Microsoft Intune gestisce in modo sicuro le identità, le app e i dispositivi

La necessità delle organizzazioni di supportare forze lavoro ibride e che lavorano in remoto impone loro di sapere gestire i diversi dispositivi usati per accedere alle risorse aziendali. I dipendenti e gli studenti hanno l’esigenza di collaborare e lavorare ovunque, nonché di accedere e connettersi in modo sicuro a tali risorse. Gli amministratori devono riuscire a proteggere i dati aziendali, gestire l'accesso degli utenti finali e fornire loro supporto ovunque lavorino.

✅ Usare Microsoft Intune per affrontare queste sfide e svolgere queste attività.

Microsoft Intune è una soluzione di gestione degli endpoint basata sul cloud. Gestisce l'accesso degli utenti e semplifica la gestione di app e un’ampia gamma di dispositivi, inclusi i dispositivi mobili, i computer desktop e gli endpoint virtuali.

Diagramma che mostra le funzionalità e i vantaggi di Microsoft Intune.

Puoi proteggere l'accesso e i dati nei dispositivi personali di proprietà dell'organizzazione e degli utenti. Intune dispone di funzionalità per la conformità e la creazione di report che supportano un modello di sicurezza Zero Trust.

Questo articolo elenca alcune delle funzionalità e dei vantaggi di Microsoft Intune.

Consiglio

Funzionalità e vantaggi principali

Alcune funzionalità e vantaggi principali di Intune includono:

Gestire utenti e dispositivi

Con Intune è possibile gestire i dispositivi di proprietà dell'organizzazione e quelli di proprietà degli utenti finali. Microsoft Intune supporta dispositivi client Android, Android Open Source Project (AOSP), iOS/iPadOS, Linux Ubuntu Desktop, macOS e Windows. Con Intune è possibile usare questi dispositivi per accedere in modo sicuro alle risorse aziendali con i criteri creati.

Per altre informazioni, vedere:

Nota

Se si gestisce un’istanza di Windows Server locale, è possibile usare Configuration Manager.

Semplifica la gestione delle app

Intune offre un'esperienza in-app predefinita, tra cui la distribuzione, gli aggiornamenti e la rimozione delle app. È possibile:

  • Connettersi alle app e distribuirle dagli archivi app privati.
  • Abilitare le app di Microsoft 365, incluso Microsoft Teams.
  • Distribuire app Win32 e line-of-business (LOB).
  • Creare criteri di protezione delle app che proteggono i dati all'interno di un'app.
  • Gestire l'accesso alle app e ai rispettivi dati.

Per altre informazioni, vedere Gestire le app con Microsoft Intune.

Automatizzare la distribuzione dei criteri

È possibile creare criteri per le app, la sicurezza, la configurazione dei dispositivi, la conformità, l’accesso condizionale e altro ancora. Appena i criteri sono pronti, è possibile distribuirli a gruppi di utenti e di dispositivi. Per ricevere questi criteri, i dispositivi necessitano solo di un accesso a Internet.

Per altre informazioni, vedere Assegnare criteri in Microsoft Intune.

Usare le funzionalità self-service

I dipendenti e gli studenti possono usare l'app Portale aziendale e il sito Web per reimpostare PIN/password, installare app, partecipare a gruppi e altro ancora. È possibile personalizzare il portale aziendale per ridurre le chiamate di supporto.

Per altre informazioni, vedere Configurare le app di Portale aziendale di Intune, il sito Web di Portale aziendale e l'app Intune.

Integrazione con Mobile Threat Defense

Intune si integra con Microsoft Defender per endpoint e i servizi partner di terze parti. Con questi servizi, l'attenzione è incentrata sulla sicurezza degli endpoint. È possibile creare criteri che rispondono alle minacce, eseguire analisi dei rischi in tempo reale e automatizzare la correzione.

Per altre informazioni, vedere Integrazione di Mobile Threat Defense con Intune.

Usare un'interfaccia di amministrazione basata sul Web

L'interfaccia di amministrazione di Intune è incentrata sulla gestione degli endpoint, inclusa la creazione di report basati sui dati. Gli amministratori possono accedere all'interfaccia di amministrazione da qualsiasi dispositivo con accesso a Internet.

Per altre informazioni, vedere Procedura dettagliata per l'interfaccia di amministrazione di Intune. Per accedere all'interfaccia di amministrazione, vedere Interfaccia di amministrazione di Microsoft Intune.

Questa interfaccia di amministrazione usa le API REST di Microsoft Graph per accedere a livello di codice al servizio Intune. Ogni azione nell'interfaccia di amministrazione corrisponde a una chiamata a Microsoft Graph. Se non si ha familiarità con Graph e si desiderano altre informazioni, vedere Integrazione di Graph con Microsoft Intune.

Sicurezza e gestione degli endpoint avanzate

Microsoft Intune Suite offre funzionalità diverse, ad esempio Guida remota, Gestione privilegi endpoint, Microsoft Tunnel per MAM e altro ancora.

Per altre informazioni, vedere Funzionalità del componente aggiuntivo Intune Suite.

Consiglio

Seguire un modulo di training per scoprire come usufruire dei vantaggi della gestione degli endpoint moderna con Microsoft Intune.

Usare Microsoft Copilot in Intune per analisi generate dall'intelligenza artificiale

Copilot in Intune è disponibile e offre funzionalità basate su Copilot per la sicurezza.

Copilot è in grado di riepilogare i criteri esistenti e fornire altre informazioni sulle impostazioni, ad esempio sui valori consigliati e i potenziali conflitti. È anche possibile ottenere i dettagli dei dispositivi e risolvere i relativi problemi.

Per altre informazioni, vedere Microsoft Copilot in Intune.

Si integra con altri servizi e app Microsoft

Microsoft Intune si integra con altri prodotti e servizi Microsoft incentrati sulla gestione degli endpoint, tra cui:

Si integra con dispositivi e app partner di terze parti

L'interfaccia di amministrazione di Intune semplifica la connessione a diversi servizi partner, tra cui:

Con questi servizi, Intune:

  • Offre agli amministratori un accesso semplificato ai servizi app partner di terze parti.
  • Consente di gestire centinaia di app partner di terze parti.
  • Supporta app vendute nei punti vendita al dettaglio pubblici, app line-of-business (LOB), app private non disponibili nello store pubblico, app personalizzate e altro ancora.

Per requisiti specifici della piattaforma per registrare i dispositivi partner di terze parti in Intune, vedere:

Eseguire la registrazione nella gestione dei dispositivi, nella gestione delle applicazioni o in entrambe

✅I dispositivi di proprietà dell'organizzazione sono registrati in Intune per la gestione dei dispositivi mobili (MDM). MDM è incentrata sul dispositivo, quindi le funzionalità del dispositivo vengono configurate in funzione delle esigenze degli utenti. Ad esempio, è possibile configurare un dispositivo per consentire l'accesso alla rete Wi-Fi, ma solo se l'utente connesso è un account dell'organizzazione.

In Intune è possibile creare criteri che configurano le funzionalità e le impostazioni e che forniscono protezione e sicurezza. Il team di amministrazione gestisce completamente i dispositivi, incluse le identità utente che eseguono l’accesso, le app installate e i dati accessibili.

Dopo la registrazione dei dispositivi è possibile distribuire i criteri durante il processo di registrazione. Al termine della registrazione, il dispositivo è pronto per l'uso.

✅Per i dispositivi personali in scenari BYOD (Bring Your Own Device) è possibile usare Intune per la gestione delle applicazioni mobili (MAM). MAM è incentrata sull'utente, quindi i dati dell'app sono protetti indipendentemente dal dispositivo usato per accedere a questi dati. L'attenzione è rivolta alle app, ad esempio sull'accesso sicuro alle app e sulla protezione dei dati all'interno delle app.

Con MAM è possibile:

  • Pubblicare app per dispositivi mobili per gli utenti.
  • Configurare le app e aggiornale automaticamente.
  • Visualizzare i report di dati incentrati sull'inventario delle app e sul loro utilizzo.

✅ È anche possibile usare MDM e MAM insieme. Se i dispositivi sono stati registrati e sono presenti app che necessitano di maggiore sicurezza, è anche possibile usare i criteri di protezione delle app MAM.

Per altre informazioni, vedere:

Proteggere i dati in qualsiasi dispositivo

Con Intune è possibile proteggere i dati nei dispositivi gestiti (registrati in Intune) e proteggere i dati nei dispositivi non gestiti (non registrati in Intune). Intune consente di isolare i dati dell'organizzazione dai dati personali. Lo scopo è quello di proteggere le informazioni aziendali usando i criteri configurati e distribuiti.

Per i dispositivi di proprietà dell'organizzazione, gli utenti possono richiedere un controllo completo di tali dispositivi, ad esempio delle impostazioni, delle funzionalità e della sicurezza. Dopo la registrazione, i dispositivi ricevono le regole e le impostazioni di sicurezza.

Nei dispositivi registrati in Intune è possibile:

  • Creare e distribuire criteri che configurano le impostazioni di sicurezza, impostano i requisiti delle password, distribuiscono certificati e altro ancora.
  • Usare i servizi di difesa dalle minacce mobili per analizzare i dispositivi, rilevare le minacce e correggerle.
  • Visualizzare i dati e i report che misurano la conformità con le impostazioni e le regole di sicurezza.
  • Usare l'accesso condizionale per consentire solo ai dispositivi gestiti e conformi l'accesso alle risorse, alle app e ai dati dell'organizzazione.
  • Rimuovere i dati dell'organizzazione in caso di smarrimento, furto o mancato utilizzo di un dispositivo.

Relativamente ai dispositivi personali, è possibile che gli utenti non vogliano che gli amministratori IT abbiano il controllo completo. Offrire agli utenti opzioni per supportare un ambiente di lavoro ibrido. Ad esempio, gli utenti registrano i loro dispositivi se desiderano disporre di un accesso completo alle risorse dell'organizzazione. In alternativa, se desiderano accedere solo a Outlook o a Microsoft Teams, gli utenti possono usare i criteri di protezione delle app che richiedono l'autenticazione a più fattori (MFA) per usare tali app.

Nei dispositivi che usano la gestione delle applicazioni, è possibile:

  • Usare i servizi di difesa dalle minacce mobili per proteggere i dati delle app. Il servizio può analizzare i dispositivi, rilevare le minacce e valutare i rischi.
  • Impedire che i dati dell'organizzazione vengano copiati e incollati nelle app personali.
  • Usare i criteri di protezione delle app nelle app e nei dispositivi non gestiti registrati in un MDM di terze parti o partner.
  • Usare l'accesso condizionale per limitare le app che possono accedere alla posta elettronica e ai file dell'organizzazione.
  • Rimuovere i dati dell'organizzazione all'interno delle app.

Per altre informazioni, vedere:

Semplificare l'accesso per gli utenti.

Intune aiuta le organizzazioni a supportare i dipendenti che possono lavorare ovunque. Offre funzionalità configurabili che consentono agli utenti di connettersi a un'organizzazione, ovunque si trovino.

Questa sezione include alcune funzionalità comuni che è possibile configurare in Intune.

Usare Windows Hello for Business anziché le password

Windows Hello for Business offre protezione da attacchi di phishing e altre minacce alla sicurezza. Consente inoltre agli utenti di accedere ai dispositivi e alle app in modo più rapido e semplice.

Windows Hello for Business sostituisce le password con un PIN o dati biometrici, ad esempio l'impronta digitale o il riconoscimento facciale. Queste informazioni biometriche vengono archiviate localmente nei dispositivi e non vengono mai inviate a dispositivi o server esterni.

Per altre informazioni, vedere:

Creare una connessione VPN per gli utenti remoti

Le reti private virtuali offrono agli utenti un accesso remoto sicuro alla rete aziendale.

Grazie ai partner di connessione VPN comuni, tra cui Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure e altri ancora, è possibile creare criteri VPN con le impostazioni di rete. Quando il criterio è pronto, viene distribuito agli utenti e ai dispositivi che devono connettersi alla rete in remoto.

Nei criteri VPN è possibile usare i certificati per autenticare la connessione VPN. Quando si usano i certificati, gli utenti finali non devono immettere nomi utente e password.

Per altre informazioni, vedere:

Creare una connessione Wi-Fi per gli utenti locali

È possibile creare un criterio di Wi-Fi con le impostazioni di rete per gli utenti che devono connettersi alla rete dell’organizzazione in locale. È possibile connettersi a un SSID specifico, selezionare un metodo di autenticazione, usare un proxy e altro ancora. È anche possibile configurare i criteri per la connessione automatica alla rete Wi-Fi quando il dispositivo rientra nell'intervallo.

Nei criteri Wi-Fi è possibile usare certificati per autenticare la connessione Wi-Fi. Quando si usano i certificati, gli utenti finali non devono immettere nomi utente e password.

Quando il criterio è pronto, viene distribuito agli utenti e ai dispositivi locali che devono connettersi alla rete locale.

Per altre informazioni, vedere:

Abilitare l'accesso Single Sign-On (SSO) alle app e ai servizi

Quando si abilita l'accesso SSO, gli utenti possono accedere automaticamente ad app e servizi usando l'account dell'organizzazione di Microsoft Entra, ad esempio alcune app partner per la difesa dalle minacce mobili.

In particolare: