Leggere in inglese

Condividi tramite

Accesso condizionale: filtro per i dispositivi

  • Articolo

Quando si creano criteri di accesso condizionale, gli amministratori possono definire dispositivi di destinazione o escludere dispositivi specifici nel proprio ambiente. Il filtro delle condizioni per i dispositivi offre agli amministratori la possibilità di scegliere come destinazione dispositivi specifici. L'amministratore può utilizzare operatori e proprietà supportati per i filtri dei dispositivi e le altre condizioni di assegnazione disponibili nei criteri di accesso condizionale.

Creare un filtro per il dispositivo nelle condizioni dei criteri di accesso condizionale

Scenari comuni

Esistono più scenari che le organizzazioni possono ora abilitare usando il filtro per le condizioni dei dispositivi. Gli scenari seguenti forniscono esempi di come usare questa nuova condizione.

  • Limitare l'accesso alle risorse con privilegi Per questo esempio, si supponga di voler consentire l'accesso all'API di Gestione dei servizi di Windows Azure da un utente:
    • A cui è stato assegnato un ruolo con privilegi.
    • Autenticazione a più fattori completata.
    • Si trova su un dispositivo che è una workstation amministrativa privilegiata o sicura e attestato come conforme.
    • Per questo scenario, le organizzazioni creerebbero due criteri di accesso condizionale:
      • Criterio 1: tutti gli utenti con un ruolo di amministratore che accedono all'app cloud per le API di Gestione dei servizi di Windows Azure e per i controlli di accesso, Concedi l'accesso, ma richiedi l'autenticazione a più fattori e richiedi che il dispositivo sia contrassegnato come conforme.
      • Criterio 2: Tutti gli utenti con ruolo di amministratore che accedono all'applicazione cloud delle API di Gestione dei Servizi di Windows Azure, escludendo i dispositivi che utilizzano l'espressione della regola device.extensionAttribute1 uguale a SAW e per i controlli di accesso, blocco. Scopri come aggiornare gli attributi di estensione in un oggetto dispositivo Microsoft Entra.
  • Bloccare l'accesso alle risorse dell'organizzazione dai dispositivi che eseguono un sistema operativo non supportato. Per questo esempio, si supponga di voler bloccare l'accesso alle risorse da una versione del sistema operativo Windows precedente a Windows 10. Per questo scenario, le organizzazioni creerebbero i criteri di accesso condizionale seguenti:
    • Tutti gli utenti che accedono a tutte le risorse, escludendo un filtro per i dispositivi che utilizzano l'espressione di regola device.operatingSystem è uguale a Windows e device.operatingSystemVersion inizia con "10.0" e per i controlli di accesso, Blocca.
  • Non richiedere l'autenticazione a più fattori per account specifici in dispositivi specifici. Per questo esempio, si supponga di non voler richiedere l'autenticazione a più fattori quando si usano account di servizio in dispositivi specifici, ad esempio telefoni Teams o dispositivi Surface Hub. Per questo scenario, le organizzazioni creerebbero i due criteri di accesso condizionale seguenti:
    • Politica 1: Concedere l'accesso a tutti gli utenti, esclusi gli account di servizio, per l'accesso a tutte le risorse; ma richiede l'autenticazione a più fattori per i controlli di accesso.
    • Criterio 2: selezionare gli utenti e i gruppi e includere il gruppo che contiene solo account di servizio, consentendo l'accesso a tutte le risorse, escludendo un filtro per i dispositivi che utilizzano l'espressione della regola device.extensionAttribute2 diversa da TeamsPhoneDevice e, per i controlli di accesso, eseguire il blocco.

Nota

Microsoft Entra ID usa l'autenticazione del dispositivo per valutare le regole di filtro dei dispositivi. Per un dispositivo non registrato con Microsoft Entra ID, tutte le proprietà del dispositivo vengono considerate come valori null e gli attributi del dispositivo non possono essere determinati perché il dispositivo non esiste nella directory. Il modo migliore per impostare come destinazione i criteri per i dispositivi non registrati consiste nell'usare l'operatore negativo perché la regola di filtro configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro verrebbe applicata solo quando un dispositivo esiste nella directory e la regola configurata corrisponde all'attributo nel dispositivo.

Creare criteri di accesso condizionale

Il filtro per i dispositivi è un controllo facoltativo durante la creazione di un criterio di accesso condizionale.

I passaggi seguenti consentono di creare due criteri di accesso condizionale per supportare il primo scenario in Scenari comuni.

Criterio 1: tutti gli utenti con un ruolo di amministratore che accedono all'app cloud per le API di Gestione dei servizi di Windows Azure e per i controlli di accesso, Concedi l'accesso, ma richiedi l'autenticazione a più fattori e richiedi che il dispositivo sia contrassegnato come conforme.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

    1. In Includi selezionare Ruoli directory, quindi tutti i ruoli con amministratore nel nome.

      Avviso

      I criteri di accesso condizionale supportano i ruoli predefiniti. I criteri di accesso condizionale non vengono applicati per altri tipi di ruolo, inclusi i [ruoli con ambito unità amministrativa](../role-based-access-control/manage-roles-portal.md) o — ruoli personalizzati.

    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.

    3. Selezionare Fatto.

  6. In Risorse di destinazione>Risorse (in precedenza app cloud)>Includi>Selezionare risorse, scegliere API di gestione dei servizi di Windows Azure e selezionare Seleziona.
  7. In Controlli di accesso> Concedi, Selezionare Concedi accesso, Richiedi autenticazione a più fattori e Richiedi che il dispositivo sia contrassegnato come conforme, quindi selezionare Seleziona.
  8. Confermare le impostazioni e impostare Abilita criterio su Attivato.
  9. Selezionare Crea per creare e abilitare il criterio.

Criterio 2: Tutti gli utenti con un ruolo di amministratore che accedono all'app cloud per la gestione delle API del servizio Windows Azure devono escludere un filtro per i dispositivi che utilizzano l'espressione di regola device.extensionAttribute1 uguale a SAW; inoltre, per i controlli di accesso, applicare Blocco.

  1. Selezionare Nuovi criteri.
  2. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  3. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

    1. Sotto Includi, selezionare Ruoli directory, quindi tutti i ruoli con amministratore nel titolo.

      Avviso

      I criteri di accesso condizionale supportano i ruoli predefiniti. I criteri di accesso condizionale non vengono applicati per altri tipi di ruolo, inclusi ruoli con ambito unità amministrativa o personalizzati.

    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.

    3. Selezionare Fatto.

  4. In Risorse di destinazione>(in precedenza app cloud)>Includi>, scegliere Windows Azure Service Management API e selezionare Seleziona.
  5. In Condizioni,Filtra per dispositivi.
    1. Imposta Configura su .
    2. Impostare Dispositivi corrispondenti alla regola su Escludi i dispositivi filtrati dalla politica.
    3. Impostare la proprietà su ExtensionAttribute1, l'operatore su Equals e il valore su SAW.
    4. Selezionare Fatto.
  6. In Controlli di accesso>Concedi selezionare Blocca accesso, quindi Seleziona.
  7. Confermare le impostazioni e impostare Abilita criterio su Attivato.
  8. Selezionare Crea per creare e abilitare il criterio.

Avviso

I criteri che richiedono dispositivi conformi possono richiedere agli utenti su Mac, iOS e Android di selezionare un certificato del dispositivo durante la valutazione del criterio, anche se la conformità del dispositivo non viene applicata. Queste richieste possono essere ripetute fino a quando il dispositivo non viene reso conforme.

Impostazione dei valori di attributi

L'impostazione degli attributi di estensione è resa possibile tramite l'API di Microsoft Graph. Per altre informazioni sull'impostazione degli attributi del dispositivo, vedere l'articolo Aggiornare il dispositivo.

Filtrare i dispositivi tramite l'API di Graph

Il filtro per l'API dispositivi è disponibile nell'endpoint di Microsoft Graph v1.0 ed è accessibile usando l'endpoint https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. È possibile configurare un filtro per i dispositivi durante la creazione di un nuovo criterio di accesso condizionale oppure aggiornare un criterio esistente per configurare il filtro per la condizione dei dispositivi. Per aggiornare un criterio esistente, è possibile eseguire una chiamata patch sull'endpoint di Microsoft Graph v1.0 aggiungendo l'ID criterio di un criterio esistente ed eseguendo il corpo della richiesta seguente. L'esempio seguente mostra la configurazione di un filtro per le condizioni dei dispositivi esclusi i dispositivi che non sono contrassegnati come dispositivi SAW. La sintassi della regola può essere costituita da più di una singola espressione. Per altre informazioni sulla sintassi, vedere: Regole per gruppi di appartenenza dinamica per i gruppi in Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operatori supportati e proprietà dei dispositivi per i filtri

Gli attributi del dispositivo seguenti possono essere usati con il filtro per la condizione dei dispositivi nell'accesso condizionale.

Nota

Microsoft Entra ID usa l'autenticazione del dispositivo per valutare le regole di filtro dei dispositivi. Per un dispositivo non registrato con Microsoft Entra ID, tutte le proprietà del dispositivo vengono considerate come valori null e gli attributi del dispositivo non possono essere determinati perché il dispositivo non esiste nella directory. Il modo migliore per impostare come destinazione i criteri per i dispositivi non registrati consiste nell'usare l'operatore negativo perché la regola di filtro configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro verrebbe applicata solo quando un dispositivo esiste nella directory e la regola configurata corrisponde all'attributo nel dispositivo.

Attributi del dispositivo supportati Operatori supportati Valori supportati Esempio
deviceId Uguale, Non uguale, In, Non in Un ID dispositivo valido che è un GUID (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb")
nome visualizzato Uguale, Diverso, IniziaCon, NonIniziaCon, TerminaCon, NonTerminaCon, Contiene, NonContiene, In, NonIn Qualsiasi stringa (device.displayName -contains "ABC")
proprietà del dispositivo Uguale, Diverso I valori supportati sono "Personal" per dispositivi bring your own e "Company" per i dispositivi di proprietà dell'azienda (device.deviceOwnership -eq "Company")
è conforme Uguale, Diverso I valori supportati sono "True" per i dispositivi conformi e "False" per i dispositivi non conformi (device.isCompliant -eq "True")
produttore Uguale, NonUguale, IniziaCon, NonIniziaCon, FinisceCon, NonFinisceCon, Contiene, NonContiene, In, NonIn Qualsiasi stringa (device.manufacturer -startsWith "Microsoft")
mdmAppId Uguale, Diverso, In, NonIn Un ID di applicazione MDM valido (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
modello Uguale, Non uguale, Inizia con, Non inizia con, Termina con, Non termina con, Contiene, Non contiene, Incluso, Non incluso Qualsiasi stringa (device.model -notContains "Surface")
sistema operativo Uguale, NonUguale, IniziaCon, NonIniziaCon, FinisceCon, NonFinisceCon, Contiene, NonContiene, In, NonIn Un sistema operativo valido (ad esempio Windows, iOS o Android) (device.operatingSystem -eq "Windows")
versioneSistemaOperativo Uguale, Diverso, IniziaCon, NonIniziaCon, FinisceCon, NonFinisceCon, Contiene, NonContiene, Incluso, NonIncluso Una versione valida del sistema operativo (ad esempio 6.1 per Windows 7, 6.2 per Windows 8 o 10.0 per Windows 10 e Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
ID fisici Contiene, Non contiene Ad esempio, tutti i dispositivi Windows Autopilot archiviano ZTDId (un valore univoco assegnato a tutti i dispositivi Windows Autopilot importati) nella proprietà physicalIds del dispositivo. (device.physicalIds -contains "[ZTDId]:value")
tipoProfilo Uguale, Diverso Un tipo di profilo valido impostato per un dispositivo. I valori supportati sono: RegisteredDevice (impostazione predefinita), SecureVM (usato per le macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra), Printer (usato per le stampanti), Shared (usato per i dispositivi condivisi), IoT (usato per i dispositivi IoT) (device.profileType -eq "Printer")
systemLabels Contiene, NonContiene Elenco di etichette applicate al dispositivo dal sistema. Alcuni dei valori supportati sono: AzureResource (usato per le macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra), M365Managed (usato per i dispositivi gestiti con Microsoft Managed Desktop), MultiUser (usato per i dispositivi condivisi) (device.systemLabels -contains "M365Managed")
tipo di fiducia Uguale, Diverso Stato registrato valido per i dispositivi. I valori supportati sono: AzureAD (usato per i dispositivi aggiunti a Microsoft Entra), ServerAD (usato per i dispositivi ibridi aggiunti a Microsoft Entra), area di lavoro (usato per i dispositivi registrati a Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Uguale, Diverso da, Inizia con, Non inizia con, Termina con, Non termina con, Contiene, Non contiene, Incluso in, Non incluso in extensionAttributes1-15 sono attributi che i clienti possono usare per gli oggetti dispositivo. I clienti possono aggiornare qualsiasi degli extensionAttributes da 1 a 15 con valori personalizzati e usarli nel filtro per la condizione dei dispositivi in Accesso Condizionale. È possibile usare qualsiasi valore di stringa. (device.extensionAttribute1 -eq "SAW")

