Distribuzione di Controllo app per le aziende in scenari diversi: tipi di dispositivi
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
In genere, la distribuzione di Controllo app per le aziende avviene meglio in fasi, anziché essere una funzionalità che si "attiva". La scelta e la sequenza di fasi dipendono dal modo in cui vengono usati i vari computer e altri dispositivi nell'organizzazione e in quale misura l'IT gestisce tali dispositivi. La tabella seguente consente di iniziare a sviluppare un piano per la distribuzione di Controllo app nell'organizzazione. È comune per le organizzazioni avere casi d'uso dei dispositivi in ognuna delle categorie descritte.
Tipi di dispositivi
| Tipo di dispositivo | Relazione tra Controllo app e questo tipo di dispositivo |
|---|---|
|
Dispositivi poco gestiti: di proprietà dell'azienda, ma gli utenti sono liberi di installare software. Nei dispositivi devono essere in esecuzione la soluzione antivirus e gli strumenti di gestione client dell'organizzazione. |
Il controllo delle app per le aziende può essere usato per proteggere il kernel e per monitorare (controllare) le applicazioni problematiche anziché limitare le applicazioni che possono essere eseguite. |
|
Dispositivi completamente gestiti: il software consentito è limitato dal reparto IT. Gli utenti possono richiedere più software o eseguire l'installazione da un elenco di applicazioni fornite dal reparto IT. Esempi: computer desktop e portatili bloccati di proprietà dell'azienda. |
È possibile stabilire e applicare un criterio iniziale di controllo delle app per le aziende. Ogni volta che il reparto IT approva più applicazioni, aggiorna i criteri di controllo delle app e (per le applicazioni LOB non firmate) il catalogo. |
|
Dispositivi con carico di lavoro fisso: eseguono ogni giorno le stesse attività. Gli elenchi di applicazioni approvate cambiano raramente. Esempi: chioschi multimediali, sistemi POS, computer di call center. |
Il controllo delle app per le aziende può essere distribuito completamente e la distribuzione e l'amministrazione in corso sono relativamente semplici. Dopo la distribuzione di Controllo app per le aziende, è possibile eseguire solo le applicazioni approvate. Questa regola è dovuta alle protezioni offerte da Controllo app. |
| Bring Your Own Device (BYOD): i dipendenti sono autorizzati a usare dispositivi personali, anche lontano dal lavoro. | Nella maggior parte dei casi, controllo app per le aziende non si applica. È possibile invece valutare altre funzionalità di sicurezza e protezione avanzata con soluzioni di accesso condizionale basato su MDM, ad esempio Microsoft Intune. Tuttavia, è possibile scegliere di distribuire criteri in modalità di controllo in questi dispositivi o usare solo criteri di tipo blocklist per impedire app o file binari specifici considerati dannosi o vulnerabili dall'organizzazione. |
Introduzione a Lamna Healthcare Company
Nel set di articoli successivo verranno esaminati ognuno degli scenari precedenti usando un'organizzazione fittizia denominata Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) è un grande operatore sanitario che opera nel Stati Uniti. Lamna impiega migliaia di persone, da medici e infermieri a contabili, avvocati interni e tecnici IT. I casi d'uso dei dispositivi sono diversi e includono workstation monoutente per il personale professionale, chioschi condivisi usati da medici e infermieri per accedere alle cartelle cliniche dei pazienti, dispositivi medici dedicati come scanner MRI e molti altri. Inoltre, Lamna ha una politica rilassata e bring-your-own-device per molti dei loro professionisti.
Lamna usa Microsoft Intune in modalità ibrida con Configuration Manager e Intune. Anche se usano Microsoft Intune per distribuire molte applicazioni, Lamna ha sempre avuto procedure di utilizzo delle applicazioni meno rigide: i singoli team e dipendenti sono stati in grado di installare e usare tutte le applicazioni che ritengono necessarie per il proprio ruolo nelle proprie workstation. Lamna ha anche recentemente iniziato a usare Microsoft Defender per endpoint per migliorare il rilevamento e la risposta degli endpoint.
Di recente, Lamna ha riscontrato un evento ransomware che ha richiesto un processo di recupero costoso e potrebbe aver incluso l'esfiltrazione dei dati da parte dell'utente malintenzionato sconosciuto. Parte dell'attacco includeva l'installazione e l'esecuzione di file binari dannosi che evitavano il rilevamento da parte della soluzione antivirus di Lamna, ma che sarebbero stati bloccati da un criterio di controllo delle app. In risposta, il consiglio esecutivo di Lamna ha autorizzato molte nuove risposte IT di sicurezza, tra cui l'inasprimento dei criteri per l'uso delle applicazioni e l'introduzione del controllo delle app.