Fase 5: gestione dei dispositivi mobili per Microsoft 365 EnterprisePhase 5: Mobile device management for Microsoft 365 Enterprise

Questa funzionalità si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis feature applies to the E3 and E5 versions of Microsoft 365 Enterprise

Microsoft 365 Enterprise include funzionalità che consentono di gestire i dispositivi e le loro app all'interno dell'organizzazione.Microsoft 365 Enterprise includes features to help manage devices, and their apps, within your organization. Tramite Microsoft Intune, è possibile gestire i dispositivi iOS, Android, macOS e Windows per proteggere l'accesso alle risorse dell'organizzazione, inclusi i dati.Using Microsoft Intune, you can manage iOS, Android, macOS, and Windows devices to protect access to your organization's resources, including your data. Intune si integra con Azure Active Directory (Azure AD) e attiva i seguenti scenari aziendali per Microsoft 365:Intune integrates with Azure Active Directory (Azure AD), and enables the following business scenarios for Microsoft 365:

  • Archiviare e condividere file all'interno e all'esterno dell'organizzazione per collaborare facilmente nell'organizzazioneStore and share files inside and outside your organization to work seamlessly across organizational boundaries
  • Lavorare ovunque e in qualsiasi momento in modo sicuro attraverso il proprio dispositivo, per ottenere il massimo risultato pur mantenendo flessibile lo stile di lavoroWork securely from anywhere, anytime across your device to achieve more while maintaining a flexible workstyle
  • Fornire sicurezza, controlli e visibilità, offrendo conformità verificata nel settore agli standard globaliProvide peace-of-mind with controls and visibility for industry-verified conformity with global standards in compliance
  • Proteggere le informazioni e ridurre il rischio di perdita di datiProtect your information and reduce the risk of data loss
  • Rilevare e proteggere dalle minacce esterneDetect and protect against external threats
  • Monitorare, segnalare e analizzare le attività per rispondere prontamente per garantire la sicurezza organizzativaMonitor, report, and analyze activity to react promptly to provide organizational security
  • Proteggi gli utenti e i loro accountProtect your users and their accounts

Per ulteriori informazioni, vedere Trasformazione digitale tramite Microsoft 365.For more information, see the Digital transformation using Microsoft 365.

In questa fase, è necessario registrare i dispositivi in Intune e creare e applicare criteri per garantire la sicurezza e la protezione dei dati.In this phase, you enroll your devices in Intune, and create and enforce policies to help keep your data secure and protected. L'intera documentazione della raccolta di Intune è disponibile online.The entire library of Intune documentation is available online. È inoltre consigliabile esaminare la Guida alla pianificazione della distribuzione, alla progettazione e all'implementazione di Intune prima di iniziare.It's also good practice to review the Intune deployment planning, design and implementation guide before you get started.

Passaggio 1: pianificare lo scenarioStep 1: Plan for your scenario

Uno dei motivi principali per la gestione dei dispositivi mobili è la sicurezza e la protezione delle risorse dell'organizzazione.One of the main reasons to manage mobile devices is to secure and protect your organization's resources. Metodi comuni per l'utilizzo di Microsoft Intune elenca alcuni esempi reali, tra cui la protezione dei dati e della posta elettronica di Office 365.Common ways to use Microsoft Intune lists some real-world examples, including securing Office 365 email and data.

Intune offre opzioni per la gestione dell'accesso all'organizzazione tramite la gestione dei dispositivi mobili (MDM) o la gestione delle applicazioni mobili (MAM).Intune gives you options to manage access to your organization using Mobile Device Management (MDM) or Mobile Application Management (MAM). MDM è il momento in cui gli utenti "iscrivono" i propri dispositivi in Intune.MDM is when users "enroll" their devices in Intune. Una volta registrati, sono dispositivi gestiti e possono ricevere tutti i criteri, le regole e le impostazioni utilizzate dall'organizzazione.Once enrolled, they are managed devices, and can receive any policies, rules, and settings used by your organization. Ad esempio, è possibile installare app specifiche, creare un criterio password, installare una connessione VPN e altro ancora.For example, you can install specifics apps, create a password policy, install a VPN connection, and more.

Gli utenti che dispongono di dispositivi personali potrebbero non voler registrare i propri dispositivi o essere gestiti da Intune e dai criteri.Users with their own personal devices may not want to enroll their devices, or be managed by Intune and your policies. Tuttavia, è comunque necessario proteggere le risorse e i dati dell'organizzazione.But, you still need to protect your organization's resources and data. In questo scenario, è possibile proteggere le app utilizzando MAM.In this scenario, you can protect your apps using MAM. Ad esempio, è possibile utilizzare un criterio MAM che richiede a un utente di immettere un PIN quando si accede a SharePoint nel dispositivo.For example, you can use a MAM policy that requires a user to enter a PIN when accessing SharePoint on the device.

