Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un componente di base della sicurezza a livello aziendale include la gestione e la protezione dei dispositivi. Che tu stia costruendo un'architettura di sicurezza Zero Trust, rafforzando il tuo ambiente contro il ransomware o creando protezioni per supportare chi lavora da remoto, la gestione dei dispositivi fa parte della strategia. Sebbene Microsoft 365 includa diversi strumenti e metodologie per la gestione e la protezione dei dispositivi, queste indicazioni illustrano i suggerimenti di Microsoft usando Microsoft Intune. Questa è la guida giusta per te, se:
- Pianificare la registrazione dei dispositivi in Intune tramite Microsoft Entra join (incluso Microsoft Entra join ibrido).
- Pianifichi di registrare manualmente i dispositivi in Intune.
- Consenti il bring your own devices (BYOD) con piani per implementare la protezione per app e dati e/o registrare questi dispositivi in Intune.
D'altra parte, se l'ambiente include piani per la co-gestione, tra cui Microsoft Configuration Manager, vedere la documentazione sulla co-gestione per sviluppare il percorso migliore per l'organizzazione. Se l'ambiente include piani per Windows 365 Cloud PC, vedi la documentazione di Windows 365 Enterprise per sviluppare il percorso migliore per l'organizzazione.
Guardare il video per una panoramica del processo di distribuzione.
Perché gestire gli endpoint?
L'azienda moderna ha un'incredibile varietà di endpoint che accedono ai dati. Questa configurazione crea una superficie di attacco di massa e, di conseguenza, gli endpoint possono diventare facilmente l’anello più debole nella strategia di sicurezza Zero Trust.
Per lo più guidati dalla necessità quando il mondo si è spostato su un modello di lavoro remoto o ibrido, gli utenti lavorano da qualsiasi luogo, da qualsiasi dispositivo, più che in qualsiasi momento della storia. Gli utenti malintenzionati stanno adattando rapidamente le proprie tattiche per sfruttare questa modifica. Molte organizzazioni fanno fronte a risorse limitate, mentre affrontano nuove sfide aziendali. Praticamente da un giorno all'altro, le aziende hanno accelerato la trasformazione digitale. Detto semplicemente, il modo in cui le persone lavorano è cambiato. Non ci aspettiamo più di accedere alle numerose risorse aziendali solo dall'ufficio e dai dispositivi di proprietà dell'azienda.
Ottenere visibilità negli endpoint che accedono alle risorse aziendali è il primo passaggio della strategia del dispositivo Zero Trust. In genere, le aziende sono proattive nella protezione dei PC da vulnerabilità e attacchi, mentre i dispositivi mobili spesso non vengono monitorati e senza protezioni. Per essere certi di non esporre i dati a rischi, è necessario monitorare ogni endpoint alla ricerca di rischi e utilizzare controlli di accesso granulari per fornire il livello di accesso appropriato in base ai criteri dell'organizzazione. Ad esempio, se un dispositivo personale è jailbroken, è possibile bloccarne l'accesso per impedire che le applicazioni aziendali vengano esposte a vulnerabilità note.
Questa serie di articoli illustra un processo consigliato per la gestione dei dispositivi che accedono alle risorse. Se si seguono i passaggi consigliati, l'organizzazione raggiungerà una protezione molto sofisticata per i dispositivi e le risorse a cui accedono.
Implementazione dei livelli di protezione su e per i dispositivi
La protezione dei dati e delle app nei dispositivi e nei dispositivi stessi è un processo a più livelli. Esistono alcune protezioni che puoi ottenere nei dispositivi non gestiti. Dopo aver registrato i dispositivi nella gestione, puoi implementare controlli più sofisticati. Quando la protezione dalle minacce viene distribuita tra gli endpoint, ottieni ancora più informazioni dettagliate e la possibilità di correggere automaticamente alcuni attacchi. Infine, se l'organizzazione ha svolto il lavoro per identificare i dati sensibili, applicare la classificazione e le etichette e configurare i criteri di Prevenzione della perdita dei dati Microsoft Purview, è possibile ottenere una protezione ancora più granulare per i dati negli endpoint.
Il diagramma seguente illustra i blocchi predefiniti per ottenere una posizione di sicurezza Zero Trust per Microsoft 365 e altre app SaaS introdotte in questo ambiente. Gli elementi correlati ai dispositivi sono numerati da 1 a 7. Gli amministratori dei dispositivi si coordinano con altri amministratori per eseguire questi livelli di protezione.
