Configurare i ruoli di Microsoft Entra ID e le licenze

  • 7 minuti

Prima di gestire i dispositivi con Microsoft Intune, è necessario assicurarsi che utenti e amministratori dispongano delle autorizzazioni e delle licenze appropriate. Microsoft Entra ID (in precedenza Azure Active Directory) funge da base di identità per Microsoft Intune, controllando chi può accedere al servizio e cosa può fare.

Screenshot di Interfaccia di amministrazione di Microsoft Entra che mostra la pagina Ruoli e amministratori con ruoli amministrativi predefiniti.

ruoli Microsoft Entra ID per Intune

Microsoft Entra ID offre diversi ruoli amministrativi predefiniti che controllano l'accesso alle funzionalità di gestione dei Intune e dei dispositivi. La scelta dei ruoli appropriati consente di implementare il principio dei privilegi minimi, concedendo agli amministratori solo le autorizzazioni necessarie.

Ruoli chiave per la gestione dei dispositivi

Ruolo Autorizzazioni Caso d'uso ottimale
Amministratore globale Livello di accesso massimo per tutti i servizi di Microsoft 365; può gestire tutti gli aspetti di Microsoft Entra ID e servizi che usano identità Microsoft Entra; ha accesso completo a Microsoft Intune e a tutte le funzionalità di gestione dei dispositivi Accesso di emergenza e attività amministrative critiche. Deve essere limitato a un numero ridotto di amministratori attendibili.
Amministratore Intune Autorizzazioni complete per gestire Microsoft Intune; può creare e gestire criteri di registrazione dei dispositivi, profili di configurazione e criteri di conformità; può visualizzare e gestire tutti i dispositivi, gli utenti e i gruppi in Intune Amministratori di gestione dei dispositivi dedicati che necessitano del controllo completo sulle configurazioni Intune.
Amministratore del dispositivo cloud Autorizzazioni limitate per la gestione dei dispositivi in Microsoft Entra ID; può abilitare/disabilitare i dispositivi e leggere le chiavi di BitLocker; non può gestire configurazioni specifiche di Intune come criteri o profili Personale del supporto tecnico che necessita dell'accesso a livello di dispositivo senza autorizzazioni di Intune complete.
Amministratore della sicurezza Può gestire le funzionalità di sicurezza nei servizi di Microsoft 365; può visualizzare i report di sicurezza e impostare i criteri di sicurezza Combinazione della gestione dei dispositivi con responsabilità di sicurezza più ampie.

Procedure consigliate per l'assegnazione di ruolo

Queste procedure sono in linea con il principio di accesso con privilegi minimi di Zero Trust, garantendo che gli amministratori dispongano solo delle autorizzazioni necessarie per il proprio ruolo:

  • Assegnare ruoli ai gruppi, non ai singoli utenti: usare Microsoft Entra gruppi di sicurezza per le assegnazioni di ruolo anziché assegnarlo direttamente agli utenti. Ciò semplifica la gestione, migliora la coerenza e semplifica il controllo degli utenti con accesso amministrativo
  • Limitare l'utilizzo dell'amministratore globale: riservare l'accesso di emergenza e le attività amministrative critiche. La maggior parte degli amministratori deve usare ruoli con privilegi inferiori, ad esempio Intune Administrator o Cloud Device Administrator
  • Proteggere i ruoli amministrativi con l'accesso condizionale: applicare criteri di accesso condizionale più rigorosi ai ruoli di amministratore, richiedendo MFA, dispositivi conformi e posizioni attendibili per tutti gli accessi amministrativi (verificare in modo esplicito l'accesso con privilegi)
  • Usare Privileged Identity Management (PIM): richiedere l'elevazione ji-in-time per i ruoli amministrativi sensibili, garantendo che i privilegi vengano concessi solo quando necessario e per periodi di tempo limitati.
  • Creare ruoli personalizzati quando necessario: usare le funzionalità dei ruoli personalizzate di Intune per scenari specializzati che richiedono combinazioni di autorizzazioni specifiche
  • Assegnazioni di ruolo del documento: gestire un audit trail di chi dispone delle autorizzazioni, inclusa la giustificazione per l'accesso con privilegi elevati

Requisiti di licenza per la gestione dei dispositivi

Microsoft Intune richiede licenze appropriate sia per gli utenti che, in alcuni scenari, per i dispositivi. La comprensione delle licenze garantisce la conformità e consente le funzionalità complete necessarie.

Licenze necessarie

Per usare Microsoft Intune per la gestione dei dispositivi, gli utenti devono avere una delle licenze seguenti:

License Elementi inclusi Ideale per
Microsoft Intune Sottoscrizione Intune autonoma Organizzazioni che necessitano solo della gestione dei dispositivi senza altri servizi di Microsoft 365
Microsoft 365 E3 o E5 Intune oltre ad app di Office, posta elettronica, strumenti di collaborazione Le organizzazioni aziendali necessitano di produttività e gestione complete
Microsoft 365 F3 Intune per i lavoratori in prima linea Ruoli di lavoro in prima linea e turnisti con esigenze di app e dispositivi semplificate
Microsoft 365 Business Premium Intune più strumenti di produttività aziendale Piccole e medie imprese (fino a 300 utenti)
Enterprise Mobility + Security (EMS) E3 o E5 Intune più Microsoft Entra ID P1/P2, Azure Information Protection e altri servizi di sicurezza Organizzazioni che assegnano priorità alla sicurezza e alla gestione delle identità

Considerazioni aggiuntive sulle licenze

Windows Autopilot

  • Incluso con le licenze Intune
  • Richiede Windows 10/11 Edizioni Pro o Enterprise nei dispositivi
  • Nessuna licenza aggiuntiva necessaria per il provisioning basato sul cloud

Microsoft Defender per endpoint

  • Richiede licenza o Microsoft 365 E5 Microsoft Defender per endpoint separati
  • Abilita la protezione avanzata dalle minacce e il baselining di sicurezza
  • Si integra con Intune per la conformità dei dispositivi

Accesso condizionale

  • Incluso con Microsoft Entra ID P1 (parte di EMS E3 o Microsoft 365 E3/E5)
  • Consente alla conformità dei dispositivi di controllare l'accesso alle risorse aziendali
  • Essenziale per i modelli di sicurezza Zero Trust: applica il principio di verifica in modo esplicito richiedendo ai dispositivi di dimostrare la conformità prima di accedere ai dati

Licenze basate sui dispositivi

Oltre alle licenze basate sull'utente, Microsoft offre licenze basate su dispositivi per i dispositivi condivisi:

  • Microsoft Intune Sottoscrizione del dispositivo: per i dispositivi non associati a un utente specifico (chioschi multimediali, dispositivi della sala conferenze, tablet condivisi)
  • Fatturato per dispositivo anziché per utente
  • Utile per scenari in cui più utenti condividono lo stesso dispositivo

Licenze Per Utente

Impostare il percorso di utilizzo

Prima di assegnare le licenze, assicurarsi che ogni utente disponga di una posizione di utilizzo configurata in Microsoft Entra ID. Ciò è necessario a causa delle restrizioni di licenza in determinati paesi/aree geografiche.

Per impostare il percorso di utilizzo:

  1. Passare a Microsoft Entra ID>Utenti
  2. Selezionare un utente e scegliere Profilo
  3. Impostare la proprietà Posizione utilizzo
  4. Salvare le modifiche

Nota

Il percorso di utilizzo può essere impostato manualmente o automaticamente tramite la sincronizzazione della directory se si usa Microsoft Entra Connect o Microsoft Entra Cloud Sync.

Dopo aver creato le licenze appropriate nel tenant, è necessario assegnarle agli utenti prima che possano registrare i dispositivi. È possibile assegnare licenze direttamente a singoli utenti nel interfaccia di amministrazione di Microsoft 365 o usare licenze basate su gruppo nel Interfaccia di amministrazione di Microsoft Entra per la gestione automatizzata delle licenze.

Per procedure di assegnazione delle licenze dettagliate, vedere Assegnare licenze agli utenti in modo che possano registrare i dispositivi in Intune.

Assegnazione di licenze dirette (interfaccia di amministrazione di Microsoft 365)

Per assegnare manualmente una licenza di Intune a un utente:

  1. Accedere al interfaccia di amministrazione di Microsoft 365
  2. Passare a Utenti utenti>attivi
  3. Selezionare un utente senza licenza
  4. Selezionare Licenze e app
  5. Selezionare la casella per Intune (o scegliere Enterprise Mobility + Security E5 o un altro bundle contenente Intune)
  6. Selezionare Salva modifiche.

L'utente dispone ora delle autorizzazioni necessarie per registrare i dispositivi nella gestione Intune.

Licenza basata su gruppo (Interfaccia di amministrazione di Microsoft Entra)

Usare un gruppo di sicurezza per assegnare licenze Intune (o in bundle) a più utenti:

  1. Accedere al Interfaccia di amministrazione di Microsoft Entra con il ruolo Amministratore licenze o Amministratore globale.
  2. Passare a Licenzedi fatturazione>delle identità>.
  3. Selezionare Tutti i prodotti e scegliere il prodotto (ad esempio, Enterprise Mobility + Security E5, Microsoft Intune (piano 1) o bundle di Microsoft 365).
  4. Selezionare Gruppi con licenza.
  5. Selezionare + Assegna. Screenshot del portale che consente agli utenti di scegliere il gruppo da usare per l'assegnazione delle licenze.
  6. Cercare e selezionare il gruppo di sicurezza di destinazione.
  7. Selezionare Opzioni di assegnazione per esaminare i piani di servizio e deselezionare gli eventuali piani non desiderati, mantieni insieme i piani dipendenti.
  8. Selezionare Rivedi e assegna, quindi Assegna.
  9. Monitorare lo stato in Gruppi con licenza ,ad esempio Assegnazione in corso, Assegnazione completata.

