Accesso condizionale basato su app con IntuneApp-based conditional access with Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

I criteri di protezione delle app di Intune consentono di proteggere i dati aziendali sui dispositivi registrati in Intune.Intune app protection policies help protect your company data on devices that are enrolled into Intune. I criteri di protezione delle app possono essere usati anche nei dispositivi di proprietà dei dipendenti non registrati per la gestione in Intune.You can also use app protection policies on employee owned devices that are not enrolled for management in Intune. In questo caso, anche se il dispositivo non viene gestito dall'azienda, è comunque necessario assicurarsi che i dati e le risorse aziendali siano protetti.In this case, even though your company doesn't manage the device, you still need to make sure that company data and resources are protected.

L'accesso condizionale basato su app e la gestione delle app per dispositivi mobili consentono di aggiungere un livello di sicurezza, garantendo che solo le app per dispositivi mobili che supportano i criteri di protezione delle app di Intune possano accedere a Exchange Online e ad altri servizi di Office 365.App-based conditional access and mobile app management add a security layer by making sure only mobile apps that support Intune app protection policies can access Exchange online and other Office 365 services.

Nota

Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e che può essere gestita da Intune.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

Consentendo solo all'app Microsoft Outlook di accedere a Exchange Online, è possibile bloccare le app di posta elettronica predefinite in iOS e Android.You can block the built-in mail apps on iOS and Android when you allow only the Microsoft Outlook app to access Exchange Online. È inoltre possibile impedire di accedere a SharePoint Online alle app a cui non sono applicati criteri di protezione delle app di Intune.Additionally, you can block apps that don’t have Intune app protection policies applied from accessing SharePoint Online.

PrerequisitiPrerequisites

Prima di creare un criterio di accesso condizionale basato su app, sono necessari:Before you create an app-based conditional access policy, you must have:

  • Enterprise Mobility + Security (EMS) o una sottoscrizione Azure Active Directory (AD) PremiumEnterprise Mobility + Security (EMS) or an Azure Active Directory (AD) Premium subscription
  • Gli utenti devono avere la licenza per EMS o Azure ADUsers must be licensed for EMS or Azure AD

Per altre informazioni, vedere i prezzi di Enterprise Mobility o i prezzi di Azure Active Directory.For more information, see Enterprise Mobility pricing or Azure Active Directory pricing.

App supportateSupported apps

  • Exchange Online:Exchange Online:
    • Microsoft Outlook per Android e iOS.Microsoft Outlook for Android and iOS.
  • SharePoint OnlineSharePoint Online
    • Microsoft Word per iOS e AndroidMicrosoft Word for iOS and Android
    • Microsoft Excel per iOS e AndroidMicrosoft Excel for iOS and Android
    • Microsoft PowerPoint per iOS e AndroidMicrosoft PowerPoint for iOS and Android
    • Microsoft OneDrive for Business per iOS e AndroidMicrosoft OneDrive for Business for iOS and Android
    • Microsoft OneNote per iOSMicrosoft OneNote for iOS
  • Microsoft TeamsMicrosoft Teams

L'accesso condizionale basato su app supporta anche le app line-of-business (LOB), ma queste app devono usare l'autenticazione moderna di Office 365.App-based conditional access also supports line-of-business (LOB) apps, but these apps need to use Office 365 modern authentication.

Funzionamento dell'accesso condizionale basato su appHow app-based conditional access works

In questo esempio, l'amministratore ha applicato criteri di protezione delle app all'app Outlook, seguiti da una regola di accesso condizionale che aggiunge l'app Outlook a un elenco approvato di app che possono essere usate per l'accesso alla posta elettronica aziendale.In this example, the admin has applied app protection policies to the Outlook app followed by a conditional access rule that adds the Outlook app to an approved list of apps that can be used when accessing corporate e-mail.

Nota

Per le altre app gestite è possibile usare la struttura del diagramma di flusso riportata di seguito.The flowchart structure below can be used for other managed apps.

Diagramma di flusso dell'accesso condizionale basato su app con Intune

  1. L'utente tenta di eseguire l'autenticazione in Azure AD dall'app Outlook.The user tries to authenticate to Azure AD from the Outlook app.

  2. L'utente viene reindirizzato all'App Store per installare un'app broker quando tenta di eseguire l'autenticazione per la prima volta.The user gets redirected to the app store to install a broker app when trying to authenticate for the first time. L'app broker può essere Microsoft Authenticator per iOS o il Portale aziendale Microsoft per i dispositivi Android.The broker app can be either the Microsoft Authenticator for iOS, or the Microsoft Company portal for Android devices.

    Se gli utenti tentano di usare un'app di posta elettronica nativa, vengono reindirizzati all'App Store per installare l'app Outlook.If users try to use a native e-mail app, they’ll be redirected to the app store to then install the Outlook app.

  3. L'app broker viene installata nel dispositivo.The broker app gets installed on the device.

  4. L'app broker avvia il processo di registrazione di Azure AD, che crea un record di dispositivo in Azure AD.The broker app starts the Azure AD registration process which creates a device record in Azure AD. Si tratta di un processo diverso dalla registrazione per la gestione di dispositivi mobili (MDM), ma questo record è necessario per applicare i criteri di accesso condizionale nel dispositivo.This is not the same as the mobile device management (MDM) enrollment process, but this record is necessary so the conditional access policies can be enforced on the device.

  5. L'app broker verifica l'identità dell'app.The broker app verifies the identity of the app. È presente un livello di sicurezza, in modo che l'app broker possa verificare se l'app è autorizzata per l'uso da parte dell'utente.There’s a security layer so the broker app can validate if the app is authorized to be used by the user.

  6. L'app broker invia l'ID client dell'app ad Azure AD nell'ambito del processo di autenticazione utente per verificare se è incluso nell'elenco dei criteri approvati.The broker app sends the App Client ID to Azure AD as part of the user authentication process to check if it’s in the policy approved list.

  7. Azure AD consente all'utente di eseguire l'autenticazione e di usare l'app in base all'elenco dei criteri approvati.Azure AD allows the user to authenticate and use the app based on the policy approved list. Se l'app non è presente nell'elenco, Azure AD nega l'accesso all'app.If the app is not on the list, Azure AD denies access to the app.

  8. L'app Outlook comunica con il servizio cloud di Outlook per avviare la comunicazione con Exchange Online.The Outlook app communicates with Outlook Cloud Service to initiate communication with Exchange Online.

  9. Il servizio cloud di Outlook comunica con Azure AD per recuperare i token di accesso del servizio Exchange Online per l'utente.Outlook Cloud Service communicates with Azure AD to retrieve Exchange Online service access token for the user.

  10. L'app Outlook comunica con Exchange Online per recuperare la posta elettronica aziendale dell'utente.The Outlook app communicates with Exchange Online to retrieve the user's corporate e-mail.

  11. La posta elettronica aziendale viene recapitata nella cassetta postale dell'utente.Corporate e-mail is delivered to the user's mailbox.

Passaggi successiviNext steps

Creare criteri di accesso condizionale basato su appCreate an app-based conditional access policy

Bloccare le app che non usano l'autenticazione modernaBlock apps that do not have modern authentication