Criteri consigliati per la protezione della posta elettronicaPolicy recommendations for securing email

In questo articolo vengono descritti i criteri di sicurezza per la posta elettronica dell'organizzazione e i client di posta elettronica che supportano l'autenticazione moderna e l'accesso condizionale. Queste indicazioni si aggiungono a quelle contenute in Common identity and access policy recommendations (Consigli sui criteri comuni di identità e accesso).This article describes recommended policies to help you secure organizational email and email clients that support Modern Authentication and Conditional Access. These recommendations are in addition to the common identity and access policy recommendations.

Queste indicazioni si basano su tre diversi livelli di sicurezza e protezione per la posta elettronica e possono essere applicati in base al livello di granularità necessario:The following recommendations are based on three different layers of security and protection for your email that can be applied based on the granularity of your needs:

  • Baseline (Livello base): Microsoft consiglia di definire uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati. Microsoft offre come impostazione predefinita una protezione avanzata efficiente, che soddisfa le esigenze di molte organizzazioni. Alcune organizzazioni richiedono funzionalità aggiuntive per soddisfare i propri requisiti di base.Baseline: Microsoft recommends you establish a minimum standard for protecting data, as well as the identities and devices that access your data. Microsoft provides strong default protection that meets the needs of many organizations. Some organizations require additional capabilities to meet their baseline requirements.
  • Sensitive (Dati sensibili): alcuni clienti hanno un subset di dati che richiede un grado di protezione superiore. È possibile applicare una protezione superiore a set di dati specifici nell'ambiente Office 365. Microsoft consiglia di applicare livelli di protezione analoghi alle identità e ai dispositivi che accedono ai dati sensibili.Sensitive: Some customers have a subset of data that must be protected at higher levels. You can apply increased protection to specific data sets in your Office 365 environment. Microsoft recommends protecting identities and devices that access sensitive data with comparable levels of security.
  • Highly regulated (Dati altamente sensibili): alcune organizzazioni possono avere una piccola quantità di dati della massima riservatezza, segreti commerciali o dati soggetti a regolamentazione. Microsoft offre funzionalità che consentono alle organizzazioni di soddisfare questi requisiti, inclusa la protezione aggiuntiva per identità e dispositivi.Highly regulated: Some organizations may have a very small amount of data that is highly classified, trade secret, or regulated data. Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

Per altre informazioni, vedere l'introduzione dell'argomento Configurazioni e criteri di sicurezza consigliati.See the recommended security policies and configurations introduction topic for more details.

Importante

Per creare tutti i gruppi di sicurezza di queste indicazioni, è necessario che le funzionalità di Office siano abilitate. Questa impostazione è particolarmente importante per la distribuzione di Azure Information Protection (AIP) quando si proteggono i documenti in SharePoint Online.All security groups created as part of these recommendations must be created with Office features enabled. This is specifically important for the deployment of Azure Information Protection (AIP) when securing documents in SharePoint Online.

Funzionalità di Office abilitate per i gruppi di sicurezza

Versione di baseBaseline

Per creare nuovi criteri di accesso condizionale:To create a new conditional access policy:

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovi criteri come illustrato nella schermata seguente:Choose New policy as shown in the screen-shot below:

Criterio di accesso condizionale di base

Le tabelle seguenti descrivono le impostazioni appropriate necessarie per esprimere i criteri richiesti per ogni livello di protezione.The following tables describe the appropriate settings necessary to express the policies required for each level of protection.

