Impostare i criteri di accesso condizionale

L'accesso condizionale è la protezione del contenuto regolamentato in un sistema richiedendo che vengano soddisfatti determinati criteri prima di concedere l'accesso al contenuto. I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then. Se un utente vuole accedere a una risorsa, deve completare un'azione. Ad esempio, un responsabile delle retribuzioni vuole accedere all'applicazione per le retribuzioni ed è necessario eseguire l'autenticazione a più fattori (MFA) per farlo.

Usando l'accesso condizionale, è possibile raggiungere due obiettivi principali:

  • Consente agli utenti di essere produttivi ovunque e in qualsiasi momento.
  • Proteggere gli asset dell'organizzazione.

I criteri di accesso condizionale consentono di applicare i controlli di accesso appropriati quando necessario per proteggere l'organizzazione ed evitare di coinvolgere l'utente quando non è necessario.

La frequenza con cui viene richiesto a un utente di eseguire di nuovo l'autenticazione dipende dalle impostazioni di configurazione della durata della sessione di Microsoft Entra. Anche se ricordare le credenziali è utile, può anche rendere meno sicure le distribuzioni per gli scenari aziendali usando i dispositivi personali. Per proteggere gli utenti, è possibile assicurarsi che il client richieda più frequentemente le credenziali di autenticazione a più fattori di Microsoft Entra. Per configurare questo comportamento, è possibile usare la frequenza di accesso condizionale.

Assegnare criteri di accesso condizionale per i PC cloud

I criteri di accesso condizionale non sono impostati per il tenant per impostazione predefinita. È possibile indirizzare i criteri ca all'app cloud pc di prima parte usando una delle piattaforme seguenti:

Indipendentemente dal metodo usato, i criteri verranno applicati nel portale dell'utente finale di Cloud PC e nella connessione al PC cloud.

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune e selezionare Sicurezza endpoint>Accesso> condizionaleCreare nuovi criteri.

  2. Specificare un nome per i criteri di accesso condizionale specifici.

  3. In Utenti selezionare 0 utenti e gruppi selezionati.

  4. Nella scheda Includi selezionare Seleziona utenti e gruppi> selezionare Utenti e gruppi> in Seleziona, scegliere 0 utenti e gruppi selezionati.

  5. Nel nuovo riquadro visualizzato cercare e selezionare l'utente o il gruppo specifico a cui si vuole assegnare il criterio CA, quindi scegliere Seleziona.

  6. In Risorse di destinazione selezionare Nessuna risorsa di destinazione selezionata.

  7. Nella scheda Includi scegliere Seleziona app> in Seleziona, scegliere Nessuno.

  8. Nel riquadro Seleziona cercare e selezionare le app seguenti in base alle risorse che si sta tentando di proteggere:

    • Windows 365 (ID app 0af06dc6-e4b5-4f28-818e-e78e62d137a5). È anche possibile cercare "cloud" per trovare questa app. Questa app viene usata quando si recupera l'elenco di risorse per l'utente e quando gli utenti avviano azioni nel PC cloud, ad esempio Riavvia.
    • Desktop virtuale Azure (ID app 9cdead84-a844-4324-93f2-b2e6bb768d07). Questa app può anche essere visualizzata come Desktop virtuale Windows. Questa app viene usata per eseguire l'autenticazione nel gateway Desktop virtuale Azure durante la connessione e quando il client invia informazioni di diagnostica al servizio.
    • Desktop remoto Microsoft (ID app a4a365df-50f1-4397-bc59-1a1564b8bb9c) e Accesso cloud windows (ID app 270efc09-cd0d-444b-a71f-39af4910ec45). Queste app sono necessarie solo quando si configura l'accesso Single Sign-On in un criterio di provisioning. Queste app vengono usate per autenticare gli utenti nel PC cloud.

    È consigliabile associare i criteri di accesso condizionale tra queste app. Ciò garantisce che i criteri si applichino al portale dell'utente finale di Cloud PC, alla connessione al gateway e al PC cloud per un'esperienza coerente. Se si vuole escludere le app, è anche necessario scegliere tutte queste app.

    Importante

    Con l'accesso Single Sign-On abilitato, l'autenticazione nel CLOUD PC usa l'app Microsoft Remote Desktop Entra ID oggi. Una modifica imminente eseguirà la transizione dell'autenticazione all'app Windows Cloud Login Entra ID. Per garantire una transizione senza problemi, è necessario aggiungere entrambe le app Entra ID ai criteri della CA.

