Accesso condizionale: condizioni
All'interno di un criterio di accesso condizionale, un amministratore può usare segnali provenienti da condizioni come rischio, piattaforma del dispositivo o posizione per migliorare le decisioni relative ai criteri.
È possibile combinare più condizioni per creare criteri di accesso condizionale specifici e granulari.
Ad esempio, quando si accede a un'applicazione sensibile, un amministratore può tenere conto delle informazioni sui rischi di accesso da Identity Protection e dalla posizione nella decisione di accesso, oltre ad altri controlli come l'autenticazione a più fattori.
Rischio di accesso
Per i clienti con accesso a Identity Protection, i rischi di accesso possono essere valutati come parte di un criterio di accesso condizionale. Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità. Per altre informazioni sul rischio di accesso, vedere gli articoli Che cos'è il rischio e Procedura: Configurare e abilitare i criteri di rischio.
Rischio utente
Per i clienti con accesso a Identity Protection, il rischio utente può essere valutato come parte di un criterio di accesso condizionale. Il rischio utente rappresenta la probabilità che un'identità o un account sia compromesso. Per altre informazioni sul rischio utente, vedere gli articoli Che cos'è il rischio e Procedura: Configurare e abilitare i criteri di rischio.
Piattaforme per dispositivi
La piattaforma del dispositivo è caratterizzata dal sistema operativo in esecuzione in un dispositivo. Azure AD identifica la piattaforma usando le informazioni fornite dal dispositivo, ad esempio le stringhe dell'agente utente. Poiché è possibile modificare le stringhe dell'agente utente, queste informazioni non vengono verificate. La piattaforma del dispositivo deve essere usata insieme ai criteri di conformità dei dispositivi di Microsoft Intune o come parte di un'istruzione di blocco. L'impostazione predefinita consiste nell'applicare a tutte le piattaforme del dispositivo.
L'accesso condizionale di Azure AD supporta le piattaforme per dispositivi seguenti:
- Android
- iOS
- Windows
- macOS
- Linux
Se si blocca l'autenticazione legacy usando la condizione Altri client , è anche possibile impostare la condizione della piattaforma del dispositivo.
Importante
Microsoft consiglia di disporre di criteri di accesso condizionale per le piattaforme di dispositivi non supportate. Ad esempio, se vuoi bloccare l'accesso alle risorse aziendali dal sistema operativo Chrome o da qualsiasi altro client non supportato, devi configurare un criterio con una condizione Piattaforme dispositivo che include qualsiasi dispositivo ed esclude le piattaforme dei dispositivi supportate e Concedi il controllo impostato su Blocca l'accesso.
Percorsi
Quando si configura la posizione come condizione, le organizzazioni possono scegliere di includere o escludere alcune località. Queste località denominate possono includere le informazioni di rete IPv4 pubbliche, il paese o l'area geografica o anche aree sconosciute che non eseguono il mapping a paesi o aree geografiche specifiche. Solo gli intervalli IP possono essere contrassegnati come località attendibile.
Quando si specifica Tutte le località, questa opzione include qualsiasi indirizzo IP in Internet non solo le località denominate configurate. Quando si seleziona Tutte le località, gli amministratori possono scegliere di escludere tutte le località attendibili o selezionate.
Ad esempio, alcune organizzazioni possono scegliere di non richiedere l'autenticazione a più fattori quando gli utenti sono connessi alla rete in una posizione attendibile, ad esempio la sede centrale fisica. Gli amministratori possono creare un criterio che includa qualsiasi posizione, ma esclude le posizioni selezionate per le proprie reti centrali.
Altre informazioni sulle posizioni sono disponibili nell'articolo Informazioni sulla condizione della posizione nell'accesso condizionale di Azure Active Directory.
App client
Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati verranno applicati a tutti i tipi di app client anche se la condizione delle app client non è configurata.
