Modi comuni per usare l’accesso condizionale

Esistono due tipi di criteri di accesso condizionale che è possibile usare con Intune: basati su dispositivi e basati su app. Questo articolo illustra gli scenari comuni per entrambi i tipi.

Le informazioni contenute in questo articolo consentono di comprendere come usare le funzionalità di conformità dei dispositivi mobili Intune e le funzionalità di gestione delle applicazioni mobili (MAM) Intune.

Nota

L'accesso condizionale è una funzionalità Microsoft Entra inclusa in una licenza P1 o P2 Microsoft Entra ID. Il nodo accesso condizionale a cui si accede dall'interfaccia di amministrazione Microsoft Intune è lo stesso nodo a cui si accede da Microsoft Entra ID.

Applicazioni disponibili nell'accesso condizionale per il controllo delle Microsoft Intune

Quando si configura l'accesso condizionale nel Interfaccia di amministrazione di Microsoft Entra, sono disponibili due applicazioni tra cui scegliere:

  • Microsoft Intune: questa applicazione controlla l'accesso all'interfaccia di amministrazione e alle origini dati Microsoft Intune. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione l'interfaccia di amministrazione Microsoft Intune e le origini dati.
  • Microsoft Intune Registrazione: questa applicazione controlla il flusso di lavoro di registrazione. Configurare concessioni/controlli in questa applicazione quando si vuole impostare come destinazione il processo di registrazione. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi Intune.

Accesso condizionale basato sul dispositivo

Intune e Microsoft Entra ID interagiscono per assicurarsi che solo i dispositivi gestiti e conformi possano accedere alla posta elettronica dell'organizzazione, ai servizi di Microsoft 365, alle app SaaS (Software as a Service) e alle app locali. Inoltre, è possibile impostare un criterio in Microsoft Entra ID per abilitare solo i computer aggiunti al dominio o i dispositivi mobili registrati in Intune per accedere ai servizi di Microsoft 365.

Con Intune si distribuiscono i criteri di conformità dei dispositivi per determinare se un dispositivo soddisfa i requisiti di configurazione e sicurezza previsti. La valutazione dei criteri di conformità determina lo stato di conformità del dispositivo, che viene segnalato sia a Intune che a Microsoft Entra ID. È in Microsoft Entra ID che i criteri di accesso condizionale possono usare lo stato di conformità di un dispositivo per decidere se consentire o bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.

I criteri di accesso condizionale basato su dispositivo per Exchange Online e altri prodotti Microsoft 365 vengono configurati tramite l'interfaccia di amministrazione Microsoft Intune.

Gli scenari seguenti si basano sull'accesso condizionale basato su dispositivo per mostrare come viene applicato in contesti specifici.

Accesso condizionale basato sul controllo di accesso alla rete

Intune si integra con partner come Cisco ISE, Aruba Clear Pass e Citrix NetScaler per fornire controlli di accesso in base alla registrazione Intune e allo stato di conformità del dispositivo.

Agli utenti può essere consentito o negato l'accesso alle risorse vpn o Wi-Fi aziendali in base al fatto che il dispositivo in uso sia gestito e conforme ai criteri di conformità dei dispositivi Intune.

Accesso condizionale basato sul rischio del dispositivo

Intune partner con fornitori di protezione dalle minacce mobili che forniscono una soluzione di sicurezza per rilevare malware, Trojan e altre minacce nei dispositivi mobili. Quando i dispositivi mobili hanno installato l'agente di difesa dalle minacce mobili, l'agente invia nuovamente messaggi di stato di conformità a Intune segnalazione quando viene rilevata una minaccia. Questa integrazione svolge un ruolo importante nelle decisioni relative all'accesso condizionale in base al rischio del dispositivo.

Accesso condizionale per PC Windows

L'accesso condizionale per i PC offre funzionalità simili a quelle disponibili per i dispositivi mobili. Quando si gestiscono PC con Intune, sono disponibili le opzioni seguenti.

Di proprietà dell'azienda

  • Microsoft Entra aggiunto ibrido: questa opzione viene comunemente usata dalle organizzazioni che hanno familiarità con il modo in cui stanno già gestendo i PC tramite criteri di gruppo o Gestione configurazione di Active Directory.

  • Microsoft Entra gestione aggiunta al dominio e Intune: questo scenario è destinato alle organizzazioni che vogliono essere al primo livello del cloud (ovvero, usano principalmente servizi cloud, con l'obiettivo di ridurre l'uso di un'infrastruttura locale) o solo cloud (nessuna infrastruttura locale). Microsoft Entra join funziona bene in un ambiente ibrido, consentendo l'accesso sia alle app che alle risorse cloud e locali. Il dispositivo viene aggiunto al Microsoft Entra ID e viene registrato in Intune, che può essere usato come criterio di accesso condizionale quando si accede alle risorse aziendali.

Bring your own device (BYOD)

  • Aggiunta all'area di lavoro e gestione Intune: qui l'utente può aggiungere i propri dispositivi personali per accedere alle risorse e ai servizi aziendali. È possibile usare l'aggiunta a Workplace e registrare i dispositivi in Intune MDM per ricevere i criteri a livello di dispositivo, che sono un'altra opzione per valutare i criteri di accesso condizionale.

Altre informazioni su Gestione dispositivi in Microsoft Entra ID.

Accesso condizionale basato su app

L'accesso condizionale basato su app protegge l'accesso a livello di app anziché a livello di dispositivo, rendendolo particolarmente adatto per i dispositivi non registrazione. Gli articoli seguenti illustrano gli scenari di accesso condizionale basato su app per Intune:

Passaggi successivi

Come configurare l'accesso condizionale in Microsoft Entra ID

Configurare i criteri di accesso condizionale basato su dispositivo

Configurare i criteri di accesso condizionale basato su app

  • Last updated on