Un criterio di accesso client utilizza le credenziali di autenticazione client di Office 365 per accedere alle applicazioni Office 365 nella distribuzione di Workspace ONE. Un client Office 365, ad esempio VMware Boxer, Microsoft Outlook e i client e-mail nativi di iOS e Android, raccoglie le credenziali nella propria interfaccia utente per l'autenticazione. Un criterio di accesso client consente a Workspace ONE Access di gestire le credenziali raccolte per l'autenticazione. I criteri di accesso client consentono inoltre di impostare altri parametri di accesso per le applicazioni di Office 365. I criteri impostati in una singola applicazione di Office 365 si applicano a tutte le applicazioni di Office 365. Tutte le modifiche ai criteri di accesso client influiscono sulla capacità degli utenti di accedere a tali applicazioni.

Ordine dei criteri di accesso client

Disporre in ordine i criteri di accesso client in quando il sistema li applica dall'alto verso il basso. Il sistema utilizza il primo criterio per autenticare un client o negare l'accesso.

Ad esempio, se si crea un criterio che nega l'accesso a tutti i tipi di dispositivi e lo si trascina sopra un criterio che consente l'accesso ai dispositivi Android, il sistema nega comunque l'accesso a tutti i dispositivi che tentano di utilizzare un nome utente e una password. Il sistema non applica quindi il criterio che consente l'accesso ai dispositivi Android. Il primo criterio che nega l'accesso ha priorità.

Aggiungere applicazioni di Office 365 con un criterio di accesso client

È possibile aggiungere applicazioni di Office 365 in Workspace ONE UEM console, in modo da poterne controllare l'accesso con criteri di accesso client.
  1. Selezionare Risorse > App > SaaS, quindi scegliere Nuova.
  2. Completare le opzioni nella scheda Definizione.
    Tabella 1.
    Impostazione Descrizione
    Cerca Immettere Office 365 per visualizzare un elenco delle applicazioni disponibili.
    Nome Immettere o visualizzare un nome per l'applicazione SaaS.
    Descrizione (Facoltativo) Fornire una descrizione dell'applicazione. Spesso, questa casella di testo viene riempita automaticamente.
    Icona (Facoltativo) Se un'icona non viene visualizzata automaticamente, selezionarne una.
    Categoria (Facoltativo) Assegnare categorie per aiutare gli utenti a ordinare e filtrare l'applicazione nel catalogo Workspace ONE.

    Configurare le categorie in Workspace ONE Access in modo da visualizzarle nell'elenco delle categorie.

  3. Completare le opzioni nella scheda Configurazione.
    1. Le applicazioni di Office 365 utilizzano WSFed 1.2 come Tipo di autenticazione per fornire l'accesso Single Sign-On.
      Impostazione Descrizione
      URL di destinazione Inserire l'URL per indirizzare gli utenti all'applicazione SaaS su Internet.
      URL Single Sign-on Inserire l'URL Assertion Consumer Service (ACS).

      Workspace ONE invia questo URL al fornitore di servizi per il Single Sign-on.

      ID dell'applicazione Inserire l'ID che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'ID.

      Alcuni provider di servizi usano l'URL Single Sign-On.

      Formato nome utente Selezionare il formato richiesto dai fornitori di servizi per il formato dell'oggetto SAML.
      Valore nome utente Inserire il Valore ID nome inviato da Workspace ONE nell'istruzione di oggetto dell'asserzione SAML.

      Questo valore è un valore della casella di testo di profilo predefinito per un nome utente presso il fornitore di servizi di applicazioni.

    2. Aggiungere i valori dei Parametri applicazione per consentire l'avvio dell'applicazione.
    3. Se si desidera un controllo maggiore sulla messaggistica nei processi Single Sign-On con Workspace ONE, aggiungere Proprietà avanzate per WSFed 1.2.
      Impostazione Descrizione
      Verifica credenziali Selezionare il metodo di verifica delle credenziali.
      Algoritmo della firma Selezionare l'algoritmo di firma corrispondente all'algoritmo digest.

      Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo.

      Algoritmo Digest Selezionare l'algoritmo digest corrispondente all'algoritmo di firma.

      Se il provider di servizi in uso supporta SHA256, selezionare tale algoritmo.

      Ora asserzione Immettere i secondi inviati dall'istanza di Workspace ONE di asserzione al provider di servizi affinché l'autenticazione sia valida.
      Mappatura degli attributi personalizzati Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli.
    4. Assegnare i criteri per la protezione dell'accesso alle risorse dell'applicazione in Criteri di accesso.
      Impostazione Descrizione
      Criterio d'accesso Selezionare un criterio utilizzabile da Workspace ONE per controllare l'autenticazione e l'accesso degli utenti.

      Il criterio di accesso predefinito è disponibile se non si dispongono di criteri personalizzati.

      Tali criteri possono essere configurati nella console UEM.

      Apri in browser VMware Richiede a Workspace ONE di aprire l'applicazione in VMware Browser.

      Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne.

      Richiesta approvazione licenza Richiede le approvazioni prima di installare l'applicazione e attivare una licenza.
      • Prezzo licenza - Selezionare il modello di prezzo per acquistare le licenze per l'applicazione SaaS.
      • Tipo di licenza - Selezionare il modello utente per le licenze, utenti denominati o simultanei.
      • Costo per licenza - Immettere il prezzo per licenza.
      • Numero di licenze - Immettere il numero di licenze acquistate per l'applicazione SaaS.

      Configurare le Approvazioni corrispondenti nella sezione Impostazioni dell'applicazione SaaS.

  4. Aggiungere Criteri di accesso client per i client Office 365. Un criterio di accesso client consente a Workspace ONE Access di gestire le credenziali dell'interfaccia utente del client Office 365 raccolte per l'autenticazione. Alcuni esempi di client includono VMware Boxer e Microsoft Outlook. Selezionare Aggiungi regola di criterio e completare le impostazioni.
    Impostazioni Descrizione
    Se il client dell'utente è Selezionare un client Office 365 disponibile.
    Se l'intervallo di rete di un utente è Selezionare un intervallo di rete configurato precedentemente nel processo per gli intervalli di rete.
    E il tipo di dispositivo dell'utente è Selezionare la piattaforma del dispositivo consentito per l'accesso.
    e l'utente appartiene ai gruppi Selezionare i gruppi di utenti autorizzati ad accedere al contenuto, in base alle regole specificate nel criterio.

    Se non si seleziona alcun gruppo, il criterio si applica a tutti gli utenti.

    E il protocollo e-mail del client è Selezionare il protocollo consentito per il client Office 365.
    Quindi eseguire questa azione Consentire o negare l'accesso alle applicazioni di Office 365.
  5. Visualizzare il Riepilogo per l'applicazione SaaS e passare al processo di assegnazione.

