Microsoft Intune gestisce in modo sicuro le identità, gestisce le app e gestisce i dispositivi

Quando le organizzazioni si spostano per supportare la forza lavoro ibrida e remota, viene loro richiesto di gestire i diversi dispositivi che accedono alle risorse dell'organizzazione. I dipendenti e gli studenti devono collaborare, lavorare ovunque e accedere e connettersi in modo sicuro a queste risorse. Gli amministratori devono proteggere i dati dell'organizzazione, gestire l'accesso degli utenti finali e supportare gli utenti ovunque lavorino.

Per risolvere questi problemi e queste attività, usare Microsoft Intune.

Immagine che mostra le funzionalità e i vantaggi di Microsoft Intune.

Microsoft Intune è una soluzione di gestione degli endpoint basata sul cloud. Gestisce l'accesso utente e semplifica la gestione di app e dispositivi in molti dispositivi, inclusi dispositivi mobili, computer desktop ed endpoint virtuali.

È possibile proteggere l'accesso e i dati nei dispositivi personali di proprietà dell'organizzazione e degli utenti. Inoltre, Intune dispone di funzionalità di conformità e creazione di report che supportano un modello di sicurezza Zero Trust.

Questo articolo elenca alcune funzionalità e vantaggi di Microsoft Intune.

Consiglio

Funzionalità e vantaggi principali

Alcune funzionalità e vantaggi principali di Intune includono:

  • È possibile gestire utenti e dispositivi, inclusi i dispositivi di proprietà dell'organizzazione e i dispositivi di proprietà personale. Microsoft Intune supporta dispositivi client Android, Android Open Source Project (AOSP), iOS/iPadOS, macOS e Windows. Con Intune, è possibile usare questi dispositivi per accedere in modo sicuro alle risorse dell'organizzazione con i criteri creati.

    Per altre informazioni, vedere:

    Nota

    Se gestisci Windows Server locale, puoi usare Configuration Manager.

  • Intune semplifica la gestione delle app con un'esperienza app predefinita, tra cui distribuzione, aggiornamenti e rimozione delle app. È possibile connettersi e distribuire app dagli archivi app privati, abilitare Microsoft 365 app, distribuire app Win32, creare criteri di protezione delle app e gestire l'accesso alle app e ai relativi dati.

    Per altre informazioni, vedere Gestire le app usando Microsoft Intune.

  • Intune automatizza la distribuzione dei criteri per le app, la sicurezza, la configurazione del dispositivo, la conformità, l'accesso condizionale e altro ancora. Quando i criteri sono pronti, è possibile distribuire questi criteri ai gruppi di utenti e ai gruppi di dispositivi. Per ricevere questi criteri, i dispositivi necessitano solo dell'accesso a Internet.

  • I dipendenti e gli studenti possono usare le funzionalità self-service nell'app Portale aziendale per reimpostare un PIN/password, installare app, partecipare a gruppi e altro ancora. È possibile personalizzare l'app Portale aziendale per ridurre le chiamate di supporto.

    Per altre informazioni, vedere Configurare le app Portale aziendale Intune, Portale aziendale sito Web e Intune'app.

  • Intune si integra con i servizi di difesa dalle minacce mobili, inclusi Microsoft Defender per endpoint e servizi partner di terze parti. Con questi servizi, l'attenzione è rivolta alla sicurezza degli endpoint ed è possibile creare criteri che rispondono alle minacce, eseguire analisi dei rischi in tempo reale e automatizzare la correzione.

    Per altre informazioni, vedere Integrazione di Mobile Threat Defense con Intune.

  • Si usa un'interfaccia di amministrazione basata sul Web incentrata sulla gestione degli endpoint, inclusa la creazione di report basati sui dati. Gli amministratori possono accedere all'interfaccia di amministrazione di Endpoint Manager da qualsiasi dispositivo con accesso a Internet.

    Per altre informazioni, vedere Procedura dettagliata per l'interfaccia di amministrazione di Endpoint Manager. Per accedere all'interfaccia di amministrazione, passare a Microsoft'interfaccia di amministrazione di Endpoint Manager.

