Gestire i dispositivi con la panoramica di Intune.
Un componente di base della sicurezza a livello aziendale include la gestione e la protezione dei dispositivi. Che tu stia costruendo un'architettura di sicurezza Zero Trust, rafforzando il tuo ambiente contro il ransomware o creando protezioni per supportare chi lavora da remoto, la gestione dei dispositivi fa parte della strategia. Sebbene Microsoft 365 includa diversi strumenti e metodologie per la gestione e la protezione dei dispositivi, queste indicazioni illustrano i suggerimenti di Microsoft usando Microsoft Intune. Questa è la guida giusta per te, se:
- Pianificare la registrazione dei dispositivi in Intune tramite Microsoft Entra join (incluso Microsoft Entra join ibrido).
- Pianifichi di registrare manualmente i dispositivi in Intune.
- Consenti ai dispositivi BYOD con piani di implementare la protezione di app e dati e/o registrare questi dispositivi in Intune.
D'altra parte, se l'ambiente include piani per la co-gestione, tra cui Microsoft Configuration Manager, vedere la documentazione sulla co-gestione per sviluppare il percorso migliore per l'organizzazione. Se l'ambiente include piani per Windows 365 Cloud PC, vedi la documentazione di Windows 365 Enterprise per sviluppare il percorso migliore per l'organizzazione.
Guardare il video per una panoramica del processo di distribuzione.
Perché gestire gli endpoint?
L'azienda moderna ha un'incredibile varietà di endpoint che accedono ai propri dati. Questa configurazione crea una superficie di attacco di massa e, di conseguenza, gli endpoint possono diventare facilmente l’anello più debole nella strategia di sicurezza Zero Trust.
Spinti principalmente dalla necessità mentre il mondo è passato a un modello di lavoro remoto o ibrido, gli utenti lavorano da qualsiasi luogo, da qualsiasi dispositivo, più che in qualsiasi momento della storia. Gli utenti malintenzionati stanno adattando rapidamente le proprie tattiche per sfruttare questa modifica. Molte organizzazioni fanno fronte a risorse limitate, mentre affrontano nuove sfide aziendali. Praticamente da un giorno all'altro, le aziende hanno accelerato la trasformazione digitale. Detto semplicemente, il modo in cui le persone lavorano è cambiato. Non ci aspettiamo più di accedere alla miriade di risorse aziendali solo dall'ufficio e dai dispositivi di proprietà dell'azienda.
Ottenere visibilità negli endpoint che accedono alle risorse aziendali è il primo passaggio della strategia del dispositivo Zero Trust. In genere, le aziende sono proattive nella protezione dei PC da vulnerabilità e attacchi, mentre i dispositivi mobili spesso non vengono monitorati e rimangono senza protezioni. Per essere certi di non esporre i dati a rischi, è necessario monitorare ogni endpoint alla ricerca di rischi e utilizzare controlli di accesso granulari per fornire il livello di accesso appropriato in base ai criteri dell'organizzazione. Ad esempio, se un dispositivo personale è jailbroken, è possibile bloccare l'accesso per assicurarsi che le applicazioni aziendali non siano esposte a vulnerabilità note.
Questa serie di articoli illustra un processo consigliato per la gestione dei dispositivi che accedono alle risorse. Se si seguono i passaggi consigliati, l'organizzazione raggiungerà una protezione molto sofisticata per i dispositivi e le risorse a cui accedono.
Implementazione dei livelli di protezione su e per i dispositivi
La protezione dei dati e delle app nei dispositivi e nei dispositivi stessi è un processo a più livelli. Esistono alcune protezioni che puoi ottenere nei dispositivi non gestiti. Dopo aver registrato i dispositivi nella gestione, puoi implementare controlli più sofisticati. Quando la protezione dalle minacce viene distribuita tra gli endpoint, ottieni ancora più informazioni dettagliate e la possibilità di correggere automaticamente alcuni attacchi. Infine, se l'organizzazione ha svolto il lavoro per identificare i dati sensibili, applicare la classificazione e le etichette e configurare i criteri di Prevenzione della perdita dei dati Microsoft Purview, è possibile ottenere una protezione ancora più granulare per i dati negli endpoint.
Il diagramma seguente illustra i blocchi predefiniti per ottenere una posizione di sicurezza Zero Trust per Microsoft 365 e altre app SaaS introdotte in questo ambiente. Gli elementi correlati ai dispositivi sono numerati da 1 a 7. Gli amministratori dei dispositivi si coordinano con altri amministratori per eseguire questi livelli di protezione.
In questa illustrazione:
Passaggio | Descrizione | Requisiti di licenza | |
---|---|---|---|
1 | Configura l'identità Zero Trust del punto di partenza e i criteri di accesso ai dispositivi | Collaborare con l’amministratore di identità per implementare la protezione dei dati con il criterio di protezione dell’app (APP) di livello 2. Questi criteri non richiedono la gestione dei dispositivi. Configurare i criteri APP in Intune. L'amministratore dell'identità configura un criterio di accesso condizionale per richiedere app approvate. | E3, E5, F1, F3, F5 |
2 | Registrare i dispositivi in Intune | Questa attività richiede più pianificazione e più tempo per l'implementazione. Microsoft consiglia di usare Intune per registrare i dispositivi perché questo strumento offre un'integrazione ottimale. Esistono diverse opzioni per registrare i dispositivi, a seconda della piattaforma. Ad esempio, i dispositivi Windows possono essere registrati usando Microsoft Entra join o Autopilot. È necessario esaminare le opzioni per ogni piattaforma e decidere quale opzione di registrazione è migliore per il proprio ambiente. Per altre informazioni, vedere Passaggio 2. Registrare i dispositivi in Intune. | E3, E5, F1, F3, F5 |
3 | Configura i criteri di conformità | Si desidera essere certi che i dispositivi che accedono alle app e ai dati soddisfino i requisiti minimi, ad esempio che i dispositivi siano protetti da password o pin e il sistema operativo sia aggiornato. I criteri di conformità consentono di definire i requisiti che i dispositivi devono soddisfare. Passaggio 3. Configurare i criteri di conformità consente di configurare questi criteri. | E3, E5, F3, F5 |
4 | Configura l'identità Zero Trust Enterprise (consigliato) e i criteri di accesso ai dispositivi | Ora che i dispositivi sono registrati, è possibile collaborare con l'amministratore dell'identità per ottimizzare i criteri di accesso condizionale per richiedere dispositivi integri e conformi. | E3, E5, F3, F5 |
5 | Distribuisci profili di configurazione | Anziché i criteri di conformità dei dispositivi che contrassegnano semplicemente un dispositivo come conforme o meno in base ai criteri che configuri, i profili di configurazione modificano effettivamente la configurazione delle impostazioni in un dispositivo. Puoi usare i criteri di configurazione per rafforzare i dispositivi contro le minacce informatiche. Vedere Passaggio 5. Distribuire i profili di configurazione. | E3, E5, F3, F5 |
6 | Monitorare i rischi dei dispositivi e la conformità alle linee di base della sicurezza | In questo passaggio connetti Intune a Microsoft Defender per endpoint. Con questa integrazione, puoi quindi monitorare i rischi del dispositivo come condizione per l'accesso. I dispositivi che si trovano in uno stato rischioso vengono bloccati. È inoltre possibile monitorare la conformità alle linee di base della sicurezza. Vedere Passaggio 6. Monitorare i rischi e la conformità del dispositivo rispetto alle baseline di sicurezza. | E5, F5 |
7 | Implementare la prevenzione della perdita dei dati (DLP) con funzionalità di protezione delle informazioni | Se l’organizzazione si è impegnata nell'identificazione di dati sensibili e nell'etichettatura dei documenti, è possibile collaborare con l'amministratore della protezione delle informazioni per proteggere le informazioni e i documenti sensibili sui dispositivi. | E5, F5 componente aggiuntivo di conformità |
Coordinamento della gestione degli endpoint con identità Zero Trust e criteri di accesso ai dispositivi
Queste indicazioni sono strettamente coordinate con l'identità Zero Trust e i criteri di accesso ai dispositivi consigliati. Si lavorerà con il team di gestione delle identità per implementare la protezione configurata con Intune nei criteri di accesso condizionale in Microsoft Entra ID.
Ecco un'illustrazione del set di criteri consigliato con i callout dei passaggi per il lavoro che si eseguirà in Intune e i criteri di accesso condizionale correlati che verranno usati per coordinare Microsoft Entra ID.
In questa illustrazione:
- Nel passaggio 1, Implementare i criteri di protezione delle app (APP) di livello 2 si configura il livello consigliato di protezione dei dati con i criteri di protezione delle app (APP). Quindi lavori con il team di identità per configurare la regola di accesso condizionale correlata per richiedere l'utilizzo di questa protezione.
- Nei passaggi 2, 3 e 4 si registrerai i dispositivi nella gestione con Intune, definirai i criteri di conformità dei dispositivi e quindi ti coordinerai con il team di identità per configurare la regola di accesso condizionale correlata per consentire l'accesso solo ai dispositivi conformi.
Registrazione di dispositivi onboarding di dispositivi
Se si seguono queste linee guida, si registreranno i dispositivi nella gestione usando Intune e si eseguirà l'onboarding dei dispositivi per le funzionalità di Microsoft 365 seguenti:
- Microsoft Defender per endpoint
- Microsoft Purview (per la prevenzione della perdita dei dati (DLP) degli endpoint)
La figura seguente illustra in dettaglio come funziona con Intune.
Nella figura:
- Registrare i dispositivi nella gestione con Intune.
- Usare Intune per eseguire l'onboarding dei dispositivi in Defender per endpoint.
- I dispositivi per cui è stato eseguito l’onboarding in Defender per endpoint vengono sottoposti a onboarding anche per le funzioni di Microsoft Purview, inclusa la Prevenzione della perdita dei dati per Endpoint.
Tenere presente che solo Intune gestisce i dispositivi. L'onboarding si riferisce alla possibilità per un dispositivo di condividere informazioni con un servizio specifico. Nella tabella seguente sono riepilogate le differenze tra la registrazione dei dispositivi nella gestione e l'onboarding dei dispositivi per un servizio specifico.
Registra | Onboarding | |
---|---|---|
Descrizione | La registrazione si applica alla gestione dei dispositivi. I dispositivi vengono registrati per la gestione con Intune o Configuration Manager. | L'onboarding configura un dispositivo per l'utilizzo con un set specifico di funzionalità in Microsoft 365. Attualmente, l'onboarding si applica a Microsoft Defender per endpoint e alle funzionalità di conformità Microsoft. Nei dispositivi Windows, l'onboarding comporta l'attivazione o la disattivazione di un'impostazione in Windows Defender che consente a Defender di connettersi al servizio online e accettare i criteri applicabili al dispositivo. |
Ambito | Questi strumenti per la gestione dei dispositivi gestiscono tutto il dispositivo, inclusa la configurazione del dispositivo per fare in modo che soddisfi obiettivi specifici, come la sicurezza. | L'onboarding interessa solo i servizi a cui viene applicato. |
Metodo consigliato | Microsoft Entra join registra automaticamente i dispositivi in Intune. | Intune è il metodo preferito per l'onboarding dei dispositivi in Windows Defender per endpoint e di conseguenza, per le funzionalità di Microsoft Purview. Si noti che i dispositivi di cui viene eseguito l'onboarding nelle funzionalità di Microsoft Purview con altri metodi non vengono registrati automaticamente per Defender per endpoint. |
Altri metodi | Altri metodi di registrazione dipendono dalla piattaforma del dispositivo e dal fatto che sia BYOD o gestito dall'organizzazione. | Altri metodi per l'onboarding dei dispositivi includono, nell'ordine consigliato: |
Learning per gli amministratori
Le risorse seguenti consentono agli amministratori di apprendere i concetti relativi all'uso di Intune.
Semplificare la gestione dei dispositivi con Microsoft Intune modulo di training
Scopri in che modo le soluzioni di gestione aziendale tramite Microsoft 365 offrono alle persone un'esperienza desktop sicura e personalizzata e aiutano le organizzazioni a gestire facilmente gli aggiornamenti per tutti i dispositivi con un'esperienza di amministrazione semplificata.
-
Microsoft Intune consente di proteggere i dispositivi, le app e i dati usati dagli utenti dell'organizzazione per essere produttivi. Questo articolo illustra come configurare Microsoft Intune. Il programma di installazione include la revisione delle configurazioni supportate, l'iscrizione a Intune, l'aggiunta di utenti e gruppi, l'assegnazione di licenze agli utenti, la concessione delle autorizzazioni di amministratore e l'impostazione dell'autorità Mobile Gestione dispositivi (MDM).
Passaggio successivo
Passare al passaggio 1. Implementare i criteri di protezione delle app.