Livelli di protezione e configurazione in Microsoft Intune

  • Articolo

Microsoft Intune offre agli amministratori la possibilità di creare criteri applicati a utenti, dispositivi e app. Questi criteri possono variare da un set minimo a criteri più sicuri o controllati. Questi criteri dipendono dalle esigenze dell'organizzazione, dai dispositivi usati e dalle operazioni che verranno eseguite dai dispositivi.

Quando si è pronti per creare criteri, è possibile usare i diversi livelli di protezione e configurazione:

L'ambiente e le esigenze aziendali possono avere livelli diversi definiti. È possibile usare questi livelli come punto di partenza e quindi personalizzarli in base alle proprie esigenze. Ad esempio, è possibile usare i criteri di configurazione del dispositivo nel livello 1 e i criteri dell'app nel livello 3.

Scegliere i livelli appropriati per l'organizzazione. Non c'è una scelta sbagliata.

Livello 1 - Protezione minima e configurazione

Questo livello include i criteri che ogni organizzazione deve avere, almeno. I criteri in questo livello creano una baseline minima di funzionalità di sicurezza e consentono agli utenti di accedere alle risorse necessarie per eseguire i propri processi.

App (livello 1)

Questo livello impone una quantità ragionevole di requisiti di protezione e accesso ai dati riducendo al minimo l'impatto sugli utenti. Questo livello garantisce che le app siano protette con un PIN e crittografate ed esegua operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Questo livello è una configurazione di livello di ingresso che fornisce un controllo di protezione dei dati simile nei criteri Exchange Online cassetta postale. Introduce anche l'IT e il popolamento degli utenti ai criteri di protezione delle app.

A questo livello, Microsoft consiglia di configurare la protezione e l'accesso seguenti per le app:

  • Abilitare i requisiti di protezione dei dati di base:

    • Consenti il trasferimento dei dati di base dell'app
    • Applicare la crittografia di base delle app
    • Consenti funzionalità di accesso di base

  • Abilitare i requisiti di accesso di base:

    • Richiedi PIN, ID viso e accesso biometrico
    • Applicare il supporto delle impostazioni di accesso di base

  • Abilitare l'avvio dell'applicazione condizionale di base:

    • Configurare i tentativi di accesso di base dell'app
    • Bloccare l'accesso alle app in base a dispositivi jailbroken/rooted
    • Limitare l'accesso alle app in base all'integrità di base dei dispositivi

Per altre informazioni, vedere Protezione delle app di base di livello 1.

Conformità (livello 1)

A questo livello, la conformità dei dispositivi include la configurazione delle impostazioni a livello di tenant applicabili a tutti i dispositivi e la distribuzione di criteri di conformità minimi a tutti i dispositivi per applicare un set di requisiti di conformità di base. Microsoft consiglia di implementare queste configurazioni prima di consentire ai dispositivi di accedere alle risorse dell'organizzazione. La conformità del dispositivo di livello 1 include:

Le impostazioni dei criteri di conformità sono alcune impostazioni a livello di tenant che influiscono sul funzionamento del servizio di conformità di Intune con i dispositivi.

I criteri di conformità specifici della piattaforma includono le impostazioni per i temi comuni tra le piattaforme. Il nome dell'impostazione e l'implementazione effettivi possono essere diversi tra piattaforme diverse:

  • Richiedi antivirus, antispyware e antimalware (solo Windows)
  • Versione del sistema operativo:
    • Numero massimo di sistema operativo
    • Sistema operativo minimo
    • Versioni di compilazione secondarie e principali
    • Livelli di patch del sistema operativo
  • Configurazioni delle password
    • Applicare la schermata di blocco dopo il periodo di inattività, richiedendo una password o un pin per sbloccare
    • Richiedere password complesse con combinazioni di lettere, numeri e simboli
    • Richiedere una password o un PIN per sbloccare i dispositivi
    • Richiedi lunghezza minima password

Le azioni per la non conformità vengono incluse automaticamente in ogni criterio specifico della piattaforma. Queste azioni sono una o più azioni ordinate in base al tempo configurate che si applicano ai dispositivi che non soddisfano i requisiti di conformità dei criteri. Per impostazione predefinita, contrassegnare un dispositivo come non conforme è un'azione immediata inclusa in ogni criterio.

Per altre informazioni, vedere Livello 1 - Conformità minima dei dispositivi.

