Gestire le identità di utenti e gruppi in Microsoft Intune

La gestione e la protezione delle identità utente sono una parte significativa di qualsiasi strategia e soluzione di gestione degli endpoint. Gestione delle identità include gli account utente e i gruppi che accedono alle risorse dell'organizzazione.

Gli amministratori devono gestire l'appartenenza all'account, autorizzare e autenticare l'accesso alle risorse, gestire le impostazioni che influiscono sulle identità degli utenti e proteggere & proteggere le identità da finalità dannose.

Microsoft Intune può eseguire tutte queste attività e altro ancora. Intune è un servizio basato sul cloud in grado di gestire le identità utente tramite criteri, inclusi i criteri di sicurezza e autenticazione. Per altre informazioni su Intune e sui relativi vantaggi, vedere Che cos'è Microsoft Intune?.

Dal punto di vista del servizio, Intune usa Microsoft Entra ID per l'archiviazione delle identità e le autorizzazioni. Usando l'interfaccia di amministrazione Microsoft Intune, è possibile gestire queste attività in una posizione centrale progettata per la gestione degli endpoint.

Questo articolo illustra i concetti e le funzionalità da considerare quando si gestiscono le identità.

Usare gli utenti e i gruppi esistenti

Gran parte della gestione degli endpoint consiste nella gestione di utenti e gruppi. Se si dispone di utenti e gruppi esistenti o si creeranno nuovi utenti e gruppi, Intune può essere utile.

Negli ambienti locali, gli account utente e i gruppi vengono creati e gestiti in Active Directory locale. È possibile aggiornare questi utenti e gruppi usando qualsiasi controller di dominio nel dominio.

Si tratta di un concetto simile in Intune.

L'interfaccia di amministrazione di Intune include una posizione centrale per gestire utenti e gruppi. L'interfaccia di amministrazione è basata sul Web ed è accessibile da qualsiasi dispositivo con una connessione Internet. Gli amministratori devono solo accedere all'interfaccia di amministrazione con l'account amministratore di Intune.

Una decisione importante consiste nel determinare come ottenere gli account utente e i gruppi in Intune. Le opzioni disponibili sono:

• Se attualmente si usa Microsoft 365 e si hanno utenti e gruppi nella interfaccia di amministrazione di Microsoft 365, questi utenti e gruppi sono disponibili anche nell'interfaccia di amministrazione di Intune.

  Microsoft Entra ID e Intune usano un "tenant", ovvero l'organizzazione, ad esempio Contoso o Microsoft. Se si dispone di più tenant, accedere all'interfaccia di amministrazione di Intune nello stesso tenant di Microsoft 365 degli utenti e dei gruppi esistenti. Gli utenti e i gruppi vengono visualizzati e disponibili automaticamente.

  Per altre informazioni su che cos'è un tenant, vedere Avvio rapido: Configurare un tenant.

• Se attualmente si usa Active Directory locale, è possibile usare Microsoft Entra Connect per sincronizzare gli account AD locali con Microsoft Entra ID. Quando questi account sono in Microsoft Entra ID, sono disponibili anche nell'interfaccia di amministrazione di Intune.

  Per informazioni più specifiche, vedere What is Microsoft Entra Connect Sync?.

• È anche possibile importare utenti e gruppi esistenti da un file CSV nell'interfaccia di amministrazione di Intune o creare utenti e gruppi da zero. Quando si aggiungono gruppi, è possibile aggiungere utenti e dispositivi a questi gruppi per organizzarli in base alla posizione, al reparto, all'hardware e altro ancora.

  Per altre informazioni sulla gestione dei gruppi in Intune, vedere Aggiungere gruppi per organizzare utenti e dispositivi.

Per impostazione predefinita, Intune crea automaticamente i gruppi Tutti gli utenti e Tutti i dispositivi . Quando gli utenti e i gruppi sono disponibili per Intune, è possibile assegnare i criteri a questi utenti e gruppi.

Passare dagli account del computer

Quando un endpoint di Windows, ad esempio un dispositivo Windows 10/11, aggiunge un dominio Active Directory locale (AD), viene creato automaticamente un account computer. L'account computer/computer può essere usato per autenticare programmi, servizi e app locali.

Questi account computer sono locali nell'ambiente locale e non possono essere usati nei dispositivi aggiunti all Microsoft Entra ID. In questo caso, è necessario passare all'autenticazione basata sull'utente per eseguire l'autenticazione a programmi, servizi e app locali.

Per altre informazioni e indicazioni, vedere Problemi noti e limitazioni con gli endpoint nativi del cloud.

Ruoli e autorizzazioni controllano l'accesso

Per il diverso tipo di amministratore delle attività, Intune usa il controllo degli accessi in base al ruolo. I ruoli assegnati determinano le risorse a cui un amministratore può accedere nell'interfaccia di amministrazione di Intune e le operazioni che possono eseguire con tali risorse. Esistono alcuni ruoli predefiniti incentrati sulla gestione degli endpoint, ad esempio Application Manager, Policy and Profile Manager e altro ancora.

Poiché Intune usa Microsoft Entra ID, è anche possibile accedere ai ruoli di Microsoft Entra predefiniti, ad esempio Amministratore globale e Amministratore del servizio Intune.

Ogni ruolo ha le proprie autorizzazioni di creazione, lettura, aggiornamento o eliminazione in base alle esigenze. È anche possibile creare ruoli personalizzati se gli amministratori necessitano di un'autorizzazione specifica. Quando si aggiunge o si crea il tipo di amministratore di utenti e gruppi, è possibile assegnare questi account ai diversi ruoli. L'interfaccia di amministrazione di Intune include queste informazioni in una posizione centrale e può essere aggiornata facilmente.

Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune

Creare l'affinità utente durante la registrazione dei dispositivi

Quando gli utenti accedono ai propri dispositivi la prima volta, il dispositivo diventa associato a tale utente. Questa funzionalità è denominata affinità utente.

Tutti i criteri assegnati o distribuiti all'identità utente vengono assegnati all'utente in tutti i dispositivi. Quando un utente è associato al dispositivo, può accedere ai propri account di posta elettronica, ai file, alle app e altro ancora.

Quando non si associa un utente a un dispositivo, il dispositivo viene considerato senza utente. Questo scenario è comune per i dispositivi chioschi multimediali dedicati a un'attività specifica e per i dispositivi condivisi con più utenti.

In Intune è possibile creare criteri per entrambi gli scenari in Android, iOS/iPadOS, macOS e Windows. Quando ci si prepara a gestire questi dispositivi, assicurarsi di conoscere lo scopo previsto del dispositivo. Queste informazioni sono utili nel processo decisionale durante la registrazione dei dispositivi.

Per informazioni più specifiche, vedere le guide di registrazione per le piattaforme:

• Guida alla distribuzione: Registrare i dispositivi Android in Microsoft Intune
• Guida alla distribuzione: Registrare dispositivi iOS e iPadOS in Microsoft Intune
• Guida alla distribuzione: Registrare i dispositivi macOS in Microsoft Intune
• Guida alla distribuzione: Registrare i dispositivi Windows in Microsoft Intune

Assegna criteri a utenti e gruppi

In locale si usano gli account di dominio e gli account locali e quindi si distribuiscono criteri di gruppo e autorizzazioni per questi account a livello locale, sito, dominio o unità organizzativa (LSDOU). Un criterio di unità organizzativa sovrascrive un criterio di dominio, un criterio di dominio sovrascrive un criterio del sito e così via.

Intune è basato sul cloud. I criteri creati in Intune includono impostazioni che controllano le funzionalità del dispositivo, le regole di sicurezza e altro ancora. Questi criteri vengono assegnati agli utenti e ai gruppi. Non esiste una gerarchia tradizionale come LSDOU.

Il catalogo delle impostazioni in Intune include migliaia di impostazioni per gestire i dispositivi iOS/iPadOS, macOS e Windows. Se attualmente si usano oggetti Criteri di gruppo locali, l'uso del catalogo delle impostazioni è una transizione naturale ai criteri basati sul cloud.

Per altre informazioni sui criteri in Intune, vedere:

• Usare il catalogo delle impostazioni per configurare le impostazioni nei dispositivi Windows, iOS/iPadOS e macOS
• Domande e risposte comuni con i criteri e i profili dei dispositivi in Microsoft Intune

Proteggere le identità utente

Gli account utente e di gruppo accedono alle risorse dell'organizzazione. È necessario mantenere sicure queste identità e impedire l'accesso dannoso alle identità. Di seguito sono elencati alcuni fattori da considerare:

• Windows Hello for Business sostituisce l'accesso con nome utente e password e fa parte di una strategia senza password.

  Le password vengono immesse in un dispositivo e quindi trasmesse in rete al server. Possono essere intercettati e usati da chiunque e ovunque. Una violazione del server può rivelare le credenziali archiviate.

  Con Windows Hello for Business, gli utenti accedono e eseguono l'autenticazione con un PIN o una biometria, ad esempio il riconoscimento facciale e delle impronte digitali. Queste informazioni vengono archiviate localmente nel dispositivo e non vengono inviate a dispositivi o server esterni.

  Quando Windows Hello for Business viene distribuito nell'ambiente, è possibile usare Intune per creare criteri di Windows Hello for Business per i dispositivi. Questi criteri possono configurare le impostazioni del PIN, consentendo l'autenticazione biometrica, usare le chiavi di sicurezza e altro ancora.

  Per altre informazioni, vedere:

  • Panoramica di Windows Hello for Business
  • Gestire Windows Hello for Business nei dispositivi quando i dispositivi si registrano con Intune
  • Usare i profili di protezione delle identità per gestire Windows Hello for Business in Microsoft Intune

• L'autenticazione basata su certificati è anche parte di una strategia senza password. È possibile usare i certificati per autenticare gli utenti alle applicazioni e alle risorse dell'organizzazione tramite una VPN, una connessione Wi-Fi o profili di posta elettronica. Con i certificati, gli utenti non devono immettere nomi utente e password e possono semplificare l'accesso a queste risorse.

  Per altre informazioni, vedere Usare i certificati per l'autenticazione in Microsoft Intune.

• L'autenticazione a più fattori (MFA) è una funzionalità disponibile con Microsoft Entra ID. Per consentire agli utenti di eseguire correttamente l'autenticazione, sono necessari almeno due metodi di verifica diversi. Quando l'autenticazione a più fattori viene distribuita nell'ambiente, è anche possibile richiedere l'autenticazione a più fattori quando i dispositivi vengono registrati in Intune.

  Per altre informazioni, vedere:

  • Pianificare una distribuzione di autenticazione a più fattori Microsoft Entra
  • Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi in Intune

• Zero Trust verifica tutti gli endpoint, inclusi dispositivi e app. L'idea è aiutare a mantenere i dati dell'organizzazione nell'organizzazione e prevenire perdite di dati da finalità accidentali o dannose. Include diverse aree di funzionalità, tra cui Windows Hello for Business, uso di MFA e altro ancora.

  Per altre informazioni, vedere Zero Trust con Microsoft Intune.

Passaggi successivi

• Gestire i dispositivi
• Gestire le app