Accesso condizionale: condizioni

All'interno di un criterio di accesso condizionale, un amministratore può usare i segnali provenienti da condizioni come il rischio, la piattaforma del dispositivo o la posizione per migliorare le decisioni relative ai criteri.

Definire un criterio di accesso condizionale e specificare le condizioni

È possibile combinare più condizioni per creare criteri di accesso condizionale specifici e con granularità fine.

Ad esempio, quando si accede a un'applicazione sensibile, un amministratore può includere le informazioni sul rischio di accesso da Identity Protection e dalla posizione nella decisione di accesso oltre ad altri controlli, ad esempio l'autenticazione a più fattori.

Rischio di accesso

Per i clienti con accesso a Identity Protection,il rischio di accesso può essere valutato come parte dei criteri di accesso condizionale. Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità. Altre informazioni sul rischio di accesso sono disponibili negli articoli Che cos'è il rischio e Procedura: Configurare e abilitare i criteri di rischio.

Rischio utente

Per i clienti con accesso a Identity Protection,il rischio utente può essere valutato come parte dei criteri di accesso condizionale. Il rischio utente rappresenta la probabilità che un'identità o un account sia compromesso. Altre informazioni sul rischio utente sono disponibili negli articoli Che cos'è il rischio e Procedura: Configurare e abilitare i criteri di rischio.

Piattaforme per dispositivi

La piattaforma del dispositivo è caratterizzata dal sistema operativo in esecuzione in un dispositivo. Azure AD identifica la piattaforma usando le informazioni fornite dal dispositivo, ad esempio le stringhe agente utente. Poiché le stringhe agente utente possono essere modificate, queste informazioni non vengonoverificate. La piattaforma del dispositivo deve essere usata insieme Microsoft Intune criteri di conformità dei dispositivi o come parte di un'istruzione block. L'impostazione predefinita è applicabile a tutte le piattaforme per dispositivi.

Azure AD L'accesso condizionale supporta le piattaforme per dispositivi seguenti:

  • Android
  • iOS
  • Windows Phone
  • Windows
  • macOS

Se si blocca l'autenticazione legacy usando la condizione Altri client, è anche possibile impostare la condizione della piattaforma del dispositivo.

Importante

Microsoft consiglia di disporre di criteri di accesso condizionale per le piattaforme per dispositivi non supportate. Ad esempio, se si vuole bloccare l'accesso alle risorse aziendali da Linux o da qualsiasi altro client non supportato, è necessario configurare un criterio con una condizione Piattaforme del dispositivo che includa qualsiasi dispositivo ed escludi le piattaforme per dispositivi supportate e Concedi controllo impostato su Blocca l'accesso.

Percorsi

Quando si configura la località come condizione, le organizzazioni possono scegliere di includere o escludere le località. Queste località denominate possono includere le informazioni sulla rete IPv4 pubblica, il paese o l'area geografica o anche aree sconosciute che non sono mappate a paesi o aree specifiche. Solo gli intervalli IP possono essere contrassegnati come percorso attendibile.

Quando si include qualsiasi posizione, questa opzione include qualsiasi indirizzo IP su Internet non solo le località denominate configurate. Quando si seleziona qualsiasi percorso, gli amministratori possono scegliere di escludere tutti i percorsi attendibili o selezionati.

Ad esempio, alcune organizzazioni possono scegliere di non richiedere l'autenticazione a più fattori quando gli utenti sono connessi alla rete in una posizione attendibile, ad esempio la sede centrale fisica. Gli amministratori possono creare un criterio che include qualsiasi posizione, ma esclude le località selezionate per le reti della sede centrale.

Altre informazioni sulle località sono disponibili nell'articolo What is the location condition in Azure Active Directory Conditional Access ( Qual è la condizione della posizione in Accesso condizionale).

App client

Per impostazione predefinita, tutti i criteri di accesso condizionale appena creati verranno applicati a tutti i tipi di app client anche se la condizione delle app client non è configurata.

