Creare resilienza con gli stati del dispositivo

Abilitando gli Stati del dispositivo con Microsoft Entra ID, gli amministratori possono creare Criteri di accesso condizionale che controllano l'accesso alle applicazioni in base allo stato del dispositivo. L'abilitazione degli stati dei dispositivi soddisfa i requisiti di autenticazione avanzata per l'accesso alle risorse, riduce le richieste di autenticazione a più fattori e migliora la resilienza.

Il grafico di flusso seguente presenta i modi per eseguire l'onboarding dei dispositivi in Microsoft Entra ID che abilitano gli stati del dispositivo. È possibile usare più di modo nell'organizzazione.

Quando si usano gli Stati del dispositivo, nella maggior parte dei casi gli utenti effettuano l'accesso Single Sign-On alle risorse tramite un Token di aggiornamento primario (PRT). Il token di aggiornamento primario (PRT) contiene attestazioni relative all'utente e al dispositivo. È possibile usare queste attestazioni per ottenere i token di autenticazione per accedere alle applicazioni dal dispositivo. Il token di aggiornamento primario (PRT) è valido per 14 giorni e viene rinnovato continuamente, purché l'utente usi attivamente il dispositivo, che può offrire un'esperienza resiliente agli utenti. Per altre informazioni su come un token di aggiornamento primario (PRT) può ottenere attestazioni di autenticazione a più fattori, vedere Quando un token di aggiornamento primario (PRT) riceve un'autenticazione a più fattori (MFA)

In che modo gli stati del dispositivo sono utili?

Quando un token di aggiornamento primario (PRT) richiede l'accesso a un'applicazione, le attestazioni relative a dispositivo, alla sessione e all’autenticazione a più fattori (MFA) sono considerate attendibili da Microsoft Entra ID. Quando gli amministratori creano criteri che richiedono un controllo basato sul dispositivo o un controllo basato sull’autenticazione a più fattori, il requisito per i criteri può essere soddisfatto tramite lo stato del dispositivo senza tentare l'autenticazione a più fattori (MFA). Gli utenti non vedranno più richieste di autenticazione a più fattori (MFA) nello stesso dispositivo. Ciò aumenta la resilienza di fronte a un'interruzione del servizio di autenticazione a più fattori di Microsoft Entra o delle dipendenze, ad esempio dai provider di telecomunicazioni locali.

Come implementare gli stati del dispositivo?

• Abilitare Aggiunta ibrida a Microsoft Entra e Aggiunta a Microsoft Entra per i dispositivi Windows di proprietà dell'azienda e richiederne l'aggiunta, se possibile. Se non è possibile, richiedere che vengano registrati. Se nell'organizzazione sono presenti versioni precedenti di Windows, aggiornare tali dispositivi per usare Windows 10.
• Normalizzare l'accesso al browser utente per usare Microsoft Edge o Google Chrome con l'estensione Microsoft Single Sign On che consente un accesso Single Sign-On facilitato alle applicazioni Web tramite il token di aggiornamento primario (PRT).
• Per i dispositivi iOS e Android personali o aziendali, distribuire l'app Microsoft Authenticator. Oltre alle funzionalità di accesso con autenticazione a più fattori (MFA) e senza password, l'app Microsoft Authenticator abilita l'accesso Single Sign-On tra applicazioni native tramite l’ autenticazione negoziatacon un minor numero di richieste di autenticazione per gli utenti finali.
• Per i dispositivi iOS e Android personali o aziendali usare gestione delle applicazioni mobili per accedere in modo sicuro alle risorse aziendali con un minor numero di richieste di autenticazione.
• Per i dispositivi macOS usare il Plug-in Microsoft Enterprise SSO per i dispositivi Apple (anteprima) per registrare il dispositivo e fornire l'accesso Single Sign-On tra browser e applicazioni native di Microsoft Entra. Quindi, in base all'ambiente, seguire i passaggi specifici per Microsoft Intune o Jamf Pro.

Passaggi successivi

Risorse di resilienza per amministratori e architetti

• Creare resilienza con la gestione delle credenziali
• Creare resilienza usando la Valutazione continua dell'accesso (CAE)
• Creare resilienza nell'autenticazione utente esterno
• Creare resilienza nell'autenticazione ibrida
• Creare resilienza nell'accesso alle applicazioni con Application Proxy

Risorse di resilienza per gli sviluppatori

• Creare resilienza IAM nelle applicazioni
• Creare resilienza nei sistemi CIAM