Creare criteri di sicurezza per i dispositivi in mobilità e sicurezza di baseCreate device security policies in Basic Mobility and Security

È possibile utilizzare la sicurezza e la mobilità di base per creare criteri di dispositivo che consentono di proteggere le informazioni dell'organizzazione su Microsoft 365 da accessi non autorizzati.You can use Basic Mobility and Security to create device policies that help protect your organization information on Microsoft 365 from unauthorized access. È possibile applicare i criteri a qualsiasi dispositivo mobile dell'organizzazione in cui l'utente del dispositivo dispone di una licenza di Microsoft 365 applicabile e ha registrato il dispositivo in mobilità e sicurezza di base.You can apply policies to any mobile device in your organization where the user of the device has an applicable Microsoft 365 license and has enrolled the device in Basic Mobility and Security.

Prima di iniziareBefore you begin

Importante

Prima di poter creare un criterio per dispositivi mobili, è necessario attivare e configurare la mobilità e la sicurezza di base.Before you can create a mobile device policy, you must activate and set up Basic Mobility and Security. Per altre informazioni, vedere Overview of Basic Mobility and Security.For more info, see Overview of Basic Mobility and Security.

  • Informazioni sui dispositivi, le app per dispositivi mobili e le impostazioni di sicurezza supportate da supporto per la sicurezza e la mobilità di base.Learn about the devices, mobile device apps, and security settings that Basic Mobility and Security supports. Vedere funzionalità di base per dispositivi mobili e sicurezza.See Capabilities of Basic Mobility and Security.
  • Creare gruppi di sicurezza che includano gli utenti di Microsoft 365 a cui si desidera distribuire i criteri e per gli utenti che potrebbero essere esclusi dall'accesso bloccato a Microsoft 365.Create security groups that include Microsoft 365 users that you want to deploy policies to and for users that you might want to exclude from being blocked access to Microsoft 365. Prima di distribuire un nuovo criterio per l'organizzazione verifica i criteri distribuendoli a un numero limitato di utenti.We recommend that before you deploy a new policy to your organization, you test the policy by deploying it to a small number of users. È possibile creare e utilizzare un gruppo di sicurezza che includa solo te stesso o un numero limitato di utenti di Microsoft 365 che possano testare il criterio.You can create and use a security group that includes just yourself or a small number Microsoft 365 users that can test the policy for you. Per ulteriori informazioni sui gruppi di sicurezza, vedere creare, modificare o eliminare un gruppo di sicurezza.To learn more about security groups, see Create, edit, or delete a security group.
  • Per creare e distribuire criteri di sicurezza e mobilità di base in Microsoft 365, è necessario essere un amministratore globale di Microsoft 365. Per altre informazioni, vedere Permissions in the Security & Compliance Center.To create and deploy Basic Mobility and Security policies in Microsoft 365, you need to be a Microsoft 365 global admin. For more info, see Permissions in the Security & Compliance Center.
  • Prima di distribuire i criteri, informare l'organizzazione sull'impatto potenziale di registrazione di un dispositivo in mobilità e sicurezza di base.Before you deploy policies, let your organization know the potential impacts of enrolling a device in Basic Mobility and Security. A seconda di come si configurano i criteri, i dispositivi non conformi possono essere bloccati dall'accesso a Microsoft 365 e ai dati, incluse le applicazioni installate, le foto e le informazioni personali su un dispositivo registrato e i dati possono essere eliminati.Depending on how you set up the policies, noncompliant devices can be blocked from accessing Microsoft 365 and data, including installed applications, photos, and personal information on an enrolled device, and data can be deleted.

