Quali sono le modalità d'uso comuni dell'accesso condizionale con Intune?

Esistono due tipi di accesso condizionale con Intune: l'accesso condizionale basato su dispositivo e l'accesso condizionale basato su app. È necessario configurare i criteri di conformità correlati per promuovere la conformità dell'accesso condizionale nell'organizzazione. L'accesso condizionale viene in genere usato per operazioni come consentire o bloccare l'accesso a Exchange e controllare l'accesso alla rete o come integrazione per una soluzione Mobile Threat Defense.

Le informazioni di questo articolo illustrano come usare le funzionalità per la conformità dei dispositivi mobili di Intune e le funzionalità di gestione delle applicazioni per dispositivi mobili (MAM) di Intune.

Nota

L'accesso condizionale è una funzionalità di Azure Active Directory inclusa con una licenza di Azure Active Directory Premium. Intune contribuisce a migliorare questa funzionalità aggiungendo la conformità dei dispositivi mobili e la gestione delle app per dispositivi mobili alla soluzione. Il nodo di accesso condizionale accessibile da Intune è lo stesso nodo accessibile da Azure AD.

Accesso condizionale basato sul dispositivo

Intune e Azure Active Directory interagiscono per assicurarsi che solo i dispositivi gestiti e conformi abbiano accesso alla posta elettronica, ai servizi di Microsoft 365, alle app SaaS (Software as a Service) e alle app locali. È anche possibile impostare un criterio in Azure Active Directory per consentire l'accesso ai servizi di Microsoft 365 solo ai computer che appartengono a un dominio o ai dispositivi mobili registrati in Intune.

Intune offre funzionalità per i criteri di conformità dei dispositivi che consentono di valutare lo stato di conformità dei dispositivi. Lo stato di conformità viene segnalato ad Azure Active Directory, che lo usa per l'applicazione dei criteri di accesso condizionale creati in Azure Active Directory quando l'utente prova ad accedere alle risorse aziendali.

I criteri di accesso condizionale basato su dispositivo per Exchange online e altri prodotti Microsoft 365 vengono configurati tramite l'interfaccia Microsoft Endpoint Manager di amministrazione di.

Nota

Quando si abilita l'accesso basato su dispositivo per il contenuto a cui gli utenti accedono dalle app del browser nei dispositivi con profilo di lavoro personale Android, gli utenti registrati prima di gennaio 2021 devono abilitare l'accesso tramite browser come indicato di seguito:

  1. Avviare l'app Portale aziendale.
  2. Passare alla pagina Impostazioni dal menu.
  3. Nella sezione Abilita l'accesso al browser toccare il pulsante ABILITA.
  4. Chiudere e riavviare l'app browser.

Applicazioni disponibili nell'accesso condizionale per il controllo Microsoft Intune

Quando si configura l'accesso condizionale nel Azure Active Directory, sono disponibili due applicazioni:

  1. Microsoft Intune: questa applicazione controlla l'accesso alla console Microsoft Endpoint Manager e alle origini dati. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione la console Microsoft Endpoint Manager e le origini dati.
  2. Microsoft Intune: questa applicazione controlla il flusso di lavoro di registrazione. Configurare concessioni/controlli per questa applicazione quando si vuole impostare come destinazione il processo di registrazione. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi intune.

Accesso condizionale basato sul controllo di accesso alla rete

Intune è integrato con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per offrire controlli di accesso basati sulla registrazione di Intune e sullo stato di conformità del dispositivo.

L'accesso degli utenti alle risorse Wi-Fi o VPN aziendali può essere consentito o negato a condizione che il dispositivo sia gestito e conforme ai criteri di conformità dei dispositivi di Intune.

Accesso condizionale basato sul rischio di dispositivo

Intune collabora con i fornitori di Mobile Threat Defense, che forniscono una soluzione di sicurezza per il rilevamento di malware, trojan horse e altre minacce nei dispositivi mobili.

Funzionamento dell'integrazione tra Intune e Mobile Threat Defense

Quando nei dispositivi mobili è installato l'agente Mobile Threat Defense, questo invia messaggi sullo stato di conformità al reporting di Intune se viene rilevata una minaccia nel dispositivo mobile.

L'integrazione tra Intune e Mobile Threat Defense rappresenta un fattore per le decisioni di accesso condizionale in base al rischio del dispositivo.

Accesso condizionale per i PC Windows

L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili. Di seguito sono descritti i modi in cui è possibile usare l'accesso condizionale durante la gestione dei computer con Intune.

