Accesso condizionale per SharePoint Online in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Nota

Le informazioni in questo argomento si applicano a System Center 2012 Configuration Manager SP1 o versioni successive e System Center 2012 R2 Configuration Manager o versioni successive.

Usare i criteri di accesso condizionale di Configuration Manager SharePoint Online per gestire l'accesso ai file di OneDrive for Business disponibili in SharePoint Online, in base alle condizioni specificate.

Quando un utente di destinazione prova a connettersi a un file usando un'app supportata, come OneDrive installata nel dispositivo, vengono effettuate le valutazioni seguenti.

Conditional Access for SharePoint

Per connettersi ai file richiesti, il dispositivo che esegue OneDrive:

  • Deve essere registrato con Microsoft Intune o un PC aggiunto a un dominio.

  • Deve essere registrato in Azure Active Directory. Ciò avviene automaticamente quando il dispositivo viene registrato con Intune.

    Per i PC aggiunti a un dominio, è necessario configurarli in modo che vengano registrati automaticamente con Azure Active Directory.

  • Deve essere compatibile con i criteri di compatibilità di Configuration Manager distribuiti

Lo stato del dispositivo viene archiviato in Azure Active Directory che consente o blocca l'accesso ai file, in base alle condizioni specificate.

Se non viene soddisfatta una condizione, viene visualizzato uno dei due messaggi seguenti quando l'utente esegue l'accesso:

  • Se il dispositivo non è registrato con Intune oppure non è registrato in Azure Active Directory, viene visualizzato un messaggio contenente le istruzioni su come installare l'app Portale aziendale ed eseguire la registrazione.

  • Se il dispositivo non è conforme, viene visualizzato un messaggio che indirizza l'utente al portale Web Intune dove sono disponibili informazioni sul problema e su come risolverlo.

  • Per un PC:

    • Se i criteri sono impostati in modo da richiedere l'aggiunta a un dominio e il PC non è aggiunto a un dominio, viene visualizzato un messaggio che indica di contattare l'amministratore IT.

    • Se i criteri sono impostati in modo da richiedere l'aggiunta a un dominio o la conformità e il PC non soddisfa questi criteri, viene visualizzato un messaggio con le istruzioni su come installare l'app Portale aziendale ed eseguire la registrazione.

È possibile bloccare l'accesso a SharePoint Online dalle app seguenti:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (Android e iOS)

  • Microsoft Excel (Android e iOS)

  • Microsoft PowerPoint (Android e iOS)

  • Microsoft OneNote (Android e iOS)

Procedura per configurare l'accesso condizionale per SharePoint Online

Passaggio 1: Configurare i gruppi di sicurezza di Active Directory

Prima di iniziare configurare i gruppi di sicurezza di Azure Active Directory per i criteri di accesso condizionale. È possibile configurare questi gruppi nel centro di amministrazione di Office 365 o nel portale per gli account di Intune. Questi gruppi contengono gli utenti a cui saranno destinati i criteri o che ne saranno esenti. Per poter accedere alle risorse, un utente di destinazione in un criterio deve usare solo dispositivi conformi.

In un criterio di SharePoint Online è possibile specificare due tipi di gruppi:

  • Gruppi di destinazione: contiene i gruppi di utenti per i quali si applicano i criteri.

  • Gruppi esentati: contiene i gruppi di utenti che sono esentati dai criteri (facoltativo).

Se un utente si trova in entrambi i gruppi, sarà esentato dai criteri.

Passaggio 2: Configurare e distribuire i criteri di conformità

Assicurarsi di creare e distribuire un criterio di conformità in tutti i dispositivi a cui saranno destinati i criteri di SharePoint Online.

Nota

Mentre i criteri di conformità vengono distribuiti nei gruppi di Intune o nelle raccolte di Configuration Manager, i criteri di accesso condizionale sono destinati ai gruppi di sicurezza di Azure Active Directory.

Per informazioni dettagliate su come configurare i criteri di conformità, vedere Criteri di conformità in Configuration Manager.

System_CAPS_importantImportante

Se non sono stati distribuiti criteri di conformità e non sono stati abilitati i criteri di SharePoint Online, l'accesso sarà consentito a tutti i dispositivi di destinazione.

Quando si è pronti, continuare con il Passaggio 3.

Passaggio 3: Configurare i criteri di SharePoint Online

A questo punto, configurare i criteri in modo che solo i dispositivi gestiti e conformi possano accedere a SharePoint Online. Questi criteri verranno archiviati in Azure Active Directory.

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Selezionare Abilita criteri di accesso condizionale per SharePoint Online.

  3. In App che usano l'autenticazione moderna è possibile scegliere di limitare l'accesso ai soli dispositivi conformi per le singole piattaforme.

    System_CAPS_tipSuggerimento

    Con l'autenticazione moderna i client Office possono usare l'accesso basato su Active Directory Authentication Library (ADAL).

    • Questo tipo di autenticazione consente ai client Office di usare l'autenticazione basata su browser, nota anche come autenticazione passiva. Per eseguire l'autenticazione, l'utente viene indirizzato a una pagina Web di accesso.

    • Questo nuovo metodo di accesso offre nuovi scenari, tra cui l'accesso condizionale, basato sulla conformità del dispositivo e sull'uso dell'autenticazione a più fattori.

    Per maggiori informazioni sul funzionamento dell'autenticazione moderna, vedere questo articolo.

    Per i PC Windows i PC devono essere aggiunti a un dominio oppure registrati con Intune e conformi. È possibile impostare i requisiti seguenti:

    - **I dispositivi devono essere aggiunti a un dominio o conformi.** Ciò significa che i PC devono essere aggiunti a un dominio o conformi ai criteri impostati in Intune. Se il PC non soddisfa alcun requisito, all'utente verrà richiesto di registrare il dispositivo con Intune.
    
    - **I dispositivi devono essere aggiunti a un dominio.** Ciò significa che per accedere a Exchange Online i PC devono essere aggiunti a un dominio. Se il PC non è aggiunto a un dominio, l'accesso alla posta elettronica è bloccato e all'utente viene richiesto di contattare l'amministratore IT.
    
    - **I dispositivi devono essere conformi.** Ciò significa che i PC devono essere registrati in Intune e conformi. Se il PC non è registrato, viene visualizzato un messaggio con le istruzioni su come eseguire la registrazione.
    
  4. Nella scheda Home del gruppo Collegamenti fare clic su Configura i criteri di accesso condizionale nella console di Intune. Potrebbe essere necessario specificare il nome utente e la password dell'account usato per la connessione di Configuration Manager a Intune.

    Si aprirà la console di amministrazione di Intune.

  5. Nella console di amministrazione di Microsoft Intune fare clic su Criteri > Accesso condizionale > Criteri di SharePoint Online.

  6. Selezionare Bloccare l'accesso delle app a SharePoint Online se il dispositivo non è conforme.

  7. In Gruppi di destinazione fare clic su Modifica per selezionare i gruppi di sicurezza di Azure Active Directory ai quali verranno applicati i criteri.

  8. Facoltativamente, in Gruppi esentati fare clic su Modifica per selezionare i gruppi di sicurezza di Azure Active Directory esentati da questi criteri.

  9. Al termine, fare clic su Salva.

Non è necessario distribuire i criteri di accesso condizionale perché diventano immediatamente effettivi.

Vedere Gestire l'accesso a SharePoint Online con Microsoft Intune per informazioni su come monitorare i criteri dalla console di Intune.