Accesso condizionale per la posta elettronica di Exchange in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Nota
Le informazioni in questo argomento si applicano a System Center 2012 Configuration Manager SP1 o versioni successive e System Center 2012 R2 Configuration Manager o versioni successive.
Usare l'accesso condizionale di Configuration Manager per gestire l'accesso alla posta elettronica di Exchange in base alle condizioni specificate.
È possibile gestire l'accesso a:
Microsoft Exchange locale
Microsoft Exchange Online
Exchange Online dedicato
Se si configura l'accesso condizionale, prima che un utente possa connettersi alla posta elettronica, il dispositivo in uso:
Deve essere registrato con Intune o un PC aggiunto a un dominio.
Deve essere registrato in Azure Active Directory. Ciò avviene automaticamente quando il dispositivo viene registrato con Intune (solo per Exchange Online). Inoltre, l'ID di Exchange ActiveSync del client deve essere registrato con Azure Active Directory (non applicabile a dispositivi Windows e Windows Phone collegati a Exchange in locale).
Per un PC aggiunto a un dominio, è necessario impostarlo in modo che venga registrato automaticamente con Azure Active Directory. La sezione Accesso condizionale per PC nell'argomento Accesso condizionale in Configuration Manager elenca il set completo di requisiti per abilitare l'accesso condizionale per i PC.
Deve essere compatibile con i criteri di compatibilità di Configuration Manager distribuiti per quel dispositivo
Se non viene soddisfatta una condizione di accesso condizionale, viene visualizzato uno dei due messaggi seguenti quando l'utente esegue l'accesso:
Se il dispositivo non è registrato con Intune o non è registrato in Azure Active Directory, viene visualizzato un messaggio con istruzioni su come installare l'app del portale aziendale, registrare il dispositivo e, per dispositivi Android e iOS, attivare la posta elettronica, che associa l’ID di Exchange ActiveSync del dispositivo con il record del dispositivo in Azure Active Directory.
Se il dispositivo non è conforme, viene visualizzato un messaggio che indirizza l'utente al portale Web di Intune dove sono disponibili informazioni sul problema e su come risolverlo.
Per i PC:
Se il requisito dei criteri di accesso condizionale prevede che siano consentiti dispositivi aggiunti a un dominio o conformi, viene visualizzato un messaggio con istruzioni su come registrare il dispositivo. Se il PC non soddisfa alcun requisito, all'utente verrà richiesto di registrare il dispositivo con Intune.
Se i requisiti del criterio di accesso condizionale è impostato in modo da consentire solo dispositivi Windows aggiunti a un dominio, il dispositivo viene bloccato e viene visualizzato un messaggio che indica all'utente di contattare l'amministratore IT.
È possibile bloccare l'accesso alla posta elettronica di Exchange dal client di posta elettronica Exchange ActiveSync integrato dei dispositivi sulle piattaforme seguenti:
Android 4.0 e versioni successive, Samsung Knox Standard 4.0 e versioni successive
iOS 7.1 e versioni successive
Windows Phone 8.1 e versioni successive
L'applicazione Posta elettronica su Windows 8.1 e versioni successive
L'app Outlook per iOS e Android e la versione desktop Outlook 2013 sono supportate solo per Exchange Online.
Exchange Connector locale tra Configuration Manager ed Exchange è necessario affinché l'accesso condizionale funzioni.
È possibile configurare un criterio di accesso condizionale per Exchange locale dalla console di Configuration Manager. Quando si configura un criterio di accesso condizionale per Exchange Online, è possibile iniziare il processo nella console di Configuration Manager, che avvia la console di Microsoft Intune dove è possibile completare il processo.
Passaggio 1: Valutare l'effetto dei criteri di accesso condizionale
Dopo aver configurato Exchange Connector locale, è possibile usare il report Elenco dei dispositivi per stato di accesso condizionale di Configuration Manager e identificare i dispositivi che non potranno accedere a Exchange dopo aver configurato i criteri di accesso condizionale. Questo report richiede inoltre:
Una sottoscrizione a Intune
Intune Connector deve essere configurato e distribuito
Nei parametri del report selezionare il gruppo Intune da valutare e, se necessario, le piattaforme del dispositivo a cui si vuole applicare i criteri.
Per altre su come eseguire i report, vedere Reporting di Configuration Manager.
Dopo aver eseguito il report, esaminare le quattro colonne seguenti per determinare se un utente verrà bloccato:
Canale di gestione: indica se il dispositivo è gestito da Intune, Exchange ActiveSync o entrambi.
Registrato con AAD: indica se il dispositivo è registrato con Azure Active Directory (noto come Aggiunta all'area di lavoro).
Conforme: indica se il dispositivo è conforme ai criteri di conformità distribuiti.
