Criteri di accesso condizionale dei dispositivi di Active Directory per i servizi di Office 365Active Directory conditional access device policies for Office 365 services

L'accesso condizionale richiede più elementi per funzionare,Conditional access requires multiple pieces to work. tra cui un utente con autenticazione a più fattori, un dispositivo autenticato e un dispositivo conforme.It involves a multi-factor authenticated user, an authenticated device, and a compliant device, among other factors. Questo articolo si concentra principalmente sulle condizioni basate sul dispositivo che l'organizzazione può usare per consentire il controllo dell'accesso ai servizi di Office 365.In this article, we primarily focus on device-based conditions that your organization can use to help you control access to Office 365 services.

Gli utenti aziendali vogliono accedere a servizi di Office 365 come Exchange e SharePoint Online al lavoro o a scuola dai propri dispositivi personali.Corporate users want to access Office 365 services like Exchange and SharePoint Online at work or school from their personal devices. È importante che l'accesso sia sicuro.You want the access to be secure. È possibile eseguire il provisioning dei criteri di accesso condizionale dei dispositivi per rendere le risorse aziendali più sicure, concedendo l'accesso ai servizi agli utenti che usano i dispositivi conformi.You can provision conditional access device policies to help make corporate resources more secure, while granting access to services for users who are using compliant devices. I criteri di accesso condizionale per Office 365 possono essere configurati nel portale di accesso condizionale di Microsoft Intune.You can set conditional access policies to Office 365 in the Microsoft Intune conditional access portal.

Azure Active Directory (Azure AD) applica criteri di accesso condizionale per consentire la protezione dell'accesso ai servizi di Office 365.Azure Active Directory (Azure AD) enforces conditional access policies to help secure access to Office 365 services. È possibile creare criteri di accesso condizionale che impediscano a un utente che usa un dispositivo non conforme di accedere a un servizio di Office 365.You can create a conditional access policy that blocks a user who is using a noncompliant device from accessing an Office 365 service. Per poter accedere al servizio l'utente deve risultare conforme ai criteri dei dispositivi applicati della società.The user must conform to the company’s device policies before access to the service is granted. In alternativa, è possibile creare criteri che richiedano agli utenti di registrare i propri dispositivi per accedere a un servizio di Office 365.Alternately, you can create a policy that requires users to enroll their devices to gain access to an Office 365 service. I criteri possono essere applicati a tutti gli utenti di un'organizzazione o limitati ad alcuni gruppi di destinazione.Policies can be applied to all users in an organization, or limited to a few target groups. È possibile aggiungere altri gruppi di destinazione a un criterio in un secondo tempo.You can add more target groups to a policy over time.

La registrazione dei dispositivi degli utenti nel servizio Registrazione dispositivo di Azure AD costituisce un prerequisito per l'applicazione dei criteri per i dispositivi.A prerequisite for enforcing device policies is that users must register their devices with the Azure AD device registration service. È possibile scegliere di attivare l'autenticazione a più fattori per i dispositivi registrati con il servizio Registrazione dispositivo di Azure AD.You can opt to turn on multi-factor authentication for devices that register with the Azure AD device registration service. L'autenticazione a più fattori è consigliabile per il servizio Registrazione dispositivo di Azure Active Directory.Multi-factor authentication is recommended for the Azure Active Directory device registration service. Quando è attivata l'autenticazione a più fattori, agli utenti che registrano i propri dispositivi con il servizio Registrazione dispositivo di Azure AD viene richiesta un'autenticazione basata su un secondo fattore.When multi-factor authentication is turned on, users who register their devices with the Azure AD device registration service are challenged for second-factor authentication.

Come funzionano i criteri di accesso condizionaleHow does a conditional access policy work?