Configurazione del dispositivo (livello 1)

In questo livello, i profili includono impostazioni incentrate sulla sicurezza e l'accesso alle risorse. In particolare, in questo livello, Microsoft consiglia di configurare le funzionalità seguenti:

  • Abilitare la sicurezza di base, tra cui:

    • Antivirus e analisi
    • Rilevamento e risposta alle minacce
    • Firewall
    • Aggiornamenti software
    • Criteri per pin e password sicuri

  • Concedere agli utenti l'accesso alla rete:

    • Posta elettronica
    • VPN per l'accesso remoto
    • Wi-Fi per l'accesso locale

Per altre informazioni su questi criteri a questo livello, vedere Passaggio 4 - Creare profili di configurazione dei dispositivi per proteggere i dispositivi e creare connessioni alle risorse dell'organizzazione.

Livello 2 - Protezione e configurazione migliorate

Questo livello si espande sul set minimo di criteri per includere una maggiore sicurezza ed espandere la gestione dei dispositivi mobili. I criteri in questo livello garantiscono più funzionalità, offrono protezione delle identità e gestiscono più impostazioni del dispositivo.

Usare le impostazioni in questo livello per aggiungere le operazioni eseguite nel livello 1.

App (livello 2)

Questo livello consiglia un livello standard di protezione delle applicazioni per i dispositivi in cui gli utenti accedono a informazioni più sensibili. Questo livello introduce meccanismi di prevenzione della perdita di dati dei criteri di protezione delle app e requisiti minimi del sistema operativo. Questo livello è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.

Oltre alle impostazioni di livello 1, Microsoft consiglia di configurare la protezione e l'accesso seguenti per le app:

  • Abilitare i requisiti di protezione dei dati avanzati:

    • Trasferire i dati correlati all'organizzazione
    • Escludere i requisiti di trasferimento dati delle app selezionate (iOS/iPadOS)
    • Trasferire i dati delle telecomunicazioni
    • Limitare taglia, copia e incolla tra app
    • Blocca acquisizione schermata (Android)

  • Abilitare l'avvio avanzato dell'applicazione condizionale:

    • Blocca la disabilitazione degli account dell'applicazione
    • Applicare i requisiti minimi del sistema operativo del dispositivo
    • Richiedi versione minima della patch (Android)
    • Richiedi tipo di valutazione del verdetto dell'integrità play (Android)
    • Richiedi blocco del dispositivo (Android)
    • Consentire l'accesso alle app in base a una maggiore integrità del dispositivo

Per altre informazioni, vedere Protezione avanzata delle app di livello 2.

Conformità (livello 2)

A questo livello, Microsoft consiglia di aggiungere opzioni più complesse ai criteri di conformità. Molte delle impostazioni a questo livello hanno nomi specifici della piattaforma che offrono tutti risultati simili. Di seguito sono riportate le categorie o i tipi di impostazioni che Microsoft consiglia di usare quando sono disponibili:

  • Applicazioni:

    • Gestire la posizione in cui i dispositivi ottengono le app, ad esempio Google Play per Android
    • Consenti app da posizioni specifiche
    • Bloccare le app da origini sconosciute

  • Impostazioni del firewall

    • Impostazioni del firewall (macOS, Windows)

  • Crittografia:

    • Richiedere la crittografia dell'archiviazione dati
    • BitLocker (Windows)
    • FileVault (macOS)

  • Password

    • Scadenza e riutilizzo delle password

  • Protezione di avvio e file a livello di sistema:

    • Blocca debug USB (Android)
    • Bloccare i dispositivi rooted o jailbroken (Android, iOS)
    • Richiedere la protezione dell'integrità del sistema (macOS)
    • Richiedere l'integrità del codice (Windows)
    • Richiedere l'abilitazione dell'avvio protetto (Windows)
    • Modulo piattaforma attendibile (Windows)

Per altre informazioni, vedere Livello 2 - Impostazioni di conformità avanzata dei dispositivi.

Configurazione del dispositivo (livello 2)

In questo livello si stanno espandendo le impostazioni e le funzionalità configurate nel livello 1. Microsoft consiglia di creare criteri che:

  • Aggiungere un altro livello di sicurezza abilitando la crittografia del disco, l'avvio protetto e il TPM nei dispositivi.
  • Configurare i PIN & password per scadere e gestire se/quando le password possono essere riutilizzate.
  • Configurare funzionalità, impostazioni e comportamenti dei dispositivi più granulari.
  • Se si dispone di oggetti Criteri di gruppo locali, è possibile determinare se questi oggetti Criteri di gruppo sono disponibili in Intune.

Per informazioni più specifiche sui criteri di configurazione dei dispositivi a questo livello, passare a Livello 2 - Protezione e configurazione avanzate.

Livello 3 - Protezione e configurazione elevate

Questo livello include criteri a livello aziendale e può coinvolgere diversi amministratori dell'organizzazione. Questi criteri continuano a passare all'autenticazione senza password, hanno maggiore sicurezza e configurano dispositivi specializzati.

