Accesso condizionale basato su app con Intune

I criteri di protezione delle app di Intune funzionano con l'accesso condizionale, una Azure Active Directory, per proteggere i dati aziendali nei dispositivi che i dipendenti usano. Questi criteri funzionano nei dispositivi che registrano in Intune un nei dispositivi di proprietà dei dipendenti che non vengono registrati.

Protezione di app criteri sono regole che assicurano che i dati di un'organizzazione rimangano al sicuro o contenuti in un'app gestita.

  • I criteri di protezione delle app possono essere una regola applicata quando l'utente tenta di accedere o spostare dati "aziendali" o un set di azioni non consentite o monitorate quando l'utente si trova all'interno dell'app.
  • Un'app gestita è un'app a cui sono applicati criteri di protezione delle app e che può essere gestita da Intune.
  • È anche possibile bloccare le app di posta elettronica predefinite in iOS/iPadOS e Android quando si consente solo all'app Microsoft Outlook di accedere Exchange Online. È inoltre possibile impedire di accedere a SharePoint Online alle app a cui non sono applicati criteri di protezione delle app di Intune.

L'accesso condizionale basato su app con la gestione delle app client aggiunge un livello di sicurezza assicurando che solo le app client che supportano i criteri di protezione delle app di Intune possano accedere Exchange online e ad altri servizi Microsoft 365 client.

Prerequisiti

Prima di creare un criterio di accesso condizionale basato su app sono necessari:

  • Enterprise Mobility + Security (EMS) o una sottoscrizione Azure Active Directory (AD) Premium
  • Gli utenti devono avere la licenza per EMS o Azure AD

Per altre informazioni, vedere i prezzi di Enterprise Mobility o i prezzi di Azure Active Directory.

App supportate

Un elenco di app che supportano l'accesso condizionale basato su app è disponibile in Accesso condizionale: Condizioni nella Azure Active Directory documentazione.

L'accesso condizionale basato su app supporta anche le app line-of-business (LOB), ma queste app devono usare l'autenticazione moderna di Microsoft 365.

Funzionamento dell'accesso condizionale basato su app

In questo esempio l'amministratore ha applicato criteri di protezione delle app all'app Outlook, seguiti da una regola di accesso condizionale che aggiunge l'app Outlook a un elenco approvato di app che possono essere usate per l'accesso alla posta elettronica aziendale.

Nota

Per le altre app gestite è possibile usare il diagramma di flusso seguente.

Processo di accesso condizionale basato su app illustrato in un diagramma di flusso

  1. L'utente tenta di eseguire l'autenticazione in Azure AD dall'app Outlook.

  2. L'utente viene reindirizzato all'App Store per installare un'app broker quando tenta di eseguire l'autenticazione per la prima volta. L'app broker può essere Microsoft Authenticator per iOS o il Portale aziendale Microsoft per i dispositivi Android.

    Se gli utenti provano a usare un'app di posta elettronica nativa, vengono reindirizzati all'App Store per installare l'app Outlook.

  3. L'app broker viene installata nel dispositivo.

  4. L'app broker avvia il processo di registrazione di Azure AD, che crea un record di dispositivo in Azure AD. Questo processo non è lo stesso del processo di registrazione MDM (Mobile Device Management), ma questo record è necessario in modo che i criteri di accesso condizionale possano essere applicati al dispositivo.

  5. L'app broker conferma l'ID del dispositivo Azure AD, l'utente e l'applicazione. Queste informazioni vengono passate ai server di accesso di Azure AD per convalidare l'accesso al servizio richiesto.

  6. L'app broker invia l'ID client dell'app ad Azure AD nell'ambito del processo di autenticazione utente, per verificare se è incluso nell'elenco dei criteri approvati.

  7. Azure AD consente all'utente di eseguire l'autenticazione e di usare l'app in base all'elenco dei criteri approvati. Se l'app non è presente nell'elenco, Azure AD nega l'accesso all'app.

  8. L'app Outlook comunica con il servizio cloud di Outlook per avviare la comunicazione con Exchange Online.

  9. Il servizio cloud di Outlook comunica con Azure AD per recuperare i token di accesso del servizio Exchange Online per l'utente.

  10. L'app Outlook comunica con Exchange Online per recuperare la posta elettronica aziendale dell'utente.

  11. La posta elettronica aziendale viene recapitata nella cassetta postale dell'utente.

Passaggi successivi