Configurare l'adattatore di provisioning per le applicazioni Office 365

Il provisioning fornisce la gestione automatica degli utenti di un'applicazione da un'unica posizione. Gli adattatori di provisioning consentono alle applicazioni Web di recuperare informazioni specifiche dal servizio Workspace ONE UEM in base alle necessità. Se il provisioning è abilitato per un'applicazione Web, quando si autorizza un utente all'applicazione nel servizio Workspace ONE UEM, viene eseguito il provisioning di tale utente nell'applicazione Web. Il servizio Workspace ONE UEM comprende attualmente adattatori di provisioning per Microsoft Office 365.Il servizio Workspace ONE UEM comprende attualmente adattatori di provisioning per Microsoft Office 365. Completare i passaggi seguenti per configurare l'adattatore di provisioning per Office 365.
  1. Selezionare Risorse > App > SaaS, quindi scegliere Nuova.
  2. Nella scheda Definizione cercare Office 365. Completare la scheda Definizione e scegliere Avanti.
  3. Completare le caselle di testo nella scheda Configurazione.
  4. Abilitare Configura provisioning. Per impostazione predefinita, la configurazione del provisioning è disabilitata. Dopo la selezione di Configura provisioning, le schede Provisioning, Provisioning utente e Provisioning di gruppo vengono aggiunte alla navigazione a sinistra.
  5. Aggiungere Criteri di accesso client per i client Office 365.
  6. Nella scheda Provisioning, selezionare Abilita Provisioning e immettere le informazioni riportate di seguito.
    Impostazione Descrizione
    Dominio di Office 365 Immettere il nome del dominio di Office 365. Ad esempio esempio.com. Viene effettuato il provisioning degli utenti in questo dominio.
    ID client applicazione Immettere l'AppPrincipalId ottenuto durante la creazione dell'utente dell'entità principale.
    Segreto client applicazione Immettere la password creata per l'utente dell'entità principale.
  7. Per impostazione predefinita, l'opzione Provisioning con licenza è disabilitata. Selezionando Provisioning con licenza, è possibile immettere le informazioni riportate di seguito.
    Impostazione Descrizione
    ID SKU Immettere le informazioni SKU.
    Rimuovi licenza dopo deprovisioning Selezionare l'opzione se si desidera rimuovere la licenza quando si annulla il provisioning dell'applicazione di Office 365.
  8. Per verificare che il tenant di Office 365 possa essere raggiunto, selezionare Esegui test di connessione.
  9. Selezionare Avanti.
  10. Nella scheda Provisioning utente, selezionare gli attributi con cui eseguire il provisioning degli utenti in Office 365. Assicurarsi che i seguenti attributi obbligatori di Active Directory siano configurati su uno dei nomi di attributo obbligatori nella pagina Attributi utente.
    • L'attributo Nickname posta deve essere univoco all'interno della directory e non può contenere caratteri speciali. Mappare l'attributo Nickname posta al nome utente. Una volta mappato, non modificare il Nickname posta.
    • L'attributo objectGUID è un attributo personalizzato che deve prima essere aggiunto all'elenco degli attributi utente. L'ObjectGUID viene mappato sull'attributo GUID.
    • Selezionare Aggiungi valore mappato se si desidera aggiungere un Nome attributo e un Valore.
    Nota:
    l'UPN (UserPrincipalName) viene creato automaticamente. Il valore mappato non è visibile. L'adattatore di provisioning aggiunge il dominio di Office 365 al valore dell'attributo mailNickname (user.userName) per creare l'UPN. Viene aggiunto come nome utente +@+ O365_nomedominio. Ad esempio, jdow@office365esempio.com
  11. Selezionare Avanti.
  12. Nella schermata Provisioning gruppo è possibile completare l'attività di Provisioning gruppo. Quando viene eseguito il provisioning di un gruppo in Office 365, il gruppo è sottoposto a provisioning come gruppo di sicurezza. Viene eseguito il provisioning dei membri del gruppo come utenti, se questi non esistono nel tenant di Office 365. Il gruppo non è autorizzato per le risorse quando sottoposto a provisioning. Se si desidera autorizzare il gruppo per le risorse, creare il gruppo e quindi autorizzare le risorse per quel gruppo. Selezionare Aggiungi gruppo e completare i passaggi riportati di seguito.
    1. Nella casella di testo Seleziona gruppo, cercare il gruppo di cui effettuare li provisioning in Office 365.
    2. Nella casella di testo Nickname posta, immettere un nome per questo gruppo. Il nickname viene utilizzato come un alias: non sono consentiti caratteri speciali.
    3. Seleziona Salva.
    È possibile annullare il provisioning di un gruppo nell'applicazione di Office 365. Il gruppo di sicurezza viene rimosso dal tenant di Office 365. Gli utenti del gruppo non vengono eliminati. Per annullare il provisioning di un gruppo, selezionare il gruppo di utenti e scegliere Annulla provisioning .
  13. Selezionare Avanti per visualizzare la scheda Riepilogo.
  14. Selezionare Salva per salvare le configurazioni o Salva e assegna per distribuire Office 365 a utenti e gruppi configurati dal sistema di Active Directory.