Microsoft Intune gestisce in modo sicuro le identità, gestisce le app e gestisce i dispositivi

Quando le organizzazioni si spostano per supportare la forza lavoro ibrida e remota, viene loro richiesto di gestire i diversi dispositivi che accedono alle risorse dell'organizzazione. I dipendenti e gli studenti devono collaborare, lavorare ovunque e accedere e connettersi in modo sicuro a queste risorse. Gli amministratori devono proteggere i dati dell'organizzazione, gestire l'accesso degli utenti finali e supportare gli utenti ovunque lavorino.

Per risolvere questi problemi e queste attività, usare Microsoft Intune.

Microsoft Intune è una soluzione di gestione degli endpoint basata sul cloud. Gestisce l'accesso utente e semplifica la gestione di app e dispositivi in molti dispositivi, inclusi dispositivi mobili, computer desktop ed endpoint virtuali.

È possibile proteggere l'accesso e i dati nei dispositivi personali di proprietà dell'organizzazione e degli utenti. Inoltre, Intune dispone di funzionalità di conformità e creazione di report che supportano il modello di sicurezza Zero Trust.

Questo articolo elenca alcune funzionalità e vantaggi di Microsoft Intune.

Consiglio

• Per ottenere Intune, passare a Licenze disponibili per Microsoft Intune e Intune versione di valutazione di 30 giorni.
• Per altre informazioni sul significato di nativo del cloud, vedere Altre informazioni sugli endpoint nativi del cloud.

Funzionalità e vantaggi principali

Alcune funzionalità e vantaggi principali di Intune includono:

• È possibile gestire utenti e dispositivi, inclusi i dispositivi di proprietà dell'organizzazione e i dispositivi di proprietà personale. Microsoft Intune supporta dispositivi client Android, Android Open Source Project (AOSP), iOS/iPadOS, macOS e Windows. Con Intune, è possibile usare questi dispositivi per accedere in modo sicuro alle risorse dell'organizzazione con i criteri creati.

  Per altre informazioni, vedere:

  • Gestire le identità usando Microsoft Intune
  • Gestire i dispositivi usando Microsoft Intune

  Nota

  Se gestisci Windows Server locale, puoi usare Configuration Manager.

• Intune semplifica la gestione delle app con un'esperienza app predefinita, tra cui distribuzione, aggiornamenti e rimozione delle app. È possibile connettersi e distribuire app dagli archivi app privati, abilitare le app di Microsoft 365, distribuire app Win32, creare criteri di protezione delle app e gestire l'accesso alle app e ai relativi dati.

  Per altre informazioni, vedere Gestire le app usando Microsoft Intune.

• Intune automatizza la distribuzione dei criteri per le app, la sicurezza, la configurazione del dispositivo, la conformità, l'accesso condizionale e altro ancora. Quando i criteri sono pronti, è possibile distribuire questi criteri ai gruppi di utenti e ai gruppi di dispositivi. Per ricevere questi criteri, i dispositivi necessitano solo dell'accesso a Internet.

• I dipendenti e gli studenti possono usare le funzionalità self-service nell'app Portale aziendale per reimpostare un PIN/password, installare app, partecipare a gruppi e altro ancora. È possibile personalizzare l'app Portale aziendale per ridurre le chiamate di supporto.

  Per altre informazioni, vedere Configurare le app Portale aziendale Intune, Portale aziendale sito Web e Intune'app.

• Intune si integra con i servizi di difesa dalle minacce mobili, inclusi Microsoft Defender per endpoint e servizi partner di terze parti. Con questi servizi, l'attenzione è rivolta alla sicurezza degli endpoint ed è possibile creare criteri che rispondono alle minacce, eseguire analisi dei rischi in tempo reale e automatizzare la correzione.

  Per altre informazioni, vedere Integrazione di Mobile Threat Defense con Intune.

