Fase 5: Gestione dei dispositivi mobili Microsoft 365 EnterprisePhase 5: Mobile device management for Microsoft 365 Enterprise

Questa caratteristica è applicabile per le versioni di Microsoft Enterprise 365 E3 ed E5This feature applies to the E3 and E5 versions of Microsoft 365 Enterprise

Microsoft Enterprise 365 include funzionalità che consentono di gestire i dispositivi e le relative App, all'interno dell'organizzazione. Utilizzando Microsoft Intune, è possibile gestire iOS, Android, Mac OS e dispositivi Windows per proteggere l'accesso alle risorse dell'organizzazione, inclusi i dati. Intune si integra con Azure Active Directory (Azure Active Directory) e rende possibili gli scenari di business seguenti per 365 Microsoft:Microsoft 365 Enterprise includes features to help manage devices, and their apps, within your organization. Using Microsoft Intune, you can manage iOS, Android, macOS, and Windows devices to protect access to your organization's resources, including your data. Intune integrates with Azure Active Directory (Azure AD), and enables the following business scenarios for Microsoft 365:

  • Archiviare e condividere file all'interno e all'esterno dell'organizzazione per collaborare facilmente nell'organizzazioneStore and share files inside and outside your organization to work seamlessly across organizational boundaries
  • Lavorare ovunque e in qualsiasi momento in modo sicuro attraverso il proprio dispositivo, per ottenere il massimo risultato pur mantenendo flessibile lo stile di lavoroWork securely from anywhere, anytime across your device to achieve more while maintaining a flexible workstyle
  • Fornire sicurezza, controlli e visibilità, offrendo conformità verificata nel settore agli standard globaliProvide peace-of-mind with controls and visibility for industry-verified conformity with global standards in compliance
  • Proteggere le informazioni e ridurre il rischio di perdita di datiProtect your information and reduce the risk of data loss
  • Rileva problemi e protezione contro le minacce esterneDetect and protect against external threats
  • Monitorare, report e analizzare l'attività per rispondere immediatamente per garantire la sicurezza dell'organizzazioneMonitor, report, and analyze activity to react promptly to provide organizational security
  • Proteggere gli utenti e i relativi accountProtect your users and their accounts

Per ulteriori informazioni, vedere la trasformazione Digital Microsoft 365 in uso.For more information, see the Digital transformation using Microsoft 365.

In questa fase, registrare i dispositivi in Intune e creare e applicare i criteri che consentono di proteggere i dati. L'intera raccolta di documentazione Intune è disponibili online. È inoltre consigliabile controllare la pianificazione della distribuzione Intune, progettazione e implementazione Guida prima di iniziare.In this phase, you enroll your devices in Intune, and create and enforce policies to help keep your data secure and protected. The entire library of Intune documentation is available online. It's also good practice to review the Intune deployment planning, design and implementation guide before you get started.

Passaggio 1: Pianificare il proprio scenarioStep 1: Plan for your scenario

Uno dei motivi principali per la gestione dei dispositivi mobili è sicuro e proteggere le risorse dell'organizzazione. Metodi comuni per utilizzare Microsoft Intune sono elencati alcuni esempi di pratiche, tra cui la protezione dei dati e posta elettronica di Office 365.One of the main reasons to manage mobile devices is to secure and protect your organization's resources. Common ways to use Microsoft Intune lists some real-world examples, including securing Office 365 email and data.

Intune permette di utilizzare le opzioni per gestire l'accesso all'organizzazione tramite Mobile Device Management (MDM) o Gestione applicazione Mobile (MAM). MDM è quando gli utenti di dispositivi in Intune "registrare". Dopo aver registrato, vengono gestiti i dispositivi e possono ricevere eventuali criteri, regole e impostazioni utilizzate dall'organizzazione. Ad esempio, possono installare App specifiche, creare un criterio di password, installare una connessione VPN e altro ancora.Intune gives you options to manage access to your organization using Mobile Device Management (MDM) or Mobile Application Management (MAM). MDM is when users "enroll" their devices in Intune. Once enrolled, they are managed devices, and can receive any policies, rules, and settings used by your organization. For example, you can install specifics apps, create a password policy, install a VPN connection, and more.

Gli utenti con i propri dispositivi personali non possibile registrare i dispositivi o gestito da Intune e i criteri. Tuttavia, è necessario proteggere le risorse e i dati dell'organizzazione. In questo scenario, è possibile proteggere le app utilizzando MAM. Ad esempio, è possibile utilizzare un criterio MAM che richiede all'utente di immettere un PIN per l'accesso di SharePoint nel dispositivo.Users with their own personal devices may not want to enroll their devices, or be managed by Intune and your policies. But, you still need to protect your organization's resources and data. In this scenario, you can protect your apps using MAM. For example, you can use a MAM policy that requires a user to enter a PIN when accessing SharePoint on the device.

È inoltre sarà determinare la modalità che si desidera gestire i dispositivi personali o proprietà dell'organizzazione. È consigliabile considerare i dispositivi in modo diverso a seconda della loro utilizzo. Ad esempio, è possibile diversi piani per gli utenti nel reparto risorse umane (HR) o utenti del reparto vendite. Gli scenari in caso di utilizzo di gestione di identità dispositivi mobili possono iniziare e sono inclusi alcuni consigli su come i diversi scenari.You'll also determine how you're going to manage personal or organization-owned devices. You may want to treat devices differently, depending on their use. For example, you may want different plans for users in Human Resources (HR) or users in Sales. Identify mobile device management use-case scenarios can get you started, and includes some guidance on these different scenarios.

Passaggio 2: Ottenere i prerequisitiStep 2: Get your prerequisites

Successivamente, ottenere i prerequisiti in base alle esigenze e gli scenari creati nel passaggio precedente. Implementare il piano vengono elencati tutti i requisiti. Di seguito sono contenuti gli elementi significativi che necessari per Intune con Microsoft 365:Next, get your prerequisites based on your requirements and your scenarios created in the previous step. Implement your plan lists all the requirements. Here are the significant items you need for Intune with Microsoft 365:

  • Sottoscrizione Intune: incluso in Microsoft 365 e consente di accedere a Microsoft Intune nel portale di AzureIntune subscription: Included with Microsoft 365, and gives you access to Microsoft Intune in the Azure portal
  • Sottoscrizione a Office 365: incluso in Microsoft 365 e viene utilizzato per le applicazioni di Office, inclusa la posta elettronicaOffice 365 subscription: Included with Microsoft 365, and is used for Office apps, including email
  • Premium di Azure Active Directory (AD): incluso in Microsoft 365 e viene utilizzato per creare gruppi di sicurezza o utente. Questi gruppi ricevono criteri Intune creati, ad esempio forzare una lunghezza della password per sbloccare un dispositivo. I gruppi creati in fase 2: identità può essere utilizzato.Azure Active Directory (AD) premium: Included with Microsoft 365, and is used to create user or security groups. These groups receive Intune policies that you create, such as forcing a password length to unlock a device. The groups you create in Phase 2: Identity can be used.

È possibile alcuni requisiti aggiuntivi, in base alle esigenze della propria organizzazione. Ad esempio, se sarà Gestione dispositivi iOS, è necessario un certificato Push di Apple MDM. Se si utilizza Exchange in locale, quindi è necessario il connettore di Exchange locale. Quando si arriva a questi passaggi e vengono descritti i requisiti aggiuntivi.There may be some additional requirements, depending on your organization's needs. For example, if you'll be managing iOS devices, you'll need an Apple MDM Push certificate. If you're using on-premises Exchange, then you'll need the on-premises Exchange connector. These additional requirements are outlined when you get to those steps.

Passaggio 3: Impostare IntuneStep 3: Set up Intune

Intune utilizza numerose funzionalità disponibili in Azure Active Directory, tra cui il dominio, gli utenti e gruppi. È inoltre possibile creare nuovi utenti e gruppi nuovi adatta a specifiche esigenze dell'organizzazione. Ad esempio, è possibile creare un gruppo denominato iOS dispositivio utenti di tutte le risorse Umane. Trai vantaggio Gruppi dinamici che consente di creare utenti o gruppi di dispositivi basati sulle regole semplici o avanzate.Intune uses many features in Azure AD, including your domain, your users, and your groups. You can also create new users and new groups to fit your company needs. For example, you can create a group called iOS devices, or All HR users. Take advantage of Dynamic Groups that lets you build either user or device groups based around simple or advanced rules.

