Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo di Azure Active DirectorySetting up on-premises conditional access by using Azure Active Directory device registration

Quando si chiede agli utenti di aggiungere i dispositivi personali all'area di lavoro con il servizio Registrazione dispositivo di Azure Active Directory (Azure AD), i dispositivi possono essere contrassegnati come noti all'organizzazione.When you require users to workplace-join their personal devices to the Azure Active Directory (Azure AD) device registration service, their devices can be marked as known to your organization. Di seguito è riportata una guida dettagliata all'abilitazione dell'accesso condizionale alle applicazioni locali con Active Directory Federation Services (AD FS) in Windows Server 2012 R2.Following is a step-by-step guide for enabling conditional access to on-premises applications by using Active Directory Federation Services (AD FS) in Windows Server 2012 R2.

Nota

Quando si usano dispositivi registrati nei criteri di accesso condizionale del servizio Registrazione dispositivo di Azure Active Directory, è necessaria una licenza di Office 365 o una licenza di Azure AD Premium.An Office 365 license or Azure AD Premium license is required when using devices that are registered in Azure Active Directory device registration service conditional access policies. Sono inclusi i criteri applicati da AD FS nelle risorse locali.These include policies that are enforced by AD FS in on-premises resources.

Per altre informazioni sugli scenari di accesso condizionale per le risorse locali, vedere Aggiunta all'area di lavoro da qualsiasi dispositivo per SSO e autenticazione a due fattori trasparente per tutte le applicazioni aziendali.For more information about the conditional access scenarios for on-premises resources, see Join to workplace from any device for SSO and seamless second-factor authentication across company applications.

Queste funzionalità sono disponibili per i clienti che acquistano una licenza di Azure Active Directory Premium.These capabilities are available to customers who purchase an Azure Active Directory Premium license.

Dispositivi supportatiSupported devices

  • Dispositivi Windows 7 aggiunti a un dominioWindows 7 domain-joined devices
  • Dispositivi Windows 8.1 personali e aggiunti a un dominioWindows 8.1 personal and domain-joined devices
  • iOS 6 e versioni successive per il browser SafariiOS 6 and later for the Safari browser
  • Android 4.0 o versioni successive, telefoni Samsung GS3 o successivi, tablet Samsung Galaxy Note 2 o successiviAndroid 4.0 or later, Samsung GS3 or later phones, Samsung Galaxy Note 2 or later tablets

Prerequisiti dello scenarioScenario prerequisites

  • Sottoscrizione di Office 365 o Azure Active Directory PremiumSubscription to Office 365 or Azure Active Directory Premium
  • Tenant di Azure Active DirectoryAn Azure Active Directory tenant
  • Windows Server Active Directory (Windows Server 2008 o versioni successive)Windows Server Active Directory (Windows Server 2008 or later)
  • Schema aggiornato in Windows Server 2012 R2Updated schema in Windows Server 2012 R2
  • Licenza di Azure Active Directory PremiumLicense for Azure Active Directory Premium
  • Windows Server 2012 R2 Federation Services configurato per l'accesso SSO ad Azure ADWindows Server 2012 R2 Federation Services, configured for SSO to Azure AD
  • Proxy applicazione Web di Windows Server 2012 R2Windows Server 2012 R2 Web Application Proxy
  • Microsoft Azure Active Directory Connect (Azure AD Connect) (Download di Azure AD Connect)Microsoft Azure Active Directory Connect (Azure AD Connect) (Download Azure AD Connect)
  • Dominio verificatoVerified domain

Problemi noti in questa versioneKnown issues in this release

  • I criteri di accesso condizionale basati su dispositivo richiedono la funzionalità di writeback degli oggetti dispositivo in Active Directory da Azure Active Directory.Device-based conditional access policies require device object writeback to Active Directory from Azure Active Directory. L'esecuzione del writeback degli oggetti dispositivo in Active Directory può richiedere fino a tre ore.It can take up to three hours for device objects to be written back to Active Directory.
  • I dispositivi iOS 7 richiedono sempre di selezionare un certificato durante l'autenticazione dei certificati client.iOS 7 devices always prompt the user to select a certificate during client certificate authentication.
  • Alcune versioni di iOS 8 precedenti a iOS 8.3 non funzionano.Some versions of iOS 8 before iOS 8.3 do not work.

