Criteri comuni di identità e accesso dei dispositiviCommon identity and device access policies

In questo articolo vengono descritti i comuni consigliati i criteri per proteggere Microsoft 365 Enterprise.This article describes the common recommended policies to help you secure Microsoft 365 Enterprise.

In questa guida viene descritto come distribuire i criteri consigliati in un ambiente di cui è appena stato eseguito il provisioning. L'impostazione di questi criteri in un ambiente lab distinto consente di comprendere e valutare i criteri consigliati prima di eseguire l'implementazione degli ambienti di pre-produzione e di produzione. L'ambiente di cui è stato eseguito il provisioning può essere solo cloud o ibrido.This guidance discusses how to deploy the recommended policies in a newly provisioned environment. Setting up these policies in a separate lab environment allows you to understand and evaluate the recommended policies before staging the rollout to your pre-production and production environments. Your newly provisioned environment may be cloud-only or Hybrid.

Set di criteriPolicy set

Nel diagramma seguente illustra il set di criteri consigliato. Viene illustrato quale livello di protezione si applica a ogni criterio e indica se i criteri si applicano a PC, telefoni e Tablet o entrambe le categorie di dispositivi. Indica inoltre cui tali criteri vengono configurati.The following diagram illustrates the recommended set of policies. It shows which tier of protections each policy applies to and whether the policies apply to PCs, phones and tablets, or both categories of devices. It also indicates where these policies are configured.

identità e dispositivi comuni le regole di accesso

Il resto di questo articolo viene descritto come configurare questi criteri.The rest of this article describes how to configure these policies.

È consigliabile utilizzare l'autenticazione a più fattori dopo aver registrato i dispositivi in Intune per verificare che il dispositivo non è in possesso dell'utente desiderato. Ed è necessario registrare dispositivi in Intune prima dell'applicazione di criteri di conformità di dispositivi.Using multi-factor authentication is recommended before enrolling devices into Intune for assurance that the device is in the possession of the intended user. And you must enroll devices into Intune before enforcing device compliance policies.

Per assegnare il tempo necessario per eseguire queste attività, è consigliabile implementare criteri di base nell'ordine elencato nella tabella seguente. Tuttavia, è possibile implementare criteri MFA per la protezione riservato e altamente regolamentato in qualsiasi momento.To give you time to accomplish these tasks, we recommend implementing the baseline policies in the order listed in this table. However, the MFA policies for sensitive and highly regulated protection can be implemented at any time.

Livello di protezioneProtection level CriteriPolicies Ulteriori informazioniMore information
Protezione di baseBaseline È necessario MFA per i rischi di accesso impostato su medio o altaRequire MFA when sign-in risk is medium or high
Bloccare i client che non supportano l'autenticazione modernoBlock clients that don't support modern authentication I client che non utilizzano l'autenticazione moderno possono ignorare le regole di accesso condizionale in modo che è importante bloccare queste.Clients that do not use modern authentication can bypass conditional access rules, so it's important to block these.
Gli utenti ad alto rischio modifica della passwordHigh risk users must change password Impone agli utenti di modificare la password all'accesso se viene rilevata qualche attività ad alto rischio per il proprio account.Forces users to change their password when signing in if high risk activity is detected for their account.
Definire criteri di protezione delle appDefine app protection policies Un criterio per ogni piattaforma (iOS, Android, Windows).One policy per platform (iOS, Android, Windows).
Richiedi App approvateRequire approved apps Impone la protezione di applicazioni per dispositivi mobili per telefoni e TabletEnforces mobile app protection for phones and tablets
Definire criteri di conformità di dispositivoDefine device compliance policies Un criterio per ogni piattaforma.One policy for each platform.
Richiedi PC CompatibleRequire compliant PCs Impone la gestione Intune di PCEnforces Intune management of PCs
Dati sensibiliSensitive È necessario MFA per i rischi di accesso sono bassa, Media o altaRequire MFA when sign-in risk is low, medium or high
Richiedi compatibile con PC e dispositivi mobiliRequire compliant PCs and mobile devices Impone la gestione di Intune per PC e telefono/Tablet.Enforces Intune management for PCs and phone/tablets.
Protezione per ambienti altamente regolamentatiHighly regulated Sempre requrie MFAAlways requrie MFA

Assegnazione di criteri per gli utentiAssigning policies to users

Prima di configurare i criteri, identificare i gruppi di Azure Active Directory in uso per ogni livello di protezione. Protezione di base in genere, si applica a tutti gli utenti nell'organizzazione. Un utente che è incluso sia previsto e la protezione sensibile avrà tutti i criteri di base applicati più criteri riservati. Protezione è cumulativa e viene applicato il criterio più restrittivo.Before configuring policies, identify the Azure AD groups you are using for each tier of protection. Typically, baseline protection applies to everybody in the organization. A user who is included for both baseline and sensitive protection will have all the baseline policies applied plus the sensitive policies. Protection is cumulative and the most restrictive policy is enforced.

Una procedura consigliata consiste nel creare un gruppo di Azure Active Directory per l'esclusione di accesso condizionale. Aggiungere il gruppo a tutte le regole di accesso condizionato in "Permettevano." In questo modo un metodo per fornire l'accesso a un utente durante la risoluzione dei problemi di accesso. Si consiglia di come soluzione temporanea. Monitorare questo gruppo per le modifiche e verificare che il gruppo di esclusione è utilizzato solo come previsto.A recommended practice is to create an Azure AD group for conditional access exclusion. Add this group to all of your conditional access rules under "Exlude." This gives you a method to provide access to a user while you troubleshoot access issues. This is recommended as a temporary solution only. Monitor this group for changes and be sure the exclusion group is being used only as intended.

Nel diagramma seguente viene fornito un esempio di assegnazione utente e le esclusioni.The following diagram provides an example of user assignment and exclusions.

Assegnazione di utente di esempio ed exlusions per le regole di MFA

Nella figura "team di project segreta principali X" è stato assegnato un criterio di accesso condizionale che richiede MFA sempre. Essere razionale quando si applica più alti livelli di protezione per gli utenti. I membri del team di progetto deve fornire due metodi di autenticazione ogni volta che si connettono, anche se non visualizzano contenuto altamente regolamentato.In the illustration the "Top secret project X team" is assigned a conditional access policy that requires MFA always. Be judicious when applying higher levels of protection to users. Members of this project team will be required to provide two forms of authentication every time they log on, even if they are not viewing highly regulated content.

Tutti i gruppi di Azure Active Directory creati come parte di questi suggerimenti devono essere creati come gruppi di Office 365. Si tratta in particolare importante per la distribuzione di Azure Information Protection (AIP) durante la protezione dei documenti in SharePoint Online.All Azure AD groups created as part of these recommendations must be created as Office 365 groups. This is specifically important for the deployment of Azure Information Protection (AIP) when securing documents in SharePoint Online.

Acquisizione schermo per la creazione di gruppi di Office 365

Richiedi MFA basato su accesso rischioRequire MFA based on sign-in risk

Prima di richiedere MFA, utilizzare un criterio di registrazione di MFA di protezione di identità per registrare gli utenti di MFA. Dopo che gli utenti vengono registrati è possibile applicare MFA per l'accesso. Lavoro prerequisito inclusa la registrazione di tutti gli utenti con MFA.Before requiring MFA, first use an Identity Protection MFA registration policy to register users for MFA. After users are registered you can enforce MFA for sign-in. The prerequisite work includes registering all users with MFA.

Per creare nuovi criteri di accesso condizionale:To create a new conditional access policy:

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovi criteri come illustrato nella schermata seguente:Choose New policy as shown in the screen-shot below:

