Creare e assegnare livelli di accesso personalizzati utilizzando i dati Microsoft Intune

Questo documento mostra come creare livelli di accesso personalizzati basati sul dispositivo utilizzando i dati Intune e assegnarli alle risorse dell'organizzazione.

Prima di iniziare

Configura l'integrazione di BeyondCorp Enterprise con Microsoft Intune .
Esegui l'upgrade a BeyondCorp Enterprise Premium, l'abbonamento a pagamento di BeyondCorp Enterprise. Per eseguire l'upgrade, contatta il nostro team di vendita.
Assicurati di disporre di uno dei seguenti ruoli di Identity and Access Management:
- Amministratore Gestore contesto accesso (roles/accesscontextmanager.policyAdmin)
- Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)
Comprendi gli oggetti e gli attributi utilizzati per creare le espressioni CEL (Common Expression Language) per i livelli di accesso personalizzati. Per maggiori dettagli, consulta Specifica dei livelli di accesso personalizzati.

Crea livelli di accesso personalizzati

Puoi creare livelli di accesso con una o più condizioni. Se vuoi che i dispositivi degli utenti soddisfino più condizioni (con condizioni AND logico), crea un livello di accesso che contenga tutte le condizioni richieste.

Per creare un nuovo livello di accesso personalizzato utilizzando i dati forniti da Intune:

Vai alla pagina Gestore contesto accesso nella console Google Cloud.
Vai a Gestore contesto accesso
Se ti viene richiesto, seleziona la tua organizzazione.
Nella pagina Gestore contesto accesso, fai clic su Nuovo.
Nel riquadro Nuovo livello di accesso, inserisci quanto segue:
1. Nel campo Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.
2. Nella sezione Crea condizioni in, seleziona Modalità avanzata.
3. Nella sezione Condizioni, inserisci le espressioni per il livello di accesso personalizzato. La condizione deve risolversi in un singolo valore booleano.
  Per trovare i campi Intune disponibili per l'espressione CEL, puoi esaminare i dati Intune raccolti per i tuoi dispositivi.
  Esempi
  La seguente espressione CEL crea una regola che consente l'accesso solo da dispositivi gestiti da Intune conformi:
```
device.vendors["Intune"].is_managed_device == true && device.vendors["Intune"].data["complianceState"] == "compliant"
```
  La seguente espressione CEL crea una regola che consente l'accesso solo dai dispositivi sincronizzati da Intune negli ultimi tre giorni. Il campo lastSyncDateTime è fornito da Intune.
```
request.time - timestamp(device.vendors["Intune"].data["lastSyncDateTime"]) < duration("72h")
      
```
  Nota: BeyondCorp Enterprise può impiegare fino a 60 minuti per estrarre gli aggiornamenti da Intune, che esegue la sincronizzazione solo poche volte al giorno se il dispositivo è attivo. Pertanto, ti consigliamo di utilizzare questa pianificazione quando pianifichi la durata dell'aggiornamento.
  
  Per esempi e ulteriori informazioni sul supporto del linguaggio CEL (Common Expression Language) e sui livelli di accesso personalizzati, consulta la pagina Specifica dei livelli di accesso personalizzati.
4. Fai clic su Salva.

Assegna livelli di accesso personalizzati

Puoi assegnare livelli di accesso personalizzati per controllare l'accesso alle applicazioni. Tra queste sono incluse le app di Google Workspace e quelle protette da Identity-Aware Proxy su Google Cloud (nota anche come risorsa protetta con IAP). Puoi assegnare uno o più livelli di accesso alle app. Se selezioni più livelli di accesso, i dispositivi degli utenti devono soddisfare solo le condizioni di uno dei livelli per ottenere l'accesso all'app.

Assegna livelli di accesso personalizzati per le applicazioni di Google Workspace

Assegna livelli di accesso per le applicazioni Google Workspace dalla Console di amministrazione Google Workspace:

Nella home page della Console di amministrazione, vai a Sicurezza > Accesso sensibile al contesto.
Vai ad Accesso sensibile al contesto
Fai clic su Assegna livelli di accesso.

Viene visualizzato un elenco di app.
Nella sezione Unità organizzative, seleziona l'unità organizzativa o il gruppo.
Seleziona l'app per la quale vuoi assegnare un livello di accesso e fai clic su Assegna.

Viene visualizzato l'elenco di tutti i livelli di accesso. I livelli di accesso sono una risorsa condivisa tra Google Workspace, Cloud Identity e Google Cloud, quindi è possibile che l'elenco includa livelli di accesso non creati da te.
Seleziona uno o più livelli di accesso per l'app.
Per applicare i livelli di accesso agli utenti sulle app desktop e mobile (e sul browser), seleziona Applica ad app mobile e desktop Google. Questa casella di controllo si applica solo alle app integrate.
Fai clic su Salva. Il nome del livello di accesso viene visualizzato nell'elenco dei livelli di accesso assegnati accanto all'app.

Assegna livelli di accesso personalizzati per le risorse protette con IAP

Per assegnare i livelli di accesso per le risorse protette con IAP dalla console Google Cloud, segui le istruzioni in Applicare un livello di accesso per le risorse protette da IAP.

Passaggi successivi

Monitorare l'inventario dei dispositivi