Nota

I criteri e le regole di accesso creati in MDM per Microsoft 365 business standard eseguono l'override dei criteri cassetta postale di dispositivo mobile di Exchange ActiveSync e delle regole di accesso ai dispositivi creati nell'interfaccia di amministrazione di Exchange.Policies and access rules created in MDM for Microsoft 365 Business Standard override Exchange ActiveSync mobile device mailbox policies and device access rules created in the Exchange admin center. Dopo che un dispositivo è stato registrato in MDM per Microsoft 365 business standard, qualsiasi criterio cassetta postale per il dispositivo mobile di Exchange ActiveSync o la regola di accesso ai dispositivi applicata al dispositivo viene ignorata.After a device is enrolled in MDM for Microsoft 365 Business Standard, any Exchange ActiveSync mobile device mailbox policy or device access rule applied to the device is ignored. Per ulteriori informazioni su Exchange ActiveSync, vedere Exchange ActiveSync in Exchange Online.To learn more about Exchange ActiveSync, see Exchange ActiveSync in Exchange Online.

Passaggio 1: creare un criterio di dispositivo e distribuirlo a un gruppo di testStep 1: Create a device policy and deploy to a test group

Prima di iniziare, assicurarsi di aver attivato e configurato la mobilità e la sicurezza di base.Before you can start, make sure you have activated and set up Basic Mobility and Security. Per istruzioni, vedere Overview of Basic Mobility and Security.For instructions, see Overview of Basic Mobility and Security.

  1. Dal browser, digitare https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.

  2. Selezionare Crea un criterio.Select Create a policy.

    Impostazioni di base per i criteri di sicurezza e mobilità

  3. Nella pagina impostazioni dei criteri specificare i requisiti desiderati applicati ai dispositivi mobili nell'organizzazione.On the Policy settings page, specify the requirements you want applied to mobile devices in your organization.

  4. Richiedi la gestione del profilo di posta elettronica: quando è abilitato, i dispositivi che non dispongono di un profilo di posta elettronica gestito da mobilità e sicurezza di base sono considerati non conformi.Require managing email profile: When enabled, devices that don't have an email profile managed by Basic Mobility and Security are considered not compliant. Un dispositivo non può disporre di un profilo di posta elettronica gestito quando non è stato individuato correttamente o se l'utente ha configurato manualmente l'account di posta elettronica sul dispositivo.A device can't have a managed email profile when it's not correctly targeted, or if the user manually set up the email account on the device. Quando si lascia non abilitato (impostazione predefinita), questa impostazione non viene valutata per la conformità o la mancata conformità.When you leave it Not Enabled (default), this setting isn't evaluated for compliance or non-compliance. Per istruzioni su come gli utenti possono ottenere la conformità quando questa opzione è selezionata, vedere un account di posta elettronica esistente trovato.For instructions on how users can get compliant when this option is selected, see An existing email account was found.

  5. Nella pagina si desidera applicare il criterio , scegliere i gruppi a cui si desidera applicare il criterio.On the Do you want to apply this policy now? page, choose the groups that you want to apply this policy to.

  6. Selezionare crea questo criterio.Select Create this policy.

Il criterio viene inserito nel dispositivo di ogni utente a cui si applica il criterio al successivo accesso a Microsoft 365 utilizzando il dispositivo mobile.The policy is pushed to the device of each user the policy applies to the next time they sign in to Microsoft 365 using their mobile device. Se gli utenti non hanno avuto un criterio applicato al proprio dispositivo mobile prima, dopo aver distribuito il criterio, ricevono una notifica sul dispositivo che include i passaggi per la registrazione e l'attivazione della sicurezza e della mobilità di base.If users haven't had a policy applied to their mobile device before, after you deploy the policy, they get a notification on their device that includes the steps to enroll and activate Basic Mobility and Security. Per altre informazioni, vedere registrazione del dispositivo mobile utilizzando la sicurezza e la mobilità di base.For more info, see Enroll your mobile device using Basic Mobility and Security. Fino a quando non completano la registrazione in mobilità e sicurezza di base ospitate dal servizio Intune, l'accesso a posta elettronica, OneDrive e altri servizi è limitato.Until they complete enrollment in Basic Mobility and Security hosted by the Intune Service, access to email, OneDrive, and other services is restricted. Dopo aver completato la registrazione tramite l'app portale aziendale di Intune, è possibile utilizzare i servizi e il criterio viene applicato al dispositivo.After they complete enrollment by using the Intune Company Portal app, they can use the services and the policy is applied to their device.

