Gestione dispositivi mobili in Contoso

Microsoft 365 for enterprise include Intune e un set di servizi di Azure che supportano la gestione e la sicurezza dei dispositivi mobili e delle applicazioni.

Contoso ha molti dipendenti abilitati per dispositivi mobili. Alcuni hanno uffici in località Contoso e altri non hanno uffici. Contoso aveva bisogno di un modo per abilitare la produttività dei dipendenti, ma mantenere protetti i dispositivi, i dati contoso archiviati in tali dispositivi e il comportamento dell'applicazione.

Piano

Contoso ha identificato i seguenti casi d'uso di Intune per la gestione dei dispositivi mobili per Microsoft 365 per le aziende:

• Proteggere Exchange Online posta elettronica e i dati in modo che possano essere accessibili in modo sicuro dai dispositivi mobili.
• Implementare un programma BYOD (Bring Your Own Device) per i dipendenti Contoso.
• Inviare telefoni di proprietà dell'organizzazione e tablet condivisi a uso limitato ai dipendenti Contoso.

Contoso non usa Intune per:

• Consentire ai dipendenti di accedere in modo sicuro a Microsoft 365 da un chiosco multimediale pubblico non gestito.
• Proteggere la posta elettronica e i dati locali in modo che possano essere accessibili in modo sicuro dai dispositivi mobili, perché non sono presenti server Microsoft Exchange locali.

Distribuzione

Ecco come Contoso ha configurato l’infrastruttura di gestione dei dispositivi mobili:

• Impostare Intune come autorità MDM (Mobile Gestione dispositivi) e usare Intune in Azure per amministrare il contenuto e gestire i dispositivi

• Creato Microsoft Entra gruppi per i dispositivi per la registrazione e le impostazioni di Intune e i criteri di accesso condizionale basato su dispositivo

  Per altre informazioni, vedere Criteri di accesso condizionale di Contoso.

• Abilitata la piattaforma per dispositivi Apple per supportare i dipendenti con iPad, iMac e iPhone e iPhone di proprietà dell'azienda

• Ha creato criteri di termini e condizioni specifichi per Contoso, visualizzati durante l’installazione del Portale aziendale per i dispositivi mobili di Contoso

• Per i dispositivi non registrati, è stato implementato un set di criteri di gestione delle applicazioni mobili (MAM) per richiedere l'autenticazione per l'accesso ai servizi di Microsoft 365

• Ha creato criteri di Intune che garantiscono:

  • App consentite.
  • Crittografia del dispositivo per impedire l'accesso non autorizzato.
  • PIN o password a sei cifre.
  • Periodo di inattività-timeout.
  • Protezione antivirus e malware e aggiornamenti delle firme con Windows Defender nei dispositivi Windows 10.
  • Aggiornamenti automatici nei dispositivi Windows 10 che includono gli aggiornamenti della sicurezza più recenti.
  • Push dei certificati nei dispositivi gestiti.
  • Una chiara separazione dei dati aziendali e personali. Gli utenti o gli amministratori possono cancellare selettivamente i dati aziendali dal dispositivo, lasciando invariati i dati personali, ad esempio immagini, account di posta elettronica personali e file personali.

Contoso ha registrato PC distribuiti e smartphone e tablet di proprietà dell'azienda aggiungendoli ai gruppi di dispositivi di Intune appropriati. Hanno anche stabilito un programma BYOD per consentire ai dipendenti di registrare i propri dispositivi personali. I dispositivi registrati ricevono i criteri di Intune, che generano dispositivi gestiti e protetti e le relative applicazioni. I dispositivi non registrati hanno criteri di gestione delle applicazioni mobili (MAM, Mobile Application Management) che specificano le applicazioni consentite.

Di seguito è illustrata l'architettura di distribuzione della gestione dei dispositivi mobili contoso.

Passaggio successivo

Informazioni su come Contoso usa le funzionalità di protezione delle informazioni di Microsoft 365 per le aziende per classificare, identificare e proteggere asset digitali cruciali nell'intera organizzazione.

Vedere anche

Gestione dei dispositivi per Microsoft 365

Panoramica di Microsoft 365 per le aziende

Guide dei laboratori di testing