• Si usa un'interfaccia di amministrazione basata sul Web incentrata sulla gestione degli endpoint, inclusa la creazione di report basati sui dati. Gli amministratori possono accedere all'interfaccia di amministrazione Intune da qualsiasi dispositivo con accesso a Internet.

  Per altre informazioni, vedere Procedura dettagliata dell'interfaccia di amministrazione Intune. Per accedere all'interfaccia di amministrazione, passare a Microsoft Intune'interfaccia di amministrazione.

  Questa interfaccia di amministrazione usa le API REST di Microsoft Graph per accedere a livello di codice al servizio Intune. Ogni azione nell'interfaccia di amministrazione è una chiamata a Microsoft Graph. Se non si ha familiarità con Graph e si vuole saperne di più, vedere Graph integrates with Microsoft Intune (Si integra con Microsoft Intune).

Si integra con altri servizi e app Microsoft

Microsoft Intune si integra con altri prodotti e servizi Microsoft incentrati sulla gestione degli endpoint, tra cui:

• Configuration Manager per la gestione degli endpoint locali e Windows Server, inclusa la distribuzione degli aggiornamenti software e la gestione dei data center

  È possibile usare Intune e Configuration Manager insieme in uno scenario di co-gestione, usare il collegamento tenant o usare entrambi. Con queste opzioni, si ottengono i vantaggi dell'interfaccia di amministrazione basata sul Web e si possono usare altre funzionalità basate sul cloud disponibili in Intune.

  Per informazioni più specifiche, vedere:

  • Che cos'è la co-gestione
  • Domande frequenti sulla co-gestione
  • Come abilitare il collegamento del tenant

• Windows Autopilot per la distribuzione e il provisioning moderni del sistema operativo

  Con Windows Autopilot è possibile effettuare il provisioning di nuovi dispositivi e inviarli direttamente agli utenti da un OEM o da un provider di dispositivi. Per i dispositivi esistenti, è possibile ricreare l'immagine di questi dispositivi per usare Windows Autopilot e distribuire la versione più recente di Windows.

  Per informazioni più specifiche, vedere:

  • Panoramica di Windows Autopilot
  • Distribuzione di Windows Autopilot per i dispositivi esistenti

• Analisi degli endpoint per la visibilità e la creazione di report sulle esperienze degli utenti finali, incluse le prestazioni e l'affidabilità dei dispositivi

  È possibile usare Analisi degli endpoint per identificare i criteri o i problemi hardware che rallentano i dispositivi. Fornisce anche indicazioni che consentono di migliorare in modo proattivo le esperienze degli utenti finali e ridurre i ticket dell'help desk.

  Per informazioni più specifiche, vedere:

  • Informazioni su Endpoint Analytics
  • Registrare Intune dispositivi in Endpoint Analytics

• Microsoft 365 per le app di Office per la produttività degli utenti finali, tra cui Outlook, Teams, Sharepoint, OneDrive e altro ancora

  Usando Intune, è possibile distribuire app di Microsoft 365 a utenti e dispositivi dell'organizzazione. È anche possibile distribuire queste app quando gli utenti accedono per la prima volta.

  Per informazioni più specifiche, vedere:

  • Aggiungere Microsoft 365 Apps ai dispositivi Windows 10/11 con Microsoft Intune
  • Documentazione di Microsoft 365: Gestire i dispositivi con Intune

• Microsoft Defender per endpoint per aiutare le aziende a prevenire, rilevare, analizzare e rispondere alle minacce

  In Intune è possibile creare una connessione da servizio a servizio tra Intune e Microsoft Defender per endpoint. Quando sono connessi, è possibile creare criteri che analizzano i file, rilevano le minacce e segnalano i livelli di minaccia per Microsoft Defender per endpoint. È anche possibile creare criteri di conformità che impostano un livello di rischio consentito. In combinazione con l'accesso condizionale, è possibile bloccare l'accesso alle risorse dell'organizzazione per i dispositivi non conformi.

