Criteri di sicurezza comuni per le organizzazioni di Microsoft 365
Le organizzazioni devono preoccuparsi di quando si distribuisce Microsoft 365 per l'organizzazione. I criteri di accesso condizionale, protezione delle app e conformità dei dispositivi a cui si fa riferimento in questo articolo sono basati sulle raccomandazioni di Microsoft e sui tre principi guida di Zero Trust:
- Verificare esplicita
- Usare privilegi minimi
- Presunzione di violazione
Le organizzazioni possono adottare questi criteri così come sono o personalizzarli in base alle proprie esigenze. Se possibile, testare i criteri in un ambiente non di produzione prima di distribuire gli utenti di produzione. Il test è fondamentale per identificare e comunicare eventuali effetti possibili agli utenti.
Questi criteri vengono raggruppati in tre livelli di protezione in base al percorso di distribuzione:
- Punto di partenza: controlli di base che introducono l'autenticazione a più fattori, le modifiche protette delle password e i criteri di protezione delle app.
- Enterprise : controlli avanzati che introducono la conformità dei dispositivi.
- Sicurezza specializzata: criteri che richiedono l'autenticazione a più fattori ogni volta per set di dati o utenti specifici.
Il diagramma seguente mostra il livello di protezione a cui si applica ogni criterio e se i criteri si applicano a PC o telefoni e tablet o a entrambe le categorie di dispositivi.
È possibile scaricare questo diagramma come file PDF .
Suggerimento
È consigliabile richiedere l'uso dell'autenticazione a più fattori (MFA) prima di registrare i dispositivi in Intune per garantire che il dispositivo sia in possesso dell'utente previsto. Prima di poter applicare i criteri di conformità dei dispositivi, è necessario registrare i dispositivi in Intune.
Prerequisiti
Autorizzazioni
- Gli utenti che gestiranno i criteri di accesso condizionale devono essere in grado di accedere al portale di Azure almeno come amministratore dell'accesso condizionale.
- Gli utenti che gestiranno i criteri di protezione delle app e conformità dei dispositivi devono essere in grado di accedere a Intune come almeno un amministratore di Intune.
- Agli utenti che devono visualizzare solo le configurazioni è possibile assegnare i ruoli con autorizzazioni di lettura per la sicurezza o con autorizzazioni di lettura globali.
Per altre informazioni sui ruoli e le autorizzazioni, vedere l'articolo Ruoli predefiniti di Microsoft Entra.
Registrazione utente
Assicurarsi che gli utenti esecrivano per l'autenticazione a più fattori prima di richiederne l'uso. Se si dispone di licenze che includono Microsoft Entra ID P2, è possibile usare i criteri di registrazione MFA all'interno di Microsoft Entra ID Protection per richiedere la registrazione degli utenti. Forniamo modelli di comunicazione, è possibile scaricare e personalizzare, per promuovere la registrazione.
Gruppi
Tutti i gruppi di Microsoft Entra usati come parte di queste raccomandazioni devono essere creati come gruppo di Microsoft 365 non come gruppo di sicurezza. Questo requisito è importante per la distribuzione delle etichette di riservatezza quando si proteggono i documenti in Microsoft Teams e SharePoint in un secondo momento. Per altre informazioni, vedere l'articolo Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID
Assegnazione dei criteri
I criteri di accesso condizionale possono essere assegnati a utenti, gruppi e ruoli di amministratore. I criteri di protezione delle app e di conformità dei dispositivi di Intune possono essere assegnati solo ai gruppi. Prima di configurare i criteri, è necessario identificare chi deve essere incluso ed escluso. In genere, i criteri del livello di protezione dei punti di partenza si applicano a tutti gli utenti dell'organizzazione.
Ecco un esempio di assegnazione di gruppo ed esclusioni per richiedere l'autenticazione a più fattori dopo che gli utenti hanno completato la registrazione dell'utente.
| Criteri di accesso condizionale di Microsoft Entra | Includi | Escludi | |
|---|---|---|---|
| Punto di partenza | Richiedere l'autenticazione a più fattori per rischi di accesso medio o elevato | Tutti gli utenti |
|
| Funzionalità per le aziende | Richiedere l'autenticazione a più fattori per rischi di accesso basso, medio o elevato | Gruppo del personale esecutivo |
|
| Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Gruppo Top Secret Project Buckeye |
|
Prestare attenzione quando si applicano livelli di protezione più elevati a gruppi e utenti. L'obiettivo della sicurezza non è quello di aggiungere attriti non necessari all'esperienza utente. Ad esempio, i membri del gruppo Top Secret Project Buckeye dovranno usare l'autenticazione a più fattori ogni volta che accedono, anche se non lavorano sul contenuto di sicurezza specializzato per il progetto. Un eccessivo attrito di sicurezza può portare alla fatica.
