Impostare i criteri di accesso condizionale
L'accesso condizionale è la protezione del contenuto regolamentato in un sistema richiedendo che vengano soddisfatti determinati criteri prima di concedere l'accesso al contenuto. I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then. Se un utente vuole accedere a una risorsa, deve completare un'azione. Ad esempio, un responsabile delle retribuzioni vuole accedere all'applicazione per le retribuzioni ed è necessario eseguire l'autenticazione a più fattori (MFA) per farlo.
Usando l'accesso condizionale, è possibile raggiungere due obiettivi principali:
- Consente agli utenti di essere produttivi ovunque e in qualsiasi momento.
- Proteggere gli asset dell'organizzazione.
Usando i criteri di accesso condizionale, è possibile applicare i controlli di accesso appropriati quando necessario per mantenere l'organizzazione sicura e rimanere fuori dalla modalità dell'utente quando non è necessario.
La frequenza con cui viene richiesto a un utente di eseguire di nuovo l'autenticazione dipende dalle impostazioni di configurazione della durata della sessione Microsoft Entra. Anche se ricordare le credenziali è utile, può anche rendere meno sicure le distribuzioni per gli scenari aziendali usando i dispositivi personali. Per proteggere gli utenti, è possibile assicurarsi che il client richieda più frequentemente Microsoft Entra credenziali di autenticazione a più fattori. Per configurare questo comportamento, è possibile usare la frequenza di accesso condizionale.
Assegnare criteri di accesso condizionale per i PC cloud
I criteri di accesso condizionale non sono impostati per il tenant per impostazione predefinita. È possibile indirizzare i criteri ca all'app cloud pc di prima parte usando una delle piattaforme seguenti:
- Azure. Per altre informazioni, vedere Microsoft Entra l'accesso condizionale.
- Microsoft Intune. I passaggi seguenti illustrano questo processo. Per altre informazioni, vedere Informazioni sull'accesso condizionale e Intune.
Indipendentemente dal metodo usato, i criteri verranno applicati nel portale dell'utente finale di Cloud PC e nella connessione al PC cloud.
Accedere all'interfaccia di amministrazione Microsoft Intune, selezionare Sicurezza endpoint>Accesso> condizionaleCrea nuovi criteri.
Specificare un nome per i criteri di accesso condizionale specifici.
In Utenti selezionare 0 utenti e gruppi selezionati.
Nella scheda Includi selezionare Seleziona utenti e gruppi> selezionare Utenti e gruppi> in Seleziona, scegliere 0 utenti e gruppi selezionati.
Nel nuovo riquadro visualizzato cercare e selezionare l'utente o il gruppo specifico a cui si vuole assegnare il criterio CA, quindi scegliere Seleziona.
In Risorse di destinazione selezionare Nessuna risorsa di destinazione selezionata.
Nella scheda Includi scegliere Seleziona app> in Seleziona, scegliere Nessuno.
Nel riquadro Seleziona cercare e selezionare le app seguenti in base alle risorse che si sta tentando di proteggere:
- Windows 365 (ID app 0af06dc6-e4b5-4f28-818e-e78e62d137a5). È anche possibile cercare "cloud" per trovare questa app. Questa app viene usata quando si recupera l'elenco di risorse per l'utente e quando gli utenti avviano azioni nel PC cloud, ad esempio Riavvia.
- Desktop virtuale Azure (ID app 9cdead84-a844-4324-93f2-b2e6bb768d07). Questa app può anche essere visualizzata come Desktop virtuale Windows. Questa app viene usata per eseguire l'autenticazione nel gateway Desktop virtuale Azure durante la connessione e quando il client invia informazioni di diagnostica al servizio.
- Desktop remoto Microsoft (ID app a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Accesso cloud windows (ID app 270efc09-cd0d-444b-a71f-39af4910ec45). Queste app sono necessarie solo quando si configura l'accesso Single Sign-On in un criterio di provisioning. Queste app vengono usate per autenticare gli utenti nel PC cloud.
È consigliabile associare i criteri di accesso condizionale tra queste app. Ciò garantisce che i criteri si applichino al portale dell'utente finale di Cloud PC, alla connessione al gateway e al PC cloud per un'esperienza coerente. Se si vuole escludere le app, è anche necessario scegliere tutte queste app.
Importante
Con l'accesso Single Sign-On abilitato, l'autenticazione nel CLOUD PC usa attualmente l'app Desktop remoto Microsoft Entra ID. Una modifica imminente eseguirà la transizione dell'autenticazione all'app Windows Cloud Login Entra ID. Per garantire una transizione senza problemi, è necessario aggiungere entrambe le app Entra ID ai criteri della CA.
Nota
Se l'app Windows Cloud Login non viene visualizzata durante la configurazione dei criteri di accesso condizionale, seguire questa procedura per creare l'app. Per apportare queste modifiche, è necessario disporre delle autorizzazioni proprietario o collaboratore per la sottoscrizione:
- Accedere al portale di Azure.
- Selezionare Sottoscrizioni dall'elenco di Servizi di Azure.
- Selezionare il nome della sottoscrizione.
- Selezionare Provider di risorse e quindi Microsoft.DesktopVirtualization.
- Selezionare Registra nella parte superiore.
Dopo la registrazione del provider di risorse, l'app Windows Cloud Login viene visualizzata nella configurazione dei criteri di accesso condizionale quando si selezionano le app a cui applicare i criteri. Se non si usa Desktop virtuale Azure, è possibile annullare la registrazione del provider di risorse Microsoft.DesktopVirtualization dopo la disponibilità dell'app Account di accesso cloud di Windows.
Per ottimizzare i criteri, in Concedi scegliere 0 controlli selezionati.
Nel riquadro Concedi scegliere le opzioni di concessione o blocco di accesso che si desidera applicare a tutti gli oggetti assegnati a questo criterio >Selezionare.
Se si vuole testare prima i criteri, in Abilita criterio selezionare Solo report. Se lo si imposta su Sì, il criterio verrà applicato non appena viene creato.
Selezionare Crea per creare i criteri.
È possibile visualizzare l'elenco dei criteri attivi e inattivi nella visualizzazione Criteri nell'interfaccia utente di accesso condizionale.
Configurare la frequenza di accesso
I criteri di frequenza di accesso consentono di impostare il periodo di tempo dopo il quale un utente deve dimostrare di nuovo la propria identità quando accede alle risorse basate su Microsoft Entra. Ciò consente di proteggere l'ambiente ed è particolarmente importante per i dispositivi personali, in cui il sistema operativo locale potrebbe non richiedere l'autenticazione a più fattori o non essere bloccato automaticamente dopo l'inattività.
I criteri di frequenza di accesso comportano un comportamento diverso in base all'app Microsoft Entra selezionata:
| Nome dell'app | App ID | Comportamento |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Impone la reautenzione quando un utente recupera l'elenco di PC cloud e quando gli utenti avviano azioni nel PC cloud, ad esempio Riavvia. |
| Desktop virtuale di Azure | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Impone la reautenticazione quando un utente esegue l'autenticazione nel gateway Desktop virtuale Azure durante una connessione. |
| Desktop remoto Microsoft Account di accesso cloud di Windows |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Impone la reautenzione quando un utente accede al Cloud PC quando è abilitato l'accesso Single Sign-On . Entrambe le app devono essere configurate insieme perché i client passeranno presto dall'uso dell'app Desktop remoto Microsoft all'app Windows Cloud Login per l'autenticazione nel PC cloud. |
Per configurare il periodo di tempo dopo il quale a un utente viene chiesto di eseguire di nuovo l'accesso:
- Aprire i criteri creati in precedenza.
- In Sessione selezionare 0 controlli selezionati.
- Nel riquadro Sessione selezionare Frequenza di accesso.
- Selezionare Riautenticazione periodica o Ogni volta.
- Se si seleziona Riautenticazione periodica, impostare il valore per il periodo di tempo dopo il quale a un utente viene chiesto di eseguire di nuovo > l'accesso Selezionare. Ad esempio, se si imposta il valore su 1 e l'unità su Ore, è necessaria l'autenticazione a più fattori se una connessione viene avviata più di un'ora dopo l'ultima.
- L'opzione Ogni volta è attualmente disponibile in anteprima pubblica ed è supportata solo se applicata alle app Desktop remoto Microsoft e Windows Cloud Login quando l'accesso Single Sign-On è abilitato per i PC cloud. Se si seleziona Ogni volta, agli utenti viene richiesto di eseguire di nuovo l'autenticazione dopo un periodo compreso tra 10 e 15 minuti dopo l'ultima autenticazione per le app Desktop remoto Microsoft e Windows Cloud Login.
- Nella parte inferiore della pagina selezionare Salva.
Nota
- La reautenticazione viene eseguita solo quando un utente deve eseguire l'autenticazione in una risorsa. Dopo aver stabilito una connessione, agli utenti non viene richiesto anche se la connessione dura più a lungo della frequenza di accesso configurata.
- Gli utenti devono eseguire di nuovo l'autenticazione se si verifica un'interruzione della rete che forza il ripristino della sessione dopo la frequenza di accesso. Ciò può comportare richieste di autenticazione più frequenti su reti instabili.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per