Proteggere dati e dispositivi con Microsoft Intune

  • Articolo

Microsoft Intune può aiutare a mantenere i dispositivi gestiti sicuri e aggiornati e a proteggere i dati dell'organizzazione da dispositivi compromessi. La protezione dei dati include il controllo delle operazioni degli utenti con i dati di un'organizzazione su dispositivi gestiti e non gestiti. La protezione dei dati si estende anche al blocco dell'accesso ai dati dai dispositivi che potrebbero essere compromessi.

Questo articolo illustra molte delle funzionalità predefinite di Intune e delle tecnologie per i partner che è possibile integrare con Intune. Man mano che si impara di più su di loro, è possibile riunire diversi per soluzioni più complete nel percorso verso un ambiente zero trust.

Dall'interfaccia di amministrazione Microsoft Intune, Intune supporta i dispositivi gestiti che eseguono Android, iOS/iPad, macOS e Windows 10.

Quando si usa Configuration Manager per gestire i dispositivi locali, è possibile estendere i criteri di Intune a tali dispositivi configurando il collegamento tenant o la co-gestione.

Intune può anche usare le informazioni dei dispositivi gestiti con prodotti di terze parti che forniscono la conformità dei dispositivi e la protezione dalle minacce per dispositivi mobili.

Proteggere i dispositivi tramite criteri

Distribuire la configurazione del dispositivo e i criteri di conformità dei dispositivi di Intune per configurare i dispositivi in modo che soddisfino gli obiettivi di sicurezza delle organizzazioni. I criteri supportano uno o più profili, ovvero i set discreti di regole specifiche della piattaforma distribuite in gruppi di dispositivi registrati.

  • Con i criteri di configurazione dei dispositivi, gestire i profili che definiscono le impostazioni e le funzionalità usate dai dispositivi nell'organizzazione. Configurare i dispositivi per Endpoint Protection, effettuare il provisioning dei certificati per l'autenticazione, impostare i comportamenti di aggiornamento software e altro ancora.

  • Con i criteri di conformità dei dispositivi, si creano profili per diverse piattaforme di dispositivi che stabiliscono i requisiti dei dispositivi. I requisiti possono includere le versioni del sistema operativo, l'uso della crittografia del disco o l'uso di livelli di minaccia specifici, come definito dal software di gestione delle minacce.

    Intune può proteggere i dispositivi non conformi ai criteri e avvisare l'utente del dispositivo in modo che possa garantire la conformità del dispositivo.

    Quando si aggiunge l'accesso condizionale alla combinazione, configurare criteri che consentono solo ai dispositivi conformi di accedere alle risorse della rete e dell'organizzazione. Le restrizioni di accesso possono includere condivisioni file e posta elettronica aziendale. I criteri di accesso condizionale funzionano anche con i dati sullo stato del dispositivo segnalati dai partner di conformità dei dispositivi di terze parti integrati con Intune.

Di seguito sono riportate alcune delle impostazioni di sicurezza e delle attività che è possibile gestire tramite i criteri del dispositivo:

  • Crittografia del dispositivo: gestire BitLocker nei dispositivi Windows 10 e FileVault in macOS.

  • Metodi di autenticazione : configurare il modo in cui i dispositivi eseguono l'autenticazione alle risorse, alla posta elettronica e alle applicazioni dell'organizzazione.

    • Usare i certificati per l'autenticazione alle applicazioni, alle risorse dell'organizzazione e per la firma e la crittografia della posta elettronica tramite S/MIME. È anche possibile configurare le credenziali derivate quando l'ambiente richiede l'uso di smart card.

    • Configurare le impostazioni che consentono di limitare i rischi, ad esempio:

      • Richiedere l'autenticazione a più fattori (MFA) per aggiungere un livello aggiuntivo di autenticazione per gli utenti.
      • Impostare i requisiti di PIN e password che devono essere soddisfatti prima di ottenere l'accesso alle risorse.
      • Abilitare Windows Hello for Business per i dispositivi Windows 10.

  • Reti private virtuali (VPN): con i profili VPN, assegnare le impostazioni VPN ai dispositivi in modo che possano connettersi facilmente alla rete dell'organizzazione. Intune supporta diversi tipi di connessione VPN e app, che includono sia funzionalità predefinite per alcune piattaforme che app VPN di prima e di terze parti per i dispositivi.

  • Aggiornamenti software : consente di gestire come e quando i dispositivi ricevono gli aggiornamenti software.

    • Per iOS, gestire le versioni del sistema operativo del dispositivo e quando i dispositivi verificano e installano gli aggiornamenti.
    • Per Windows 10, è possibile gestire l'esperienza di Windows Update per i dispositivi. È possibile configurare quando i dispositivi analizzano o installano gli aggiornamenti, tenere un set di dispositivi gestiti in versioni specifiche delle funzionalità e altro ancora.

  • Baseline di sicurezza: distribuire le baseline di sicurezza per stabilire un comportamento di sicurezza di base nei dispositivi Windows 10. Le baseline di sicurezza sono gruppi preconfigurati di impostazioni di Windows consigliati dai team di prodotto pertinenti. È possibile usare le linee di base come fornite o modificare le istanze di esse per soddisfare gli obiettivi di sicurezza per i gruppi di dispositivi di destinazione.

Proteggere i dati tramite criteri

Intune le app gestite e i criteri di protezione delle app di Intune consentono di arrestare le perdite di dati e di proteggere i dati dell'organizzazione. Queste protezioni possono essere applicate ai dispositivi registrati con Intune e ai dispositivi che non lo sono.

  • Intune app gestite (o, in breve, le app gestite), sono app integrate con Intune App SDK o di cui è stato eseguito il wrapping dal Intune App Wrapping Tool. Queste app possono essere gestite usando Intune criteri di protezione delle app. Per visualizzare un elenco di app gestite disponibili pubblicamente, vedere Intune app protette.

    Gli utenti possono usare le app gestite per lavorare sia con i dati dell'organizzazione che con i propri dati personali. Tuttavia, quando i criteri di protezione delle app richiedono l'uso di un'app gestita, l'app gestita è l'unica app che può essere usata per accedere ai dati dell'organizzazione. Protezione di app regole non si applicano ai dati personali di un utente.

  • Protezione di app criteri sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Le regole identificano l'app gestita che deve essere usata e definiscono cosa può essere fatto con i dati mentre l'app è in uso.

Di seguito sono riportati esempi di protezioni e restrizioni che è possibile impostare con i criteri di protezione delle app e le app gestite:

  • Configurare le protezioni a livello di app, ad esempio la richiesta di un PIN per aprire un'app in un contesto di lavoro.
  • Controllare la condivisione dei dati di un'organizzazione tra le app in un dispositivo, ad esempio bloccando la copia e l'incolla o le acquisizioni dello schermo.
  • Impedire il salvataggio dei dati dell'organizzazione in posizioni di archiviazione personali.

Usare le azioni del dispositivo per proteggere dispositivi e dati

Dall'interfaccia di amministrazione Microsoft Intune è possibile eseguire azioni del dispositivo che consentono di proteggere un dispositivo selezionato. È possibile eseguire un subset di queste azioni come azioni di dispositivo bulk per influire contemporaneamente su più dispositivi. E diverse azioni remote da Intune possono essere usate anche con i dispositivi co-gestiti.

Le azioni del dispositivo non sono criteri e diventano effettive una sola volta quando vengono richiamate. Si applicano immediatamente se il dispositivo è accessibile on-line o quando il dispositivo viene avviato o controllato con Intune. Queste azioni sono considerate supplementari all'uso di criteri che configurano e gestiscono le configurazioni di sicurezza per una popolazione di dispositivi.

