Modi comuni per usare l'accesso condizionale con IntuneCommon ways to use conditional access with Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

È necessario configurare i criteri di conformità dei dispositivi mobili di Intune e le funzionalità per la gestione di applicazioni mobili (MAM) di Intune per garantire la conformità dell'accesso condizionale ai requisiti dell'organizzazione.You need to configure Intune mobile device compliance policy, and the Intune mobile application management (MAM) capabilities to drive conditional access compliance at your organization. Di seguito sono descritti i modi più comuni per usare l'accesso condizionale con Intune.Let’s talk about the common ways to use conditional access with Intune.

Accesso condizionale basato sul dispositivoDevice-based conditional access

Intune e Azure Active Directory collaborano per assicurarsi che solo i dispositivi gestiti e conformi abbiano accesso alla posta elettronica, ai servizi di Office 365, alle app SaaS (Software as a Service) e alle app locali.Intune and Azure Active Directory work together to make sure only managed and compliant devices are allowed access to email, Office 365 services, Software as a service (SaaS) apps, and on-premises apps. È inoltre possibile impostare un criterio in Azure Active Directory per consentire l'accesso ai servizi di Office 365 solo ai computer che appartengono a un dominio o ai dispositivi mobili registrati in Intune.Additionally, you can set a policy in Azure Active Directory to only enable computers that are domain-joined, or mobile devices that are enrolled in Intune to access Office 365 services.

Intune offre funzionalità per i criteri di conformità dei dispositivi che consentono di valutare lo stato di conformità dei dispositivi.Intune provides device compliance policy capabilities that evaluate the compliance status of the devices. Lo stato di conformità viene segnalato ad Azure Active Directory, che lo usa per l'applicazione dei criteri di accesso condizionale creati in Azure Active Directory quando l'utente tenta di accedere alle risorse aziendali.The compliance status is reported to Azure Active Directory that uses it to enforce the conditional access policy created in Azure Active Directory when the user tries to access company resources.

Con l'introduzione del nuovo portale di Azure, i criteri di accesso condizionale basato su dispositivo per Exchange Online e gli altri prodotti di Office 365 sono configurati nel portale di Azure.Starting at the new Azure portal, device-based conditional access policies for Exchange online and other Office 365 products are configured through the Azure portal.

Accesso condizionale per Exchange localeConditional access for Exchange on-premises

L'accesso condizionale può essere usato per consentire o bloccare l'accesso a Exchange locale in base ai criteri di conformità e allo stato di registrazione dei dispositivi.Conditional access can be used to allow or block access to Exchange on-premises based on the device compliance policies and enrollment state. Quando l'accesso condizionale viene usato in combinazione con i criteri di conformità dei dispositivi, possono accedere a Exchange locale solo i dispositivi conformi.When conditional access is used in combination with a device compliance policy, only compliant devices are allowed access to Exchange on-premises.

È possibile configurare le impostazioni avanzate dell'accesso condizionale per un controllo più granulare, ad esempio:You can configure advanced settings in conditional access for more granular control such as:

  • Consentire o bloccare determinate piattaforme.Allow or block certain platforms.

  • Bloccare immediatamente i dispositivi non gestiti da Intune.Immediately block devices that are not managed by Intune.

Quando si applicano i criteri di accesso condizionale e di conformità dei dispositivi, viene verificata la conformità di qualsiasi dispositivo usato per accedere a Exchange locale.Any device used to access Exchange on-premises is checked for compliance when device compliance and conditional access policies are applied.

Se i dispositivi non soddisfano le condizioni previste, l'utente viene guidato nel processo di registrazione del dispositivo per la risoluzione del problema che rende il dispositivo non conforme.When devices do not meet the conditions set, the end user is guided through the process of enrolling the device to fix the issue that is making the device non-compliant.

Funzionamento dell'accesso condizionale per Exchange localeHow conditional access for Exchange on-premises works

Intune Exchange Connector effettua il pull di tutti i record di Exchange Active Sync (EAS) presenti nel server Exchange, per consentire a Intune di acquisire questi record EAS e associarli ai record dei dispositivi di Intune.The Intune Exchange connector pulls in all the Exchange Active Sync (EAS) records that exist at the Exchange server so Intune can take these EAS records and map them to Intune device records. Tali record sono i dispositivi registrati e riconosciuti da Intune.These records are devices enrolled and recognized by Intune. Questo processo consente o blocca l'accesso alla posta elettronica.This process allows or blocks e-mail access.

Se il record EAS è nuovo e Intune non lo riconosce, Intune invia un cmdlet che blocca l'accesso alla posta elettronica.If the EAS record is brand new, and Intune is not aware of it, Intune issues a command-let that blocks access to e-mail. Ecco altri dettagli sul funzionamento di questo processo:Here are more details on how this process works:

Diagramma di flusso di Exchange locale con autorità di certificazione

  1. L'utente tenta di accedere alla posta elettronica aziendale, ospitata in Exchange locale 2010 SP1 o versione successiva.User tries to access corporate e-mail, which is hosted on Exchange on-premises 2010 SP1 or later.

  2. Se il dispositivo non è gestito da Intune, l'accesso alla posta elettronica sarà bloccato.If the device is not managed by Intune, it will be blocked access to e-mail. Intune invia una notifica di blocco al client EAS.Intune sends block notification to the EAS client.

  3. EAS riceve la notifica di blocco, mette il dispositivo in quarantena e invia il messaggio di posta elettronica di quarantena con i passaggi correttivi che contengono collegamenti per consentire agli utenti di registrare i dispositivi.EAS receives block notification, moves the device to quarantine, and sends the quarantine e-mail with remediation steps that contain links so the users can enroll their devices.

  4. Viene eseguito il processo di aggiunta alla rete aziendale, ovvero il primo passaggio per la gestione del dispositivo tramite Intune.The Workplace join process happens, which is the first step to have the device managed by Intune.

  5. Il dispositivo viene registrato in Intune.The device gets enrolled into Intune.

  6. Intune associa il record EAS a un record di dispositivo e salva lo stato di conformità del dispositivo.Intune maps the EAS record to a device record, and saves the device compliance state.

  7. L'ID del client EAS viene registrato tramite il processo di registrazione del dispositivo di Azure AD, che crea una relazione tra il record del dispositivo di Intune e l'ID del client EAS.The EAS client ID gets registered by the Azure AD Device Registration process, which creates a relationship between the Intune device record, and the EAS client ID.

  8. La registrazione del dispositivo di Azure AD consente di salvare le informazioni sullo stato del dispositivo.The Azure AD Device Registration saves the device state information.

  9. Se l'utente soddisfa i criteri di accesso condizionale, Intune invia un cmdlet tramite Intune Exchange Connector che consente la sincronizzazione della cassetta postale.If the user meets the conditional access policies, Intune issues a command-let through the Intune Exchange connector that allows the mailbox to sync.

  10. Il server Exchange invia la notifica al client EAS, in modo che l'utente possa accedere alla posta elettronica.Exchange server sends the notification to EAS client so the user can access e-mail.

Qual è il ruolo di Intune?What’s the Intune role?

Intune valuta e gestisce lo stato del dispositivo.Intune evaluates and manage the device state.

Qual è il ruolo del server Exchange?What’s the Exchange server role?

Il server Exchange fornisce l'API e l'infrastruttura per mettere i dispositivi in quarantena.Exchange server provides API and infrastructure to move devices to its quarantine.

Importante

Tenere presente che l'utente che usa il dispositivo deve disporre di un profilo di conformità assegnato, in modo che venga valutata la conformità del dispositivo.Keep in mind that the user who’s using the device must have a compliance profile assigned to them so the device to be evaluated for compliance. Se all'utente non viene distribuito alcun criterio di conformità, il dispositivo viene considerato conforme e non vengono applicate restrizioni di accesso.If no compliance policy is deployed to the user, the device is treated as compliant and no access restrictions are applied.

Accesso condizionale basato sul controllo di accesso alla reteConditional access based on network access control

Intune è integrato con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per fornire controlli di accesso basati sulla registrazione di Intune e sullo stato di conformità del dispositivo.Intune integrated with partners like Cisco ISE, Aruba Clear Pass, and Citrix NetScaler to provide access controls based on the Intune enrollment and the device compliance state.

Quando gli utenti tentano di accedere alle risorse Wi-Fi o VPN aziendali, l'accesso può essere consentito o negato a seconda del fatto che il dispositivo sia gestito e conforme ai criteri di conformità dei dispositivi di Intune.Users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources based on whether the device is managed and compliant with Intune device compliance policies.

Accesso condizionale basato sul rischio di dispositivoConditional access based on device risk

Intune ha collaborato con i fornitori di Mobile Threat Defense, che fornisce una soluzione di sicurezza per il rilevamento di malware, trojan horse e altre minacce nei dispositivi mobili.Intune partnered with Mobile Threat Defense vendors that provides a security solution to detect malwares, Trojans, and other threats on mobile devices.