Nota

Il comportamento della condizione delle app client è stato aggiornato ad agosto 2020. Se si dispone di criteri di accesso condizionale esistenti, questi rimarranno invariati. Tuttavia, se si fa clic su un criterio esistente, l'interruttore configura è stato rimosso e vengono selezionate le app client a cui si applica il criterio.

Importante

Gli accessi dai client di autenticazione legacy non supportano l'autenticazione a più fattori e non passano le informazioni sullo stato del dispositivo a Azure AD, quindi verranno bloccati dai controlli di concessione dell'accesso condizionale, ad esempio la richiesta dell'autenticazione a più fattori o i dispositivi conformi. Se sono disponibili account che devono usare l'autenticazione legacy, è necessario escludere tali account dai criteri o configurare i criteri in modo che si applitino solo ai client di autenticazione moderni.

L'interruttore Configura se impostato su si applica agli elementi selezionati, quando è impostato su No si applica a tutte le app client, inclusi i client di autenticazione moderna e legacy. Questo interruttore non viene visualizzato nei criteri creati prima di agosto 2020.

  • Client di autenticazione moderna
    • Browser
      • Sono incluse applicazioni basate sul Web che usano protocolli come SAML, WS-Federation, OpenID Connessione o servizi registrati come client riservati OAuth.
    • App per dispositivi mobili e client desktop
      • Questa opzione include applicazioni come le Office per desktop e telefoni.
  • Client di autenticazione legacy
    • Client Exchange ActiveSync
      • Questa selezione include tutti gli usi del protocollo Exchange ActiveSync (EAS).
      • Quando il criterio blocca l'uso di Exchange ActiveSync l'utente interessato riceverà un singolo messaggio di posta elettronica di quarantena. Questo messaggio di posta elettronica contiene informazioni sul motivo per cui sono bloccati e, se possibile, include istruzioni di correzione.
      • Gli amministratori possono applicare i criteri solo alle piattaforme supportate (ad esempio iOS, Android e Windows) tramite l'API di accesso condizionale di Microsoft Graph.
    • Altri client
      • Questa opzione include i client che usano protocolli di autenticazione di base/legacy che non supportano l'autenticazione moderna.
        • SMTP autenticato: usato dai client POP e IMAP per inviare messaggi di posta elettronica.
        • Individuazione automatica: usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettervisi.
        • Exchange Online PowerShell: usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, è necessario usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connessione per Exchange Online PowerShell tramite l'autenticazione a più fattori.
        • Servizi Web Exchange: interfaccia di programmazione usata da Outlook, Outlook per Mac e app di terze parti.
        • IMAP4: usato dai client di posta elettronica IMAP.
        • MAPI su HTTP (MAPI/HTTP): usato da Outlook 2010 e versioni successive.
        • Rubrica offline: copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook.
        • Outlook via Internet (RPC su HTTP): usato da Outlook 2016 e versioni precedenti.
        • Servizio Outlook: usato dall'app di posta elettronica e di calendario per Windows 10.
        • POP3: usato dai client di posta elettronica POP.
        • Servizi Web per la creazione di report: funzionalità usata per recuperare i dati dei report in Exchange Online.

Queste condizioni vengono comunemente usate quando si richiede un dispositivo gestito, si blocca l'autenticazione legacy e si bloccano le applicazioni Web, ma si consentono le app desktop o per dispositivi mobili.

Browser supportati

Questa impostazione funziona con tutti i browser. Tuttavia, per soddisfare un criterio dei dispositivi, ad esempio un requisito di un dispositivo conforme, sono supportati i sistemi operativi e browser seguenti:

Sistema operativo Browser
Windows 10 Microsoft Edge, Internet Explorer, Chrome, Firefox 91+
Windows 8/8.1 Internet Explorer, Chrome
Windows 7 Internet Explorer, Chrome
iOS Microsoft Edge, Intune Managed Browser, Safari
Android Microsoft Edge, Intune Managed Browser, Chrome
Windows Phone Microsoft Edge, Internet Explorer
Windows Server 2019 Microsoft Edge, Internet Explorer, Chrome
Windows Server 2016 Internet Explorer
R2 per Windows Server 2012 Internet Explorer
Windows Server 2008 R2 Internet Explorer
macOS Microsoft Edge, Chrome, Safari

Questi browser supportano l'autenticazione del dispositivo, consentendo al dispositivo di essere identificato e convalidato rispetto a un criterio. Il controllo del dispositivo ha esito negativo se il browser è in esecuzione in modalità privata o se i cookie sono disabilitati.

Nota

Edge 85+ richiede che l'utente sia connesso al browser per passare correttamente l'identità del dispositivo. In caso contrario, si comporta come Chrome senza l'estensione account. Questo accesso potrebbe non verificarsi automaticamente in uno scenario di aggiunta Azure AD ibrida. Safari è supportato per l'accesso condizionale basato su dispositivo, ma non può soddisfare le condizioni dei criteri Richiedi app client approvate o Richiedi protezione app. Un browser gestito come Microsoft Edge soddisfa i requisiti approvati per i criteri di protezione delle app e delle app client.

Perché viene visualizzata una richiesta di certificato nel browser

In Windows 7, iOS, Android e macOS Azure AD identificano il dispositivo usando un certificato client di cui viene effettuato il provisioning quando il dispositivo viene registrato con Azure AD. Quando un utente accede per la prima volta tramite il browser, all'utente viene richiesto di selezionare il certificato. L'utente deve selezionare questo certificato prima di usare il browser.

Supporto di Chrome

Per il supporto di Chrome in Windows 10 Creators Update (versione 1703) o successiva, installare l'estensione Windows 10 Accounts. Questa estensione è necessaria quando i criteri di accesso condizionale richiedono dettagli specifici del dispositivo.

Per distribuire automaticamente questa estensione ai browser Chrome, creare la chiave del Registro di sistema seguente:

  • Percorso HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nome 1
  • Tipo REG_SZ (String)
  • Dati ppnbnpeolgkicgegkbkbjmhlideopiji;https : //clients2.google.com/service/update2/crx

Per il supporto di Chrome in Windows 8.1 e 7, creare la chiave del Registro di sistema seguente:

  • Percorso HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nome 1
  • Tipo REG_SZ (String)
  • Dati {"pattern":" https://device.login.microsoftonline.com ","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Applicazioni per dispositivi mobili e client desktop supportati

Le organizzazioni possono selezionare App per dispositivi mobili e client desktop come app client.

Questa impostazione interessa i tentativi di accesso eseguiti dalle app per dispositivi mobili e client desktop seguenti:

App client Servizio di destinazione Piattaforma
Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS e Android
App Posta/Calendario/Contatti, Outlook 2016, Outlook 2013 (con autenticazione moderna) Exchange Online Windows 10
MFA e criteri relativi alle applicazioni. I criteri basati su dispositivo non sono supportati. Qualsiasi servizio app Mie app Android e iOS
Microsoft Teams Servizi: questa app client controlla tutti i servizi che supportano Microsoft Teams e tutte le relative app client: Windows Desktop, iOS, Android, WP e client Web Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android e macOS
Office 2016, Office 2013 (con autenticazione moderna), sincronizzazione OneDrive client SharePoint Windows 8.1, Windows 7
Office 2016, app universali Office, Office 2013 (con autenticazione moderna), sincronizzazione OneDrive client SharePoint Online Windows 10
Office 2016 (solo Word, Excel, PowerPoint e OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
App Office per dispositivi mobili SharePoint Android, iOS
App Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office per macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (con l'autenticazione moderna), Skype for Business (con l'autenticazione moderna) Exchange Online Windows 8.1, Windows 7
App Outlook per dispositivi mobili Exchange Online Android, iOS
App Power BI Servizio Power BI Windows 10, Windows 8.1, Windows 7, Android e iOS
Skype for Business Exchange Online Android, iOS
App Visual Studio Team Services Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS e Android

