Passaggio 4: Configurare le funzionalità e le impostazioni dei dispositivi per proteggere i dispositivi e accedere alle risorse

Finora è stata configurata la sottoscrizione Intune, sono stati creati criteri di protezione delle app e sono stati creati criteri di conformità dei dispositivi.

In questo passaggio si è pronti per configurare un set minimo o di base di funzionalità di sicurezza e dispositivo che tutti i dispositivi devono avere.

Diagramma che mostra l'introduzione a Microsoft Intune con il passaggio 4, che consiste nella configurazione delle funzionalità dei dispositivi e delle impostazioni di sicurezza.

Questo articolo si applica a:

Android
iOS/iPadOS
macOS
Windows

Quando si creano profili di configurazione del dispositivo, è possibile scegliere tra diversi livelli e tipi di criteri. Questi livelli sono i criteri minimi consigliati da Microsoft. Sapere che l'ambiente e le esigenze aziendali possono essere diversi.

Livello 1 - Configurazione minima del dispositivo: in questo livello Microsoft consiglia di creare criteri che:
- Concentrarsi sulla sicurezza dei dispositivi, tra cui l'installazione di antivirus, la creazione di criteri password sicuri e l'installazione regolare degli aggiornamenti software.
- Concedere agli utenti l'accesso alla posta elettronica dell'organizzazione e l'accesso sicuro controllato alla rete, ovunque si trovino.
Livello 2 - Configurazione avanzata del dispositivo: in questo livello, Microsoft consiglia di creare criteri che:
- Espandere la sicurezza del dispositivo, inclusa la configurazione della crittografia del disco, l'abilitazione dell'avvio sicuro e l'aggiunta di altre regole password.
- Usare le funzionalità e i modelli predefiniti per configurare altre impostazioni importanti per l'organizzazione, inclusa l'analisi degli oggetti Criteri di gruppo locali.
Livello 3 - Configurazione elevata del dispositivo: in questo livello, Microsoft consiglia di creare criteri che:
- Passare all'autenticazione senza password, tra cui l'uso di certificati, la configurazione dell'accesso Single Sign-On (SSO) alle app, l'abilitazione dell'autenticazione a più fattori (MFA) e la configurazione di Microsoft Tunnel.
- Aggiungere livelli aggiuntivi di sicurezza usando la modalità criteri comuni android o creando criteri DFCI per i dispositivi Windows.
- Usare le funzionalità predefinite per configurare dispositivi in modalità tutto schermo, dispositivi dedicati, dispositivi condivisi e altri dispositivi specializzati.
- Distribuire script della shell esistenti.

Questo articolo elenca i diversi livelli di criteri di configurazione dei dispositivi che le organizzazioni devono usare. La maggior parte di questi criteri si concentra sull'accesso alle risorse dell'organizzazione e sulla sicurezza.

Configurare queste funzionalità nei profili di configurazione del dispositivo nell'interfaccia di amministrazione Microsoft Intune. Quando i profili Intune sono pronti, assegnarli agli utenti e ai dispositivi.

Consiglio

Presentazione di Intune e dell'interfaccia di amministrazione Microsoft Intune.

Livello 1- Creare la baseline di sicurezza

Per proteggere i dati e i dispositivi dell'organizzazione, creare criteri diversi incentrati sulla sicurezza. Creare un elenco di funzionalità di sicurezza che tutti gli utenti e i dispositivi devono avere. Questo elenco è la baseline di sicurezza.

Nella baseline includere almeno i criteri di sicurezza seguenti:

Installare software antivirus (AV) e analizzare regolarmente la ricerca di malware.
Usare il rilevamento e la risposta.
Attivare il firewall.
Installare regolarmente gli aggiornamenti software.
Creare un pin o un criterio password sicuro.

Questa sezione elenca le Intune e i servizi Microsoft che è possibile usare per creare questi criteri di sicurezza.

Per un elenco più granulare delle impostazioni di Windows e dei relativi valori consigliati, vedere Baseline di sicurezza di Windows.

Antivirus e analisi

Installare il software antivirus e analizzare regolarmente la ricerca di malware

Installare il software antivirus in tutti i dispositivi e analizzare regolarmente la ricerca di malware. Intune si integra con servizi mtd (Mobile Threat Defense) partner di terze parti che forniscono av av e analisi delle minacce. L'antivirus e l'analisi sono incorporati in Intune usando Microsoft Defender per endpoint.

Opzioni dei criteri:

Piattaforma	Tipo di criterio
Android Enterprise	- Partner - mobile threat defense Microsoft Defender per endpoint
iOS/iPadOS	- Partner - mobile threat defense Microsoft Defender per endpoint
macOS	- profilo antivirus di Intune Endpoint Security (Microsoft Defender per endpoint)
Client Windows	- Intune baseline di sicurezza (scelta consigliata) - profilo antivirus di Intune Endpoint Security (Microsoft Defender per endpoint)

Rilevamento e risposta

Rilevare gli attacchi e agire su queste minacce

Quando si rilevano rapidamente le minacce, è possibile ridurre al minimo l'impatto della minaccia. Quando si combinano questi criteri con l'accesso condizionale, è possibile impedire a utenti e dispositivi di accedere alle risorse dell'organizzazione se viene rilevata una minaccia.

Opzioni dei criteri:

Piattaforma	Tipo di criterio
Android Enterprise	- Partner - mobile threat defense Microsoft Defender per endpoint
iOS/iPadOS	- Partner - mobile threat defense Microsoft Defender per endpoint
macOS	Intune profilo di rilevamento e risposta degli endpoint (Microsoft Defender per endpoint)
Client Windows	- Intune baseline di sicurezza (scelta consigliata) - Intune profilo di rilevamento e risposta degli endpoint (Microsoft Defender per endpoint)

Firewall

Abilitare il firewall in tutti i dispositivi

Alcune piattaforme sono dotate di un firewall predefinito. In altre piattaforme potrebbe essere necessario installare un firewall separatamente. Intune si integra con servizi MTD (Mobile Threat Defense) partner di terze parti in grado di gestire un firewall per dispositivi Android e iOS/iPadOS. Per macOS e Windows, Intune include la sicurezza del firewall predefinita tramite Microsoft Defender per endpoint.

Opzioni dei criteri:

Piattaforma	Tipo di criterio
Android Enterprise	Partner mobile threat defense
iOS/iPadOS	Partner mobile threat defense
macOS	Intune profilo del firewall di Endpoint Security (Microsoft Defender per endpoint)
Client Windows	- Intune baseline di sicurezza (scelta consigliata) - Intune profilo del firewall di Endpoint Security (Microsoft Defender per endpoint)

Criteri password

Creare una password complessa o un criterio PIN e bloccare i passcode semplici

I PIN sbloccano i dispositivi. Nei dispositivi che accedono ai dati dell'organizzazione, inclusi i dispositivi di proprietà personale, richiedono PIN o passcode sicuri e supportano la biometria per sbloccare i dispositivi. L'uso della biometria fa parte di un approccio senza password, consigliato.

Usare i profili modello del catalogo delle impostazioni e delle restrizioni dei dispositivi in Intune per creare e configurare i requisiti delle password.

Opzioni dei criteri:

Piattaforma	Tipo di criterio
Android Enterprise	Intune catalogo delle impostazioni per i dispositivi di proprietà dell'azienda, completamente gestiti e dedicati per gestire: - Password del dispositivo - Password del profilo di lavoro Intune modello di restrizioni dei dispositivi per i dispositivi di proprietà dell'azienda e di proprietà personale per gestire: - Password del dispositivo - Password del profilo di lavoro - Password
Progetto Android Open-Source (AOSP)	- Intune impostazioni catalogo>Password dispositivo - Intune modello di restrizioni del> dispositivoPassword del dispositivo
iOS/iPadOS	- catalogo >delle impostazioni di IntunePasscode Gestione dispositivi dichiarativo (DDM) > (scelta consigliata) - catalogo >delle impostazioni di IntunePasscode di sicurezza > - Intune modello di restrizioni del> dispositivoPassword
macOS	- catalogo >delle impostazioni di IntunePasscode Gestione dispositivi dichiarativo (DDM) > (scelta consigliata) - catalogo >delle impostazioni di IntunePasscode di sicurezza > - Intune modello di restrizioni del> dispositivoPassword
Client Windows	- Intune baseline di sicurezza (scelta consigliata) - Intune modello di restrizioni del> dispositivoGestione password - Windows Hello for Business quando i dispositivi registrano - Gestisci Windows Hello for Business dopo la registrazione dei dispositivi

Aggiornamenti software

Installare regolarmente gli aggiornamenti software

Aggiornare regolarmente tutti i dispositivi e creare criteri per assicurarsi che questi aggiornamenti siano installati correttamente. Per la maggior parte delle piattaforme, Intune dispone di impostazioni dei criteri incentrate sulla gestione e l'installazione degli aggiornamenti.

Opzioni dei criteri:

Piattaforma	Tipo di criterio
Dispositivi di proprietà dell'organizzazione Android Enterprise	Intune modello >di restrizioni del dispositivo Aggiornamento del sistema generale > di proprietà > dell'azienda
Dispositivi Android Enterprise di proprietà personale	Non disponibile Può usare i criteri di conformità per impostare un livello di patch minimo, una versione minima/massima del sistema operativo e altro ancora.
iOS/iPadOS	Intune impostazioni catalogo aggiornamenti software gestiti
macOS	Intune impostazioni catalogo aggiornamenti software gestiti
Client Windows	- Intune criteri - di aggiornamento delle funzionalità Intune criteri di aggiornamenti qualitativi

Livello 1: accedere alla posta elettronica dell'organizzazione, connettersi a VPN o Wi-Fi

Questa sezione è incentrata sull'accesso alle risorse nell'organizzazione. Queste risorse includono:

Email per gli account aziendali o dell'istituto di istruzione
Connessione VPN per la connettività remota
Wi-Fi connessione per la connettività locale

Diagramma che mostra i profili di posta elettronica, VPN e Wi-Fi distribuiti da Microsoft Intune ai dispositivi degli utenti finali.

Posta elettronica

Molte organizzazioni distribuiscono profili di posta elettronica con impostazioni preconfigurate ai dispositivi utente.

Connettersi automaticamente agli account di posta elettronica utente

Il profilo include le impostazioni di configurazione della posta elettronica che si connettono al server di posta elettronica.

A seconda delle impostazioni configurate, il profilo di posta elettronica può anche connettere automaticamente gli utenti alle impostazioni dei singoli account di posta elettronica.

Usare app di posta elettronica a livello aziendale

Email profili in Intune usare app di posta elettronica comuni e diffuse, ad esempio Outlook. L'app di posta elettronica viene distribuita nei dispositivi utente. Dopo aver distribuito l'app, distribuire il profilo di configurazione del dispositivo di posta elettronica con le impostazioni che configurano l'app di posta elettronica.

Il profilo di configurazione del dispositivo di posta elettronica include le impostazioni che si connettono a Exchange.

Accedere alla posta elettronica aziendale o dell'istituto di istruzione

La creazione di un profilo di posta elettronica è un criterio di base minimo comune per le organizzazioni con utenti che usano la posta elettronica nei propri dispositivi.

Intune dispone di impostazioni di posta elettronica predefinite per dispositivi Android, iOS/iPadOS e client Windows. Quando gli utenti aprono l'app di posta elettronica, possono connettersi, autenticare e sincronizzare automaticamente gli account di posta elettronica dell'organizzazione nei dispositivi.

Distribuire in qualsiasi momento

Nei nuovi dispositivi distribuire l'app di posta elettronica durante il processo di registrazione. Al termine della registrazione, distribuire i criteri di configurazione del dispositivo di posta elettronica.

Se si dispone di dispositivi esistenti, distribuire l'app di posta elettronica in qualsiasi momento. Distribuire quindi i criteri di configurazione del dispositivo di posta elettronica.

Introduzione ai profili di posta elettronica

Per iniziare:

Distribuire un'app di posta elettronica nei dispositivi. Per alcune indicazioni, vedere Aggiungere impostazioni di posta elettronica ai dispositivi usando Intune.
Creare un profilo di configurazione del dispositivo di posta elettronica in Intune. A seconda dell'app di posta elettronica usata dall'organizzazione, potrebbe non essere necessario il profilo di configurazione del dispositivo di posta elettronica.

Per alcune indicazioni, vedere Aggiungere impostazioni di posta elettronica ai dispositivi usando Intune.
Nel profilo di configurazione del dispositivo di posta elettronica configurare le impostazioni per la piattaforma:
- Dispositivi android enterprise di proprietà personale con impostazioni di posta elettronica del profilo di lavoro
  
  I dispositivi di proprietà dell'organizzazione Android Enterprise non usano i profili di configurazione dei dispositivi di posta elettronica.
- Impostazioni di posta elettronica iOS/iPadOS
- Impostazioni di posta elettronica di Windows
Assegnare il profilo di configurazione del dispositivo di posta elettronica agli utenti o ai gruppi di utenti.