È possibile abilitare metodi di autenticazione senza password, ad esempio le chiavi di sicurezza di Windows Hello for Business o FIDO2 per ridurre alcuni attriti creati da determinati controlli di sicurezza.
Account di accesso di emergenza
Tutte le organizzazioni devono avere almeno un account di accesso di emergenza monitorato per l'uso e escluso dai criteri. Questi account vengono usati solo nel caso in cui tutti gli altri account amministratore e metodi di autenticazione diventino bloccati o altrimenti non disponibili. Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
Esclusioni
Una procedura consigliata consiste nel creare un gruppo Entra di Microsoft per le esclusioni di accesso condizionale. Questo gruppo consente di fornire l'accesso a un utente durante la risoluzione dei problemi di accesso.
Avviso
Questo gruppo è consigliato solo per l'uso come soluzione temporanea. Monitorare e controllare continuamente questo gruppo per le modifiche e assicurarsi che il gruppo di esclusione venga usato solo come previsto.
Per aggiungere questo gruppo di esclusione a tutti i criteri esistenti:
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>dell'accesso condizionale.
- Selezionare un criterio esistente.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e il gruppo di esclusione dell'accesso condizionale.
Distribuzione
È consigliabile implementare i criteri del punto di partenza nell'ordine elencato in questa tabella. Tuttavia, i criteri di autenticazione a più fattori per i livelli di sicurezza aziendali e specializzati di protezione possono essere implementati in qualsiasi momento.
Punto di partenza
| Criteri | Ulteriori informazioni | Licenze |
|---|---|---|
| Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato il rischio | Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security |
| Bloccare i client che non supportano l'autenticazione moderna | I client che non usano l'autenticazione moderna possono ignorare i criteri di accesso condizionale, quindi è importante bloccarli. | Microsoft 365 E3 o E5 |
| Gli utenti ad alto rischio devono modificare la password | Forza gli utenti a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. | Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security |
| Applicare i criteri di protezione delle applicazioni per la protezione dei dati | Un criterio di protezione delle app di Intune per ogni piattaforma (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 o E5 |
| Richiedere app approvate e criteri di protezione delle app | Applica i criteri di protezione delle app per dispositivi mobili per telefoni e tablet usando iOS, iPadOS o Android. | Microsoft 365 E3 o E5 |
Enterprise
| Criteri | Ulteriori informazioni | Licenze |
|---|---|---|
| Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato il rischio | Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security |
| Definire i criteri di conformità dei dispositivi | Impostare i requisiti minimi di configurazione. Un criterio per ogni piattaforma. | Microsoft 365 E3 o E5 |
| Richiedere PC e dispositivi mobili conformi | Applica i requisiti di configurazione per i dispositivi che accedono all'organizzazione | Microsoft 365 E3 o E5 |
Sicurezza specializzata
| Criteri | Ulteriori informazioni | Licenze |
|---|---|---|
| Richiedere sempre l'autenticazione a più fattori | Gli utenti devono eseguire l'autenticazione a più fattori ogni volta che accedono ai servizi dell'organizzazione | Microsoft 365 E3 o E5 |
criteri di Protezione di app
Protezione di app criteri definiscono le app consentite e le azioni che possono eseguire con i dati dell'organizzazione. Ci sono molte scelte disponibili e può essere confusione per alcuni. Le linee di base seguenti sono le configurazioni consigliate di Microsoft che possono essere personalizzate in base alle proprie esigenze. Sono disponibili tre modelli da seguire, ma la maggior parte delle organizzazioni sceglierà i livelli 2 e 3.
Il livello 2 è mappato a ciò che consideriamo il punto di partenza o la sicurezza a livello aziendale, il livello 3 è mappato alla sicurezza specializzata.
Protezione dei dati di base di livello 1: Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.
Protezione dei dati avanzata di livello 2: Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Tale configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli possono influire sull'esperienza utente.
