Accesso condizionale: Concedere

  • Articolo
  • 9 minuti per la lettura

In un criterio di accesso condizionale un amministratore può usare i controlli di accesso per concedere o bloccare l'accesso alle risorse.

Screenshot di un criterio di accesso condizionale con un controllo di concessione che richiede l'autenticazione a più fattori.

Blocca accesso

Il controllo per bloccare l'accesso considera le assegnazioni e impedisce l'accesso in base alla configurazione dei criteri di accesso condizionale.

Il blocco dell'accesso è un controllo potente che va applicato con le dovute conoscenze. I criteri con istruzioni di blocco possono avere effetti collaterali imprevisti. I test e la convalida appropriati sono fondamentali prima di abilitare il controllo su larga scala. Gli amministratori devono usare strumenti come la modalità di solo report di accesso condizionale e lo strumento What If nell'accesso condizionale durante l'esecuzione delle modifiche.

Concedere l'accesso

Gli amministratori possono scegliere di applicare uno o più controlli quando si concede l'accesso. Questi controlli includono le opzioni seguenti:

Quando gli amministratori scelgono di combinare queste opzioni, possono usare i metodi seguenti:

  • Richiedi tutti i controlli selezionati (controllo e controllo)
  • Richiedi uno dei controlli selezionati (controllo o controllo)

Per impostazione predefinita, l'accesso condizionale richiede tutti i controlli selezionati.

Richiedere l'autenticazione a più fattori

Se si seleziona questa casella di controllo, è necessario che gli utenti eseguano l'autenticazione a più fattori di Azure Active Directory (Azure AD). Per altre informazioni sulla distribuzione dell'autenticazione a più fattori di Azure AD, vedere Pianificazione di una distribuzione di Azure AD Multifactor Authentication basata sul cloud.

Windows Hello for Business soddisfa il requisito per l'autenticazione a più fattori nei criteri di accesso condizionale.

Richiedi forza di autenticazione (anteprima)

Gli amministratori possono scegliere di richiedere punti di forza di autenticazione specifici nei criteri di accesso condizionale. Questi punti di forza di autenticazione sono definiti nella portale di Azure>Azure Active Directory>Security>Authentication>methods Authentication strengths (Preview). Gli amministratori possono scegliere di creare o usare le versioni predefinite.

Nota

Richiedere la forza di autenticazione è attualmente disponibile in anteprima pubblica. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Richiedere che i dispositivi siano contrassegnati come conformi

Le organizzazioni che hanno distribuito Intune possono usare le informazioni restituite dai dispositivi per identificare i dispositivi che soddisfano i requisiti di conformità dei criteri specifici. Intune invia informazioni di conformità ad Azure AD in modo che l'accesso condizionale possa decidere di concedere o bloccare l'accesso alle risorse. Per altre informazioni sui criteri di conformità, vedere Impostare regole nei dispositivi per consentire l'accesso alle risorse dell'organizzazione usando Intune.

Un dispositivo può essere contrassegnato come conforme da Intune per qualsiasi sistema operativo del dispositivo o da un sistema di gestione dei dispositivi mobili di terze parti per i dispositivi Windows 10. Per un elenco di sistemi di gestione di dispositivi mobili di terze parti supportati, vedere Supportare partner di conformità dei dispositivi di terze parti in Intune.

I dispositivi devono essere registrati in Azure AD prima di poter essere contrassegnati come conformi. Per altre informazioni sulla registrazione dei dispositivi, vedere Informazioni sulle identità dei dispositivi.

Il dispositivo Richiedi di essere contrassegnato come controllo conforme:

  • Supporta solo i dispositivi Windows 10+, iOS, Android e macOS registrati con Azure AD e registrati con Intune.
  • Considera Microsoft Edge in modalità InPrivate un dispositivo non conforme.

Nota

In Windows 7, iOS, Android, macOS e alcuni Web browser di terze parti, Azure AD identifica il dispositivo usando un certificato client effettuato quando il dispositivo viene registrato con Azure AD. Quando accede per la prima volta tramite il browser, all'utente viene richiesto di selezionare il certificato. Per continuare a usare il browser, è necessario che l'utente selezioni il certificato.

È possibile usare l'app Microsoft Defender per endpoint con i criteri di app client approvati in Intune per impostare i criteri di conformità del dispositivo ai criteri di accesso condizionale. Non è necessaria alcuna esclusione per l'app Microsoft Defender per endpoint durante la configurazione dell'accesso condizionale. Anche se Microsoft Defender per endpoint in Android e iOS (ID app dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) non è un'app approvata, ha l'autorizzazione per segnalare il comportamento di sicurezza del dispositivo. Questa autorizzazione consente il flusso di informazioni di conformità per l'accesso condizionale.

Richiedere un dispositivo aggiunto ad Azure AD ibrido

Le organizzazioni possono scegliere di usare l'identità del dispositivo come parte dei criteri di accesso condizionale. Le organizzazioni possono richiedere che i dispositivi siano aggiunti ad Azure AD ibrido usando questa casella di controllo. Per altre informazioni sulle identità dei dispositivi, vedere Che cos'è un'identità del dispositivo?

Quando si usa il flusso OAuth del codice del dispositivo, il controllo di concessione richiesto per il dispositivo gestito o una condizione di stato del dispositivo non è supportato. Questo perché il dispositivo che esegue l'autenticazione non può fornire lo stato del dispositivo al dispositivo che fornisce un codice. Inoltre, lo stato del dispositivo nel token è bloccato nel dispositivo che esegue l'autenticazione. Usare invece il controllo Richiedi autenticazione a più fattori .

Il controllo Richiedi dispositivo aggiunto ad Azure AD ibrido:

  • Supporta solo i dispositivi Windows aggiunti a un dominio (prima di Windows 10) e i dispositivi Windows correnti (Windows 10+).
  • Non considera Microsoft Edge in modalità InPrivate come dispositivo aggiunto ad Azure AD ibrido.

Richiedere app client approvata

Le organizzazioni possono richiedere che un'app client approvata venga usata per accedere alle app cloud selezionate. Queste app client approvate supportano i criteri di protezione delle app Intune indipendentemente da qualsiasi soluzione di gestione dei dispositivi mobili.

Per applicare questo controllo di concessione, il dispositivo deve essere registrato in Azure AD, che richiede l'uso di un'app broker. L'app broker può essere Microsoft Authenticator per iOS o Microsoft Authenticator o Microsoft Portale aziendale per i dispositivi Android. Se un'app broker non è installata nel dispositivo quando l'utente tenta di eseguire l'autenticazione, l'utente viene reindirizzato all'app store appropriato per installare l'app broker richiesta.

Le app client seguenti supportano questa impostazione, questo elenco non è esaustivo ed è soggetto a modifiche::

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Elenchi Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Amministrazione di Microsoft 365

Osservazioni:

  • Le app client approvate supportano la funzionalità di gestione di applicazioni mobili di Intune.
  • Il requisito Richiedi app client approvata:
    • Supporta solo iOS e Android come condizione per le piattaforme del dispositivo.
    • Richiede che un'app broker registri il dispositivo. L'app broker può essere Microsoft Authenticator per iOS o Microsoft Authenticator o Microsoft Portale aziendale per dispositivi Android.
  • L'accesso condizionale non può considerare Microsoft Edge in modalità InPrivate un'app client approvata.
  • I criteri di accesso condizionale che richiedono Microsoft Power BI come app client approvata non supportano l'uso di Azure AD Application Proxy per connettere l'app Power BI per dispositivi mobili all'Server di report di Power BI locale.

Per esempi di configurazione, vedere Richiedere app client approvate per l'accesso alle app cloud con l'accesso condizionale .

Richiedere criteri di protezione dell'app

Nel criterio di accesso condizionale è possibile richiedere che nell'app client sia presente un criterio di protezione delle app Intune prima che l'accesso sia disponibile per le app cloud selezionate.

Per applicare questo controllo di concessione, l'accesso condizionale richiede che il dispositivo sia registrato in Azure AD, che richiede l'uso di un'app broker. L'app broker può essere Microsoft Authenticator per iOS o Microsoft Portale aziendale per dispositivi Android. Se un'app broker non è installata nel dispositivo quando l'utente tenta di eseguire l'autenticazione, l'utente viene reindirizzato all'App Store per installare l'app broker.

Le applicazioni devono avere l'SDK di Intune con la garanzia dei criteri implementata e devono soddisfare determinati altri requisiti per supportare questa impostazione. Gli sviluppatori che implementano applicazioni con Intune SDK possono trovare altre informazioni su questi requisiti nella documentazione dell'SDK.

Le app client seguenti sono confermate per supportare questa impostazione, questo elenco non è esaustivo ed è soggetto a modifiche:

  • App per dispositivi mobili Adobe Acrobat Reader
  • iAnnotate per Office 365
  • Microsoft Cortana
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Flow Mobile
  • Microsoft Launcher
  • Elenchi Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Microsoft Whiteboard Services
  • Microsoft Field Service (Dynamics 365)
  • MultiLinea per Intune
  • Nove messaggi - Email e calendario
  • Notate for Intune
  • Provectus - Contatti sicuri
  • Yammer (Android, iOS e iPadOS)

Questo elenco non include tutti, se l'app non è presente in questo elenco, rivolgersi al fornitore dell'applicazione per confermare il supporto.

Nota

Kaizala, Skype for Business e Visio non supportano la concessione dei criteri Richiedi protezione app. Se è necessario che queste app funzionino, usare esclusivamente la concessione esclusiva delle app approvate . L'uso della clausola "or" tra le due concessioni non funzionerà per queste tre applicazioni.

Le app per i criteri di protezione delle app supportano la funzionalità di gestione delle applicazioni mobili Intune con protezione dei criteri.

Richiedi il controllo dei criteri di protezione delle app :

  • Supporta solo iOS e Android per la condizione della piattaforma del dispositivo.
  • Richiede che un'app broker registri il dispositivo. In iOS l'app broker è Microsoft Authenticator. In Android l'app broker è Portale aziendale Intune.

Per esempi di configurazione, vedere Richiedere i criteri di protezione delle app e un'app client approvata per l'accesso alle app cloud con l'accesso condizionale .

Richiedere la modifica della password

Quando viene rilevato un rischio utente, gli amministratori possono usare le condizioni dei criteri di rischio utente per far modificare in modo sicuro una password usando la reimpostazione della password self-service di Azure AD. Gli utenti possono eseguire una reimpostazione della password self-service per la correzione automatica. Questo processo chiuderà l'evento di rischio utente per evitare avvisi non necessari per gli amministratori.

Quando viene richiesto a un utente di modificare una password, sarà prima necessario completare l'autenticazione a più fattori. Assicurarsi che tutti gli utenti siano registrati per l'autenticazione a più fattori, in modo che vengano preparati nel caso in cui venga rilevato il rischio per il proprio account.

Avviso

Gli utenti devono aver registrato in precedenza per l'autenticazione a più fattori prima di attivare i criteri di rischio utente.

Quando si configura un criterio usando il controllo delle modifiche delle password, si applicano le restrizioni seguenti:

  • Il criterio deve essere assegnato a "tutte le app cloud". Questo requisito impedisce a un utente malintenzionato di usare un'app diversa per modificare la password dell'utente e reimpostare il rischio dell'account accedendo a un'app diversa.
  • Non è possibile usare la modifica della password con altri controlli, ad esempio la richiesta di un dispositivo conforme.
  • Il controllo delle modifiche della password può essere usato solo con la condizione di assegnazione di utenti e gruppi, la condizione di assegnazione dell'app cloud (che deve essere impostata su "tutti") e le condizioni di rischio utente.

Condizioni per l'utilizzo

Se l'organizzazione ha creato condizioni per l'utilizzo, altre opzioni potrebbero essere visibili nei controlli di concessione. Queste opzioni consentono agli amministratori di richiedere il riconoscimento delle condizioni per l'utilizzo come condizione di accesso alle risorse protette dai criteri. Per altre informazioni sulle condizioni per l'utilizzo, vedere Condizioni per l'utilizzo di Azure Active Directory.

Controlli personalizzati (anteprima)

I controlli personalizzati sono una funzionalità di anteprima di Azure AD. Quando si usano controlli personalizzati, gli utenti vengono reindirizzati a un servizio compatibile per soddisfare i requisiti di autenticazione separati da Azure AD. Per altre informazioni, vedere l'articolo Controlli personalizzati .

Passaggi successivi