In questa illustrazione:
| Passaggio | Descrizione | Requisiti di licenza | |
|---|---|---|---|
| 1 | Configura l'identità Zero Trust del punto di partenza e i criteri di accesso ai dispositivi | Passaggio 1. Implementare criteri di protezione delle app per porre le basi per proteggere i dispositivi usando Intune criteri di protezione delle app, che non richiedono la gestione dei dispositivi. Collaborare quindi con l'amministratore del team di gestione delle identità per implementare criteri di accesso condizionale che richiedono app approvate e impostare la protezione dei dati avanzata aziendale di livello 2, che è il livello di partenza consigliato per i dispositivi in cui gli utenti accedono alle informazioni riservate. | E3, E5, F1, F3, F5 |
| 2 | Registrare i dispositivi in Intune | Questa attività richiede più pianificazione e più tempo per l'implementazione. Microsoft consiglia di usare Intune per registrare i dispositivi perché questo strumento offre un'integrazione ottimale. Esistono diverse opzioni per registrare i dispositivi, a seconda della piattaforma. Ad esempio, i dispositivi Windows possono essere registrati usando Microsoft Entra join o Autopilot. È necessario esaminare le opzioni per ogni piattaforma e decidere quale opzione di registrazione è migliore per il proprio ambiente. Vedere il passaggio 2. Per altre informazioni, registrare i dispositivi in Intune. | E3, E5, F1, F3, F5 |
| 3 | Configura i criteri di conformità | Si vuole assicurarsi che i dispositivi che accedono alle app e ai dati soddisfino i requisiti minimi. Ad esempio, i dispositivi sono protetti da password o PIN e il sistema operativo è aggiornato. I criteri di conformità consentono di definire i requisiti che i dispositivi devono soddisfare. Passaggio 3. Configurare i criteri di conformità consente di configurare questi criteri. | E3, E5, F3, F5 |
| 4 | Configura l'identità Zero Trust Enterprise (consigliato) e i criteri di accesso ai dispositivi | Ora che i dispositivi sono registrati, è possibile collaborare con l'amministratore dell'identità per ottimizzare i criteri di accesso condizionale per richiedere dispositivi integri e conformi. | E3, E5, F3, F5 |
| 5 | Distribuisci profili di configurazione | Anziché i criteri di conformità dei dispositivi che contrassegnano semplicemente un dispositivo come conforme o meno in base ai criteri che configuri, i profili di configurazione modificano effettivamente la configurazione delle impostazioni in un dispositivo. Puoi usare i criteri di configurazione per rafforzare i dispositivi contro le minacce informatiche. Vedere Passaggio 5. Distribuire i profili di configurazione. | E3, E5, F3, F5 |
| 6 | Monitorare i rischi dei dispositivi e la conformità alle linee di base della sicurezza | In questo passaggio connetti Intune a Microsoft Defender per endpoint. Con questa integrazione, puoi quindi monitorare i rischi del dispositivo come condizione per l'accesso. I dispositivi che si trovano in uno stato rischioso vengono bloccati. È inoltre possibile monitorare la conformità alle linee di base della sicurezza. Vedere Passaggio 6. Monitorare i rischi e la conformità del dispositivo rispetto alle baseline di sicurezza. | E5, F5 |
| 7 | Implementare la prevenzione della perdita dei dati (DLP) con funzionalità di protezione delle informazioni | Se l’organizzazione si è impegnata nell'identificazione di dati sensibili e nell'etichettatura dei documenti, è possibile collaborare con l'amministratore della protezione delle informazioni per proteggere le informazioni e i documenti sensibili sui dispositivi. | E5, F5 componente aggiuntivo di conformità |
Coordinamento della gestione degli endpoint con identità Zero Trust e criteri di accesso ai dispositivi
Queste indicazioni sono strettamente coordinate con l'identità Zero Trust e i criteri di accesso ai dispositivi consigliati. Si collaborerà con il team di gestione delle identità per implementare la protezione configurata con Intune nei criteri di accesso condizionale in Microsoft Entra ID.
Di seguito è riportata un'illustrazione del set di criteri consigliato con i callout dei passaggi per il lavoro che si eseguirà in Intune e i criteri di accesso condizionale correlati che verranno usati per coordinare Microsoft Entra ID.
In questa illustrazione:
- Nel passaggio 1 i criteri di protezione delle app di livello 2 sono configurati come livello consigliato di protezione dei dati con Intune criteri di protezione delle app. Collaborare quindi con il team di gestione delle identità per configurare la regola di accesso condizionale correlata per richiedere l'uso di questa protezione.
- Nei passaggi 2, 3 e 4 si registrerai i dispositivi nella gestione con Intune, definirai i criteri di conformità dei dispositivi e quindi ti coordinerai con il team di identità per configurare la regola di accesso condizionale correlata per consentire l'accesso solo ai dispositivi conformi.
Registrazione di dispositivi onboarding di dispositivi
Se si seguono queste linee guida, si registreranno i dispositivi nella gestione usando Intune e quindi si eseguirà l'onboarding dei dispositivi per le funzionalità di Microsoft 365 seguenti:
- Microsoft Defender per endpoint
- Microsoft Purview (per la prevenzione della perdita dei dati (DLP) degli endpoint)
La figura seguente illustra in dettaglio come funziona con Intune.
Nella figura:
- Registrare i dispositivi nella gestione con Intune.
- Usare Intune per eseguire l'onboarding dei dispositivi in Defender per endpoint.
- Anche i dispositivi che vengono caricati in Defender per endpoint vengono caricati per le funzionalità di Microsoft Purview, inclusa la prevenzione della perdita dei dati degli endpoint.
Tenere presente che solo Intune gestisce i dispositivi. L'onboarding si riferisce alla possibilità per un dispositivo di condividere informazioni con un servizio specifico. Nella tabella seguente sono riepilogate le differenze tra la registrazione dei dispositivi nella gestione e l'onboarding dei dispositivi per un servizio specifico.
| Registra | Onboarding | |
|---|---|---|
| Descrizione | La registrazione si applica alla gestione dei dispositivi. I dispositivi vengono registrati per la gestione con Intune o Configuration Manager. | L'onboarding configura un dispositivo per l'utilizzo con un set specifico di funzionalità in Microsoft 365. Attualmente, l'onboarding si applica a Microsoft Defender per endpoint e alle funzionalità di conformità Microsoft. Nei dispositivi Windows, l'onboarding comporta l'attivazione o la disattivazione di un'impostazione in Windows Defender che consente a Defender di connettersi al servizio online e accettare i criteri applicabili al dispositivo. |
| Ambito | Questi strumenti per la gestione dei dispositivi gestiscono tutto il dispositivo, inclusa la configurazione del dispositivo per fare in modo che soddisfi obiettivi specifici, come la sicurezza. | L'onboarding interessa solo i servizi a cui viene applicato. |
| Metodo consigliato | Microsoft Entra join registra automaticamente i dispositivi in Intune. | Intune è il metodo preferito per l'onboarding dei dispositivi in Windows Defender per endpoint e di conseguenza, per le funzionalità di Microsoft Purview. I dispositivi di cui viene eseguito l'onboarding nelle funzionalità di Microsoft Purview con altri metodi non vengono registrati automaticamente per Defender per endpoint. |
| Altri metodi | Altri metodi di registrazione dipendono dalla piattaforma del dispositivo e dal fatto che sia BYOD o gestito dall'organizzazione. | Altri metodi per l'onboarding dei dispositivi includono, nell'ordine consigliato: |
Learning per gli amministratori
Le risorse seguenti consentono agli amministratori di apprendere i concetti relativi all'uso di Intune:
Semplificare la gestione dei dispositivi con Microsoft Intune modulo di training
Scopri in che modo le soluzioni di gestione aziendale tramite Microsoft 365 offrono alle persone un'esperienza desktop sicura e personalizzata e aiutano le organizzazioni a gestire facilmente gli aggiornamenti per tutti i dispositivi con un'esperienza di amministrazione semplificata.
-
Microsoft Intune consente di proteggere i dispositivi, le app e i dati usati dagli utenti dell'organizzazione per essere produttivi. Questo articolo illustra come configurare Microsoft Intune. Il programma di installazione include la revisione delle configurazioni supportate, l'iscrizione a Intune, l'aggiunta di utenti e gruppi, l'assegnazione di licenze agli utenti, la concessione delle autorizzazioni di amministratore e l'impostazione dell'autorità Mobile Gestione dispositivi (MDM).
Passaggio successivo
Passare al passaggio 1. Implementare i criteri di protezione delle app.