VPN

Molte organizzazioni distribuiscono profili VPN con impostazioni preconfigurate ai dispositivi utente. La VPN connette i dispositivi alla rete interna dell'organizzazione.

Se l'organizzazione usa servizi cloud con autenticazione moderna e identità sicure, probabilmente non è necessario un profilo VPN. I servizi nativi del cloud non richiedono una connessione VPN.

Se le app o i servizi non sono basati sul cloud o non sono nativi del cloud, distribuire un profilo VPN per connettersi alla rete aziendale interna.

Lavorare da qualsiasi luogo

La creazione di un profilo VPN è un criterio di base minimo comune per le organizzazioni con ruoli di lavoro remoti e ruoli di lavoro ibridi.

Quando gli utenti lavorano ovunque, possono usare il profilo VPN per connettersi in modo sicuro alla rete dell'organizzazione per accedere alle risorse.

Intune dispone di impostazioni VPN predefinite per dispositivi client Android, iOS/iPadOS, macOS e Windows. Nei dispositivi utente, la connessione VPN viene visualizzata come connessione disponibile. Gli utenti lo selezionano. Inoltre, a seconda delle impostazioni nel profilo VPN, gli utenti possono autenticarsi e connettersi automaticamente alla VPN nei propri dispositivi.

Usare app VPN di livello aziendale

I profili VPN in Intune usano app VPN aziendali comuni, ad esempio Check Point, Cisco, Microsoft Tunnel e altro ancora. L'app VPN viene distribuita nei dispositivi utente. Dopo aver distribuito l'app, distribuire il profilo di connessione VPN con le impostazioni che configurano l'app VPN.

Il profilo di configurazione del dispositivo VPN include impostazioni che si connettono al server VPN.

Distribuire in qualsiasi momento

Nei nuovi dispositivi distribuire l'app VPN durante il processo di registrazione. Al termine della registrazione, distribuire i criteri di configurazione del dispositivo VPN.

Se si dispone di dispositivi esistenti, distribuire l'app VPN in qualsiasi momento e quindi distribuire i criteri di configurazione del dispositivo VPN.

Introduzione ai profili VPN

Per iniziare:

Distribuire un'app VPN nei dispositivi.
- Per un elenco delle app VPN supportate, vedere App di connessione VPN supportate in Intune.
- Per la procedura per aggiungere app a Intune, vedere Aggiungere app a Microsoft Intune.
Creare un profilo di configurazione VPN in Intune.
Nel profilo di configurazione del dispositivo VPN configurare le impostazioni per la piattaforma:
Assegnare il profilo di configurazione del dispositivo VPN agli utenti o ai gruppi di utenti.

Wi-Fi

Molte organizzazioni distribuiscono profili Wi-Fi con impostazioni preconfigurate nei dispositivi utente. Se l'organizzazione dispone di una forza lavoro solo remota, non è necessario distribuire Wi-Fi profili di connessione. Wi-Fi profili sono facoltativi e vengono usati per la connettività locale.

Connettersi in modalità wireless

Quando gli utenti lavorano da dispositivi mobili diversi, possono usare il profilo di Wi-Fi per connettersi in modo wireless e sicuro alla rete dell'organizzazione.

Il profilo include le impostazioni di configurazione Wi-Fi che si connettono automaticamente alla rete e/o all'SSID (identificatore del set di servizi). Gli utenti non devono configurare manualmente le impostazioni di Wi-Fi.

Supporto dei dispositivi mobili in locale

La creazione di un profilo Wi-Fi è un criterio di base minimo comune per le organizzazioni con dispositivi mobili che funzionano in locale.

Intune dispone di impostazioni di Wi-Fi predefinite per dispositivi client Android, iOS/iPadOS, macOS e Windows. Nei dispositivi utente, la connessione Wi-Fi viene visualizzata come connessione disponibile. Gli utenti lo selezionano. Inoltre, a seconda delle impostazioni nel profilo Wi-Fi, gli utenti possono autenticarsi e connettersi automaticamente al Wi-Fi nei propri dispositivi.

Distribuire in qualsiasi momento

Nei nuovi dispositivi distribuire i criteri di configurazione del dispositivo Wi-Fi quando i dispositivi si registrano in Intune.

Se si dispone di dispositivi esistenti, è possibile distribuire i criteri di configurazione del dispositivo Wi-Fi in qualsiasi momento.

Introduzione ai profili Wi-Fi

Per iniziare:

Creare un profilo di configurazione del dispositivo Wi-Fi in Intune.
Configurare le impostazioni per la piattaforma:
Assegnare il profilo di configurazione del dispositivo Wi-Fi agli utenti o ai gruppi di utenti.

Livello 2 - Protezione e configurazione migliorate

Questo livello si espande su ciò che è stato configurato nel livello 1 e aggiunge maggiore sicurezza per i dispositivi. In questa sezione viene creato un set di criteri di livello 2 che configurano più impostazioni di sicurezza per i dispositivi.

Microsoft consiglia i criteri di sicurezza di livello 2 seguenti:

Abilitare la crittografia del disco, l'avvio protetto e il TPM nei dispositivi. Usare queste funzionalità con criteri PIN sicuri o sblocco biometrico.
- Android
- iOS/iPadOS
- macOS
- Windows
Nei dispositivi Android il sistema operativo potrebbe includere la crittografia del disco e Samsung Knox. È possibile abilitare automaticamente la crittografia del disco quando si configurano le impostazioni della schermata di blocco, che sono abilitate e consentite per impostazione predefinita.

In Intune è possibile:
- Creare un criterio del catalogo delle impostazioni che disabiliti la schermata di blocco (scelta non consigliata). Quando si disabilita la schermata di blocco, il dispositivo non viene crittografato.
- Creare un profilo modello di restrizioni del dispositivo che disabilita le singole funzionalità quando la schermata di blocco è attiva.
Per un elenco delle impostazioni della password e della schermata di blocco che è possibile configurare, vedere:
- Impostazioni di catalogo delle impostazioni Android per i dispositivi > completamente gestiti e dedicati Password del dispositivo e Impostazioni password del profilo di lavoro
- Impostazioni del modello di restrizioni dei dispositivi Android per i dispositivi > di proprietà dell'azienda e di proprietà personale Password del dispositivo e impostazioni della password del profilo di lavoro
Nei dispositivi iOS/iPadOS il sistema operativo include la crittografia del disco e l'enclave sicuro e li abilita automaticamente. Non sono disponibili impostazioni di Intune per configurare queste funzionalità specifiche.

Per informazioni più specifiche, vedere Introduzione alla sicurezza della piattaforma Apple e all'enclave sicuro (apre il sito Web di Apple).

Il catalogo delle impostazioni e il modello di restrizioni del dispositivo includono Intune impostazioni dei criteri incentrate sulle impostazioni delle password e sulla crittografia dei backup, ad esempio l'impostazione Forza backup crittografato.

Nei dispositivi macOS usare un criterio del catalogo delle impostazioni (consigliato) o un criterio di sicurezza degli endpoint (deprecato) per configurare e usare FileVault per la crittografia del disco.

Secure Enclave è integrato nel sistema operativo e abilitato automaticamente. Per informazioni più specifiche, vedere Introduzione alla sicurezza della piattaforma Apple e all'enclave sicuro (apre il sito Web di Apple).

Nei dispositivi Windows usare Intune criteri di protezione degli endpoint che gestiscono BitLocker, incluso TPM e gestire le impostazioni di Windows, incluso l'avvio protetto.

Scadere le password e regolare il riutilizzo delle password precedenti. Nel livello 1 è stato creato un pin o un criterio password sicuro. Se non è già stato fatto, assicurarsi di configurare i PIN e le password per scadere e impostare alcune regole di riutilizzo delle password.

Usare Intune per creare un criterio di catalogo delle impostazioni o un modello di restrizioni del dispositivo che configura queste impostazioni. Per altre informazioni sulle impostazioni della password che è possibile configurare, vedere gli articoli seguenti:
- Android
- iOS/iPadOS
- macOS
- Windows
Nei dispositivi Android usare un criterio di catalogo delle impostazioni o un profilo modello di restrizioni del dispositivo per impostare le regole delle password. Per un elenco delle impostazioni della password e della schermata di blocco che è possibile configurare, vedere:
- Impostazioni Di Android impostazioni del catalogo per dispositivi > completamente gestiti e dedicati Esaminare le impostazioni password del dispositivo e del profilo di lavoro .
- Impostazioni del modello di restrizioni dei dispositivi Android per i dispositivi > di proprietà dell'azienda e di proprietà personale Esaminare le impostazioni password del dispositivo e del profilo di lavoro .
Nei dispositivi iOS/iPadOS usare i criteri di restrizione dei dispositivi e/o il catalogo delle impostazioni per impostare le regole delle password:
- Catalogo> delle impostazioni Cercare Passcode
- Modello di restrizioni del dispositivo > Impostazioni password
Nei dispositivi macOS usare i criteri di restrizione dei dispositivi e/o il catalogo delle impostazioni per impostare le regole delle password:
- Catalogo> delle impostazioni Cercare Passcode
- Modello di restrizioni del dispositivo > Impostazioni password
Nei dispositivi Windows usare i criteri di restrizione dei dispositivi e/o il catalogo delle impostazioni per impostare le regole delle password:
- Catalogo> delle impostazioni Cercare Device lock
- Modello di restrizioni del dispositivo > Impostazioni password

