Modi comuni per usare l’accesso condizionale
Esistono due tipi di criteri di accesso condizionale che è possibile usare con Intune: l'accesso condizionale basato su dispositivo e l'accesso condizionale basato su app. Per supportare ognuno di essi, è necessario configurare i criteri di Intune correlati. Quando i criteri di Intune sono implementati e distribuiti, è possibile usare l'accesso condizionale per eseguire operazioni come consentire o bloccare l'accesso a Exchange, controllare l'accesso alla rete o integrarsi con una soluzione Mobile Threat Defense.
Le informazioni contenute in questo articolo consentono di comprendere come usare le funzionalità di conformità dei dispositivi mobili Intune e le funzionalità di gestione delle applicazioni mobili (MAM) Intune.
Nota
L'accesso condizionale è una funzionalità Microsoft Entra inclusa in una licenza P1 o P2 Microsoft Entra ID. Intune migliora questa funzionalità aggiungendo alla soluzione la conformità dei dispositivi mobili e la gestione delle app per dispositivi mobili. Il nodo accesso condizionale a cui si accede da Intune è lo stesso nodo a cui si accede da Microsoft Entra ID.
Accesso condizionale basato sul dispositivo
Intune e Microsoft Entra ID interagiscono per assicurarsi che solo i dispositivi gestiti e conformi possano accedere alla posta elettronica dell'organizzazione, ai servizi di Microsoft 365, alle app SaaS (Software as a Service) e alle app locali. Inoltre, è possibile impostare un criterio in Microsoft Entra ID per abilitare solo i computer aggiunti al dominio o i dispositivi mobili registrati in Intune per accedere ai servizi di Microsoft 365.
Con Intune si distribuiscono i criteri di conformità dei dispositivi per determinare se un dispositivo soddisfa i requisiti di configurazione e sicurezza previsti. La valutazione dei criteri di conformità determina lo stato di conformità del dispositivo, che viene segnalato sia a Intune che a Microsoft Entra ID. È in Microsoft Entra ID che i criteri di accesso condizionale possono usare lo stato di conformità di un dispositivo per decidere se consentire o bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.
I criteri di accesso condizionale basato su dispositivo per Exchange Online e altri prodotti Microsoft 365 vengono configurati tramite l'interfaccia di amministrazione Microsoft Intune.
Altre informazioni su Richiedi dispositivi gestiti con accesso condizionale in Microsoft Entra ID.
Altre informazioni sulla conformità dei dispositivi Intune.
Altre informazioni sui browser supportati con accesso condizionale in Microsoft Entra ID.
Nota
Quando si abilita l'accesso basato su dispositivo per il contenuto a cui gli utenti accedono dalle app del browser nei dispositivi del profilo di lavoro android di proprietà personale, gli utenti registrati prima di gennaio 2021 devono abilitare l'accesso al browser come indicato di seguito:
- Avviare l'app Portale aziendale.
- Passare alla pagina Impostazioni dal menu.
- Nella sezione Abilita accesso al browser toccare il pulsante ABILITA .
- Chiudere e riavviare l'app del browser.
Ciò consente l'accesso nelle app del browser, ma non per browser WebView aperti all'interno delle app.
Applicazioni disponibili nell'accesso condizionale per il controllo delle Microsoft Intune
Quando si configura l'accesso condizionale nel Interfaccia di amministrazione di Microsoft Entra, sono disponibili due applicazioni tra cui scegliere:
- Microsoft Intune: questa applicazione controlla l'accesso all'interfaccia di amministrazione e alle origini dati Microsoft Intune. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione l'interfaccia di amministrazione Microsoft Intune e le origini dati.
- Microsoft Intune Registrazione: questa applicazione controlla il flusso di lavoro di registrazione. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione il processo di registrazione. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi Intune.
Accesso condizionale basato sul controllo di accesso alla rete
Intune si integra con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per fornire controlli di accesso in base alla registrazione Intune e allo stato di conformità del dispositivo.
Agli utenti può essere consentito o negato l'accesso alle risorse vpn o Wi-Fi aziendali in base al fatto che il dispositivo in uso sia gestito e conforme ai criteri di conformità dei dispositivi Intune.
- Altre informazioni sull'integrazione di NAC con Intune.
Accesso condizionale basato sul rischio del dispositivo
Intune partner con i fornitori di Mobile Threat Defense che forniscono una soluzione di sicurezza per rilevare malware, trojan e altre minacce nei dispositivi mobili.
Funzionamento dell'integrazione di Intune e Mobile Threat Defense
Quando nei dispositivi mobili è installato l'agente di Mobile Threat Defense, l'agente invia nuovamente messaggi di stato di conformità a Intune segnalazione quando viene rilevata una minaccia nel dispositivo mobile stesso.
L'integrazione Intune e mobile threat defense svolge un ruolo importante nelle decisioni relative all'accesso condizionale in base al rischio del dispositivo.
