Procedura: Richiedere dispositivi gestiti per l'accesso alle app cloud con l'accesso condizionaleHow To: Require managed devices for cloud app access with conditional access

In un mondo in cui i dispositivi mobili e il cloud hanno sempre più importanza, Azure Active Directory (Azure AD) consente ovunque l'accesso Single Sign-On ad app e servizi.In a mobile-first, cloud-first world, Azure Active Directory (Azure AD) enables single sign-on to apps, and services from anywhere. Gli utenti autorizzati possono accedere alle app cloud da una vasta gamma di dispositivi, inclusi i dispositivi mobili e quelli personali.Authorized users can access your cloud apps from a broad range of devices including mobile and also personal devices. In numerosi ambienti, tuttavia, almeno alcune app devono essere accessibili solo da dispositivi che soddisfano determinati standard di sicurezza e conformità.However, many environments have at least a few apps that should only be accessed by devices that meet your standards for security and compliance. I dispositivi di questo tipo sono noti anche come dispositivi gestiti.These devices are also known as managed devices.

Questo articolo spiega come configurare criteri di accesso condizionale in modo da richiedere dispositivi gestiti per l'accesso a determinate app cloud nell'ambiente della propria organizzazione.This article explains how you can configure conditional access policies that require managed devices to access certain cloud apps in your environment.

PrerequisitiPrerequisites

Il requisito d'uso di dispositivi gestiti per l'accesso alle app cloud presuppone la conoscenza dei concetti correlati di accesso condizionale di Azure AD e gestione dei dispositivi di Azure AD.Requiring managed devices for cloud app access ties Azure AD conditional access and Azure AD device management together. Se non si ha ancora familiarità con una di queste aree, è consigliabile leggere innanzitutto gli argomenti seguenti:If you are not familiar with one of these areas yet, you should read the following topics, first:

Descrizione dello scenarioScenario description

Trovare il giusto equilibrio tra sicurezza e produttività è una vera e propria sfida.Mastering the balance between security and productivity is a challenge. L'ampia diffusione dei dispositivi supportati per l'accesso alle risorse cloud offre notevoli vantaggi in termini di produttività degli utenti.The proliferation of supported devices to access your cloud resources helps to improve the productivity of your users. In alcuni casi, tuttavia, può essere necessario evitare che alcune risorse dell'ambiente risultino accessibili a dispositivi con un livello di protezione sconosciuto.On the flip side, you probably don't want certain resources in your environment to be accessed by devices with an unknown protection level. Per le risorse di questo tipo è opportuno definire un requisito di accessibilità in modo che gli utenti possano accedervi solo tramite un dispositivo gestito.For the affected resources, you should require that users can only access them using a managed device.

Con l'accesso condizionale di Azure AD è possibile soddisfare questo requisito con un criterio singolo che garantisce l'accesso:With Azure AD conditional access, you can address this requirement with a single policy that grants access:

  • Alle app cloud selezionateTo selected cloud apps

  • Per utenti e gruppi selezionatiFor selected users and groups

  • Richiesta di un dispositivo gestitoRequiring a managed device

Dispositivi gestitiManaged devices

In poche parole, i dispositivi gestiti sono dispositivi che ricadono sotto qualche tipo di controllo aziendale.In simple terms, managed devices are devices that are are under some sort of organizational control. In Azure AD il prerequisito per un dispositivo gestito è che sia stato registrato con Azure AD.In Azure AD, the prerequisite for a managed device is that it has been registered with Azure AD. La registrazione di un dispositivo crea un'identità per il dispositivo sotto forma di oggetto dispositivo.Registering a device creates an identity for the device in form of a device object. Questo oggetto viene usato da Azure per tenere traccia delle informazioni sullo stato relative a un dispositivo.This object is used by Azure to track status information about a device. Gli amministratori di Azure AD possono già usare questo oggetto per alternare (abilitare/disabilitare) lo stato di un dispositivo.As an Azure AD administrator, you can already use this object to toggle (enable/disable) the state of a device.

Condizioni basate sul dispositivo

Per registrare un dispositivo con Azure AD, sono disponibili tre opzioni:To get a device registered with Azure AD, you have three options:

Per risultare gestito, un dispositivo registrato deve essere un dispositivo aggiunto ad Azure AD ibrido o un dispositivo contrassegnato come conforme.To become a managed device, a registered device must be either a Hybrid Azure AD joined device or a device that has been marked as compliant.