Dispositivi di proprietà dell'azienda

  • Aggiunto ad Azure AD ibrido: questa opzione viene usata generalmente dalle organizzazioni che hanno già familiarità con la gestione dei PC tramite i criteri di gruppo di Active Directory o con Configuration Manager.

  • Aggiunta a un dominio AD e gestione tramite Intune: questo scenario è destinato alle organizzazioni che adottano un approccio cloud-first (ovvero usano principalmente i servizi cloud con l'obiettivo di ridurre l'uso di infrastrutture locali) o esclusivamente cloud (nessuna infrastruttura locale). Azure AD Join funziona in modo ottimale in un ambiente ibrido, consentendo l'accesso alle risorse e alle app sia cloud che locali. Il dispositivo viene aggiunto ad Azure AD e viene registrato in Intune. I criteri corrispondenti possono essere usati come criteri di accesso condizionale per l'accesso alle risorse aziendali.

Bring Your Own Device (BYOD)

  • Aggiunta alla rete aziendale e gestione di Intune: qui l'utente può aggiungere i propri dispositivi personali per accedere ai servizi e alle risorse aziendali. È possibile usare l'aggiunta alla rete aziendale e registrare i dispositivi con la funzionalità MDM di Intune per ricevere criteri a livello di dispositivo, un'altra opzione per la valutazione dei criteri di accesso condizionale.

Altre informazioni sulla gestione dei dispositivi in Azure Active Directory.

Accesso condizionale basato su app

Intune e Azure Active Directory interagiscono per assicurarsi che solo le app gestite possano accedere alla posta elettronica aziendale o ad altri servizi di Microsoft 365.

Accesso condizionale di Intune per Exchange locale

L'accesso condizionale può essere usato per consentire o bloccare l'accesso a Exchange locale in base ai criteri di conformità e allo stato di registrazione dei dispositivi. Quando l'accesso condizionale viene usato in combinazione con i criteri di conformità dei dispositivi, possono accedere a Exchange locale solo i dispositivi conformi.

È possibile configurare le impostazioni avanzate dell'accesso condizionale per un controllo più granulare, ad esempio:

  • Consentire o bloccare determinate piattaforme.

  • Bloccare immediatamente i dispositivi non gestiti da Intune.

Quando si applicano i criteri di accesso condizionale e di conformità dei dispositivi, viene verificata la conformità di qualsiasi dispositivo usato per accedere a Exchange locale.

Se i dispositivi non soddisfano le condizioni previste, l'utente viene guidato nel processo di registrazione del dispositivo per la risoluzione del problema che rende il dispositivo non conforme.

Nota

A partire da luglio 2020, il supporto per Exchange Connector è deprecato e sostituito dall'autenticazione moderna ibrida (HMA) di Exchange. L'uso di HMA non richiede la configurazione e l'uso di Exchange Connector in Intune. Con questa modifica, l'interfaccia utente per la configurazione e la gestione di Exchange Connector per Intune è stata rimossa dall'interfaccia di amministrazione di Microsoft Endpoint Manager, a meno che non si usi già Exchange Connector con la sottoscrizione.

Se nel proprio ambiente è installato Exchange Connector, il tenant di Intune rimane supportato per l'uso e si continuerà ad avere accesso all'interfaccia utente che ne supporta la configurazione. Per altre informazioni, vedere Installare il connettore locale per Exchange. È possibile continuare a usare il connettore o configurare HMA e quindi disinstallare il connettore.

L'autenticazione ibrida moderna fornisce funzionalità precedentemente fornite da Exchange Connector per Intune: Mapping dell'identità di un dispositivo al record di Exchange. Questo mapping avviene ora al di fuori di una configurazione effettuata in Intune o del requisito del connettore Intune per il bridge di Intune ed Exchange. Con HMA è stato rimosso il requisito di usare la configurazione specifica di 'Intune' (connettore).

Qual è il ruolo di Intune?

Intune valuta e gestisce lo stato del dispositivo.

Qual è il ruolo del server Exchange?

Il server Exchange fornisce l'API e l'infrastruttura per mettere i dispositivi in quarantena.

Importante

Tenere presente che l'utente che usa il dispositivo deve avere un profilo di conformità e una licenza di Intune, per consentire la valutazione della conformità del dispositivo. Se all'utente non viene distribuito alcun criterio di conformità, il dispositivo viene considerato conforme e non vengono applicate restrizioni di accesso.

Passaggi successivi

Come configurare l'accesso condizionale in Azure Active Directory

Configurare criteri di accesso condizionale basato su app

Come creare criteri di accesso condizionale per Exchange locale