Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le organizzazioni devono preoccuparsi molto di quando si distribuisce Microsoft 365 per l'organizzazione. I criteri di accesso condizionale, protezione delle app e conformità dei dispositivi a cui si fa riferimento in questo articolo sono basati sulle raccomandazioni di Microsoft e sui tre principi guida di Zero Trust:
- Verificare esplicitamente
- Usare privilegi minimi
- Presunzione di violazione
Le organizzazioni possono adottare questi criteri così come sono o personalizzarli in base alle proprie esigenze. Se possibile, testare i criteri in un ambiente non di produzione prima di implementarli agli utenti di produzione. Il test è fondamentale per identificare e comunicare eventuali effetti possibili agli utenti.
Questi criteri vengono raggruppati in tre livelli di protezione in base al percorso di distribuzione:
- Punto di partenza: controlli di base che introducono l'autenticazione a più fattori, le modifiche protette delle password e i criteri di protezione delle app di Intune per i dispositivi mobili.
- Enterprise: controlli avanzati che introducono la conformità dei dispositivi.
- Sicurezza specializzata: criteri che richiedono l'autenticazione a più fattori ogni volta per set di dati o utenti specifici.
Il diagramma seguente illustra i livelli di protezione a cui si applicano i criteri e i tipi di dispositivi a cui si applicano i criteri:
È possibile scaricare questo diagramma come file PDF o come file di Visio modificabile.
Suggerimento
È consigliabile richiedere l'autenticazione a più fattori per gli utenti prima di registrare i dispositivi in Intune per assicurarsi che siano in possesso del dispositivo. L'autenticazione a più fattori è attivata per impostazione predefinita a causa delle impostazioni predefinite per la sicurezza oppure è possibile usare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori per tutti gli utenti.
I dispositivi devono essere registrati in Intune prima di poter applicare i criteri di conformità dei dispositivi.
Prerequisiti
Autorizzazioni
Sono necessarie le autorizzazioni seguenti in Microsoft Entra:
- Gestire i criteri di accesso condizionale: ruolo Amministratore accesso condizionale .
- Gestire i criteri di protezione delle app e conformità dei dispositivi: ruolo di amministratore di Intune .
- Visualizza solo le configurazioni: il ruolo Lettore di sicurezza.
Per altre informazioni sui ruoli e sulle autorizzazioni in Microsoft Entra, vedere Panoramica del controllo degli accessi in base al ruolo in Microsoft Entra ID.
Registrazione utente
Assicurarsi che gli utenti si registrino per l'autenticazione a più fattori prima di richiederla. Se le licenze includono Microsoft Entra ID P2, è possibile usare i criteri di registrazione MFA all'interno di Microsoft Entra ID Protection per richiedere agli utenti di registrarsi. Sono disponibili modelli di comunicazione che è possibile scaricare e personalizzare per promuovere la registrazione degli utenti.
Gruppi
Tutti i gruppi di Microsoft Entra usati come parte di questi consigli devono essere Gruppi di Microsoft 365, non gruppi di sicurezza. Questo requisito è importante per la distribuzione delle etichette di riservatezza per proteggere i documenti in Microsoft Teams e SharePoint. Per altre informazioni, vedere Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID.
Assegnazione delle politiche
È possibile assegnare criteri di accesso condizionale a utenti, gruppi e ruoli di amministratore. È possibile assegnare i criteri di protezione delle app e di conformità dei dispositivi di Intune solo ai gruppi. Prima di configurare i criteri, identificare chi deve essere incluso ed escluso. In genere, i criteri del livello di protezione dei punti di partenza si applicano a tutti gli utenti dell'organizzazione.
Nella tabella seguente vengono descritte le assegnazioni di gruppo di esempio e le esclusioni per L'autenticazione a più fattori dopo che gli utenti completano la registrazione dell'utente:
| Criteri di accesso condizionale di Microsoft Entra | Includi | Escludi | |
|---|---|---|---|
| Punto di partenza | Richiedere l'autenticazione a più fattori per il rischio di accesso medio o alto | Tutti gli utenti |
|
| Impresa | Richiedere l'autenticazione a più fattori per rischio di accesso basso, medio o elevato | Gruppo del personale esecutivo |
|
| Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Gruppo Top Secret Project Buckeye |
|
Suggerimento
Prestare attenzione quando si applicano livelli di protezione più elevati a utenti e gruppi. L'obiettivo della sicurezza non è quello di aggiungere attriti non necessari all'esperienza utente. Ad esempio, i membri del gruppo Top Secret Project Buckeye devono usare l'autenticazione a più fattori ogni volta che accedono, anche se non lavorano sul contenuto specializzato per il progetto. Un eccessivo attrito di sicurezza può portare alla fatica. Abilitare metodi di autenticazione resistenti al phishing (ad esempio, chiavi di sicurezza di Windows Hello for Business o FIDO2) per ridurre l'attrito causato dai controlli di sicurezza.
Account di accesso di emergenza
Tutte le organizzazioni devono avere almeno un account di accesso di emergenza (e possibilmente di più, a seconda delle dimensioni dell'organizzazione) monitorato per l'uso e l'esclusione dai criteri. Questi account vengono usati solo nel caso in cui tutti gli altri account amministratore e metodi di autenticazione diventino bloccati o altrimenti non disponibili. Per altre informazioni, vedere Gestire gli account di accesso di emergenza in Microsoft Entra ID.
Esclusioni
Una procedura consigliata consiste nel creare un gruppo Entra di Microsoft per le esclusioni di accesso condizionale. Questo gruppo consente di fornire l'accesso a un utente durante la risoluzione dei problemi di accesso.
Avviso
È consigliabile un gruppo di esclusione solo come soluzione temporanea. Assicurarsi di monitorare continuamente questo gruppo per individuare le modifiche e verificare che il gruppo venga usato solo per lo scopo previsto.
Seguire questa procedura per aggiungere un gruppo di esclusione a qualsiasi criterio esistente. Come descritto in precedenza, sono necessarie autorizzazioni di amministratore dell'accesso condizionale .
Nell'interfaccia di amministrazione di Microsoft Entra in https://entra.microsoft.com, passare a Protezione>Accesso condizionale>Criteri. In alternativa, per passare direttamente all'accesso condizionale | Pagina Criteri , usare https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.
Nella pagina Accesso Condizionale | Criteri, selezionare un criterio esistente facendo clic sul nome.
Nella pagina dei dettagli dei criteri che si apre, selezionare il collegamento a Utenti nella sezione Assegnazioni.
Nel controllo visualizzato selezionare la scheda Escludi e quindi utenti e gruppi.
Nel riquadro a comparsa Seleziona utenti e gruppi esclusi che si apre trovare e selezionare le identità seguenti:
- Utenti: account di accesso di emergenza.
- Gruppi: gruppo di esclusione dell'accesso condizionale
Al termine del menu a comparsa Seleziona utenti e gruppi esclusi, selezionare Seleziona
Distribuzione
È consigliabile implementare i criteri del punto di partenza nell'ordine elencato nella tabella seguente. È possibile implementare i criteri di autenticazione a più fattori per i livelli di protezione aziendali e specializzati in qualsiasi momento.