    Nota

    Se l'app Windows Cloud Login non viene visualizzata durante la configurazione dei criteri di accesso condizionale, seguire questa procedura per creare l'app. Per apportare queste modifiche, è necessario disporre delle autorizzazioni proprietario o collaboratore per la sottoscrizione:

    1. Accedere al portale di Azure.
    2. Selezionare Sottoscrizioni dall'elenco di Servizi di Azure.
    3. Selezionare il nome della sottoscrizione.
    4. Selezionare Provider di risorse e quindi Microsoft.DesktopVirtualization.
    5. Selezionare Registra nella parte superiore.

    Dopo la registrazione del provider di risorse, l'app Windows Cloud Login viene visualizzata nella configurazione dei criteri di accesso condizionale quando si selezionano le app a cui applicare i criteri. Se non si usa Desktop virtuale Azure, è possibile annullare la registrazione del provider di risorse Microsoft.DesktopVirtualization dopo la disponibilità dell'app Account di accesso cloud di Windows.

  9. Per ottimizzare i criteri, in Concedi scegliere 0 controlli selezionati.

  10. Nel riquadro Concedi scegliere le opzioni di concessione o blocco di accesso che si desidera applicare a tutti gli oggetti assegnati a questo criterio >Selezionare.

  11. Se si vuole testare prima i criteri, in Abilita criterio selezionare Solo report. Se lo si imposta su , il criterio verrà applicato non appena viene creato.

  12. Selezionare Crea per creare i criteri.

È possibile visualizzare l'elenco dei criteri attivi e inattivi nella visualizzazione Criteri nell'interfaccia utente di accesso condizionale.

Configurare la frequenza di accesso

I criteri di frequenza di accesso consentono di configurare la frequenza con cui gli utenti devono accedere quando accedono alle risorse basate su Microsoft Entra. Ciò consente di proteggere l'ambiente ed è particolarmente importante per i dispositivi personali, in cui il sistema operativo locale potrebbe non richiedere l'autenticazione a più fattori o non essere bloccato automaticamente dopo l'inattività. Agli utenti viene richiesto di eseguire l'autenticazione solo quando viene richiesto un nuovo token di accesso da Microsoft Entra ID quando si accede a una risorsa.

I criteri di frequenza di accesso comportano un comportamento diverso in base all'app Microsoft Entra selezionata:

Nome dell'app App ID Comportamento
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Impone la reautenzione quando un utente recupera l'elenco di PC cloud e quando gli utenti avviano azioni nel PC cloud, ad esempio Riavvia.
Desktop virtuale di Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Impone la reautenticazione quando un utente esegue l'autenticazione nel gateway Desktop virtuale Azure durante una connessione.
Desktop remoto Microsoft

Account di accesso cloud di Windows
a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45
Impone la reautenzione quando un utente accede al Cloud PC quando è abilitato l'accesso Single Sign-On .

Entrambe le app devono essere configurate insieme perché i client passeranno presto dall'uso dell'app Desktop remoto Microsoft all'app Windows Cloud Login per l'autenticazione nel PC cloud.

Per configurare il periodo di tempo dopo il quale a un utente viene chiesto di eseguire di nuovo l'accesso:

  1. Aprire i criteri creati in precedenza.
  2. In Sessione selezionare 0 controlli selezionati.
  3. Nel riquadro Sessione selezionare Frequenza di accesso.
  4. Selezionare Riautenticazione periodica o Ogni volta.
    • Se si seleziona Riautenticazione periodica, impostare il valore per il periodo di tempo dopo il quale a un utente viene chiesto di eseguire di nuovo l'accesso quando si esegue un'azione che richiede un nuovo token di accesso e quindi selezionare Seleziona. Ad esempio, l'impostazione del valore su 1 e l'unità su Ore richiedono l'autenticazione a più fattori se una connessione viene avviata più di un'ora dopo l'ultima autenticazione utente.
    • L'opzione Ogni volta è attualmente disponibile in anteprima ed è supportata solo se applicata alle app Desktop remoto Microsoft e Windows Cloud Login quando l'accesso Single Sign-On è abilitato per i PC cloud. Se si seleziona Ogni volta, agli utenti viene richiesto di eseguire di nuovo l'autenticazione all'avvio di una nuova connessione dopo un periodo compreso tra 5 e 10 minuti dall'ultima autenticazione.
  5. Nella parte inferiore della pagina selezionare Salva.

Nota

  • La reautenticazione viene eseguita solo quando un utente deve eseguire l'autenticazione in una risorsa ed è necessario un nuovo token di accesso. Dopo aver stabilito una connessione, agli utenti non viene richiesto anche se la connessione dura più a lungo della frequenza di accesso configurata.
  • Gli utenti devono eseguire di nuovo l'autenticazione se si verifica un'interruzione di rete che forza il ripristino della sessione dopo la frequenza di accesso configurata. Ciò può comportare richieste di autenticazione più frequenti su reti instabili.

Passaggi successivi

Gestire i reindirizzamenti dei dispositivi RDP