Usare le impostazioni in questo livello per aggiungere le operazioni eseguite nei livelli 1 e 2.

App (livello 3)

Questo livello consiglia un livello standard di protezione delle applicazioni per i dispositivi in cui gli utenti accedono a informazioni più sensibili. Questo livello introduce meccanismi avanzati di protezione dei dati, configurazione avanzata del PIN e criteri di protezione delle app Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.

Oltre alle impostazioni di livello 1 e 2, Microsoft consiglia di configurare la protezione e l'accesso seguenti per le app:

  • Abilitare i requisiti elevati di protezione dei dati:

    • Protezione elevata durante il trasferimento dei dati delle telecomunicazioni
    • Ricevere dati solo dalle app gestite da criteri
    • Bloccare l'apertura dei dati nei documenti dell'organizzazione
    • Consentire agli utenti di aprire i dati dai servizi selezionati
    • Blocca tastiere di terze parti
    • Richiedi/seleziona tastiere approvate (Android)
    • Blocca la stampa dei dati dell'organizzazione

  • Abilitare i requisiti di accesso elevato:

    • Bloccare il PIN semplice e richiedere una lunghezza minima specifica del PIN
    • Richiedere la reimpostazione del PIN dopo il numero di giorni
    • Richiedi biometria di classe 3 (Android 9.0+)
    • Richiedere l'override di Biometrics con PIN dopo gli aggiornamenti biometrici (Android)

  • Abilitare l'avvio dell'applicazione condizionale elevata:

    • Richiedi blocco del dispositivo (Android)
    • Richiedi il livello massimo di minaccia consentito
    • Richiedi versione massima del sistema operativo

Per altre informazioni, vedere Protezione delle app di livello 3 elevata.

Conformità (livello 3)

A questo livello, è possibile espandere le funzionalità di conformità predefinite di Intune tramite le funzionalità seguenti:

  • Integrare i dati del partner Mobile Threat Defense (MTD)

    • Con un partner MTD, i criteri di conformità possono richiedere che i dispositivi siano a livello di minaccia del dispositivo o di punteggio di rischio del computer, come determinato da tale partner

  • Usare un partner di conformità di terze parti con Intune

  • Usare gli script per aggiungere impostazioni di conformità personalizzate ai criteri per le impostazioni non disponibili dall'interfaccia utente di Intune. (Windows, Linux)

  • Usare i dati dei criteri di conformità con i criteri di accesso condizionale per controllare l'accesso alle risorse dell'organizzazione

Per altre informazioni, vedere Level 3 - Advanced device compliance configurations (Livello 3 - Configurazioni avanzate di conformità dei dispositivi).

Configurazione del dispositivo (livello 3)

Questo livello è incentrato sui servizi e sulle funzionalità a livello aziendale e può richiedere un investimento nell'infrastruttura. In questo livello è possibile creare criteri che:

  • Espandere l'autenticazione senza password ad altri servizi dell'organizzazione, tra cui l'autenticazione basata su certificati, l'accesso Single Sign-On per le app, l'autenticazione a più fattori (MFA) e il gateway VPN di Microsoft Tunnel.

  • Espandere Microsoft Tunnel distribuendo Microsoft Tunnel for Mobile Application Management (Tunnel for MAM), che estende il supporto di Tunnel ai dispositivi iOS e Android che non sono registrati con Intune. Tunnel per MAM è disponibile come componente aggiuntivo di Intune.

    Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

  • Configurare le funzionalità del dispositivo che si applicano al livello del firmware di Windows. Usare la modalità criteri comuni android.

  • Usare i criteri di Intune per Windows Local Administrator Password Solution (LAPS) per proteggere l'account amministratore locale predefinito nei dispositivi Windows gestiti.

    Per altre informazioni, vedere Supporto di Intune per Windows LAPS.

  • Proteggere i dispositivi Windows tramite l'uso di Endpoint Privilege Management (EPM), che consente di eseguire gli utenti dell'organizzazione come utenti standard (senza diritti di amministratore) consentendo allo stesso tempo agli stessi utenti di completare attività che richiedono privilegi elevati.

    EPM è disponibile come componente aggiuntivo di Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

  • Configurare dispositivi specializzati come chioschi multimediali e dispositivi condivisi.

  • Distribuire script, se necessario.

Per informazioni più specifiche sui criteri di configurazione dei dispositivi a questo livello, passare a Livello 3 - Protezione e configurazione elevate.

Passaggi successivi

Per un elenco completo di tutti i profili di configurazione dei dispositivi che è possibile creare, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili di dispositivo in Microsoft Intune.