È inoltre possibile determinare come gestire i dispositivi personali o di proprietà dell'organizzazione.You'll also determine how you're going to manage personal or organization-owned devices. È possibile che si desideri gestire i dispositivi in modo diverso, a seconda dell'utilizzo.You may want to treat devices differently, depending on their use. Ad esempio, è possibile che si desiderino piani diversi per gli utenti delle risorse umane (HR) o degli utenti nelle vendite.For example, you may want different plans for users in Human Resources (HR) or users in Sales. Identificare gli scenari di utilizzo della gestione dei dispositivi mobili consente di iniziare e include alcune linee guida su questi diversi scenari.Identify mobile device management use-case scenarios can get you started, and includes some guidance on these different scenarios.

Passaggio 2: ottenere i prerequisitiStep 2: Get your prerequisites

Successivamente, ottenere i prerequisiti in base alle proprie esigenze e agli scenari creati nel passaggio precedente.Next, get your prerequisites based on your requirements and your scenarios created in the previous step. Implementare il piano elenca tutti i requisiti.Implement your plan lists all the requirements. Di seguito sono riprodotti gli elementi significativi necessari per Intune con Microsoft 365:Here are the significant items you need for Intune with Microsoft 365:

  • Sottoscrizione a Intune: inclusa in Microsoft 365 e fornisce l'accesso a Microsoft Intune nel portale di AzureIntune subscription: Included with Microsoft 365, and gives you access to Microsoft Intune in the Azure portal
  • Abbonamento a office 365: incluso in Microsoft 365 e utilizzato per le app di Office, inclusi i messaggi di posta elettronicaOffice 365 subscription: Included with Microsoft 365, and is used for Office apps, including email
  • Azure Active Directory (Azure ad) Premium: incluso in Microsoft 365 e viene utilizzato per creare gruppi di utenti o di sicurezza.Azure Active Directory (Azure AD) premium: Included with Microsoft 365, and is used to create user or security groups. Questi gruppi ricevono i criteri di Intune creati, ad esempio forzando la lunghezza della password per sbloccare un dispositivo.These groups receive Intune policies that you create, such as forcing a password length to unlock a device. I gruppi creati nella fase 2: è possibile utilizzare l'identità.The groups you create in Phase 2: Identity can be used.

Potrebbe essere necessario disporre di alcuni requisiti aggiuntivi, a seconda delle esigenze dell'organizzazione.There may be some additional requirements, depending on your organization's needs. Ad esempio, se si intende gestire i dispositivi iOS, è necessario un certificato push di Apple MDM.For example, if you'll be managing iOS devices, you'll need an Apple MDM Push certificate. Se si utilizza Exchange locale, è necessario disporre del connettore di Exchange locale.If you're using on-premises Exchange, then you'll need the on-premises Exchange connector. Questi requisiti aggiuntivi vengono delineati quando si arriva a tali passaggi.These additional requirements are outlined when you get to those steps.

Passaggio 3: configurare IntuneStep 3: Set up Intune

Intune utilizza molte funzionalità in Azure AD, tra cui il dominio, gli utenti e i gruppi.Intune uses many features in Azure AD, including your domain, your users, and your groups. È inoltre possibile creare nuovi utenti e nuovi gruppi per soddisfare le esigenze aziendali.You can also create new users and new groups to fit your company needs. Ad esempio, è possibile creare un gruppo denominato dispositivi iOSo tutti gli utenti HR.For example, you can create a group called iOS devices, or All HR users. Avvalersi di gruppi dinamici che consentono di creare gruppi di utenti o dispositivi basati su regole semplici o avanzate.Take advantage of Dynamic Groups that lets you build either user or device groups based around simple or advanced rules.

Questo passaggio si concentra sulla configurazione di Intune e sulla sua preparazione per la gestione dei dispositivi.This step focuses on setting up Intune, and getting it ready for you to manage your devices.

  1. Confermare che i dispositivi siano supportati.Confirm your devices are supported. Conferma che i dispositivi iOS, macOS, Android, Galaxy e Windows sono supportati da Intune.Confirm your iOS, macOS, Android, Galaxy, and Windows devices are supported by Intune. Se l'organizzazione include dispositivi che non sono supportati, i criteri non vengono applicati a tali dispositivi.If your organization includes devices that aren't supported, then the policies aren't applied to those devices.

