Passaggio 5. Distribuire i profili dei dispositivi in Microsoft Intune

Microsoft Intune include le impostazioni e le funzionalità che è possibile abilitare o disabilitare su dispositivi diversi all'interno dell'organizzazione. Queste impostazioni e funzionalità vengono aggiunte ai "profili di configurazione". È possibile creare profili per dispositivi diversi e piattaforme diverse, tra cui iOS/iPadOS, amministratore di dispositivi Android, Android Enterprise e Windows. Usare quindi Intune per applicare o "assegnare" il profilo ai dispositivi.

In questo articolo vengono fornite le indicazioni per iniziare a usare i profili di configurazione.

Il quarto passaggio di Mobile Gestione dispositivi per applicare impostazioni sicure nei dispositivi con profili di configurazione.

I profili di configurazione consentono di configurare funzionalità di protezione importanti e di garantire la conformità dei dispositivi in modo che possano accedere alle risorse. Questi tipi di modifiche alla configurazione venivano in precedenza configurate utilizzando le impostazioni dei Criteri di gruppo in Active Directory Domain Services. Una strategia di sicurezza moderna include lo spostamento dei controlli di sicurezza nel cloud in cui l'imposizione di questi controlli non dipende dalle risorse locali e dall'accesso. I profili di configurazione di Intune costituiscono la modalità di transizione di tali controlli di sicurezza nel cloud.

Per avere un'idea del tipo di profili di configurazione che è possibile creare, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili dei dispositivi in Microsoft Intune.

Distribuire le baseline di sicurezza di Windows per Intune

Come punto di partenza, se si desidera allineare le configurazioni del dispositivo alle baseline di sicurezza Microsoft, è consigliabile usare le baseline di sicurezza all'interno di Microsoft Intune. Il vantaggio di questo approccio è che è possibile fare affidamento su Microsoft per mantenere aggiornate le baseline man mano che vengono rilasciate le funzionalità di Windows 10 e Windows 11.

Per distribuire le baseline di sicurezza di Windows per Intune, disponibili per Windows 10 e Windows 11. Per informazioni sulle baseline di sicurezza disponibili, vedere Usare le baseline di sicurezza per configurare i dispositivi Windows in Intune.

Per il momento, distribuire solo le baseline di sicurezza MDM più appropriate. Vedere Gestire i profili di base di sicurezza in Microsoft Intune per creare il profilo e scegliere la versione di base.

In seguito, quando Microsoft Defender per endpoint è stato configurato e Intune è stato connesso, distribuire le baseline di Defender per endpoint. Questo argomento è trattato nell'articolo successivo di questa serie: Passaggio 6. Monitorare il rischio del dispositivo e la conformità alle baseline di sicurezza.

È importante comprendere che queste baseline di sicurezza non sono conformi a CIS o NIST, ma rispecchiano da vicino le raccomandazioni. Per altre informazioni, vedere Le baseline di sicurezza di Intune sono conformi al CIS o NIST?

Personalizzare i profili di configurazione per l'organizzazione

Oltre a distribuire le baseline preconfigurate, molte organizzazioni a livello aziendale implementano i profili di configurazione per un controllo più granulare. Ciò consente di ridurre la dipendenza da Oggetti Criteri di gruppo nell'ambiente Active Directory locale e di spostare i controlli di sicurezza nel cloud.

Le numerose impostazioni configurabili utilizzando i profili di configurazione possono essere raggruppate in quattro categorie, come illustrato di seguito.

Intune categorie di profili di dispositivo, tra cui funzionalità del dispositivo, restrizioni del dispositivo, configurazione dell'accesso e impostazioni personalizzate.

Nella tabella seguente viene spiegata l'illustrazione.

Categoria Descrizione Esempi
Funzionalità del dispositivo Controlla le funzionalità nel dispositivo. Questa categoria si applica solo ai dispositivi iOS/iPadOS e macOS. AirPrint, notifiche, messaggi della schermata di blocco
Restrizioni di dispositivo Controlla la sicurezza, l'hardware, la condivisione dei dati e altre impostazioni nei dispositivi Richiedere un PIN, crittografia dei dati
Configurazione dell'accesso Configura l'accesso di un dispositivo alle risorse dell'organizzazione Profili di posta elettronica, profili VPN, impostazioni Wi-Fi, certificati
Personalizzato Impostare la configurazione personalizzata o eseguire azioni di configurazione personalizzate Applicare le impostazioni OEM, eseguire script di PowerShell

Quando si desidera personalizzare i profili di configurazione per l'organizzazione, utilizzare le indicazioni seguenti:

  • Semplificare la strategia di governance della sicurezza mantenendo ridotto il numero complessivo di criteri.
  • Raggruppare le impostazioni nelle categorie elencate in precedenza o nelle categorie più significative per l'organizzazione.
  • Quando si spostano i controlli di sicurezza da oggetti Criteri di gruppo a profili di configurazione Intune, valutare se le impostazioni configurate da ogni oggetto Criteri di gruppo sono ancora pertinenti e devono contribuire alla strategia di sicurezza cloud complessiva. L'accesso condizionale e i numerosi criteri che possono essere configurati tra i servizi cloud, tra cui Intune, offrono una protezione più sofisticata di quella che potrebbe essere configurata in un ambiente locale in cui sono stati originariamente progettati oggetti Criteri di gruppo personalizzati.
  • Usare Criteri di gruppo Analytics per confrontare e mappare le impostazioni correnti dell'oggetto Criteri di gruppo alle funzionalità all'interno di Microsoft Intune. Vedere Analizzare gli oggetti Criteri di gruppo locali usando Criteri di gruppo analytics in Microsoft Intune.
  • Quando si usano profili di configurazione personalizzati, assicurarsi di usare le indicazioni riportate nell'argomento seguente: Creare un profilo con impostazioni personalizzate in Intune.

Risorse aggiuntive

Se non si è sicuri da dove iniziare con i profili dei dispositivi, gli argomenti seguenti possono essere utili:

Se l'ambiente include Oggetti Criteri di gruppo locali, le funzionalità seguenti rappresentano una buona transizione al cloud:

Passaggio successivo

Andare al Passaggio 6 - Monitorare i rischi del dispositivo e la conformità alle baseline di sicurezza.