  Per informazioni più specifiche, vedere:

  • Applicare la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune
  • Configurare Microsoft Defender per endpoint in Intune

• Windows Autopatch per l'applicazione automatica di patch di Windows, app di Microsoft 365 per aziende, Microsoft Edge e Microsoft Teams

  Windows Autopatch è un servizio basato sul cloud. Mantiene aggiornato il software, offre agli utenti gli strumenti di produttività più recenti, riduce al minimo l'infrastruttura locale e consente agli amministratori IT di concentrarsi su altri progetti. Windows Autopatch usa Microsoft Intune per gestire l'applicazione di patch per dispositivi o dispositivi registrati Intune tramite la co-gestione (Intune + Configuration Manager).

  Per informazioni più specifiche, vedere:

  • Che cos'è Windows Autopatch?
  • Domande frequenti su Windows Autopatch

Si integra con dispositivi e app partner di terze parti

L'interfaccia di amministrazione Intune semplifica la connessione a diversi servizi partner, tra cui:

• Google Play gestito: quando ci si connette all'account Google Play gestito, gli amministratori possono accedere allo store privato dell'organizzazione per le app Android e distribuirle nei dispositivi.

  Per altre informazioni, vedere Aggiungere app Google Play gestite a dispositivi Android Enterprise con Intune.

• Token e certificati Apple: quando vengono aggiunti, i dispositivi iOS/iPadOS e macOS possono registrarsi in Intune e ricevere criteri da Intune. Gli amministratori possono accedere alle licenze delle app iOS/iPad e macOS acquistate dal volume e distribuire queste app nei dispositivi.

  Per altre informazioni, vedere:

  • Ottenere un certificato push MDM Apple
  • Registrare automaticamente i dispositivi iOS/iPadOS usando la registrazione automatica dei dispositivi di Apple
  • Gestire le app iOS e macOS acquistate tramite Apple Business Manager con Microsoft Intune

• TeamViewer: quando ci si connette all'account TeamViewer, è possibile usare TeamViewer per assistere i dispositivi in remoto.

  Per altre informazioni, vedere Usare TeamViewer per amministrare in remoto i dispositivi Intune.

Con questi servizi, Intune:

• Offre agli amministratori un accesso semplificato ai servizi app partner di terze parti.
• Può gestire centinaia di app partner di terze parti.
• Supporta app di vendita al dettaglio pubbliche, app line-of-business (LOB), app private non disponibili nello store pubblico, app personalizzate e altro ancora.

Per requisiti più specifici della piattaforma per registrare i dispositivi partner di terze parti in Intune, vedere:

• Guida alla distribuzione: Registrare i dispositivi Android in Microsoft Intune
• Guida alla distribuzione: Registrare dispositivi iOS e iPadOS in Microsoft Intune
• Guida alla distribuzione: Registrare i dispositivi Linux in Microsoft Intune
• Guida alla distribuzione: Registrare i dispositivi macOS in Microsoft Intune

Eseguire la registrazione nella gestione dei dispositivi, nella gestione delle applicazioni o in entrambi

I dispositivi di proprietà dell'organizzazione vengono registrati in Intune per la gestione dei dispositivi mobili (MDM). MDM è incentrato sul dispositivo, quindi le funzionalità del dispositivo vengono configurate in base a chi ne ha bisogno. Ad esempio, è possibile configurare un dispositivo per consentire l'accesso al Wi-Fi, ma solo se l'utente connesso è un account dell'organizzazione.

In Intune si creano criteri che configurano le impostazioni delle funzionalità & e forniscono protezione di sicurezza&. I dispositivi sono completamente gestiti dall'organizzazione, incluse le identità utente che accedono, le app installate e i dati a cui si accede.

Quando i dispositivi vengono registrati, è possibile distribuire i criteri durante il processo di registrazione. Al termine della registrazione, il dispositivo è pronto per l'uso.

