Modi comuni per usare l’accesso condizionale
Esistono due tipi di criteri di accesso condizionale che è possibile usare con Intune: l'accesso condizionale basato su dispositivo e l'accesso condizionale basato su app. Per supportare ognuno di essi, è necessario configurare i criteri di Intune correlati. Quando i criteri di Intune sono implementati e distribuiti, è possibile usare l'accesso condizionale per eseguire operazioni come consentire o bloccare l'accesso a Exchange, controllare l'accesso alla rete o integrarsi con una soluzione Mobile Threat Defense.
Le informazioni in questo articolo consentono di comprendere come usare le funzionalità di conformità dei dispositivi mobili di Intune e le funzionalità di gestione delle applicazioni mobili (MAM) di Intune.
Nota
L'accesso condizionale è una funzionalità di Microsoft Entra inclusa in una licenza P1 o P2 di Microsoft Entra ID. Intune migliora questa funzionalità aggiungendo la conformità dei dispositivi mobili e la gestione delle app per dispositivi mobili alla soluzione. Il nodo accesso condizionale a cui si accede da Intune è lo stesso nodo a cui si accede da Microsoft Entra ID.
Accesso condizionale basato sul dispositivo
Intune e Microsoft Entra ID interagiscono per assicurarsi che solo i dispositivi gestiti e conformi possano accedere alla posta elettronica dell'organizzazione, ai servizi di Microsoft 365, alle app Software as a Service (SaaS) e alle app locali. Inoltre, è possibile impostare un criterio in Microsoft Entra ID per abilitare solo i computer aggiunti al dominio o i dispositivi mobili registrati in Intune per accedere ai servizi di Microsoft 365.
Con Intune si distribuiscono i criteri di conformità dei dispositivi per determinare se un dispositivo soddisfa i requisiti di configurazione e sicurezza previsti. La valutazione dei criteri di conformità determina lo stato di conformità del dispositivo, che viene segnalato sia a Intune che a Microsoft Entra ID. È in Microsoft Entra ID che i criteri di accesso condizionale possono usare lo stato di conformità di un dispositivo per decidere se consentire o bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.
I criteri di accesso condizionale basato su dispositivo per Exchange Online e altri prodotti Microsoft 365 vengono configurati tramite l'interfaccia di amministrazione di Microsoft Intune.
Altre informazioni su Richiedi dispositivi gestiti con accesso condizionale in Microsoft Entra ID.
Altre informazioni sulla conformità dei dispositivi in Intune.
Altre informazioni sui browser supportati con accesso condizionale in Microsoft Entra ID.
Nota
Quando si abilita l'accesso basato su dispositivo per il contenuto a cui gli utenti accedono dalle app del browser nei dispositivi del profilo di lavoro android di proprietà personale, gli utenti registrati prima di gennaio 2021 devono abilitare l'accesso al browser come indicato di seguito:
- Avviare l'app Portale aziendale .
- Passare alla pagina Impostazioni dal menu.
- Nella sezione Abilita accesso al browser toccare il pulsante ABILITA .
- Chiudere e riavviare l'app del browser.
Ciò consente l'accesso nelle app del browser, ma non per browser WebView aperti all'interno delle app.
Applicazioni disponibili nell'accesso condizionale per il controllo di Microsoft Intune
Quando si configura l'accesso condizionale nell'interfaccia di amministrazione di Microsoft Entra, è possibile scegliere tra due applicazioni:
- Microsoft Intune : questa applicazione controlla l'accesso all'interfaccia di amministrazione e alle origini dati di Microsoft Intune. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione l'interfaccia di amministrazione e le origini dati di Microsoft Intune.
- Registrazione di Microsoft Intune : questa applicazione controlla il flusso di lavoro di registrazione. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione il processo di registrazione. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi di Intune.
Accesso condizionale basato sul controllo di accesso alla rete
Intune si integra con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per fornire controlli di accesso in base alla registrazione di Intune e allo stato di conformità del dispositivo.
Agli utenti può essere consentito o negato l'accesso alle risorse vpn o Wi-Fi aziendali in base al fatto che il dispositivo in uso sia gestito e conforme ai criteri di conformità dei dispositivi di Intune.
- Altre informazioni sull'integrazione di NAC con Intune.
Accesso condizionale basato sul rischio del dispositivo
Intune collabora con i fornitori di Mobile Threat Defense che forniscono una soluzione di sicurezza per rilevare malware, Trojan e altre minacce nei dispositivi mobili.
Funzionamento dell'integrazione di Intune e Mobile Threat Defense
Quando nei dispositivi mobili è installato l'agente Mobile Threat Defense, l'agente invia i messaggi di stato di conformità a Intune segnalando quando viene rilevata una minaccia nel dispositivo mobile stesso.
L'integrazione di Intune e mobile threat defense svolge un ruolo importante nelle decisioni relative all'accesso condizionale in base al rischio del dispositivo.
- Altre informazioni sulla difesa dalle minacce per dispositivi mobili di Intune.
Accesso condizionale per PC Windows
L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili. Verranno ora illustrati i modi in cui è possibile usare l'accesso condizionale durante la gestione dei PC con Intune.
Di proprietà dell'azienda
Microsoft Entra ibrido aggiunto: Questa opzione viene comunemente usata dalle organizzazioni che hanno familiarità con il modo in cui gestiscono già i PC tramite criteri di gruppo di Active Directory o Configuration Manager.
Microsoft Entra aggiunto al dominio e gestione di Intune: Questo scenario è destinato alle organizzazioni che vogliono essere al primo livello del cloud(ovvero, usare principalmente servizi cloud, con l'obiettivo di ridurre l'uso di un'infrastruttura locale) o solo cloud (nessuna infrastruttura locale). L'aggiunta a Microsoft Entra funziona bene in un ambiente ibrido, consentendo l'accesso sia alle app e alle risorse cloud che locali. Il dispositivo viene aggiunto all'ID Microsoft Entra e viene registrato in Intune, che può essere usato come criterio di accesso condizionale quando si accede alle risorse aziendali.
Bring your own device (BYOD)
- Aggiunta all'area di lavoro e gestione di Intune: Qui l'utente può aggiungere i propri dispositivi personali per accedere alle risorse e ai servizi aziendali. È possibile usare Workplace join e registrare i dispositivi in Intune MDM per ricevere i criteri a livello di dispositivo, che sono un'altra opzione per valutare i criteri di accesso condizionale.
Altre informazioni sulla gestione dei dispositivi sono disponibili in Microsoft Entra ID.More about Device Management in Microsoft Entra ID.
Accesso condizionale basato su app
Intune e Microsoft Entra ID interagiscono per assicurarsi che solo le app gestite possano accedere alla posta elettronica aziendale o ad altri servizi Microsoft 365.
- Altre informazioni sull'accesso condizionale basato su app con Intune.
Accesso condizionale di Intune per Exchange locale
L'accesso condizionale può essere usato per consentire o bloccare l'accesso a Exchange locale in base ai criteri di conformità dei dispositivi e allo stato di registrazione. Quando l'accesso condizionale viene usato in combinazione con un criterio di conformità del dispositivo, solo i dispositivi conformi possono accedere a Exchange in locale.
È possibile configurare le impostazioni avanzate in Accesso condizionale per un controllo più granulare, ad esempio:
Consenti o blocca determinate piattaforme.
Blocca immediatamente i dispositivi che non sono gestiti da Intune.
Qualsiasi dispositivo usato per accedere a Exchange locale viene controllato per verificare la conformità quando vengono applicati i criteri di conformità e accesso condizionale del dispositivo.
Quando i dispositivi non soddisfano le condizioni impostate, l'utente finale viene guidato nel processo di registrazione del dispositivo per risolvere il problema che rende il dispositivo non conforme.
Nota
A partire da luglio 2020, il supporto per Exchange Connector è deprecato e sostituito dall'autenticazione moderna ibrida di Exchange (HMA). L'uso di HMA non richiede Intune per configurare e usare Exchange Connector. Con questa modifica, l'interfaccia utente per configurare e gestire Exchange Connector per Intune è stata rimossa dall'interfaccia di amministrazione di Microsoft Intune, a meno che non si usi già un connettore Exchange con la sottoscrizione.
Se nell'ambiente è configurato Exchange Connector, il tenant di Intune rimane supportato per l'uso e si continuerà ad avere accesso all'interfaccia utente che ne supporta la configurazione. Per altre informazioni, vedere Installare il connettore exchange locale. È possibile continuare a usare il connettore o configurare HMA e quindi disinstallare il connettore.
L'autenticazione moderna ibrida offre funzionalità fornite in precedenza da Exchange Connector per Intune: mapping di un'identità del dispositivo al relativo record di Exchange. Questo mapping si verifica ora al di fuori di una configurazione effettuata in Intune o del requisito del connettore di Intune per il bridge di Intune ed Exchange. Con HMA, è stato rimosso il requisito di usare la configurazione specifica di "Intune" (il connettore).
Qual è il ruolo di Intune?
Intune valuta e gestisce lo stato del dispositivo.
Qual è il ruolo del server Exchange?
Exchange Server fornisce l'API e l'infrastruttura per spostare i dispositivi in quarantena.
Importante
Tenere presente che all'utente che usa il dispositivo devono essere assegnati un profilo di conformità e una licenza di Intune in modo che il dispositivo possa essere valutato per la conformità. Se non vengono distribuiti criteri di conformità all'utente, il dispositivo viene considerato conforme e non vengono applicate restrizioni di accesso.
Passaggi successivi
Come configurare l'accesso condizionale in Microsoft Entra ID
Configurare i criteri di accesso condizionale basato su app
Come creare criteri di accesso condizionale per Exchange locale