Passaggio 2: verificare che il criterio funzioniStep 2: Verify that your policy works

Dopo aver creato un criterio dispositivo, verificare che il criterio funzioni come previsto prima di distribuirlo nell'organizzazione.After you’ve created a device policy, check that the policy works as you expect before you deploy it to your organization.

  1. Dal browser, digitare https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.
  2. Selezionare Visualizza l'elenco dei dispositivi gestiti.Select View the list of managed devices.
  3. Verifica lo stato dei dispositivi dell'utente a cui sono stati applicati i criteri.Check the status of user devices that have the policy applied. Si desidera che lo stato dei dispositivi venga gestito.You want the State of devices to be Managed.
  4. È inoltre possibile eseguire un wipe completo o selettivo su un dispositivo facendo clic su Factory Reset o Remove Company Data from Manage Button dopo aver selezionato un dispositivo.You can also do a full or selective wipe on a device by clicking on Factory reset or Remove company data from Manage button after selecting a device. Per istruzioni, vedere [Wipe a Mobile Device in Microsoft 365.For instructions, see [Wipe a mobile device in Microsoft 365.

Passaggio 3: distribuire un criterio all'organizzazioneStep 3: Deploy a policy to your organization

Dopo aver creato un criterio dispositivo e aver verificato che funzioni come previsto, distribuirlo nell'organizzazione.After you’ve created a device policy and verified that it works as expected, deploy it to your organization.

  1. Dal tipo di browser: https://protection.office.com/devicev2 .From your browser type: https://protection.office.com/devicev2.
  2. Selezionare il criterio che si desidera distribuire e scegliere modifica accanto ai gruppi a cui si è applicati.Select the policy you want to deploy, and choose Edit next to Groups applied to.
  3. Cercare un gruppo da aggiungere e fare clic su Seleziona.Search for a group to add and click on Select.
  4. Selezionare Chiudi e Cambia impostazione.Select Close and Change setting.
  5. Selezionare Chiudi e modifica criterio.Select Close and Edit policy.

Il criterio viene inserito nel dispositivo mobile di ogni utente a cui si applica il criterio al successivo accesso a Microsoft 365 dal proprio dispositivo mobile.The policy is pushed to the mobile device of each user the policy applies to the next time they sign in to Microsoft 365 from their mobile device. Se gli utenti non hanno avuto un criterio applicato al dispositivo mobile, ricevono una notifica sul dispositivo con i passaggi per la registrazione e l'attivazione per la sicurezza e la mobilità di base.If users haven't had a policy applied to their mobile device, they get a notification on their device with steps to enroll and activate it for Basic Mobility and Security. Dopo aver completato la registrazione, il criterio viene applicato al dispositivo.After they’ve completed the enrollment, the policy is applied to their device. Per altre informazioni, vedere registrazione del dispositivo mobile utilizzando la sicurezza e la mobilità di base.For more info, see Enroll your mobile device using Basic Mobility and Security.

Passaggio 4: bloccare l'accesso alla posta elettronica per i dispositivi non supportatiStep 4: Block email access for unsupported devices

Per proteggere le informazioni dell'organizzazione, è necessario bloccare l'accesso app a Microsoft 365 per i dispositivi mobili che non sono supportati da mobilità e sicurezza di base.To help secure your organization information, you should block app access to Microsoft 365 email for mobile devices that aren't supported by Basic Mobility and Security. Per un elenco dei dispositivi supportati, vedere dispositivi supportati.For a list of supported devices, see Supported devices.

Per bloccare l'accesso alle app:To block app access:

  1. Dal browser, digitare https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.

  2. Selezionare Gestisci impostazioni di accesso ai dispositivi a livello di organizzazione.Select Manage organization-wide device access settings.

  3. Per bloccare i dispositivi non supportati, scegliere blocca in se un dispositivo non è supportato da MDM per Microsoft 365e quindi fare clic su Salva.To block unsupported devices, choose Block under If a device isn't supported by MDM for Microsoft 365, and then select Save.