  2. Personalizzare il nome di dominio.Customize your domain name. Per impostazione predefinita, in Azure AD viene creato automaticamente un dominio denominato qualcosa di simile a Your-Domain.onmicrosoft.com .By default, a domain named something like your-domain.onmicrosoft.com is automatically created in Azure AD. onmicrosoft.com può essere personalizzato per l'organizzazione.onmicrosoft.com can be customized for your organization. Quando si Personalizza, fornisce agli utenti anche un dominio familiare per la connessione a Intune e l'utilizzo delle risorse.When you customize, it also gives users a familiar domain when connecting to Intune and using resources.

  3. Accedere a Intune.Sign in to Intune. Quando si esegue l'accesso, è possibile che venga richiesto di immettere le informazioni sull'organizzazione.When you sign in, you may be prompted to enter information about your organization. Intune è incluso in Microsoft 365 e può essere aperto direttamente dall'interfaccia di amministrazione di microsoft 365.Intune is included with Microsoft 365, and can be opened directly from the Microsoft 365 admin center. È inoltre possibile aprire Intune direttamente dal portale di Azure.You can also open Intune directly from the Azure portal.

  4. Scegliere la configurazione di gestione dei dispositivi mobili.Choose your mobile device management configuration. La prima volta che si utilizza Intune, è necessario abilitare la gestione dei dispositivi.The first time you use Intune, you must enable device management. Intune può essere utilizzato come servizio solo cloud, ibrido con Intune e System Center Configuration Manager oppure tramite la gestione dei dispositivi mobili per Office 365.Intune can be used as a cloud-only service, a hybrid with Intune and System Center Configuration Manager, or using Mobile Device Management for Office 365. È possibile scegliere quale installazione funziona meglio per l'organizzazione.You can choose which setup works best for your organization.

  5. Aggiungere utenti e aggiungere gruppi.Add users and add groups.

    È possibile aggiungere manualmente gli utenti o connettersi ad Azure ad per sincronizzare gli utenti con Intune.You can manually add users, or connect to Azure AD to sync users with Intune. È inoltre possibile assegnare ruoli di amministratore a utenti specifici.You can also give Admin roles to specific users. Gli utenti sono obbligatori, a meno che i dispositivi non siano dispositivi "senza utenti", ad esempio i dispositivi Kiosk.Users are required unless your devices are "userless" devices, such as kiosk devices.

    I gruppi di Azure AD vengono utilizzati per semplificare la gestione dei dispositivi e degli utenti in Intune.Azure AD groups are used to simplify how you manage devices and users in Intune. Se si utilizzano i gruppi, è possibile eseguire molte attività diverse.Using groups, you can do many different tasks. Ad esempio, l'organizzazione vuole richiedere un'app specifica nei dispositivi Android.For example, your organization wants to require a specific app on Android devices. È possibile creare un gruppo di dispositivi Android e distribuire un criterio con questa app al gruppo.You can create an Android devices group, and deploy a policy with this app to the group.

    In Intune, è possibile aggiungere utenti o gruppi creati nella fase 2: identitàIn Intune, you can add users or groups that you create in Phase 2: Identity

  6. Assegnare le licenze.Assign licenses. Per gli utenti o i dispositivi da registrare in Intune, è necessaria una licenza per il dispositivo.For users or devices to enroll in Intune, they need a license on the device. Ogni utente o dispositivo senza utente richiede una licenza di Intune per accedere al servizio Intune.Each user or userless device requires an Intune license to access the Intune service. Queste licenze sono incluse in Microsoft 365 e devono essere assegnate in Intune.These licenses are included with Microsoft 365, and must be assigned in Intune.

Passaggio 4: registrare i dispositiviStep 4: Enroll devices

Per gestire i dispositivi, è necessario che i dispositivi siano registrati in Intune.To manage devices, the devices must be enrolled in Intune. In qualità di amministratore, verranno configurate le restrizioni di registrazione e i criteri per gli utenti e i dispositivi.As an administrator, you’ll set up enrollment restrictions and policies for your users and devices. Ogni piattaforma del dispositivo (iOS, Android, macOS e Windows) dispone di una vasta gamma di opzioni.Each device platform (iOS, Android, macOS, and Windows) has a variety of options. Gli utenti possono registrarsi autonomamente.You can have your users enroll themselves. In alternativa, è possibile automatizzare la registrazione in modo che gli utenti eseguano semplicemente l'accesso al dispositivo.Or, you can automate enrollment so users simply sign in to the device.