Di seguito sono riportati esempi di azioni che è possibile eseguire per proteggere i dispositivi e i dati:

Dispositivi gestiti da Intune:

  • Rotazione della chiave di BitLocker (solo Windows)
  • Disabilita blocco attivazione (solo iOS)
  • Analisi completa o rapida (solo Windows 10)
  • Impostare il blocco remoto
  • Ritiro (che rimuove i dati dell'organizzazione dal dispositivo lasciando intatti i dati personali)
  • Aggiornare Microsoft Defender Security Intelligence
  • Cancellazione (reimpostazione delle impostazioni predefinite del dispositivo, rimozione di tutti i dati, le app e le impostazioni)

Dispositivi gestiti da Configuration Manager:

  • Ritiro
  • Cancellazione
  • Sincronizzazione (forzare un dispositivo a archiviare immediatamente con Intune per trovare nuovi criteri o azioni in sospeso)

Integrazione con altri prodotti

Intune supporta l'integrazione con le app partner provenienti da origini di prima e di terze parti, che si espandono sulle funzionalità predefinite. È anche possibile integrare Intune con diverse tecnologie Microsoft.

Tecnologie per i partner

Intune possono usare i dati dei partner di conformità integrati e dei partner di mobile threat defense:

  • Partner di conformità: informazioni sui partner di conformità dei dispositivi con Intune. Quando si gestisce un dispositivo con un partner di gestione di dispositivi mobili diverso da Intune, è possibile integrare i dati di conformità con Azure Active Directory. Se integrati, i dati dei partner possono essere usati dai criteri di accesso condizionale insieme ai dati di conformità lato da Intune.

  • Mobile Threat Defense : le app per la difesa dalle minacce mobili possono analizzare i dispositivi alla ricerca di minacce e identificare il rischio di consentire al dispositivo di accedere alle risorse e ai dati dell'organizzazione. È quindi possibile usare tale livello di rischio in vari criteri, ad esempio i criteri di accesso condizionale, per consentire l'accesso a tali risorse.

Configuration Manager

È possibile usare molti criteri di Intune e azioni del dispositivo per proteggere i dispositivi gestiti con Configuration Manager. Per supportare tali dispositivi, configurare la co-gestione o il collegamento del tenant. È anche possibile usare entrambi insieme a Intune.

  • La co-gestione consente di gestire contemporaneamente un dispositivo Windows 10 con Configuration Manager e Intune. Installare il client Configuration Manager e registrare il dispositivo in Intune. Il dispositivo comunica con entrambi i servizi.

  • Il collegamento del tenant configura la sincronizzazione tra il sito Configuration Manager e il tenant Intune. Questa sincronizzazione offre una singola visualizzazione per tutti i dispositivi gestiti con Microsoft Intune.

Dopo aver stabilito una connessione tra Intune e Configuration Manager, i dispositivi di Configuration Manager sono disponibili nell'interfaccia di amministrazione Microsoft Intune. È quindi possibile distribuire criteri di Intune in tali dispositivi o usare azioni del dispositivo per proteggerli.

Alcune delle protezioni che è possibile applicare includono:

  • Distribuire i certificati nei dispositivi usando Intune profili certificato Simple Certificate Enrollment Protocol (SCEP) o PKCS (Private and Public Key Pair).
  • Usare i criteri di conformità.
  • Usare i criteri di sicurezza degli endpoint, ad esempio Antivirus, Rilevamento e risposta degli endpoint e Regole del firewall .
  • Applicare le baseline di sicurezza.
  • Gestire Windows Aggiornamenti.

App Mobile Threat Defense

Le app Mobile Threat Defense (MTD) analizzano e analizzano attivamente i dispositivi alla ricerca di minacce. Quando si integrano (connettersi) app Mobile Threat Defense con Intune, si ottiene la valutazione delle app di un livello di minaccia dei dispositivi. La valutazione di un livello di minaccia del dispositivo è uno strumento importante per proteggere le risorse dell'organizzazione da dispositivi mobili compromessi.

Usare i dati a livello di minaccia con criteri per la conformità dei dispositivi, la protezione delle app e l'accesso condizionale. Questi criteri usano i dati per impedire ai dispositivi non conformi di accedere alle risorse dell'organizzazione.

Con un'app MTD integrata:

  • Per i dispositivi registrati:

    • Usare Intune per distribuire e quindi gestire l'app MTD nei dispositivi.
    • Distribuire criteri di conformità dei dispositivi che usano il livello di minaccia segnalato dai dispositivi per valutare la conformità.
    • Definire criteri di accesso condizionale che considerino un livello di minaccia dei dispositivi.
    • Definire i criteri di protezione delle app per determinare quando bloccare o consentire l'accesso ai dati, in base al livello di minaccia del dispositivo.

