• Articolo

Accesso condizionale in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Le informazioni contenute in questo argomento si applicano a System Center 2012 Configuration Manager SP2 e System Center 2012 R2 Configuration Manager SP1.

Se si usa l'estensione dell'accesso condizionale per Microsoft Intune, la funzionalità di questa estensione è ora inclusa nel prodotto principale. Pertanto, l'estensione non viene più visualizzata nel nodo delle estensioni Microsoft Intune della console di Configuration Manager.

Tuttavia, per System Center 2012 R2 Configuration Manager SP1, a partire dal 2 novembre, la nuova funzionalità seguente viene fornita dall'estensione dell'accesso condizionale. L'estensione verrà visualizzata nel nodo Estensioni per Microsoft Intune della console Configuration Manager.

  • Regola di conformità per la versione minima del sistema operativo

  • Regola di conformità per la versione massima del sistema operativo

Usare l'accesso condizionale in Configuration Manager per proteggere la posta elettronica e altri servizi registrati in Microsoft Intune, in base alle condizioni specificate dall'utente.

Lo schema seguente illustra come funziona l'accesso condizionale:

Advanced conditional access flow

Usare l'accesso condizionale per gestire l'accesso ai seguenti servizi:

  • Microsoft Exchange locale

  • Microsoft Exchange Online

  • Exchange Online dedicato

  • SharePoint Online

È possibile controllare l'accesso a Exchange Online ed Exchange locale dal client di posta elettronica predefinito nelle seguenti piattaforme:

  • Android 4.0 e versioni successive, Samsung Knox Standard 4.0 e versioni successive

  • iOS 7.1 e versioni successive

  • Windows Phone 8.1 e versioni successive

  • Applicazione di posta elettronica in Windows 8.1 e versioni successive

È possibile controllare l'accesso a SharePoint Online dalle seguenti app per le piattaforme elencate:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Le applicazione desktop di Office possono accedere a Exchange Online e SharePoint Online nei PC che eseguono:

  • La versione desktop di Office 2013 e versioni successive con autenticazione moderna attiva.

  • Windows 7.0 o Windows 8.1

Nota

I PC devono essere aggiunti a un dominio oppure essere conformi ai criteri impostati in Intune.

Per implementare l'accesso condizionale vengono configurati due tipi di criteri in Configuration Manager:

  • I criteri di conformità sono criteri facoltativi che è possibile distribuire alle raccolte dell'utente per valutare impostazioni come:

    • Passcode

    • Crittografia

    • Se il dispositivo è jailbroken o rooted

    • Se la posta elettronica nel dispositivo viene gestita da un criterio di Configuration Manager o Intune

    Se non vengono distribuiti i criteri di conformità in un dispositivo, qualsiasi criterio di accesso condizionale considera il dispositivo conforme.

  • I criteri di accesso condizionale sono configurati per un particolare servizio e definiscono delle regole, ad esempio quali gruppi utenti di sicurezza di Azure Active Directory o raccolte utenti di Configuration Manager verranno usati come destinazione o per i quali viene applicata un'esenzione.

    Configurare un criterio di accesso condizionale per Exchange locale dalla console di Configuration Manager. Tuttavia, quando si configura un criterio di Exchange Online o SharePoint Online, verrà visualizzata la console di amministrazione di Microsoft Intune, nella quale è possibile configurare il criterio.

    A differenza degli altri criteri di Intune o Configuration Manager, i criteri di accesso condizionale non vengono distribuiti, ma configurati una sola volta prima di essere applicati a tutti gli utenti di destinazione.

Se i dispositivi non soddisfano le condizioni, l'utente viene guidato nel processo di registrazione del dispositivo e di risoluzione del problema che impedisce la conformità del dispositivo.

Prima di iniziare

Prima di iniziare a usare l'accesso condizionale, verificare che i requisiti richiesti siano soddisfatti:

Tipo di criteri

Requisiti

Exchange Online (con un ambiente condiviso multi-tenant)

L'accesso condizionale a Exchange Online supporta i dispositivi che eseguono:

  • Windows 8.1 e versioni successive (se registrato con Intune)

  • Windows 7.0 o Windows 8.1 (se aggiunto a un dominio)

  • Windows Phone 8.1 e versioni successive

  • iOS 7.1 e versioni successive

  • Android 4.0 e versioni successive, Samsung Knox Standard 4.0 e versioni successive

Inoltre:

  • I dispositivi devono essere aggiunti all'area di lavoro, che registra il dispositivo con Azure Active Directory Device Registration Service (AAD DRS).

    I PC aggiunti a un dominio devono essere registrati automaticamente in Azure Active Directory tramite i criteri di gruppo o MSI. La sezione Accesso condizionale per i PC in questo argomento descrive tutti i requisiti necessari per abilitare l'accesso condizionale per un PC.

    Il servizio AAD DRS verrà attivato automaticamente per i clienti di Intune e Office 365. I clienti che hanno già distribuito il servizio di registrazione dei dispositivi di ADFS non visualizzeranno i dispositivi registrati in Active Directory locale.

  • È necessario usare una sottoscrizione a Office 365 che include Exchange Online (ad esempio E3) e gli utenti devono avere una licenza per Exchange Online.

  • Il connettore Exchange Server è facoltativo e consente di connettere Configuration Manager a Microsoft Exchange Online. In questo modo, è possibile monitorare le informazioni del dispositivo tramite la console di Configuration Manager (vedere Come gestire i dispositivi mobili usando Configuration Manager e Exchange). Non è necessario usare il connettore per i criteri di conformità o i criteri di accesso condizionale, ma è obbligatorio eseguire i report per valutare l'impatto dell'accesso condizionale.

Exchange Online dedicato

L'accesso condizionale di Exchange Online dedicato supporta i dispositivi che eseguono:

  • Windows 8 e versioni successive (se registrato con Intune)

  • Windows 7.0 o Windows 8.1 (se aggiunto a un dominio)

    Accesso condizionale ai PC aggiunti al dominio soltanto per i tenant del nuovo ambiente Exchange Online dedicato.

  • Windows Phone 8 e versioni successive

  • Dispositivi iOS che usano i client di posta elettronica di Exchange ActiveSync (EAS)

  • Android 4 e versioni successive.

  • Per i tenant nell'ambiente legacy Exchange Online dedicato:

    È necessario usare il connettore Exchange Server che connette Configuration Manager a Microsoft Exchange locale. Ciò consente di gestire i dispositivi mobili e di abilitare l'accesso condizionale (vedere Come gestire i dispositivi mobili usando Configuration Manager e Exchange).

  • Per i tenant nel nuovo ambiente Exchange Online dedicato:

    Il connettore Exchange Server consente di connettere Configuration Manager a Microsoft Exchange Online. In questo modo, è possibile gestire le informazioni del dispositivo (vedere Come gestire i dispositivi mobili usando Configuration Manager e Exchange). Non è necessario usare il connettore per i criteri di conformità o i criteri di accesso condizionale, ma è obbligatorio eseguire i report per valutare l'impatto dell'accesso condizionale.

Exchange locale

L'accesso condizionale a Exchange locale supporta:

  • Windows 8 e versioni successive (se registrato con Intune)

  • Windows Phone 8 e versioni successive

  • App di posta elettronica nativa in iOS

  • App di posta elettronica nativa in Android versione 4 o successiva

  • L'app di Microsoft Outlook non è supportata in Android e iOS.

Inoltre:

  • La versione di Exchange deve essere Exchange 2010 o successiva. È supportato un array del server Accesso client di Exchange Server.

    System_CAPS_tipSuggerimento

    Se l'ambiente di Exchange si trova in una configurazione con server CAS, sarà necessario configurare On-Premises Exchange Connector in modo che punti a uno dei server CAS.

  • È necessario usare il connettore Exchange Server che connette Configuration Manager a Microsoft Exchange locale. Ciò consente di gestire i dispositivi mobili e di abilitare l'accesso condizionale (vedere Come gestire i dispositivi mobili usando Configuration Manager e Exchange).

    • Assicurarsi di usare la versione più recente di Exchange Connector locale. On-Premises Exchange Connector deve essere installato e configurato tramite la console di Configuration Manager. Per una procedura dettagliata, vedere Come gestire i dispositivi mobili utilizzando Configuration Manager e Exchange.

    • Il connettore deve essere installato solo nel sito primario di System Center Configuration Manager.

    • Questo connettore supporta l'ambiente CAS di Exchange. Quando si configura il connettore, è necessario impostarlo in modo che comunichi con uno dei server CAS di Exchange.

  • È possibile configurare Exchange ActiveSync con l'autenticazione basata su certificati o tramite l'immissione di credenziali utente.

SharePoint Online

L'accesso condizionale a SharePoint Online supporta i dispositivi che eseguono:

  • Windows 8.1 e versioni successive (se registrato con Intune)

  • Windows 7.0 o Windows 8.1 (se aggiunto a un dominio)

  • Windows Phone 8.1 e versioni successive

  • iOS 7.1 e versioni successive

  • Android 4.0 e versioni successive, Samsung Knox Standard 4.0 e versioni successive

Inoltre:

  • I dispositivi devono essere aggiunti all'area di lavoro, che registra il dispositivo con Azure Active Directory Device Registration Service (AAD DRS).

    I PC aggiunti a un dominio devono essere registrati automaticamente in Azure Active Directory tramite i criteri di gruppo o MSI. La sezione Accesso condizionale per i PC in questo argomento descrive tutti i requisiti necessari per abilitare l'accesso condizionale per un PC.

    Il servizio AAD DRS verrà attivato automaticamente per i clienti di Intune e Office 365. I clienti che hanno già distribuito il servizio di registrazione dei dispositivi di ADFS non visualizzeranno i dispositivi registrati in Active Directory locale.

  • Una sottoscrizione a SharePoint Online è obbligatoria e gli utenti devono avere una licenza per SharePoint Online.

Accesso condizionale per i PC

È possibile configurare l'accesso condizionale per i PC che eseguono le applicazioni desktop di Office al fine di accedere a Exchange Online e SharePoint Online, se i PC soddisfano i requisiti seguenti:

  • Il PC deve eseguire Windows 7.0 o Windows 8.1.

  • Il PC deve essere aggiunto a un dominio oppure conforme.

    Affinché sia ritenuto conforme, il PC deve essere registrato in Intune e rispettare i criteri.

    Per i PC aggiunti a un dominio, è necessario impostare il dispositivo in modo che venga registrato automaticamente con Azure Active Directory.

  • L'autenticazione moderna di Office 365 deve essere attivata ed è necessario disporre di tutti gli aggiornamenti di Office più recenti.

    L'autenticazione moderna garantisce accesso basato su Active Directory Authentication Library (ADAL) ai client di Office 2013 Windows e offre migliore opzioni di sicurezza, ad esempio, l'autenticazione a più fattori e l'autenticazione basata sui certificati.

  • Configurare le regole delle attestazioni ADFS per bloccare i protocolli di autenticazione non moderni.

Passaggi successivi

Leggere i seguenti argomenti per informazioni su come configurare i criteri di conformità e i criterio di accesso condizionale per lo scenario richiesto: