Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Intune si basa su tre pilastri: le identità che accedono, i dispositivi da cui accedono e le app usate per svolgere il lavoro. Intune orchestra questi pilastri su Microsoft Entra ID e riporta il postura di dispositivi e app a Microsoft Entra l'accesso condizionale, che blocca l'accesso alle risorse aziendali.
Per un'introduzione a ciò che Intune fa e perché, vedere Che cos'è Microsoft Intune?. Per i componenti, le integrazioni e la visualizzazione della distribuzione, vedere architettura Microsoft Intune.
I tre pilastri
| Pilastro | Cosa fa Intune | Su cosa si basa Intune |
|---|---|---|
| Identità | È destinato a utenti e gruppi, definisce l'accesso amministratore tramite il controllo degli accessi in base al ruolo e crea affinità utente durante la registrazione. | Microsoft Entra ID per account, gruppi, autenticazione e accesso condizionale. |
| Dispositivi | Registra, configura, protegge e ritira l'hardware che esegue il lavoro dell'organizzazione. Segnala lo stato di conformità per l'accesso condizionale. | Programmi di registrazione della piattaforma (Windows Autopilot, Apple Automated Device Enrollment, Android Enterprise). |
| App | Distribuisce, configura, protegge e aggiorna le app necessarie agli utenti nei dispositivi registrati e personali. | App store e cataloghi dei fornitori (Microsoft Store, App Store, Google Play gestito, Apple Business). |
Il resto di questo articolo illustra ogni pilastro e termina con un esempio elaborato che traccia un single sign-in tra tutti e tre.
Identità
Intune non archivia le identità utente. Usa Microsoft Entra ID per account, gruppi, autenticazione e accesso condizionale. All'interno di Intune, le identità emergno in tre posizioni.
Affinità utente durante la registrazione
Quando un utente accede a un dispositivo per la prima volta, il dispositivo viene associato a tale utente. Questa associazione è denominata affinità utente. I criteri assegnati all'utente li seguono in tutti i dispositivi associati e l'utente può accedere alla posta elettronica, ai file e alle app da uno di questi dispositivi.
Quando nessun utente è associato a un dispositivo, il dispositivo è senza utente. Questo modello è comune per chioschi multimediali dedicati a una singola attività e per i dispositivi condivisi usati da più persone.
Decidere lo scopo previsto del dispositivo prima della registrazione in modo da poter scegliere il metodo di registrazione corretto. Per indicazioni specifiche della piattaforma, vedere Registrazione del dispositivo in Microsoft Intune.
Accesso in base al ruolo per gli amministratori
Intune usa il controllo degli accessi in base al ruolo per determinare cosa può vedere e fare ogni amministratore nell'interfaccia di amministrazione. Ruoli predefiniti, ad esempio Gestione applicazioni , Criteri e Autorizzazioni di ambito di Profile Manager per attività specifiche di gestione degli endpoint. Poiché Intune usa Microsoft Entra ID, sono disponibili anche i ruoli di Microsoft Entra predefiniti( incluso Intune administrator).
Associare il controllo degli accessi in base al ruolo con i tag di ambito per limitare ciò che un amministratore può vedere, non solo quello che può fare. Ad esempio, assegnare a un help desk a livello di area un ruolo che consenta le cancellazioni dei dispositivi, ma contrassegnarle in modo che possano visualizzare e cancellare solo i dispositivi nella propria area.
Per informazioni dettagliate, vedere Controllo degli accessi in base al ruolo con Microsoft Intune e Usare i tag di ambito per filtrare i criteri.
Assegnazione e criteri di destinazione
Intune è basato sul cloud e indirizza i criteri direttamente agli utenti o ai gruppi. Non esiste una gerarchia di contenitori come le unità organizzative. Creare un criterio, quindi assegnarlo a uno o più gruppi di Microsoft Entra.