Presupposti dello scenarioScenario assumptions

Questo scenario presuppone l'esistenza di un ambiente ibrido, costituito da un tenant di Azure AD e un'istanza di Active Directory locale.This scenario assumes that you have a hybrid environment consisting of an Azure AD tenant and an on-premises Active Directory. Questi tenant devono essere connessi con Azure AD Connect, con un dominio verificato e con AD FS per SSO.These tenants should be connected with Azure AD Connect, with a verified domain, and with AD FS for SSO. Usare il seguente elenco di controllo per configurare l'ambiente in base ai requisiti.Use the following checklist to help you configure your environment according to the requirements.

Elenco di controllo: prerequisiti per lo scenario di accesso condizionaleChecklist: Prerequisites for conditional access scenario

Connettere il tenant di Azure AD all'istanza di Active Directory locale.Connect your Azure AD tenant with your on-premises Active Directory instance.

Configurare il servizio Registrazione dispositivo di Azure Active DirectoryConfigure Azure Active Directory device registration service

Usare questa guida per distribuire e configurare il servizio Registrazione dispositivo di Azure Active Directory per l'organizzazione.Use this guide to deploy and configure the Azure Active Directory device registration service for your organization.

Nella guida si presuppone che Windows Server Active Directory sia stato configurato e che sia stata effettuata la sottoscrizione a Microsoft Azure Active Directory.This guide assumes that you've configured Windows Server Active Directory and have subscribed to Microsoft Azure Active Directory. Vedere i prerequisiti descritti in precedenza.See the prerequisites described earlier.

Per distribuire il servizio Registrazione dispositivo di Azure Active Directory con il tenant di Azure Active Directory, completare nell'ordine indicato le attività riportate nell'elenco di controllo seguente.To deploy the Azure Active Directory device registration service with your Azure Active Directory tenant, complete the tasks in the following checklist in order. Quando un collegamento a un riferimento porta a un argomento concettuale, tornare a questo elenco di controllo per poter procedere con le attività restanti.When a reference link takes you to a conceptual topic, return to this checklist afterward, so that you can proceed with the remaining tasks. Alcune attività includono un passaggio di convalida dello scenario, che consente di verificare se il passaggio è stato eseguito correttamente.Some tasks include a scenario validation step that can help you confirm whether the step was completed successfully.

Parte 1: Abilitare Registrazione dispositivo di Azure Active DirectoryPart 1: Enable Azure Active Directory device registration

Seguire i passaggi dell'elenco di controllo per abilitare e configurare il servizio Registrazione dispositivo di Azure Active Directory.Follow the steps in the checklist to enable and configure the Azure Active Directory device registration service.

AttivitàTask RiferimentoReference
Abilitare Registrazione dispositivo nel tenant di Azure Active Directory per consentire l'aggiunta dei dispositivi all'area di lavoro.Enable device registration in your Azure Active Directory tenant to allow devices to join the workplace. Per impostazione predefinita, la funzionalità Azure Multi-Factor Authentication non è abilitata per il servizio.By default, Azure Multi-Factor Authentication is not enabled for the service. Tuttavia, è consigliabile usare l'autenticazione a più fattori quando si registra un dispositivo.However, we recommend that you use Multi-Factor Authentication when you register a device. Prima di abilitare Multi-Factor Authentication nel servizio Registrazione dispositivo di Active Directory, verificare che AD FS sia configurato per un provider di autenticazione a più fattori.Before enabling Multi-Factor Authentication in Active Directory registration service, ensure that AD FS is configured for a Multi-Factor Authentication provider. Abilitare Registrazione dispositivo di Azure Active DirectoryEnable Azure Active Directory device registration
I dispositivi individuano il servizio Registrazione dispositivo di Azure Active Directory cercando record DNS noti.Devices discover your Azure Active Directory device registration service by looking for well-known DNS records. Configurare il DNS della società in modo che i dispositivi possano rilevare il servizio Registrazione dispositivo di Azure Active Directory.Configure your company DNS so that devices can discover your Azure Active Directory device registration service. Configurare l'individuazione di Registrazione dispositivo di Azure Active Directory.Configure Azure Active Directory device registration discovery

Parte 2: Distribuire e configurare Active Directory Federation Services con Windows Server 2012 R2 e configurare una relazione federativa con Azure ADPart 2: Deploy and configure Windows Server 2012 R2 Active Directory Federation Services and set up a federation relationship with Azure AD

AttivitàTask RiferimentoReference
Distribuire Active Directory Domain Services con le estensioni dello schema di Windows Server 2012 R2.Deploy Active Directory Domain Services with the Windows Server 2012 R2 schema extensions. Non è necessario aggiornare alcun controller di dominio a Windows Server 2012 R2.You do not need to upgrade any of your domain controllers to Windows Server 2012 R2. L'unico requisito è l'aggiornamento dello schema.The schema upgrade is the only requirement. Aggiornare lo schema di Active Directory Domain ServicesUpgrade your Active Directory Domain Services schema
I dispositivi individuano il servizio Registrazione dispositivo di Azure Active Directory cercando record DNS noti.Devices discover your Azure Active Directory device registration service by looking for well-known DNS records. Configurare il DNS della società in modo che i dispositivi possano rilevare il servizio Registrazione dispositivo di Azure Active Directory.Configure your company DNS so that devices can discover your Azure Active Directory device registration service. Preparare Active Directory per supportare i dispositiviPrepare your Active Directory support devices

Parte 3: Abilitare il writeback dei dispositivi in Azure ADPart 3: Enable device writeback in Azure AD

AttivitàTask RiferimentoReference
Completare la parte due di "Abilitazione del writeback dei dispositivi in Azure AD Connect".Complete part two of "Enabling device writeback in Azure AD Connect." Al termine, tornare a questa guida.After you finish it, return to this guide. Abilitazione del writeback dei dispositivi in Azure AD ConnectEnabling device writeback in Azure AD Connect

[Facoltativo] Parte 4: Abilitazione di Multi-Factor Authentication[Optional] Part 4: Enable Multi-Factor Authentication

È consigliabile configurare una delle diverse opzioni per Multi-Factor Authentication.We strongly recommended that you configure one of the several options for Multi-Factor Authentication. Se si vuole rendere obbligatoria l'autenticazione a più fattori, vedere Scegliere la soluzione Azure Multi-Factor Authentication più adatta alle proprie esigenze.If you want to require Multi-Factor Authentication, see Choose the Multi-Factor Authentication security solution for you. È inclusa una descrizione di ogni soluzione con collegamenti che consentono di configurare la soluzione selezionata.It includes a description of each solution, and links to help you configure the solution of your choice.

Parte 5: VerificaPart 5: Verification

La distribuzione è stata completata e ora è possibile provare alcuni scenari.The deployment is now complete, and you can try out some scenarios. Usare i collegamenti riportati di seguito per provare il servizio e acquisire familiarità con le relative funzionalità.Use the following links to experiment with the service and become familiar with its features.

AttivitàTask RiferimentoReference
Aggiungere alcuni dispositivi all'area di lavoro usando il servizio Registrazione dispositivo di Azure Active Directory.Join some devices to your workplace by using Azure Active Directory device registration service. È possibile aggiungere dispositivi iOS, Windows e Android.You can join iOS, Windows, and Android devices. Aggiungere dispositivi all'area di lavoro con il servizio Registrazione dispositivo di Azure Active DirectoryJoin devices to your workplace using Azure Active Directory device registration service
È possibile visualizzare e abilitare o disabilitare i dispositivi registrati usando il portale dell'amministratore.View and enable or disable registered devices by using the administrator portal. In questa attività si visualizzano alcuni dispositivi registrati usando il portale dell'amministratore.In this task, you view some registered devices by using the administrator portal. Panoramica del servizio Registrazione dispositivo di Azure Active DirectoryAzure Active Directory device registration service overview
Verificare che venga eseguito il writeback degli oggetti dispositivo da Azure Active Directory a Windows Server Active Directory.Verify that device objects are written back from Azure Active Directory to Windows Server Active Directory. Verificare che venga eseguito il writeback dei dispositivi registrati in Active DirectoryVerify registered devices are written back to Active Directory
Ora che gli utenti possono registrare i propri dispositivi, è possibile creare criteri di accesso alle applicazioni in AD FS che consentano l'accesso solo a dispositivi registrati.Now that users can register their devices, you can create application access polices in AD FS that allow only registered devices. In questa attività viene creata una regola di accesso alle applicazioni e un messaggio di accesso negato personalizzato.In this task, you create an application access rule and a custom access-denied message. Creare un criterio di accesso alle applicazioni e un messaggio di accesso negato personalizzatoCreate an application access policy and custom access-denied message

