Gestire la sicurezza dei dispositivi con i criteri di sicurezza degli endpoint in Microsoft Intune

  • Articolo

Usare Intune criteri di sicurezza degli endpoint per gestire le impostazioni di sicurezza nei dispositivi. Ogni criterio di sicurezza degli endpoint supporta uno o più profili. Questi profili sono simili nel concetto a un modello di criteri di configurazione del dispositivo, un gruppo logico di impostazioni correlate.

Gli amministratori della sicurezza che si occupano della sicurezza dei dispositivi possono usare questi profili incentrati sulla sicurezza per evitare il sovraccarico dei profili di configurazione dei dispositivi o delle baseline di sicurezza. I profili di configurazione dei dispositivi e le baseline includono un corpo elevato di diverse impostazioni al di fuori dell'ambito della protezione degli endpoint. Al contrario, ogni profilo di sicurezza degli endpoint è incentrato su un subset specifico di impostazioni del dispositivo destinato a configurare un aspetto della sicurezza dei dispositivi.

Quando si usano criteri di sicurezza degli endpoint insieme ad altri tipi di criteri, ad esempio baseline di sicurezza o modelli di endpoint protection dai criteri di configurazione dei dispositivi, è importante sviluppare un piano per l'uso di più tipi di criteri per ridurre al minimo il rischio di impostazioni in conflitto. Le baseline di sicurezza, i criteri di configurazione dei dispositivi e i criteri di sicurezza degli endpoint vengono tutti considerati come origini uguali delle impostazioni di configurazione del dispositivo da Intune. Un conflitto di impostazioni si verifica quando un dispositivo riceve due configurazioni diverse per un'impostazione da più origini. Più origini possono includere tipi di criteri separati e più istanze dello stesso criterio.

Quando Intune valuta i criteri per un dispositivo e identifica le configurazioni in conflitto per un'impostazione, l'impostazione coinvolta può essere contrassegnata per un errore o un conflitto e non può essere applicata. Ogni tipo di criterio di configurazione supporta l'identificazione e la risoluzione dei conflitti nel caso in cui si verifichino:

I criteri di sicurezza degli endpoint sono disponibili in Gestisci nel nodo Sicurezza degli endpointdell'interfaccia di amministrazione Microsoft Intune.

Gestione dei criteri di sicurezza degli endpoint nell'interfaccia di amministrazione Microsoft Intune

Di seguito sono riportate brevi descrizioni di ogni tipo di criterio di sicurezza degli endpoint. Per altre informazioni su di essi, inclusi i profili disponibili per ognuno, seguire i collegamenti al contenuto dedicato a ogni tipo di criterio:

  • Protezione degli account : i criteri di protezione degli account consentono di proteggere l'identità e gli account degli utenti. I criteri di protezione degli account sono incentrati sulle impostazioni per Windows Hello e Credential Guard, che fa parte della gestione delle identità e degli accessi di Windows.

  • Antivirus : i criteri antivirus consentono agli amministratori della sicurezza di concentrarsi sulla gestione del gruppo discreto di impostazioni antivirus per i dispositivi gestiti.

  • Controllo app per le aziende (anteprima): consente di gestire le app approvate per i dispositivi Windows con i criteri di Controllo app per le aziende e i programmi di installazione gestiti per Microsoft Intune. Intune i criteri di controllo delle app per le aziende sono un'implementazione di Windows Defender controllo delle applicazioni (WDAC).

  • Riduzione della superficie di attacco: quando l'antivirus Defender è in uso nei dispositivi Windows 10/11, usare Intune criteri di sicurezza degli endpoint per la riduzione della superficie di attacco per gestire tali impostazioni per i dispositivi.

  • Crittografia del disco : i profili di crittografia dei dischi di sicurezza degli endpoint si concentrano solo sulle impostazioni rilevanti per un metodo di crittografia predefinito dei dispositivi, ad esempio FileVault o BitLocker. Questo focus semplifica la gestione delle impostazioni di crittografia dei dischi da parte degli amministratori della sicurezza senza dover esplorare un host di impostazioni non correlate.

  • Rilevamento e risposta degli endpoint: quando si integrano Microsoft Defender per endpoint con Intune, usare i criteri di sicurezza degli endpoint per il rilevamento e la risposta degli endpoint (EDR) per gestire le impostazioni EDR e caricare i dispositivi in Microsoft Defender per endpoint.

  • Firewall: usare i criteri firewall di sicurezza degli endpoint in Intune per configurare un firewall predefinito per i dispositivi che eseguono macOS e Windows 10/11.

Le sezioni seguenti si applicano a tutti i criteri di sicurezza degli endpoint.

