Dispositivi registrati in Azure AD
L'obiettivo di Azure AD registrato, noto anche come Workplace join, è quello di fornire agli utenti il supporto per portare i propri dispositivi (BYOD) o scenari di dispositivi mobili. In questi scenari un utente può accedere alle risorse dell'organizzazione usando un dispositivo personale.
| Azure AD registrato | Descrizione |
|---|---|
| Definition | Registrazione in Azure AD senza richiedere l'account aziendale per accedere al dispositivo |
| Destinatari principali | Applicabile a tutti gli utenti con i criteri seguenti: |
| Bring Your Own Device (BYOD) | |
| Dispositivi mobili | |
| Proprietà del dispositivo | Utente o organizzazione |
| Sistemi operativi | Windows 10 o versioni successive, iOS, Android, macOS, Ubuntu 20.04/22.04 |
| Provisioning | Windows 10 o versione successiva - Impostazioni |
| iOS/Android - Portale aziendale o app Microsoft Authenticator | |
| macOS - Portale aziendale | |
| Linux - Agente di Intune | |
| Opzioni di accesso del dispositivo | Credenziali locali dell'utente finale |
| Password | |
| Windows Hello | |
| PIN | |
| Biometria o modello per altri dispositivi | |
| Gestione del dispositivo | Mobile Device Management (esempio: Microsoft Intune) |
| gestione di applicazioni mobili | |
| Funzionalità principali | Accesso Single Sign-On alle risorse cloud |
| Accesso condizionale quando viene eseguita la registrazione in Intune | |
| Accesso condizionale tramite criteri di protezione delle app | |
| Consente l'accesso tramite telefono con l'app Microsoft Authenticator |
I dispositivi registrati di Azure AD sono connessi all'uso di un account locale come un account Microsoft in un dispositivo Windows 10 o versione successiva. Questi dispositivi dispongono di un account Azure AD per l'accesso alle risorse aziendali. L'accesso alle risorse nell'organizzazione può essere limitato in base ai criteri di accesso condizionale e account azure AD applicati all'identità del dispositivo.
Gli amministratori possono proteggere e controllare ulteriormente i dispositivi registrati in Azure AD usando strumenti di gestione di dispositivi mobili come Microsoft Intune. Le strumento di gestione di dispositivi mobili fornisce un mezzo per imporre le configurazioni richieste dall'organizzazione, ad esempio per richiedere la crittografia dell'archiviazione, la complessità delle password e l'aggiornamento del software di sicurezza.
La registrazione di Azure AD può essere eseguita quando si accede a un'applicazione di lavoro per la prima volta o manualmente usando il menu Windows 10 o impostazioni di Windows 11.
Scenari
Un utente dell'organizzazione vuole accedere allo strumento di registrazione dei vantaggi dal proprio PC domestico. L'organizzazione richiede che chiunque accede a questo strumento da un dispositivo conforme Intune. L'utente registra il pc di casa con Azure AD e registra il dispositivo in Intune, quindi i criteri di Intune necessari vengono applicati dando all'utente l'accesso alle risorse.
Un altro utente vuole accedere all'e-mail aziendale sul telefono Android personale rooted. L'azienda richiede un dispositivo conforme e ha creato criteri di conformità con Intune per bloccare tutti i dispositivi rooted. Al dipendente non viene consentito l'accesso alle risorse dell'organizzazione in questo dispositivo.