- Altre informazioni su Intune mobile threat defense.
Accesso condizionale per PC Windows
L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili. Verranno ora illustrati i modi in cui è possibile usare l'accesso condizionale durante la gestione dei PC con Intune.
Di proprietà dell'azienda
Microsoft Entra aggiunto ibrido: questa opzione viene comunemente usata dalle organizzazioni che hanno familiarità con il modo in cui stanno già gestendo i PC tramite criteri di gruppo o Configuration Manager di Active Directory.
Microsoft Entra gestione aggiunta al dominio e Intune: questo scenario è destinato alle organizzazioni che vogliono essere al primo livello del cloud (ovvero, usano principalmente servizi cloud, con l'obiettivo di ridurre l'uso di un'infrastruttura locale) o solo cloud (nessuna infrastruttura locale). Microsoft Entra join funziona bene in un ambiente ibrido, consentendo l'accesso sia alle app che alle risorse cloud e locali. Il dispositivo viene aggiunto al Microsoft Entra ID e viene registrato in Intune, che può essere usato come criterio di accesso condizionale quando si accede alle risorse aziendali.
Bring your own device (BYOD)
- Aggiunta all'area di lavoro e gestione Intune: qui l'utente può aggiungere i propri dispositivi personali per accedere alle risorse e ai servizi aziendali. È possibile usare l'aggiunta a Workplace e registrare i dispositivi in Intune MDM per ricevere i criteri a livello di dispositivo, che sono un'altra opzione per valutare i criteri di accesso condizionale.
Altre informazioni su Gestione dispositivi in Microsoft Entra ID.
Accesso condizionale basato su app
Intune e Microsoft Entra ID interagiscono per assicurarsi che solo le app gestite possano accedere alla posta elettronica aziendale o ad altri servizi Microsoft 365.
- Altre informazioni sull'accesso condizionale basato su app con Intune.
Intune l'accesso condizionale per Exchange locale
L'accesso condizionale può essere usato per consentire o bloccare l'accesso a Exchange locale in base ai criteri di conformità dei dispositivi e allo stato di registrazione. Quando l'accesso condizionale viene usato in combinazione con un criterio di conformità del dispositivo, solo i dispositivi conformi possono accedere a Exchange in locale.
È possibile configurare le impostazioni avanzate in Accesso condizionale per un controllo più granulare, ad esempio:
Consenti o blocca determinate piattaforme.
Blocca immediatamente i dispositivi che non sono gestiti da Intune.
Qualsiasi dispositivo usato per accedere a Exchange locale viene controllato per verificare la conformità quando vengono applicati i criteri di conformità e accesso condizionale del dispositivo.
Quando i dispositivi non soddisfano le condizioni impostate, l'utente finale viene guidato nel processo di registrazione del dispositivo per risolvere il problema che rende il dispositivo non conforme.
Nota
A partire da luglio 2020, il supporto per Exchange Connector è deprecato e sostituito dall'autenticazione moderna ibrida di Exchange (HMA). L'uso di HMA non richiede Intune per configurare e usare Exchange Connector. Con questa modifica, l'interfaccia utente per configurare e gestire Exchange Connector per Intune è stata rimossa dall'interfaccia di amministrazione di Microsoft Intune, a meno che non si usi già un connettore exchange con la sottoscrizione.
Se nell'ambiente è configurato Exchange Connector, il tenant Intune rimane supportato per l'uso e si continuerà ad avere accesso all'interfaccia utente che ne supporta la configurazione. Per altre informazioni, vedere Installare il connettore exchange locale. È possibile continuare a usare il connettore o configurare HMA e quindi disinstallare il connettore.
L'autenticazione moderna ibrida offre funzionalità fornite in precedenza da Exchange Connector per Intune: mapping di un'identità del dispositivo al relativo record di Exchange. Questo mapping si verifica ora al di fuori di una configurazione eseguita in Intune o il requisito del connettore Intune di collegare Intune ed Exchange. Con HMA, è stato rimosso il requisito di usare la configurazione specifica "Intune" (il connettore).
Qual è il ruolo Intune?
Intune valuta e gestisce lo stato del dispositivo.
Qual è il ruolo del server Exchange?
Exchange Server fornisce l'API e l'infrastruttura per spostare i dispositivi in quarantena.
Importante
Tenere presente che l'utente che usa il dispositivo deve avere un profilo di conformità e Intune licenza assegnata per poter valutare la conformità del dispositivo. Se non vengono distribuiti criteri di conformità all'utente, il dispositivo viene considerato conforme e non vengono applicate restrizioni di accesso.
Passaggi successivi
Come configurare l'accesso condizionale in Microsoft Entra ID
Configurare i criteri di accesso condizionale basato su app
Come creare criteri di accesso condizionale per Exchange locale