Share via

Controllo dell'accesso ai dati aziendali con Active Directory Federation Services

  • Articolo

Questo documento offre una panoramica del controllo di accesso con AD FS in scenari locali, ibridi e cloud.

AD FS e accesso condizionale alle risorse locali

Dall'introduzione di Active Directory Federation Services, i criteri di autorizzazione sono disponibili per limitare o consentire agli utenti di accedere alle risorse in base agli attributi della richiesta e della risorsa. Man mano che AD FS è passato da una versione all'altra, è cambiato il modo in cui questi criteri vengono implementati. Per informazioni dettagliate sulle funzionalità di controllo degli accessi in base alla versione, vedere:

AD FS e l'accesso condizionale in un'organizzazione ibrida

AD FS fornisce il componente locale dei criteri di accesso condizionale in uno scenario ibrido. Le regole di autorizzazione basate su AD FS devono essere usate per le risorse non Microsoft Entra, ad esempio le applicazioni locali federate direttamente in AD FS. Il componente cloud viene fornito da Accesso condizionale di Microsoft Entra. Microsoft Entra Connect fornisce il piano di controllo che collega i due elementi.

Ad esempio, quando si registrano i dispositivi con ID Microsoft Entra per l'accesso condizionale alle risorse cloud, la funzionalità writeback del dispositivo Microsoft Entra Connect rende disponibili le informazioni di registrazione del dispositivo in locale per l'utilizzo e l'applicazione dei criteri AD FS. In questo modo, si dispone di un approccio coerente ai criteri di controllo degli accessi sia per le risorse locali che per quelle cloud.

conditional access

L'evoluzione dei criteri di accesso client per Office 365

Molti utenti usano criteri di accesso client con AD FS per limitare l'accesso a Office 365 e ad altri servizi di Microsoft Online in base a fattori quali la posizione del client e il tipo di applicazione client in uso.

Di seguito sono riportati alcuni criteri di esempio:

  • Bloccare tutti gli accessi client Extranet a Office 365
  • Bloccare tutti gli accessi client Extranet a Office 365, ad eccezione dei dispositivi che accedono a Exchange Online per Exchange Active Sync

Spesso l'esigenza alla base di questi criteri è quella di ridurre il rischio di perdita di dati, garantendo l'accesso alle risorse solo ai client autorizzati, alle applicazioni che non memorizzano nella cache i dati o ai dispositivi che possono essere disabilitati in remoto.

Sebbene i criteri documentati sopra descritti per AD FS funzionino negli scenari specifici documentati, presentano limitazioni perché dipendono dai dati client che non sono sempre disponibili. Ad esempio, l'identità dell'applicazione client è stata disponibile solo per i servizi basati su Exchange Online e non per le risorse come SharePoint Online, in cui è possibile accedere agli stessi dati tramite il browser o un "thick client", ad esempio Word o Excel. Inoltre, AD FS non è a conoscenza della risorsa all'interno di Office 365 a cui si accede, ad esempio SharePoint Online o Exchange Online.

Per affrontare queste limitazioni e fornire un modo più affidabile per usare i criteri per gestire l'accesso ai dati aziendali in Office 365 o in altre risorse basate su ID Microsoft Entra, Microsoft ha introdotto l'accesso condizionale Microsoft Entra. I criteri di accesso condizionale Microsoft Entra possono essere configurati per una risorsa specifica o per una o tutte le risorse all'interno di Office 365, SaaS o applicazioni personalizzate in ID Microsoft Entra. Questi criteri si basano sull'affidabilità del dispositivo, sulla posizione e su altri fattori.

Per maggiori informazioni sull'accesso condizionale Microsoft Entra, vedere Accesso condizionale in ID Microsoft Entra

Una modifica chiave che abilita questi scenari è l'autenticazione moderna, un nuovo modo per autenticare utenti e dispositivi che funziona allo stesso modo tra client di Office, Skype, Outlook e browser.

Passaggi successivi

Per altre informazioni sul controllo dell'accesso nel cloud e in locale, vedere: