Gestione dispositivi mobili in Contoso
Microsoft 365 per le aziende include Intune e un set di servizi di Azure che supportano la gestione e la sicurezza di dispositivi mobili e applicazioni.
Contoso ha molti dipendenti abilitati per dispositivi mobili. Alcuni hanno uffici in località Contoso e altri non hanno uffici. Contoso aveva bisogno di un modo per abilitare la produttività dei dipendenti, ma mantenere protetti i dispositivi, i dati contoso archiviati in tali dispositivi e il comportamento dell'applicazione.
Piano
Contoso ha identificato i seguenti Intune casi d'uso di gestione dei dispositivi mobili per Microsoft 365 per le aziende:
- Proteggere Exchange Online posta elettronica e i dati in modo che possano essere accessibili in modo sicuro dai dispositivi mobili.
- Implementare un programma BYOD (Bring Your Own Device) per i dipendenti Contoso.
- Inviare telefoni di proprietà dell'organizzazione e tablet condivisi a uso limitato ai dipendenti Contoso.
Contoso non usa Intune per:
- Consentire ai dipendenti di accedere in modo sicuro a Microsoft 365 da un chiosco multimediale pubblico non gestito.
- Proteggere la posta elettronica e i dati locali in modo che possano essere accessibili in modo sicuro dai dispositivi mobili, perché non sono presenti server Microsoft Exchange locali.
Distribuzione
Ecco come Contoso ha configurato l’infrastruttura di gestione dei dispositivi mobili:
Impostare Intune come autorità MDM (Mobile Gestione dispositivi) e usare Intune in Azure per amministrare il contenuto e gestire i dispositivi
Creato Microsoft Entra gruppi per i dispositivi per le impostazioni di registrazione e Intune e i criteri di accesso condizionale basato su dispositivo
Per altre informazioni, vedere Criteri di accesso condizionale di Contoso.
Abilitata la piattaforma per dispositivi Apple per supportare i dipendenti con iPad, iMac e iPhone e iPhone di proprietà dell'azienda
Ha creato criteri di termini e condizioni specifichi per Contoso, visualizzati durante l’installazione del Portale aziendale per i dispositivi mobili di Contoso
Per i dispositivi non registrati, è stato implementato un set di criteri di gestione delle applicazioni mobili (MAM) per richiedere l'autenticazione per l'accesso ai servizi di Microsoft 365
Ha creato criteri di Intune che garantiscono:
- App consentite.
- Crittografia del dispositivo per impedire l'accesso non autorizzato.
- PIN o password a sei cifre.
- Periodo di inattività-timeout.
- Protezione antivirus e malware e aggiornamenti delle firme con Windows Defender nei dispositivi Windows 11.
- Aggiornamenti automatici nei dispositivi Windows 11 che includono gli aggiornamenti della sicurezza più recenti.
- Push dei certificati nei dispositivi gestiti.
- Una chiara separazione dei dati aziendali e personali. Gli utenti o gli amministratori possono cancellare selettivamente i dati aziendali dal dispositivo, lasciando invariati i dati personali, ad esempio immagini, account di posta elettronica personali e file personali.
Contoso ha registrato PC distribuiti e smartphone e tablet di proprietà dell'azienda aggiungendoli ai gruppi di dispositivi Intune appropriati. Hanno anche stabilito un programma BYOD per consentire ai dipendenti di registrare i propri dispositivi personali. I dispositivi registrati ricevono criteri di Intune, che generano dispositivi gestiti e protetti e le relative applicazioni. I dispositivi non registrati hanno criteri di gestione delle applicazioni mobili (MAM, Mobile Application Management) che specificano le applicazioni consentite.
Di seguito è illustrata l'architettura di distribuzione della gestione dei dispositivi mobili contoso.
Passaggio successivo
Informazioni su come Contoso usa le funzionalità di protezione delle informazioni di Microsoft 365 per le aziende per classificare, identificare e proteggere asset digitali cruciali nell'intera organizzazione.