Quando un utente richiede l'accesso a un servizio di Office 365 da una piattaforma del dispositivo supportata, Azure AD autentica l'utente e il dispositivo.When a user requests access to an Office 365 service from a supported device platform, Azure AD authenticates the user and the device. Azure AD concede l'accesso al servizio solo se l'utente è conforme ai criteri impostati per il servizio.Azure AD grants access to the service only if the user conforms to the policy set for the service. Per gli utenti dei dispositivi non registrati sono disponibili le istruzioni necessarie per eseguire la registrazione e ottenere la conformità per accedere ai servizi aziendali di Office 365.Users on devices that are not enrolled are given instructions on how to enroll and become compliant to access corporate Office 365 services. Agli utenti dei dispositivi iOS e Android viene richiesto di eseguire la registrazione con l'applicazione Portale aziendale di Microsoft Intune.Users on iOS and Android devices are required to enroll their devices by using the Intune Company Portal application. Quando un utente esegue la registrazione, il dispositivo viene registrato in Azure AD per la conformità e la gestione dei dispositivi.When a user enrolls a device, the device is registered with Azure AD and it's enrolled for device management and compliance. È necessario usare il servizio Registrazione dispositivo di Azure AD con Microsoft Intune per la gestione dei dispositivi mobili per i servizi di Office 365.You must use the Azure AD device registration service with Microsoft Intune for mobile device management for Office 365 services. La registrazione del dispositivo è obbligatoria per gli utenti che accedono ai servizi di Office 365 quando sono applicati i criteri per i dispositivi.Device enrollment is required for users to access Office 365 services when device policies are enforced.

Eseguita la registrazione, il dispositivo diventa attendibile.When a user successfully enrolls a device, the device becomes trusted. Azure AD offre all'utente autenticato l'accesso Single Sign-On alle applicazioni aziendali.Azure AD gives the authenticated user single sign-on access to company applications. Azure AD applica i criteri di accesso condizionale per concedere l'accesso a un servizio non solo la prima volta che l'utente richiede l'accesso, ma ogni volta che l'utente rinnova una richiesta di accesso.Azure AD enforces a conditional access policy to grant access to a service not only the first time the user requests access, but every time the user renews a request for access. L'accesso ai servizi viene negato in caso di modifica delle credenziali di accesso, di furto o smarrimento del dispositivo o di mancato rispetto delle condizioni dei criteri al momento della richiesta di rinnovo.The user is denied access to services when sign-in credentials are changed, the device is lost or stolen, or the conditions of the policy are not met at the time of request for renewal.

Considerazioni sulla distribuzioneDeployment considerations

È necessario usare il servizio Registrazione dispositivo di Azure AD per registrare i dispositivi.You must use the Azure AD device registration service to register devices.

Nella fase di autenticazione degli utenti locali è obbligatorio usare Active Directory Federation Services (AD FS) (versione 1.0 e successive).When on-premises users are about to be authenticated, Active Directory Federation Services (AD FS) (version 1.0 and later versions) is required. L'autenticazione a più fattori per Workplace Join ha esito negativo se il provider di identità non supporta l'autenticazione a più fattori.Multi-factor authentication for Workplace Join fails when the identity provider is not capable of multi-factor authentication. Ad esempio, non è possibile usare l'autenticazione a più fattori con AD FS 2.0.For example, you can't use multi-factor authentication with AD FS 2.0. Verificare che la sessione locale di AD FS funzioni con l'autenticazione a più fattori e che sia in uso un metodo di autenticazione a più fattori valido prima di attivare l'autenticazione a più fattori per il servizio Registrazione dispositivo di Azure AD.Ensure that the on-premises AD FS works with multi-factor authentication, and that a valid multi-factor authentication method is in place before you turn on multi-factor authentication for the Azure AD device registration service. Ad esempio, AD FS in Windows Server 2012 R2 offre funzionalità per l'autenticazione a più fattori.For example, AD FS on Windows Server 2012 R2 has multi-factor authentication capabilities. È anche necessario impostare un metodo di autenticazione valido aggiuntivo (autenticazione a più fattori) nel server AD FS prima di attivare l'autenticazione a più fattori per il servizio Registrazione dispositivo di Azure AD.You also must set an additional valid authentication (multi-factor authentication) method on the AD FS server before you turn on multi-factor authentication for the Azure AD device registration service. Per altre informazioni sui metodi di autenticazione a più fattori supportati in AD FS, vedere Configurare altri metodi di autenticazione per AD FS.For more information about supported multi-factor authentication methods in AD FS, see Configure additional authentication methods for AD FS.

Passaggi successiviNext steps