Per verificare in un secondo momento, rivedere Licenze > di fatturazione > Tutti i prodotti > [Prodotto] > Gruppi con licenza.

Configurare le impostazioni del dispositivo Microsoft Entra

Microsoft Entra ID include diverse impostazioni correlate al dispositivo che influiscono sulla registrazione e la gestione. Queste impostazioni controllano quali utenti possono aggiungere dispositivi e come vengono registrati i dispositivi.

Impostazioni principali del dispositivo da configurare

Impostazione Opzioni Consiglio
Gli utenti possono aggiungere dispositivi a Microsoft Entra ID Tutto: qualsiasi utente può aggiungere dispositivi (impostazione predefinita)
Selezionato: solo utenti/gruppi specifici possono partecipare
Nessuno: blocca tutti i join dei dispositivi		 Usare Selezionato per l'ambiente di produzione per controllare quali utenti possono registrare i dispositivi. Usare Tutto solo per il test.
Richiedere l'autenticazione a più fattori (MFA) per registrare o aggiungere dispositivi : gli utenti devono completare l'autenticazione a più fattori prima di aggiungere un dispositivo
No: MFA non necessaria (impostazione predefinita)		 Abilita per la sicurezza avanzata, in particolare per gli scenari BYOD.
Numero massimo di dispositivi per utente Impostazione predefinita: 50 dispositivi
Può essere ridotto o impostato su Illimitato		 Ridurre dall'impostazione predefinita per limitare l'espansione dei dispositivi. Impostare su Illimitato solo negli ambienti di test.
Impostazioni dell'amministratore locale Controllare se l'utente che accede al dispositivo diventa amministratore locale
Può aggiungere altri Microsoft Entra utenti/gruppi al gruppo Administrators locale		 Configurare in base ai requisiti di sicurezza e ai ruoli utente. Provare a rimuovere i diritti di amministratore locale per gli utenti standard.

Importante

L'impostazione "Richiedi autenticazione a più fattori per registrare o aggiungere dispositivi con Microsoft Entra ID" si applica ai dispositivi Microsoft Entra aggiunti (con alcune eccezioni) o Microsoft Entra registrati. Questa impostazione non si applica a Microsoft Entra dispositivi aggiunti ibridi, Microsoft Entra macchine virtuali aggiunte in Azure o Microsoft Entra dispositivi aggiunti che usano la modalità di distribuzione automatica di Windows Autopilot.

Per configurare queste impostazioni:

  1. Passare a Microsoft Entra ID>Impostazioni dispositivo>
  2. Modificare le impostazioni in base ai criteri di sicurezza dell'organizzazione
  3. Salvare le modifiche

Screenshot di Microsoft Entra impostazioni del dispositivo che mostra le opzioni di configurazione per l'aggiunta e la registrazione del dispositivo.

Identità e licenze in Contoso

In Contoso Corporation, il team IT ha stabilito la base di identità e licenze per la distribuzione Intune.

Area Configurazione di Contoso
Ruoli amministrativi Creato il gruppo di sicurezza "Intune Admins" con Intune ruolo di amministratore; l'amministratore globale è limitato a 2 account di accesso di emergenza
Licenze utente Assegnate licenze Microsoft 365 E3 a tutti i 500 dipendenti che usano licenze basate su gruppo; posizione di utilizzo configurata per la conformità
Impostazioni dispositivo Impostare "Gli utenti possono aggiungere dispositivi" su "Selezionato" come gruppo pilota di destinazione; requisito di autenticazione a più fattori abilitato per la registrazione del dispositivo
Limiti dei dispositivi Dispositivi massimi ridotti per utente da 50 a 5 per i dipendenti standard; impostare 10 per il personale IT
Controllo Amministrazione locale Rimosso Microsoft Entra utenti del dispositivo aggiunti dal gruppo Administrators locale per motivi di sicurezza

Con queste configurazioni di base, il team IT di Contoso può controllare con sicurezza chi ha accesso amministrativo, assicurarsi che tutti gli utenti dispongano di licenze appropriate e applicare i requisiti di sicurezza durante la registrazione del dispositivo. Nell'unità successiva si prepara il tenant Intune per l'onboarding del dispositivo.