Intune include centinaia di impostazioni in grado di gestire le funzionalità e le impostazioni del dispositivo, come la disabilitazione della fotocamera predefinita, il controllo delle notifiche, l'abilitazione del Bluetooth, il blocco dei giochi e altro ancora.

Usare il catalogo delle impostazioni o i modelli predefiniti per visualizzare e configurare le impostazioni.
- Usare il catalogo delle impostazioni per visualizzare e configurare tutte le impostazioni disponibili. È possibile usare il catalogo delle impostazioni nelle piattaforme seguenti:
  - Android
  - iOS/iPadOS
  - macOS
  - Windows
- I modelli di restrizioni dei dispositivi sono gruppi logici di impostazioni predefinite che è possibile usare per controllare parti diverse dei dispositivi, tra cui sicurezza, hardware, condivisione dei dati e altro ancora.
  
  Usare questi modelli nelle piattaforme seguenti:
  - Android
  - iOS/iPadOS
  - macOS
  - Windows
Se si usano oggetti Criteri di gruppo locali e si vuole sapere se queste stesse impostazioni sono disponibili in Intune, usare Criteri di gruppo analytics. Questa funzionalità analizza gli oggetti Criteri di gruppo e, a seconda dell'analisi, può importarli in un criterio di catalogo delle impostazioni di Intune.

Per altre informazioni, vedere Analizzare gli oggetti Criteri di gruppo locali e importarli in Intune.

Livello 3 - Protezione e configurazione elevate

Questo livello si espande su ciò che è stato configurato nei livelli 1 e 2. Aggiunge funzionalità di sicurezza aggiuntive usate nelle organizzazioni di livello aziendale.

Espandere l'autenticazione senza password per altri servizi usati dalla forza lavoro. Nel livello 1 è stata abilitata la biometria in modo che gli utenti possano accedere ai propri dispositivi con un'impronta digitale o un riconoscimento facciale. A questo livello espandere senza password in altre parti dell'organizzazione.
- Usare i certificati per autenticare le connessioni di posta elettronica, VPN e Wi-Fi. Distribuire i certificati a utenti e dispositivi e quindi usarli per accedere alle risorse dell'organizzazione tramite le connessioni di posta elettronica, VPN e Wi-Fi.
  
  Per altre informazioni sull'uso dei certificati in Intune, vedere:
  - Usare certificati PKCS o SCEP per l'autenticazione
  - Usare le credenziali derivate
- Configurare l'accesso Single Sign-On (SSO) per un'esperienza più semplice quando gli utenti aprono app aziendali, come le app di Microsoft 365. Gli utenti accedono una sola volta e quindi accedono automaticamente a tutte le app che supportano la configurazione SSO.
  
  Per informazioni sull'uso dell'accesso Single Sign-On in Intune e Microsoft Entra ID, vedere:
  - Android
  - iOS/iPadOS
  - macOS
  - Windows
  Usa Libreria di Autenticazione Microsoft (MSAL), che è una funzionalità di Microsoft Entra ID. Consente di abilitare l'accesso SSO tra le applicazioni e funge da broker, in modo da estendere l'accesso SSO all'intero dispositivo.
  - Abilitare l'accesso SSO tra app in Android usando MSAL in Microsoft Entra ID
  Usa il plug-in SSO di Microsoft Enterprise, che è una funzionalità di Microsoft Entra ID. Offre funzionalità single sign-on (SSO) per i dispositivi Apple e usa il framework di estensione dell'app Single Sign-On di Apple.
  - Usare il plug-in Enterprise SSO in Intune e altri MDM
  Usa il plug-in SSO di Microsoft Enterprise, che è una funzionalità di Microsoft Entra ID. Offre funzionalità single sign-on (SSO) per i dispositivi macOS usando l'estensione dell'app SSO predefinita e le funzionalità platform SSO che ottimizzano la configurazione dell'accesso SSO.
  - Configurare l'accesso Single Sign-On della piattaforma in un criterio del catalogo delle impostazioni di Intune
  Microsoft Entra ID Single Sign-On è un metodo di autenticazione che consente agli utenti di accedere usando un set di credenziali a più sistemi software indipendenti. Esistono già molte app in Microsoft Entra ID che è possibile usare con l'accesso SSO.
  - Configurare l'accesso SSO con Microsoft Entra ID
- Usare l'autenticazione a più fattori (MFA). Quando si passa a senza password, L'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza e può aiutare a proteggere l'organizzazione da attacchi di phishing. Usare MFA con le app di autenticazione, ad esempio Microsoft Authenticator, o con una telefonata o un SMS. È anche possibile usare l'autenticazione a più fattori quando gli utenti registrano i dispositivi in Intune.
  
