Quali sono i controlli di accesso in Active Directory accesso condizionale di Azure?What are access controls in Azure Active Directory Conditional Access?

Con accesso condizionale di Azure Active Directory (Azure AD), è possibile controllare l'accesso agli utenti come autorizzato alle App cloud.With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users access your cloud apps. In un criterio di accesso condizionale si definisce la risposta ("fare questo") per il motivo per attivare i criteri ("quando accade questo").In a Conditional Access policy, you define the response ("do this") to the reason for triggering your policy ("when this happens").

Controllo

Nel contesto di accesso condizionale,In the context of Conditional Access,

  • "Quando accade questo" è la condizione."When this happens" is called conditions

  • "Fare questo" è il controllo di accesso."Then do this" is called access controls

La combinazione di un'istruzione della condizione con i controlli rappresenta un criterio di accesso condizionale.The combination of a condition statement with your controls represents a Conditional Access policy.

Controllo

Ogni controllo è un requisito che deve essere soddisfatto dalla persona o dal sistema che esegue l'accesso o una restrizione sulle operazioni che l'utente può eseguire dopo l'accesso.Each control is either a requirement that must be fulfilled by the person or system signing in, or a restriction on what the user can do after signing in.

Sono disponibili due tipi di controlli:There are two types of controls:

  • Controlli di concessione: per controllare l'accessoGrant controls - To gate access

  • Controlli di sessione: per limitare l'accesso all'interno di una sessioneSession controls - To restrict access within a session

In questo argomento illustra i diversi controlli che sono disponibili nell'accesso condizionale di Azure AD.This topic explains the various controls that are available in Azure AD Conditional Access.

Controlli di concessioneGrant controls

Con i controlli di concessione è possibile bloccare completamente l'accesso o concedere l'accesso con requisiti aggiuntivi selezionando i controlli desiderati.With grant controls, you can either block access altogether or allow access with additional requirements by selecting the desired controls. Per più controlli, è possibile:For multiple controls, you can require:

  • Richiedere che tutti i controlli selezionati siano soddisfatti (AND)All selected controls to be fulfilled (AND)
  • Richiedere che un solo controllo selezionato sia soddisfatto (OR)One selected control to be fulfilled (OR)

Controllo

Autenticazione a più fattoriMulti-factor authentication

È possibile usare questo controllo per richiedere l'autenticazione a più fattori per l'accesso all'app cloud specificata.You can use this control to require multi-factor authentication to access the specified cloud app. Questo controllo supporta i provider di autenticazione a più fattori seguenti:This control supports the following multi-factor providers:

  • Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication

  • Un provider di autenticazione a più fattori locale, in combinazione con Active Directory Federation Services (AD FS)An on-premises multi-factor authentication provider, combined with Active Directory Federation Services (AD FS).

L'uso dell'autenticazione a più fattori assicura la protezione delle risorse nel caso in cui un utente non autorizzato abbia avuto accesso alle credenziali primarie di un utente valido.Using multi-factor authentication helps protect resources from being accessed by an unauthorized user who might have gained access to the primary credentials of a valid user.

Dispositivo conformeCompliant device

È possibile configurare criteri di accesso condizionale basato su dispositivo.You can configure Conditional Access policies that are device-based. L'obiettivo di un criterio di accesso condizionale basato su dispositivo consiste nel concedere l'accesso solo alle App cloud selezionate da i dispositivi gestiti.The objective of a device-based Conditional Access policy is to only grant access to the selected cloud apps from managed devices. Una delle opzioni disponibili per limitare l'accesso ai dispositivi gestiti consiste nel richiedere che un dispositivo sia contrassegnato come conforme.Requiring a device to be marked as compliant is one option you have to limit access to managed devices. Un dispositivo può essere contrassegnato come conforme da Intune (per qualsiasi sistema operativo del dispositivo) o dal sistema MDM di terze parti per i dispositivi Windows 10.A device can be marked as compliant by Intune (for any device OS) or by your third-party MDM system for Windows 10 devices. I sistemi MDM di terze parti per sistemi operativi per dispositivo diversi da Windows 10 non sono supportati.Third-party MDM systems for device OS types other than Windows 10 are not supported.

Il dispositivo deve essere registrato in Azure AD prima che possa essere contrassegnato come conforme.Your device needs to be registered to Azure AD before it can be marked as compliant. Per registrare un dispositivo, sono disponibili tre opzioni:To register a device, you have three options:

Per altre informazioni, vedere come richiedere i dispositivi gestiti per accedere all'app cloud con l'accesso condizionale.For more information, see how to require managed devices for cloud app access with Conditional Access.

Dispositivo aggiunto all'identità ibrida di Azure ADHybrid Azure AD joined device

Richiedere un ibrido dispositivo aggiunto AD Azure è un'altra opzione che è necessario configurare i criteri di accesso condizionale basato su dispositivo.Requiring a Hybrid Azure AD joined device is another option you have to configure device-based Conditional Access policies. Questo requisito si riferisce a tablet aziendali, laptop e desktop di Windows aggiunti ad Active Directory locale.This requirement refers to Windows desktops, laptops, and enterprise tablets that are joined to an on-premises Active Directory. Se questa opzione è selezionata, i criteri di accesso condizionale consentono l'accesso tramite dispositivi aggiunti ad Active Directory in locale e Azure Active Directory.If this option is selected, your Conditional Access policy grants access to access attempts made with devices that are joined to your on-premises Active Directory and your Azure Active Directory.

Per altre informazioni, vedere impostare i criteri di accesso condizionale basato su dispositivo di Azure Active Directory.For more information, see set up Azure Active Directory device-based Conditional Access policies.

App client approvataApproved client app

Poiché i dipendenti di un'azienda usano i dispositivi mobili per attività sia lavorative che personali, può essere utile avere la possibilità di proteggere i dati aziendali accessibili da dispositivi anche nel caso in cui vengano gestiti da altri utenti.Because your employees use mobile devices for both personal and work tasks, you might want to have the ability to protect company data accessed using devices even in the case where they are not managed by you. È possibile usare i criteri di protezione delle app di Intune per proteggere i dati aziendali indipendentemente dalla soluzione di gestione dei dispositivi mobili (MDM).You can use Intune app protection policies to help protect your company’s data independent of any mobile-device management (MDM) solution.

Con le app client approvate, è possibile richiedere a un'app client che prova ad accedere alle app cloud di supportare i criteri di protezione delle app di Intune.With approved client apps, you can require a client app that attempts to access your cloud apps to support Intune app protection policies. È possibile, ad esempio, limitare l'accesso a Exchange Online all'app Outlook.For example, you can restrict access to Exchange Online to the Outlook app. Sono noto anche come criteri di accesso condizionale che richiede che le app client approvata criteri di accesso condizionale basato su app.A Conditional Access policy that requires approved client apps is also known as app-based Conditional Access policy. Per un elenco di app client approvate supportate, vedere Requisito per le app client approvate.For a list of supported approved client apps, see approved client app requirement.

Criteri di protezione delle App (anteprima)App protection policy (preview)

Poiché i dipendenti di un'azienda usano i dispositivi mobili per attività sia lavorative che personali, può essere utile avere la possibilità di proteggere i dati aziendali accessibili da dispositivi anche nel caso in cui vengano gestiti da altri utenti.Because your employees use mobile devices for both personal and work tasks, you might want to have the ability to protect company data accessed using devices even in the case where they are not managed by you. È possibile usare i criteri di protezione delle app di Intune per proteggere i dati aziendali indipendentemente dalla soluzione di gestione dei dispositivi mobili (MDM).You can use Intune app protection policies to help protect your company’s data independent of any mobile-device management (MDM) solution.

Con i criteri di protezione delle app, è possibile limitare l'accesso alle applicazioni client che hanno segnalato ad Azure AD è invece disponibile dopo aver ricevuto criteri di protezione app di Intune.With app protection policy, you can limit access to client applications that have reported to Azure AD has having received Intune app protection policies. Ad esempio, è possibile limitare l'accesso a Exchange Online per l'app Outlook con criteri di protezione app di Intune.For example, you can restrict access to Exchange Online to the Outlook app that has an Intune app protection policy. Un criterio di accesso condizionale che richiede criteri di protezione delle app è noto anche come criteri di accesso condizionale basato su protezione delle app.A Conditional Access policy that requires app protection policy is also known as app protection-based Conditional Access policy.