Per i dispositivi personali in scenari BYOD (Bring Your Own Device), è possibile usare Intune per la gestione delle applicazioni mobili (MAM). MAM è incentrato sull'utente, quindi i dati dell'app sono protetti indipendentemente dal dispositivo usato per accedere a questi dati. L'attenzione è rivolta alle app, tra cui l'accesso sicuro alle app e la protezione dei dati all'interno delle app.

Con MAM è possibile:

• Pubblicare app per dispositivi mobili per gli utenti.
• Configurare le app e aggiornare automaticamente le app.
• Visualizzare i report di dati incentrati sull'inventario delle app e sull'utilizzo delle app.

È anche possibile usare MDM e MAM insieme. Se i dispositivi sono registrati e sono presenti app che necessitano di maggiore sicurezza, è anche possibile usare i criteri di protezione delle app MAM.

Per altre informazioni, vedere:

• Che cos'è la registrazione del dispositivo in Intune?
• Panoramica dei criteri di protezione delle app
• Creare e assegnare criteri di protezione delle app

Proteggere i dati in qualsiasi dispositivo

Con Intune, è possibile proteggere i dati nei dispositivi gestiti (registrati in Intune) e proteggere i dati nei dispositivi non gestiti (non registrati in Intune). Intune possono isolare i dati dell'organizzazione dai dati personali. L'idea è proteggere le informazioni aziendali controllando il modo in cui gli utenti accedono e condividono le informazioni.

Per i dispositivi di proprietà dell'organizzazione, si vuole il controllo completo sui dispositivi, in particolare la sicurezza. Quando i dispositivi vengono registrati, ricevono le regole e le impostazioni di sicurezza.

Nei dispositivi registrati in Intune è possibile:

• Creare e distribuire criteri che configurano le impostazioni di sicurezza, impostano i requisiti delle password, distribuiscono certificati e altro ancora.
• Usare i servizi di difesa dalle minacce mobili per analizzare i dispositivi, rilevare le minacce e correggere le minacce.
• Visualizzare i dati e i report che misurano la conformità con le impostazioni e le regole di sicurezza.
• Usare l'accesso condizionale per consentire solo ai dispositivi gestiti e conformi l'accesso alle risorse, alle app e ai dati dell'organizzazione.
• Rimuovere i dati dell'organizzazione se un dispositivo viene smarrito o rubato.

Per i dispositivi personali, gli utenti potrebbero non volere che gli amministratori IT abbiano il controllo completo. Per supportare un ambiente di lavoro ibrido, offrire agli utenti opzioni. Ad esempio, gli utenti registrano i loro dispositivi se desiderano disporre di un accesso completo alle risorse dell'organizzazione. In alternativa, se questi utenti vogliono accedere solo a Outlook o Microsoft Teams, usare i criteri di protezione delle app che richiedono l'autenticazione a più fattori (MFA).

Nei dispositivi che usano la gestione delle applicazioni, è possibile:

• Usare i servizi di difesa dalle minacce mobili per proteggere i dati delle app tramite l'analisi dei dispositivi, il rilevamento delle minacce e la valutazione dei rischi.
• Impedire che i dati dell'organizzazione vengano copiati e incollati nelle app personali.
• Usare i criteri di protezione delle app nelle app e nei dispositivi non gestiti registrati in un MDM di terze parti o partner.
• Usare l'accesso condizionale per limitare le app che possono accedere alla posta elettronica e ai file dell'organizzazione.
• Rimuovere i dati dell'organizzazione all'interno delle app.

Per altre informazioni, vedere:

• Proteggere dati e dispositivi con Microsoft Intune
• Integrazione di Mobile Threat Defense con Intune

Semplificare l'accesso

Intune aiuta le organizzazioni a supportare i dipendenti che possono lavorare ovunque. Esistono funzionalità che è possibile configurare che consentono agli utenti di connettersi a un'organizzazione, ovunque si trovino.

Questa sezione include alcune funzionalità comuni che è possibile configurare in Intune.

