Accesso condizionale: filtro per i dispositivi

Quando gli amministratori creano criteri di accesso condizionale, la possibilità di impostare come destinazione o escludere dispositivi specifici nel proprio ambiente è un'attività comune. Il filtro delle condizioni per i dispositivi offre agli amministratori la possibilità di scegliere come destinazione dispositivi specifici. Gli amministratori possono usare operatori e proprietà supportati per i filtri dei dispositivi insieme alle altre condizioni di assegnazione disponibili nei criteri di accesso condizionale.

Scenari comuni

Esistono più scenari che le organizzazioni possono ora abilitare usando il filtro per le condizioni dei dispositivi. Gli scenari seguenti forniscono esempi di come usare questa nuova condizione.

• Limitare l'accesso alle risorse con privilegi. Per questo esempio, si supponga di voler consentire l'accesso all'API di Gestione dei servizi di Windows Azure da un utente che:
  • Viene assegnato un ruolo con privilegi.
  • Autenticazione a più fattori completata.
  • Si trova in un dispositivo con privilegi o workstation amministrative sicure e attestato come conforme.
  • Per questo scenario, le organizzazioni creerebbero due criteri di accesso condizionale:
    • Criterio 1: tutti gli utenti con un ruolo di amministratore, l'accesso all'app cloud per le API di Gestione dei servizi di Windows Azure e per i controlli di accesso, Concedere l'accesso, ma richiedono l'autenticazione a più fattori e richiedono che il dispositivo sia contrassegnato come conforme.
    • Criterio 2: tutti gli utenti con un amministratore, accedono all'app cloud per le API di Gestione dei servizi di Windows Azure, escludendo un filtro per i dispositivi che usano l'espressione regola device.extensionAttribute1 è uguale a SAW e per i controlli di accesso, Blocca. Informazioni su come aggiornare extensionAttributes in un oggetto dispositivo Microsoft Entra.
• Bloccare l'accesso alle risorse dell'organizzazione dai dispositivi che eseguono un sistema operativo non supportato. Per questo esempio, si supponga di voler bloccare l'accesso alle risorse dalla versione del sistema operativo Windows precedente a Windows 10. Per questo scenario, le organizzazioni creerebbero i criteri di accesso condizionale seguenti:
  • Tutti gli utenti, l'accesso a tutte le app cloud, escluso un filtro per i dispositivi che usano l'espressione regola device.operatingSystem è uguale a Windows e device.operatingSystemVersion iniziaCon "10.0" e per Controlli di accesso, Blocca.
• Non richiedere l'autenticazione a più fattori per account specifici in dispositivi specifici. Per questo esempio, si supponga di non richiedere l'autenticazione a più fattori quando si usano account di servizio in dispositivi specifici, ad esempio telefoni Teams o dispositivi Surface Hub. Per questo scenario, le organizzazioni creerebbero i due criteri di accesso condizionale seguenti:
  • Criterio 1: tutti gli utenti esclusi gli account del servizio, l'accesso a tutte le app cloud e per i controlli di accesso, Concedere l'accesso, ma richiedono l'autenticazione a più fattori.
  • Criteri 2: selezionare utenti e gruppi e includere gruppo che contiene solo gli account di servizio, l'accesso a tutte le app cloud, escluso un filtro per i dispositivi che usano l'espressione regola device.extensionAttribute2 non è uguale a TeamsPhoneDevice e per i controlli di accesso, Blocca.

Nota

Microsoft Entra ID usa l'autenticazione del dispositivo per valutare le regole di filtro dei dispositivi. Per un dispositivo non registrato con Microsoft Entra ID, tutte le proprietà del dispositivo vengono considerate come valori Null e gli attributi del dispositivo non possono essere determinati perché il dispositivo non esiste nella directory. Il modo migliore per impostare come destinazione i criteri per i dispositivi non registrati consiste nell'usare l'operatore negativo perché la regola di filtro configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro verrà applicata solo quando un dispositivo esiste nella directory e la regola configurata corrisponde all'attributo nel dispositivo.

Creare criteri di accesso condizionale

Il filtro per i dispositivi è un controllo facoltativo durante la creazione di un criterio di accesso condizionale.

I passaggi seguenti consentono di creare due criteri di accesso condizionale per supportare il primo scenario in Scenari comuni.

Criterio 1: tutti gli utenti con un ruolo di amministratore, l'accesso all'app cloud per le API di Gestione dei servizi di Windows Azure e per i controlli di accesso, Concedere l'accesso, ma richiedono l'autenticazione a più fattori e richiedono che il dispositivo sia contrassegnato come conforme.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale>Criteri.
3. Selezionare Nuovi criteri.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

   1. In Includi selezionare Ruoli directory, quindi tutti i ruoli con amministratore nel nome.

      Avviso

      I criteri di accesso condizionale supportano i ruoli predefiniti. I criteri di accesso condizionale non vengono applicati per altri tipi di ruolo, inclusi ruoli con ambito unità amministrativa o personalizzati.

   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.