Creare criteri di sicurezza degli endpoint

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Sicurezza endpoint , quindi selezionare il tipo di criterio da configurare e quindi selezionare Crea criterio. Scegliere tra i tipi di criteri seguenti:

    • Protezione dell'account
    • Antivirus
    • Controllo applicazione (anteprima)
    • Riduzione della superficie d'attacco
    • Crittografia disco
    • Rilevamento endpoint e risposta
    • Firewall

  3. Immettere le seguenti proprietà:

    • Piattaforma: scegliere la piattaforma per cui si stanno creando i criteri. Le opzioni disponibili dipendono dal tipo di criterio selezionato.
    • Profilo: scegliere tra i profili disponibili per la piattaforma selezionata. Per informazioni sui profili, vedere la sezione dedicata in questo articolo per il tipo di criterio scelto.

  4. Selezionare Crea.

  5. Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo, quindi scegliere Avanti.

  6. Nella pagina Impostazioni di configurazione espandere ogni gruppo di impostazioni e configurare le impostazioni da gestire con questo profilo.

    Al termine della configurazione delle impostazioni, selezionare Avanti.

  7. Nella pagina Tag ambito scegliere Seleziona tag di ambito per aprire il riquadro Seleziona tag per assegnare i tag di ambito al profilo.

    Selezionare Avanti per continuare.

  8. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Selezionare Avanti.

  9. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Duplicare un criterio

I criteri di sicurezza degli endpoint supportano la duplicazione per creare una copia dei criteri originali. Uno scenario in cui la duplicazione di un criterio è utile è se è necessario assegnare criteri simili a gruppi diversi, ma non si vuole ricreare manualmente l'intero criterio. È invece possibile duplicare il criterio originale e quindi introdurre solo le modifiche richieste dal nuovo criterio. È possibile modificare solo un'impostazione specifica e il gruppo a cui è assegnato il criterio.

Quando si crea un duplicato, si assegna alla copia un nuovo nome. La copia viene eseguita con le stesse configurazioni di impostazione e gli stessi tag di ambito dell'originale, ma non avrà assegnazioni. Sarà necessario modificare i nuovi criteri in un secondo momento per creare assegnazioni.

I tipi di criteri seguenti supportano la duplicazione:

  • Protezione dell'account
  • Controllo applicazione (anteprima)
  • Antivirus
  • Riduzione della superficie d'attacco
  • Crittografia disco
  • Rilevamento endpoint e risposta
  • Firewall

Dopo aver creato il nuovo criterio, esaminare e modificare i criteri per apportare modifiche alla configurazione.

Per duplicare un criterio

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.
  2. Selezionare il criterio che si desidera copiare. Selezionare Quindi Duplica o selezionare i puntini di sospensione (...) a destra del criterio e selezionare Duplica.
  3. Specificare un nuovo nome per il criterio e quindi selezionare Salva.

Per modificare un criterio

  1. Selezionare il nuovo criterio e quindi selezionare Proprietà.
  2. Selezionare Impostazioni per espandere un elenco delle impostazioni di configurazione nei criteri. Non è possibile modificare le impostazioni da questa visualizzazione, ma è possibile esaminarne la configurazione.
  3. Per modificare il criterio, selezionare Modifica per ogni categoria in cui si vuole apportare una modifica:
    • Dati principali
    • Attività
    • Tag di ambito
    • Impostazioni di configurazione
  4. Dopo aver apportato modifiche, selezionare Salva per salvare le modifiche. Le modifiche a una categoria devono essere salvate prima di poter introdurre modifiche a categorie aggiuntive.

Gestire i conflitti

Molte delle impostazioni del dispositivo che è possibile gestire con i criteri di sicurezza degli endpoint (criteri di sicurezza) sono disponibili anche tramite altri tipi di criteri in Intune. Questi altri tipi di criteri includono criteri di configurazione del dispositivo e baseline di sicurezza. Poiché le impostazioni possono essere gestite tramite diversi tipi di criteri o da più istanze dello stesso tipo di criteri, prepararsi a identificare e risolvere i conflitti di criteri per i dispositivi che non rispettano le configurazioni previste.

  • Le baseline di sicurezza possono impostare un valore non predefinito per un'impostazione in modo che sia conforme alla configurazione consigliata per gli indirizzi baseline.
  • Altri tipi di criteri, inclusi i criteri di sicurezza degli endpoint, impostano il valore Non configurato per impostazione predefinita. Questi altri tipi di criteri richiedono la configurazione esplicita delle impostazioni nei criteri.

Indipendentemente dal metodo dei criteri, la gestione della stessa impostazione nello stesso dispositivo tramite più tipi di criteri o tramite più istanze dello stesso tipo di criteri può causare conflitti che devono essere evitati.

Le informazioni disponibili nei collegamenti seguenti consentono di identificare e risolvere i conflitti:

Passaggi successivi

Gestire la sicurezza degli endpoint in Intune