Creare criteri di sicurezza dei dispositivi in Basic Mobility and Security

È possibile usare La mobilità e la sicurezza di base per creare criteri per i dispositivi che consentono di proteggere le informazioni dell'organizzazione su Microsoft 365 da accessi non autorizzati. È possibile applicare criteri a qualsiasi dispositivo mobile dell'organizzazione in cui l'utente del dispositivo ha una licenza di Microsoft 365 applicabile e ha registrato il dispositivo in Mobilità e sicurezza di base.

Informazioni preliminari

Importante

Prima di creare criteri per dispositivi mobili, è necessario attivare e configurare La mobilità e la sicurezza di base. Per altre info, vedi Panoramica della mobilità e della sicurezza di base.

  • Informazioni sui dispositivi, le app per dispositivi mobili e le impostazioni di sicurezza supportate da Basic Mobility and Security. Vedere Funzionalità di mobilità e sicurezza di base.
  • Creare gruppi di sicurezza che includono Microsoft 365 utenti in cui si vogliono distribuire i criteri e per gli utenti che potrebbero voler escludere dall'accesso bloccato ai Microsoft 365. Prima di distribuire un nuovo criterio per l'organizzazione verifica i criteri distribuendoli a un numero limitato di utenti. È possibile creare e usare un gruppo di sicurezza che include solo se stessi o un numero ridotto Microsoft 365 utenti che possono testare automaticamente i criteri. Per altre informazioni sui gruppi di sicurezza, vedere Creare, modificare o eliminare un gruppo di sicurezza.
  • Per creare e distribuire criteri di mobilità e sicurezza di base in Microsoft 365, è necessario essere un amministratore globale Microsoft 365. Per altre info, vedi Autorizzazioni nel Centro conformità & sicurezza.
  • Prima di distribuire i criteri, comunicare all'organizzazione i potenziali effetti della registrazione di un dispositivo in Mobilità e sicurezza di base. A seconda della modalità di configurazione dei criteri, ai dispositivi non conformi può essere impedito l'accesso a Microsoft 365 e dati, tra cui applicazioni installate, foto e informazioni personali in un dispositivo registrato e i dati possono essere eliminati.

Nota

I criteri e le regole di accesso creati in Mobilità e sicurezza di base per Microsoft 365 Business Standard sostituiscono Exchange ActiveSync criteri cassetta postale dei dispositivi mobili e le regole di accesso ai dispositivi creati nell'interfaccia di amministrazione Exchange. Dopo la registrazione di un dispositivo in Mobilità e sicurezza di base per Microsoft 365 Business Standard, qualsiasi Exchange ActiveSync criterio cassetta postale del dispositivo mobile o regola di accesso applicata al dispositivo viene ignorato. Per altre informazioni su Exchange ActiveSync, vedere Exchange ActiveSync in Exchange Online.

Passaggio 1: Creare un criterio dispositivo e distribuirlo in un gruppo di test

Prima di iniziare, assicurarsi di aver attivato e configurato La mobilità e la sicurezza di base. Per istruzioni, vedere Panoramica della mobilità e della sicurezza di base.

  1. Dal browser digitare https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Selezionare Crea un criterio.

    Impostazioni dei criteri di mobilità e sicurezza di base.

  3. Nella pagina Impostazioni criteri specificare i requisiti da applicare ai dispositivi mobili dell'organizzazione.

  4. Richiedi la gestione del profilo di posta elettronica: se abilitati, i dispositivi che non dispongono di un profilo di posta elettronica gestito da Basic Mobility and Security vengono considerati non conformi. Un dispositivo non può avere un profilo di posta elettronica gestito quando non è destinato correttamente o se l'utente configura manualmente l'account di posta elettronica nel dispositivo. Quando si lascia non abilitata (impostazione predefinita), questa impostazione non viene valutata per la conformità o la non conformità. Per istruzioni su come gli utenti possono ottenere la conformità quando questa opzione è selezionata, vedere È stato trovato un account di posta elettronica esistente.

