Abilitare BYOD con IntuneEnable BYOD with Intune

Questo argomento fornisce un flusso di lavoro generale per la configurazione di Intune al fine di abilitare una soluzione BYOD (Bring Your Own Device) per l'organizzazione.This topic provides a high-level workflow for setting up Intune to enable a bring-your-own-device (BYOD) solution to your organization. L'attività è organizzata in tre processi e sono disponibili collegamenti alle procedure di supporto.It organizes the task into three processes and links to supporting how-to topics.

Il flusso di lavoro è suddiviso nei tre processi seguenti.The workflow is divided into the following three processes. È possibile personalizzare gli aspetti di ogni processo in base ai requisiti dell'organizzazione.You can tailor aspects of each process to meet your organization’s requirements.

  • Registrare i dispositivi e verificare la conformità ** descrive come consentire agli utenti di registrare i propri dispositivi personali per la gestione con Intune.Enroll devices and check for compliance** describes how to enable users to enroll their personal devices into management with Intune. Intune gestisce dispositivi iOS, Mac OS, Android e Windows.Intune manages iOS, macOS, Android, and Windows devices. In questa sezione viene inoltre descritto come distribuire i criteri ai dispositivi e verificare che soddisfino i requisiti di sicurezza di base.This section also describes how to deploy policies to devices and ensure they meet basic security requirements.

  • Fornire l'accesso alle risorse aziendali illustra come è possibile consentire agli utenti di accedere alle risorse aziendali in modo semplice e sicuro.Provide access to company resources shows you how you can enable users to access company resources easily and securely. Questa operazione viene eseguita distribuendo i profili di accesso ai dispositivi gestiti.You do this by deploying access profiles to managed devices. In questa sezione viene inoltre spiegato come gestire con Intune le distribuzioni di app acquistate con Volume Purchase Program.This section also explains how to manage volume-purchased app deployments with Intune.

  • Proteggere i dati aziendali offre informazioni utili su come fornire l'accesso condizionale alle risorse aziendali, evitare la perdita di dati e rimuovere le app e i dati aziendali dai dispositivi quando non sono più necessari per il lavoro oppure in caso di furto o smarrimento.Protect company data helps you learn how to provide conditional access to company resources, prevent data loss, and remove company apps and data from devices when they are no longer needed for work or have been lost or stolen.

Diagramma del flusso di lavoro generale per l'abilitazione di BYOD con Microsoft IntuneHigh-level workflow diagram for enabling BYOD with Microsoft Intune

Prima di iniziareBefore you begin

Prima che gli utenti possano registrare i dispositivi, è innanzitutto necessario preparare il servizio Intune.Before users can enroll devices, you first need to prepare the Intune service itself. A tale scopo, assegnare le licenze agli utenti e impostare l'autorità di gestione dei dispositivi mobili.To do so, assign licenses to users and set the mobile device management authority.

Al tempo stesso, è anche necessario personalizzare il portale aziendale.While you're at it, you should also customize the company portal. Aggiungere il branding aziendale e fornire agli utenti informazioni sul supporto.Add company branding and provide users with support information. Questo consente di creare un'esperienza di registrazione e supporto attendibile per gli utenti.This creates a trusted enrollment and support experience for your users. È anche possibile creare condizioni di utilizzo che gli utenti devono accettare prima della registrazione o restrizioni per i dispositivi per specificare le piattaforme supportate.You can also create terms of use that users must accept before enrolling, or device restrictions to specify which platforms you support.

Registrare i dispositivi e verificare la conformitàEnroll devices and check for compliance

Dopo aver preparato il servizio Intune, è necessario soddisfare i vari requisiti di registrazione per i diversi tipi di dispositivi da gestire.After you prepare the Intune service, you need to meet the various enrollment requirements for the different device types that you want to manage. Il processo di registrazione dei dispositivi per la gestione è immediato, ma varia leggermente a seconda del tipo di dispositivo.The process to enroll devices into management is straightforward, but differs slightly based on device type.

  • Dispositivi iOS e Mac Per registrare iPad, iPhone o dispositivi macOS, è necessario richiedere un certificato push MDM Apple.iOS and Mac devices You need to get an Apple MDM push certificate to enroll iPads, iPhones, or macOS devices. Dopo aver caricato il certificato push MDM in Intune, gli utenti possono registrare i dispositivi iOS tramite l'app Portale aziendale e usare il sito Web del portale aziendale per registrare i dispositivi macOS.After you've uploaded your MDM push certificate to Intune, users can enroll iOS devices using the Company Portal app and use the Company Portal website to enroll macOS devices.

  • Dispositivi Android Non è necessario eseguire alcuna operazione per preparare il servizio Intune per la registrazione dei dispositivi Android.Android devices There's nothing you need to do to get the Intune service ready to enroll Android devices. Gli utenti possono registrare i dispositivi Android per la gestione usando l'app Portale aziendale disponibile in Google Play.Users can just enroll their Android devices into management using the Company Portal app available from Google Play.

  • Dispositivi Windows Phone e PC I dispositivi Windows possono essere registrati con configurazione aggiuntiva.Windows Phones and PCs Windows devices can be enrolled with additional configuration. Per semplificare l'esperienza degli utenti finali, è possibile abilitare la registrazione automatica per i PC Windows 10 e i dispositivi mobili Windows 10 in Azure Active Directory (AD) Premium.You can enable automatic enrollment for Windows 10 PCs and Windows 10 mobile devices in Azure Active Directory (AD) Premium to simplify the end user experience. Se non si dispone di Azure AD Premium o se è necessario supportare Windows 8.1, è possibile creare un alias DNS per il server di registrazione per semplificare la registrazione.If you don't have Azure AD Premium or if you need to support Windows 8.1, you can create a DNS alias for the enrollment server to make enrollment easier.

Verificare che i dispositivi gestiti soddisfino i requisiti di sicurezza di baseMake sure that managed devices meet basic security requirements

Dopo che gli utenti hanno registrato i dispositivi per la gestione, il personale IT deve assicurarsi che i dispositivi usati per accedere alle app e ai dati aziendali soddisfino i requisiti di sicurezza di base,After users enroll their devices into management, IT needs to make sure that devices used to access company apps and data meet basic security requirements. come l'uso di un PIN per l'accesso ai dispositivi e la crittografia dei dati archiviati nei dispositivi.These rules might include using a PIN to access devices and encrypting data stored on devices. Un set di regole di questo tipo è definito criteri di conformità.A set of such rules is called a compliance policy.

Quando si distribuiscono criteri di conformità a un utente, ogni dispositivo gestito da Intune viene controllati per determinare se soddisfa i requisiti di sicurezza di base definiti come parte dei criteri BYOD.When you deploy a compliance policy to a user, Intune checks each device the user has managed by Intune to see if the device meets the basic security requirements you defined as part of your BYOD policy. Dopo che un dispositivo è stato valutato per determinarne la conformità ai criteri, il relativo stato viene comunicato a Intune.After a device has been evaluated for policy compliance, it reports its status back to Intune. In alcuni casi, agli utenti potrebbe essere richiesto di correggere le impostazioni, ad esempio il PIN o la crittografia del dispositivo.In some cases, users might be asked to fix settings, such as their PIN or device encryption. In altri casi, l'app Portale aziendale notifica semplicemente all'utente le eventuali impostazioni che non soddisfano i criteri.Other times, the company portal app simply notifies the user about any settings that don't meet your policy.

Fornire l'accesso alle risorse aziendaliProvide access to company resources

La maggior parte dei dipendenti vuole accedere nel proprio dispositivo mobile prima di tutto a posta elettronica e documenti aziendali.The first thing most employees want to access on their mobile device is company email and documents. I dipendenti si aspettano di configurare l'accesso senza procedure complesse e senza doversi rivolgere al supporto tecnico.They expect to set it up without going through complex steps or calling the help desk. Con Intune è semplice creare e distribuire le impostazioni di posta elettronica per le app di posta elettronica native preinstallate nei dispositivi mobili.Intune makes it easy for you to create and deploy email settings for native email apps that are pre-installed on mobile devices.

Nota

Intune supporta la configurazione di profili di posta elettronica Android for Work per le app di posta elettronica Gmail e Nine Work disponibili in Google Play Store.Intune supports Android for Work email profile configuration for the Gmail and Nine Work email apps found in the Google Play store.

Intune consente inoltre di controllare e proteggere l'accesso ai dati aziendali locali quando gli utenti lavorano fuori sede.Intune also helps you control and protect access to on-premises company data when users work offsite. I profili Wi-Fi, VPN e di posta elettronica di Intune interagiscono per consentire agli utenti di accedere ai file e alle risorse necessari, per svolgere le loro attività ovunque si trovino.Intune Wi-Fi, VPN, and email profiles work together to permit access to the files and resources that they need to do their work wherever they are. È anche possibile accedere in modo sicuro alle applicazioni Web e ai servizi dell'azienda ospitati in locale e proteggerli usando il proxy per l'applicazione Azure Active Directory e l'accesso condizionale.Your company's web applications and services hosted on-premises can also be securely accessed and protected using the Azure Active Directory Application Proxy and conditional access.

Gestire le app acquistate con Volume Purchase ProgramManage volume-purchased apps

Con Intune è molto semplice:With Intune, it is easy to:

  • Importare le informazioni sui contratti multilicenza da qualsiasi App StoreImport the volume license information from either app store
  • Tenere traccia del numero di licenze usateTrack how many licenses you have used
  • Impedire agli utenti di installare un numero di copie dell'app superiore al numero di copie acquistatePrevent your users from installing more copies of the app than you own
  • Distribuire app dello Store ai dispositivi gestitiDeliver store apps to managed devices
  • Specificare app di destinazione per i dispositivi non gestiti tramite il sito Web del portale aziendaleTarget apps to unmanaged devices using the company portal website

Intune consente anche di gestire e distribuire le app acquistate con contratti multilicenza dall'App Store di iOS e da Microsoft Store per le aziende.Intune also allows you to manage and deploy apps that you purchased in volume from the iOS app store and the Microsoft Store for Business. In questo modo, è possibile ridurre il carico amministrativo associato al monitoraggio delle app acquistate con Volume Purchase Program.This helps you reduce the administrative overhead of tracking volume-purchased apps.

Suggerimento

È possibile configurare Single Sign-On (SSO) con Azure AD Connect.You can configure Single Sign On (SSO) with Azure AD Connect. SSO consente agli utenti di accedere alle app con il nome utente e la password di dominio usati in locale.SSO lets users sign into apps with the domain user name and password they use on-premises. È inoltre possibile fornire l'accesso basato su Internet alle app Web ospitate in locale usando il proxy dell'applicazione Azure Active Directory.Also, you can provide internet-based access to web apps hosted on-premises using the Azure Active Directory Application Proxy.

Proteggere i dati aziendaliProtect company data

Intune protegge i dati aziendali tramite diversi livelli di tecnologie.Intune protects company data through many technology layers. A livello di identità, l'accesso condizionale protegge l'accesso ai servizi.At the identity layer, conditional access protects access to services. L'accesso condizionale consente l'accesso alle risorse aziendali solo ai dispositivi conformi e gestiti.Conditional access only allows managed and compliant devices to access company resources. A livello di app client, i criteri di protezione delle app proteggono dalla perdita di dati.At the client app layer, app protection policies protects against data loss. I criteri di protezione delle app impediscono lo spostamento dei dati in app o percorsi di archiviazione non protetti.App protection policies prevent data from moving to apps or storage locations that are not protected. Questi criteri consentono inoltre di cancellare i dati aziendali quando un dispositivo viene smarrito o rubato.These policies also let you wipe company data when a device is lost or stolen.

Imporre l'accesso condizionale alle risorse aziendaliEnforce conditional access to company resources

È possibile combinare criteri di conformità con criteri di accesso condizionale per verificare se i dispositivi soddisfano i requisiti di sicurezza di base definiti dai criteri BYOD.You can combine compliance policies with conditional access policies to check if devices meet the basic security requirements that your BYOD policy requires. Se un dispositivo non soddisfa i requisiti, le regole vengono applicate e viene negato l'accesso finché il dispositivo non soddisfa i requisiti dei criteri.If a device doesn't meet the requirements, rules are enforced and access is denied until the device meets policy requirements. In questo modo si ha la certezza che solo i dispositivi gestiti e conformi possano accedere ai dati aziendali da servizi come Exchange (Exchange locale o Exchange Online), SharePoint Online, Skype for Business Online e altri ancora.This ensures that only managed and compliant devices can access company data from services like Exchange (Exchange On-premises or Exchange Online, SharePoint Online, Skype for Business Online, and others.

Importante

I criteri di accesso condizionale non possono essere usati se non vengono applicati criteri di conformità per la convalida della conformità.Conditional access policies will not work if there is no compliance policy in place to validate compliance.

Evitare la perdita dei dati aziendali con criteri di protezione delle appPrevent data loss of company data with app protection policies

Con i criteri di protezione delle app di Intune è possibile scegliere la modalità di accesso ai dati, con o senza registrazione dei dispositivi.With Intune app protection policies, you can choose how your data is accessed, with or without device enrollment. Questa versatilità consente di proteggere i dati aziendali in modo che un utente possa comunque accedere ai dati aziendali in modo sicuro, anche se non registra il dispositivo in Intune.This versatility lets you protect company data so that even if a user doesn't enroll their device into Intune, they can still access company data securely.

È possibile usare i criteri di protezione delle app di Intune per proteggere i dati aziendali a cui accedono i dispositivi iOS e Android.You can use Intune app protection policies to help protect company data that is accessed by iOS and Android devices. Quando si usano questi criteri a livello di app, è possibile controllare il modo in cui i dati aziendali vengono usati e condivisi dai dipendenti, anche se il dispositivo stesso non è gestito da Intune.When you use these app-level policies, you can control how company data is used and shared by employees even if the device itself isn’t managed by Intune

Usare Windows Information Protection (WIP) per eseguire la stessa operazione per i dispositivi Windows 10 gestiti.Use Windows Information Protection (WIP) to do the same for managed Windows 10 devices. Questi criteri possono essere usati senza interferire con l'esperienza del dipendente.These policies work without interfering with the employee experience. Non richiedono modifiche dell'ambiente di rete o di altre app.They do not require changes to your network environment or other apps.

Rimuovere i dati aziendali mantenendo intatti i dati personaliRemove company data while leaving personal data intact

Quando un dispositivo non viene più usato per lavoro, viene reimpiegato o risulta mancante, è necessario poter rimuovere le app e i dati aziendali dal dispositivo.When a device is no longer needed for work, is being repurposed, or has gone missing, you can remove company apps and data from it. A tale scopo, è possibile usare le funzionalità di Intune per rimuovere i dati aziendali e ripristinare le impostazioni predefinite.To do this, you can use Intune's remove company data and factory reset capabilities. Gli utenti possono anche ripristinare in remoto i dispositivi personali dal portale aziendale di Intune, se i dispositivi sono registrati in Intune.Your users can also remotely reset their own personally owned devices from the Intune Company Portal if those devices are enrolled in Intune.

Il ripristino delle impostazioni predefinite consente di ripristinare le impostazioni predefinite di fabbrica di un dispositivo, di rimuovere i dati e le impostazioni dell'utente, nonché di rimuovere il dispositivo dalla gestione di Intune.A factory reset restores a device to its factory default settings, removes user data and settings, and removes the device from Intune management. La funzionalità Rimuovi i dati aziendali rimuove solo i dati aziendali dal dispositivo, mantenendo invariati i dati personali degli utenti.Remove company data removes only company data from the device but leaves users’ personal data intact.

Una volta avviato, il dispositivo inizia immediatamente il processo di ripristino.Once initiated, the device immediately begins the reset process. Al termine del processo, tutti i dati aziendali vengono eliminati e il nome del dispositivo viene rimosso da Intune.When the process is complete, all company data is deleted and the device name is removed from the Intune. Questo termina il ciclo di vita della gestione dei dispositivi mobili.This ends the device management lifecycle.