Come creare e assegnare un criterio di accesso condizionale per Exchange locale ed Exchange Online dedicato legacy in Microsoft IntuneHow to create and assign a conditional access policy for Exchange on-premises and legacy Exchange Online Dedicated in Microsoft Intune

Si applica a: Intune in AzureApplies to: Intune on Azure
Serve documentazione su Intune nella console classica?Looking for documentation about Intune in the classic console? Fare clic qui.Go to here.

Questo argomento descrive il processo di configurazione dell'accesso condizionale per Exchange locale a seconda della conformità del dispositivo.This topic walks you through the process of configuring conditional access for Exchange on-premises based on device compliance.

Se si dispone di un ambiente Exchange Online dedicato ed è necessario definire se si trova nell'ambiente di configurazione nuovo o legacy, contattare l'account manager.If you have an Exchange Online Dedicated environment and need to find out whether it is in the new or the legacy configuration, please contact your account manager. Per controllare l'accesso alla posta elettronica per Exchange locale o per l'ambiente legacy Exchange Online dedicato, configurare l'accesso condizionale per Exchange locale in Intune.To control email access to Exchange on-premises or to your legacy Exchange Online Dedicated environment, configure conditional access to Exchange on-premises in Intune.

Prima di iniziareBefore you begin

Prima di configurare l'accesso condizionale, verificare quanto segue:Before you can configure conditional access, verify the following:

  • La versione di Exchange deve essere Exchange 2010 SP1 o successiva.Your Exchange version must be Exchange 2010 SP1 or later. È supportato un array del server Accesso client di Exchange Server.Exchange server Client Access Server (CAS) array is supported.

  • È necessario usare On-Premises Exchange Connector di Exchange Active che connette Intune a Exchange locale.You must use the Exchange Active Sync on-premises Exchange connector, which connects Intune to on-premises Exchange.

    Importante

    On-premises Exchange Connector è specifico del tenant di Intune e non può essere usato con un altro tenant.The on-premises Exchange connector is specific to your Intune tenant and cannot be used with any other tenant. È necessario anche assicurarsi che Exchange Connector per il tenant sia installato in un solo computer.You should also ensure that the exchange connector for your tenant is installed on only one machine.

  • Il connettore può essere installato in qualsiasi computer, purché sia in grado di comunicare con il server di Exchange.The connector can be installed on any machine as long as that machine is able to communicate with the Exchange server.

  • Questo connettore supporta l'ambiente CAS di Exchange.The connector supports Exchange CAS environment. Anche se è tecnicamente possibile, non è consigliabile installare il connettore direttamente nel server CAS di Exchange perché aumenta il carico sul server.You can technically install the connector on the Exchange CAS server directly if you wish to, but it is not recommended, as it will increase the load on the server. Quando si configura il connettore, è necessario configurarlo in modo che comunichi con uno dei server CAS di Exchange.When configuring the connector, you must set it up to communicate to one of the Exchange CAS servers.

  • È necessario configurare Exchange ActiveSync per l'autenticazione basata su certificati o l'immissione di credenziali utente.Exchange ActiveSync must be configured with certificate based authentication, or user credential entry.

  • Quando i criteri per l'accesso condizionale sono stati configurati e indirizzati a un utente, prima che un utente possa connettersi alla posta elettronica, il dispositivo in uso deve:When conditional access policies are configured and targeted to a user, before a user can connect to their email, the device they use must be:

    • Essere registrato con Intune o essere un PC aggiunto a un dominio.Either enrolled with Intune or is a domain joined PC.
    • Essere registrato in Azure Active Directory.Registered in Azure Active Directory. Inoltre, l'ID client Exchange ActiveSync deve essere registrato con Azure Active Directory.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.
  • Il servizio AAD DRS verrà attivato automaticamente per i clienti di Intune e Office 365.AAD DRS will be activated automatically for Intune and Office 365 customers. I clienti che hanno già distribuito il servizio di registrazione dei dispositivi di ADFS non visualizzeranno i dispositivi registrati in Active Directory locale.Customers who have already deployed the ADFS Device Registration Service will not see registered devices in their on-premises Active Directory. Ciò non si applica ai PC Windows e ai dispositivi Windows Phone.This does not apply to Windows PCs and Windows Phone devices.

  • Essere conforme ai criteri di conformità dei dispositivi distribuiti a quel dispositivo.Compliant with device compliance policies deployed to that device.

