Applicazioni e browser che usano regole di accesso condizionale in Azure Active Directory

Le regole di accesso condizionale sono supportate in applicazioni connesse di Azure AD (Azure Active Directory), applicazioni SaaS (Software as a Service) federate preintegrate, applicazioni che usano l'accesso SSO (Single Sign-On) basato su password, applicazioni line-of-business e applicazioni che usano il proxy dell'applicazione di Azure AD. Per un elenco dettagliato delle applicazioni per cui è possibile abilitare l'accesso condizionale, vedere Servizi abilitati con l'accesso condizionale. L'accesso condizionale è ideale sia per le applicazioni desktop che per i dispositivi mobili che usano un'autenticazione moderna. In questo articolo viene illustrato il funzionamento dell'accesso condizionale nelle app desktop e in quelle per dispositivi mobili.

È possibile usare le pagine di accesso di Azure AD nelle applicazioni che usano l'autenticazione moderna. In una pagina di accesso all'utente viene richiesto di effettuare un'autenticazione a più fattori. Se l'accesso dell'utente risulta bloccato, viene visualizzato un messaggio di errore. L'autenticazione moderna è necessaria per consentire al dispositivo di eseguire l'autenticazione con Azure AD, in modo che vengano valutati i criteri di accesso condizionale basato su dispositivo.

È importante sapere quali applicazioni possono usare le regole di accesso condizionale. È inoltre necessario conoscere i passaggi che possono essere necessari per la protezione di altri punti di ingresso dell'applicazione.

Applicazioni che usano l'autenticazione moderna

Nota

Se in Azure AD è presente un criterio di accesso condizionale equivalente a un analogo criterio di Office 365, configurare entrambi i criteri di accesso condizionale. Questo scenario si applica, ad esempio, ai criteri di accesso condizionale per Exchange Online o SharePoint Online.

Le applicazioni seguenti supportano l'accesso condizionale per Office 365 e altre applicazioni di servizio connesse ad Azure AD:

Servizio di destinazione Piattaforma Applicazione
Qualsiasi servizio app Mie app Android e iOS MFA e criteri relativi alle applicazioni. I criteri basati su dispositivo non sono supportati.
Servizio app Azure Remote Windows 10, Windows 8.1, Windows 7, iOS, Android e Mac OS X App Azure Remote
Dynamics CRM Windows 10, Windows 8.1, Windows 7, iOS e Android Dynamics CRM
Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS/Android e MAC OSX Microsoft Team Services consente di controllare tutti i servizi che supportano i team Microsoft e tutte le app client: Windows Desktop, MAC OS X, iOS, Android, WP e web client
Office 365 Exchange Online Windows 10 App Mail/Calendar/People, Outlook 2016, Outlook 2013 (con l'autenticazione moderna), Skype for Business (con l'autenticazione moderna)
Office 365 Exchange Online Windows 8.1, Windows 7 Outlook 2016, Outlook 2013 (con l'autenticazione moderna), Skype for Business (con l'autenticazione moderna)
Office 365 Exchange Online iOS App Outlook Mobile
Office 365 Exchange Online Mac OS X Outlook 2016 solo per l'autenticazione a più fattori e la posizione; il supporto dei criteri basati su dispositivo è pianificato per il futuro, il supporto per Skype for Business è pianificato per il futuro
Office 365 SharePoint Online Windows 10 app di Office 2016, app di Office universale, Office 2013 (con autenticazione moderna), client sincronizzazione OneDrive (vedere le note), supporto per i gruppi di Office pianificato per il futuro, supporto per l'app SharePoint pianificato per il futuro
Office 365 SharePoint Online Windows 8.1, Windows 7 App di Office 2016, Office 2013 (con autenticazione moderna), client sincronizzazione OneDrive (vedere le note)
Office 365 SharePoint Online iOS, Android App Office per dispositivi mobili
Office 365 SharePoint Online Mac OS X App Office 2016 solo per l'autenticazione a più fattori e la posizione; il supporto dei criteri basati su dispositivo è pianificato per il futuro
Office 365 Yammer Windows 10, iOS, Android App Office Yammer
Servizio PowerBI Windows 10, Windows 8.1, Windows 7 e iOS App PowerBI. L'app Power BI per Android non supporta attualmente l'accesso condizionale basato su dispositivo.
Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS e Android App Visual Studio Team Services

Applicazioni che non utilizzano l'autenticazione moderna

Attualmente è necessario usare altri metodi per bloccare l'accesso ad app che non usano l'autenticazione moderna. Le regole per le app che non usano l'autenticazione moderna non vengono applicate in base all'accesso condizionale. Questo vale soprattutto per l'accesso a Exchange e SharePoint. La maggior parte delle versioni meno recenti delle app usa protocolli di controllo dell'accesso non moderni.

Controllo dell'accesso in Office 365 SharePoint Online

È possibile disabilitare protocolli legacy per l'accesso a SharePoint usando il cmdlet Set-SPOTenant. Usare questo cmdlet per impedire ai client di Office che usano protocolli di autenticazione non moderni di accedere alle risorse di SharePoint Online.

Comando di esempio: Set-SPOTenant -LegacyAuthProtocolsEnabled $false

Controllo dell'accesso in Office 365 Exchange Online

Exchange offre due categorie principali di protocolli. Esaminare le opzioni seguenti e quindi selezionare il criterio più adatto alle esigenze dell'organizzazione.

  • Exchange ActiveSync. Per impostazione predefinita, i criteri di accesso condizionale per l'autenticazione a più fattori e i criteri di posizione non vengono applicati per Exchange ActiveSync. È necessario proteggere l'accesso a questi servizi configurando i criteri di Exchange ActiveSync in modo diretto oppure bloccando Exchange ActiveSync con le regole di AD FS (Active Directory Federation Services).
  • Protocolli legacy. È possibile bloccare protocolli legacy con AD FS. In questo modo viene bloccato l'accesso ai client di Office meno recenti, ad esempio Office 2013 senza l'autenticazione moderna abilitata e le versioni precedenti di Office.

Usare AD FS per bloccare protocolli legacy

È possibile usare le regole di autorizzazione emissione di esempio seguenti per bloccare l'accesso da parte di protocolli legacy a livello di AD FS. Scegliere una delle due configurazioni più comuni.

Opzione 1: consentire l'accesso a Exchange ActiveSync e alle app legacy, ma solo nella rete Intranet

Applicando le tre regole seguenti al trust della relying party di AD FS per la piattaforma di identità di Microsoft Office 365, hanno accesso il traffico di Exchange ActiveSync e il traffico di autenticazione moderna e del browser. Le applicazioni legacy vengono bloccate dalla rete Extranet.

Regola 1
@RuleName = "Allow all intranet traffic"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Regola 2
@RuleName = "Allow Exchange ActiveSync"
c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Regola 3
@RuleName = "Allow extranet browser and browser dialog traffic"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] &&
c2:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

Opzione 2: consentire l'accesso a Exchange ActiveSync e bloccare le applicazioni legacy

Applicando le tre regole seguenti al trust della relying party di AD FS per la piattaforma di identità di Microsoft Office 365, hanno accesso il traffico di Exchange ActiveSync e il traffico di autenticazione moderna e del browser. Le app legacy vengono bloccate da qualunque percorso.

Regola 1
@RuleName = "Allow all intranet traffic only for browser and modern authentication clients"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"] &&
c2:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Regola 2
@RuleName = "Allow Exchange ActiveSync"
c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value == "Microsoft.Exchange.ActiveSync"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
Regola 3
@RuleName = "Allow extranet browser and browser dialog traffic"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] &&
c2:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

Browser supportati per criteri basati su dispositivo

È possibile ottenere l'accesso solo per i criteri basati su dispositivo, che verificano la conformità del dispositivo e l'aggiunta a un dominio quando Azure AD è in grado di identificare e autenticare il dispositivo. Mentre la maggior parte dei controlli, ad esempio posizione e MFA, possono essere eseguiti su quasi tutti i dispositivi e i browser, i criteri del dispositivo richiedono la versione del sistema operativo e i browser elencati di seguito. L'accesso è bloccato per gli utenti su browser o sistemi operativi non supportati quando sono in uso criteri del dispositivo.

OS Browser Supporto
Windows 10 Internet Explorer, Edge Controllo
Windows 10 Chrome Preview
Windows 8/8.1 IE, Chrome Controllo
Windows 7 IE, Chrome Controllo
iOS Safari Controllo
Android Chrome Controllo
Windows Phone Internet Explorer, Edge Controllo
Windows Server 2016 Internet Explorer, Edge Controllo
Windows Server 2016 Chrome Presto disponibile
Windows Server 2012 R2 IE, Chrome Controllo
Windows Server 2008 R2 IE, Chrome Controllo
Mac OS Safari Controllo
Mac OS Chrome Presto disponibile
Nota

Per il supporto di Chrome, è necessario utilizzare Windows 10 Creators Update e installare l'estensione disponibile qui.

Passaggi successivi

Per maggiori dettagli, vedere Accesso condizionale in Azure Active Directory