Criterio di accesso condizionale di base

Nelle tabelle seguenti vengono descritte le impostazioni di criteri di accesso condizionale per l'implementazione di questo criterio.The following tables describes the conditional access policy settings to implement for this policy.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
Utenti e gruppiUsers and groups IncludiInclude Seleziona utenti e gruppi - Selezionare il gruppo di sicurezza specifico in cui sono contenuti gli utenti di destinazioneSelect users and groups – Select specific security group containing targeted users Iniziare con il gruppo di sicurezza che include utenti pilota.Start with security group including pilot users.
ExcludeExclude Exception security group; service accounts (app identities) (Gruppo di sicurezza eccezione account del servizio (identità applicazione)Exception security group; service accounts (app identities) Appartenenza modificata su base temporanea a seconda delle necessitàMembership modified on an as needed temporary basis
App cloudCloud apps IncludiInclude Selezionare le applicazioni che si desidera applicare per la regola. Ad esempio, selezionare Exchange Online di Office 365Select the apps you want this rule to apply to. For example, select Office 365 Exchange Online
CondizioniConditions ConfigurataConfigured Yes Configurare in base all'ambiente e alle necessità specificiConfigure specific to your environment and needs
Rischio di accessoSign-in risk Livello di rischioRisk level Vedere le informazioni aggiuntive nella tabella seguenteSee the guidance in the following table

Rischio di accessoSign-in risk

Applicare le impostazioni in base al livello proteciton di destinazione.Apply the settings based on the proteciton level you are targeting.

ProprietàProperty Livello di protezioneLevel of protection ValoriValues NoteNotes
Livello di rischioRisk level Protezione di baseBaseline Alto, medioHigh, medium Controllare entrambiCheck both
Dati sensibiliSensitive Alta, Media, bassaHigh, medium, low Controllare tutti e treCheck all three
Protezione per ambienti altamente regolamentatiHighly regulated Lasciare tutte le opzioni uchecked enforce sempre MFALeave all options uchecked to always enforce MFA

Controlli di accessoAccess controls

TipoType ProprietàProperties ValoriValues NoteNotes
ConcessioneGrant Concedi accessoGrant access TrueTrue Opzione selezionataSelected
Richiedi MFARequire MFA TrueTrue CheckCheck
Richiedi dispositivo deve essere contrassegnato come compatibile.Require device to be marked as compliant FalseFalse
Richiedi ibrida Azure Active Directory aggiunti al dispositivoRequire Hybrid Azure AD joined device FalseFalse
Richiedere l'applicazione client approvataRequire approved client app FalseFalse
Richiedi tutti i controlli selezionatiRequire all the selected controls TrueTrue Opzione selezionataSelected

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Bloccare i client che non supportano l'autenticazione modernoBlock clients that don't support modern authentication

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovo criterio.Choose New policy.

Nelle tabelle seguenti vengono descritte le impostazioni di criteri di accesso condizionale per l'implementazione di questo criterio.The following tables describes the conditional access policy settings to implement for this policy.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
Utenti e gruppiUsers and groups IncludiInclude Seleziona utenti e gruppi - Selezionare il gruppo di sicurezza specifico in cui sono contenuti gli utenti di destinazioneSelect users and groups – Select specific security group containing targeted users Iniziare con il gruppo di sicurezza che include utenti pilota.Start with security group including pilot users.
ExcludeExclude Exception security group; service accounts (app identities) (Gruppo di sicurezza eccezione account del servizio (identità applicazione)Exception security group; service accounts (app identities) Appartenenza modificata su base temporanea a seconda delle necessitàMembership modified on an as needed temporary basis
App cloudCloud apps IncludiInclude Selezionare le applicazioni che si desidera applicare per la regola. Ad esempio, selezionare Exchange Online di Office 365Select the apps you want this rule to apply to. For example, select Office 365 Exchange Online
CondizioniConditions ConfigurataConfigured Yes Configurare le applicazioni ClientConfigure Client apps
Applicazioni clientClient apps ConfigurataConfigured Yes App per dispositivi mobili e i client desktop, gli altri client (selezionare entrambi)Mobile apps and desktop clients, Other clients (select both)

Controlli di accessoAccess controls

TipoType ProprietàProperties ValoriValues NoteNotes
ConcessioneGrant Blocca accessoBlock access TrueTrue Opzione selezionataSelected
Richiedi MFARequire MFA FalseFalse
Richiedi dispositivo deve essere contrassegnato come compatibile.Require device to be marked as compliant FalseFalse
Richiedi ibrida Azure Active Directory aggiunti al dispositivoRequire Hybrid Azure AD joined device FalseFalse
Richiedere l'applicazione client approvataRequire approved client app FalseFalse
Richiedi tutti i controlli selezionatiRequire all the selected controls TrueTrue Opzione selezionataSelected

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Gli utenti ad alto rischio modifica della passwordHigh risk users must change password

Perché tutti gli account compromessi di utenti a rischio elevato siano obbligati a modificare la password durante l'accesso, è necessario applicare i criteri seguenti.To ensure that all high-risk users compromised accounts are forced to perform a password change when signing-in, you must apply the following policy.

Eseguire l'accesso al portale Microsoft Azure (http://portal.azure.com) con le credenziali di amministratore e quindi passare alla Azure Active Directory Identity protezione > criteri utente rischio.Log in to the Microsoft Azure portal (http://portal.azure.com) with your administrator credentials, and then navigate to Azure AD Identity Protection > User Risk Policy.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
UsersUsers IncludiInclude Tutti gli utentiAll users Opzione selezionataSelected
ExcludeExclude NessunoNone
CondizioniConditions Rischio utenteUser risk AltaHigh Opzione selezionataSelected

ControlliControls

TipoType ProprietàProperties ValoriValues NoteNotes
AccessAccess Consenti l'accessoAllow access TrueTrue
AccessoAccess Richiedi modifica passwordRequire password change TrueTrue

Revisione: non applicabileReview: not applicable

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Definire criteri di protezione delle appDefine app protection policies

Definiscono criteri di protezione App quali App possono e le azioni che possa rispondere con i dati dell'organizzazione. Creare app Intune criteri di protezione dal portale di Azure.App protection policies define which apps are allowed and the actions they can take with your organization data. Create Intune app protection policies from within the Azure portal.

Creare un criterio per ogni piattaforma:Create a policy for each platform:

  • iOSiOS
  • AndroidAndroid
  • Windows 10Windows 10

Per creare un nuovo criterio di protezione di applicazioni, eseguire l'accesso al portale dei Microsoft Azure con le credenziali di amministrazione e quindi passare alla App per dispositivi mobili > Criteri di protezione App. Fare clic su Aggiungi un criterio.To create a new app protection policy, log in to the Microsoft Azure portal with your administer credentials, and then navigate to Mobile apps > App protection policies. Click Add a policy.

Esistono lievi differenze nella protezione app opzioni dei criteri tra iOS e Android. Il criterio di seguito è riportato in modo specifico per Android. Utilizzare come guida per gli altri criteri di.There are slight differences in the app protection policy options between iOS and Android. The below policy is specifically for Android. Use this as a guide for your other policies.

L'elenco delle App consigliato include quanto segue:The recommended list of apps includes the following:

  • PowerPointPowerPoint
  • ExcelExcel
  • WordWord
  • Microsoft TeamsMicrosoft Teams
  • Microsoft SharePointMicrosoft SharePoint
  • Visualizzatore di Microsoft VisioMicrosoft Visio Viewer
  • OneDriveOneDrive
  • OneNoteOneNote
  • OutlookOutlook

Nelle tabelle seguenti vengono descrivono le impostazioni consigliate:The following tables describe the recommended settings:

TipoType ProprietàProperties ValoriValues NoteNotes
Rilocazione datiData relocation Impedisci backup in AndroidPrevent Android backup Yes In iOS viene effettua una chiamata in iTunes e iCloudOn iOS this will specifically call out iTunes and iCloud
Consenti all'app di trasferire i dati ad altre appAllow app to transfer data to other apps App gestite da criteriPolicy managed apps
Consenti app ricevere dati da altre applicazioniAllow app to receive data from other apps App gestite da criteriPolicy managed apps
Impedisci Salva con nomePrevent "Save As" Yes
Selezionare i dati aziendali servizi di archiviazione possono essere salvatiSelect which storage services corporate data can be saved to OneDrive for Business, SharePointOneDrive for Business, SharePoint
Limita le operazioni taglia, copia e incolla con le altre appRestrict cut, copy, and paste with other apps Applicazioni gestiti da criteri con Incolla inPolicy managed apps with paste in
Limita il contenuto Web per la visualizzazione in Managed BrowserRestrict web content to display in the managed browser NoNo
Crittografa dati appEncrypt app data Yes In iOS selezionare l'opzione Quando il dispositivo è bloccatoOn iOS select option: When device is locked
Disattivare la crittografia app quando è abilitata la perifericaDisable app encryption when device is enabled Yes Disabilitare questa impostazione per evitare di crittografia doppiaDisable this setting to avoid double encryption
Disabilita sincronizzazione contattiDisable contacts sync NoNo
Disattiva la stampaDisable printing NoNo
AccessoAccess Richiedi PIN per l'accessoRequire PIN for access Yes
Selezionare tipoSelect Type Valore numericoNumeric
Consenti PIN sempliceAllow simple PIN NoNo
Lunghezza PINPIN length 6 6
Consenti impronta digitale anziché PINAllow fingerprint instead of PIN Yes
Disattivare app PIN quando viene gestito PIN del dispositivoDisable app PIN when device PIN is managed Yes
Richiedi credenziali aziendali per l'accessoRequire corporate credentials for access NoNo
Controlla di nuovo i requisiti di accesso dopo (minuti)Recheck the access requirement after (minutes) 3030
Blocca acquisizione schermo e Assistente per AndroidBlock screen capture and Android assistant NoNo In iOS questa opzione non è disponibileOn iOS this is not an available option
Requisiti di protezione di accessoSign-in security requirements PIN numero massimo tentativiMax PIN attempts 5 5 Reimpostare il PinReset Pin
Periodo di prova offlineOffline grace period 720720 Blocca accessoBlock access
Intervallo offline (giorni) prima della cancellazione dei dati dell'appOffline interval (days) before app data is wiped 9090 Cancellazione datiWipe data
Dispositivi Jailbroken/radiceJailbroken/rooted devices Cancellazione datiWipe data

Al termine, ricordarsi di fare clic su "Crea". Ripetere i passaggi precedenti e sostituire la piattaforma selezionata (menu a discesa) con iOS. In questo modo vengono creati due criteri per le app, quindi dopo aver creato i criteri, assegnare i gruppi ai criteri e distribuirli.When complete, remember to click "Create". Repeat the above steps and replace the selected platform (dropdown) with iOS. This creates two app policies, so once you create the policy, then assign groups to the policy and deploy it.

Per modificare i criteri e assegnare i criteri per gli utenti, vedere come creare e assegnare i criteri di protezione di applicazioni.To edit the policies and assign these policies to users, see How to create and assign app protection policies.

Richiedi App approvateRequire approved apps

Per richiedere l'App approvate:To require approved apps:

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovo criterio.Choose New policy.

  5. Immettere un nome per i criteri, quindi in Utenti e gruppi scegliere gli utenti e i gruppi ai quali applicare i criteri.Enter a policy name, then choose the Users and groups you want to apply the policy for.

  6. Scegliere App cloud.Choose Cloud apps.

  7. Scegliere Seleziona App, selezionare l'App desiderata nell'elenco di applicazioni basate su Cloud . Ad esempio, selezionare Exchange Online di Office 365. Fare clic su Seleziona e Fine.Choose Select apps, select the desired apps from the Cloud apps list. For example, select Office 365 Exchange Online. Click Select and Done.

  8. Scegliere Concedi nella sezione Controlli di accesso.Choose Grant from the Access controls section.

  9. Scegliere concedere l'accesso, selezionare Richiedi approvato dall'applicazione client. Per più controlli, selezionare Richiedi i controlli selezionati, quindi scegliere Seleziona.Choose Grant access, select Require approved client app. For multiple controls, select Require the selected controls, then choose Select.

  10. Fare clic su Crea.Click Create.

Definire criteri di conformità di dispositivoDefine device compliance policies

Criteri di conformità dispositivo definiscono i requisiti dei dispositivi devono rispettare per poter essere contrassegnato come compatibile. Creare criteri di conformità dall'interno del portale Azure Intune dispositivo.Device compliance policies define the requirements that devices must adhere to in order to be marked as compliant. Create Intune device compliance policies from within the Azure portal.

Creare un criterio per ogni piattaforma:Create a policy for each platform:

  • AndroidAndroid
  • Enterprise AndroidAndroid enterprise
  • iOSiOS
  • Mac OSmacOS
  • Windows Phone 8.1Windows Phone 8.1
  • Windows 8.1 e versioni successiveWindows 8.1 and later
  • Windows 10 e versioni successiveWindows 10 and later

Per creare criteri di conformità dispositivo, eseguire l'accesso al portale dei Microsoft Azure con le credenziali di amministrazione e quindi passare alla Intune > conformità dispositivo. Fare clic su Crea un criterio.To create device compliance policies, log in to the Microsoft Azure portal with your administer credentials, and then navigate to Intune > Device compliance. Click Create policy.

Le impostazioni riportate di seguito sono consigliate per Windows 10. [VERIFICARE LE IMPOSTAZIONI, MANCANO ALCUNI]The following settings are recommended for Windows 10. [REVIEW SETTINGS, SOME ARE MISSING]

Integrità dispositivo: le regole di valutazione di Windows integrità attestazione servizioDevice health: Windows Health Attestation Service evaluation rules

ProprietàProperties ValoriValues NoteNotes
Richiedi BitLockerRequire BitLocker RequireRequire
Richiedi avvio sicura sia abilitata nel dispositivoRequire Secure Boot to be enabled on the device RequireRequire
Richiedere l'integrità del codiceRequire code integrity RequireRequire

Proprietà del dispositivoDevice properties

TipoType ProprietàProperties ValoriValues NoteNotes
Versione del sistema operativoOperating system version TuttoAll Non configurataNot configured

Tutti i criteri descritti in precedenza vengono considerati distribuiti se assegnati a gruppi di utenti. Creare quindi criteri (al momento del salvataggio) o successivamente selezionando Gestisci distribuzione nella sezione Criteri (stesso livello di Aggiungi).For all the above policies to be considered deployed, they must be targeted at user groups. You can do this by creating the policy (on Save) or later by selecting Manage Deployment in the Policy section (same level as Add).

Protezione del sistemaSystem security

TipoType ProprietàProperties ValoriValues NoteNotes
PasswordPassword Richiedere una password per sbloccare i dispositivi mobiliRequire a password to unlock mobile devices RequireRequire
Password sempliceSimple passwords BloccoBlock
Tipo di passwordPassword type Impostazioni predefinite dispositivoDevice default
Lunghezza minima passwordMinimum password length 6 6
Numero massimo di minuti di inattività prima che la password è obbligatoriaMaximum minutes of inactivity before password is required 15 15 Questa impostazione è supportata per le versioni Android 4.0 e versioni successive o KNOX 4.0 e versioni successive. Per i dispositivi iOS, è supportato per iOS 8.0 e versioni successive.This setting is supported for Android versions 4.0 and above or KNOX 4.0 and above. For iOS devices, it’s supported for iOS 8.0 and above.
Scadenza password (giorni)Password expiration (days) 4141
Numero di password precedente per impedire il riutilizzoNumber of previous passwords to prevent reuse 5 5
Richiedi password quando dispositivo restituisce da uno stato inattivo (Mobile e Halographic)Require password when device returns from idle state (Mobile and Halographic) RequireRequire Disponibile per Windows 10 e versioni successive.Available for Windows 10 and later.
CrittografiaEncryption Crittografia di archiviazione dei dati nel dispositivoEncryption of data storage on device RequireRequire
Sicurezza dei dispositiviDevice Security FirewallFirewall RequireRequire
AntivirusAntivirus RequireRequire
AntiSpywareAntiSpyware RequireRequire Questa impostazione reuquires una soluzione Anti-Spyware registrati in Centro protezione di Windows.This setting reuquires an Anti-Spyware solution registered with Windows Security Center.
DefenderDefender Widnows Defender AntimalwareWidnows Defender Antimalware RequireRequire
Versione minima di Windows Defender AntimalwareWindows Defender Antimalware minimum version Supportata solo per Windows 10 desktop. Microsoft non consiglia di versioni più di cinque dietro dalla versione più recente.Only supported for Windows 10 desktop. Microsoft recommends versions no more than five behind from the most recent version.
Firma Windows Defender Antimalware aggiornatoWindows Defender Antimalware signature up-to-date RequireRequire
Protezione in tempo realeReal-time protection RequireRequire Supportata solo per Windows 10 desktop.Only supported for Windows 10 desktop.