Condizioni basate sul dispositivo

Richiedere i dispositivi aggiunti ad Azure AD ibridoRequire Hybrid Azure AD joined devices

Nei criteri di accesso condizionale è possibile selezionare Richiedi dispositivo aggiunto ad Azure AD ibrido per fare in modo che le app cloud selezionate siano accessibili solo con un dispositivo gestito.In your conditional access policy, you can select Require Hybrid Azure AD joined device to state that the selected cloud apps can only be accessed using a managed device.

Condizioni basate sul dispositivo

Questa impostazione si applica solo ai dispositivi Windows 10 aggiunti a un'istanza di Azure AD locale.This setting only applies to Windows 10 devices that are joined to an on-premises AD. È possibile registrare questi dispositivi con Azure AD solo usando un join di Azure AD ibrido, un processo automatizzato per registrare un dispositivo Windows 10.You can only register these devices with Azure AD using a Hybrid Azure AD join, which is an automated process to get a Windows 10 device registered.

Condizioni basate sul dispositivo

In che modo un dispositivo aggiunto ad Azure AD ibrido diventa un dispositivo gestito?What makes a Hybrid Azure AD joined device a managed device? Per i dispositivi aggiunti a un'istanza di AD locale, si presume che il controllo su questi dispositivi venga applicato usando soluzioni di gestione, ad esempio System Center Configuration Manager (SCCM) o i criteri di gruppo, per gestirli.For devices that are joined to an on-premises AD, it is assumed that the control over these devices is enforced using management solutions such as System Center Configuration Manager (SCCM) or group policy (GP) to manage them. Poiché non esiste alcun metodo che consenta ad Azure AD di determinare se uno di questi metodi è stato applicato a un dispositivo, il requisito che prevede un dispositivo aggiunto ad Azure AD ibrido è un meccanismo relativamente debole per richiedere un dispositivo gestito.Because there is no method for Azure AD to determine whether any of these methods has been applied to a device, requiring a hybrid Azure AD joined device is a relatively weak mechanism to require a managed device. È responsabilità dell'amministratore valutare se i metodi applicati ai dispositivi aggiunti al dominio locale siano abbastanza affidabili per costituire un dispositivo gestito se tale dispositivo è anche un dispositivo aggiunto ad Azure AD ibrido.It is up to you as an administrator to judge whether the methods that are applied to your on-premises domain-joined devices are strong enough to constitute a managed device if such a device is also a Hybrid Azure AD joined device.

Richiedere che i dispositivi siano contrassegnati come conformiRequire device to be marked as compliant

L'opzione per richiedere che un dispositivo sia contrassegnato come conforme è il modo più sicuro per richiedere un dispositivo gestito.The option to require a device to be marked as compliant is the strongest form to request a managed device.

Condizioni basate sul dispositivo

Questa opzione richiede che un dispositivo venga registrato con Azure AD e anche che venga contrassegnato come conforme da:This option requires a device to be registered with Azure AD, and also to be marked as compliant by:

  • Intune.Intune.
  • Un sistema di gestione dei dispositivi mobili (MDM) di terze parti che gestisce dispositivi Windows 10 tramite l'integrazione di Azure AD.A third-party mobile device management (MDM) system that manages Windows 10 devices via Azure AD integration. I sistemi MDM di terze parti per sistemi operativi per dispositivo diversi da Windows 10 non sono supportati.Third-party MDM systems for device OS types other than Windows 10 are not supported.

Condizioni basate sul dispositivo

Per un dispositivo contrassegnato come conforme, è possibile presupporre che:For a device that is marked as compliant, you can assume that:

  • I dispositivi mobili usati dalla forza lavoro per accedere ai dati aziendali sono gestitiThe mobile devices your workforce uses to access company data are managed
  • Le app per dispositivi mobili usate dalla forza lavoro sono gestiteMobile apps your workforce uses are managed
  • Le informazioni della società sono protette grazie alla possibilità di controllare il modo in cui la forza lavoro vi accede e le condivideYour company information is protected by helping to control the way your workforce accesses and shares it
  • Il dispositivo e le relative app sono conformi ai requisiti di sicurezza aziendaliThe device and its apps are compliant with company security requirements

Passaggi successiviNext steps

Prima di configurare un criterio di accesso condizionale basato su dispositivo nell'ambiente in uso, è necessario esaminare Procedure consigliate per l'accesso condizionale in Azure Active Directory.Before configuring a device-based conditional access policy in your environment, you should take a look at the best practices for conditional access in Azure Active Directory.