Accesso condizionale: richiedere app client approvate o criteri di protezione delle app

Gli utenti usano spesso i dispositivi mobili sia per le attività personali che per quelle di lavoro. Assicurandosi che il personale possa essere produttivo, le organizzazioni vogliono anche impedire la perdita di dati dalle applicazioni nei dispositivi che potrebbero non gestire completamente.

Con l'accesso condizionale, le organizzazioni possono limitare l'accesso alle app client approvate (con funzionalità di autenticazione moderna) con criteri di protezione delle app Intune. Per le app client meno recenti che potrebbero non supportare i criteri di protezione delle app, gli amministratori possono limitare l'accesso alle app client approvate.

Avviso

Protezione di app criteri sono supportati solo in iOS e Android.

Non tutte le applicazioni supportate come applicazioni approvate o supportano i criteri di protezione delle applicazioni. Per un elenco di alcune app client comuni, vedere Protezione di app requisito dei criteri. Se l'applicazione non è elencata, contattare lo sviluppatore dell'applicazione.

Per richiedere app client approvate per dispositivi iOS e Android, è necessario registrare prima i dispositivi in Azure AD.

Nota

"Richiedi uno dei controlli selezionati" in controlli di concessione è simile a una clausola OR. Questo viene usato nei criteri per consentire agli utenti di usare app che supportano i criteri Richiedi protezione app o Richiedi controlli di concessione dell'app client approvati . Richiedi criteri di protezione delle app vengono applicati quando l'app supporta il controllo di concessione.

Per altre informazioni sui vantaggi dell'uso dei criteri di protezione delle app, vedere l'articolo Protezione di app panoramica dei criteri.

Creare criteri di accesso condizionale

I criteri seguenti vengono inseriti in modalità solo report per avviare in modo che gli amministratori possano determinare l'impatto che avranno sugli utenti esistenti. Quando gli amministratori sono sicuri che i criteri si applicano in base alle loro intenzioni, possono passare a Attiva o fase della distribuzione aggiungendo gruppi specifici ed esclusi altri.

Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili

La procedura seguente consente di creare criteri di accesso condizionale che richiedono un'app client approvata o un criterio di protezione delle app quando si usa un dispositivo iOS/iPadOS o Android. Questo criterio impedirà anche l'uso dei client Exchange ActiveSync usando l'autenticazione di base nei dispositivi mobili. Questo criterio funziona in combinazione con un criterio di protezione delle app creato in Microsoft Intune.

Le organizzazioni possono scegliere di distribuire questo criterio usando i passaggi descritti di seguito o usando i modelli di accesso condizionale (anteprima).

  1. Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.
  2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti e gruppi.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi ed escludere almeno un account per impedire il blocco. Se non si escludono account, non è possibile creare i criteri.
    3. Selezionare Operazione completata.
  6. In App Cloud o azioni selezionare Tutte le app Cloud.
  7. In Condizioni>PiattaformeDevice impostare Configura su .
    1. In Includiselezionare le piattaforme del dispositivo.
    2. Scegliere Android e iOS
    3. Selezionare Fine.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi app client approvata e Richiedi criteri di protezione delle app
    2. Per più controlli selezionare Richiedi uno dei controlli selezionati
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo aver confermato le impostazioni usando la modalità di solo report, un amministratore può spostare l'opzione Abilita criterio solo da Report a Attiva.

Bloccare Exchange ActiveSync in tutti i dispositivi

Questo criterio impedisce a tutti i client di Exchange ActiveSync di connettersi all'Exchange Online.

  1. Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell'accesso condizionale.
  2. Passare ad Azure Active Directory>Sicurezza>Accesso condizionale.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti e gruppi.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi ed escludere almeno un account per impedire il blocco. Se non si escludono account, non è possibile creare i criteri.
    3. Selezionare Fine.
  6. In App o azioni cloudselezionare Seleziona app.
    1. Selezionare Office 365 Exchange Online.
    2. Scegliere Seleziona.
  7. In Condizioni>AppClient impostare Configura su .
    1. Deselezionare tutte le opzioni tranne i client Exchange ActiveSync.
    2. Selezionare Fine.
  8. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi criteri di protezione delle app
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo aver confermato le impostazioni usando la modalità di solo report, un amministratore può spostare l'opzione Abilita criterio solo da Report a Attiva.

Passaggi successivi

Panoramica dei criteri di protezione app

Criteri comuni di accesso condizionale

Simulare il comportamento di accesso usando lo strumento What If per l'accesso condizionale