La registrazione è un passaggio fondamentale quando si utilizza Intune.Enrollment is a key step when using Intune. I dispositivi di registrazione elencano i passaggi per i diversi dispositivi.Enroll devices lists the steps for the different devices.

Guide al lab di test per il cloud Microsoft Guida del laboratorio di testing: registrazione di dispositivi iOS e AndroidTest Lab Guide: iOS and Android device enrollment

Passaggio 5: aggiungere e distribuire appStep 5: Add and deploy apps

Le app sui dispositivi mobili spesso sono il modo più rapido per accedere alle risorse aziendali.Apps on mobile devices are often the quickest way users get access to your corporate resources.

Sono presenti problemi quando si utilizzano le app, in quanto esistono diversi dispositivi, inclusi i dispositivi personali e i dispositivi aziendali.There are challenges when using apps, as there are different devices, including personal devices and corporate devices. Inoltre, si desidera proteggere le risorse e i dati dell'organizzazione anche assicurandosi che gli utenti siano produttivi.And, you want to protect your organization's resources and its data while also making sure users are productive.

Intune è in grado di gestire le app, incluse le app, di assegnarle a utenti o gruppi diversi e di esaminare altre informazioni chiave.Intune can manage apps, including add apps, assign them to different users or groups, and review other key details. Ad esempio, è possibile visualizzare le app che non sono in grado di installare, controllare la versione di un'app e altro ancora.For example, you can see which apps fail to install, check the version of an app, and more.

Quando gli utenti ottengono un dispositivo mobile, una delle prime attività consiste nell'accedere alla posta elettronica e ai documenti dell'organizzazione.When users get a mobile device, one of the first tasks is to access organizational email and documents. Utilizzando Intune, è possibile creare e distribuire le impostazioni di posta elettronica utilizzando le app di posta elettronica preinstallate nei dispositivi.Using Intune, you can create and deploy email settings using email apps that are pre-installed on the devices.

Aggiungi app elenca i passaggi da eseguire per aggiungere, distribuire, monitorare, configurare e proteggere le app nei dispositivi all'interno dell'organizzazione.Add apps lists the steps to add, deploy, monitor, configure, and protect apps on devices within your org.

Guide al lab di test per il cloud Microsoft Guida del laboratorio di testing: criteri di conformità del dispositivoTest Lab Guide: Device compliance policies

Passaggio 6: abilitare la conformità e l'accesso condizionaleStep 6: Turn on compliance and conditional access

Nei passaggi precedenti è stato configurato l'ambiente e è stato abilitato Intune.In the previous steps, you set up your environment, and enabled Intune. A questo punto, è possibile creare alcuni criteri utilizzando la conformità e l'accesso condizionale.Now, you're ready to create some policies using compliance and conditional access.

La conformità e l'accesso condizionale sono importanti per la gestione dei dispositivi.Compliance and conditional access are important to managing devices. Sono stati creati criteri di conformità che consentono di proteggere le risorse dell'organizzazione.Compliance policies are created to help protect your organization's resources. Quando si crea un criterio di conformità, si sta definendo lo standard o la "linea di base" di ciò che un dispositivo deve disporre.When you create a compliance policy, you're defining the standard or the "baseline" of what a device must have. Ad esempio, è possibile scegliere un livello di rischio accettabile (o inaccettabile), bloccare i dispositivi jailbroken, richiedere una lunghezza della password e altro ancora.For example, you can choose an acceptable (or unacceptable) threat level, block jailbroken devices, require a password length, and more. Se questi dispositivi non soddisfano le regole, il che significa che non sono conformi, quindi è possibile bloccare l'accesso alle risorse.If these devices don't meet your rules, meaning they aren't compliant, then you can block access to your resources.

Questo "blocco" introduce l'accesso condizionale.This "blocking" introduces Conditional access. Se un dispositivo viene considerato non conforme, è possibile bloccare l'accesso alla posta elettronica, a SharePoint e altro ancora.If a device is considered not-compliant, then you can block access to email, SharePoint, and more.

Intune nel portale di Azure consente di creare questi criteri e di applicarli agli utenti e ai dispositivi.Intune in the Azure portal lets you create these policies, and apply them to your users and devices. Come procedura consigliata, avviare Small e utilizzare un approccio a fasi.As a best practice, start small, and use a staged approach. Ad esempio, creare un criterio iOS che blocchi i dispositivi jailbroken.For example, create an iOS policy that blocks jailbroken devices. Apply (denominato "Assign" in Intune) il criterio a un gruppo pilota o di test.Apply (called "assign" in Intune) the policy to a pilot or test group. Dopo il test iniziale, aggiungere altri utenti al gruppo pilota.After initial testing, add more users to the pilot group. Se si utilizza un approccio a fasi, è possibile ottenere commenti e suggerimenti da una vasta gamma di tipi di utenti.Using a staged approach, you can get feedback from a wide range of user types.