  5. Nella pagina Applicare questo criterio ora? scegliere i gruppi a cui si vuole applicare il criterio.

  6. Selezionare Crea questo criterio.

Il criterio viene inserito nel dispositivo di ogni utente, il criterio viene applicato alla successiva accesso a Microsoft 365 usando il dispositivo mobile. Se gli utenti non hanno mai avuto un criterio applicato al proprio dispositivo mobile prima, dopo aver distribuito i criteri, ricevono una notifica sul dispositivo che include i passaggi per registrare e attivare La mobilità e la sicurezza di base. Per altre info, vedi Registrare il dispositivo mobile usando La mobilità e la sicurezza di base. Fino a quando non completano la registrazione in Mobilità e sicurezza di base ospitata dal servizio Intune, l'accesso alla posta elettronica, alla OneDrive e ad altri servizi è limitato. Dopo aver completato la registrazione usando l'app Portale aziendale Intune, è possibile usare i servizi e i criteri vengono applicati al dispositivo.

Passaggio 2: Verificare che i criteri funzionino

Dopo aver creato i criteri per i dispositivi, verificare che i criteri funzionino come previsto prima di distribuirli nell'organizzazione.

  1. Dal browser digitare https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Selezionare Visualizza l'elenco dei dispositivi gestiti.
  3. Verifica lo stato dei dispositivi dell'utente a cui sono stati applicati i criteri. Si vuole che lo stato dei dispositivi sia gestito.
  4. È anche possibile eseguire una cancellazione completa o selettiva in un dispositivo facendo clic su Ripristino delle impostazioni predefinite o Rimuovi dati aziendali dal pulsante Gestisci dopo aver selezionato un dispositivo. Per istruzioni, vedere [Cancellare un dispositivo mobile in Microsoft 365.

Passaggio 3: Distribuire un criterio all'organizzazione

Dopo aver creato un criterio del dispositivo e aver verificato che funzioni come previsto, distribuirlo nell'organizzazione.

  1. Dal tipo di browser: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Selezionare il criterio da distribuire e scegliere Modifica accanto a Gruppi applicati.
  3. Cercare un gruppo da aggiungere e fare clic su Seleziona.
  4. Selezionare Chiudi e modifica impostazione.
  5. Selezionare Chiudi e modifica criterio.

Il criterio viene inserito nel dispositivo mobile di ogni utente, il criterio viene applicato alla successiva accesso a Microsoft 365 dal dispositivo mobile. Se gli utenti non hanno applicato un criterio al dispositivo mobile, ricevono una notifica sul dispositivo con la procedura per registrarlo e attivarlo per La mobilità e la sicurezza di base. Dopo aver completato la registrazione, i criteri vengono applicati al dispositivo. Per altre info, vedi Registrare il dispositivo mobile usando La mobilità e la sicurezza di base.

Passaggio 4: Bloccare l'accesso alla posta elettronica per i dispositivi non supportati

Per proteggere le informazioni dell'organizzazione, è consigliabile bloccare l'accesso dell'app alla posta elettronica Microsoft 365 per i dispositivi mobili non supportati da Mobilità e sicurezza di base. Per un elenco dei dispositivi supportati, vedere Dispositivi supportati.

Per bloccare l'accesso alle app:

  1. Dal browser digitare https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Selezionare Gestisci impostazioni di accesso ai dispositivi a livello di organizzazione.

  3. Per bloccare i dispositivi non supportati, scegliere Access in If a device is t supported by Basic Mobility and Security for Microsoft 365 (Se un dispositivo non è supportato da Basic Mobility and Security for Microsoft 365) e quindi selezionare Salva.

    Opzione basic Mobility and Security blocca l'accesso.

Passaggio 5: Scegliere i gruppi di sicurezza da escludere dai controlli dell'accesso condizionale

Se si desidera escludere alcuni utenti dai controlli dell'accesso condizionale sui relativi dispositivi mobili e sono stati creati uno o più gruppi di sicurezza per tali utenti, è possibile aggiungere qui i gruppi di sicurezza. Gli utenti di questi gruppi non avranno criteri applicati per i dispositivi mobili supportati. Questa è l'opzione consigliata se non si vuole più usare La mobilità e la sicurezza di base nell'organizzazione.

  1. Dal browser digitare https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Selezionare Gestisci impostazioni di accesso ai dispositivi a livello di organizzazione.

    La mobilità e la sicurezza di base creano un'opzione di criteri.

  3. Selezionare Aggiungi per aggiungere il gruppo di sicurezza con gli utenti da escludere dal blocco dell'accesso a Microsoft 365. Quando un utente è stato aggiunto a questo elenco, può accedere Microsoft 365 messaggio di posta elettronica quando usa un dispositivo non supportato.

  4. Selezionare il gruppo di sicurezza da usare nel pannello Seleziona gruppo .

  5. Selezionare il nome e quindi Aggiungi > salva.

  6. Nel pannello Impostazioni di accesso ai dispositivi a livello di organizzazione scegliere Salva.

    Opzione basic Mobility and Security allow access (Mobilità e sicurezza di base) per consentire l'accesso.

Qual è l'impatto dei criteri di sicurezza sui diversi tipi di dispositivo?

Quando si applicano criteri ai dispositivi utente, l'impatto su ogni dispositivo varia leggermente tra i tipi di dispositivo. Vedere la tabella seguente per visualizzare esempi dell'impatto dei criteri su diversi dispositivi.

Criteri di sicurezza Android Samsung KNOX iOS Note
Richiede un backup crittografato No È necessario il backup crittografato iOS.
Blocca backup sul cloud Blocca backup Google su Android (in grigio), backup cloud su IOS.
Blocca sincronizzazione documenti No No iOS: blocca i documenti nel cloud.
Blocca sincronizzazione foto No No iOS (nativo): blocco lo streaming foto.
Blocca acquisizione schermata No Tentativo bloccato.
Blocca videoconferenza No No FaceTime bloccato in iOS, non in Skype o in altri.
Blocca invio dati di diagnostica No Blocco invio segnalazione di arresto anomalo di Google su Android.
Blocca l'accesso all'app store No Icona app store mancante nella home page di Android, disattivata in Windows, mancante in IOS.
Richiede una password per l'app store No No iOS: password necessaria per gli acquisti su iTunes.
Blocca connessione con archivi rimovibili No N/D Android: la scheda SD è disattivata nelle impostazioni, Windows notifica all'utente che le app installate non sono disponibili
Blocca connessione Bluetooth Vedere le note Vedere le note Non è possibile disabilitare BlueTooth come impostazione in Android. Vengono invece disabilitate tutte le transazioni che richiedono BlueTooth: distribuzione audio avanzata, controllo remoto audio/video, dispositivi vivavoce, auricolare, accesso al libro Telefono e porta seriale. Durante una di queste transazioni, viene visualizzato un piccolo messaggio popup in fondo alla pagina.

Cosa accade quando si elimina un criterio o si rimuove un utente dal criterio?

Quando si elimina un criterio o si rimuove un utente da un gruppo in cui è stato distribuito il criterio, le impostazioni dei criteri Microsoft 365 profilo di posta elettronica e i messaggi di posta elettronica memorizzati nella cache potrebbero essere rimossi dal dispositivo dell'utente. Vedere la tabella seguente per vedere cosa viene rimosso per i diversi tipi di dispositivo.

Elementi rimossi iOS Android (incluso Samsung KNOX
Profili di posta elettronicagestiti 1 No
Blocca backup sul cloud No

1 Se il criterio è stato distribuito con l'opzione Profilo di posta elettronica è gestito selezionato, il profilo di posta elettronica gestito e i messaggi di posta elettronica memorizzati nella cache in tale profilo vengono eliminati dal dispositivo utente.

I criteri vengono rimossi dal dispositivo mobile per ogni utente che i criteri si applicano alla successiva verifica del dispositivo con La mobilità e la sicurezza di base. Se si distribuisce un nuovo criterio che si applica a questi dispositivi utente, viene richiesto di eseguire di nuovo la registrazione in Mobilità e sicurezza di base.

È anche possibile cancellare completamente o in modo selettivo le informazioni aziendali dal dispositivo. Per altre info, vedi Cancellare un dispositivo mobile in Mobilità e sicurezza di base.

Panoramica della mobilità e della sicurezza di base (articolo)
Funzionalità di mobilità e sicurezza di base (articolo)