Nota

Quando si compilano regole complesse o si usano troppi identificatori singoli, ad esempio deviceid per le identità del dispositivo, tenere presente che "La lunghezza massima per la regola di filtro è di 3072 caratteri".

Nota

Gli operatori Contains e NotContains funzionano in modo diverso a seconda dei tipi di attributo. Per gli attributi di stringa, come ad esempio operatingSystem e model, l'operatore Contains indica se una substring specificata si verifica all'interno dell'attributo. Per gli attributi della raccolta di stringa, come ad esempio physicalIds e systemLabels, l'operatore Contains indica se una stringa specificata corrisponde a una delle stringhe intere della raccolta.

Avviso

Per rendere disponibile un valore in extensionAttributes1-15 al momento della valutazione dei criteri di accesso condizionale, i dispositivi devono essere gestiti da Microsoft Intune, conformi oppure configurati in modalità ibrida con Microsoft Entra.

Comportamento dei criteri con filtro per i dispositivi

Il filtro per la condizione dei dispositivi nell'accesso condizionale valuta i criteri in base agli attributi del dispositivo di un dispositivo registrato in Microsoft Entra ID ed è quindi importante comprendere in quali circostanze vengono applicati o meno i criteri. Nella tabella seguente viene illustrato il comportamento quando viene configurato un filtro per la condizione dei dispositivi.

Filtrare in base alla condizione dei dispositivi Stato di registrazione di un dispositivo Filtro di dispositivo applicato
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso di qualsiasi attributo Dispositivo non registrato No
Modalità includi/escludi con operatori inclusivi (Equals, StartsWith, EndsWith, Contains, In) e utilizzo di attributi con esclusione di extensionAttributes1-15. Dispositivo registrato Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso degli attributi, inclusi extensionAttributes1-15 Dispositivo registrato gestito da Intune Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori positivi (Equals, StartsWith, EndsWith, Contains, In) e uso di attributi inclusi extensionAttributes1-15 Dispositivo registrato non gestito da Intune Sì, se vengono soddisfatti i criteri. Quando vengono utilizzati gli extensionAttributes1-15, i criteri si applicano se il dispositivo è conforme o è unito ibrido a Microsoft Entra.
Modalità includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e con l'uso di qualsiasi attributo Dispositivo non registrato
Modalità Includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo, ad eccezione di extensionAttributes1-15. Dispositivo registrato Sì, se vengono soddisfatti i criteri
Modalità di inclusione/esclusione con operatori di negazione (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo, inclusi gli attributi di estensione 1-15. Dispositivo registrato gestito da Intune Sì, se vengono soddisfatti i criteri
Modalità Includi/escludi con operatori negativi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) e uso di qualsiasi attributo incluso extensionAttributes1-15 Dispositivo registrato non gestito da Intune Sì, se vengono soddisfatti i criteri. Quando vengono usati extensionAttributes1-15, i criteri si applicano se il dispositivo è conforme o associato in modalità ibrida a Microsoft Entra.

Contenuto correlato