Client Exchange ActiveSync

  • Le organizzazioni possono selezionare i Exchange ActiveSync solo quando si assegnano criteri a utenti o gruppi. Se si seleziona Tutti gli utenti , Tutti gli utenti guest ed esterni o Ruoli directory, tutti gli utenti saranno soggetti ai criteri.
  • Quando si crea un criterio assegnato Exchange ActiveSync client, Exchange Online deve essere l'unica applicazione cloud assegnata ai criteri.
  • Le organizzazioni possono limitare l'ambito di questo criterio a piattaforme specifiche usando la condizione Piattaforme del dispositivo.

Se il controllo di accesso assegnato ai criteri usa Richiedi app client approvata, l'utente viene indirizzato a installare e usare il client Outlook per dispositivi mobili. Nel caso in cui sia necessario multi-factor authentication, Condizioni per l'utilizzo o controlli personalizzati, gli utenti interessati vengono bloccati, perché l'autenticazione di base non supporta questi controlli.

Per altre informazioni, vedere gli articoli seguenti:

Altri client

Selezionando Altri client è possibile specificare una condizione che influisce sulle app che usano l'autenticazione di base con protocolli di posta elettronica come IMAP, MAPI, POP, SMTP e le app Office meno recenti che non usano l'autenticazione moderna.

Stato del dispositivo (anteprima)

Attenzione

Questa funzionalità di anteprima è deprecata. I clienti devono usare la condizione Filtro per i dispositivi nell'accesso condizionale per soddisfare gli scenari, ottenuti in precedenza usando la condizione di stato del dispositivo (anteprima).

La condizione di stato del dispositivo può essere usata per escludere i dispositivi aggiunti Azure AD ibridi e/o i dispositivi contrassegnati come conformi ai criteri di conformità Microsoft Intune dai criteri di accesso condizionale di un'organizzazione.

Ad esempio, Tutti gli utenti che accedono all'app cloud Microsoft Azure Management, inclusi Tutti lo stato del dispositivo, escluso Il dispositivo ibrido Azure AD aggiunto e Dispositivo contrassegnato come conforme e per i controlli di accesso , Blocca.

  • In questo esempio viene creato un criterio che consente l'accesso a Microsoft Azure Management solo da dispositivi aggiunti Azure AD ibridi o dispositivi contrassegnati come conformi.

Lo scenario precedente può essere configurato usando Tutti gli utenti che accedono all'app cloud di gestione di Microsoft Azure esclusa la condizione Filtro per i dispositivi con la regola seguente device.trustType -ne "ServerAD" -or device.isCompliant -ne True e per i controlli di accesso , Blocca.

  • In questo esempio viene creato un criterio che consente l'accesso a Microsoft Azure Management solo da dispositivi aggiunti Azure AD ibridi o dispositivi contrassegnati come conformi.

Importante

Lo stato del dispositivo e i filtri per i dispositivi non possono essere usati insieme nei criteri di accesso condizionale. I filtri per i dispositivi forniscono una destinazione più granulare, incluso il supporto per la destinazione delle informazioni sullo stato del dispositivo tramite trustType la isCompliant proprietà e .

Filtrare per i dispositivi

Esiste una nuova condizione facoltativa nell'accesso condizionale denominata filtro per i dispositivi. Quando si configura il filtro per i dispositivi come condizione, le organizzazioni possono scegliere di includere o escludere i dispositivi in base a un filtro usando un'espressione di regola nelle proprietà del dispositivo. L'espressione di regola per il filtro per i dispositivi può essere authored usando il generatore di regole o la sintassi della regola. Questa esperienza è simile a quella usata per le regole di appartenenza dinamica per i gruppi. Per altre informazioni, vedere l'articolo Accesso condizionale: Filtrare i dispositivi (anteprima).

Passaggi successivi