Windows Defender ATPWindows Defender ATP

TipoType ProprietàProperties ValoriValues NoteNotes
Regole di protezione di Windows Defender avanzate rischioWindows Defender Advanced Threat Protection rules Richiedono il dispositivo sia in o sotto il punteggio di rischio automaticaRequire the device to be at or under the machine risk score MedioMedium

Richiedi PC compatibile con (ma non Compatible telefoni e Tablet)Require compliant PCs (but not compliant phones and tablets)

Prima di aggiungere un criterio per richiedere PC compatibile, assicurarsi di registrare i dispositivi per la gestione in Intune. È consigliabile utilizzare l'autenticazione a più fattori dopo aver registrato i dispositivi in Intune per verificare che il dispositivo non è in possesso dell'utente desiderato.Before adding a policy to require compliant PCs, be sure to enroll devices for management into Intune. Using multi-factor authentication is recommended before enrolling devices into Intune for assurance that the device is in the possession of the intended user.

Per richiedere PC compatibile:To require compliant PCs:

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovo criterio.Choose New policy.

  5. Immettere un nome per i criteri, quindi in Utenti e gruppi scegliere gli utenti e i gruppi ai quali applicare i criteri.Enter a policy name, then choose the Users and groups you want to apply the policy for.

  6. Scegliere App cloud.Choose Cloud apps.

  7. Scegliere Seleziona App, selezionare l'App desiderata nell'elenco di applicazioni basate su Cloud . Ad esempio, selezionare Exchange Online di Office 365. Fare clic su Seleziona e Fine.Choose Select apps, select the desired apps from the Cloud apps list. For example, select Office 365 Exchange Online. Click Select and Done.

  8. Per richiedere compatibile con PC, ma non Compatible telefoni e Tablet, scegliere dispositivo piattaformee condizioni . Scegliere "piattaforme seleziona dispositivo" e selezionare Windows e Mac OS.To require compliant PCs, but not compliant phones and tablets, choose Conditions and Device platforms. Choose "Select device platforms" and select Windows and macOS.

  9. Scegliere Concedi nella sezione Controlli di accesso.Choose Grant from the Access controls section.

  10. Scegliere concedere l'accesso, selezionare Richiedi dispositivo deve essere contrassegnato come compatibile. Per più controlli, selezionare Richiedi tutti i controlli selezionati, quindi scegliere Seleziona.Choose Grant access, select Require device to be marked as compliant. For multiple controls, select Require all the selected controls, then choose Select.

  11. Fare clic su Crea.Click Create.

L'obiettivo è richiedere compatibile con PC e dispositivi mobili, non selezionare le piattaforme. In questo modo conforme per tutti i dispositivi.If your objective is to require compliant PCs and mobile devices, do not select platforms. This enforces compliant for all devices.

Richiedi compatibile con PC e dispositivi mobiliRequire compliant PCs and mobile devices

Per richiedere la conformità per tutti i dispositivi:To require compliance for all devices:

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovo criterio.Choose New policy.

  5. Immettere un nome per i criteri, quindi in Utenti e gruppi scegliere gli utenti e i gruppi ai quali applicare i criteri.Enter a policy name, then choose the Users and groups you want to apply the policy for.

  6. Scegliere App cloud.Choose Cloud apps.

  7. Scegliere Seleziona App, selezionare l'App desiderata nell'elenco di applicazioni basate su Cloud . Ad esempio, selezionare Exchange Online di Office 365. Fare clic su Seleziona e Fine.Choose Select apps, select the desired apps from the Cloud apps list. For example, select Office 365 Exchange Online. Click Select and Done.

  8. Scegliere Concedi nella sezione Controlli di accesso.Choose Grant from the Access controls section.

  9. Scegliere concedere l'accesso, selezionare Richiedi dispositivo deve essere contrassegnato come compatibile. Per più controlli, selezionare Richiedi tutti i controlli selezionati, quindi scegliere Seleziona.Choose Grant access, select Require device to be marked as compliant. For multiple controls, select Require all the selected controls, then choose Select.

  10. Fare clic su Crea.Click Create.

Quando si crea il criterio, non selezionare le piattaforme. In questo modo compatibile con dispositivi.When creating this policy, do not select platforms. This enforces compliant devices.

Passaggi successiviNext steps

Learn about policy recommendations for securing email (Informazioni sui criteri consigliati per la protezione della posta elettronica)Learn about policy recommendations for securing email