    Questa interfaccia di amministrazione usa Microsoft API REST Graph per accedere a livello di codice al servizio Intune. Ogni azione nell'interfaccia di amministrazione è una chiamata a Graph Microsoft. Se non si ha familiarità con Graph e si vuole saperne di più, vedere Graph integrates with Microsoft Intune (Si integra con Microsoft Intune).

Si integra con altri servizi e app Microsoft

Microsoft Intune si integra con altri prodotti e servizi Microsoft incentrati sulla gestione degli endpoint, tra cui:

Si integra con dispositivi e app partner di terze parti

L'interfaccia di amministrazione di Endpoint Manager semplifica la connessione a diversi servizi partner, tra cui:

Con questi servizi, Intune:

  • Offre agli amministratori un accesso semplificato ai servizi app partner di terze parti.
  • Può gestire centinaia di app partner di terze parti.
  • Supporta app di vendita al dettaglio pubbliche, app line-of-business (LOB), app private non disponibili nello store pubblico, app personalizzate e altro ancora.

Per requisiti più specifici della piattaforma per registrare i dispositivi partner di terze parti in Intune, vedere:

Eseguire la registrazione nella gestione dei dispositivi, nella gestione delle applicazioni o in entrambi

I dispositivi di proprietà dell'organizzazione vengono registrati in Intune per la gestione dei dispositivi mobili (MDM). MDM è incentrato sul dispositivo, quindi le funzionalità del dispositivo vengono configurate in base a chi ne ha bisogno. Ad esempio, è possibile configurare un dispositivo per consentire l'accesso al Wi-Fi, ma solo se l'utente connesso è un account dell'organizzazione.

In Intune si creano criteri che configurano le impostazioni delle funzionalità & e forniscono protezione di sicurezza&. I dispositivi sono completamente gestiti dall'organizzazione, incluse le identità utente che accedono, le app installate e i dati a cui si accede.

Quando i dispositivi vengono registrati, è possibile distribuire i criteri durante il processo di registrazione. Al termine della registrazione, il dispositivo è pronto per l'uso.

Per i dispositivi personali in scenari BYOD (Bring Your Own Device), è possibile usare Intune per la gestione delle applicazioni mobili (MAM). MAM è incentrato sull'utente, quindi i dati dell'app sono protetti indipendentemente dal dispositivo usato per accedere a questi dati. L'attenzione è rivolta alle app, tra cui l'accesso sicuro alle app e la protezione dei dati all'interno delle app.

Con MAM è possibile:

  • Pubblicare app per dispositivi mobili per gli utenti.
  • Configurare le app e aggiornare automaticamente le app.
  • Visualizzare i report di dati incentrati sull'inventario delle app e sull'utilizzo delle app.

È anche possibile usare MDM e MAM insieme. Se i dispositivi sono registrati e sono presenti app che necessitano di maggiore sicurezza, è anche possibile usare i criteri di protezione delle app MAM.

Per altre informazioni, vedere:

Proteggere i dati in qualsiasi dispositivo

Con Intune, è possibile proteggere i dati nei dispositivi gestiti (registrati in Intune) e proteggere i dati nei dispositivi non gestiti (non registrati in Intune). Intune possono isolare i dati dell'organizzazione dai dati personali. L'idea è proteggere le informazioni aziendali controllando il modo in cui gli utenti accedono e condividono le informazioni.

Per i dispositivi di proprietà dell'organizzazione, si vuole il controllo completo sui dispositivi, in particolare la sicurezza. Quando i dispositivi vengono registrati, ricevono le regole e le impostazioni di sicurezza.

Nei dispositivi registrati in Intune è possibile:

  • Creare e distribuire criteri che configurano le impostazioni di sicurezza, impostano i requisiti delle password, distribuiscono certificati e altro ancora.
  • Usare i servizi di difesa dalle minacce mobili per analizzare i dispositivi, rilevare le minacce e correggere le minacce.
  • Visualizzare i dati e i report che misurano la conformità con le impostazioni e le regole di sicurezza.
  • Usare l'accesso condizionale per consentire solo ai dispositivi gestiti e conformi l'accesso alle risorse, alle app e ai dati dell'organizzazione.
  • Rimuovere i dati dell'organizzazione se un dispositivo viene smarrito o rubato.

