Usare l'accesso condizionale con Microsoft Tunnel in Intune
Se l'ambiente Microsoft Intune usa Microsoft Entra accesso condizionale, è possibile usare i criteri di accesso condizionale per controllare l'accesso del dispositivo al gateway VPN di Microsoft Tunnel.
Per supportare l'integrazione dell'accesso condizionale e di Microsoft Tunnel, usare Microsoft Graph PowerShell per consentire al tenant di supportare Microsoft Tunnel. Dopo aver abilitato il tenant a supportare Microsoft Tunnel, si possono creare criteri di accesso condizionale che si applicano all'app Microsoft Tunnel.
Effettuare il provisioning del tenant
Prima di poter configurare i criteri di accesso condizionale per il tunnel, è necessario abilitare il tenant per supportare Microsoft Tunnel per l'accesso condizionale. Usare il modulo PowerShell di Microsoft Graph ed eseguire uno script di PowerShell per modificare il tenant per aggiungere Microsoft Tunnel Gateway come app cloud. Dopo aver aggiunto il tunnel come app cloud, è possibile selezionarlo come parte di un criterio di accesso condizionale.
Scaricare e installare il modulo di PowerShell AzureAD.
Scaricare lo script di PowerShell denominato mst-ca-provisioning.ps1 da aka.ms/mst-ca-provisioning.
Usando credenziali con autorizzazioni del ruolo di Azure equivalenti a Intune Administrator, eseguire lo script da qualsiasi posizione nell'ambiente per effettuare il provisioning del tenant.
Lo script modifica il tenant creando un'entità servizio con i dettagli seguenti:
- ID app: 3678c9e9-9681-447a-974d-d19f668fcd88
- Nome: Gateway di Microsoft Tunnel
L'aggiunta di questa entità servizio è necessaria per poter selezionare l'app cloud tunnel durante la configurazione dei criteri di accesso condizionale. È anche possibile usare Graph per aggiungere le informazioni sull'entità servizio al tenant.
Al termine dello script, è possibile usare il normale processo di creazione dei criteri di accesso condizionale.
Accesso condizionale per limitare l'accesso a Microsoft Tunnel
Se si usano i criteri di accesso condizionale per limitare l'accesso degli utenti, è consigliabile configurare questi criteri dopo aver effettuato il provisioning del tenant per supportare l'app cloud Gateway di Microsoft Tunnel, ma prima di installare il gateway del tunnel.
Accedere a Microsoft Intune'interfaccia> di amministrazioneEndpoint Security>Conditional Access>Crea nuovi criteri. L'interfaccia di amministrazione presenta l'interfaccia di Microsoft Entra per la creazione di criteri di accesso condizionale.
Specificare un nome per i criteri.
Per configurare l'accesso di utenti e gruppi, in Assegnazioni selezionare Utenti e gruppi.
- Selezionare Includi>Tutti gli utenti.
- Selezionare quindi Escludi, quindi configurare i gruppi a cui si vuole concedere l'accesso e quindi salvare la configurazione utente e gruppo.
In Applicazioni cloud o azioni>Seleziona le app selezionare l'app Gateway di Microsoft Tunnel.
In Controlli di accesso selezionare Concedi selezionare Blocca accesso e quindi salvare la configurazione.
Impostare Abilita criterio su Attivato.
Selezionare Crea.
Per altre informazioni sulla creazione di criteri per l'accesso condizionale, vedere Creare un criterio di accesso condizionale basato su dispositivo.