Questo passaggio è incentrata su impostazione Intune e operazioni preliminari per gestire i dispositivi.This step focuses on setting up Intune, and getting it ready for you to manage your devices.

  1. Conferma i dispositivi sono supportati. Verificare l'iOS, Mac OS, dispositivi Android, viene e Windows sono supportati da Intune. Se nell'organizzazione sono dispositivi che non sono supportati, i criteri non vengono applicati a tali dispositivi.Confirm your devices are supported. Confirm your iOS, macOS, Android, Galaxy, and Windows devices are supported by Intune. If your organization includes devices that aren't supported, then the policies aren't applied to those devices.

  2. Personalizzare il nome di dominio. Per impostazione predefinita, un dominio denominato qualcosa di simile your domain.onmicrosoft.com viene creato automaticamente in Azure Active Directory. onmicrosoft.com può essere personalizzato per l'organizzazione. Quando si personalizza, offre inoltre agli utenti un dominio familiarità quando ci si connette a Intune e utilizzo delle risorse.Customize your domain name. By default, a domain named something like your-domain.onmicrosoft.com is automatically created in Azure AD. onmicrosoft.com can be customized for your organization. When you customize, it also gives users a familiar domain when connecting to Intune and using resources.

  3. Accedere a Intune. Quando si accede, è possibile che venga chiesto di immettere le informazioni sull'organizzazione. Intune è incluso in Microsoft 365 e può essere aperto direttamente dal portale di amministrazione di Office 365. È inoltre possibile aprire Intune direttamente dal portale di Azure.Sign in to Intune. When you sign in, you may be prompted to enter information about your organization. Intune is included with Microsoft 365, and can be opened directly from the Office 365 Admin portal. You can also open Intune directly from the Azure portal.

  4. Scegliere la configurazione di gestione di dispositivi mobili. La prima volta che si utilizza Intune, è necessario abilitare la gestione dei dispositivi. Intune può essere utilizzato come servizio solo cloud, ibride con Intune e System Center Configuration Manager o utilizzo di gestione dei dispositivi mobili per Office 365. È possibile scegliere quale programma di installazione è più appropriata per l'organizzazione.Choose your mobile device management configuration. The first time you use Intune, you must enable device management. Intune can be used as a cloud-only service, a hybrid with Intune and System Center Configuration Manager, or using Mobile Device Management for Office 365. You can choose which setup works best for your organization.

  5. Aggiungere utenti e aggiungere gruppi.Add users and add groups.

    Manualmente è possibile aggiungere utenti o connettersi a Azure Active Directory per gli utenti di sincronizzazione con Intune. È inoltre possibile assegnare ruoli amministrativi a utenti specifici. Gli utenti sono necessari a meno che i dispositivi sono dispositivi "userless", ad esempio dispositivi chiosco multimediale.You can manually add users, or connect to Azure AD to sync users with Intune. You can also give Admin roles to specific users. Users are required unless your devices are "userless" devices, such as kiosk devices.

    Gruppi di Azure Active Directory vengono utilizzati per semplificare la modalità di gestione di dispositivi e gli utenti in Intune. Utilizzo dei gruppi, è possibile eseguire numerose attività. Ad esempio, l'organizzazione desidera richiedono un'app specifica nei dispositivi Android. È possibile creare un gruppo di dispositivi Android e distribuire un criterio con questa applicazione al gruppo.Azure AD groups are used to simplify how you manage devices and users in Intune. Using groups, you can do many different tasks. For example, your organization wants to require a specific app on Android devices. You can create an Android devices group, and deploy a policy with this app to the group.

    Intune, è possibile aggiungere utenti o gruppi creati in fase 2: identitàIn Intune, you can add users or groups that you create in Phase 2: Identity

  6. Assegnare licenze. Per gli utenti o dispositivi per effettuare la registrazione Intune, è necessaria una licenza del dispositivo. Ogni utente o dispositivo userless richiede una licenza Intune per accedere al servizio Intune. Queste licenze sono incluse in Microsoft 365 e devono essere assegnate Intune.Assign licenses. For users or devices to enroll in Intune, they need a license on the device. Each user or userless device requires an Intune license to access the Intune service. These licenses are included with Microsoft 365, and must be assigned in Intune.