  • Se il dispositivo non soddisfa le impostazioni dei criteri di accesso condizionale, all'accesso l'utente visualizzerà uno dei messaggi seguenti:If the device does not meet conditional access settings, the user is presented with one of the following messages when they log in:

    • Se il dispositivo non è registrato con Intune oppure non è registrato in Azure Active Directory, viene visualizzato un messaggio contenente istruzioni su come installare l'app Portale aziendale, eseguire la registrazione e attivare la posta elettronica.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Questo processo associa anche l'ID Exchange ActiveSync del dispositivo con il record del dispositivo in Azure Active Directory.This process also associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.
    • Se il dispositivo non è conforme, viene visualizzato un messaggio che indirizza l'utente al sito Web del portale aziendale di Intune o all'app Portale aziendale dove sono disponibili informazioni sul problema e su come risolverlo.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website, or the Company Portal app where they can find information about the problem and how to remediate it.

Supporto per dispositivi mobiliSupport for mobile devices

  • Windows Phone 8.1 e versioni successiveWindows Phone 8.1 and later
  • App di posta elettronica nativa in iOSNative email app on iOS.
  • Client di posta EAS, ad esempio Gmail in Android 4 o versione successiva.EAS mail clients such as Gmail on Android 4 or later.
  • Client di posta EAS Dispositivi Android for Work: nei dispositivi Android for Work sono supportate solo le app Gmail e Nine Work nel profilo di lavoro.EAS mail clients Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Perché l'accesso condizionale funzioni in Android for Work, è necessario distribuire un profilo di posta elettronica per l'app Gmail o Nine Work. È anche necessario distribuire tali applicazioni come installazioni obbligatorie.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required install.
Nota

L'app Microsoft Outlook per Android e iOS non è supportata.Microsoft Outlook app for Android and iOS is not supported. L'implementazione di Android for Work nei tenant Intune verrà completata nei prossimi mesi.Android for Work is currently being rolled out across Intune tenants over the next few months.

Supporto per PCSupport for PCs

L'applicazione Mail nativa in Windows 8.1 e versioni successive (se registrata con Intune)The native Mail application on Windows 8.1 and later (when enrolled with Intune)

Configurare l'accesso locale a ExchangeConfigure Exchange on-premises access

  1. Andare nel portale di Azure e accedere con le credenziali di Intune.Go to the Azure portal, and sign in with your Intune credentials.

  2. Dopo l'accesso viene visualizzato il dashboard di Azure.After you've successfully signed in, you see the Azure Dashboard.

  3. Scegliere Altri servizi dal menu a sinistra e quindi digitare Intune nel filtro della casella di testo.Choose More services from the left menu, then type Intune in the text box filter.

  4. Scegliere Intune. Verrà visualizzato il dashboard di Intune.Choose Intune, you see the Intune Dashboard.

  5. Scegliere Accesso locale, quindi scegliereChoose On-Premise Access, then choose

  6. Il pannello Locale visualizza lo stato dei criteri di accesso condizionale e i dispositivi da esso interessati.The On-premises blade shows the status of the conditional access policy and the devices that are affected by it.

  7. In Gestisci scegliere Accesso locale a Exchange.Under Manage, choose Exchange on-premises access.

  8. Nel pannello Accesso locale a Exchange scegliere per consentire il controllo dell'accesso locale a Exchange.On the Exchange on-premises access blade, choose Yes to enable Exchange on-premises access control.

    Nota

    Se Exchange Active Sync on-premises connector non è stato configurato, questa opzione sarà disabilitata.If you have not configured the Exchange Active Sync on-premises connector, this option will be disabled. È innanzitutto necessario installare e configurare il connettore prima di abilitare l'accesso condizionale a Exchange locale.You must first install and configure this connector before enabling conditional access for Exchange on-premises. Per altri dettagli, vedere Installare Intune On-premises Exchange ConnectorFor more details, see Install the Intune On-premises Exchange Connector

  9. In Assegnazione scegliere Gruppi inclusi.Under Assignment, choose Groups Included. Usare il gruppo di utenti di sicurezza a cui applicare l'accesso condizionale.Use the security user group that should have conditional access applied to it. Ciò richiede agli utenti di registrare i propri dispositivi in Intune e renderli conformi ai profili di conformità.This would require the users to enroll their devices in Intune and be compliant with the compliance profiles.

  10. Se si desidera escludere un determinato gruppo di utenti, è possibile farlo scegliendo Gruppi esclusi e selezionando un gruppo di utenti da escludere dalla richiesta di registrazione del dispositivo e conformità.If you want to exclude a certain groups of users, you can do so by choosing Groups Excluded and selecting a user group that you want to be exempt from requiring device enrollment and compliance.