Funzionamento dell'integrazione tra Intune e Mobile Threat DefenseHow the Intune and mobile threat defense integration works

Quando nei dispositivi mobili è installato l'agente di Mobile Threat Defense, questo può inviare messaggi sullo stato di conformità al reporting di Intune se viene rilevata una minaccia nel dispositivo mobile.When mobile devices have the mobile threat defense agent installed, the agent can send compliance state messages back to Intune reporting if a threat has been found in the mobile device itself.

L'integrazione tra Intune e Mobile Threat Defense rappresenta un fattore per le decisioni di accesso condizionale in base al rischio del dispositivo.The Intune and mobile threat defense integration plays a factor at the conditional access decisions based on device risk.

Accesso condizionale per i PC WindowsConditional access for Windows PCs

L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili.Conditional access for PCs provide similar capabilities available for mobile devices. Di seguito sono descritti i modi in cui è possibile usare l'accesso condizionale durante la gestione dei PC con Intune.Let’s talk about the ways you can use conditional access when managing PCs with Intune.

Dispositivi di proprietà dell'aziendaCorporate-owned

  • Aggiunta a un dominio AD locale: questa rappresenta l'opzione di distribuzione più comune per l'accesso condizionale nelle organizzazioni, che hanno già familiarità con la gestione dei PC tramite i criteri di gruppo di Active Directory e/o con System Center Configuration Manager.On premises AD domain joined: This has been the most common conditional access deployment option for organizations, whose are reasonable comfortable with the fact they’re already managing their PCs through AD group policies and/or with System Center Configuration Manager.

  • Aggiunta a un dominio AD e gestione tramite Intune: questo scenario è generalmente associato agli scenari CYOD (Choose Your Own Device) e con laptop mobili in cui i dispositivi si connettono raramente alla rete aziendale.Azure AD domain joined and Intune management: This scenario is typically geared to Choose Your Own Device (CYOD), and roaming laptop scenarios where these devices are rarely connected to corporate-network. Il dispositivo viene aggiunto ad Azure AD ed è registrato in Intune, che rimuove qualsiasi dipendenza da Active Directory locale e controller di dominio.The device joins to the Azure AD and gets enrolled to Intune, which removes any dependency on on-premises AD, and domain controllers. Può essere usato come criterio di accesso condizionale durante l'accesso alle risorse aziendali.This can be used as a conditional access criteria when accessing corporate resources.

  • Aggiunta a un dominio AD e System Center Configuration Manager: a partire dalla versione Current Branch, System Center Configuration Manager fornisce funzionalità di accesso condizionale che consentono di valutare specifici criteri di conformità, oltre all'aggiunta di un PC a un dominio:AD domain joined and System Center Configuration Manager: As of current branch, System Center Configuration Manager provides conditional access capabilities that can evaluate specific compliance criteria, in addition to be a domain-joined PC:

    • Il PC è crittografato?Is the PC encrypted?

    • È installato malware?Is Malware installed? È aggiornato?Is it up-to-date?

    • Il dispositivo è jailbroken o rooted?Is the device jailbroken or rooted?

Bring Your Own Device (BYOD)Bring your own device (BYOD)

  • Aggiunta alla rete aziendale e gestione di Intune: qui l'utente può aggiungere i propri dispositivi personali per accedere ai servizi e alle risorse aziendali.Workplace join and Intune management: Here the user can join their personal devices to access corporate resources and services. È possibile usare l'aggiunta alla rete aziendale e registrare i dispositivi in Intune per ricevere criteri a livello di dispositivo. Questa rappresenta un'altra opzione per la valutazione dei criteri di accesso condizionale.You can use Workplace join and enroll devices into Intune to receive device-level policies, which is also another option to evaluate conditional access criteria.

Accesso condizionale basato su appApp-based conditional access

Intune e Azure Active Directory interagiscono per verificare che solo le app gestite possano accedere alla posta elettronica aziendale o ad altri servizi di Office 365.Intune and Azure Active Directory work together to make sure only managed apps can access corporate e-mail or other Office 365 services.

Passaggi successiviNext steps

How to configure conditional access in Azure Active Directory (Come configurare l'accesso condizionale in Azure Active Directory)How to configure conditional access in Azure Active Directory

How to install on-premises Exchange connector with Intune (Come installare On-premises Exchange Connector con Intune).How to install on-premises Exchange connector with Intune.

How to create a conditional access policy for Exchange on-premises (Come creare criteri di accesso condizionale per Exchange locale)How to create a conditional access policy for Exchange on-premises