Usare Windows Hello for Business invece delle password

Windows Hello for Business consente di proteggere da attacchi di phishing e altre minacce alla sicurezza. Consente inoltre agli utenti di accedere ai dispositivi e alle app in modo più rapido e semplice.

Windows Hello for Business sostituisce le password usando un PIN o una biometria, ad esempio impronta digitale, riconoscimento facciale. Queste informazioni biometriche vengono archiviate localmente nei dispositivi e non vengono mai inviate a dispositivi o server esterni.

Per altre informazioni, vedere:

• Panoramica di Windows Hello for Business
• Gestire Windows Hello for Business nei dispositivi quando si registrano in Intune
• Gestire le identità usando Microsoft Intune

Creare una connessione VPN per gli utenti remoti

I criteri VPN offrono agli utenti l'accesso remoto sicuro alla rete dell'organizzazione.

Usando i partner di connessione VPN comuni, tra cui Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure e altro ancora, è possibile creare criteri VPN con le impostazioni di rete. Quando il criterio è pronto, questo criterio viene distribuito agli utenti e ai dispositivi che devono connettersi alla rete in remoto.

Nei criteri VPN è possibile usare i certificati per autenticare la connessione VPN. Quando si usano i certificati, gli utenti finali non devono immettere nomi utente e password.

Per altre informazioni, vedere:

• Creare profili VPN per connettersi ai server VPN in Intune
• Usare certificati per l'autenticazione in Microsoft Intune
• Microsoft Tunnel per Microsoft Intune

Creare una connessione Wi-Fi per gli utenti locali

Per gli utenti che devono connettersi alla rete dell'organizzazione in locale, è possibile creare un criterio di Wi-Fi con le impostazioni di rete. È possibile connettersi a un SSID specifico, selezionare un metodo di autenticazione, usare un proxy e altro ancora. È anche possibile configurare i criteri per la connessione automatica a Wi-Fi quando il dispositivo è compreso nell'intervallo.

Nei criteri Wi-Fi è possibile usare i certificati per autenticare la connessione Wi-Fi. Quando si usano i certificati, gli utenti finali non devono immettere nomi utente e password.

Quando il criterio è pronto, questo criterio viene distribuito agli utenti e ai dispositivi locali che devono connettersi alla rete locale.

Per altre informazioni, vedere:

• Creare criteri di Wi-Fi per connettersi alle reti Wi-Fi in Intune
• Usare certificati per l'autenticazione in Microsoft Intune

Abilitare l'accesso Single Sign-On (SSO) alle app e ai servizi

Quando si abilita l'accesso SSO, gli utenti possono accedere automaticamente ad app e servizi usando l'account dell'organizzazione di Azure AD, incluse alcune app partner per la difesa dalle minacce mobili.

In particolare:

• Nei dispositivi Windows l'accesso SSO viene automaticamente incorporato e usato per accedere ad app e siti Web che usano Azure AD per l'autenticazione, incluse le app di Microsoft 365. È anche possibile abilitare l'accesso SSO nei criteri VPN e Wi-Fi.

• Nei dispositivi iOS/iPadOS e macOS è possibile usare il plug-in Microsoft Enterprise SSO per accedere automaticamente alle app e ai siti Web che usano Azure Active Directory (AD) per l'autenticazione, incluse le app di Microsoft 365.

• Nei dispositivi Android è possibile usare Microsoft Authentication Library (MSAL) per abilitare l'accesso SSO alle app Android.

  Per altre informazioni, vedere:

  • Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti ad Azure AD
  • Usare il plug-in SSO di Microsoft Enterprise nei dispositivi iOS/iPadOS e macOS in Microsoft Intune
  • Abilitare l'accesso SSO tra app in Android usando MSAL

Passaggi successivi

• Gestire le identità usando Microsoft Intune
• Gestire i dispositivi usando Microsoft Intune
• Gestire le app usando Microsoft Intune