Nota
Il comportamento della condizione delle app client è stato aggiornato nell'agosto 2020. Se sono presenti criteri di accesso condizionale esistenti, rimarranno invariati. Tuttavia, se si fa clic su un criterio esistente, l'interruttore configura è stato rimosso e le app client a cui si applica il criterio sono selezionate.
Importante
Gli accessi dai client di autenticazione legacy non supportano l'autenticazione a più fattori e non passano le informazioni sullo stato del dispositivo ad Azure AD, quindi verranno bloccati dai controlli di concessione dell'accesso condizionale, ad esempio richiedendo l'autenticazione a più fattori o dispositivi conformi. Se si dispone di account che devono usare l'autenticazione legacy, è necessario escludere tali account dai criteri oppure configurare i criteri in modo che si applichino solo ai client di autenticazione moderni.
L'interruttore Configura se impostato su Sì si applica agli elementi selezionati, se impostato su No si applica a tutte le app client, inclusi i client di autenticazione moderni e legacy. Questo interruttore non viene visualizzato nei criteri creati prima di agosto 2020.
- Client di autenticazione moderni
- Browser
- Queste includono applicazioni basate sul Web che usano protocolli come SAML, WS-Federation, OpenID Connect o servizi registrati come client riservato OAuth.
- App per dispositivi mobili e client desktop
- Questa opzione include applicazioni come le applicazioni desktop e telefonico di Office.
- Browser
- Client di autenticazione legacy
- Client Exchange ActiveSync
- Questa selezione include tutti gli usi del protocollo Exchange ActiveSync (EAS).
- Quando i criteri bloccano l'uso di Exchange ActiveSync, l'utente interessato riceverà un singolo messaggio di posta elettronica di quarantena. Questo messaggio di posta elettronica fornisce informazioni sul motivo per cui sono bloccate e includono istruzioni di correzione, se possibile.
- Gli amministratori possono applicare criteri solo alle piattaforme supportate (ad esempio iOS, Android e Windows) tramite l'API Microsoft Graph per l'accesso condizionale.
- Altri client
- Questa opzione include i client che usano protocolli di autenticazione di base/legacy che non supportano l'autenticazione moderna.
- SMTP autenticato: usato dai client POP e IMAP per inviare messaggi di posta elettronica.
- Individuazione automatica: usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettervisi.
- Exchange Online PowerShell: usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, è necessario usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online usando l'autenticazione a più fattori.
- Servizi Web Exchange: interfaccia di programmazione usata da Outlook, Outlook per Mac e app di terze parti.
- IMAP4: usato dai client di posta elettronica IMAP.
- MAPI su HTTP (MAPI/HTTP): usato da Outlook 2010 e versioni successive.
- Rubrica offline: copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook.
- Outlook via Internet (RPC su HTTP): usato da Outlook 2016 e versioni precedenti.
- Servizio Outlook: usato dall'app di posta elettronica e di calendario per Windows 10.
- POP3: usato dai client di posta elettronica POP.
- Servizi Web per la creazione di report: funzionalità usata per recuperare i dati dei report in Exchange Online.
- Questa opzione include i client che usano protocolli di autenticazione di base/legacy che non supportano l'autenticazione moderna.
- Client Exchange ActiveSync
Queste condizioni vengono comunemente usate quando richiedono un dispositivo gestito, bloccano l'autenticazione legacy e bloccano le applicazioni Web, ma consentono app per dispositivi mobili o desktop.
Browser supportati
Questa impostazione funziona con tutti i browser. Tuttavia, per soddisfare i criteri di un dispositivo, ad esempio un requisito di dispositivo conforme, sono supportati i sistemi operativi e i browser seguenti. I sistemi operativi e i browser che hanno esaurito il supporto mainstream non sono visualizzati in questo elenco:
| Sistemi operativi | Browser |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (vedere le note) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
Questi browser supportano l'autenticazione del dispositivo, consentendo al dispositivo di essere identificato e convalidato rispetto a un criterio. Il controllo del dispositivo ha esito negativo se il browser è in esecuzione in modalità privata o se i cookie sono disabilitati.
Nota
Edge 85+ richiede che l'utente sia connesso al browser per passare correttamente l'identità del dispositivo. In caso contrario, si comporta come Chrome senza l'estensione account. Questo accesso potrebbe non verificarsi automaticamente in uno scenario di aggiunta ad Azure AD ibrido.
Safari è supportato per l'accesso condizionale basato su dispositivo, ma non può soddisfare l'app client approvata o Richiedi condizioni di protezione delle app . Un browser gestito come Microsoft Edge soddisfa i requisiti di criteri di protezione delle app client e app approvati. In iOS con la soluzione MDM di terze parti solo il browser Microsoft Edge supporta i criteri del dispositivo.
Firefox 91+ è supportato per l'accesso condizionale basato su dispositivo, ma è necessario abilitare "Consenti l'accesso Single Sign-On per Microsoft, lavoro e istituto di istruzione".
Perché viene visualizzato un prompt dei certificati nel browser
In Windows 7, iOS, Android e macOS Azure AD identifica il dispositivo usando un certificato client effettuato quando il dispositivo viene registrato con Azure AD. Quando un utente accede per la prima volta tramite il browser, viene richiesto di selezionare il certificato. L'utente deve selezionare questo certificato prima di usare il browser.
Supporto di Chrome
Per il supporto di Chrome in Windows 10 Creators Update (versione 1703) o versioni successive, installare le estensioni Di Windows 10 Account o Office Online . Queste estensioni sono necessarie quando un criterio di accesso condizionale richiede dettagli specifici del dispositivo.
Per distribuire automaticamente questa estensione ai browser Chrome, creare la chiave del Registro di sistema seguente:
- Percorso HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- Nome 1
- Tipo REG_SZ (string)
- Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Per il supporto di Chrome in Windows 8.1 e 7, creare la chiave del Registro di sistema seguente:
- Percorso HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- Nome 1
- Tipo REG_SZ (string)
- Dati {"pattern":https://device.login.microsoftonline.com"";"filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Applicazioni per dispositivi mobili e client desktop supportati
Le organizzazioni possono selezionare App per dispositivi mobili e client desktop come app client.
Questa impostazione interessa i tentativi di accesso eseguiti dalle app per dispositivi mobili e client desktop seguenti:
| App client | Servizio di destinazione | Piattaforma |
|---|---|---|
| Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS e Android |
| App Posta/Calendario/Contatti, Outlook 2016, Outlook 2013 (con autenticazione moderna) | Exchange Online | Windows 10 |
| MFA e criteri relativi alle applicazioni. I criteri basati su dispositivo non sono supportati. | Qualsiasi servizio app Mie app | Android e iOS |
| Microsoft Teams Services : questa app client controlla tutti i servizi che supportano Microsoft Teams e tutte le relative app client - Windows Desktop, iOS, Android, WP e client Web | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS |
| App di Office 2016, Office 2013 (con autenticazione moderna), client di sincronizzazione di OneDrive | SharePoint | Windows 8.1, Windows 7 |
| App di Office 2016, app di Office universali, Office 2013 (con autenticazione moderna), client di sincronizzazione di OneDrive | SharePoint Online | Windows 10 |
| Office 2016 (solo Word, Excel, PowerPoint e OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| App Office per dispositivi mobili | SharePoint | Android, iOS |
| App Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office per macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (con l'autenticazione moderna), Skype for Business (con l'autenticazione moderna) | Exchange Online | Windows 8.1, Windows 7 |
| App Outlook per dispositivi mobili | Exchange Online | Android, iOS |
| App Power BI | Servizio Power BI | Windows 10, Windows 8.1, Windows 7, Android e iOS |
| Skype for Business | Exchange Online | Android, iOS |
| App Visual Studio Team Services | Visual Studio Team Services | Windows 10, Windows 8.1, Windows 7, iOS e Android |
Client Exchange ActiveSync
- Le organizzazioni possono selezionare solo client Exchange ActiveSync quando si assegnano criteri a utenti o gruppi. Selezionando Tutti gli utenti, Tutti gli utentiguest e esterni o i ruoli directory causeranno che tutti gli utenti siano soggetti ai criteri.