  L'autenticazione a più fattori è una funzionalità di Microsoft Entra ID ed è possibile usarla con gli account Microsoft Entra. Per altre informazioni, vedere:
- Configurare Microsoft Tunnel per i dispositivi Android e iOS/iPadOS registrati. Microsoft Tunnel usa Linux per consentire a questi dispositivi l'accesso alle risorse locali usando l'autenticazione moderna e l'accesso condizionale.
  
  Microsoft Tunnel usa Intune, Microsoft Entra ID e Active Directory Federation Services (AD FS). Per altre informazioni, vedere Microsoft Tunnel per Microsoft Intune.
- Usare Microsoft Tunnel per la gestione di applicazioni mobili (Tunnel per MAM) per estendere le funzionalità del tunnel ai dispositivi Android e iOS/iPad non registrati con Intune. Il tunnel per MAM è disponibile come componente aggiuntivo Intune che richiede una licenza aggiuntiva.
  
  Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.
Usare i criteri laps (Local Administrator Password Solution) per gestire ed eseguire il backup dell'account amministratore locale nei dispositivi.
- macOS
- Windows
È possibile configurare LAPS nei profili di registrazione automatica dei dispositivi macOS nuovi ed esistenti. Viene effettuato il provisioning dei dispositivi con un account amministratore locale con una password di amministratore complessa, crittografata e casuale, archiviata e crittografata da Intune.

Per altre informazioni, vedere macOS LAPS in Intune.

Nei dispositivi Windows l'account amministratore locale predefinito non può essere eliminato e dispone delle autorizzazioni complete per il dispositivo. I criteri LAPS consentono di gestire e proteggere questo account, un passaggio importante per la protezione dei dispositivi dell'organizzazione.

Per altre informazioni, vedere Windows LAPS in Intune.

Usare Gestione privilegi endpoint Microsoft Intune (EPM) per ridurre la superficie di attacco dei dispositivi Windows. EPM consente di fare in modo che gli utenti eseguiti come utenti standard (senza diritti di amministratore) rimangano produttivi determinando quando tali utenti possono eseguire app in un contesto con privilegi elevati.

Le regole di elevazione di EPM possono essere basate su hash di file, regole del certificato e altro ancora. Le regole configurate consentono di garantire che solo le applicazioni previste e attendibili consentite possano essere eseguite con privilegi elevati. Le regole possono:
- Gestire i processi figlio creati da un'app.
- Supportare le richieste degli utenti per elevare un processo gestito.
- Consente l'elevazione automatica dei file che devono essere eseguiti senza interruzioni dell'utente.
Gestione privilegi endpoint è disponibile come componente aggiuntivo Intune che richiede una licenza aggiuntiva. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.
Usare la modalità Criteri comuni Android nei dispositivi Android usati da organizzazioni altamente sensibili, ad esempio enti pubblici.

Per altre informazioni su questa funzionalità, cercare la modalità Criteri comuni all'indirizzo:
- Impostazioni del catalogo delle impostazioni di Android
- Impostazioni del modello di restrizioni dei dispositivi Android
Creare criteri che si applicano al livello firmware:
- Android
- Windows
Questi criteri consentono di gestire gli aggiornamenti del firmware, che possono includere patch software e di sicurezza, aggiornamenti delle funzionalità e altre modifiche al firmware del dispositivo.
- Aggiornamenti del firmware over-the-air (FOTA)
- Aggiornamenti over-the-air di Zebra LifeGuard
Questi criteri consentono di evitare che il malware comunichi con i processi del sistema operativo. È possibile controllare le funzionalità di sicurezza, l'hardware predefinito e le opzioni di avvio nel livello UEFI.
- Usare i profili DFCI (Device Firmware Configuration Interface) nei dispositivi Windows

