Pianificare l'accesso condizionale su dispositivo in locale
Questo documento descrive i criteri di accesso condizionale basati sui dispositivi in uno scenario ibrido in cui le directory locali sono connesse all'ID Microsoft Entra usando Microsoft Entra Connect.
AD FS e accesso condizionale ibrido
AD FS fornisce il componente locale dei criteri di accesso condizionale in uno scenario ibrido. Quando si registrano dispositivi con Microsoft Entra ID per l'accesso condizionale alle risorse cloud, la funzionalità writeback del dispositivo Microsoft Entra Connect rende disponibili le informazioni di registrazione del dispositivo in locale per i criteri di AD FS da utilizzare e applicare. In questo modo, si ha un approccio coerente ai criteri di controllo di accesso per le risorse locali e cloud.
di accesso condizionale
Tipi di dispositivi registrati
Esistono tre tipi di dispositivi registrati, tutti rappresentati come oggetti Device in Microsoft Entra ID e possono essere usati anche per l'accesso condizionale con AD FS in locale.
| Descrizione | Aggiungere un account aziendale o dell'istituto di istruzione | Microsoft Entra registrazione | Aggiunta a un dominio di Windows 10 |
|---|---|---|---|
| Descrizione | Gli utenti aggiungono il proprio account aziendale o dell'istituto di istruzione al dispositivo BYOD in modo interattivo. Nota: Aggiungi account aziendale o dell'istituto di istruzione sostituisce Workplace Join in Windows 8/8.1 | Gli utenti aggiungono il proprio dispositivo di lavoro Windows 10 all'ID Microsoft Entra. | I dispositivi windows 10 aggiunti a un dominio vengono registrati automaticamente con Microsoft Entra ID. |
| Come gli utenti accedono al dispositivo | Nessun accesso a Windows come account aziendale o dell'istituto di istruzione. Accedere con un account Microsoft. | Accedere a Windows come account (aziendale o dell'istituto di istruzione) che ha registrato il dispositivo. | Accedere con l'account AD. |
| Modalità di gestione dei dispositivi | Politiche MDM (con iscrizione aggiuntiva a Intune) | Policy MDM (con iscrizione aggiuntiva a Intune) | Criteri di gruppo, Configuration Manager |
| Tipo di attendibilità di Microsoft Entra ID | Unita all'area di lavoro | Microsoft Entra si è unito | Aggiunto a un dominio |
| Percorso impostazioni W10 | Impostazioni > Account > Il tuo account > Aggiungi un account aziendale o scolastico | Impostazioni > Sistema > Informazioni su > Unisciti a Microsoft Entra ID | Impostazioni > System > Informazioni su > Aggiungere un dominio |
| Disponibile anche per dispositivi iOS e Android? | Sì | NO | NO |
Per altre informazioni sui diversi modi per registrare i dispositivi, vedere anche:
- Uso di dispositivi Windows nell'area di lavoro
- Dispositivi registrati in Microsoft Entra
- Dispositivi collegati a Microsoft Entra
Differenze nell'accesso degli utenti e dei dispositivi in Windows 10 rispetto alle versioni precedenti
Per Windows 10 e AD FS 2016, esistono alcuni nuovi aspetti della registrazione e dell'autenticazione dei dispositivi che è necessario conoscere (soprattutto se si ha familiarità con la registrazione del dispositivo e l'aggiunta all'area di lavoro nelle versioni precedenti).
In primo luogo, in Windows 10 e AD FS in Windows Server 2016 la registrazione e l'autenticazione dei dispositivi non si basa più esclusivamente su un certificato utente X509. Esiste un protocollo nuovo e più affidabile che offre una migliore sicurezza e un'esperienza utente più semplice. Le differenze principali sono che, per l'aggiunta a un dominio Windows 10 e l'aggiunta a Microsoft Entra, è presente un certificato computer X509 e una nuova credenziale denominata PRT. È possibile leggere tutte le informazioni qui e qui.
In secondo luogo, Windows 10 e AD FS 2016 supportano l'autenticazione utente con Windows Hello for Business, che è possibile leggere qui e qui.
AD FS 2016 offre accesso Single Sign-On facile per dispositivi e utenti in base alle credenziali di PRT e Passport. Usando i passaggi descritti in questo documento, è possibile abilitare queste funzionalità e visualizzarle.
Criteri di controllo di accesso dei dispositivi
I dispositivi possono essere usati in semplici regole di controllo di accesso ad AD FS, ad esempio:
- Consentire l'accesso solo da un dispositivo registrato
- Richiedere l'autenticazione a più fattori quando un dispositivo non è registrato
Queste regole possono quindi essere combinate con altri fattori, ad esempio la posizione di accesso alla rete e l'autenticazione a più fattori, creando criteri di accesso condizionale avanzati, ad esempio:
- Richiedere l'autenticazione a più fattori per i dispositivi non registrati che accedono dall'esterno della rete aziendale, ad eccezione dei membri di un gruppo o di un gruppo specifico
Con AD FS 2016, questi criteri possono essere configurati in modo specifico per richiedere anche un particolare livello di attendibilità del dispositivo: autenticato, gestitoo conforme.
Per altre informazioni sulla configurazione dei criteri di controllo di accesso di AD FS, vedere Criteri di controllo di accesso in AD FS.
Dispositivi autenticati
I dispositivi autenticati sono dispositivi registrati che non sono registrati in MDM (Intune e MDM di terze parti per Windows 10, Intune solo per iOS e Android).
I dispositivi autenticati avranno la dichiarazione AD FS isManaged con valore FALSE. (Mentre i dispositivi che non sono registrati affatto non avranno questa attestazione. I dispositivi autenticati (e tutti i dispositivi registrati) avranno l'attestazione AD FS isKnown con valore TRUE.
Dispositivi gestiti:
I dispositivi gestiti sono dispositivi registrati con MDM.
I dispositivi gestiti avranno la claim AD FS isManaged con valore TRUE.
Dispositivi conformi (con MDM o Criteri di Gruppo)
I dispositivi conformi sono dispositivi registrati non solo registrati con MDM, ma conformi ai criteri MDM. Le informazioni di conformità hanno origine con mdm e sono scritte in Microsoft Entra ID.
I dispositivi conformi avranno l'indicazione AD FS isCompliant con valore TRUE.
Per un elenco completo delle attestazioni di accesso condizionale e del dispositivo AD FS 2016, vedere Riferimento.
Riferimento
Aggiornamenti e modifiche di rilievo - Microsoft Identity Platform | Microsoft Docs
Elenco completo delle nuove attestazioni di AD FS 2016 e del dispositivo
https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtypehttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdfhttps://schemas.microsoft.com/2014/03/pssohttps://schemas.microsoft.com/2015/09/prthttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdfhttps://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttps://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttps://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2012/01/devicecontext/claims/identifierhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ostypehttps://schemas.microsoft.com/2012/01/devicecontext/claims/osversionhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttps://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2014/02/deviceusagetimehttps://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttps://schemas.microsoft.com/2014/09/devicecontext/claims/trusttypehttps://schemas.microsoft.com/claims/authnmethodsreferenceshttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agenthttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-pathhttps://schemas.microsoft.com/ws/2012/01/insidecorporatenetworkhttps://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-idhttps://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustidhttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-iphttps://schemas.microsoft.com/2014/09/requestcontext/claims/useriphttps://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod