Condividi tramite

Microsoft Intune

  • Articolo

Zero Trust

FastTrack offre indicazioni complete sull'implementazione dei principi di sicurezza Zero Trust. Il modello Zero Trust presuppone la violazione e verifica ogni richiesta come se si trattasse di una rete non controllata. Questo approccio garantisce una sicurezza affidabile nelle reti, nelle applicazioni e nell'ambiente. FastTrack esegue questa operazione concentrandosi su identità, dispositivi, applicazioni, dati, infrastruttura e reti. Con FastTrack, è possibile avanzare con sicurezza il percorso di sicurezza Zero Trust e proteggere gli asset digitali in modo efficace.

Con Microsoft Intune, è possibile implementare Zero Trust principi eseguendo in modo sicuro il provisioning, la configurazione e l'aggiornamento di tutti i dispositivi endpoint. Ciò include l'applicazione dei criteri di sicurezza tramite il cloud, che riguardano la sicurezza degli endpoint, la configurazione del dispositivo, la protezione delle app e la conformità. Questo approccio consente di evitare perdite di dati ad app o servizi non attendibili e garantisce risposte rapide alle compromissioni della sicurezza.

Microsoft Intune

Microsoft Intune è il provider MDM (Mobile Device Management) basato sul cloud e mam (Mobile App Management) per app e dispositivi. Ogni cliente ha il proprio ambiente univoco. L'assistenza si basa su specifiche esigenze di gestione di dispositivi mobili e app per dispositivi mobili.

FastTrack fornisce indicazioni remote per:

  • Licenze per gli utenti finali.
  • Configurazione delle identità usate da Intune tramite identità Active Directory locale o cloud (Microsoft Entra ID).
  • Aggiunta di utenti alla sottoscrizione Microsoft Intune, definizione dei ruoli di amministratore IT e creazione di gruppi di utenti e dispositivi.
  • Configurazione dell'autorità MDM in base alle esigenze di gestione, inclusa l'impostazione Intune come autorità MDM quando Intune è l'unica soluzione MDM.
  • Fornire le indicazioni di MDM per:
    • Configurare i gruppi di test da usare per convalidare i criteri di gestione MDM.
    • Configurazione dei criteri e dei servizi di gestione MDM, tra cui:
      • Distribuzione di app per ogni piattaforma supportata tramite collegamenti Web o collegamenti diretti.
      • Criteri di accesso condizionale.
      • Distribuzione di posta elettronica, reti wireless, profili VPN per autorità di certificazione, rete wireless o infrastruttura VPN esistente nell'organizzazione.
      • Connessione al Intune Data Warehouse.
      • Integrare Intune con:
        • Visualizzatore team per l'assistenza remota (è necessaria una sottoscrizione di Team Viewer).
        • Soluzioni partner di Mobile Threat Defense (MTD) (è necessaria una sottoscrizione MTD).
        • Una soluzione di gestione delle spese per telecomunicazioni (è necessaria una sottoscrizione della soluzione di gestione delle spese per le telecomunicazioni).
      • Registrare i dispositivi di ogni piattaforma supportata in Intune.
      • Configurazione dei criteri di sicurezza degli endpoint, tra cui Laps (Local Administrator Password Solution) di Windows tramite Intune.
  • Fornire indicazioni sulla protezione delle app su:
    • Configurare criteri di protezione delle app per ogni piattaforma supportata.
    • Configurazione dei criteri di accesso condizionale per le app gestite.
    • Destinazione dei gruppi di utenti appropriati con i criteri MAM indicati in precedenza.
    • Uso dei report sull'utilizzo delle app gestite.
  • Fornire indicazioni sulla migrazione dalla gestione di PC legacy a Intune MDM.

Nota

Per i clienti di cui è stato effettuato il provisioning con unità di calcolo di sicurezza (SKU), FastTrack offre una procedura dettagliata dei Microsoft Copilot incorporati nelle esperienze Intune nell'ambito descritto in questo argomento.

Esclusioni

  • Configurazione o configurazione di autorità di certificazione, reti wireless, infrastrutture VPN o certificati push MDM Apple per Intune.
  • Configurazione o aggiornamento del server del sito o del client Configuration Manager ai requisiti minimi necessari per supportare il collegamento al cloud.
  • Integrazione di Intune con Microsoft Defender per endpoint e creazione di criteri di conformità dei dispositivi in base alla valutazione del livello di rischio Windows 10. FastTrack non supporta l'acquisto, la licenza o l'attivazione.