Punto di partenza:
Politica Ulteriori informazioni Licenze Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto Richiedere l'autenticazione a più fattori solo quando il rischio viene rilevato da Microsoft Entra ID Protection. - Microsoft 365 E5
- Microsoft 365 E3 con il componente aggiuntivo E5 Security
- Microsoft 365 con EMS E5
- Licenze Microsoft Entra ID P2 individuali
Bloccare i client che non supportano l'autenticazione moderna I client che non usano l'autenticazione moderna possono ignorare i criteri di accesso condizionale, quindi è importante bloccarli. Microsoft 365 E3 o E5 Gli utenti ad alto rischio devono modificare la password Forzare gli utenti a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. - Microsoft 365 E5
- Microsoft 365 E3 con il componente aggiuntivo E5 Security
- Microsoft 365 con EMS E5
- Licenze Microsoft Entra ID P2 individuali
Applicare i criteri di protezione delle applicazioni (APP) per la protezione dei dati Un'app di Intune per ogni piattaforma di dispositivi mobili (Windows, iOS/iPadOS e Android). Microsoft 365 E3 o E5 Richiedere app approvate e criteri di protezione delle app Applica i criteri di protezione delle app per i dispositivi mobili usando iOS, iPadOS o Android. Microsoft 365 E3 o E5 Organizzazione:
Politica Ulteriori informazioni Licenze Richiedere l'autenticazione a più fattori quando il rischio di accesso è Basso, Medio o Alto Richiedere l'autenticazione a più fattori solo quando il rischio viene rilevato da Microsoft Entra ID Protection. - Microsoft 365 E5
- Microsoft 365 E3 con il componente aggiuntivo E5 Security
- Microsoft 365 con EMS E5
- Licenze Microsoft Entra ID P2 individuali
Definire i criteri di conformità dei dispositivi Impostare i requisiti minimi di configurazione. Un criterio per ogni piattaforma. Microsoft 365 E3 o E5 Richiedere PC e dispositivi mobili conformi Applica i requisiti di configurazione per i dispositivi che accedono all'organizzazione Microsoft 365 E3 o E5 Sicurezza specializzata:
Politica Ulteriori informazioni Licenze Richiedi MFA sempre Gli utenti devono eseguire l'autenticazione a più fattori ogni volta che accedono ai servizi nell'organizzazione. Microsoft 365 E3 o E5
criteri di Protezione di app
I criteri di protezione delle app specificano le app consentite e le azioni che possono eseguire con i dati dell'organizzazione. Anche se sono disponibili molti criteri tra cui scegliere, l'elenco seguente descrive le baseline consigliate.
Suggerimento
Anche se vengono forniti tre modelli, la maggior parte delle organizzazioni deve scegliere il livello 2 (mappa al punto di partenza o alla sicurezza a livello aziendale ) e il livello 3 (mappa alla sicurezza specializzata ).
Protezione dei dati di base di livello 1: è consigliabile usare questa configurazione come protezione dei dati minima per i dispositivi aziendali.
Protezione dei dati avanzata di livello 2: è consigliabile usare questa configurazione per i dispositivi che accedono a dati sensibili o informazioni riservate. Questa configurazione si applica alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli potrebbero influire sull'esperienza utente.
Protezione dei dati di livello 3 enterprise: è consigliabile usare questa configurazione negli scenari seguenti:
- Organizzazioni con team di sicurezza più grandi o più sofisticati.
- Dispositivi usati da utenti o gruppi specifici a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata provocherebbe una notevole perdita per l'organizzazione
Le organizzazioni probabilmente mirate da utenti malintenzionati ben finanziati e sofisticati dovrebbero aspirare a questa configurazione.
Creare un nuovo criterio di protezione delle app per ogni piattaforma del dispositivo in Microsoft Intune (iOS/iPadOS e Android) usando le impostazioni del framework di protezione dei dati usando uno dei metodi seguenti:
- Creare manualmente i criteri seguendo la procedura descritta in Come creare e distribuire criteri di protezione delle app con Microsoft Intune.
- Importare i modelli JSON di esempio del framework di configurazione dei criteri di protezione delle app di Intune utilizzando gli script PowerShell di Intune.
Criteri di conformità del dispositivo
I criteri di conformità dei dispositivi di Intune definiscono i requisiti per la conformità dei dispositivi. È necessario creare un criterio per ogni PC, telefono o piattaforma tablet. Le sezioni seguenti descrivono le raccomandazioni per le piattaforme seguenti:
Per creare criteri di conformità dei dispositivi, seguire questa procedura:
- Nell'interfaccia di amministrazione di Microsoft Intune in https://endpoint.microsoft.com, vai alla scheda Gestisci dispositivi>Conformità>Politiche. In alternativa, per passare direttamente alla scheda Politiche della pagina Dispositivi | Conformità, usa https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
- Nella scheda Criteri dei dispositivi | Pagina Conformità , selezionare Crea criterio.
Per indicazioni dettagliate, vedere Creare criteri di conformità in Microsoft Intune.
Impostazioni di registrazione e conformità per iOS/iPadOS
iOS/iPadOS supporta diversi scenari di registrazione, due dei quali sono coperti da questo framework:
- Registrazione del dispositivo per i dispositivi di proprietà personale: dispositivi di proprietà personale (noti anche come bring your own device o BYOD) usati anche per il lavoro.
- Registrazione automatica dei dispositivi per i dispositivi di proprietà dell'azienda: i dispositivi di proprietà dell'organizzazione associati a un singolo utente e vengono usati esclusivamente per il lavoro.
Suggerimento
Come descritto in precedenza, il livello 2 esegue il mapping al punto di partenza o alla sicurezza a livello aziendale e il livello 3 esegue il mapping alla sicurezza specializzata . Per altre informazioni, vedere Configurazioni di identità Zero Trust e accesso ai dispositivi.
Impostazioni di conformità per i dispositivi registrati personalmente
- Sicurezza di base personale (livello 1): è consigliabile usare questa configurazione come sicurezza minima per i dispositivi personali che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio certificati non attendibili.
- Sicurezza avanzata personale (livello 2): è consigliabile configurare questa configurazione per i dispositivi che accedono a dati sensibili o informazioni riservate. Questa configurazione abilita i controlli di condivisione dei dati. Questa configurazione si applica alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- Sicurezza elevata personale (livello 3): è consigliabile configurare questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata provocherebbe una notevole perdita per l'organizzazione. Questa configurazione consente criteri password più sicuri, disabilita determinate funzioni del dispositivo e applica restrizioni aggiuntive per il trasferimento dei dati.
Impostazioni di conformità per la registrazione automatica dei dispositivi
- Sicurezza di base con supervisione (livello 1): è consigliabile usare questa configurazione come sicurezza minima per i dispositivi aziendali che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio certificati non attendibili.
- Sicurezza avanzata con supervisione (livello 2): è consigliabile configurare questa configurazione per i dispositivi che accedono a dati sensibili o informazioni riservate. Questa configurazione abilita i controlli di condivisione dei dati e blocca l'accesso ai dispositivi USB. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
- Sicurezza elevata con supervisione (livello 3): è consigliabile usare questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata provocherebbe una notevole perdita per l'organizzazione. Questa configurazione consente criteri password più sicuri, disabilita determinate funzioni del dispositivo, applica restrizioni aggiuntive per il trasferimento dei dati e richiede l'installazione delle app tramite il programma volume purchase di Apple.
Impostazioni di registrazione e conformità per Android
Android Enterprise supporta diversi scenari di registrazione, due dei quali sono coperti da questo framework:
- Profilo di lavoro Android Enterprise: dispositivi di proprietà personale (noti anche come bring your own device o BYOD) usati anche per il lavoro. I criteri controllati dal reparto IT assicurano che i dati di lavoro non possano essere trasferiti nel profilo personale.
- Dispositivi Android Enterprise completamente gestiti: i dispositivi di proprietà dell'organizzazione associati a un singolo utente e vengono usati esclusivamente per il lavoro.
Il framework di configurazione della sicurezza android Enterprise è organizzato in diversi scenari di configurazione distinti che forniscono indicazioni per il profilo di lavoro e scenari completamente gestiti.
Suggerimento
Come descritto in precedenza, il livello 2 esegue il mapping al punto di partenza o alla sicurezza a livello aziendale e il livello 3 esegue il mapping alla sicurezza specializzata . Per altre informazioni, vedere Configurazioni di identità Zero Trust e accesso ai dispositivi.
Impostazioni di conformità per i dispositivi con profilo di lavoro Android Enterprise
- Non esiste alcuna offerta di sicurezza di base (livello 1) per i dispositivi con profilo di lavoro di proprietà personale. Le impostazioni disponibili non giustificano una differenza tra il livello 1 e il livello 2.
- Sicurezza avanzata del profilo di lavoro (livello 2): è consigliabile usare questa configurazione come sicurezza minima per i dispositivi personali che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, separa i dati di lavoro e personali e convalida l'attestazione del dispositivo Android.
- Sicurezza elevata del profilo di lavoro (livello 3): è consigliabile configurare questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata provocherebbe una notevole perdita per l'organizzazione. Questa configurazione introduce mobile threat defense o Microsoft Defender per endpoint, imposta la versione minima di Android, abilita criteri password più efficaci e separa ulteriormente i dati personali e di lavoro.
Impostazioni di conformità per i dispositivi Android Enterprise completamente gestiti
- Sicurezza di base completamente gestita (livello 1): è consigliabile usare questa configurazione come sicurezza minima per un dispositivo aziendale. Questa configurazione si applica alla maggior parte degli utenti mobili che lavorano o studiano. Questa configurazione introduce i requisiti delle password, imposta la versione minima di Android e abilita restrizioni specifiche del dispositivo.
- Sicurezza avanzata completamente gestita (livello 2): è consigliabile configurare questa configurazione per i dispositivi che accedono a dati sensibili o informazioni riservate. Questa configurazione abilita criteri password più efficaci e disabilita le funzionalità utente/account.
- Sicurezza elevata completamente gestita (livello 3): è consigliabile usare questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata provocherebbe una notevole perdita per l'organizzazione. Questa configurazione aumenta la versione minima di Android, introduce mobile threat defense o Microsoft Defender per endpoint e applica restrizioni aggiuntive per i dispositivi.
Impostazioni di conformità consigliate per Windows 10 e versioni successive
Configurare le impostazioni seguenti come descritto in Impostazioni di conformità del dispositivo per Windows 10/11 in Intune. Queste impostazioni sono allineate ai principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi.
Salute del dispositivo: Regole di valutazione del Servizio di Attestazione dell'Integrità di Windows: /intune/intune-service/
Proprietà valore Richiedi BitLocker Richiedi Richiedere l'abilitazione dell'avvio protetto nel dispositivo Richiedi Richiedi integrità del codice Richiedi Proprietà > del dispositivo Versione del sistema operativo: specificare i valori appropriati per le versioni del sistema operativo in base ai criteri IT e di sicurezza.
Proprietà valore Versione minima del sistema operativo Versione massima del sistema operativo Sistema operativo minimo necessario per i dispositivi mobili Numero massimo di sistemi operativi necessari per i dispositivi mobili Compilazioni valide del sistema operativo Conformità di Configuration Manager:
Proprietà valore Richiedere la conformità del dispositivo da Configuration Manager Selezionare Obbligatorio in ambienti co-gestiti con Configuration Manager. In caso contrario, selezionare Non configurato. Sicurezza del sistema:
Proprietà valore Parola d’ordine Richiedi una password per sbloccare i dispositivi mobili Richiedi Password semplici Blocco Tipo di password Impostazione predefinita del dispositivo Lunghezza minima della password 6 Inattività massima in minuti prima che venga richiesta una password 15 minuti Scadenza password (giorni) 41 Numero di password precedenti per impedire il riutilizzo 5 Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic) Richiedi crittografia Richiedere la crittografia dell'archiviazione dei dati nel dispositivo Richiedi Firewall Firewall Richiedi Antivirus Antivirus Richiedi Antispyware Antispyware Richiedi Defender Microsoft Defender antimalware Richiedi Versione minima di Microsoft Defender antimalware È consigliabile usare un valore non superiore a cinque versioni rispetto alla versione più recente. Firma antimalware di Microsoft Defender aggiornata Require (Richiedi) Protezione in tempo reale Richiedi Microsoft Defender per endpoint:
Proprietà valore Richiedere che il dispositivo sia in corrispondenza o al di sotto del punteggio di rischio del computer Medio
Criteri di accesso condizionale
Dopo aver creato criteri di protezione delle app e criteri di conformità dei dispositivi in Intune, è possibile abilitare l'imposizione con i criteri di accesso condizionale.
