Microsoft Intune guida alla pianificazione

Una distribuzione o Microsoft Intune o una migrazione corretta inizia con la pianificazione. Questa guida illustra gli obiettivi comuni di gestione dei dispositivi mobili (MDM) e di gestione delle applicazioni mobili (MAM). Fornisce inoltre indicazioni sull'inventario dei dispositivi, sulle licenze, sulla revisione dei criteri e dell'infrastruttura correnti, sulla creazione di un piano di implementazione e altro ancora.

Suggerimento

Intune Adoption Kit include modelli di posta elettronica e altre informazioni utili.

Questa guida è una cosa viva. Quindi, assicurati di aggiungere o aggiornare i suggerimenti e le indicazioni esistenti che hai trovato utili.

Attività 1: determinare gli obiettivi

Le organizzazioni usano la gestione dei dispositivi mobili (MDM) e la gestione delle applicazioni mobili (MAM) per controllare i dati dell'organizzazione in modo sicuro e con interruzioni minime per gli utenti. Quando si valuta una soluzione MDM/MAM, ad esempio Microsoft Intune, esaminare l'obiettivo e cosa si desidera raggiungere.

In questa sezione vengono illustrati gli obiettivi comuni quando si usa Intune.

Obiettivo: accedere alle app dell'organizzazione e alla posta elettronica

Gli utenti si aspettano di lavorare su dispositivi che usano le app dell'organizzazione, tra cui la lettura e la risposta alla posta elettronica, l'aggiornamento e la condivisione dei dati e altro ancora. In Intune puoi distribuire diversi tipi di app, tra cui:

  • Office 365 app
  • App Win32
  • App line-of-business (LOB)
  • App personalizzate
  • Consentire (o bloccare) l'accesso alle app predefinite o alle app dello Store

Attività: crea un elenco delle app usate regolarmente dagli utenti. Queste app sono le app desiderate nei loro dispositivi. Alcune considerazioni:

  • Molte organizzazioni distribuiscono la famiglia Office di app in PC e tablet, ad esempio Word, Excel, OneNote, PowerPoint e Teams. Nei dispositivi più piccoli, ad esempio i telefoni cellulari, possono essere installate singole app, a seconda dei requisiti dell'utente.

    Ad esempio, il team vendite potrebbe richiedere Teams, Excel e SharePoint. Nei dispositivi mobili puoi distribuire solo queste app, invece di distribuire l'intera Office famiglia di prodotti.

  • Gli utenti si aspettano di leggere e rispondere alla posta elettronica e partecipare alle riunioni su tutti i dispositivi, inclusi i dispositivi personali. Nei dispositivi di proprietà dell'organizzazione, è possibile distribuire Outlook e Teams. Gestisci e controlla tutte le impostazioni del dispositivo e tutte le impostazioni dell'app, inclusi i requisiti per PIN e password. Nei dispositivi personali non hai questo controllo. Determinare quindi se si desidera concedere agli utenti l'accesso alle app dell'organizzazione, ad esempio posta elettronica e riunioni.

    Per altre informazioni e considerazioni, vedi Dispositivi personali e dispositivi di proprietà dell'organizzazione (in questo articolo).

Obiettivo: proteggere l'accesso in tutti i dispositivi

Quando i dati vengono archiviati su dispositivi mobili, devono essere protetti da attività dannose.

Attività: determinare come proteggere i dispositivi e ridurre al minimo l'impatto di attività dannose. Alcune considerazioni:

  • La protezione antivirus e antimalware è un must. Intune si integra con diversi partner di Mobile Threat Defense (MTD) per proteggere i dispositivi registrati, i dispositivi personali e le app. Nei Windows 10/11 puoi usare Microsoft Defender per Endpoint e Intune insieme.

    Microsoft Defender for Endpoint include funzionalità di sicurezza e un portale per monitorare e reagire alle minacce.

  • Se un dispositivo è compromesso, è necessario limitare l'impatto usando l'accesso condizionale. Ad esempio:

    • Se un dispositivo soddisfa un livello di minaccia impostato, puoi bloccare l'accesso alle risorse dell'organizzazione. L'accesso condizionale consente di impedire la diffusione di attività dannose.

    • L'accesso condizionale consente di proteggere la rete e le risorse dai dispositivi, anche i dispositivi che non sono registrati con Intune.

      Ad esempio, Intune si integra con Microsoft Defender for Endpoint. Microsoft Defender for Endpoint analizza un dispositivo e determina se è compromesso. L'accesso condizionale può quindi bloccare automaticamente l'accesso al dispositivo dalle risorse dell'organizzazione, inclusa la posta elettronica.

  • Gli aggiornamenti del dispositivo, del sistema operativo e delle app consentono inoltre di proteggere i dati. Creare un piano su come e quando vengono installati gli aggiornamenti. Esistono criteri in Intune che consentono di gestire gli aggiornamenti, inclusi gli aggiornamenti per archiviare le app.

  • Determinare come gli utenti eseguiranno l'autenticazione con le risorse dell'organizzazione da molti dispositivi. Ad esempio, è possibile:

    • Usa i certificati nei dispositivi per autenticare funzionalità e app, ad esempio la connessione a una rete privata virtuale (VPN), l'apertura Outlook e altro ancora. Questi certificati consentono un'esperienza utente senza password. La password è considerata più sicura rispetto alla richiesta agli utenti di immettere il nome utente e la password dell'organizzazione.