- Quando si crea un criterio assegnato ai client Exchange ActiveSync, Exchange Online deve essere l'unica applicazione cloud assegnata ai criteri.
- Le organizzazioni possono limitare l'ambito di questo criterio a piattaforme specifiche usando la condizione Piattaforme dispositivo .
Se il controllo di accesso assegnato al criterio usa Richiedi app client approvate, l'utente viene indirizzato all'installazione e all'uso del client outlook mobile. Nel caso in cui sia necessaria l'autenticazione a più fattori, le condizioni per l'uso o i controlli personalizzati , gli utenti interessati vengono bloccati, perché l'autenticazione di base non supporta questi controlli.
Per altre informazioni, vedere gli articoli seguenti:
- Bloccare l'autenticazione legacy con l'accesso condizionale
- Richiesta di app client approvate con accesso condizionale
Altri client
Selezionando Altri client è possibile specificare una condizione che influisce sulle app che usano l'autenticazione di base con protocolli di posta elettronica come IMAP, MAPI, POP, SMTP e le app Office meno recenti che non usano l'autenticazione moderna.
Stato del dispositivo (deprecato)
Questa funzionalità di anteprima è stata deprecata. I clienti devono usare la condizione Filtro per i dispositivi nei criteri di accesso condizionale per soddisfare gli scenari ottenuti in precedenza usando la condizione dello stato del dispositivo (anteprima).
La condizione dello stato del dispositivo è stata usata per escludere i dispositivi aggiunti ad Azure AD ibrido e/o i dispositivi contrassegnati come conformi ai criteri di conformità di Microsoft Intune dai criteri di accesso condizionale di un'organizzazione.
Ad esempio, tutti gli utenti che accedono all'app cloud di Gestione di Microsoft Azure , incluso Tutti gli stati del dispositivo esclusi device hybrid Azure AD e Device contrassegnati come conformi e per i controlli Access, Block.
- In questo esempio viene creato un criterio che consente solo l'accesso a Microsoft Azure Management dai dispositivi aggiunti ad Azure AD ibridi o ai dispositivi contrassegnati come conformi.
Lo scenario precedente può essere configurato usando Tutti gli utenti che accedono all'app cloud di Gestione di Microsoft Azure con Filtro per i dispositivi in modalità di esclusione usando la regola seguente device.trustType -eq "ServerAD" -or device.isCompliant -eq True e per i controlli Access, Block.
- In questo esempio viene creato un criterio che blocca l'accesso all'app cloud di Gestione di Microsoft Azure da dispositivi non gestiti o non conformi.
Importante
Lo stato del dispositivo e i filtri per i dispositivi non possono essere usati insieme nei criteri di accesso condizionale. I filtri per i dispositivi offrono una destinazione più granulare, incluso il supporto per le informazioni sullo stato del dispositivo tramite la trustType proprietà e isCompliant .
Filtro per i dispositivi
È disponibile una nuova condizione facoltativa nell'accesso condizionale denominato filtro per i dispositivi. Quando si configura il filtro per i dispositivi come condizione, le organizzazioni possono scegliere di includere o escludere i dispositivi in base a un filtro usando un'espressione di regola sulle proprietà del dispositivo. L'espressione di regola per il filtro per i dispositivi può essere creata usando la sintassi del generatore di regole o della regola. Questa esperienza è simile a quella usata per le regole di appartenenza dinamiche per i gruppi. Per altre informazioni, vedere l'articolo Accesso condizionale: Filtro per i dispositivi (anteprima).