Attivato da EAS: i dispositivi iOS e Android devono avere un ID Exchange ActiveSync associato al record di registrazione del dispositivo in Azure Active Directory. Ciò si verifica quando l'utente fa clic sul link Attiva posta elettronica nell'e-mail in quarantena.
Nota
Per i dispositivi Windows Phone un valore viene sempre visualizzato in questa colonna.
L'accesso ad Exchange da parte dei dispositivi che appartengono a un gruppo di destinazione o a una raccolta verrà bloccato a meno che i valori delle colonne non corrispondano a quelli elencati nella tabella seguente:
Canale di gestione |
AAD registrato |
Conforme |
Attivato da EAS |
Azione risultante |
---|---|---|---|---|
Gestito da Microsoft Intune ed Exchange ActiveSync |
Sì |
Sì |
Viene visualizzato Sì o No |
Accesso alla posta elettronica consentito |
Qualsiasi altro valore |
No |
No |
Non viene visualizzato alcun valore |
Accesso alla posta elettronica bloccato |
È possibile esportare il contenuto del report e usare la colonna Indirizzo di posta elettronica per informare gli utenti che verranno bloccati.
Passaggio 2: Configurare gruppi di utenti o raccolte per i criteri di accesso condizionale
I criteri di accesso condizionale sono destinati a diversi gruppi o raccolte di utenti in base ai tipi di criteri. Questi gruppi contengono gli utenti a cui saranno destinati i criteri o che ne saranno esenti. Quando a un utente viene destinato un criterio, ogni dispositivo in uso deve essere conforme per accedere alla posta elettronica.
Per i criteri di Exchange Online: per gruppi di utenti di sicurezza di Azure Active Directory. È possibile configurare questi gruppi nel centro di amministrazione di Office 365 o nel portale per gli account di Intune.
Per i criteri di Exchange locale: per i gruppi di utenti di Configuration Manager. È possibile configurarli nell'area di lavoro Asset e conformità.
È possibile specificare due tipi di gruppi in ogni criterio:
Gruppi di destinazione: gruppi o raccolte di utenti a cui sono applicati i criteri
Gruppi esentati: gruppi o raccolte di utenti che sono esentati dai criteri (facoltativo)
Se un utente si trova in entrambi i gruppi, sarà esentato dai criteri.
Solo i gruppi o le raccolte che sono considerati come destinazione dei criteri di accesso condizionale vengono valutati per l'accesso di Exchange.
Passaggio 3: Configurare e distribuire i criteri di conformità
Assicurarsi di aver creato e distribuito i criteri di conformità per tutti i dispositivi a cui saranno destinati i criteri di accesso condizionale di Exchange.
Per informazioni dettagliate su come configurare i criteri di conformità, vedere Criteri di conformità in Configuration Manager.
Importante |
---|
Se non sono stati distribuiti i criteri di conformità e abilitati i criteri di accesso condizionale di Exchange, a tutti i dispositivi di destinazione verrà consentito l’accesso. |
Quando si è pronti, continuare con il Passaggio 4.
Passaggio 4: Configurare i criteri di accesso condizionale
Per Exchange Online (e i tenant nel nuovo ambiente Exchange Online dedicato)
Il flusso seguente viene usato dai criteri di accesso condizionale per fare in modo che Exchange Online valuti se consentire o bloccare i dispositivi.
Per accedere alla posta elettronica, il dispositivo:
Deve essere registrato con Intune
I PC devono essere aggiunti a un dominio o registrati e conformi ai criteri impostati in Intune.
Deve essere registrato in Azure Active Directory. Ciò avviene automaticamente quando il dispositivo viene registrato con Intune.
Per i PC aggiunti a un dominio, è necessario impostarlo in modo che venga registrato automaticamente con Azure Active Directory.
Deve avere la posta elettronica attivata, che associa l'ID Exchange ActiveSync del dispositivo al record del dispositivo in Azure Active Directory (si applica solo a dispositivi iOS e Android).
Deve essere compatibile con i criteri di compatibilità distribuiti
Lo stato del dispositivo viene archiviato in Azure Active Directory che consente o blocca l'accesso alla posta elettronica, in base a condizioni valutate.
Se non viene soddisfatta una condizione, viene visualizzato uno dei due messaggi seguenti quando l'utente esegue l'accesso:
Se il dispositivo non è registrato o è registrato in Azure Active Directory, viene visualizzato un messaggio con istruzioni su come installare l'app del portale aziendale ed eseguire la registrazione
Se il dispositivo non è conforme, viene visualizzato un messaggio che indirizza l'utente al portale Web di Intune dove sono disponibili informazioni sul problema e su come risolverlo.
Per un PC:
Se i criteri sono impostati in modo da richiedere l'aggiunta a un dominio e il PC non è aggiunto a un dominio, viene visualizzato un messaggio che indica di contattare l'amministratore IT.