Integrare Azure Active Directory con l'istanza di Active Directory localeIntegrate Azure Active Directory with on-premises Active Directory

Questo passaggio consente di integrare il tenant di Azure AD con l'istanza di Active Directory locale usando Azure AD Connect.This step helps you integrate your Azure AD tenant with your on-premises Active Directory by using Azure AD Connect. Anche se i passaggi sono disponibili nel portale di Azure classico, prendere nota di eventuali istruzioni speciali riportate in questa sezione.Although the steps are available in the Azure classic portal, make note of any special instructions that are listed in this section.

  1. Accedere al portale di Azure classico usando un account che sia amministratore globale in Azure AD.Sign in to the Azure classic portal by using an account that is a global administrator in Azure AD.
  2. Nel riquadro sinistro selezionare Active Directory.On the left pane, select Active Directory.
  3. Selezionare la propria directory nella scheda Directory .On the Directory tab, select your directory.
  4. Selezionare la scheda Integrazione directory .Select the Directory Integration tab.
  5. Nella sezione distribuisci e gestisci eseguire i passaggi da 1 a 3 per integrare Azure Active Directory con la directory locale.Under the deploy and manage section, follow steps 1 through 3 to integrate Azure Active Directory with your on-premises directory.

    1. Aggiungere i domini.Add domains.
    2. Installare ed eseguire Azure AD Connect seguendo le istruzioni riportate in Installazione personalizzata di Azure AD Connect.Install and run Azure AD Connect by using the instructions at Custom installation of Azure AD Connect.
    3. Verificare e gestire la sincronizzazione della directory. Le istruzioni per l'accesso Single Sign-On sono disponibili in questo passaggio.Verify and manage directory sync. Single sign-on instructions are available within this step.

    Configurare anche la federazione con AD FS come indicato in Installazione personalizzata di Azure AD Connect.In addition, configure federation with AD FS as outlined in Custom installation of Azure AD Connect.

Aggiornare lo schema di Servizi di dominio Active DirectoryUpgrade your Active Directory Domain Services schema

Nota

Dopo aver aggiornato lo schema di Active Directory, il processo non può essere annullato.After you upgrade your Active Directory schema, the process cannot be reversed. È quindi consigliabile eseguire prima l'aggiornamento in un ambiente di test.We recommend that you first perform the upgrade in a test environment.

  1. Accedere al controller di dominio usando un account con diritti sia di amministratore dell'organizzazione sia di amministratore dello schema.Sign in to your domain controller with an account that has both enterprise administrator and schema administrator rights.
  2. Copiare la directory e le sottodirectory [media]\support\adprep in uno dei controller di dominio di Active Directory (dove [media] è il percorso al supporto di installazione di Windows Server 2012 R2).Copy the [media]\support\adprep directory and subdirectories to one of your Active Directory domain controllers (where [media] is the path to the Windows Server 2012 R2 installation media).
  3. A un prompt dei comandi passare alla directory adprep ed eseguire adprep.exe /forestprep.From a command prompt, go to the adprep directory and run adprep.exe /forestprep. Seguire le istruzioni visualizzate per completare l'aggiornamento dello schema.Follow the onscreen instructions to complete the schema upgrade.

