Condividi tramite

Richiedere la conformità del dispositivo con l'accesso condizionale

Microsoft Intune e Microsoft Entra collaborano per proteggere l'organizzazione tramite criteri di conformità dei dispositivi e accesso condizionale. I criteri di conformità dei dispositivi assicurano che i dispositivi utente soddisfino i requisiti minimi di configurazione. I requisiti possono essere applicati quando gli utenti accedono ai servizi protetti con i criteri di accesso condizionale.

Alcune organizzazioni potrebbero non essere pronte per richiedere la conformità dei dispositivi per tutti gli utenti. Queste organizzazioni potrebbero invece scegliere di distribuire i criteri seguenti:

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti avanzati. È consigliabile escludere gli account seguenti dai criteri:

  • Accesso di emergenza o account break-glass (account d'emergenza) per evitare il blocco a causa di errori di configurazione delle politiche. Nello scenario improbabile in cui tutti gli amministratori sono bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere e ripristinare l'accesso.
  • account Service e Service principals, ad esempio Microsoft Entra Connect Sync Account. Gli account di servizio sono account non interattivi che non sono associati a un utente specifico. Vengono in genere usati dai servizi back-end per consentire l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non vengono bloccate dai criteri di accesso condizionale che si applicano agli utenti. Usare l'accesso condizionale per le identità del carico di lavoro per definire criteri destinati alle entità servizio.

Implementazione template

Le organizzazioni possono distribuire questo criterio seguendo la procedura descritta di seguito o usando i modelli di accesso condizionale.

Creare criteri di accesso condizionale

La procedura seguente consente di creare un criterio di accesso condizionale per richiedere che i dispositivi che accedono alle risorse siano contrassegnati come conformi ai criteri di conformità di Intune dell'organizzazione.

Avviso

Senza criteri di conformità creati in Microsoft Intune, questo criterio di accesso condizionale non funzionerà come previsto. Creare prima di tutto un criterio di conformità e assicurarsi di disporre di almeno un dispositivo conforme prima di procedere.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di accesso condizionale.
  2. Passare a Entra ID>Accesso Condizionale>Politiche.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi, selezionare Tutti gli utenti
    2. Sotto Escludi:
      1. Selezionare Utenti e gruppi
        1. Scegli gli account di emergenza o break-glass della tua organizzazione.
        2. Se si usano soluzioni di gestione delle identità ibride come Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync, selezionare Ruoli directory, quindi selezionare Account di sincronizzazione directory
  6. Sotto Risorse di destinazione>Risorse (in precedenza app cloud)>Includi, selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
  7. Sotto Controlli di accesso>Concedi.
    1. Selezionare Richiedi che i dispositivi siano contrassegnati come conformi.
    2. Seleziona Seleziona.
  8. Confermate le impostazioni e impostate Abilita politica su Solo segnalazione.
  9. Selezionare Crea per abilitare il tuo criterio.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a .

Nota

È possibile registrare i nuovi dispositivi in Intune anche se si seleziona Richiedi che il dispositivo sia contrassegnato come conforme per Tutti gli utenti e Tutte le risorse (in precedenza "Tutte le app cloud") usando i passaggi precedenti. Richiedere che il dispositivo sia contrassegnato come conforme non blocca la registrazione in Intune.

Analogamente, la funzione Richiedi che il dispositivo sia contrassegnato come conforme non blocca l'accesso all'app Microsoft Authenticator all'ambito UserAuthenticationMethod.Read. L'autenticatore deve accedere all'ambito UserAuthenticationMethod.Read durante la registrazione di Authenticator per determinare le credenziali che un utente può configurare. L'autenticatore deve accedere a UserAuthenticationMethod.ReadWrite per registrare le credenziali, che non ignora il controllo Richiedi che il dispositivo sia contrassegnato come conforme .

Comportamento noto

Su iOS, Android, macOS e su alcuni Web browser non Microsoft, Microsoft Entra ID identifica il dispositivo usando un certificato client fornito quando il dispositivo viene registrato con Microsoft Entra ID. Quando accede per la prima volta tramite il browser, all'utente viene richiesto di selezionare il certificato. Per continuare a usare il browser l'utente finale deve selezionare il certificato.

Scenari B2B

Per le organizzazioni con cui si ha una relazione di fiducia, è possibile fidarsi delle loro attestazioni di conformità dei dispositivi. Per configurare questa impostazione, vedere l'articolo Gestire le impostazioni di accesso tra tenant per Collaborazione B2B.

Attivazione della sottoscrizione

Organizzazioni che usano la funzionalità Subscription Activation per consentire agli utenti di passare da una versione di Windows a un'altra, potrebbe voler escludere il Windows Store per le aziende, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dai criteri di conformità del dispositivo.

Contenuto correlato

  • Last updated on