   3. Selezionare Fatto.

6. In Risorse di destinazione>App cloud Includi>selezionare le app> scegliere API gestione dei servizi di Windows Azure e selezionare Seleziona.
7. In Controlli>di accesso Concedi selezionare Concedi accesso, Richiedi autenticazione a più fattori e Richiedi che il dispositivo sia contrassegnato come conforme, quindi selezionare Seleziona.
8. Confermare le impostazioni e impostare Abilita criterio su Attivato.
9. Selezionare Crea per creare e abilitare il criterio.

Criterio 2: tutti gli utenti con un ruolo di amministratore, l'accesso all'app cloud per le API di Gestione dei servizi di Windows Azure, escluso un filtro per i dispositivi che usano l'espressione regola device.extensionAttribute1 è uguale a SAW e per i controlli di accesso, Blocca.

1. Selezionare Crea nuovo criterio.
2. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
3. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

   1. In Includi selezionare Ruoli directory, quindi tutti i ruoli con amministratore nel nome

      Avviso

      I criteri di accesso condizionale supportano i ruoli predefiniti. I criteri di accesso condizionale non vengono applicati per altri tipi di ruolo, inclusi ruoli con ambito unità amministrativa o personalizzati.

   2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.

   3. Selezionare Fatto.

4. In Risorse di destinazione>App cloud Includi>selezionare le app> scegliere API gestione dei servizi di Windows Azure e selezionare Seleziona.
5. In Condizioni filtrare i dispositivi.
   1. Attiva/ disattiva Configura su Sì.
   2. Impostare Dispositivi corrispondenti alla regola su Escludi i dispositivi filtrati dai criteri.
   3. Impostare la proprietà su ExtensionAttribute1, l'operatore su Equals e il valore su SAW.
   4. Selezionare Fatto.
6. In Controlli di accesso>Concedi selezionare Blocca accesso, quindi Seleziona.
7. Confermare le impostazioni e impostare Abilita criterio su Attivato.
8. Selezionare Crea per creare e abilitare il criterio.

Avviso

I criteri che richiedono dispositivi conformi possono richiedere agli utenti su Mac, iOS e Android di selezionare un certificato del dispositivo durante la valutazione dei criteri, anche se la conformità del dispositivo non viene applicata. Queste richieste possono essere ripetute fino a quando il dispositivo non viene reso conforme.

Impostazione dei valori degli attributi

L'impostazione degli attributi di estensione è resa possibile tramite l'API Graph. Per altre informazioni sull'impostazione degli attributi del dispositivo, vedere l'articolo Aggiornare il dispositivo.

Filtrare per i dispositivi API Graph

Il filtro per l'API dei dispositivi è disponibile nell'endpoint di Microsoft Graph v1.0 ed è accessibile usando l'endpoint https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. È possibile configurare un filtro per i dispositivi durante la creazione di un nuovo criterio di accesso condizionale oppure aggiornare un criterio esistente per configurare il filtro per la condizione dei dispositivi. Per aggiornare un criterio esistente, è possibile eseguire una chiamata patch sull'endpoint di Microsoft Graph v1.0 aggiungendo l'ID criterio di un criterio esistente ed eseguendo il corpo della richiesta seguente. L'esempio seguente mostra la configurazione di un filtro per le condizioni dei dispositivi esclusi i dispositivi che non sono contrassegnati come dispositivi SAW. La sintassi della regola può essere costituita da più di una singola espressione. Per altre informazioni sulla sintassi, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operatori supportati e proprietà dei dispositivi per i filtri

Gli attributi del dispositivo seguenti possono essere usati con il filtro per la condizione dei dispositivi nell'accesso condizionale.

Nota

Microsoft Entra ID usa l'autenticazione del dispositivo per valutare le regole di filtro dei dispositivi. Per un dispositivo non registrato con Microsoft Entra ID, tutte le proprietà del dispositivo vengono considerate come valori Null e gli attributi del dispositivo non possono essere determinati perché il dispositivo non esiste nella directory. Il modo migliore per impostare come destinazione i criteri per i dispositivi non registrati consiste nell'usare l'operatore negativo perché la regola di filtro configurata verrebbe applicata. Se si usasse un operatore positivo, la regola di filtro verrà applicata solo quando un dispositivo esiste nella directory e la regola configurata corrisponde all'attributo nel dispositivo.

Attributi del dispositivo supportati	Operatori supportati	Valori supportati	Esempio
deviceId	Equals, NotEquals, In, NotIn	Id dispositivo valido che è un GUID	(device.deviceid -eq "498c4de7-1aee-4ded-8d5d-00000000000000")
displayName	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualsiasi stringa	(device.displayName -contains "ABC")
deviceOwnership	Uguale a, NotEquals	I valori supportati sono "Personal" per dispositivi bring your own e "Company" per i dispositivi di proprietà dell'azienda	(device.deviceOwnership -eq "Company")
isCompliant	Uguale a, NotEquals	I valori supportati sono "True" per i dispositivi conformi e "False" per i dispositivi non conformi	(device.isCompliant -eq "True")
manufacturer	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualsiasi stringa	(device.manufacturer -startsWith "Microsoft")
mdmAppId	Equals, NotEquals, In, NotIn	ID applicazione MDM valido	(device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"]
modello	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Qualsiasi stringa	(device.model -notContains "Surface")
operatingSystem	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Un sistema operativo valido (ad esempio Windows, iOS o Android)	(device.operatingSystem -eq "Windows")
operatingSystemVersion	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Versione valida del sistema operativo (ad esempio 6.1 per Windows 7, 6.2 per Windows 8 o 10.0 per Windows 10 e Windows 11)	(device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds	Contiene, Non contiene	Ad esempio, tutti i dispositivi Windows Autopilot archiviano ZTDId (un valore univoco assegnato a tutti i dispositivi Windows Autopilot importati) nella proprietà device physicalIds.	(device.physicalIds -contains "[ZTDId]:value")
profileType	Uguale a, NotEquals	Tipo di profilo valido impostato per un dispositivo. I valori supportati sono: RegisteredDevice (impostazione predefinita), SecureVM (usato per le macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra), Stampante (usata per le stampanti), Condiviso (usato per i dispositivi condivisi), IoT (usato per i dispositivi IoT)	(device.profileType -eq "Printer")
systemLabels	Contiene, Non contiene	Elenco di etichette applicate al dispositivo dal sistema. Alcuni dei valori supportati sono: AzureResource (usato per le macchine virtuali Windows in Azure abilitate con l'accesso a Microsoft Entra), M365Managed (usato per i dispositivi gestiti con Desktop gestito da Microsoft), MultiUser (usato per i dispositivi condivisi)	(device.systemLabels -contains "M365Managed")
trustType	Uguale a, NotEquals	Stato registrato valido per i dispositivi. I valori supportati sono: AzureAD (usato per i dispositivi aggiunti a Microsoft Entra), ServerAD (usato per i dispositivi aggiunti all'ibrido Microsoft Entra), Workplace (usato per i dispositivi registrati microsoft Entra)	(device.trustType -eq "ServerAD")
extensionAttribute1-15	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	extensionAttributes1-15 sono attributi che i clienti possono usare per gli oggetti dispositivo. I clienti possono aggiornare uno qualsiasi di extensionAttributes1 a 15 con valori personalizzati e usarli nel filtro per i dispositivi condizione in Accesso condizionale. È possibile usare qualsiasi valore stringa.	(device.extensionAttribute1 -eq "SAW")

Nota

Quando si compilano regole complesse o si usano troppi identificatori singoli, ad esempio deviceid per le identità del dispositivo, tenere presente che "La lunghezza massima per la regola di filtro è di 3072 caratteri".

Nota

Gli Contains operatori e NotContains funzionano in modo diverso a seconda dei tipi di attributo. Per gli attributi stringa, operatingSystem ad esempio e model, l'operatore Contains indica se una sottostringa specificata si verifica all'interno dell'attributo . Per gli attributi della raccolta di stringhe, ad physicalIds esempio e systemLabels, l'operatore Contains indica se una stringa specificata corrisponde a una delle stringhe intere della raccolta.

Avviso

I dispositivi devono essere gestiti, conformi o aggiunti a Microsoft Entra ibrido per un valore disponibile in extensionAttributes1-15 al momento della valutazione dei criteri di accesso condizionale.

Comportamento dei criteri con filtro per i dispositivi

Il filtro per la condizione dei dispositivi nell'accesso condizionale valuta i criteri in base agli attributi del dispositivo di un dispositivo registrato nell'ID Microsoft Entra ed è quindi importante comprendere in quali circostanze vengono applicati o meno i criteri. Nella tabella seguente viene illustrato il comportamento quando viene configurato un filtro per la condizione dei dispositivi.

Filtrare in base alla condizione dei dispositivi	Stato di registrazione del dispositivo	Filtro del dispositivo applicato
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of any attributes	Dispositivo non registrato	No
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of attributes excludeing extensionAttributes1-15	Dispositivo registrato	Sì, se vengono soddisfatti i criteri
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of attributes including extensionAttributes1-15	Dispositivo registrato gestito da Intune	Sì, se vengono soddisfatti i criteri
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of attributes including extensionAttributes1-15	Dispositivo registrato non gestito da Intune	Sì, se vengono soddisfatti i criteri. Quando vengono usati extensionAttributes1-15, il criterio si applica se il dispositivo è conforme o aggiunto a Microsoft Entra ibrido
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes	Dispositivo non registrato	Sì
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes excludeing extensionAttributes1-15	Dispositivo registrato	Sì, se vengono soddisfatti i criteri
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes including extensionAttributes1-15	Dispositivo registrato gestito da Intune	Sì, se vengono soddisfatti i criteri
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes including extensionAttributes1-15	Dispositivo registrato non gestito da Intune	Sì, se vengono soddisfatti i criteri. Quando vengono usati extensionAttributes1-15, il criterio si applica se il dispositivo è conforme o aggiunto a Microsoft Entra ibrido

Passaggi successivi

• Torna a scuola : uso corretto dell'algebra booleana in filtri complessi
• Aggiornare l'API Graph del dispositivo
• Accesso condizionale: condizioni
• Criteri comuni di accesso condizionale