Protezione elevata dei dati di livello 3: Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). È probabile che un'organizzazione sia destinata a avversari ben finanziati e sofisticati dovrebbe aspirare a questa configurazione.
Creare criteri di protezione delle app
Creare un nuovo criterio di protezione delle app per ogni piattaforma (iOS e Android) in Microsoft Intune usando le impostazioni del framework di protezione dei dati in base a:
- Creare manualmente i criteri seguendo la procedura descritta in Come creare e distribuire criteri di protezione delle app con Microsoft Intune.
- Importare i modelli JSON del framework di configurazione dei criteri di protezione delle app di Intune di esempio con gli script di PowerShell di Intune.
Criteri di conformità del dispositivo
I criteri di conformità dei dispositivi di Intune definiscono i requisiti che i dispositivi devono soddisfare per essere determinati come conformi.
È necessario creare un criterio per ogni PC, telefono o piattaforma tablet. Questo articolo illustra le raccomandazioni per le piattaforme seguenti:
Creare criteri di conformità dei dispositivi
Per creare criteri di conformità dei dispositivi, accedere all'interfaccia di amministrazione di Microsoft Intune e passare a Criteri di conformità>dei dispositivi>. Selezionare Crea criterio.
Per indicazioni dettagliate sulla creazione di criteri di conformità in Intune, vedere Creare criteri di conformità in Microsoft Intune.
Impostazioni di registrazione e conformità per iOS/iPadOS
iOS/iPadOS supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:
- Registrazione dei dispositivi per dispositivi di proprietà personale: questi dispositivi sono di proprietà personale e usati sia per il lavoro che per l'uso personale.
- Registrazione automatica dei dispositivi per i dispositivi di proprietà dell'azienda: questi dispositivi sono di proprietà dell'azienda, associati a un singolo utente e usati esclusivamente per lavoro e non per uso personale.
Usando i principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi:
- Il punto di partenza e i livelli di protezione aziendale sono strettamente associati alle impostazioni di sicurezza avanzate di livello 2.
- Il livello di protezione della sicurezza specializzato è strettamente associato alle impostazioni di sicurezza elevate di livello 3.
Impostazioni di conformità per i dispositivi registrati personalmente
- Sicurezza di base personale (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
- Sicurezza avanzata personale (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica i controlli di condivisione dei dati. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
- Sicurezza elevata personale (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita materiale all'organizzazione). Questa configurazione applica criteri password più sicuri, disabilita determinate funzioni del dispositivo e applica restrizioni aggiuntive per il trasferimento dei dati.
Impostazioni di conformità per la registrazione automatica dei dispositivi
- Sicurezza di base con supervisione (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi con supervisione in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
- Sicurezza avanzata con supervisione (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica controlli di condivisione dei dati e blocca l'accesso ai dispositivi USB. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
- Sicurezza elevata con supervisione (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato in modo univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione applica criteri password più sicuri, disabilita determinate funzioni del dispositivo, applica restrizioni aggiuntive per il trasferimento dei dati e richiede l'installazione delle app tramite il programma volume purchase program di Apple.
Impostazioni di registrazione e conformità per Android
Android Enterprise supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:
- Profilo di lavoro Android Enterprise: questo modello di registrazione viene in genere usato per i dispositivi di proprietà personale, in cui l'IT vuole fornire un chiaro limite di separazione tra dati aziendali e personali. I criteri controllati dall'IT assicurano che i dati di lavoro non possano essere trasferiti nel profilo personale.
- Dispositivi Android Enterprise completamente gestiti : questi dispositivi sono di proprietà dell'azienda, associati a un singolo utente e usati esclusivamente per lavoro e non per uso personale.
Il framework di configurazione della sicurezza Android Enterprise è organizzato in diversi scenari di configurazione distinti, fornendo indicazioni per il profilo di lavoro e scenari completamente gestiti.
Usando i principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi:
- Il punto di partenza e i livelli di protezione aziendale sono strettamente associati alle impostazioni di sicurezza avanzate di livello 2.
- Il livello di protezione della sicurezza specializzato è strettamente associato alle impostazioni di sicurezza elevate di livello 3.