Preparare Active Directory per supportare i dispositiviPrepare your Active Directory to support devices

Nota

Questa è un'operazione da eseguire una sola volta per preparare la foresta Active Directory per supportare i dispositivi.This is a one-time operation that you must run to prepare your Active Directory forest to support devices. Per completare questa procedura è necessario accedere con autorizzazioni di amministratore dell'organizzazione e la foresta Active Directory deve avere lo schema di Windows Server 2012 R2.To complete this procedure, you must be signed in with enterprise administrator permissions and your Active Directory forest must have the Windows Server 2012 R2 schema.

Preparare la foresta Active DirectoryPrepare your Active Directory forest

  1. Nel server federativo aprire una finestra di comando di Windows PowerShell e digitare Initialize-ADDeviceRegistration.On your federation server, open a Windows PowerShell command window, and then type Initialize-ADDeviceRegistration.
  2. Quando viene richiesto di specificare ServiceAccountName, immettere il nome dell'account del servizio selezionato come account del servizio per AD FS.When prompted for ServiceAccountName, enter the name of the service account you selected as the service account for AD FS. Se si tratta di un account del servizio gestito del gruppo, immetterlo nel formato dominio\nomeaccount$.If it's a gMSA account, enter the account in the domain\accountname$ format. Per un account di dominio, usare il formato dominio\nomeaccount.For a domain account, use the format domain\accountname.

Abilitare l'autenticazione dispositivo in AD FSEnable device authentication in AD FS

  1. Nel server federativo aprire la console di gestione di AD FS e passare ad AD FS > Criteri di autenticazione.On your federation server, open the AD FS management console and go to AD FS > Authentication Policies.
  2. Selezionare Modifica autenticazione primaria globale nel riquadro Azioni.On the Actions pane, select Edit Global Primary Authentication.
  3. Selezionare Abilita autenticazione dispositivo e quindi OK.Check Enable device authentication, and then select OK.
  4. Per impostazione predefinita, AD FS rimuove periodicamente da Active Directory i dispositivi inutilizzati.By default, AD FS periodically removes unused devices from Active Directory. Disabilitare questa attività quando si usa il servizio Registrazione dispositivo di Azure Active Directory, in modo che i dispositivi possano essere gestiti in Azure.Disable this task when you're using Azure Active Directory device registration service so that devices can be managed in Azure.

Disabilitare la pulizia dei dispositivi inutilizzatiDisable unused device cleanup

Nel server federativo aprire una finestra di comando di Windows PowerShell e digitare Set-AdfsDeviceRegistration -MaximumInactiveDays 0.On your federation server, open a Windows PowerShell command window, and then type Set-AdfsDeviceRegistration -MaximumInactiveDays 0.

Preparare Azure AD Connect per il writeback dei dispositiviPrepare Azure AD Connect for device writeback

Completare la parte 1: preparare Azure AD Connect.Complete part 1: Prepare Azure AD Connect.

Aggiungere dispositivi all'area di lavoro con il servizio Registrazione dispositivo di Azure Active DirectoryJoin devices to your workplace by using Azure Active Directory device registration service

Aggiungere un dispositivo iOS con Registrazione dispositivo di Azure Active DirectoryJoin an iOS device by using Azure Active Directory device registration

Il servizio Registrazione dispositivo di Azure Active Directory usa il processo di registrazione del profilo OTA (Over-the-Air) per i dispositivi iOS.Azure Active Directory device registration uses the Over-the-Air Profile enrollment process for iOS devices. Questo processo inizia quando l'utente si connette per l'URL di registrazione del profilo con Safari.This process begins when the user connects to the profile enrollment URL with Safari. Il formato dell'URL è il seguente:The URL format is as follows:

https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/"yourdomainname"

In questo caso yourdomainname è il nome di dominio configurato con Azure Active Directory.In this case, yourdomainname is the domain name that you configured with Azure Active Directory. Ad esempio, se il nome di dominio è contoso.com, l'URL è:For example, if your domain name is contoso.com, the URL is as follows:

https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/contoso.com

È possibile comunicare questo URL agli utenti in diversi modi.There are many different ways to communicate this URL to your users. Un metodo consigliato, ad esempio, consiste nel pubblicare l'URL in un messaggio personalizzato di accesso all'applicazione negato in AD FS.For example, one method we recommend is publishing this URL in a custom application access-denied message in AD FS. Queste informazioni sono descritte nella sezione seguente: Creare un criterio di accesso alle applicazioni e un messaggio di accesso negato personalizzato.This information is covered in the upcoming section Create an application access policy and custom access-denied message.