  • Per i dispositivi che non si registrano con Intune ma eseguono un'app MTD integrata con Intune, usare i dati a livello di minaccia con i criteri di protezione delle app per bloccare l'accesso ai dati dell'organizzazione.

Intune supporta l'integrazione con:

Microsoft Defender per endpoint

Da solo, Microsoft Defender per endpoint offre diversi vantaggi incentrati sulla sicurezza. Microsoft Defender per endpoint si integra anche con Intune ed è supportato in diverse piattaforme di dispositivi. Con l'integrazione, si ottiene un'app mobile threat defense e si aggiungono funzionalità per Intune per mantenere i dati e i dispositivi al sicuro. Queste funzionalità includono:

  • Supporto per Microsoft Tunnel: nei dispositivi Android Microsoft Defender per endpoint è l'applicazione client usata con Microsoft Tunnel, una soluzione gateway VPN per Intune. Se usata come app client di Microsoft Tunnel, non è necessaria una sottoscrizione per Microsoft Defender per endpoint.

  • Attività di sicurezza: con le attività di sicurezza, gli amministratori Intune possono sfruttare le funzionalità di gestione di minacce e vulnerabilità di Microsoft Defender per endpoint. Funzionamento:

    • Il team di Defender per endpoint identifica i dispositivi a rischio e crea le attività di sicurezza per Intune nel Centro sicurezza defender per endpoint.
    • Queste attività vengono visualizzate in Intune con consigli di mitigazione che Intune amministratori possono usare per mitigare il rischio.
    • Quando un'attività viene risolta in Intune, tale stato passa nuovamente al Centro sicurezza Defender per endpoint in cui è possibile valutare i risultati della mitigazione.

  • Criteri di sicurezza degli endpoint: i criteri di sicurezza degli endpoint Intune seguenti richiedono l'integrazione con Microsoft Defender per endpoint. Quando si usa il collegamento tenant, è possibile distribuire questi criteri ai dispositivi gestiti con Intune o Configuration Manager.

    • Criteri antivirus: consente di gestire le impostazioni per Microsoft Defender Antivirus e l'esperienza di Sicurezza di Windows nei dispositivi supportati, ad esempio Windows 10 e macOS.

    • Criteri di rilevamento e risposta degli endpoint: usare questo criterio per configurare il rilevamento e la risposta degli endpoint( EDR), che è una funzionalità di Microsoft Defender per endpoint.

Accesso condizionale

L'accesso condizionale è una funzionalità di Azure Active Directory (Azure AD) che funziona con Intune per proteggere i dispositivi. Per i dispositivi che si registrano con Azure AD, i criteri di accesso condizionale possono usare i dettagli del dispositivo e della conformità di Intune per applicare le decisioni di accesso per utenti e dispositivi.

Combinare i criteri di accesso condizionale con:

  • I criteri di conformità dei dispositivi possono richiedere che un dispositivo sia contrassegnato come conforme prima che possa essere usato per accedere alle risorse dell'organizzazione. I criteri di accesso condizionale specificano i servizi delle app da proteggere, le condizioni in cui è possibile accedere alle app o ai servizi e gli utenti a cui si applicano i criteri.

  • Protezione di app criteri possono aggiungere un livello di sicurezza che garantisce che solo le app client che supportano Intune criteri di protezione delle app possano accedere alle risorse online, ad esempio Exchange o altri servizi di Microsoft 365.

L'accesso condizionale funziona anche con quanto segue per proteggere i dispositivi:

  • Microsoft Defender per endpoint e app MTD di terze parti
  • App partner per la conformità dei dispositivi
  • Microsoft Tunnel

Passaggi successivi

Pianificare l'uso delle funzionalità di Intune per supportare il percorso verso un ambiente senza attendibilità proteggendo i dati e proteggendo i dispositivi. Oltre ai collegamenti in linea precedenti per altre informazioni su tali funzionalità, vedere Informazioni sulla sicurezza e la condivisione dei dati in Intune.