Se i criteri sono impostati in modo da richiedere l'aggiunta a un dominio o la conformità e il PC non soddisfa questi criteri, viene visualizzato un messaggio con le istruzioni su come installare l'app Portale aziendale ed eseguire la registrazione.
Il messaggio viene visualizzato sul dispositivo per gli utenti di Exchange Online e i tenant nel nuovo ambiente di Exchange Online dedicato e viene recapitato nella posta in arrivo degli utenti per dispositivi Exchange locale e Exchange Online legacy dedicato.
Nota
Le regole di accesso condizionale di Configuration Manager sovrascrivono, consentono, bloccano e mettono in quarantena le regole definite nella console di amministrazione di Exchange Online.
Nota
I criteri di accesso condizionale devono essere configurati nella console di Intune. All'inizio della procedura seguente è necessario accedere alla console di Intune tramite Configuration Manager. Se richiesto, accedere con le stesse credenziali usate per configurare il connettore tra Configuration Manager e Intune.
Per abilitare i criteri di Exchange Online
-
Nella console di Configuration Manager fare clic su Asset e conformità.
-
Espandere Impostazioni di conformità, espandere Accesso condizionale e quindi fare clic su Exchange Online.
-
Nella scheda Home del gruppo Collegamenti fare clic su Configura i criteri di accesso condizionale nella console di Intune. Potrebbe essere necessario fornire il nome utente e la password dell'account usato per connettere Configuration Manager a qualsiasi amministratore globale del servizio Intune.
Verrà visualizzata la console di amministrazione di Intune.
-
Nella console di amministrazione di Microsoft Intune fare clic su Criteri > Accesso condizionale > Criteri di Exchange Online.
-
Nella pagina Criteri di Exchange Online selezionare Abilita criteri di accesso condizionale per Exchange Online. Se si seleziona questa opzione, il dispositivo deve essere conforme. Se è deselezionata, l'accesso condizionale non viene applicato.
Nota
Se non sono stati distribuiti criteri di conformità e abilitati i criteri di Exchange Online, tutti i dispositivi di destinazione verranno segnalati come conformi.
Indipendentemente dallo stato di conformità, tutti gli utenti interessati dai criteri dovranno registrare i propri dispositivi con Intune.
-
In App che usano l'autenticazione moderna è possibile scegliere di limitare l'accesso solo ai dispositivi conformi per le singole piattaforme. I dispositivi Windows devono essere aggiunti a un dominio oppure devono essere registrati in Intune e conformi.
Suggerimento Con Autenticazione moderna i client Office possono usare l'accesso basato su Active Directory Authentication Library (ADAL).
Questo tipo di autenticazione consente ai client Office di usare l'autenticazione basata su browser, nota anche come autenticazione passiva. Per eseguire l'autenticazione, l'utente viene indirizzato a una pagina Web di accesso.
Questo nuovo metodo di accesso offre nuovi scenari, tra cui l'accesso condizionale, basato sulla conformità del dispositivo e sull'uso dell'autenticazione a più fattori.
Per maggiori informazioni sul funzionamento dell'autenticazione moderna, vedere questo articolo.
Se si usa Exchange Online con Configuration Manager e Intune, è possibile gestire non solo i dispositivi mobili con accesso condizionale, ma anche i computer desktop. I PC devono essere aggiunti a un dominio o registrati in Intune e conformi. È possibile impostare i requisiti seguenti:
- **I dispositivi devono essere aggiunti a un dominio o conformi.** I PC devono essere aggiunti a un dominio o conformi ai criteri impostati in Intune. Se un PC non soddisfa uno di questi requisiti, all'utente verrà richiesto di registrare il dispositivo in Intune. - **I dispositivi devono essere aggiunti a un dominio.** Per accedere a Exchange Online, i PC devono essere aggiunti a un dominio. Se un PC non è aggiunto a un dominio, l'accesso alla posta elettronica viene bloccato e all'utente viene richiesto di contattare l'amministratore IT. - **I dispositivi devono essere conformi.** I PC devono essere registrati in Intune e conformi. Se un PC non è registrato, viene visualizzato un messaggio contenente le istruzioni su come eseguire la registrazione.
-
In App di posta elettronica di Exchange ActiveSync è possibile impedire alla posta elettronica di accedere a Exchange Online se il dispositivo non è conforme e selezionare se consentire o bloccare l'accesso alla posta elettronica quando Intune non riesce a gestire il dispositivo.
-
In Gruppi di destinazione selezionare i gruppi di sicurezza di Active Directory degli utenti ai quali applicare i criteri.
Nota
Per gli utenti inclusi nei gruppi di destinazione i criteri di Intune sostituiranno le regole e i criteri di Exchange.
