Crea un criterio di Accesso condizionale basato su dispositivo

Microsoft Intune criteri di conformità dei dispositivi possono valutare lo stato dei dispositivi gestiti per assicurarsi che soddisfino i requisiti prima di concedere loro l'accesso alle app e ai servizi dell'organizzazione. I risultati dello stato dei criteri di conformità del dispositivo possono essere usati da Microsoft Entra criteri di accesso condizionale per applicare gli standard di sicurezza e conformità. Questa combinazione viene definita accesso condizionale basato su dispositivo.

L'accesso condizionale è una tecnologia Microsoft Entra. Il nodo accesso condizionale a cui si accede dall'interfaccia di amministrazione Microsoft Intune è lo stesso nodo a cui si accede da Microsoft Entra ID, quindi non è necessario passare da un nodo all'altro per configurare i criteri.

Requisiti

Funzionamento

L'accesso condizionale basato su dispositivo usa segnali di stato di conformità provenienti da Intune per applicare i controlli di accesso in Microsoft Entra ID. La configurazione prevede due fasi:

• Fase 1: configurare i criteri di conformità dei dispositivi in Intune: questi criteri valutano se i dispositivi gestiti soddisfano i requisiti di sicurezza. Intune segnala che lo stato di conformità Microsoft Entra ID.

• Fase 2: creare criteri di accesso condizionale in Microsoft Entra: i criteri usano il segnale di conformità di Intune. Questo articolo illustra come configurare i criteri dall'interfaccia di amministrazione Microsoft Intune.

Creare i criteri di accesso condizionale

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Endpoint security>Conditional Access>Create new policy (Crea nuovi criteri).

   Verrà aperto il riquadro Nuovo, ovvero il riquadro di configurazione di Microsoft Entra. Il criterio che si sta creando è un criterio di Microsoft Entra per l'accesso condizionale. Per altre informazioni su questo riquadro e sui criteri di accesso condizionale, vedere Componenti dei criteri di accesso condizionale nel contenuto Microsoft Entra.

3. In Assegnazioni configurare Utenti e gruppi per selezionare le identità nella directory a cui si applicano i criteri. Per altre informazioni, vedere Utenti e gruppi nella documentazione Microsoft Entra.

   • Nella scheda Includi configurare l'utente e i gruppi da includere.
   • Usare la scheda Escludi se sono presenti utenti, ruoli o gruppi da escludere da questo criterio.

   Consiglio

   Testare i criteri rispetto a un gruppo di utenti più piccolo per assicurarsi che funzioni come previsto prima di distribuirli in gruppi più grandi.

4. Configurare quindi Risorse di destinazione, che si trova anche in Assegnazioni. Usare l'elenco a discesa Per selezionare App cloud, usare l'elenco a discesa Selezionare a cosa si applica questo criterio.

   • Nella scheda Includi usare le opzioni disponibili per identificare le app e i servizi da proteggere con questo criterio di accesso condizionale.

     Se si sceglie Seleziona app, usare l'interfaccia utente disponibile per selezionare app e servizi da proteggere con questo criterio.

     Attenzione

     Non chiuderti. Se si sceglie Tutte le app cloud, assicurarsi di esaminare l'avviso e quindi escludere da questo criterio l'account utente o altri utenti e gruppi pertinenti che devono mantenere l'accesso per usare l'interfaccia di amministrazione Interfaccia di amministrazione di Microsoft Entra o Microsoft Intune dopo l'applicazione di questo criterio.

   • Usare la scheda Escludi se sono presenti app o servizi da escludere da questo criterio.

   Per altre informazioni, vedere App cloud o azioni nella documentazione Microsoft Entra.

5. Configurare quindi Condizioni. Selezionare i segnali da usare come condizioni per questo criterio. Le opzioni disponibili sono:

   • Rischio utente
   • Rischio di accesso
   • Piattaforme per dispositivi
   • Posizioni
   • App client
   • Filtro per i dispositivi

   Per informazioni su queste opzioni, vedere Condizioni nella documentazione Microsoft Entra.

   Consiglio

   Per proteggere sia i client di autenticazione moderna che quelli Exchange ActiveSync, creare due criteri di accesso condizionale separati, uno per ogni tipo di client. Anche se Exchange ActiveSync supporta l'autenticazione moderna, l'unica condizione supportata da Exchange ActiveSync è la piattaforma. Altre condizioni, inclusa l'autenticazione a più fattori, non sono supportate. Per proteggere in modo efficace l'accesso ai Exchange Online da Exchange ActiveSync, creare un criterio di accesso condizionale che specifichi l'app cloud Microsoft 365 Exchange Online e l'app client Exchange ActiveSync con l'opzione Applica criteri solo alle piattaforme supportate selezionate.

6. In Controlli di accesso configurare Concedi per selezionare uno o più requisiti. Per informazioni sulle opzioni per Concedi, vedere Concedere nella documentazione di Microsoft Entra.

   Importante

   Per fare in modo che questo criterio usi lo stato di conformità del dispositivo, per Concedere l'accesso è necessario selezionare Richiedi che il dispositivo sia contrassegnato come conforme.

   • Blocca l'accesso: nega l'accesso alle app o ai servizi specificati.
   • Concedere l'accesso: concede l'accesso, ma è possibile richiedere una o più condizioni. Per usare lo stato di conformità del dispositivo da Intune, selezionare Richiedi che il dispositivo sia contrassegnato come conforme.

7. In Abilita criterio selezionare Sì. Per impostazione predefinita, il criterio è impostato su Solo report.

8. Selezionare Crea.

Passaggi successivi

• Accesso condizionale basato su app con Intune
• Risoluzione dei problemi di accesso condizionale Intune