Passaggio 4: Registrare i dispositiviStep 4: Enroll devices

Per gestire i dispositivi, i dispositivi devono essere iscritti Intune. In qualità di amministratore, sarà impostare restrizioni di registrazione e i criteri per gli utenti e i dispositivi. Ogni piattaforma del dispositivo (iOS, Android, Mac OS e Windows) con una serie di opzioni. È possibile avere gli utenti di registrare se stessi. In alternativa, è possibile automatizzare la registrazione in modo che gli utenti semplicemente accedere al dispositivo.To manage devices, the devices must be enrolled in Intune. As an administrator, you’ll set up enrollment restrictions and policies for your users and devices. Each device platform (iOS, Android, macOS, and Windows) has a variety of options. You can have your users enroll themselves. Or, you can automate enrollment so users simply sign in to the device.

La registrazione è fondamentale quando si utilizza Intune. Dispositivi di registrazione sono elencati i passaggi necessari per i dispositivi diversi.Enrollment is a key step when using Intune. Enroll devices lists the steps for the different devices.

Guide del laboratorio di testing per il cloud Microsoft Guida del laboratorio di testing: iOS e registrazione dei dispositivi AndroidTest Lab Guide: iOS and Android device enrollment

Passaggio 5: Aggiungere e distribuire applicazioniStep 5: Add and deploy apps

Apps nei dispositivi mobili sono spesso più rapido modo gli utenti di ottenere l'accesso alle risorse aziendali.Apps on mobile devices are often the quickest way users get access to your corporate resources.

Esistono problemi affrontati dalle quando si utilizzano App, come sono disponibili diversi dispositivi, inclusi dispositivi di personali e aziendale. E che si desidera proteggere le risorse dell'organizzazione e i relativi dati garantendo che gli utenti siano produttivi.There are challenges when using apps, as there are different devices, including personal devices and corporate devices. And, you want to protect your organization's resources and its data while also making sure users are productive.

Intune può gestire le app, tra cui aggiungere applicazioni, assegnarli a utenti o gruppi diversi ed esaminare altri dettagli principali. Ad esempio, è possibile visualizzare quali App errori di installazione, controllare la versione di un'app e altro ancora.Intune can manage apps, including add apps, assign them to different users or groups, and review other key details. For example, you can see which apps fail to install, check the version of an app, and more.

Quando gli utenti ricevono un dispositivo mobile, è una delle prime attività per accedere ai documenti e posta elettronica. Utilizza Intune, è possibile creare e distribuire impostazioni della posta elettronica mediante app di posta elettronica che sono già installati nei dispositivi.When users get a mobile device, one of the first tasks is to access organizational email and documents. Using Intune, you can create and deploy email settings using email apps that are pre-installed on the devices.

Aggiungi App viene illustrata la procedura per aggiungere, distribuire, monitorare, configurare e proteggere apps nei dispositivi all'interno del org.Add apps lists the steps to add, deploy, monitor, configure, and protect apps on devices within your org.

Guide del laboratorio di testing per il cloud Microsoft Test Lab Guide: Criteri di gestione delle applicazioni per dispositivi mobiliTest Lab Guide: Mobile application management policies

Passaggio 6: Attivare la conformità e l'accesso condizionaleStep 6: Turn on compliance and conditional access

Nei passaggi precedenti, impostare l'ambiente e abilitato Intune. A questo punto, si è pronti creare alcuni criteri utilizzando la conformità e l'accesso condizionale.In the previous steps, you set up your environment, and enabled Intune. Now, you're ready to create some policies using compliance and conditional access.

Conformità e l'accesso condizionale sono importanti per la gestione dei dispositivi. Criteri di conformità vengono creati per proteggere le risorse dell'organizzazione. Quando si crea un criterio di conformità, si definisce lo standard o "previsto" di un dispositivo necessario. Ad esempio, è possibile scegliere un livello di rischio accettabile (o inaccettabili), bloccare i dispositivi jailbroken, richiedono una lunghezza delle password e altro ancora. Se questi dispositivi non soddisfano le regole, il che significa che non è compatibile con, è possibile bloccare l'accesso alle risorse.Compliance and conditional access are important to managing devices. Compliance policies are created to help protect your organization's resources. When you create a compliance policy, you're defining the standard or the "baseline" of what a device must have. For example, you can choose an acceptable (or unacceptable) threat level, block jailbroken devices, require a password length, and more. If these devices don't meet your rules, meaning they aren't compliant, then you can block access to your resources.

Questo "bloccare" introduce accesso condizionale. Se un dispositivo è considerato non conforme, è possibile bloccare l'accesso alla posta elettronica, SharePoint e altro ancora.This "blocking" introduces Conditional access. If a device is considered not-compliant, then you can block access to email, SharePoint, and more.

Intune nel portale Azure consente di creare questi criteri e applicarle a utenti e i dispositivi. È consigliabile, avviare piccolo e utilizzare un approccio in più fasi. Ad esempio, creare un criterio di iOS che blocca jailbroken dispositivi. Applicare il criterio (denominato "assegna" Intune) a un gruppo pilota o di testing. Al termine del test iniziali, aggiungere più utenti al gruppo pilota. In modo graduale, è possibile ottenere commenti e suggerimenti da una vasta gamma di tipi di utente.Intune in the Azure portal lets you create these policies, and apply them to your users and devices. As a best practice, start small, and use a staged approach. For example, create an iOS policy that blocks jailbroken devices. Apply (called "assign" in Intune) the policy to a pilot or test group. After initial testing, add more users to the pilot group. Using a staged approach, you can get feedback from a wide range of user types.

Guida introduttiva a criteri di conformità di dispositivi e che cos'è access condizionale? consentono di iniziare.Get started with device compliance policies and What's conditional access? can help you get started.

Passaggio 7: Applicare impostazioni e caratteristicheStep 7: Apply features and settings

Queste impostazioni e le funzionalità sono considerate spesso la parte del Intune "interessante" e sono molto potenti. Dopo aver correttamente applicati alcuni criteri di conformità utilizzando access condizionale, si è pronti creare profili del dispositivo.These features and settings are often considered the "cool" part of Intune, and are very powerful. Once you've successfully enforced some compliance policies using conditional access, you're ready to create Device profiles.

Intune nel portale Azure consente di creare profili diversi in base alla piattaforma del dispositivo - iOS, Mac OS, Android e Windows. Ad esempio, è possibile:Intune in the Azure portal lets you create different profiles based on your device platform - iOS, macOS, Android, and Windows. For example, you can:

  • Utilizzare Endpoint protection nei dispositivi Windows 10 per abilitare diverse opzioni di BitLocker, tra cui la crittografia.Use Endpoint protection on Windows 10 devices to enable different BitLocker options, including encryption.
  • Utilizzare la funzionalità di App con restrizioni nei dispositivi iOS per creare un elenco di applicazioni approvate che può essere installato. In alternativa, è possibile creare un elenco di applicazioni non consentiti.Use the Restricted apps feature on iOS devices to create a list of approved apps that can be installed. Or, create a list of prohibited apps.
  • Utilizzare le impostazioni di chioschi multimediali per scegliere quali App può essere utilizzato su dispositivi Android in esecuzione in modalità schermo intero.Use the Kiosk settings to choose which apps can be used on Android devices running in kiosk mode.
  • Applicare una connessione Wi-Fi e le impostazioni, incluso il tipo di protezione, su dispositivi che eseguono Mac OS.Apply a Wi-Fi connection and its settings, including the security type, on devices running macOS.
  • E altro ancoraAnd more

Che cosa sono i profili del dispositivo Microsoft Intune? è un ottimo esempio in lettura sui profili, vedere creare un profilo e altro ancora.What are Microsoft Intune device profiles? is a great place to read about profiles, see how to create a profile, and more.

Memorizza, avviare piccolo e utilizzare un approccio in più fasi. Assegnare il profilo a un gruppo pilota o di testing. Quindi, assegnare il profilo a più gruppi pilota.Remember, start small, and use a staged approach. Assign the profile to a pilot or test group. Then, assign the profile to more pilot groups.

Passaggio 8: Imparare a conoscere le altre caratteristicheStep 8: Get to know the other features

Intune è un servizio potente e sono incluse numerose caratteristiche. Ecco alcune altre attività che è possibile eseguire utilizzando Intune:Intune is a powerful service, and includes many features. Here are some other tasks you can do using Intune:

Passaggio successivoNext step

Criteri di uscita del dispositivo mobile management dell'infrastrutturaMobile device management infrastructure exit criteria