Exchange applicherà le regole di autorizzazione, blocco e quarantena e i criteri di Exchange solo nei casi seguenti:
-
L'utente non dispone di una licenza per Intune.
-
L'utente dispone di una licenza per Intune, ma non appartiene a nessuno dei gruppi di sicurezza di destinazione nei criteri di accesso condizionale.
-
-
In Gruppi esentati selezionare i gruppi di sicurezza di Active Directory degli utenti che verranno esentati da questi criteri. Se un utente è incluso sia nel gruppo di destinazione che in quello esentato, i criteri non verranno applicati e sarà possibile accedere alla posta elettronica.
-
Al termine, fare clic su Salva.
Non è necessario distribuire i criteri di accesso condizionale perché diventano immediatamente effettivi.
Dopo la creazione di un account di posta elettronica da parte di un utente, il dispositivo viene bloccato immediatamente.
Se un utente bloccato registra il dispositivo con Intune (o risolve il problema di conformità), l'accesso alla posta elettronica viene sbloccato entro 2 minuti.
Se l'utente annulla la registrazione del dispositivo, la posta elettronica viene bloccata dopo circa sei ore.
Per Exchange locale (e i tenant nell’ambiente Exchange Online legacy dedicato)
Il flusso seguente viene usato dai criteri di accesso condizionale per fare in modo che Exchange locale e i tenant nell’ambiente Exchange Online legacy dedicato valutino se consentire o bloccare i dispositivi.
Per abilitare i criteri di Exchange locale
-
Nella console di Configuration Manager fare clic su Asset e conformità.
-
Espandere Impostazioni di conformità, espandere Accesso condizionale e quindi fare clic su Exchange locale.
-
Nella scheda Home del gruppo Exchange locale fare clic su Configura criteri di accesso condizionale.
-
Nella pagina Generale della Configurazione guidata dei criteri di accesso condizionale specificare il nome del dominio tenant di Intune. Si tratta del suffisso dell'ID tenant usato per configurare Intune Connector. Ad esempio, se l'ID tenant usato è admin@corpemail.contoso.com, il nome di dominio immesso in questa pagina della procedura guidata è corpemail.contoso.com.
Fare clic su Avanti.
-
Nella pagina Raccolte di destinazione aggiungere una o più raccolte utenti. Per accedere a Exchange, gli utenti di queste raccolte devono registrare i propri dispositivi in Intune, nonché rispettare gli eventuali criteri di conformità distribuiti.
Fare clic su Avanti.
-
Nella pagina Raccolte esentate aggiungere tutte le raccolte di utenti che si desidera esentare dal criterio di accesso condizionale. Gli utenti di questi gruppi non devono registrare i propri dispositivi in Intune e non devono rispettare i criteri di conformità distribuiti per accedere a Exchange.
Se un utente viene visualizzato in un elenco di destinazione ed esentato, sarà esentato dal criterio di accesso condizionale.
Fare clic su Avanti.
-
Nella pagina Modifica notifica utente configurare il messaggio di posta elettronica inviato da Intune e che contiene le istruzioni su come sbloccare il dispositivo (in aggiunta al messaggio inviato da Exchange).
È possibile modificare il messaggio predefinito e usare i tag HTML per formattare l'aspetto del testo. È anche possibile inviare preventivamente un messaggio di posta elettronica ai dipendenti per informarli delle modifiche imminenti e fornire istruzioni sulla registrazione dei dispositivi.
Nota
Perché il messaggio di posta elettronica di notifica di Intune contenente le istruzioni per la correzione viene recapitato alla cassetta postale di Exchange dell'utente, nel caso in cui il dispositivo dell'utente venga bloccato prima della ricezione del messaggio di posta elettronica, è possibile usare un dispositivo sbloccato o un altro metodo per accedere a Exchange e visualizzare il messaggio.
Nota
Affinché Exchange sia in grado di inviare il messaggio di posta elettronica di notifica, è necessario configurare l'account che verrà usato per inviare il messaggio di posta elettronica di notifica. Si esegue questa operazione quando si configurano le proprietà del connettore Exchange Server.
Per informazioni, vedere Come gestire i dispositivi mobili utilizzando Configuration Manager e Exchange.
Fare clic su Avanti.
-
Nella pagina Riepilogo verificare le impostazioni e quindi completare la procedura guidata.
Non è necessario distribuire i criteri di accesso condizionale perché diventano immediatamente effettivi.
Dopo la configurazione di un profilo di Exchange ActiveSync, il blocco del dispositivo potrebbe richiedere da 1 a 3 ore, a meno che non sia gestito da Intune.
Se un utente bloccato registra il dispositivo con Intune (o risolve il problema di conformità), l'accesso alla posta elettronica verrà sbloccato entro 2 minuti.
Se l'utente annulla la registrazione a Intune, il blocco del dispositivo potrebbe richiedere da 1 a 3 ore.