Impostazioni di conformità per i dispositivi con profilo di lavoro Android Enterprise
- A causa delle impostazioni disponibili per i dispositivi con profilo di lavoro di proprietà personale, non è disponibile alcuna offerta di sicurezza di base (livello 1). Le impostazioni disponibili non giustificano una differenza tra il livello 1 e il livello 2.
- Sicurezza avanzata del profilo di lavoro (livello 2): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, separa i dati di lavoro e personali e convalida l'attestazione del dispositivo Android.
- Sicurezza elevata del profilo di lavoro (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione introduce mobile threat defense o Microsoft Defender per endpoint, imposta la versione minima di Android, applica criteri password più efficaci e limita ulteriormente la separazione tra lavoro e personale.
Impostazioni di conformità per i dispositivi Android Enterprise completamente gestiti
- Sicurezza di base completamente gestita (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per un dispositivo aziendale. Tale configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, imposta la versione minima di Android e applica determinate restrizioni del dispositivo.
- Sicurezza avanzata completamente gestita (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica criteri password più efficaci e disabilita le funzionalità utente/account.
- Sicurezza elevata completamente gestita (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato in modo univoco. Questi utenti possono gestire dati altamente sensibili in cui la divulgazione non autorizzata può causare una notevole perdita materiale per l'organizzazione. Questa configurazione aumenta la versione minima di Android, introduce mobile threat defense o Microsoft Defender per endpoint e applica restrizioni aggiuntive per i dispositivi.
Impostazioni di conformità consigliate per Windows 10 e versioni successive
Le impostazioni seguenti sono configurate nel passaggio 2: Impostazioni di conformità del processo di creazione dei criteri di conformità per i dispositivi Windows 10 e versioni successive. Queste impostazioni sono allineate ai principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi.
Per Le regole di valutazione del servizio di attestazione dell'integrità > del dispositivo Windows Health Attestation Service, vedere questa tabella.
| Proprietà | valore |
|---|---|
| Richiedi BitLocker | Richiedi |
| Richiedere l'abilitazione dell'avvio protetto nel dispositivo | Richiedi |
| Richiedi integrità del codice | Richiedi |
Per Proprietà dispositivo specificare i valori appropriati per le versioni del sistema operativo in base ai criteri IT e di sicurezza.
Per Conformità di Configuration Manager, se si è in un ambiente co-gestito con Configuration Manager selezionare Richiedi altrimenti selezionare Non configurato.
Per sicurezza del sistema, vedere questa tabella.
| Proprietà | valore |
|---|---|
| Richiedi una password per sbloccare i dispositivi mobili | Richiedi |
| Password semplici | Blocca |
| Tipo di password | Impostazione predefinita del dispositivo |
| Lunghezza minima password | 6 |
| Numero massimo di minuti di inattività prima che venga richiesta una password | 15 minuti |
| Scadenza password (giorni) | 41 |
| Numero di password precedenti per impedire il riutilizzo | 5 |
| Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic) | Richiedi |
| Richiedere la crittografia dell'archiviazione dei dati nel dispositivo | Richiedi |
| Firewall | Richiedi |
| Antivirus | Richiedi |
| Antispyware | Richiedi |
| Microsoft Defender Antimalware | Richiedi |
| Versione minima di Microsoft Defender Antimalware | Microsoft consiglia versioni non più di cinque dietro rispetto alla versione più recente. |
| Firma di Microsoft Defender Antimalware aggiornata | Richiedi |
| Protezione in tempo reale | Richiedi |
Per Microsoft Defender per endpoint
| Proprietà | valore |
|---|---|
| Richiedere che il dispositivo sia in corrispondenza o al di sotto del punteggio di rischio del computer | Medio |
Criteri di accesso condizionale
Dopo aver creato i criteri di protezione delle app e conformità dei dispositivi in Intune, è possibile abilitare l'imposizione con i criteri di accesso condizionale.
Richiedere l'autenticazione a più fattori in base al rischio di accesso
Seguire le indicazioni nell'articolo Criteri di accesso condizionale comuni: Autenticazione a più fattori basata sul rischio di accesso per creare un criterio per richiedere l'autenticazione a più fattori in base al rischio di accesso.
Quando si configurano i criteri, usare i livelli di rischio seguenti.
| Livello di protezione | Valori del livello di rischio necessari | Azione |
|---|---|---|
| Punto di partenza | Alto, medio | Controllare entrambi. |
| Enterprise | Alto, medio, basso | Controlla tutte e tre. |
Bloccare i client che non supportano l'autenticazione a più fattori
Seguire le indicazioni riportate nell'articolo Criteri di accesso condizionale comuni: Bloccare l'autenticazione legacy per bloccare l'autenticazione legacy.
Gli utenti ad alto rischio devono modificare la password
Seguire le indicazioni riportate nell'articolo Criteri di accesso condizionale comuni: Modifica della password basata sul rischio utente per richiedere agli utenti con credenziali compromesse di modificare la password.
Usare questo criterio insieme alla protezione password di Microsoft Entra, che rileva e blocca le password vulnerabili note e le relative varianti oltre ai termini specifici dell'organizzazione. L'uso della protezione password di Microsoft Entra garantisce che le password modificate siano più avanzate.
Richiedere app approvate e criteri di protezione delle app
È necessario creare criteri di accesso condizionale per applicare i criteri di protezione delle app creati in Intune. L'applicazione dei criteri di protezione delle app richiede criteri di accesso condizionale e criteri di protezione delle app corrispondenti.
Per creare criteri di accesso condizionale che richiedono app approvate e protezione delle app, seguire la procedura descritta in Richiedi app client approvate o criteri di protezione delle app con dispositivi mobili. Questo criterio consente solo agli account all'interno delle app per dispositivi mobili protetti dai criteri di protezione delle app di accedere agli endpoint di Microsoft 365.
Il blocco dell'autenticazione legacy per altre app client nei dispositivi iOS e Android garantisce che questi client non possano ignorare i criteri di accesso condizionale. Se si seguono le indicazioni fornite in questo articolo, è già stato configurato Blocca client che non supportano l'autenticazione moderna.
Richiedere PC e dispositivi mobili conformi
La procedura seguente consente di creare un criterio di accesso condizionale per richiedere che i dispositivi che accedono alle risorse siano contrassegnati come conformi ai criteri di conformità di Intune dell'organizzazione.
Attenzione
Assicurarsi che il dispositivo sia conforme prima di abilitare questo criterio. In caso contrario, è possibile bloccare e non essere in grado di modificare questo criterio finché l'account utente non è stato aggiunto al gruppo di esclusione dell'accesso condizionale.
- Accedere al portale di Azure.
- Passare a Microsoft Entra ID>Sicurezza>Accesso condizionale.
- Selezionare Nuovi criteri.
- Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Includi selezionare Tutti gli utenti.
- In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
- In Applicazioni cloud o azioni>Includi selezionare Tutte le app cloud.
- Se è necessario escludere applicazioni specifiche dai criteri, è possibile selezionarle nella scheda Escludi in Seleziona app cloud escluse e scegliere Seleziona.
- In Controlli di accesso>Concedi:
- Selezionare Richiedi che il dispositivo sia contrassegnato come conforme.
- Selezionare Seleziona.
- Confermare le impostazioni e impostare Abilita criterio su Attivato.
- Selezionare Crea per creare e abilitare il criterio.
Nota
È possibile registrare i nuovi dispositivi in Intune anche se si seleziona Richiedi che il dispositivo sia contrassegnato come conforme per Tutti gli utenti e Tutte le app cloud nei criteri. Richiedere che il dispositivo sia contrassegnato come controllo conforme non blocchi la registrazione di Intune e l'accesso all'applicazione Microsoft Intune Web Portale aziendale.
Attivazione della sottoscrizione
Le organizzazioni che usano la funzionalità di attivazione delle sottoscrizioni per consentire agli utenti di eseguire "passaggi" da una versione di Windows a un'altra, possono voler escludere le API del servizio di archiviazione universale e l'applicazione Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dai criteri di conformità dei dispositivi.
Richiedere sempre l'autenticazione a più fattori
Seguire le indicazioni riportate nell'articolo Criteri di accesso condizionale comuni: Richiedere l'autenticazione a più fattori per tutti gli utenti per richiedere agli utenti specializzati a livello di sicurezza di eseguire sempre l'autenticazione a più fattori.
Avviso
Quando si configurano i criteri, selezionare il gruppo che richiede sicurezza specializzata e usarlo invece di selezionare Tutti gli utenti.
Passaggi successivi
Informazioni sulle raccomandazioni sui criteri per utenti guest ed esterni