Il dispositivo deve essere registrato in Azure AD prima di un'applicazione può essere contrassegnata come protetto da criteri.Your device must be registered to Azure AD before an application can be marked as policy protected.

Per un elenco dei criteri supportati di App client protetti, vedere requisito dei criteri di protezione app.For a list of supported policy protected client apps, see app protection policy requirement.

Condizioni per l'utilizzoTerms of use

È possibile richiedere a un utente nel tenant di accettare le condizioni per l'utilizzo prima di concedergli il permesso di accedere a una risorsa.You can require a user in your tenant to consent to the terms of use before being granted access to a resource. Gli amministratori possono configurare e personalizzare le condizioni per l'utilizzo caricando un documento PDF.As an administrator, you can configure and customize terms of use by uploading a PDF document. Se un utente rientra nell'ambito di questo controllo, gli viene concesso l'accesso a un'applicazione solo se ha accettato le condizioni per l'utilizzo.If a user falls in scope of this control access to an application is only granted if the terms of use have been agreed.

Controlli personalizzati (anteprima)Custom controls (preview)

È possibile aggiungere controlli personalizzati nell'accesso condizionale che reindirizza gli utenti a un servizio compatibile per soddisfare altri requisiti esterni ad Azure Active Directory.You can add custom controls in Conditional Access that redirect your users to a compatible service to satisfy further requirements outside of Azure Active Directory. In questo modo è possibile usare determinati provider di verifica e l'autenticazione a più fattori esterni per applicare i requisiti di accesso condizionale.This allows you to use certain external multi-factor authentication and verification providers to enforce Conditional Access requirements. Per soddisfare questo controllo, il browser dell'utente viene reindirizzato al servizio esterno, esegue le eventuali attività di autenticazione e convalida richieste e viene quindi reindirizzato ad Azure Active Directory.To satisfy this control, a user’s browser is redirected to the external service, performs any required authentication or validation activities, and is then redirected back to Azure Active Directory. Se l'utente è stato correttamente autenticato o convalidato, può proseguire nel flusso di accesso condizionale.If the user was successfully authenticated or validated, the user continues in the Conditional Access flow.

Controlli personalizzatiCustom controls

I controlli personalizzati sono una funzionalità dell'edizione Azure Active Directory Premium P1.Custom controls are a capability of the Azure Active Directory Premium P1 edition. Quando si usano i controlli personalizzati, gli utenti vengono reindirizzati a un servizio compatibile per soddisfare altri requisiti esterni ad Azure Active Directory.When using custom controls, your users are redirected to a compatible service to satisfy further requirements outside of Azure Active Directory. Per soddisfare questo controllo, il browser dell'utente viene reindirizzato al servizio esterno, esegue le eventuali attività di autenticazione e convalida richieste e viene quindi reindirizzato ad Azure Active Directory.To satisfy this control, a user’s browser is redirected to the external service, performs any required authentication or validation activities, and is then redirected back to Azure Active Directory. Azure Active Directory verifica la risposta e, se l'utente è stato correttamente autenticato o convalidato, può proseguire nel flusso di accesso condizionale.Azure Active Directory verifies the response and, if the user was successfully authenticated or validated, the user continues in the Conditional Access flow.

Questi controlli consentono l'uso di determinati servizi esterni o personalizzati come controlli di accesso condizionale e, in genere, estendono le funzionalità di accesso condizionale.These controls allow the use of certain external or custom services as Conditional Access controls, and generally extend the capabilities of Conditional Access.

Di seguito sono elencati i provider che attualmente offrono un servizio compatibile:Providers currently offering a compatible service include:

Per altre informazioni su questi servizi, contattare direttamente i provider.For more information on those services, contact the providers directly.

