Proteggere dati e dispositivi con Microsoft Intune

Microsoft Intune può aiutare a mantenere i dispositivi gestiti sicuri e aggiornati e a proteggere i dati dell'organizzazione da dispositivi compromessi. La protezione dei dati include il controllo delle operazioni degli utenti con i dati di un'organizzazione su dispositivi gestiti e non gestiti. La protezione dei dati si estende anche al blocco dell'accesso ai dati dai dispositivi che potrebbero essere compromessi.

Questo articolo illustra molte delle funzionalità predefinite di Intune e delle tecnologie per i partner che è possibile integrare con Intune. Man mano che si impara di più su di loro, è possibile riunire diversi per soluzioni più complete nel percorso verso un ambiente zero trust.

Dall'interfaccia di amministrazione Microsoft Intune, Intune supporta i dispositivi gestiti che eseguono Android, iOS/iPad, Linux, macOS e Windows.

Quando si usa Configuration Manager per gestire i dispositivi locali, è possibile estendere i criteri di Intune a tali dispositivi configurando il collegamento tenant o la co-gestione.

Intune può anche usare le informazioni dei dispositivi gestiti con prodotti di terze parti che forniscono la conformità dei dispositivi e la protezione dalle minacce per dispositivi mobili.

Proteggere i dispositivi tramite criteri

Distribuire i criteri di sicurezza degli endpoint, configurazione del dispositivo e conformità dei dispositivi di Intune per configurare i dispositivi in modo che soddisfino gli obiettivi di sicurezza delle organizzazioni. I criteri supportano uno o più profili, ovvero i set discreti di regole specifiche della piattaforma distribuite in gruppi di dispositivi registrati.

• Con i criteri di sicurezza degli endpoint, distribuire criteri incentrati sulla sicurezza progettati per concentrarsi sulla sicurezza dei dispositivi e attenuare i rischi. Le attività disponibili consentono di identificare i dispositivi a rischio, di correggere tali dispositivi e di ripristinarli in uno stato conforme o più sicuro.

• Con i criteri di configurazione dei dispositivi, gestire i profili che definiscono le impostazioni e le funzionalità usate dai dispositivi nell'organizzazione. Configurare i dispositivi per Endpoint Protection, effettuare il provisioning dei certificati per l'autenticazione, impostare i comportamenti di aggiornamento software e altro ancora.

• Con i criteri di conformità dei dispositivi, si creano profili per piattaforme di dispositivi diverse che stabiliscono i requisiti dei dispositivi. I requisiti possono includere le versioni del sistema operativo, l'uso della crittografia del disco o l'uso di livelli di minaccia specifici, come definito dal software di gestione delle minacce.

  Intune può proteggere i dispositivi non conformi ai criteri e avvisare l'utente del dispositivo in modo che possa garantire la conformità del dispositivo.

  Quando si aggiunge l'accesso condizionale alla combinazione, configurare criteri che consentono solo ai dispositivi conformi di accedere alle risorse della rete e dell'organizzazione. Le restrizioni di accesso possono includere condivisioni file e posta elettronica aziendale. I criteri di accesso condizionale funzionano anche con i dati sullo stato del dispositivo segnalati dai partner di conformità dei dispositivi di terze parti integrati con Intune.

Di seguito sono riportate alcune delle impostazioni e delle attività di sicurezza che è possibile gestire tramite i criteri disponibili:

• Metodi di autenticazione : configurare il modo in cui i dispositivi eseguono l'autenticazione alle risorse, alla posta elettronica e alle applicazioni dell'organizzazione.

  • Usare i certificati per l'autenticazione alle applicazioni, alle risorse dell'organizzazione e per la firma e la crittografia della posta elettronica tramite S/MIME. È anche possibile configurare le credenziali derivate quando l'ambiente richiede l'uso di smart card.

  • Configurare le impostazioni che consentono di limitare i rischi, ad esempio:

    • Richiedere l'autenticazione a più fattori (MFA) per aggiungere un livello aggiuntivo di autenticazione per gli utenti.
    • Impostare i requisiti di PIN e password che devono essere soddisfatti prima di ottenere l'accesso alle risorse.
    • Abilitare Windows Hello for Business per i dispositivi Windows.

• Crittografia del dispositivo : gestire BitLocker nei dispositivi Windows e FileVault in macOS.

• Aggiornamenti software : consente di gestire come e quando i dispositivi ricevono gli aggiornamenti software. Sono supportati i seguenti elementi:

  • Aggiornamenti del firmware Android:
    • Firmware Over-the-Air (FOTA): supportato da alcuni OEM, è possibile usare FOTA per aggiornare in remoto il firmware dei dispositivi.
    • Zebra LifeGuard Over-the-Air (LG OTA): consente di gestire gli aggiornamenti del firmware per i dispositivi Zebra supportati tramite l'interfaccia di amministrazione Intune.
  • iOS : gestire le versioni del sistema operativo del dispositivo e quando i dispositivi verificano e installano gli aggiornamenti.
  • macOS : consente di gestire gli aggiornamenti software per i dispositivi macOS registrati come dispositivi con supervisione.
  • Windows: per gestire l'esperienza di Windows Update per i dispositivi, è possibile configurare quando i dispositivi analizzano o installano gli aggiornamenti, contengono un set di dispositivi gestiti in versioni specifiche delle funzionalità e altro ancora.

• Baseline di sicurezza : distribuire le baseline di sicurezza per stabilire un comportamento di sicurezza di base nei dispositivi Windows. Le baseline di sicurezza sono gruppi preconfigurati di impostazioni di Windows consigliati dai team di prodotto pertinenti. È possibile usare le linee di base come fornite o modificare le istanze di esse per soddisfare gli obiettivi di sicurezza per i gruppi di dispositivi di destinazione.

• Reti private virtuali (VPN): con i profili VPN, assegnare le impostazioni VPN ai dispositivi in modo che possano connettersi facilmente alla rete dell'organizzazione. Intune supporta diversi tipi di connessione VPN e app che includono sia funzionalità predefinite per alcune piattaforme che app VPN di prima e di terze parti per i dispositivi.

• Windows Local Administrator Password Solution (LAPS) - Con i criteri LAPS di Windows, è possibile:

  • Applicare i requisiti delle password per gli account amministratore locali
  • Eseguire il backup di un account amministratore locale dai dispositivi in Active Directory (AD) o Microsoft Entra
  • Pianificare la rotazione di tali password dell'account per proteggerle.

Proteggere i dati tramite criteri

Intune le app gestite e i criteri di protezione delle app di Intune consentono di arrestare le perdite di dati e di proteggere i dati dell'organizzazione. Queste protezioni possono essere applicate ai dispositivi registrati con Intune e ai dispositivi che non lo sono.

• Intune app gestite (o, in breve, le app gestite), sono app che integrano il Intune App SDK o sono incluse nella Intune App Wrapping Tool. Queste app possono essere gestite usando Intune criteri di protezione delle app. Per visualizzare un elenco di app gestite disponibili pubblicamente, vedere Intune app protette.

  Gli utenti possono usare le app gestite per lavorare sia con i dati dell'organizzazione che con i propri dati personali. Tuttavia, quando i criteri di protezione delle app richiedono l'uso di un'app gestita, l'app gestita è l'unica app che può essere usata per accedere ai dati dell'organizzazione. Protezione di app regole non si applicano ai dati personali di un utente.

• Protezione di app criteri sono regole che garantiscono che i dati di un'organizzazione rimangano sicuri o contenuti in un'app gestita. Le regole identificano l'app gestita che deve essere usata e definiscono cosa può essere fatto con i dati mentre l'app è in uso.

Di seguito sono riportati esempi di protezioni e restrizioni che è possibile impostare con i criteri di protezione delle app e le app gestite:

• Configurare le protezioni a livello di app, ad esempio la richiesta di un PIN per aprire un'app in un contesto di lavoro.
• Controllare la condivisione dei dati di un'organizzazione tra le app in un dispositivo, ad esempio bloccando la copia e l'incolla o le acquisizioni dello schermo.
• Impedire il salvataggio dei dati dell'organizzazione in posizioni di archiviazione personali.

Usare le azioni del dispositivo per proteggere dispositivi e dati

Dall'interfaccia di amministrazione Microsoft Intune è possibile eseguire azioni del dispositivo che consentono di proteggere un dispositivo selezionato. È possibile eseguire un subset di queste azioni come azioni di dispositivo bulk per influire contemporaneamente su più dispositivi. E diverse azioni remote da Intune possono essere usate anche con i dispositivi co-gestiti.

Le azioni del dispositivo non sono criteri e diventano effettive una sola volta quando vengono richiamate. Si applicano immediatamente se il dispositivo è accessibile on-line o quando il dispositivo viene avviato o controllato con Intune. Queste azioni sono considerate supplementari all'uso di criteri che configurano e gestiscono le configurazioni di sicurezza per una popolazione di dispositivi.

Di seguito sono riportati esempi di azioni che è possibile eseguire per proteggere i dispositivi e i dati:

Dispositivi gestiti da Intune:

• Rotazione della chiave di BitLocker (solo Windows)
• Disabilitare il blocco attivazione (solo dispositivi Apple, vedere come disattivare il blocco attivazione con Apple Business Manager)
• Analisi completa o rapida (solo Windows)
• Impostare il blocco remoto
• Ritiro (che rimuove i dati dell'organizzazione dal dispositivo lasciando intatti i dati personali)
• Aggiornare Microsoft Defender Security Intelligence
• Cancellazione (reimpostazione delle impostazioni predefinite del dispositivo, rimozione di tutti i dati, le app e le impostazioni)

Dispositivi gestiti da Configuration Manager:

• Ritiro
• Cancellazione
• Sincronizzazione (forzare un dispositivo a archiviare immediatamente con Intune per trovare nuovi criteri o azioni in sospeso)

Integrazione con altri prodotti e tecnologie per i partner

Intune supporta l'integrazione con le app partner provenienti da origini di prima e di terze parti, che si espandono sulle funzionalità predefinite. È anche possibile integrare Intune con diverse tecnologie Microsoft.

Partner di conformità

Informazioni sull'uso dei partner di conformità dei dispositivi con Intune. Quando si gestisce un dispositivo con un partner di gestione di dispositivi mobili diverso da Intune, è possibile integrare i dati di conformità con Microsoft Entra ID. Se integrati, i criteri di accesso condizionale possono usare i dati dei partner insieme ai dati di conformità di Intune.

Configuration Manager

È possibile usare molti criteri di Intune e azioni del dispositivo per proteggere i dispositivi gestiti con Configuration Manager. Per supportare tali dispositivi, configurare la co-gestione o il collegamento del tenant. È anche possibile usare entrambi insieme a Intune.

• Con la co-gestione è possibile gestire simultaneamente un dispositivo Windows con Configuration Manager e Intune. Installare il client Configuration Manager e registrare il dispositivo in Intune. Il dispositivo comunica con entrambi i servizi.

• Con Collegamento tenant, è possibile configurare la sincronizzazione tra il sito Configuration Manager e il tenant Intune. Questa sincronizzazione offre una singola visualizzazione per tutti i dispositivi gestiti con Microsoft Intune.

Dopo aver stabilito una connessione tra Intune e Configuration Manager, i dispositivi di Configuration Manager sono disponibili nell'interfaccia di amministrazione Microsoft Intune. È quindi possibile distribuire criteri di Intune in tali dispositivi o usare azioni del dispositivo per proteggerli.

Alcune delle protezioni che è possibile applicare includono:

• Distribuire i certificati nei dispositivi usando Intune profili certificato Simple Certificate Enrollment Protocol (SCEP) o PKCS (Private and Public Key Pair).
• Usare i criteri di conformità.
• Usare i criteri di sicurezza degli endpoint, ad esempio Antivirus, Rilevamento e risposta degli endpoint e Regole del firewall .
• Applicare le baseline di sicurezza.
• Gestire Windows Aggiornamenti.

App per la difesa dalle minacce per dispositivi mobili

Le app Mobile Threat Defense (MTD) analizzano e analizzano attivamente i dispositivi alla ricerca di minacce. Quando si integrano (connettersi) app Mobile Threat Defense con Intune, si ottiene la valutazione delle app di un livello di minaccia dei dispositivi. La valutazione di una minaccia o di un livello di rischio del dispositivo è uno strumento importante per proteggere le risorse dell'organizzazione da dispositivi mobili compromessi. È quindi possibile usare tale livello di minaccia in vari criteri, ad esempio i criteri di accesso condizionale, per consentire l'accesso a tali risorse.

Usare i dati a livello di minaccia con criteri per la conformità dei dispositivi, la protezione delle app e l'accesso condizionale. Questi criteri usano i dati per impedire ai dispositivi non conformi di accedere alle risorse dell'organizzazione.

Con un'app MTD integrata:

• Per i dispositivi registrati:

  • Usare Intune per distribuire e quindi gestire l'app MTD nei dispositivi.
  • Distribuire criteri di conformità dei dispositivi che usano il livello di minaccia segnalato dai dispositivi per valutare la conformità.
  • Definire criteri di accesso condizionale che considerino un livello di minaccia dei dispositivi.
  • Definire i criteri di protezione delle app per determinare quando bloccare o consentire l'accesso ai dati, in base al livello di minaccia del dispositivo.

• Per i dispositivi che non si registrano con Intune ma eseguono un'app MTD che si integra con Intune, usare i dati a livello di minaccia con i criteri di protezione delle app per bloccare l'accesso ai dati dell'organizzazione.

Intune supporta l'integrazione con:

• Diversi partner MTD di terze parti.
• Microsoft Defender per endpoint, che supporta funzionalità aggiuntive con Intune.

Microsoft Defender per endpoint

Da solo, Microsoft Defender per endpoint offre diversi vantaggi incentrati sulla sicurezza. Microsoft Defender per endpoint si integra anche con Intune ed è supportato su diverse piattaforme di dispositivi. Con l'integrazione si ottiene un'app mobile threat defense e si aggiungono funzionalità per Intune per mantenere i dati e i dispositivi al sicuro. Queste funzionalità includono:

• Supporto per Microsoft Tunnel: nei dispositivi Android Microsoft Defender per endpoint è l'applicazione client usata con Microsoft Tunnel, una soluzione gateway VPN per Intune. Se usata come app client di Microsoft Tunnel, non è necessaria una sottoscrizione per Microsoft Defender per endpoint.

• Attività di sicurezza: con le attività di sicurezza, gli amministratori Intune possono sfruttare le funzionalità di gestione di minacce e vulnerabilità di Microsoft Defender per endpoint. Funzionamento:

  • Il team di Defender per endpoint identifica i dispositivi a rischio e crea le attività di sicurezza per Intune nel Centro sicurezza defender per endpoint.
  • Queste attività vengono visualizzate in Intune con consigli di mitigazione che Intune amministratori possono usare per mitigare il rischio.
  • Quando un'attività viene risolta in Intune, tale stato passa nuovamente al Centro sicurezza Defender per endpoint in cui è possibile valutare i risultati della mitigazione.

• Criteri di sicurezza degli endpoint: i criteri di sicurezza degli endpoint Intune seguenti richiedono l'integrazione con Microsoft Defender per endpoint. Quando si usa il collegamento tenant, è possibile distribuire questi criteri ai dispositivi gestiti con Intune o Configuration Manager.

  • Criteri antivirus: consente di gestire le impostazioni per Microsoft Defender Antivirus e l'esperienza di Sicurezza di Windows nei dispositivi supportati, ad esempio Windows e macOS.

  • Criteri di rilevamento e risposta degli endpoint: usare questo criterio per configurare il rilevamento e la risposta degli endpoint( EDR), che è una funzionalità di Microsoft Defender per endpoint.

Accesso condizionale

L'accesso condizionale è una funzionalità Microsoft Entra che funziona con Intune per proteggere i dispositivi. Per i dispositivi che si registrano con Microsoft Entra ID, i criteri di accesso condizionale possono usare i dettagli del dispositivo e della conformità di Intune per applicare le decisioni di accesso per utenti e dispositivi.

Combinare i criteri di accesso condizionale con:

• I criteri di conformità dei dispositivi possono richiedere che un dispositivo sia contrassegnato come conforme prima che possa essere usato per accedere alle risorse dell'organizzazione. I criteri di accesso condizionale specificano i servizi delle app da proteggere, le condizioni in cui è possibile accedere alle app o ai servizi e gli utenti a cui si applicano i criteri.

• Protezione di app criteri possono aggiungere un livello di sicurezza che garantisce che solo le app client che supportano Intune criteri di protezione delle app possano accedere alle risorse online, ad esempio Exchange o altri servizi di Microsoft 365.

L'accesso condizionale funziona anche con quanto segue per proteggere i dispositivi:

• Microsoft Defender per endpoint e app MTD di terze parti
• App partner per la conformità dei dispositivi
• Microsoft Tunnel

Aggiungere Endpoint Privilege Management

Endpoint Privilege Management (EPM) consente di eseguire gli utenti di Windows come utenti standard elevando i privilegi solo quando necessario, come progettato dalle regole e dai parametri dell'organizzazione impostati dall'organizzazione. Questa progettazione supporta l'imposizione dell'accesso con privilegi minimi, un tenant principale di un'architettura di sicurezza Zero Trust. EPM consente ai team IT di gestire gli utenti standard in modo più efficiente e limitare la superficie di attacco consentendo ai dipendenti di essere eseguiti come amministratori solo per applicazioni o attività specifiche approvate.

Le attività che in genere richiedono privilegi amministrativi sono le installazioni di applicazioni (ad esempio Applicazioni Di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica di Windows.

Distribuendo le regole di elevazione di EPM definite, è possibile consentire l'esecuzione solo delle applicazioni attendibili nel contesto con privilegi elevati. Ad esempio, le regole possono richiedere una corrispondenza hash del file o la presenza di un certificato per convalidare l'integrità dei file prima dell'esecuzione in un dispositivo.

Consiglio

Endpoint Privilege Management è disponibile come componente aggiuntivo Intune che richiede una licenza aggiuntiva da usare e supporta dispositivi Windows 10 e Windows 11.

Per altre informazioni, vedere Endpoint Privilege Management.

Passaggi successivi

Pianificare l'uso delle funzionalità di Intune per supportare il percorso verso un ambiente senza attendibilità proteggendo i dati e proteggendo i dispositivi. Oltre ai collegamenti in linea precedenti per altre informazioni su tali funzionalità, vedere Informazioni sulla sicurezza e la condivisione dei dati in Intune.