Configurare chioschi multimediali, dispositivi condivisi e altri dispositivi specializzati:
- Android
- iOS/iPadOS
- macOS
- Windows
- Android Enterprise:
  - Usare e gestire dispositivi Android Enterprise con OEMConfig
  - Impostazioni >del modello di restrizioni dei dispositivi Android Esperienza del dispositivo
- Amministratore del dispositivo Android
  - Usare e gestire i dispositivi Zebra con le estensioni di mobilità Zebra
  - Impostazioni del dispositivo da eseguire come chiosco multimediale
    
    Importante
    
    La gestione dell'amministratore di dispositivi Android è deprecata e non è più disponibile per i dispositivi con accesso a Google Mobile Services (GMS). Se attualmente si usa la gestione da da parte dell'utente, è consigliabile passare a un'altra opzione di gestione Android. La documentazione di supporto e guida rimane disponibile per alcuni dispositivi Android 15 e versioni precedenti senza GMS. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.
La modalità app singola autonoma (ASAM) blocca il dispositivo in modo che esegua solo un'app specifica. L'app deve supportare ASAM e solo l'app può uscire da ASAM. È progettato per dispositivi dedicati in cui gli utenti non possono uscire dall'app. Comunemente usato per esami, stazioni di check-in e terminali sanitari o industriali.
- Catalogo> delle impostazioni Restrizioni > Modalità app singola autonoma (ASAM)
- Modello di restrizioni del dispositivo> Modalità app singola autonoma (ASAM)
Blocco app blocca il dispositivo nell'esecuzione di un'app. È possibile scegliere qualsiasi app e gli amministratori possono uscire dalla modalità blocco app. Comunemente usato per chioschi e segnaletica.
- Catalogo> delle impostazioni Blocco app per la gestione > delle app
- Modello di restrizioni del dispositivo> Chiosco
Gli iPad condivisi sono progettati per l'uso da più persone, più comunemente in ambienti di istruzione come classi o lab. Ogni utente accede allo stesso iPad fisico e ottiene i propri dati e impostazioni.
- Configurare le impostazioni per iPad condivisi
La modalità app singola autonoma (ASAM) blocca il dispositivo in modo che esegua solo un'app specifica. L'app deve supportare ASAM e solo l'app può uscire da ASAM. È progettato per dispositivi dedicati in cui gli utenti non possono uscire dall'app. Comunemente usato per esami, stazioni di check-in e terminali sanitari o industriali.
- Catalogo> delle impostazioni Gestione > delle app Modalità singola app autonoma
- Windows
- Windows Holographic for Business
  - Impostazioni del dispositivo da eseguire come chiosco multimediale
  - Impostazioni del dispositivo da eseguire come chiosco multimediale dedicato

Distribuire script della shell:
- macOS
- Windows
Usare gli script della shell per gestire impostazioni e funzionalità non disponibili in Intune in modo nativo. È possibile aggiungere uno script, impostare la frequenza dello script e altro ancora.
- Usare script della shell
Usare Windows PowerShell script quando è necessaria la personalizzazione, l'automazione o la correzione occasionale nei dispositivi Windows.
- Usare script Windows PowerShell

Seguire i criteri di base minimi consigliati

Questo articolo fa parte di una serie in cinque passaggi che descrive come distribuire Microsoft Intune. La serie include gli articoli seguenti, in ordine:

Configurare Microsoft Intune
Aggiungere, configurare e proteggere le app
Pianificare i criteri di conformità
🡺 Configurare le funzionalità del dispositivo (questo articolo)
Registrare i dispositivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-18

Condividi tramite

Passaggio 4: Configurare le funzionalità e le impostazioni dei dispositivi per proteggere i dispositivi e accedere alle risorse

Livello 1- Creare la baseline di sicurezza

Antivirus e analisi

Rilevamento e risposta

Firewall

Criteri password

Aggiornamenti software

Livello 1: accedere alla posta elettronica dell'organizzazione, connettersi a VPN o Wi-Fi

Posta elettronica

Introduzione ai profili di posta elettronica

VPN

Introduzione ai profili VPN

Wi-Fi

Introduzione ai profili Wi-Fi

Livello 2 - Protezione e configurazione migliorate

Livello 3 - Protezione e configurazione elevate

Seguire i criteri di base minimi consigliati

Commenti e suggerimenti

Risorse aggiuntive