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Recapito di certificati

FastTrack fornisce indicazioni remote per:

  • Simple Certificate Enrollment Protocol (SCEP) e Network Device Enrollment Service (NDES).
    • Configurazione degli elementi correlati all'autorità di certificazione dell'organizzazione.
    • Creazione ed emissione di un modello di certificato SCEP.
    • Installazione e configurazione di NDES.
    • Installazione e configurazione del connettore Microsoft Intune per SCEP.
    • Installazione e configurazione Microsoft Entra proxy di applicazione e connettori di applicazioni Microsoft Entra.
    • Creazione e assegnazione di un profilo di configurazione del dispositivo certificato attendibile in Microsoft Endpoint Manager.
    • Creazione e assegnazione di un profilo di configurazione del dispositivo certificato SCEP in Microsoft Endpoint Manager.
  • Public-Key certificati PKCS (Cryptography Standards) e PFX (PKCS#12).
    • Configurazione degli elementi correlati all'autorità di certificazione dell'organizzazione.
    • Creazione ed emissione di un modello di certificato PKCS.
    • Installazione e configurazione di un connettore di certificati PFX.
    • Creazione e assegnazione di un profilo di configurazione del dispositivo certificato attendibile in Microsoft Endpoint Manager.
    • Creazione e assegnazione di un profilo di configurazione del dispositivo certificato PKCS in Microsoft Endpoint Manager.

Esclusioni

  • Assistenza per i certificati dell'infrastruttura a chiave pubblica (PKI) o dell'autorità di certificazione dell'organizzazione.
    • Supporto di scenari avanzati, tra cui:
      • Inserimento del server NDES nella rete perimetrale del cliente.
      • Configurazione o uso di un server Application Proxy Web per pubblicare l'URL del servizio Registrazione dispositivi di rete esternamente nella rete aziendale. È consigliabile e fornire indicazioni per l'uso del proxy dell'applicazione Microsoft Entra per eseguire la configurazione.
      • Uso dei certificati PKCS importati.
      • Configurazione della distribuzione della certificazione Intune usando un modulo di sicurezza hardware.

Collegamento tramite cloud

FastTrack fornisce indicazioni remote ai clienti per collegare al cloud ambienti Configuration Manager esistenti con Intune.

Tra queste vi sono anche:

  • Licenze per gli utenti finali.
  • Configurazione delle identità che devono essere usate da Intune usando le identità Active Directory locale e cloud.
  • Aggiungere utenti all'abbonamento a Intune, definire i ruoli di amministratore IT e creare gruppi di utenti e dispositivi.
  • Fornire indicazioni per la configurazione Microsoft Entra join ibrido.
  • Indicazioni sulla configurazione di Microsoft Entra ID per la registrazione automatica MDM.
  • Indicazioni su come configurare il gateway di gestione cloud quando usato come soluzione per la co-gestione della gestione remota dei dispositivi basata su Internet.
  • Configurazione dei carichi di lavoro supportati per passare a Intune.
  • Installare il client Configuration Manager nei dispositivi registrati di Intune.

Distribuire Outlook mobile per iOS e Android in modo sicuro

FastTrack fornisce indicazioni remote ai clienti per distribuire Outlook mobile per iOS e Android in modo sicuro per garantire che siano installate tutte le app necessarie.

Tra queste vi sono anche:

  • Download di Outlook per iOS e Android, Microsoft Authenticator e Portale aziendale Intune app tramite Apple App Store o Google Play Store.
  • Configurazione:
    • Distribuzione delle app Outlook per iOS e Android, Microsoft Authenticator e Portale aziendale Intune con Intune.
    • Protezione di app criteri.
    • Criteri di accesso condizionale.
    • Criteri di configurazione delle app.

Analisi degli endpoint

FastTrack fornisce indicazioni remote ai clienti per abilitare l'analisi degli endpoint.

Tra queste vi sono anche:

  • Conferma delle licenze per gli endpoint e gli utenti.
  • Conferma che gli ambienti dell'organizzazione soddisfino i prerequisiti per le funzionalità di analisi degli endpoint.
  • Configurazione degli endpoint con criteri corretti per abilitare le funzionalità di Analisi degli endpoint.
  • Impostazione delle linee di base dell'organizzazione per tenere traccia dello stato di avanzamento.
  • Fornire indicazioni sull'uso della correzione all'interno di Endpoint Analytics, tra cui:
    • Uso di script di correzione creati da Microsoft.

Esclusioni

  • Creazione di script di correzione personalizzati.

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Previsioni dell'ambiente di origine

  • Gli amministratori IT devono avere un'autorità di certificazione, una rete wireless e infrastrutture VPN esistenti abilitate negli ambienti di produzione per distribuire la rete wireless e i profili VPN con Intune.
  • L'ambiente del cliente deve avere un'infrastruttura PKI integra esistente prima di abilitare il recapito di certificati PKCS e SCEP con Intune.
  • I dispositivi endpoint devono essere gestiti da Intune.
  • Gli amministratori IT sono responsabili della registrazione dei dispositivi nell'organizzazione facendo in modo che il fornitore dell'hardware carichi gli ID hardware per caricarli autonomamente nel servizio Windows Autopilot.

Microsoft Intune Suite

Microsoft Intune Suite offre funzionalità di sicurezza e gestione degli endpoint avanzate cruciali per Intune. 

Gestione dei privilegi degli endpoint

Endpoint Privilege Management (EPM) supporta il percorso senza attendibilità consentendo all'organizzazione di ottenere un'ampia base di utenti in esecuzione con privilegi minimi, consentendo al contempo agli utenti di eseguire le attività consentite dall'organizzazione e di rimanere produttivi.

FastTrack fornisce indicazioni remote ai clienti per abilitare EPM.

Tra queste vi sono anche:

  • Presentazione di una panoramica di EPM, prerequisiti ed endpoint.
  • Fornisce indicazioni sull'abilitazione dei criteri EPM e delle impostazioni di elevazione dei privilegi e delle risposte predefinite per le richieste di elevazione.
  • Fornire indicazioni per la creazione di criteri di regole di elevazione per gestire l'identificazione di file specifici e la modalità di gestione delle richieste di elevazione dei privilegi per tali file.
  • Creazione di gruppi di impostazioni riutilizzabili per gestire i certificati già presenti.
  • Fornire indicazioni per la gestione dei conflitti dei criteri.
  • Offerta di elevazioni dei file approvate dal supporto.
  • Fornire autorizzazioni di controllo degli accessi in base al ruolo per le richieste di elevazione dei privilegi.
  • Creazione di criteri per l'elevazione dei file approvata dal supporto.
  • Gestione delle richieste di elevazione in sospeso.
  • Fornire report EPM.

Esclusioni

  • Gestione delle approvazioni in sospeso tramite l'automazione.

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Per altre informazioni, vedere Usare Endpoint Privilege Management con Microsoft Intune.

Enterprise Application Management

Enterprise Application Management offre un Catalogo app enterprise di app Win32 facilmente accessibili in Intune. È possibile aggiungere queste app al tenant selezionandole dal Catalogo app enterprise. Quando si aggiunge un'app Catalogo app enterprise al tenant Intune, vengono fornite automaticamente l'installazione predefinita, i requisiti e le impostazioni di rilevamento. Inoltre, Intune ospita app Enterprise App Catalog nell'archiviazione Microsoft.

FastTrack fornisce indicazioni remote ai clienti per abilitare Enterprise Application Management.

Tra queste vi sono anche:

  • Panoramica dei prerequisiti e per Enterprise Application Management.
  • Configurazione di app preconfezionate e preconfigurate che si aggiornano automaticamente.
  • Aggiunta dell'app Catalogo di Windows a Intune.
  • Abilitazione del monitoraggio delle informazioni sulle app.
  • Abilitazione dei report sullo stato di installazione dell'app.

Esclusioni

  • Automazione tramite Microsoft API Graph.

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Per altre informazioni, vedere Microsoft Intune Enterprise Application Management.

Analisi avanzata

Analisi avanzata è un set di funzionalità basate sull'analisi che consentono agli amministratori IT di comprendere, prevedere e migliorare l'esperienza dell'utente finale.

FastTrack fornisce indicazioni remote ai clienti per abilitare Analisi avanzata.

Tra queste vi sono anche:

  • Panoramica di e prerequisiti per Analisi avanzata.
  • Abilitazione del rilevamento anomalie nell'analisi degli endpoint per monitorare l'integrità dei dispositivi per l'esperienza utente e le regressioni di produttività in seguito alle modifiche alla configurazione.
  • Fornire una sequenza temporale avanzata degli eventi in un dispositivo specifico per facilitare la risoluzione dei problemi del dispositivo.
  • Configurazione degli ambiti del dispositivo nell'analisi degli endpoint, inclusi gli ambiti del dispositivo personalizzati per suddividere i report di Analisi degli endpoint in un subset di dispositivi.
  • Configurazione delle query del dispositivo in Intune, incluso l'accesso quasi in tempo reale ai dati sullo stato del dispositivo.
  • Abilitazione dei report sull'integrità della batteria.

Previsioni dell'ambiente di origine

  • Il cliente usa Intune per la gestione dei dispositivi.

Per altre informazioni, vedere Che cos'è Analisi avanzata di Microsoft Intune?.

Assistenza remota

Assistenza remota è una soluzione basata sul cloud per connessioni sicure all'help desk con controlli degli accessi in base al ruolo.

FastTrack fornisce indicazioni remote ai clienti per abilitare Assistenza remota.

Tra queste vi sono anche:

  • Panoramica di e prerequisiti per Assistenza remota.
  • Chiarire i prerequisiti per Assistenza remota in Windows, Android e macOS.
  • Configurazione Assistenza remota per il tenant del cliente.
  • La configurazione del controllo degli accessi in base al ruolo per impostare il livello di accesso di un helper è consentita.
  • Configurazione di Assistenza remota nei dispositivi windows registrati e non registrati, tra cui:
    • Chiarire le considerazioni sulla rete.
    • Installazione e aggiornamento dell'app Win32 Assistenza remota.
    • Abilitazione dei file di log
  • Configurazione di Assistenza remota per l'uso con l'accesso condizionale.
  • Configurazione del connettore ServiceNow.
  • Configurazione di Assistenza remota nei dispositivi registrati e non registrati macOS, tra cui:
    • Chiarire le considerazioni sulla rete.
    • Installazione dell'app Assistenza remota,
    • Configurazione delle autorizzazioni del sistema operativo dell'app nativa.
    • Installazione e aggiornamento dell'app macOS nativa Assistenza remota.
  • Configurazione di Assistenza remota nei dispositivi Android, tra cui:
    • Chiarire i rerequisites.
    • Distribuzione dell'app Assistenza remota.
    • Indicazioni sulla concessione delle autorizzazioni per i dispositivi Zebra e Samsung.
    • Uso di Assistenza remota nei dispositivi Android.

Esclusioni

  • Integrazione e risoluzione dei problemi di ServiceNow.
  • Configurazione dei dispositivi Android oem (Original Equipment Manufacturer).

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Per altre informazioni, vedere Usare Assistenza remota con Microsoft Intune.

Microsoft Tunnel per la gestione di applicazioni mobili

Quando si usa l'Gateway VPN di Microsoft Tunnel, è possibile estendere il supporto di Microsoft Tunnel aggiungendo Tunnel for Mobile Application Management (MAM). Tunnel per MAM estende il Gateway VPN di Microsoft Tunnel per supportare i dispositivi che eseguono Android o iOS e che non sono registrati con Intune.

FastTrack fornisce indicazioni remote ai clienti per abilitare Tunnel per MAM.

Tra queste vi sono anche:

  • Panoramica dei prerequisiti e del tunnel per MAM.
  • Configurazione della VPN di Microsoft Tunnel per i dispositivi Android non registrazione.
  • Configurazione dei criteri per il supporto del tunnel per MAM.
  • Configurazione di app line-of-business (LOB).
  • Configurazione della VPN di Microsoft Tunnel per dispositivi iOS e iPad non registrazione.
  • Revisione dell'SDK necessario per iOS.
  • Configurazione dei criteri per Tunnel per MAM per iOS.
  • Configurazione delle app line-of-business in Interfaccia di amministrazione di Microsoft Entra
  • Configurazione dell'integrazione delle app LOB Xcode.
  • Monitoraggio di Microsoft Tunnel.

Esclusioni

  • Configurazione principale di Microsoft Tunnel Gateway.

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Per altre informazioni, vedere Microsoft Tunnel for Mobile Application Management.

Microsoft Cloud PKI

Microsoft Cloud PKI è un servizio basato sul cloud che semplifica e automatizza la gestione del ciclo di vita dei certificati per i dispositivi gestiti da Intune. Fornisce un'infrastruttura a chiave pubblica dedicata (PKI) per l'organizzazione e gestisce il rilascio, il rinnovo e la revoca dei certificati per tutte le piattaforme supportate Intune.

FastTrack fornisce indicazioni remote ai clienti per abilitare Microsoft Cloud PKI.

Tra queste vi sono anche:

  • Panoramica dei prerequisiti e per Microsoft Cloud PKI.
  • Configurazione dei ruoli personalizzati creati dal controllo degli accessi in base al ruolo con autorizzazioni Microsoft Cloud PKI.
  • Creazione di una gerarchia PKI a due livelli con autorità di certificazione radice e emittente nel cloud.
  • Configurazione di bring your own CA (BYOCA) per ancorare una CA emittente di Intune a una CA privata tramite Servizi certificati Active Directory o un servizio certificati non Microsoft.
  • Creazione di profili certificato attendibili.
  • Creazione di profili certificato SCEP (Simple Certificate Enrollment Protocol).
  • Monitoraggio della CA emittente e revisione dei certificati rilasciati.
  • Fornire un report del profilo certificato SCEP
  • Abilitazione dei log di controllo Microsoft Cloud PKI.

Esclusioni

  • Spiegazione dei concetti di crittografia.
  • Configurazione o configurazione di CA locali.
  • Configurazione delle CA per la registrazione del servizio Web.
  • Distribuzione di certificati in relying party (ad esempio VPN, Wi-Fi, app o server).
  • Configurazione del server dei criteri di rete o del servizio RADIUS (Remote Authentication Dial-In User Service).

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Per altre informazioni, vedere Panoramica di Microsoft Cloud PKI per Microsoft Intune.

Aggiornamenti over-the-air del firmware e gestione dei dispositivi speciali

Gli aggiornamenti FOTA (Firmware Over-the-Air) consentono l'aggiornamento remoto del firmware del dispositivo tramite una connessione wireless anziché richiedere la connessione fisica dei dispositivi a un computer o a una rete.

La gestione di dispositivi speciali con Intune offre una gamma di funzionalità di gestione, configurazione e protezione per dispositivi specializzati, ad esempio visori VR e AR, dispositivi smart screen di grandi dimensioni e dispositivi per riunioni di sale riunioni selezionati.

FastTrack fornisce indicazioni remote ai clienti per abilitare gli aggiornamenti FOTA e la gestione dei dispositivi speciali.

Tra queste vi sono anche:

  • Configurazione della registrazione Intune per i dispositivi Android nella piattaforma Android Open Source Project (AOSP) per dispositivi di proprietà dell'azienda senza utente e associati all'utente (inclusi i dispositivi RealWear).
  • Abilitazione degli aggiornamenti FOTA di Android.
  • Abilitazione della gestione degli aggiornamenti di Samsung Enterprise FOTA (E-FOTA).
  • Abilitazione dell'integrazione di Zebra LifeGuard Over-the-Air (LG OTA).
  • Configurazione degli account meta-lavoro per il provisioning utenti automatico con Microsoft Entra ID.
  • Configurazione del provisioning utenti automatico per Meta Quest per gli account aziendali con Microsoft Entra ID.
  • Monitoraggio dei log di provisioning.
  • Configurazione del Meta Quest Gestione dispositivi.
  • Configurazione dell'integrazione Intune con Meta Quest Gestione dispositivi.

Esclusioni

  • Meta Quest per la risoluzione dei problemi aziendali.
  • Risoluzione dei problemi di configurazione e integrazione OEM.

Contattare un partner Microsoft per assistenza per eventuali servizi non inclusi nell'ambito.

Per altre informazioni, vedere Aggiornamento over-the-air del firmware per dispositivi mobili.

Guide alla distribuzione avanzata microsoft

Microsoft offre ai clienti tecnologia e indicazioni per facilitare la distribuzione dei servizi di Microsoft 365, Microsoft Viva e sicurezza. È consigliabile che i clienti inizino il percorso di distribuzione con queste offerte.

Per gli amministratori non IT, vedere Installazione di Microsoft 365.