Per i dispositivi personali, gli utenti potrebbero non volere che gli amministratori IT abbiano il controllo completo. Per supportare un ambiente di lavoro ibrido, offrire agli utenti opzioni. Ad esempio, gli utenti registrano i loro dispositivi se desiderano disporre di un accesso completo alle risorse dell'organizzazione. In alternativa, se questi utenti vogliono accedere solo a Outlook o Microsoft Teams, usare i criteri di protezione delle app che richiedono l'autenticazione a più fattori (MFA).

Nei dispositivi che usano la gestione delle applicazioni, è possibile:

  • Usare i servizi di difesa dalle minacce mobili per proteggere i dati delle app tramite l'analisi dei dispositivi, il rilevamento delle minacce e la valutazione dei rischi.
  • Impedire che i dati dell'organizzazione vengano copiati e incollati nelle app personali.
  • Usare i criteri di protezione delle app nelle app e nei dispositivi non gestiti registrati in un MDM di terze parti o partner.
  • Usare l'accesso condizionale per limitare le app che possono accedere alla posta elettronica e ai file dell'organizzazione.
  • Rimuovere i dati dell'organizzazione all'interno delle app.

Per altre informazioni, vedere:

Semplificare l'accesso

Intune aiuta le organizzazioni a supportare i dipendenti che possono lavorare ovunque. Esistono funzionalità che è possibile configurare che consentono agli utenti di connettersi a un'organizzazione, ovunque si trovino.

Questa sezione include alcune funzionalità comuni che è possibile configurare in Intune.

Usare Windows Hello for Business invece delle password

Windows Hello for Business consente di proteggere da attacchi di phishing e altre minacce alla sicurezza. Consente inoltre agli utenti di accedere ai dispositivi e alle app in modo più rapido e semplice.

Windows Hello for Business sostituisce le password usando un PIN o una biometria, ad esempio impronta digitale, riconoscimento facciale. Queste informazioni biometriche vengono archiviate localmente nei dispositivi e non vengono mai inviate a dispositivi o server esterni.

Per altre informazioni, vedere:

Creare una connessione VPN per gli utenti remoti

I criteri VPN offrono agli utenti l'accesso remoto sicuro alla rete dell'organizzazione.

Usando i partner di connessione VPN comuni, tra cui Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure e altro ancora, è possibile creare criteri VPN con le impostazioni di rete. Quando il criterio è pronto, questo criterio viene distribuito agli utenti e ai dispositivi che devono connettersi alla rete in remoto.

Nei criteri VPN è possibile usare i certificati per autenticare la connessione VPN. Quando si usano i certificati, gli utenti finali non devono immettere nomi utente e password.

Per altre informazioni, vedere:

Creare una connessione Wi-Fi per gli utenti locali

Per gli utenti che devono connettersi alla rete dell'organizzazione in locale, è possibile creare un criterio di Wi-Fi con le impostazioni di rete. È possibile connettersi a un SSID specifico, selezionare un metodo di autenticazione, usare un proxy e altro ancora. È anche possibile configurare i criteri per la connessione automatica a Wi-Fi quando il dispositivo è compreso nell'intervallo.

Nei criteri Wi-Fi è possibile usare i certificati per autenticare la connessione Wi-Fi. Quando si usano i certificati, gli utenti finali non devono immettere nomi utente e password.

Quando il criterio è pronto, questo criterio viene distribuito agli utenti e ai dispositivi locali che devono connettersi alla rete locale.

Per altre informazioni, vedere:

Abilitare l'accesso Single Sign-On (SSO) alle app e ai servizi

Quando si abilita l'accesso SSO, gli utenti possono accedere automaticamente ad app e servizi usando l'account dell'organizzazione di Azure AD, incluse alcune app partner per la difesa dalle minacce mobili.

In particolare:

Passaggi successivi