Condividi tramite

Configurare Microsoft Intune per una maggiore sicurezza (anteprima)

Le raccomandazioni sulla sicurezza in questo documento sono progettate per migliorare il comportamento di sicurezza dell'organizzazione usando Microsoft Intune. Queste raccomandazioni sono influenzate da standard di settore accettati come quelli sviluppati da NIST, dalle baseline di configurazione usate internamente in Microsoft e dalle esperienze con i clienti. Le raccomandazioni contenute in questo articolo per Intune sono incentrate sui dispositivi, ma sono guidate dai seguenti pilastri dell'iniziativa Microsoft Secure Future:

  • Proteggere identità e segreti
  • Proteggere i tenant e isolare i sistemi di produzione
  • Proteggere le reti
  • Proteggere i sistemi di progettazione
  • Monitorare e rilevare minacce informatiche
  • Accelerare la risposta e la correzione

Consiglio

Alcune organizzazioni potrebbero accettare queste raccomandazioni esattamente come scritte, mentre altre potrebbero scegliere di apportare modifiche in base alle proprie esigenze aziendali.

È consigliabile implementare tutti i controlli seguenti in cui sono disponibili le licenze. Questi modelli e procedure consentono di fornire una base sicura per altre risorse basate su questa soluzione. Altri controlli verranno aggiunti a questo documento nel tempo.

Tenant sicuro

Verificare la coerenza di governance, identità e configurazione a livello di tenant.

Assegno Requisiti di licenza minimi
La configurazione dei tag di ambito viene applicata per supportare l'amministrazione delegata e l'accesso con privilegi minimi Microsoft Intune (piano 1)
Le notifiche di registrazione dei dispositivi vengono applicate per garantire la consapevolezza degli utenti e l'onboarding sicuro Microsoft Intune (piano 1)
La registrazione automatica dei dispositivi Windows viene applicata per eliminare i rischi dagli endpoint non gestiti Microsoft Intune (piano 1)
Microsoft Entra ID P1 (per l'accesso condizionale)
I criteri di conformità proteggono i dispositivi Windows Microsoft Intune (piano 1)
I criteri di conformità proteggono i dispositivi macOS Microsoft Intune (piano 1)
I criteri di conformità proteggono i dispositivi Android completamente gestiti e di proprietà dell'azienda Microsoft Intune (piano 1)
I criteri di conformità proteggono i dispositivi Android di proprietà personale Microsoft Intune (piano 1)
I criteri di conformità proteggono i dispositivi iOS/iPadOS Microsoft Intune (piano 1)
L'accesso Single Sign-On della piattaforma è configurato per rafforzare l'autenticazione nei dispositivi macOS Microsoft Intune (piano 1)
Microsoft Entra ID P1 (per l'accesso condizionale)
La registrazione automatica di Defender per endpoint viene applicata per ridurre i rischi derivanti da minacce Android non gestite Microsoft Intune (piano 1)
Defender per endpoint - Piano 1
Le regole di pulizia dei dispositivi mantengono l'igiene del tenant nascondendo i dispositivi inattivi Microsoft Intune (piano 1)
I criteri termini e condizioni proteggono l'accesso ai dati sensibili Microsoft Intune (piano 1)
Portale aziendale le impostazioni di personalizzazione e supporto migliorano l'esperienza utente e l'attendibilità Microsoft Intune (piano 1)
Endpoint Analytics è abilitato per identificare i rischi nei dispositivi Windows Microsoft Intune (piano 1)

Per informazioni dettagliate sulla licenza, vedere:

Dispositivi sicuri

Proteggere gli endpoint tramite la configurazione del dispositivo e i criteri di sicurezza.

Assegno Requisiti di licenza minimi
Le credenziali di amministratore locale in Windows sono protette da Windows LAPS piano Microsoft Intune
Le credenziali di amministratore locale in macOS sono protette durante la registrazione da macOS LAPS Microsoft Intune (piano 1)
L'utilizzo dell'account locale in Windows è limitato per ridurre l'accesso non autorizzato Microsoft Intune (piano 1)
I dati in Windows sono protetti dalla crittografia BitLocker Microsoft Intune (piano 1)
La crittografia FileVault protegge i dati nei dispositivi macOS Microsoft Intune (piano 1)
L'autenticazione in Windows usa Windows Hello for Business Microsoft Intune (piano 1)
Le regole di riduzione della superficie di attacco vengono applicate ai dispositivi Windows per impedire lo sfruttamento dei componenti di sistema vulnerabili Microsoft Intune (piano 1)
Defender per endpoint - Piano 1
Antivirus Defender criteri proteggono i dispositivi Windows da malware Microsoft Intune (piano 1)
Defender per endpoint - Piano 1
Antivirus Defender criteri proteggono i dispositivi macOS da malware Microsoft Intune (piano 1)
Defender per endpoint - Piano 1
I criteri di Windows Firewall proteggono dall'accesso alla rete non autorizzato Microsoft Intune (piano 1)
I criteri del firewall macOS proteggono dall'accesso alla rete non autorizzato Microsoft Intune (piano 1)
Windows Update criteri vengono applicati per ridurre il rischio di vulnerabilità senza patch Microsoft Intune (piano 1)
Le baseline di sicurezza vengono applicate ai dispositivi Windows per rafforzare il comportamento di sicurezza Microsoft Intune (piano 1)
I criteri di aggiornamento per macOS vengono applicati per ridurre il rischio di vulnerabilità senza patch Microsoft Intune (piano 1)
I criteri di aggiornamento per iOS/iPadOS vengono applicati per ridurre il rischio di vulnerabilità senza patch Microsoft Intune (piano 1)

Per informazioni dettagliate sulla licenza, vedere:

Proteggere i dati

Proteggere i dati nei dispositivi e in transito e applicare l'accesso sicuro ai dati dell'organizzazione.

Assegno Requisiti di licenza minimi
I dati in Android sono protetti dai criteri di protezione delle app Microsoft Intune (piano 1)
I dati in iOS/iPadOS sono protetti dai criteri di protezione delle app Microsoft Intune (piano 1)
I criteri di accesso condizionale bloccano l'accesso da app non gestite Microsoft Intune (piano 1)
Microsoft Entra ID P1 (per l'accesso condizionale)
I criteri di accesso condizionale bloccano l'accesso da dispositivi non conformi Microsoft Intune (piano 1)
Microsoft Entra ID P1 (per l'accesso condizionale)
Proteggere i profili Wi-Fi proteggere i dispositivi iOS da accessi di rete non autorizzati Microsoft Intune (piano 1)
Proteggere i profili Wi-Fi proteggere i dispositivi macOS da accessi di rete non autorizzati Microsoft Intune (piano 1)
Proteggere i profili di Wi-Fi proteggere i dispositivi Android da accessi di rete non autorizzati Microsoft Intune (piano 1)

Per informazioni dettagliate sulla licenza, vedere:

Contenuto correlato

  • Last updated on