È possibile impostare come destinazione un criterio per:
- Gruppi di utenti, quando l'impostazione deve seguire l'utente nei propri dispositivi. Ad esempio, un profilo di posta elettronica o una distribuzione di app.
- Gruppi di dispositivi, quando l'impostazione deve essere applicata indipendentemente da chi ha eseguito l'accesso, ad esempio una configurazione del chiosco multimediale o un criterio front-line-worker.
- Gruppi virtuali predefiniti (Tutti gli utenti, Tutti i dispositivi) quando un'impostazione applica l'intero tenant.
Per informazioni dettagliate, vedere Aggiungere gruppi per organizzare utenti e dispositivi e Assegnare profili di dispositivo in Microsoft Intune.
Dispositivi
Intune gestisce e protegge desktop, portatili, tablet e telefoni su cui l'organizzazione si basa su Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS e Windows. Per la matrice completa supportata del sistema operativo, vedere Sistemi operativi e browser supportati.
Ciclo di vita del dispositivo
Ogni dispositivo gestito passa attraverso quattro fasi, tutte gestite nella stessa interfaccia di amministrazione.
- Registra: portare i dispositivi sotto gestione. L'hardware di proprietà dell'organizzazione usa in genere la registrazione automatizzata tramite Windows Autopilot, Apple Automated Device Enrollment o Android Enterprise. I dispositivi personali vengono registrati tramite l'app Portale aziendale.
- Configura: applica le impostazioni per Wi-Fi, VPN, certificati, posta elettronica, funzionalità del dispositivo e opzioni specifiche della piattaforma. Il catalogo delle impostazioni espone migliaia di impostazioni della piattaforma.
- Protezione: applicare regole di conformità, crittografare i dischi, distribuire le baseline di sicurezza e integrarsi con la protezione dalle minacce per dispositivi mobili. Feed di stato di conformità Microsoft Entra l'accesso condizionale.
- Ritiro: quando un dispositivo viene perso, sostituito o non più necessario, le azioni remote consentono di cancellare i dati dell'organizzazione, ripristinare le impostazioni predefinite del dispositivo o annullarne la registrazione.
MDM e MAM
Intune supporta due modalità di gestione. È possibile usarli in modo indipendente o insieme.
- La gestione dei dispositivi mobili (MDM) porta l'intero dispositivo sotto Intune controllo: impostazioni, app e dati. MDM è tipico dell'hardware di proprietà dell'organizzazione.
- Gestione delle applicazioni mobili (MAM) gestisce solo le app di lavoro e i dati al loro interno. L'utente mantiene il controllo del resto del dispositivo. MAM è tipico per scenari BYOD (Bring Your Own Device).
È possibile combinare i due sullo stesso dispositivo. Ad esempio, un telefono aziendale registrato (MDM) può anche avere criteri di protezione delle app (MAM) nelle app che gestiscono dati particolarmente sensibili.
Per informazioni dettagliate, vedere Panoramica della registrazione dei dispositivi in Microsoft Intune e dei criteri di Protezione di app.
Dispositivi personali e di proprietà dell'organizzazione
La maggior parte delle organizzazioni gestisce due popolazioni di dispositivi: hardware di cui sono proprietari e dispositivi personali che i dipendenti usano per il lavoro. Intune supporta entrambi con controlli diversi.
- I dispositivi di proprietà dell'organizzazione devono essere registrati in MDM. Non fare affidamento sugli utenti per gestire questi dispositivi da soli.
- I dispositivi personali possono essere registrati in MDM quando gli utenti vogliono l'accesso completo alle risorse dell'organizzazione oppure possono usare solo criteri MAM che proteggono i dati all'interno di Outlook, Teams e altre app gestite.
Gruppi di dispositivi
I gruppi di dispositivi sono Microsoft Entra gruppi che contengono solo dispositivi. Sono utili quando un'impostazione deve essere applicata indipendentemente da chi ha eseguito l'accesso: chioschi multimediali, PC condivisi, dispositivi front-line-worker o hardware specializzato.