Creazione di controlli personalizzatiCreating custom controls

Per creare un controllo personalizzato, è opportuno prima contattare il provider a cui ci si vuole rivolgere.To create a custom control, you should first contact the provider that you wish to utilize. Ogni provider di Microsoft non ha un proprio processo e sui requisiti per l'iscrizione, la sottoscrizione o in caso contrario, diventano parte del servizio e per indicare che si vuole integrare con l'accesso condizionale.Each non-Microsoft provider has its own process and requirements to sign up, subscribe, or otherwise become a part of the service, and to indicate that you wish to integrate with Conditional Access. A questo punto, il provider fornirà un blocco di dati in formato JSON.At that point, the provider will provide you with a block of data in JSON format. Questi dati consente al provider e l'accesso condizionale interagire tra loro per il tenant, creare il nuovo controllo e definisce come l'accesso condizionale è possibile stabilire se gli utenti hanno eseguito correttamente la verifica con il provider.This data allows the provider and Conditional Access to work together for your tenant, creates the new control and defines how Conditional Access can tell if your users have successfully performed verification with the provider.

Impossibile utilizzare i controlli personalizzati con automazione di Identity Protection che richiedono l'autenticazione a più fattori o per elevare i privilegi dei ruoli in Privileged Identity Manager (PIM).Custom controls cannot be used with Identity Protection's automation requiring multi-factor authentication or to elevate roles in Privileged Identity Manager (PIM).

Copiare i dati JSON e incollarli nella casella di testo corrispondente.Copy the JSON data and then paste it into the related textbox. Non apportare modifiche ai dati JSON a meno di non aver compreso in modo esplicito la modifica che si sta apportando.Do not make any changes to the JSON unless you explicitly understand the change you’re making. L'introduzione di una modifica potrebbe interrompere la connessione tra il provider e Microsoft e potenzialmente bloccare gli utenti fuori dai rispettivi account.Making any change could break the connection between the provider and Microsoft and potentially lock you and your users out of your accounts.

L'opzione per creare un controllo personalizzato è nel Gestisci sezione il accesso condizionale pagina.The option to create a custom control is in the Manage section of the Conditional Access page.

Controllo

Facendo clic su Nuovo controllo personalizzato si apre un pannello con una casella di testo per i dati JSON relativi al controllo.Clicking New custom control, opens a blade with a textbox for the JSON data of your control.

Controllo

Eliminazione di controlli personalizzatiDeleting custom controls

Per eliminare un controllo personalizzato, è necessario assicurarsi che non è in uso in qualsiasi criterio di accesso condizionale.To delete a custom control, you must first ensure that it isn’t being used in any Conditional Access policy. Al termine della procedura:Once complete:

  1. Passare all'elenco di controlli personalizzatiGo to the Custom controls list

  2. Fare clic su ...Click …

  3. Selezionare Elimina.Select Delete.

Modifica di controlli personalizzatiEditing custom controls

Per modificare un controllo personalizzato, è necessario eliminare il controllo corrente e creare un nuovo controllo con le informazioni aggiornate.To edit a custom control, you must delete the current control and create a new control with the updated information.

Controlli di sessioneSession controls

I controlli di sessione consentono di limitare l'esperienza in un'app cloud.Session controls enable limited experience within a cloud app. Questi controlli sono imposti dalle app cloud e si basano sulle informazioni aggiuntive relative alla sessione fornite da Azure AD all'app.The session controls are enforced by cloud apps and rely on additional information provided by Azure AD to the app about the session.

Controllo

Usa restrizioni imposte dalle appUse app enforced restrictions

È possibile usare questo controllo per richiedere ad Azure AD di passare le informazioni sul dispositivo alle app cloud selezionate.You can use this control to require Azure AD to pass device information to the selected cloud apps. Le informazioni sul dispositivo consentono alle app cloud di sapere se una connessione viene avviata da un dispositivo conforme o aggiunto al dominio.The device information enables the cloud apps to know whether a connection is initiated from a compliant or domain-joined device. Questo controllo supporta solo SharePoint Online ed Exchange Online come app cloud selezionate.This control only supports SharePoint Online and Exchange Online as selected cloud apps. Una volta selezionata, l'app cloud usa le informazioni sul dispositivo per offrire agli utenti un'esperienza completa o limitata, a seconda dello stato del dispositivo.When selected, the cloud app uses the device information to provide users, depending on the device state, with a limited or full experience.

Per altre informazioni, vedere:To learn more, see:

Passaggi successiviNext steps