  11. In impostazioni scegliere Notifiche utente per modificare il messaggio di posta elettronica predefinito.Under Settings, choose User notifications to modify the default email message. Questo messaggio viene inviato agli utenti se il dispositivo non è conforme e desiderano accedere a Exchange locale.This message is sent to users if their device is not compliant and they want to access Exchange on-premises. Il modello di messaggio usa il linguaggio di markup.The message template uses Markup language. Durante la digitazione, viene anche visualizzata l'anteprima dell'aspetto del messaggio.You will also see the preview of how the message looks as you type.

    Suggerimento

    Per altre informazioni sul linguaggio di markup, vedere questo articolo di Wikipedia.To learn more about Markup language see this Wikipedia article.

  12. Nel pannello Advanced Exchange Active Sync access settings (Impostazioni di accesso a Exchange Active Sync avanzate) impostare la regola predefinita globale per l'accesso da dispositivi non gestiti da Intune e per le regole a livello di piattaforma come descritto nei prossimi due passaggi.On the Advanced Exchange Active Sync access settings blade, set the global default rule for access from devices that are not managed by Intune, and for platform-level rules as described in the next two steps.

  13. Per un dispositivo non soggetto ad accesso condizionale e a nessun'altra regola, è possibile scegliere di consentire l'accesso a Exchange o bloccarlo.For a device that is not affected by conditional access or other rules, you can choose to allow it to access Exchange, or block it.

    • Quando si imposta questa opzione per consentire l'accesso, tutti i dispositivi saranno in grado di accedere immediatamente a Exchange locale.When you set this to allow access, all devices will be able to access Exchange on-premises immediately. I dispositivi che appartengono agli utenti nei Gruppi inclusi vengono bloccati se in un secondo momento sono ritenuti non conformi ai criteri di conformità o non registrati in Intune.Devices that belong to the users in the Groups Included, are blocked if they are subsequently evaluated as not compliant with the compliant policies or not enrolled in Intune.
    • Quando si imposta questa opzione per bloccare l'accesso, inizialmente viene bloccato l'accesso di tutti i dispositivi a Exchange locale.When you set this to block access, all devices will be immediately blocked from accessing Exchange on-premises initially. I dispositivi che appartengono agli utenti in Gruppi inclusi avranno l'accesso una volta che il dispositivo viene registrato in Intune e ritenuto conforme.Devices that belong to users in the Groups Included will get access once the device is enrolled in Intune and is evaluated as compliant. I dispositivi Android che non eseguono Samsung KNOX standard saranno sempre bloccati poiché non supportano questa impostazione.On Android devices that do not run Samsung KNOX standard will always be blocked as they do not support this setting.
  14. In Eccezioni della piattaforma del dispositivo scegliere Aggiungi per specificare le piattaforme.Under Device platform exceptions, choose Add to specify the platforms. Se l'opzione Accesso al dispositivo non gestito è impostata su Bloccato, i dispositivi conformi e registrati potranno accedere anche se è presente un'eccezione che blocca la piattaforma.If the unmanaged device access setting is set to blocked, devices that are enrolled and compliant will be allowed even if there is a platform exception to block. Scegliere OK per salvare le impostazioni.Choose Ok to save the settings.

  15. Nel pannello Locale fare clic su Salva per salvare il criterio di accesso condizionale.On the On-premises blade, click Save to save the conditional access policy.

Creare criteri di accesso condizionale di Azure AD in IntuneCreate Azure AD Conditional access policies in Intune

A partire dalla versione 1704 di Intune, gli amministratori possono creare criteri di accesso condizionale di Azure AD dal portale di Intune di Azure: una soluzione comoda che non richiede di spostarsi tra i carichi di lavoro Azure e Intune.Beginning with Intune 1704 release, admins can create Azure AD conditional access policies from the Intune Azure portal, which gives convenience so you don't need to switch between the Azure and Intune workloads.

Importante

È necessario avere una licenza di Azure AD Premium per creare criteri di accesso condizionale di Azure AD dal portale di Intune di Azure.You need to have an Azure AD Premium license to create Azure AD conditional access policies from the Intune Azure portal.

Per creare criteri di accesso condizionale di Azure ADTo create Azure AD conditional access policy

  1. Nel dashboard di Intune scegliere Accesso condizionale.In the Intune Dashboard, choose Conditional access.

  2. Nel dashboard Accesso condizionale scegliere Accesso condizionale in Azure Active Directory.In the Conditional access dashboard, choose Conditional access in Azure Active Directory.

  3. Scegliere Nuovo criterio per creare il nuovo criterio di accesso condizionale di Azure AD.Choose New policy to create your new Azure AD conditional access policy.

    Criteri di accesso condizionale di Azure AD

Vedere ancheSee also

Accesso condizionale in Azure Active DirectoryConditional Access in Azure Active Directory

Per inviare commenti e suggerimenti sul prodotto, visita la pagina Intune Feedback