    Opzione di base per mobilità e blocco di sicurezza

Passaggio 5: Scegliere i gruppi di sicurezza da escludere dai controlli dell'accesso condizionaleStep 5: Choose security groups to be excluded from conditional access checks

Se si desidera escludere alcuni utenti dai controlli dell'accesso condizionale sui relativi dispositivi mobili e sono stati creati uno o più gruppi di sicurezza per tali utenti, è possibile aggiungere qui i gruppi di sicurezza.If you want to exclude some people from conditional access checks on their mobile devices and you've created one or more security groups for those people, add the security groups here. Gli utenti di questi gruppi non avranno criteri applicati ai propri dispositivi mobili supportati.The people in these groups won't have any policies enforced for their supported mobile devices. Questa è l'opzione consigliata se non si desidera più utilizzare la mobilità e la sicurezza di base nell'organizzazione.This is the recommended option if you no longer want to use Basic Mobility and Security in your organization.

  1. Dal browser, digitare https://protection.office.com/devicev2 .From your browser, type https://protection.office.com/devicev2.

  2. Selezionare Gestisci impostazioni di accesso ai dispositivi a livello di organizzazione.Select Manage organization-wide device access settings.

    Mobilità e sicurezza di base creare un'opzione per i criteri

  3. Fare clic su Aggiungi per aggiungere il gruppo di sicurezza con gli utenti che si desidera escludere dall'aver bloccato l'accesso a Microsoft 365.Select Add to add the security group that has users you want to exclude from having blocked access to Microsoft 365. Quando un utente è stato aggiunto a questo elenco, può accedere alla posta elettronica Microsoft 365 quando utilizza un dispositivo non supportato.When a user has been added to this list, they can access Microsoft 365 email when they are using an unsupported device.

  4. Selezionare il gruppo di sicurezza che si desidera utilizzare nel pannello Seleziona gruppo .Select the security group you want to use in the Select group panel.

  5. Selezionare il nome e quindi aggiungere > Save.Select the name, and then Add > Save.

  6. Nel riquadro impostazioni di accesso al dispositivo a livello di organizzazione scegliere Salva.On the Organization-wide device access settings panel, choose Save.

    Opzione di base per mobilità e sicurezza Consenti accesso

Qual è l'impatto dei criteri di sicurezza sui diversi tipi di dispositivo?What is the impact of security policies on different device types?

Quando si applica un criterio ai dispositivi utente, l'impatto su ogni dispositivo varia leggermente tra i tipi di dispositivi.When you apply a policy to user devices, the impact on each device varies somewhat among device types. Vedere la tabella seguente per visualizzare esempi dell'impatto dei criteri su diversi dispositivi.See the following table for examples of the impact of policies on different devices.

