositivo non viene reso conforme.

Impostazione dei valori di attributi

L'impostazione degli attributi di estensione è resa possibile tramite l'API di Microsoft Graph. Per altre informazioni sull'impostazione degli attributi del dispositivo, vedere l'articolo Aggiornare il dispositivo.

Filtrare per API Graph dispositivi

Il filtro per l'API dispositivi è disponibile nell'endpoint di Microsoft Graph v1.0 ed è accessibile usando l'endpoint https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. È possibile configurare un filtro per i dispositivi durante la creazione di un nuovo criterio di accesso condizionale oppure aggiornare un criterio esistente per configurare il filtro per la condizione dei dispositivi. Per aggiornare un criterio esistente, è possibile eseguire una chiamata patch sull'endpoint di Microsoft Graph v1.0 aggiungendo l'ID criterio di un criterio esistente ed eseguendo il corpo della richiesta seguente. L'esempio seguente mostra la configurazione di un filtro per le condizioni dei dispositivi esclusi i dispositivi che non sono contrassegnati come dispositivi SAW. La sintassi della regola può essere costituita da più di una singola espressione. Per altre informazioni sulla sintassi, vedere: Regole per gruppi di appartenenza dinamica per i gruppi in Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operatori supportati e proprietà dei dispositivi per i filtri

Gli attributi del dispositivo seguenti possono essere usati con il filtro per la condizione dei dispositivi nell'accesso condizionale.

Nota

Microsoft Entra ID usa l'autenticazione del dispositivo per valutare le regole di filtro dei dispositivi. Per un dispositivo non registrato con Microsoft Entra ID, tutte le proprietà del dispositivo vengono considerate come valori null e gli attributi del dispositivo non possono essere determinati perché il dispositivo non esiste nella directory. Il modo migliore per impostare come destinazione i criteri per i dispositivi non registrati consiste nell'usare l'operatore negativo perché la regola di filtro configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro verrebbe applicata solo quando un dispositivo esiste nella directory e la regola configurata corrisponde all'attributo nel dispositivo.

Attributi del dispositivo supportati	Operatori supportati	Valori supportati	Esempio
deviceId	Equals, NotEquals, In, NotIn	Un ID dispositivo valido che è un GUID	(device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb")
displayName	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualsiasi stringa	(device.displayName -contains "ABC")
deviceOwnership	Equals, NotEquals	I valori supportati sono "Personal" per dispositivi bring your own e "Company" per i dispositivi di proprietà dell'azienda	(device.deviceOwnership -eq "Company")
isCompliant	Equals, NotEquals	I valori supportati sono "True" per i dispositivi conformi e "False" per i dispositivi non conformi	(device.isCompliant -eq "True")
manufacturer	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualsiasi stringa	(device.manufacturer -startsWith "Microsoft")
mdmAppId	Equals, NotEquals, In, NotIn	Un ID applicazione MDM valido	(device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
model	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualsiasi stringa	(device.model -notContains "Surface")
operatingSystem	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Un sistema operativo valido (ad esempio Windows, iOS o Android)	(device.operatingSystem -eq "Windows")
operatingSystemVersion	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Una versione valida del sistema operativo (ad esempio 6.1 per Windows 7, 6.2 per Windows 8 o 10.0 per Windows 10 e Windows 11)	(device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds	Contains, NotContains	Ad esempio, tutti i dispositivi Windows Autopilot archiviano ZTDId (un valore univoco assegnato a tutti i dispositivi Windows Autopilot importati) nella proprietà physicalIds del dispositivo.	(device.physicalIds -contains "[ZTDId]:value")
profileType	Equals, NotEquals	Un tipo di profilo valido impostato per un dispositivo. I valori supportati sono: RegisteredDevice (impostazione predefinita), SecureVM (usato per le macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra), Printer (usato per le stampanti), Shared (usato per i dispositivi condivisi), IoT (usato per i dispositivi IoT)	(device.profileType -eq "Printer")
systemLabels	Contains, NotContains	Elenco di etichette applicate al dispositivo dal sistema. Alcuni dei valori supportati sono: AzureResource (usato per le macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra), M365Managed (usato per i dispositivi gestiti con Microsoft Managed Desktop), MultiUser (usato per i dispositivi condivisi)	(device.systemLabels -contains "M365Managed")
trustType	Equals, NotEquals	Stato registrato valido per i dispositivi. I valori supportati sono: AzureAD (usato per i dispositivi aggiunti a Microsoft Entra), ServerAD (usato per i dispositivi ibridi aggiunti a Microsoft Entra), area di lavoro (usato per i dispositivi registrati a Microsoft Entra)	(device.trustType -eq "ServerAD")
extensionAttribute1-15	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	extensionAttributes1-15 sono attributi che i clienti possono usare per gli oggetti dispositivo. I clienti possono aggiornare uno qualsiasi di extensionAttributes1 a 15 con valori personalizzati e usarli nel filtro per la condizione dei dispositivi in accesso condizionale. È possibile usare qualsiasi valore di stringa.	(device.extensionAttribute1 -eq "SAW")

Nota

Quando si compilano regole complesse o si usano troppi identificatori singoli, ad esempio deviceid per le identità del dispositivo, tenere presente che "La lunghezza massima per la regola di filtro è di 3072 caratteri".

Nota

Gli operatori Contains e NotContains funzionano in modo diverso a seconda dei tipi di attributo. Per gli attributi di stringa, come ad esempio operatingSystem e model, l'operatore Contains indica se una substring specificata si verifica all'interno dell'attributo. Per gli attributi della raccolta di stringa, come ad esempio physicalIds e systemLabels, l'operatore Contains indica se una stringa specificata corrisponde a una delle stringhe intere della raccolta.

Avviso

Per rendere disponibile un valore in extensionAttributes1-15 al momento della valutazione dei criteri di accesso condizionale, i dispositivi devono essere gestiti da Microsoft Intune, conformi o Microsoft Entra aggiunto ibrido.

Comportamento dei criteri con filtro per i dispositivi

Il filtro per la condizione dei dispositivi nell'accesso condizionale valuta i criteri in base agli attributi del dispositivo di un dispositivo registrato in Microsoft Entra ID ed è quindi importante comprendere in quali circostanze vengono applicati o meno i criteri. Nella tabella seguente viene illustrato il comportamento quando viene configurato un filtro per la condizione dei dispositivi.

Filtrare in base alla condizione dei dispositivi	Stato di registrazione di un dispositivo	Filtro di dispositivo applicato
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso di qualsiasi attributo	Dispositivo non registrato	No
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso di qualsiasi attributo escluso extensionAttributes1-15	Dispositivo registrato	Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso di attributi incluso extensionAttributes1-15	Dispositivo registrato gestito da Intune	Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso di attributi incluso extensionAttributes1-15	Dispositivo registrato non gestito da Intune	Sì, se vengono soddisfatti i criteri. Quando vengono usati extensionAttributes1-15, i criteri si applicano se il dispositivo è conforme o Microsoft Entra aggiunto ibrido
Modalità Includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo	Dispositivo non registrato	Sì
Modalità Includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo escluso extensionAttributes1-15	Dispositivo registrato	Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo incluso extensionAttributes1-15	Dispositivo registrato gestito da Intune	Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo incluso extensionAttributes1-15	Dispositivo registrato non gestito da Intune	Sì, se vengono soddisfatti i criteri. Quando vengono usati extensionAttributes1-15, i criteri si applicano se il dispositivo è conforme o Microsoft Entra aggiunto ibrido

Contenuto correlato

• Tornare a scuola - uso corretto dell'algebra booleana in filtri complessi
• Aggiornare l'API Graph del dispositivo
• Accesso condizionale: condizioni
• Criteri comuni di accesso condizionale