Richiedere l'autenticazione a più fattori in base al rischio di accesso
Seguire le indicazioni in: Richiedere l'autenticazione a più fattori in base al rischio di accesso elevato per creare un criterio che richiede l'autenticazione a più fattori basato sul rischio di accesso.
Quando si configurano i criteri, usare i livelli di rischio seguenti:
| Livello di protezione | Livelli di rischio |
|---|---|
| Punto di partenza | Medio e alto |
| Enterprise | Bassa, Media e Alta |
Bloccare i client che non supportano l'autenticazione a più fattori
Seguire le indicazioni in: Bloccare l'autenticazione legacy con l'accesso condizionale.
Gli utenti ad alto rischio devono modificare la password
Seguire le indicazioni in: Richiedere una modifica sicura della password per il rischio utente elevato per richiedere agli utenti con credenziali compromesse di modificare la password.
Usa questo criterio insieme alla protezione password di Microsoft Entra, che rileva e blocca le password vulnerabili note, le loro varianti e termini specifici nella tua organizzazione. L'uso della protezione password di Microsoft Entra garantisce che le password modificate siano più avanzate.
Richiedere app approvate o criteri di protezione delle app
È necessario creare criteri di accesso condizionale per applicare i criteri di protezione delle app creati in Intune. L'applicazione dei criteri di protezione delle app richiede criteri di accesso condizionale e criteri di protezione delle app corrispondenti.
Per creare una politica di accesso condizionale che richieda app approvate o una protezione delle app, seguire i passaggi descritti in Richiedi app client approvate o criteri di protezione delle app. Questo criterio consente solo agli account all'interno delle app protette dai criteri di protezione delle app di accedere agli endpoint di Microsoft 365.
Il blocco dell'autenticazione legacy per altre app nei dispositivi iOS/iPadOS e Android garantisce che questi dispositivi non possano ignorare i criteri di accesso condizionale. Seguendo le indicazioni contenute in questo articolo, si stanno già bloccando i client che non supportano l'autenticazione moderna.
Richiedere PC e dispositivi mobili conformi
Attenzione
Verificare che il proprio dispositivo sia conforme prima di abilitare questo criterio. Altrimenti, potresti essere bloccato fuori e dover accedere a un account di emergenza per ripristinare l'accesso.
Consentire l'accesso alle risorse solo dopo che il dispositivo è determinato come conforme ai criteri di conformità di Intune. Per altre informazioni, vedere Richiedere la conformità del dispositivo con l'accesso condizionale.
È possibile registrare nuovi dispositivi in Intune, anche se si seleziona Richiedi che il dispositivo sia contrassegnato come conforme per Tutti gli utenti e Tutte le app cloud nei criteri. Richiedere che il dispositivo sia contrassegnato come conforme non blocchi la registrazione di Intune o l'accesso all'app Portale aziendale Web di Microsoft Intune.
Attivazione della sottoscrizione
Se l'organizzazione usa l'attivazione della sottoscrizione di Windows per consentire agli utenti di eseguire "passaggi" da una versione di Windows a un'altra, è necessario escludere le API del servizio di archiviazione universale e l'applicazione Web (AppID: 45a30b1-b1ec-4cc1-9161-9f03992aa49f) dalla conformità del dispositivo.
Richiedere sempre l'autenticazione a più fattori
Richiedere l'autenticazione a più fattori per tutti gli utenti seguendo le indicazioni riportate in questo articolo: Richiedere l'autenticazione a più fattori per tutti gli utenti.
Passaggi successivi
Informazioni sulle raccomandazioni sulle politiche per l'accesso degli ospiti