Per iniziare, è possibile iniziare a utilizzare i criteri di conformità dei dispositivi e l'accesso condizionale .Get started with device compliance policies and What's conditional access? can help you get started.

Passaggio 7: applicare caratteristiche e impostazioniStep 7: Apply features and settings

Queste caratteristiche e impostazioni sono spesso considerate la parte "cool" di Intune e sono molto potenti.These features and settings are often considered the "cool" part of Intune, and are very powerful. Dopo aver applicato correttamente alcuni criteri di conformità utilizzando l'accesso condizionale, è possibile creare profili dispositivo.Once you've successfully enforced some compliance policies using conditional access, you're ready to create Device profiles.

Intune nel portale di Azure consente di creare profili diversi in base alla piattaforma del dispositivo: iOS, MacOS, Android e Windows.Intune in the Azure portal lets you create different profiles based on your device platform - iOS, macOS, Android, and Windows. Ad esempio, è possibile compiere queste operazioni:For example, you can:

  • Utilizzare Endpoint Protection nei dispositivi Windows 10 per abilitare diverse opzioni di BitLocker, inclusa la crittografia.Use Endpoint protection on Windows 10 devices to enable different BitLocker options, including encryption.
  • Utilizzare la caratteristica delle app limitate nei dispositivi iOS per creare un elenco di applicazioni approvate che possono essere installate.Use the Restricted apps feature on iOS devices to create a list of approved apps that can be installed. In alternativa, creare un elenco di app vietate.Or, create a list of prohibited apps.
  • Utilizzare le impostazioni del chiosco per scegliere quali app possono essere utilizzate nei dispositivi Android in esecuzione in modalità Kiosk.Use the Kiosk settings to choose which apps can be used on Android devices running in kiosk mode.
  • Applicazione di una connessione Wi-Fi e delle relative impostazioni, incluso il tipo di sicurezza, nei dispositivi che eseguono macOS.Apply a Wi-Fi connection and its settings, including the security type, on devices running macOS.
  • E altro ancoraAnd more

Che cosa sono i profili di dispositivo di Microsoft Intune? è un ottimo posto per leggere i profili, vedere come creare un profilo e altro ancora.What are Microsoft Intune device profiles? is a great place to read about profiles, see how to create a profile, and more.

Tenere presente che è necessario avviare Small e utilizzare un approccio a fasi.Remember, start small, and use a staged approach. Assegnare il profilo a un gruppo pilota o di testing.Assign the profile to a pilot or test group. Assegnare quindi il profilo a più gruppi pilota.Then, assign the profile to more pilot groups.

Passaggio 8: conoscere le altre caratteristicheStep 8: Get to know the other features

Intune è un servizio potente e include numerose funzionalità.Intune is a powerful service, and includes many features. Di seguito sono riportate alcune altre attività che è possibile eseguire tramite Intune:Here are some other tasks you can do using Intune:

Consigli sull’identità e sull’accesso dei dispositiviIdentity and device access recommendations

Microsoft offre una serie di consigli per identità e accesso ai dispositivi per garantire un ambiente di lavoro protetto e produttivo.Microsoft provides a set of recommendations for identity and device access to ensure a secure and productive workforce. Per l'accesso ai dispositivi, utilizzare i suggerimenti e le impostazioni negli articoli seguenti insieme ai passaggi in questa fase:For device access, use the recommendations and settings in the following articles along with the steps in this phase:

Come Microsoft esegue Microsoft 365 EnterpriseHow Microsoft does Microsoft 365 Enterprise

Informazioni su come gli esperti IT di Microsoft hanno pianificato e distribuito EMS e gestione dei dispositivi con queste risorse:Learn how IT experts at Microsoft planned for and deployed EMS and device management with these resources:

Come ha agito Contoso con Microsoft 365 EnterpriseHow Contoso did Microsoft 365 Enterprise

Vedere come Contoso Corporation, un'azienda multinazionale fittizia ma rappresentativa, ha distribuito l'infrastruttura di gestione dei dispositivi mobili con i servizi cloud di Microsoft 365.See how the Contoso Corporation, a fictional but representative multi-national business, deployed their mobile device management infrastructure with Microsoft 365 cloud services.

Passaggio successivoNext step

Criteri uscita dell'infrastruttura per la gestione dei dispositivi mobiliMobile device management infrastructure exit criteria