      Se si prevede di utilizzare i certificati, assicurarsi di disporre di un'infrastruttura a chiave pubblica (PKI) supportata pronta per creare e distribuire profili certificato.

    • Usa l'autenticazione a più fattori quando hai bisogno di un ulteriore livello di autenticazione nei dispositivi di proprietà dell'organizzazione. In caso contrario, usa L'autenticazione a più fattori per autenticare le app nei dispositivi personali. È inoltre possibile usare la biometria, ad esempio il riconoscimento del volto e le impronte digitali.

      Se userai la biometria per l'autenticazione, assicurati che i dispositivi supportino la biometria. La maggior parte dei dispositivi moderni lo fa.

    • Implementare una distribuzione zero trust. Con Zero Trust, usi le funzionalità di Azure AD e Microsoft Intune per proteggere tutti gli endpoint, usa l'autenticazione senza password e altro ancora. Per ulteriori informazioni, vedere Zero Trust Deployment Center.

Obiettivo: distribuire l'IT

Molte organizzazioni desiderano assegnare a diversi amministratori il controllo su posizioni, divisioni e così via. Ad esempio, il gruppo Amministratori IT di Charlotte controlla e monitora i criteri nel campus di Charlotte. Questi amministratori IT di Charlotte possono visualizzare e gestire solo i criteri per la posizione di Charlotte. Non possono visualizzare e gestire i criteri per la posizione di Redmond. Questo approccio è denominato IT distribuito.

In Intune, l'IT distribuito usa i tag di ambito e le categorie di registrazione dei dispositivi. I tag di ambito utilizzano il controllo di accesso basato sui ruoli (RBAC, Role-Based Access Control). Pertanto, solo gli utenti di un gruppo specifico dispongono dell'autorizzazione per gestire criteri e profili per utenti e dispositivi nel proprio ambito.

Quando si usano le categorie di dispositivi, i dispositivi vengono aggiunti automaticamente ai gruppi in base alle categorie create. Quando gli utenti registrano il proprio dispositivo, scelgono una categoria, ad esempio Vendite, Amministratore IT, dispositivo poss sale e così via. Questi gruppi di dispositivi sono ora pronti per ricevere i profili e i criteri creati.

Per semplificare la gestione dei dispositivi, puoi usare le categorie di dispositivi di Intune per aggiungere automaticamente i dispositivi ai gruppi in base alle categorie definite dall'utente.

Attività: determinare come si desidera distribuire le regole e le impostazioni (criteri e profili). Alcune considerazioni:

  • Determinare la struttura dell'amministratore. Ad esempio, è possibile separare i dati in base alla posizione, ad esempio Amministratori IT di Charlotte o Amministratori IT di Redmond. Potresti voler separare per ruolo, ad esempio Gli amministratori di rete che controllano tutti gli accessi alla rete, inclusa la VPN.

    Queste categorie diventeranno i tag di ambito.

  • Molte organizzazioni separano i gruppi in base al tipo di dispositivo, ad esempio iOS, iPadOS, Android o Windows dispositivi. Alcuni esempi:

    • Distribuire app specifiche a dispositivi specifici. Ad esempio, distribuisci l'app Microsoft Per navetta ai dispositivi nella rete Redmond.
    • Distribuire i criteri in percorsi specifici. Ad esempio, distribuisci un profilo VPN ai dispositivi nella rete di Charlotte in modo che si connettano automaticamente quando sono nell'intervallo.
    • Controllare le impostazioni in dispositivi specifici. Ad esempio, disabilitare la fotocamera nei dispositivi Android Enterprise usati in una fabbrica, creare un profilo antivirus di Windows Defender per tutti i dispositivi Windows o aggiungere impostazioni di posta elettronica Exchange a tutti i dispositivi iOS/iPadOS.

    Queste categorie diventeranno le categorie di registrazione del dispositivo.

Obiettivo: mantenere i dati dell'organizzazione all'interno dell'organizzazione

Quando i dati vengono archiviati su dispositivi mobili, i dati devono essere protetti da perdita accidentale o condivisione. Questo obiettivo include la pulizia dei dati dell'organizzazione dai dispositivi personali e di proprietà dell'organizzazione.

Attività: creare un piano per coprire diversi scenari che influiscono sull'organizzazione. Alcune considerazioni:

  • Un dispositivo viene perso o rubato o non viene più utilizzato. Un utente lascia l'organizzazione.

  • Nei dispositivi personali, è possibile impedire agli utenti di copiare/incollare, acquisire screenshot o inoltrare messaggi di posta elettronica. I criteri di protezione delle app possono bloccare queste funzionalità nei dispositivi che non gestisci. Per altre informazioni, vedi Impedire perdite di dati su dispositivi non gestiti con Intune.

    Nei dispositivi gestiti (dispositivi registrati in Intune), puoi anche controllare queste funzionalità usando i profili di configurazione dei dispositivi. I profili di configurazione dei dispositivi controllano le impostazioni nel dispositivo, non nell'app. Nei dispositivi che accedono a dati altamente sensibili o riservati, i profili di configurazione dei dispositivi possono impedire la copia/incolla, la cattura di screenshot e altro ancora.

  • Nelle Office, impedire l'accesso non autorizzato ai dati dell'organizzazione tramite Azure Information Protection. Questa funzionalità usa le etichette per classificare i file, ad esempio i dati riservati.

Per altre informazioni e considerazioni, vedi Dispositivi personali e dispositivi di proprietà dell'organizzazione (in questo articolo).

Attività 2: eseguire l'inventario dei dispositivi

Le organizzazioni hanno un'ampia gamma di dispositivi, tra cui computer desktop, portatili, tablet e telefoni cellulari. Questi dispositivi possono essere di proprietà dell'organizzazione o di proprietà degli utenti. Durante la pianificazione della soluzione di gestione dei dispositivi, assicurati di considerare tutti gli elementi che accedono alle risorse dell'organizzazione, inclusi i dispositivi personali degli utenti.

Questa sezione include informazioni sul dispositivo da prendere in considerazione.

Piattaforme supportate

Intune supporta l'amministratore di dispositivi Android, Android Enterprise, iOS, iPadOS, macOS e Windows dispositivi. Per le versioni specifiche, vedere piattaforme supportate.

Attività: se i dispositivi usano versioni non supportate, che sono principalmente sistemi operativi meno recenti, è il momento di aggiornare il sistema operativo o sostituire i dispositivi. Il sistema operativo e i dispositivi meno recenti potrebbero avere un supporto limitato e sono un potenziale rischio per la sicurezza. Questa attività include computer desktop che eseguono Windows 7, iPhone 7 dispositivi che eseguono il sistema operativo v10.0 originale e così via.

Dispositivi personali e dispositivi di proprietà dell'organizzazione

Nei dispositivi personali, è normale e previsto che gli utenti controllino la posta elettronica, Teams riunioni, aggiorneranno SharePoint file e altro ancora. Molte organizzazioni consentono dispositivi personali e molte organizzazioni consentono solo dispositivi di proprietà dell'organizzazione.

In quanto organizzazione e amministratore, decidi se consentire i dispositivi personali.

Attività: determinare come si desidera gestire i dispositivi personali. Se essere "mobile" è importante per l'organizzazione, prendere in considerazione gli approcci seguenti:

  • Nei dispositivi personali, offrire agli utenti la possibilità di iscriversi a Intune. Dopo la registrazione, gli amministratori gestiscono completamente questi dispositivi, inclusi i criteri di push, il controllo delle funzionalità e delle impostazioni dei dispositivi e persino la pulizia dei dispositivi. In quanto amministratore, potresti volere questo controllo o potresti pensare di volere questo controllo.

    Quando gli utenti registrano i propri dispositivi personali, potrebbero non rendersi conto o comprendere che gli amministratori possono eseguire qualsiasi operazione sul dispositivo, inclusa la cancellazione accidentale o la reimpostazione del dispositivo. L'amministratore potrebbe non volere questa responsabilità o un potenziale impatto sui dispositivi di cui l'organizzazione non è proprietaria.

    Inoltre, molti utenti rifiutano di registrarsi. Trovano altri modi per accedere alle risorse dell'organizzazione. Ad esempio, devi registrare i dispositivi per usare l'app Outlook per controllare la posta elettronica dell'organizzazione. Per ignorare questo requisito, gli utenti aprono qualsiasi Web browser nel dispositivo e accedono Outlook accesso Web, che potrebbe non essere quello desiderato. Oppure, creano screenshot e salvano le immagini nel dispositivo, che non è quello che vuoi.

  • Nei dispositivi personali usa i criteri di configurazione delle app e i criteri di protezione delle app. Gli utenti non si registrano in Intune. Questi dispositivi non sono gestiti dall'utente.

    Utilizzare un'istruzione Termini e condizioni con un criterio di accesso condizionale. Se gli utenti non sono d'accordo, non ottengono l'accesso alle app. Se gli utenti accettano l'istruzione, viene aggiunto un record del dispositivo Azure AD e il dispositivo diventa un'entità nota. Quando il dispositivo è noto, puoi tenere traccia degli elementi a cui si accede dal dispositivo.

    Controlla quindi l'accesso e la sicurezza usando i criteri dell'app.

    Esaminare le attività più utilizzate dall'organizzazione, ad esempio la posta elettronica e partecipare alle riunioni. Usa i criteri di configurazione delle app per configurare le impostazioni specifiche dell'app. Usa i criteri di protezione delle app per controllare la sicurezza e l'accesso a queste app.

    Ad esempio, gli utenti possono usare l'app Outlook sul proprio dispositivo personale per controllare la posta elettronica aziendale. Usando Intune, gli amministratori creano un criterio di protezione delle app Outlook che usa l'autenticazione a più fattori (MFA) ogni volta che si apre l'app Outlook, impedisce copia e incolla e altro ancora.

  • Vuoi che tutti i dispositivi siano completamente gestiti. In questo scenario, fornire agli utenti tutti i dispositivi necessari, inclusi i telefoni cellulari. Investire in un piano di aggiornamento hardware in modo che gli utenti continuino a essere produttivi ed efficaci. Registrare questi dispositivi di proprietà dell'organizzazione in Intune e gestirli usando i criteri.

    Questa opzione impedisce i dispositivi personali.

Come procedura consigliata, presupporre sempre che i dati lascino il dispositivo. Assicurati che i metodi di monitoraggio e controllo siano stati eserciti. Per ulteriori informazioni, vedere Zero Trust Deployment Center.

Gestire i computer desktop

Intune può gestire i computer desktop che eseguono Windows 10 e più recente. Il Windows del client include funzionalità di gestione dei dispositivi moderne integrate e rimuove le dipendenze dai criteri di gruppo di Active Directory (AD) locali. Puoi ottenere i vantaggi del cloud quando crei regole e impostazioni in Intune e distribuisci questi criteri a tutti i dispositivi client Windows, inclusi computer desktop e PC.

Per ulteriori informazioni, vedere Scenario guidato - Desktop moderno gestito dal cloud.

Se i dispositivi Windows sono attualmente gestiti tramite Configuration Manager, puoi comunque registrare questi dispositivi in Intune. Questo approccio è denominato "co-gestione". La co-gestione offre molti vantaggi, tra cui l'esecuzione di azioni remote sul dispositivo (riavvio, controllo remoto, reimpostazione della fabbrica), accesso condizionale con conformità del dispositivo e altro ancora. Puoi anche collegare i dispositivi a Intune nel cloud.

Per ulteriori informazioni, vedere What is co-management, Paths to co-managemente Endpoint Manager tenant attach.

Attività: guarda cosa usi attualmente per la gestione dei dispositivi mobili, quali sono gli obiettivi e determina il percorso migliore. Alcune considerazioni:

  • Se attualmente non usi nulla, andare direttamente a Intune potrebbe essere la soluzione migliore.

  • Per i nuovi dispositivi non registrati in Configuration Manager o qualsiasi soluzione MDM, andare direttamente a Intune potrebbe essere la soluzione migliore.

  • Se attualmente usi Configuration Manager, le opzioni includono:

    • Se si desidera mantenere l'infrastruttura esistente e spostare alcuni carichi di lavoro nel cloud, usare la co-gestione. Si ottiene il vantaggio di entrambi i servizi. I dispositivi esistenti possono ricevere alcuni criteri da Configuration Manager (locale) e altri criteri da Intune (cloud).
    • Se vuoi mantenere l'infrastruttura esistente e usare Intune per monitorare i dispositivi locali, usa il collegamento tenant. Puoi ottenere il vantaggio di usare l'Endpoint Manager di amministrazione, pur usando Configuration Manager per gestire i dispositivi.
    • Se vuoi una soluzione cloud pura per gestire i dispositivi, passa a Intune. Questo scenario è raro. Gli utenti di Configuration Manager esistenti spesso preferiscono continuare a usare Configuration Manager. La guida alla distribuzione dell'installazione contiene alcune buone informazioni.

    Per ulteriori informazioni, vedere Co-management workloads.

Attività 3: Determinare i costi e le licenze

La gestione dei dispositivi è una relazione con servizi diversi. Intune include le impostazioni e le funzionalità che è possibile controllare in dispositivi diversi. Esistono anche altri servizi che svolgono un ruolo chiave:

  • Azure Active Directory (AD) Premium diverse funzionalità fondamentali per la gestione dei dispositivi, tra cui:

    • Windows Autopilot:Windows i dispositivi client possono registrarsi automaticamente in Intune e ricevere automaticamente i criteri.
    • Autenticazione a più fattori: gli utenti devono immettere due o più metodi di verifica, ad esempio un PIN, un'app di autenticazione, un'impronta digitale e altro ancora. L'autenticazione a più fattori è un'ottima opzione quando si usano criteri di protezione delle app per dispositivi personali o dispositivi di proprietà dell'organizzazione che richiedono una maggiore sicurezza.
    • Accesso condizionale:se gli utenti e i dispositivi seguono le regole, ad esempio un passcode di 6 cifre, ottengono l'accesso alle risorse dell'organizzazione. Se gli utenti o i dispositivi non soddisfano le regole, non ottengono l'accesso.
    • Gruppi di utenti dinamicie gruppi di dispositivi dinamici : aggiungere automaticamente utenti o dispositivi ai gruppi quando soddisfano criteri, ad esempio città, posizione professionale, tipo di sistema operativo, versione del sistema operativo e altro ancora.
  • Office 365 include le app su cui si basano gli utenti, tra cui Outlook, Word, SharePoint, Teams, OneDrive e altro ancora. Puoi distribuire queste app nei dispositivi usando Intune.

  • Microsoft Defender for Endpoint consente di monitorare e analizzare i dispositivi client Windows per identificare attività dannose. È inoltre possibile impostare un livello di minaccia accettabile. Se combinato con l'accesso condizionale, è possibile bloccare l'accesso alle risorse dell'organizzazione se viene superato il livello di minaccia.

  • Azure Information Protection classifica e protegge documenti e messaggi di posta elettronica applicando etichette. Nelle Office, puoi usare questo servizio per impedire l'accesso non autorizzato ai dati dell'organizzazione, incluse le app nei dispositivi personali.

Tutti questi servizi sono inclusi nella licenza Microsoft 365 E5 licenza. Per ulteriori informazioni, vedere piani Microsoft 365 licenze.

Attività: determinare i servizi e i programmi necessari e utilizzati dall'organizzazione per essere produttivi e sicuri. Alcune considerazioni:

  • Se l'obiettivo è distribuire criteri (regole) e profili (impostazioni), senza alcuna imposizione, almeno, è necessario Intune. Intune è disponibile con sottoscrizioni diverse, incluso come servizio autonomo. Per ulteriori informazioni, vedere Microsoft Intune licenze.

    Attualmente usi Configuration Manager e vuoi configurare la co-gestione per i dispositivi. Intune è già incluso nella licenza di Configuration Manager. Se si desidera che i nuovi dispositivi o i dispositivi co-gestiti esistenti siano completamente gestiti da Intune, è necessaria una licenza di Intune separata.

  • Si desidera applicare le regole di conformità o password create in Intune. Come minimo, sono necessari Intune e Azure AD Premium. Intune e Azure AD Premium sono disponibili con Enterprise Mobility + Security.

    Per ulteriori informazioni, vedere opzioni Enterprise Mobility + Security prezzi.

  • Vuoi gestire solo le app Office 365 nei dispositivi. Come minimo, è necessario Office 365. Per altre informazioni, vedi MDM Office 365 vs Microsoft Intune domande frequenti su Gestione dispositivi mobili per Office 365.

  • Vuoi distribuire app Office 365 ai dispositivi e creare criteri per proteggere i dispositivi che eseguono queste app. Come minimo, sono necessari Intune e Office 365.

  • Si desidera creare criteri in Intune, distribuire Office 365 app e applicare le regole e le impostazioni. Come minimo, sono necessari Intune, Office 365 e Azure AD Premium. Poiché tutti questi servizi sono inclusi in Microsoft 365, l'uso della licenza Microsoft 365 potrebbe essere conveniente.

    Per ulteriori informazioni, vedere piani Microsoft 365 licenze.

Attività 4: esaminare i criteri e l'infrastruttura esistenti

Molte organizzazioni dispongono di criteri esistenti e di un'infrastruttura di gestione dei dispositivi che viene mantenuta solo. Ad esempio, potresti avere criteri di gruppo di 20 anni e non sai cosa fanno. Quando si valuta uno spostamento nel cloud, invece di considerare ciò che si è sempre fatto, determinare l'obiettivo.

Con questi obiettivi in mente, creare una linea di base dei criteri. Se hai più soluzioni di gestione dei dispositivi, ora potrebbe essere il momento di usare una singola soluzione di gestione dei dispositivi mobili.

Attività: iniziare a visualizzare le attività eseguite in locale e passare al cloud. Ricorda, invece di guardare ciò che hai sempre fatto, determinare l'obiettivo. Alcune considerazioni:

  • Esaminare i criteri esistenti e la relativa struttura. Alcuni criteri possono essere applicati a livello globale, altri a livello di sito e altri specifici per un dispositivo. L'obiettivo è conoscere e comprendere l'intento dei criteri globali, l'intento dei criteri locali e così via.

    I criteri di gruppo di Active Directory vengono applicati nell'ordine LSDOU , ovvero locale, sito, dominio e unità organizzativa ( OU). In questa gerarchia, i criteri unità organizzativa sovrascrivono i criteri di dominio, i criteri di dominio sovrascrivono i criteri sito e così via.

    In Intune, i criteri vengono applicati agli utenti e ai gruppi creati. Non esiste una gerarchia. Se due criteri aggiornano la stessa impostazione, l'impostazione viene visualizzata come conflitto. Per altre informazioni, vedi Domande, problemi e risoluzioni comuni con i criteri e i profili dei dispositivi.

    Quando si proviene da Criteri di gruppo di ACTIVE a Intune, i criteri globali di ACTIVE inizieranno logicamente ad applicarsi ai gruppi di cui si dispone o ai gruppi necessari. Questi gruppi includeranno gli utenti e i dispositivi di destinazione a livello globale, a livello di sito e così via. Questa attività offre un'idea della struttura del gruppo necessaria in Intune.

  • Prepararsi a creare nuovi criteri e profili in Intune. Intune include diverse funzionalità che coprono scenari che potrebbero interessarti. Alcuni esempi:

    • Linee di base per la sicurezza: nei dispositivi Windows 10/11, le linee di base di sicurezza sono impostazioni di sicurezza preconfigurato per i valori consigliati. Se non hai ancora la protezione dei dispositivi o vuoi una linea di base completa, guarda Linee di base della sicurezza.
    • Modelli amministrativi: nei dispositivi Windows 10/11, utilizzare i modelli ADMX per configurare le impostazioni di Criteri di gruppo per Windows, Internet Explorer, Office e Microsoft Edge versione 77 e successive. Questi modelli ADMX sono gli stessi modelli ADMX usati nei Criteri di gruppo di AD, ma sono basati sul cloud al 100% in Intune.
    • Criteri di gruppo: utilizzare l'analisi di Criteri di gruppo per importare e analizzare gli oggetti Criteri di gruppo. Questa funzionalità consente di determinare la conversione degli oggetti Criteri di gruppo nel cloud. L'output mostra le impostazioni supportate nei provider MDM, tra cui Microsoft Intune. Mostra anche le impostazioni deprecate o le impostazioni non disponibili per i provider MDM.
    • Scenari guidati: gli scenari guidati sono una serie personalizzata di passaggi incentrati sui casi d'uso end-to-end. Questi scenari includono automaticamente criteri, app, assegnazioni e altre configurazioni di gestione.
  • Creare una previsione dei criteri che includa il minimo degli obiettivi. Ad esempio:

    • Protezione della posta elettronica: è consigliabile:

      • Abilitare l'accesso condizionale Exchange Online o connettersi a una soluzione di posta elettronica locale.
      • Creare Outlook criteri di protezione delle app.
    • Impostazioni dispositivo: come minimo, potresti voler:

      • Richiedi un PIN di sei caratteri per sbloccare il dispositivo.
      • Impedisci backup di servizi cloud personali, ad esempio iCloud o OneDrive.
    • Profili di dispositivo: come minimo, potresti voler:

      • Creare un profilo Wi-Fi con le impostazioni preconfigurate che si connettono alla rete wireless Wi-Fi Contoso.
      • Creare un profilo VPN con un certificato per l'autenticazione automatica e la connessione a una VPN dell'organizzazione.
      • Creare un profilo di posta elettronica con le impostazioni preconfigurate che si connettono a Office 365 o a una soluzione di posta elettronica Gmail.
    • App: come minimo, potresti voler:

      • Distribuisci Office 365 con i criteri di protezione delle app.
      • Distribuire line-of-business (LOB) con criteri di protezione delle app.
  • Esaminare la struttura corrente dei gruppi. In Intune, è possibile creare e assegnare criteri a gruppi di utenti, gruppi di dispositivi e gruppi di utenti e dispositivi dinamici (richiede Azure AD Premium).

    Quando crei gruppi nel cloud, ad esempio Intune o Microsoft 365, vengono creati in Azure AD. Non viene visualizzato il Azure AD personalizzazione, ma è quello che si sta usando.

  • Se hai più soluzioni di gestione dei dispositivi, passa a una singola soluzione di gestione dei dispositivi mobili. Ti consigliamo di usare Intune per proteggere i dati dell'organizzazione nelle app e nei dispositivi.

Attività 5: Creare un piano di implementazione

L'attività successiva è pianificare come e quando gli utenti e i dispositivi ricevono i criteri. In questa attività, considerare anche:

  • Definire gli obiettivi e le metriche di successo. Usa questi punti dati per creare altre fasi di implementazione. Assicurati che gli obiettivi siano SMART (specifici, misurabili, raggiungibili, realistici e timely). Pianificare la misurazione in base agli obiettivi in ogni fase in modo che il progetto di implementazione rimanga in esecuzione.
  • Avere obiettivi e obiettivi chiaramente definiti. Includere questi obiettivi in tutte le attività di sensibilizzazione e formazione in modo che gli utenti comprendano il motivo per cui l'organizzazione ha scelto Intune.

Attività: creare un piano per implementare i criteri e scegliere in che modo gli utenti registrano i dispositivi in Intune. Alcune considerazioni:

  • Implementare i criteri in più fasi. Ad esempio:

    • Iniziare con un progetto pilota o un gruppo di test. Questi gruppi devono sapere che sono i primi utenti ed essere disposti a fornire feedback. Usa questo feedback per migliorare la configurazione, la documentazione, le notifiche e semplificare gli utenti in un'implementazione futura. Questi utenti non devono essere dirigenti o VIP.

      Dopo il test iniziale, aggiungere altri utenti al gruppo pilota. In caso contrario, creare più gruppi pilota incentrati su un'implementazione diversa, ad esempio:

      • Reparti: ogni reparto può essere una fase di implementazione. L'utente ha come destinazione un intero reparto alla volta. In questa implementazione, gli utenti di ogni reparto potrebbero usare il proprio dispositivo nello stesso modo e accedere alle stesse applicazioni. Gli utenti hanno probabilmente gli stessi tipi di criteri.

      • Geography: distribuire i criteri a tutti gli utenti in una specifica area geografica, che si tratta dello stesso continente, paese o stesso edificio dell'organizzazione. Questa implementazione consente di concentrarsi sulla posizione specifica degli utenti. È possibile fornire un Windows Autopilot per l'approccio di distribuzione pre-provisioning, poiché il numero di posizioni che distribuiscono Intune contemporaneamente è inferiore. Esistono possibilità di reparti diversi o casi d'uso diversi nella stessa posizione. Pertanto, è possibile testare diversi casi di utilizzo contemporaneamente.

      • Piattaforma: questa implementazione distribuisce piattaforme simili contemporaneamente. Ad esempio, distribuisci i criteri a tutti i dispositivi iOS/iPadOS a febbraio, a tutti i dispositivi Android a marzo e a tutti i Windows di aprile. Questo approccio potrebbe semplificare il supporto dell'help desk, poiché supporta solo una piattaforma alla volta.

      Usando un approccio a fasi, puoi ottenere feedback da un'ampia gamma di tipi di utenti.

    • Dopo aver completato un progetto pilota, sei pronto per avviare un'implementazione di produzione completa. L'esempio seguente è un piano di implementazione di Intune che include gruppi e sequenze temporali mirati:

    Fase di implementazione Luglio Agosto Settembre Ottobre
    Progetto pilota limitato IT (50 utenti)
    Progetto pilota espanso IT (200 utenti), dirigenti IT (10 utenti)
    Fase di implementazione della produzione 1 Vendite e marketing (2000 utenti)
    Fase di implementazione della produzione 2 Vendita al dettaglio (1000 utenti)
    Fase di implementazione della produzione 3 RISORSE UMANE (50 utenti), Finanza (40 utenti), Dirigenti (30 utenti)

    Questo modello è disponibile anche per il download in Pianificazione, progettazione e implementazione della distribuzione di Intune - Modelli di tabella.

  • Scegli la modalità di registrazione dei dispositivi personali e di proprietà dell'organizzazione. Esistono diversi approcci di registrazione che è possibile usare, tra cui:

    • Self-service degli utenti: gli utenti registrano i propri dispositivi seguendo i passaggi forniti dall'organizzazione IT. Questo approccio è più comune ed è più scalabile rispetto alla registrazione assistita dall'utente.
    • Registrazione assistita dall'utente: utilizzando questo approccio di distribuzione pre-provisioning, un membro IT aiuta gli utenti a eseguire il processo di registrazione, di persona o usando Teams. Questo approccio è comune con il personale esecutivo e con altri gruppi che potrebbero richiedere ulteriore assistenza.
    • It tech fair: In questo evento, il gruppo IT configura una cabina di assistenza per la registrazione di Intune. Gli utenti ricevono informazioni sulla registrazione di Intune, porsi domande e ottenere assistenza per la registrazione dei dispositivi. Questa opzione è utile per l'IT e gli utenti, soprattutto durante le fasi iniziali di un'implementazione di Intune.

    L'esempio seguente include gli approcci di registrazione:

    Fase di implementazione Luglio Agosto Settembre Ottobre
    Progetto pilota limitato
    Self-service IT
    Progetto pilota espanso
    Self-service IT
    Pre-provisioning Dirigenti IT
    Fase di implementazione della produzione 1 Vendite, Marketing
    Self-service Vendite e marketing
    Fase di implementazione della produzione 2 Vendita al dettaglio
    Self-service Vendita al dettaglio
    Fase di implementazione della produzione 3 Dirigenti, RISORSE UMANE, Finanza
    Self-service HR, Finance
    Pre-provisioning Dirigenti

Attività 6: comunicare le modifiche

La gestione delle modifiche si basa su comunicazioni chiare e utili sulle modifiche imminenti. L'idea è di smussare la distribuzione di Intune, assicurarsi che gli utenti siano a conoscenza delle modifiche e di eventuali interruzioni.

Attività: il piano di comunicazione per l'implementazione deve includere informazioni importanti, come inviare notifiche agli utenti e quando comunicare. Alcune considerazioni:

  • Determinare quali informazioni comunicare. Comunicare in fasi ai gruppi e agli utenti, a partire da una fase di avvio dell'implementazione di Intune, prima della registrazione e quindi dopo la registrazione:

    • Fase di avvio: comunicazione generale che introduce il progetto Intune. Deve rispondere a domande chiave, ad esempio:

      • Che cos’è Intune?
      • Perché l'organizzazione usa Intune, inclusi i vantaggi per l'organizzazione e per gli utenti
      • Fornire un piano di alto livello per la distribuzione e l'implementazione.
      • Se i dispositivi personali non saranno consentiti a meno che non siano registrati, spiega perché hai preso la decisione.
    • Fase di preregistrazione : comunicazione generale che include informazioni su Intune e servizi aggiuntivi (ad esempio Office, Outlook e OneDrive), risorse utente e tempistiche specifiche quando utenti e gruppi devono ricevere Intune.

    • Fase di registrazione: comunicazione mirata agli utenti e ai gruppi dell'organizzazione pianificati per ricevere Intune. Dovrebbe informare gli utenti che sono pronti a ricevere Intune, includere i passaggi di registrazione e chi contattare per assistenza e domande.

    • Fase di postregistrazione: comunicazione mirata agli utenti e ai gruppi dell'organizzazione registrati in Intune. Dovrebbe fornire risorse aggiuntive che potrebbero essere utili per gli utenti e raccogliere commenti e suggerimenti sulla loro esperienza durante e dopo la registrazione.

    Intune Adoption Kit potrebbe essere utile. Usarlo così come è o modificarlo per l'organizzazione.

  • Scegliere come comunicare le informazioni sull'implementazione di Intune ai gruppi e agli utenti di destinazione. Ad esempio:

    • Creare una riunione di persona a livello di organizzazione o usare Microsoft Teams.

    • Creare un messaggio di posta elettronica per la preregistrazione, un messaggio di posta elettronica per la registrazione e un messaggio di posta elettronica per la postregistrazione. Ad esempio:

      • Posta elettronica 1: spiegare i vantaggi, le aspettative e la pianificazione. Sfruttare questa opportunità per presentare tutti gli altri servizi il cui accesso è concesso ai dispositivi gestiti da Intune.
      • Posta elettronica 2: annunciare che i servizi sono ora pronti per l'accesso tramite Intune. Indicare agli utenti di eseguire la registrazione ora. Assegnare agli utenti una sequenza temporale prima che l'accesso sia interessato. Ricordare agli utenti vantaggi e motivi strategici per la migrazione.
    • Utilizzare un sito Web dell'organizzazione in cui vengono illustrate le fasi di implementazione, quali utenti possono aspettarsi e chi contattare per assistenza.

    • Crea poster, usa piattaforme di social media dell'organizzazione (ad esempio Yammer) o distribuisci flyer per annunciare la fase di pre-registrazione.

  • Crea una sequenza temporale che includa quando e chi. Le prime comunicazioni di avvio di Intune possono essere mirate all'intera organizzazione o solo a un sottoinsieme. Possono avere luogo diverse settimane prima dell'inizio dell'implementazione di Intune. Successivamente, le informazioni potrebbero essere comunicate in fasi a utenti e gruppi, allineate alla pianificazione dell'implementazione di Intune.

    L'esempio seguente è un piano di comunicazione di implementazione di Intune di alto livello:

    Piano di comunicazione Luglio Agosto Settembre Ottobre
    Fase 1 Tutto
    Riunione di avvio Prima settimana
    Fase 2 IT Vendite e marketing Vendita al dettaglio HR, Finance e Executives
    Posta elettronica pre-implementazione 1 Prima settimana Prima settimana Prima settimana Prima settimana
    Fase 3 IT Vendite e marketing Vendita al dettaglio HR, Finance e Executives
    Posta elettronica pre-implementazione 2 Seconda settimana Seconda settimana Seconda settimana Seconda settimana
    Fase 4 IT Vendite e marketing Vendita al dettaglio HR, Finance e Executives
    Posta elettronica di registrazione Terza settimana Terza settimana Terza settimana Terza settimana
    Fase 5 IT Vendite e marketing Vendita al dettaglio HR, Finance e Executives
    Posta elettronica post-registrazione Quarta settimana Quarta settimana Quarta settimana Quarta settimana

Attività 7: supportare l'help desk e gli utenti finali

Includere il supporto IT e l'helpdesk nelle prime fasi della pianificazione della distribuzione di Intune e degli sforzi pilota. Il coinvolgimento precoce espone il personale di supporto a Intune e acquisisce conoscenze ed esperienze per identificare e risolvere i problemi in modo più efficace. Vengono inoltre preparate per supportare l'implementazione completa della produzione dell'organizzazione. I team di supporto e help desk esperti aiutano anche gli utenti ad adottare queste modifiche.

Attività: incorporare la formazione di supporto. Convalidare l'esperienza dell'utente finale con le metriche di successo nel piano di distribuzione. Alcune considerazioni:

  • Determinare chi supporterà gli utenti finali. Le organizzazioni possono avere livelli o livelli diversi (1-3). Ad esempio, i livelli 1 e 2 possono far parte del team di supporto. Il livello 3 include i membri del team MDM responsabile della distribuzione di Intune.

    Il livello 1 è in genere il primo livello di supporto e il primo livello da contattare. Se il livello 1 non è in grado di risolvere il problema, viene inoltrato al livello 2. Il livello 2 lo consente di eseguire l'escalation al livello 3. Il supporto Tecnico Microsoft può essere considerato di livello 4.

    • Nelle fasi di implementazione iniziale, assicurarsi che tutti i livelli del team di supporto documentino i problemi e le soluzioni. Cercare modelli e modificare le comunicazioni per la fase di implementazione successiva. Ad esempio:
      • Se utenti o gruppi diversi esitano a registrare i propri dispositivi personali, prendere in considerazione Teams chiamate per rispondere a domande comuni.
      • Se gli utenti hanno gli stessi problemi di registrazione dei dispositivi di proprietà dell'organizzazione, ospitare un evento di persona per consentire agli utenti di registrare i dispositivi.
  • Creare un flusso di lavoro dell'help desk e comunicare costantemente problemi di supporto, tendenze e altre informazioni importanti a tutti i livelli del team di supporto. È ad esempio possibile tenere riunioni Teams giornaliere o settimanali in modo che tutti i livelli siano a conoscenza di tendenze, modelli e possano ricevere assistenza.

    L'esempio seguente mostra come Contoso implementa i flussi di lavoro di supporto IT o helpdesk:

    1. L'utente finale contatta il supporto IT o il supporto tecnico di livello 1 con un problema di registrazione.
    2. Il supporto IT o l'helpdesk di livello 1 non è in grado di determinare la causa principale e viene inoltrato al livello 2.
    3. Il supporto IT o l'helpdesk di livello 2 analizza. Il livello 2 non è in grado di risolvere il problema e viene inoltrato al livello 3 e fornisce ulteriori informazioni per risolvere il problema.
    4. Il supporto IT o l'helpdesk di livello 3 analizza, determina la causa principale e comunica la risoluzione ai livelli 2 e 1.
    5. Il supporto IT/helpdesk di livello 1 contatta quindi gli utenti e risolve il problema.

    Questo approccio, soprattutto nelle prime fasi dell'implementazione di Intune, aggiunge molti vantaggi, tra cui:

    • Assiste nell'apprendimento tecnologico.
    • Identificare rapidamente i problemi e la risoluzione.
    • Migliorare l'esperienza utente complessiva.
  • Formare l'help desk e i team di supporto. Fai in modo che i dispositivi che eseguono le diverse piattaforme usate nell'organizzazione (Android, iOS/iPadOS, macOS, Windows) siano familiari con il processo. Valuta la possibilità di usare i team di supporto tecnico e di supporto come gruppo pilota per gli scenari.

    Sono disponibili risorse di formazione, tra cui video di YouTube,esercitazioni Microsoft su registrazione, conformità,configurazione e corsi tramite partner di formazione.

    L'esempio seguente è un'agenda di formazione sul supporto di Intune:

    • Revisione del piano di supporto di Intune
    • Panoramica di Intune
    • Risoluzione dei problemi comuni
    • Strumenti e risorse
    • Domande & A

L'istruzione della documentazione per gli utenti finali,il forum di Intune basato sulla communitye la documentazione per gli utenti finali sono anche ottime risorse.

Passaggi successivi

Creare i criteri dell'app e deldispositivo e registrare i dispositivi.

Vedi Intune Adoption Kit.