Criterio di sicurezzaSecurity Policy Android 4 e versioni successiveAndroid 4 and later Samsung KNOXSamsung KNOX iOS 6 e versioni successiveiOS 6 and later NoteNotes
Richiede un backup crittografatoRequire encrypted backup NoNo Yes Yes backup crittografato di iOS necessario.iOS encrypted backup required.
Blocca backup sul cloudBlock cloud backup Yes Yes Yes Blocca backup Google su Android (in grigio), backup cloud su IOS.Block Google backup on Android (grayed out), cloud backup on iOS.
Blocca sincronizzazione documentiBlock document synchronization NoNo NoNo Yes iOS: blocca i documenti nel cloud.iOS: Block documents in the cloud.
Blocca sincronizzazione fotoBlock photo synchronization NoNo NoNo Yes iOS (nativo): blocco lo streaming foto.iOS (native): Block Photo Stream.
Blocca acquisizione schermataBlock screen capture NoNo Yes Yes Tentativo bloccato.Blocked when attempted.
Blocca videoconferenzaBlock video conference NoNo NoNo Yes FaceTime bloccata su iOS, non su Skype o altri.FaceTime blocked on iOS, not on Skype or others.
Blocca invio dati di diagnosticaBlock sending diagnostic data NoNo Yes Yes Blocco invio segnalazione di arresto anomalo di Google su Android.Block sending Google crash report on Android.
Blocca l'accesso all'app storeBlock access to app store NoNo Yes Yes Icona app store mancante nella home page di Android, disattivata in Windows, mancante in IOS.App store icon missing on Android home page, disabled on Windows, missing on iOS.
Richiede una password per l'app storeRequire password for app store NoNo NoNo Yes iOS: password necessaria per gli acquisti su iTunes.iOS: Password required for iTunes purchases.
Blocca connessione con archivi rimovibiliBlock connection to removable storage NoNo Yes N/DN/A Android: la scheda SD è disattivata nelle impostazioni, Windows notifica all'utente che le app installate non sono disponibiliAndroid: SD card is grayed out in settings, Windows notifies user, apps installed aren't available
Blocca connessione BluetoothBlock Bluetooth connection Vedere noteSee notes Vedere noteSee notes Yes Non è possibile disabilitare BlueTooth come impostazione su Android.We can't disable BlueTooth as a setting on Android. Al contrario, vengono disattivate tutte le transazioni che richiedono BlueTooth: distribuzione audio avanzata, controllo remoto audio/video, dispositivi vivavoce, auricolare, accesso rubrica telefonica e porta seriale.Instead, we disable all of the transactions that require BlueTooth: Advanced Audio Distribution, Audio/Video Remote Control, hands-free devices, headset, Phone Book Access, and Serial Port. Durante una di queste transazioni, viene visualizzato un piccolo messaggio popup in fondo alla pagina.A small toast message appears at the bottom of the page when any of these are used.

Cosa accade quando si elimina un criterio o si rimuove un utente dal criterio?What happens when you delete a policy or remove a user from the policy?

Quando si elimina un criterio o si rimuove un utente da un gruppo a cui è stato distribuito il criterio, è possibile che le impostazioni dei criteri, il profilo di posta elettronica di Microsoft 365 e i messaggi memorizzati nella cache vengano rimossi dal dispositivo dell'utente.When you delete a policy or remove a user from a group to which the policy was deployed, the policy settings, Microsoft 365 email profile and cached emails might be removed from the user's device. Vedere la tabella seguente per vedere cosa viene rimosso per i diversi tipi di dispositivi.See the following table to see what is removed for the different device types.

Elementi rimossiWhat's removed iOS 6 e versioni successiveiOS 6 and later Android 4 e versioni successive (incluso Samsung KNOXAndroid 4 and later (including Samsung KNOX
Profili di posta elettronica gestiti1Managed email profiles1 Yes NoNo
Blocca backup sul cloudBlock cloud backup Yes NoNo

1 se il criterio è stato distribuito con il profilo di posta elettronica dell'opzione gestito selezionato, il profilo di posta elettronica gestito e i messaggi nella cache del profilo vengono eliminati dal dispositivo utente.1 If the policy was deployed with the option Email profile is managed selected, the managed email profile and cached emails in that profile are deleted from the user device.

Il criterio viene rimosso dal dispositivo mobile per ogni utente a cui si applica il criterio per la successiva verifica del dispositivo con mobilità e sicurezza di base.The policy is removed from the mobile device for each user the policy applies to the next time their device checks in with Basic Mobility and Security. Se si distribuisce un nuovo criterio che si applica a questi dispositivi utente, viene richiesto di eseguire di nuovo la registrazione in mobilità e sicurezza di base.If you deploy a new policy that applies to these user devices, they are prompted to re-enroll in Basic Mobility and Security.

È inoltre possibile eliminare completamente un dispositivo o cancellare selettivamente le informazioni dell'organizzazione dal dispositivo.You can also wipe a device either completely, or selectively wipe organizational information from the device. Per altre informazioni, vedere Wipe a Mobile Device in Basic Mobility and Security.For more info, see Wipe a mobile device in Basic Mobility and Security.

Panoramica della sicurezza e della mobilità di baseOverview of Basic Mobility and Security

Funzionalità di mobilità e sicurezza di baseCapabilities of Basic Mobility and Security