L'appartenenza può essere statica o dinamica:
- I gruppi statici richiedono l'aggiunta e la rimozione manuali dei dispositivi. Sono utili per piccoli set stabili di dispositivi.
- I gruppi dinamici aggiungono e rimuovino automaticamente i dispositivi in base ai criteri definiti. Sono utili per grandi e mutevoli flotte di dispositivi
App
Intune copre l'intero ciclo di vita dell'app (distribuzione, configurazione, protezione, aggiornamento) in ogni piattaforma supportata.
Ciclo di vita dell’app
- Distribuire app da archivi pubblici, cataloghi dei fornitori, pacchetti line-of-business personalizzati o voci predefinite nell'interfaccia di amministrazione.
- Configurare le app prima che gli utenti le aprano, usando i criteri di configurazione delle app. Impostare la lingua dell'app, aggiungere il logo dell'organizzazione, bloccare gli account personali e altro ancora.
- Proteggere i dati all'interno delle app usando i criteri di protezione delle app. Richiedere un PIN, bloccare copia-incolla nelle app personali, impedire i backup ai servizi cloud personali, crittografare i dati inattivi e cancellare selettivamente i dati dell'organizzazione.
- Aggiornare automaticamente le app man mano che diventano disponibili nuove versioni. Per le app di Microsoft 365, Microsoft Edge e Microsoft Teams in Windows, è possibile passare gli aggiornamenti a Windows Autopatch.
Protezione di app senza registrazione (MAM-WE)
Protezione di app criteri non richiedono la registrazione MDM. Funzionano su tre popolazioni di dispositivi:
- Dispositivi personali non registrati in MDM (BYOD).
- Dispositivi registrati in un altro provider MDM: Intune possono comunque proteggere i dati all'interno delle app gestite.
- Intune dispositivi registrati, per le app che necessitano di un livello aggiuntivo oltre MDM.
Per informazioni dettagliate, vedere Panoramica dei criteri di Protezione di app.
App per piattaforma
Intune supporta app dello store pubblico, app line-of-business (LOB), app Web e tipi di app specifici della piattaforma in Android, iOS, iPadOS, macOS e Windows. Per informazioni dettagliate sui tipi di app per piattaforma e sulla loro provenienza, vedere Aggiungere e aggiornare le app in Microsoft Intune.
Come si integrano i pilastri
Una tipica decisione di accesso riguarda tutti e tre i pilastri:
- Un utente accede a un dispositivo gestito e Microsoft Entra ID autentica l'utente.
- Il dispositivo esegue il check-in con Intune e ne segnala lo stato di conformità e l'inventario.
- Intune inoltra lo stato di conformità a Microsoft Entra ID.
- L'utente apre un'app aziendale. Microsoft Entra l'accesso condizionale valuta la richiesta usando l'utente, lo stato di conformità del dispositivo, l'app, la posizione e i segnali da Endpoint Security in Microsoft Defender.
- L'accesso condizionale consente o blocca l'accesso. Se l'accesso è consentito e l'app è un'app gestita, i criteri di protezione delle app applicano controlli in-app (PIN, restrizioni copia-incolla, cancellazione selettiva).
Ogni decisione di accesso raggruppa tutti e tre i pilastri: l'identità dell'utente, la conformità del dispositivo e l'app che l'utente sta aprendo.
Contenuto correlato
- Identità: Microsoft Entra ID concetti fondamentali, Usare l'accesso condizionale con Microsoft Intune, controllo degli accessi in base al ruolo con Microsoft Intune
- Dispositivi: registrazione dei dispositivi in Microsoft Intune, Usare i criteri di conformità per impostare le regole per i dispositivi gestiti, Gestire la sicurezza degli endpoint in Microsoft Intune
- App: aggiungere e aggiornare le app in Microsoft Intune, panoramica dei criteri di configurazione delle app Protezione di app
- Architettura: architettura Microsoft Intune