Aggiungere un dispositivo Windows 8.1 con Registrazione dispositivo di Azure Active DirectoryJoin a Windows 8.1 device by using Azure Active Directory device registration

  1. Nel dispositivo Windows 8.1 selezionare Impostazioni PC > Rete > Area di lavoro.On your Windows 8.1 device, select PC Settings > Network > Workplace.
  2. Immettere il proprio nome utente in formato UPN, ad esempio dan@contoso.com.Enter your user name in UPN format; for example, dan@contoso.com.
  3. Selezionare Aggiungi.Select Join.
  4. Quando richiesto, accedere con le proprie credenziali.When prompted, sign in with your credentials. Il dispositivo ora è aggiunto.The device is now joined.

Aggiungere un dispositivo Windows 7 con Registrazione dispositivo di Azure Active DirectoryJoin a Windows 7 device by using Azure Active Directory device registration

Per registrare dispositivi Windows 7 aggiunti a un dominio, è necessario distribuire il pacchetto software di registrazione dispositivo.To register Windows 7 domain-joined devices, you need to deploy the device registration software package.

Per istruzioni su come usare il pacchetto, vedere Pacchetti di Windows Installer per i computer non Windows 10.For instructions about how to use the package, see Windows Installer packages for non-Windows 10 computers.

Verificare che venga eseguito il writeback dei dispositivi registrati in Active DirectoryVerify that registered devices are written back to Active Directory

È possibile verificare che sia stato eseguito il writeback degli oggetti dispositivo in Active Directory usando LDP.exe o ADSI Edit.You can view and verify that your device objects have been written back to your Active Directory by using LDP.exe or ADSI Edit. Entrambi sono disponibili con gli strumenti dell'amministratore di Active Directory.Both are available with the Active Directory administrator tools.

Per impostazione predefinita, gli oggetti dispositivo di cui viene eseguito il writeback da Azure Active Directory vengono inseriti nello stesso dominio della farm AD FS.By default, device objects that are written back from Azure Active Directory are placed in the same domain as your AD FS farm.

CN=RegisteredDevices,defaultNamingContext

Creare un criterio di accesso alle applicazioni e un messaggio di accesso negato personalizzatoCreate an application access policy and custom access-denied message

Considerare lo scenario seguente: si crea un trust della relying party per l'applicazione in AD FS e si configura una regola di autorizzazione rilascio che consente solo dispositivi registrati.Consider the following scenario: You create an application Relying Party Trust in AD FS and configure an Issuance Authorization Rule that allows only registered devices. Ora solo i dispositivi registrati possono accedere all'applicazione.Now only devices that are registered are allowed to access the application.

Per semplificare l'accesso degli utenti all'applicazione, configurare un messaggio di accesso negato personalizzato che include istruzioni su come aggiungere il dispositivo dell'utente.To make it easy for your users to gain access to the application, you configure a custom access-denied message that includes instructions for how to join their device. A questo punto per gli utenti è più facile registrare i propri dispositivi per accedere a un'applicazione.Now your users have a seamless way to register their devices so they can access an application.

Nei passaggi seguenti viene illustrato come implementare questo scenario.The following steps show you how to implement this scenario.

Nota

Questa sezione presuppone che sia già stato configurato un trust della relying party per l'applicazione in AD FS.This section assumes that you have already configured a Relying Party Trust for your application in AD FS.

  1. Aprire lo strumento MMC di AD FS e selezionare AD FS > Relazioni di trust > Attendibilità componente.Open the AD FS MMC tool, and then select AD FS > Trust Relationships > Relying Party Trusts.
  2. Individuare l'applicazione a cui applicare questa nuova regola di accesso.Locate the application to which this new access rule applies. Fare clic con il pulsante destro del mouse sull'applicazione e selezionare Modifica regole attestazione.Right-click the application, and then select Edit Claim Rules.
  3. Selezionare la scheda Regole di autorizzazione rilascio e quindi selezionare Aggiungi regola.Select the Issuance Authorization Rules tab, and then select Add Rule.
  4. Nell'elenco a discesa Modello di regola attestazione selezionare Consentire o negare l'accesso agli utenti in base a un'attestazione in ingresso.From the Claim rule template drop-down list, select Permit or Deny Users Based on an Incoming Claim. Quindi selezionare Avanti.Then select Next.
  5. Nel campo Nome regola attestazione digitare Consenti accesso dai dispositivi registrati.In the Claim rule name field, type Permit access from registered devices.
  6. Nell'elenco a discesa Tipo di attestazione in ingresso selezionare È un utente registrato.From the Incoming claim type drop-down list, select Is Registered User.
  7. Digitare true nel campo Valore attestazione in ingresso.In the Incoming claim value field, type true.
  8. Selezionare il pulsante di opzione Consenti accesso agli utenti con questa attestazione in ingresso .Select the Permit access to users with this incoming claim radio button.
  9. Selezionare Fine e quindi Applica.Select Finish, and then select Apply.
  10. Rimuovere eventuali regole più permissive di quella creata.Remove any rules that are more permissive than the rule you created. Ad esempio, rimuovere la regola predefinita Consenti accesso a tutti gli utenti .For example, remove the default rule Permit Access to all Users.

L'applicazione ora è configurata per consentire l'accesso solo quando l'utente opera da un dispositivo registrato e aggiunto all'area di lavoro.Your application is now configured to allow access only when the user is coming from a device that they registered and joined to the workplace. Per i criteri di accesso più avanzati, vedere l'articolo relativo alla gestione dei rischi con autenticazione a più fattori aggiuntiva per le applicazioni sensibili.For more advanced access polices, see Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications.

Configurare quindi un messaggio di errore personalizzato per l'applicazione.Next, you configure a custom error message for your application. Tale messaggio indica agli utenti che devono aggiungere il proprio dispositivo all'area di lavoro per poter accedere all'applicazione.The error message lets users know that they must join their device to the workplace before they can access the application. È possibile creare un messaggio personalizzato di accesso all'applicazione negato usando codice HTML personalizzato e PowerShell.You can create a custom application access-denied message by using custom HTML and PowerShell.

Nel server federativo aprire una finestra di comando di PowerShell e digitare il comando seguente.On your federation server, open a PowerShell command window, and then type the following command. Sostituire alcune parti del comando con gli elementi specifici del proprio sistema:Replace portions of the command with items that are specific to your system:

Set-AdfsRelyingPartyWebContent -Name "relying party trust name" -ErrorPageAuthorizationErrorMessage

Prima di poter accedere all'applicazione, è necessario registrare il dispositivo.You must register your device before you can access this application.

Se si usa un dispositivo iOS, selezionare questo collegamento per accedere al dispositivo:If you are using an iOS device, select this link to join your device:

a href='https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/yourdomain.com

Aggiungere questo dispositivo iOS alla propria area di lavoro.Join this iOS device to your workplace.

Se si usa un dispositivo Windows 8.1, è possibile aggiungere il dispositivo selezionando Impostazioni PC > Rete > Area di lavoro.If you are using a Windows 8.1 device, you can join your device by selecting PC Settings> Network > Workplace.

Nei comandi precedenti relying party trust name è il nome dell'oggetto trust della relying party dell'applicazione in AD FS.In the preceding commands, relying party trust name is the name of your application's Relying Party Trust object in AD FS. E yourdomain.com è il nome di dominio configurato con Azure Active Directory, ad esempio contoso.com.And yourdomain.com is the domain name that you have configured with Azure Active Directory (for example, contoso.com). Assicurarsi di rimuovere le eventuali interruzioni di riga presenti nel contenuto HTML passato al cmdlet Set-AdfsRelyingPartyWebContent .Be sure to remove any line breaks (if any) from the HTML content that you pass to the Set-AdfsRelyingPartyWebContent cmdlet.

A questo punto, quando gli utenti accedono all'applicazione da un dispositivo non registrato nel servizio Registrazione dispositivo di Azure Active Directory, verrà visualizzato un errore.Now when users access your application from a device that's not registered with the Azure Active Directory device registration service, they see an error.