Autenticazione a più fattori richiesta per rischio medio ed elevatoMedium and above risk requires MFA

Nelle tabelle seguenti vengono descritte le impostazioni di criteri di accesso condizionale per l'implementazione di questo criterio.The following tables describes the conditional access policy settings to implement for this policy.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
Utenti e gruppiUsers and groups IncludiInclude Seleziona utenti e gruppi - Selezionare il gruppo di sicurezza specifico in cui sono contenuti gli utenti di destinazioneSelect users and groups – Select specific security group containing targeted users Iniziare con il gruppo di sicurezza che include utenti pilota.Start with security group including pilot users.
ExcludeExclude Exception security group; service accounts (app identities) (Gruppo di sicurezza eccezione account del servizio (identità applicazione)Exception security group; service accounts (app identities) Appartenenza modificata su base temporanea a seconda delle necessitàMembership modified on an as needed temporary basis
App cloudCloud apps IncludiInclude Selezionare le app: selezionare Office 365 Exchange OnlineSelect apps - Select Office 365 Exchange Online
CondizioniConditions ConfigurataConfigured Yes Configurare in base all'ambiente e alle necessità specificiConfigure specific to your environment and needs
Rischio di accessoSign-in risk Livello di rischioRisk level Alto, medioHigh, medium Controllare entrambiCheck both

Controlli di accessoAccess controls

TipoType ProprietàProperties ValoriValues NoteNotes
ConcessioneGrant Concedi accessoGrant access TrueTrue Opzione selezionataSelected
Richiedi MFARequire MFA TrueTrue CheckCheck
Richiedi un dispositivo conformeRequire compliant devices FalseFalse
Richiedi dispositivo aggiunto a un dominioRequire domain joined devices FalseFalse
Richiedi tutti i controlli selezionatiRequire all the selected controls TrueTrue Opzione selezionataSelected

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

Per creare criteri di accesso condizionale per Exchange Online:To create a conditional access policy for Exchange Online:

  1. Andare nel portale di Azure e accedere con le proprie credenziali. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovo criterio.Choose New policy.

  5. Immettere un nome per i criteri, quindi in Utenti e gruppi scegliere gli utenti e i gruppi ai quali applicare i criteri.Enter a policy name, then choose the Users and groups you want to apply the policy for.

  6. Scegliere App cloud.Choose Cloud apps.

  7. Scegliere Seleziona le app, selezionare Office 365 Exchange Online nell'elenco App cloud e fare clic su Seleziona. Dopo aver selezionato l'app Office 365 Exchange Online fare clic su Chiudi.Choose Select apps, select Office 365 Exchange Online from the Cloud apps list, click on Select. Once the Office 365 Exchange Online app is selected, click Done.

  8. Scegliere Concedi nella sezione Controlli di accesso.Choose Grant from the Access controls section.

  9. Scegliere Concedi accesso, selezionare sia Richiedi che i dispositivi siano contrassegnati come conformi sia Require domain joined (Hybrid Azure AD) (Richiedi dispositivo aggiunto a un dominio - Hybrid Azure AD), quindi scegliere Seleziona.Choose Grant access, select both Require device to be marked as compliant and Require domain joined (Hybrid Azure AD), then choose Select.

  10. Fare clic su Crea per creare i criteri di accesso condizionale di Exchange Online.Click Create to create the Exchange Online conditional access policy.

    Nota

    A partire da Intune in Azure tutti i criteri di accesso condizionale devono essere creati nel carico di lavoro di Azure Active Directory. Per praticità, il portale di Intune dispone di un collegamento al carico di lavoro dei criteri di accesso condizionale di Azure AD.Beginning with Intune on Azure, you have to create all conditional access policies in the Azure Active Directory workload. Intune provides a link to Azure AD conditional access policies workload from its portal for convenience.

    Importante

    Per assistenza nella migrazione al portale di Intune in Azure dei criteri di accesso condizionale creati in precedenza nel portale di Intune classico, vedere l'argomento Riassegnare i criteri di accesso condizionale dal portale di Intune classico al portale di Azure.If you need assistance on migrating conditional access policies previously created in the Intune classic portal to the Intune on Azure portal, see the reassign conditional access policies from Intune classic portal to the Azure portal topic.

Accesso condizionale basato su app per Exchange OnlineApp-based conditional access for Exchange Online

È possibile aggiungere un ulteriore livello di sicurezza impostando criteri di accesso condizionale basati su app per Exchange Online nel portale di Intune in Azure. Quando si applica l'accesso condizionale basato sulle app per Exchange Online è necessario richiedere agli utenti di usare un'app specifica (ad esempio Microsoft Outlook) per l'accesso alla posta elettronica aziendale.You can add one more security layer by setting up an app-based conditional access policy for Exchange Online in the Intune on Azure portal. When you apply an app-based conditional access for Exchange Online you require users to use a specific app (E.g. Microsoft Outlook app) to access corporate e-mail.

Per aggiungere criteri di accesso condizionale basato su app:To add an app-based conditional access policy:

  1. Andare nel portale di Azure e accedere con le credenziali di Intune. Dopo l'accesso viene visualizzato il dashboard di Azure.Go to the Azure portal, and sign in with your Intune credentials. After you've successfully signed in, you see the Azure Dashboard.

  2. Scegliere Altri servizi dal menu a sinistra e quindi digitare "Intune".Choose More services from the left menu, then type: "Intune".

  3. Scegliere Protezione app di Intune.Choose Intune App Protection.

  4. Nel pannello Gestione di applicazioni mobili di Intune scegliere Tutte le impostazioni.On the Intune mobile application management blade choose All Settings.

  5. Scegliere Exchange Online nella sezione Accesso condizionale.Choose Exchange Online under the Conditional access section.

  6. Selezionare Consenti app che supportano i criteri app di Intune e quindi scegliere l'app (ad esempio Microsoft Outlook).Select Allow apps that support Intune app policies, then choose the app (E.g. Microsoft Outlook).

  7. Scegliere Gruppi di utenti limitati, fare clic su Seleziona gruppi, selezionare l'utente o il gruppo al quale applicare i criteri e fare clic su Seleziona.Choose Restricted user groups, click Select groups, select the user or group you want to apply the policy for, then click Select.

Dati sensibiliSensitive

Autenticazione a più fattori richiesta per rischio basso ed elevatoLow and above risk requires MFA

Nelle tabelle seguenti vengono descritte le impostazioni di criteri di accesso condizionale per l'implementazione per i criteri e sopra-rischio ridotto.The following tables describes the conditional access policy settings to implement for low- and above-risk policies.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
Utenti e gruppiUsers and groups IncludiInclude Seleziona utenti e gruppi - Selezionare il gruppo di sicurezza specifico in cui sono contenuti gli utenti di destinazioneSelect users and groups – Select specific security group containing targeted users Iniziare con il gruppo di sicurezza che include utenti pilotaStart with security group including pilot users
ExcludeExclude Exception security group; service accounts (app identities) (Gruppo di sicurezza eccezione account del servizio (identità applicazione)Exception security group; service accounts (app identities) Appartenenza modificata su base temporanea a seconda delle necessitàMembership modified on an as needed temporary basis
App cloudCloud apps IncludiInclude Selezionare le app: selezionare Office 365 Exchange OnlineSelect apps - Select Office 365 Exchange Online
CondizioniConditions ConfigurataConfigured Yes Configurare in base all'ambiente e alle necessità specificiConfigure specific to your environment and needs
Rischio di accessoSign-in risk ConfigurataConfigured Yes Configurare in base all'ambiente e alle necessità specificiConfigure specific to your environment and needs
Livello di rischioRisk level Basso, medio, elevatoLow, medium, high Controllare tutti e treCheck all three

Controlli di accessoAccess controls

TipoType ProprietàProperties ValoriValues NoteNotes
ConcessioneGrant Concedi accessoGrant access TrueTrue
Richiedi MFARequire MFA TrueTrue CheckCheck
Richiedi un dispositivo conformeRequire compliant devices FalseFalse
Richiedi dispositivo aggiunto a un dominioRequire domain joined device FalseFalse
Richiedi tutti i controlli selezionatiRequire all the selected controls TrueTrue Opzione selezionataSelected

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Accesso condizionale basato su app per Exchange OnlineApp-based conditional access for Exchange online

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Applica aApply to

Dopo aver completato il progetto pilota, questi criteri devono essere applicati a tutti gli utenti dell'organizzazione che devono accedere a posta elettronica contenente dati sensibili.Once the pilot project has been completed, these policies should be applied to users in your organization who require access to email considered sensitive.

Riservatezza elevataHighly regulated

Autenticazione MFA obbligatoriaMFA required

Nelle tabelle seguenti vengono descritte le impostazioni di criteri di accesso condizionato implementare per il criterio altamente regolamentato.The following tables describes the conditional access policy settings to implement for the highly regulated policy.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
Utenti e gruppiUsers and groups IncludiInclude Seleziona utenti e gruppi - Selezionare il gruppo di sicurezza specifico in cui sono contenuti gli utenti di destinazioneSelect users and groups – Select specific security group containing targeted users Iniziare con il gruppo di sicurezza che include utenti pilotaStart with security group including pilot users
ExcludeExclude Exception security group; service accounts (app identities) (Gruppo di sicurezza eccezione account del servizio (identità applicazione)Exception security group; service accounts (app identities) Appartenenza modificata su base temporanea a seconda delle necessitàMembership modified on an as needed temporary basis
App cloudCloud apps IncludiInclude Selezionare le app: selezionare Office 365 Exchange OnlineSelect apps - Select Office 365 Exchange Online

Controlli di accessoAccess controls

TipoType ProprietàProperties ValoriValues NoteNotes
ConcessioneGrant Concedi accessoGrant access TrueTrue Opzione selezionataSelected
Richiedi MFARequire MFA TrueTrue CheckCheck
Richiedi un dispositivo conformeRequire complaint devices FalseFalse CheckCheck
Richiedi dispositivo aggiunto a un dominioRequire domain joined device FalseFalse
Richiedi tutti i controlli selezionatiRequire all the selected controls TrueTrue Opzione selezionataSelected

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Accesso condizionale basato su app per Exchange OnlineApp-based conditional access for Exchange online

(Vedere le istruzioni per la protezione di base)(See baseline instructions)

Applica aApply to

Dopo aver completato il progetto pilota, questi criteri devono essere applicati a tutti gli utenti dell'organizzazione che devono accedere a posta elettronica soggetta a maggiore regolamentazione.Once the pilot project has been completed, these policies should be applied to users in your organization who require access to email considered highly regulated.

Criteri per gli utenti a rischio elevatoHigh risk users policy

Perché tutti gli account compromessi di utenti a rischio elevato siano obbligati a modificare la password durante l'accesso, è necessario applicare i criteri seguenti.To ensure that all high-risk users compromised accounts are forced to perform a password change when signing-in, you must apply the following policy.

Accedere al portale di Microsoft Azure (http://portal.azure.com) con le credenziali di amministratore e selezionare Azure AD Identity Protection > Criteri di rischio utente.Log in to the Microsoft Azure portal (http://portal.azure.com) with your administrator credentials, and then navigate to Azure AD Identity Protection > User Risk Policy.

AssegnazioniAssignments

TipoType ProprietàProperties ValoriValues NoteNotes
UsersUsers IncludiInclude Tutti gli utentiAll users Opzione selezionataSelected
ExcludeExclude NessunoNone
CondizioniConditions Rischio utenteUser risk AltaHigh Opzione selezionataSelected

ControlliControls

TipoType ProprietàProperties ValoriValues NoteNotes
AccessoAccess Consenti l'accessoAllow access TrueTrue
AccessoAccess Richiedi modifica passwordRequire password change TrueTrue

Revisione: non applicabileReview: not applicable

Nota

È necessario abilitare questi criteri, fare clic su. Inoltre è consigliabile utilizzare lo strumento se per testare i criteriBe sure to enable this policy, by clicking On. Also consider using the What if tool to test the policy

Configurazioni aggiuntiveAdditional configurations

Oltre ai criteri descritti in precedenza, è necessario configurare le impostazioni per la gestione di applicazioni e dispositivi mobili illustrate in questa sezione.In addition to the above policies, you must configure the following Mobile Application and Device Management settings discussed in this section.

Gestione di applicazioni mobili di IntuneIntune mobile application management

Per garantire che la posta elettronica sia protetta dai criteri consigliati in precedenza per ogni di livello di sicurezza e di protezione dati, è necessario creare i criteri di protezione delle app di Intune nel portale di Azure.To ensure email is protected by the policy recommendations stated earlier for each security and data protection tier, you must create Intune app protection policies from within the Azure portal.

Per creare un nuovo criterio per la protezione delle app, accedere al portale di Microsoft Azure con le credenziali di amministratore e selezionare Protezione app di Intune > Criteri per le app.To create a new app protection policy, log in to the Microsoft Azure portal with your administer credentials, and then navigate to Intune App Protection > App policy.

Aggiungere un nuovo criterio (+ Aggiungi) come illustrato nella schermata seguente:Add a new policy (+Add) as shown in the following screen shot:

Gestione di applicazioni mobili di Intune

Nota

Le opzioni dei criteri per la protezione delle app sono leggermente diverse tra iOS e Android. Di seguito sono specificati i criteri per Android.There are slight differences in the app protection policy options between iOS and Android. The below policy is specifically for Android.

La tabella seguente descrive le impostazioni consigliate per i criteri per la protezione delle app di Intune:The following tables describe the recommended Intune app protection policy settings:

GeneraleeGeneral

TipoType ProprietàProperties ValoriValues NoteNotes
Posta elettronicaEmail NameName Secure email policy for Android (Criteri di sicurezza per posta elettronica per Android)Secure email policy for Android Immettere un nome per i criteriEnter a policy name
DescrizioneDescription Immettere un testo che descrive il criterioEnter text that describes the policy
PiattaformaPlatform AndroidAndroid Le opzioni dei criteri per la protezione delle app sono leggermente diverse tra iOS e Android. Di seguito sono specificati i criteri per AndroidThere are slight differences in the app protection policy options between iOS and Android; this policy is specifically for Android

AppApps

TipoType ProprietàProperties ValoriValues NoteNotes
ApplicazioniApplications AppApps OutlookOutlook Selezionato (elenco)Selected (list)

ImpostazioniSettings

TipoType ProprietàProperties ValoriValues NoteNotes
Rilocazione datiData relocation Impedisci backup in AndroidPrevent Android backup Yes In iOS viene effettua una chiamata in iTunes e iCloudOn iOS this will specifically call out iTunes and iCloud
Consenti all'app di trasferire i dati ad altre appAllow app to transfer data to other apps App gestite da criteriPolicy managed apps
Consenti all'app di ricevere i dati da altre appAllow app to receive data to other apps App gestite da criteriPolicy managed apps
Impedisci Salva con nomePrevent "Save As" Yes
Limita le operazioni taglia, copia e incolla con le altre appRestrict cut, copy, and paste with other apps App gestite da criteriPolicy managed apps
Limita il contenuto Web per la visualizzazione in Managed BrowserRestrict web content to display in the managed browser NoNo
Crittografa dati appEncrypt app data Yes In iOS selezionare l'opzione Quando il dispositivo è bloccatoOn iOS select option: When device is locked
Disabilita sincronizzazione contattiDisable contacts sync NoNo
AccessoAccess Richiedi PIN per l'accessoRequire PIN for access Yes
Numero di tentativi prima della reimpostazione del PINNumber of attempts before PIN reset 33
Consenti PIN sempliceAllow simple PIN NoNo
Lunghezza PINPIN length 66
Consenti impronta digitale anziché PINAllow fingerprint instead of PIN Yes
Richiedi credenziali aziendali per l'accessoRequire Corporate credentials for access NoNo
Blocca l'esecuzione delle app gestite nei dispositivi jailbroken o rootedBlock managed apps from running on jailbroken or rooted devices Yes
Controlla di nuovo i requisiti di accesso dopo (minuti)Recheck the access requirement after (minutes) 3030
Periodo di prova offlineOffline grace period 720720
Intervallo offline (giorni) prima della cancellazione dei dati dell'appOffline interval (days) before app data is wiped 9090
Blocca acquisizione schermo e Assistente per AndroidBlock screen capture and Android assistant NoNo In iOS questa opzione non è disponibileOn iOS this is not an available option

Al termine, ricordarsi di fare clic su "Crea". Ripetere i passaggi precedenti e sostituire la piattaforma selezionata (menu a discesa) con iOS. In questo modo vengono creati due criteri per le app, quindi dopo aver creato i criteri, assegnare i gruppi ai criteri e distribuirli.When complete, remember to click "Create". Repeat the above steps and replace the selected platform (dropdown) with iOS. This creates two app policies, so once you create the policy, then assign groups to the policy and deploy it.

Gestione dei dispositivi mobili di IntuneIntune mobile device management

È possibile creare i seguenti profili di configurazione dei dispositivi e criteri di conformità del dispositivo accedendo al portale di Intune in Azure con le credenziali di Intune.You create the following device configuration profiles and device compliance policies by logging into the Intune on Azure portal with your Intune credentials.

Profilo di posta elettronica iOSiOS email profile

Nel portale di Intune in Azure è possibile creare i seguenti profili di configurazione dei dispositivi in Configurazione del dispositivo > Profili > Crea profilo > Piattaforma (iOS) > Tipo di profilo (Posta elettronica).In the Intune on Azure portal, you can create the following device configuration profiles at Device configuration > Profiles > Create Profile > Platform (iOS) > Profile type (E-mail).

Profilo di posta elettronicaEmail profile

TipoType ProprietàProperties ValoriValues NoteNotes
Exchange Active SyncExchange Active Sync Host (#)Host (#) Outlook.Office365.comOutlook.office365.com
Nome account (#)Account Name (#) SecureEmailAccountSecureEmailAccount Scelta amministratoreAdmini choice
Nome utenteUsername Nome entità utenteUser principal name Selezionato (menu a discesa)Selected – Drop down
Indirizzo di posta elettronicaEmail address Indirizzo SMTP primarioPrimary SMTP address Selezionato (menu a discesa)Selected – Drop down
Metodo di autenticazioneAuthentication method Nome utente e passwordUsername and password Selezionato (menu a discesa)Selected – Drop down
Usa S/MIMEUse S/MIME FalseFalse
Impostazioni di sincronizzazioneSynchronization settings Numero di giorni di messaggi di posta elettronica da sincronizzareNumber of days of email to synchronize Due settimaneTwo weeks Selezionato (menu a discesa)Selected – Drop down
Usa SSLUse SSL TrueTrue CheckCheck
Consenti di spostare i messaggi negli altri account di posta elettronicaAllow messages to be moved to other email accounts FalseFalse
Consenti di inviare i messaggi di posta elettronica dalle applicazioni di terze partiAllow email to be sent from third party applications TrueTrue
Sincronizza gli indirizzi di posta elettronica utilizzati di recenteSynchronize recently used email addresses TrueTrue CheckCheck

Profilo di posta elettronica AndroidAndroid email profile

Nel portale di Intune in Azure è possibile creare i seguenti profili di configurazione dei dispositivi in Configurazione del dispositivo > Profili > Crea profilo > Piattaforma (Android) > Tipo di profilo (Posta elettronica).In the Intune on Azure portal, you can create the following device configuration profiles at Device configuration > Profiles > Create Profile > Platform (Android) > Profile type (E-mail).

Profilo di posta elettronicaEmail profile

TipoType ProprietàProperties ValoriValues NoteNotes
Exchange Active SyncExchange Active Sync Host (#)Host (#) Outlook.Office365.comOutlook.office365.com
Nome account (#)Account Name (#) SecureEmailAccountSecureEmailAccount Scelta amministratoreAdmini choice
Nome utenteUsername Nome entità utenteUser principal name Selezionato (menu a discesa)Selected – Drop down
Indirizzo di posta elettronicaEmail address Indirizzo SMTP primarioPrimary SMTP address Selezionato (menu a discesa)Selected – Drop down
Metodo di autenticazioneAuthentication method Nome utente e passwordUsername and password Selezionato (menu a discesa)Selected – Drop down
Usa S/MIMEUse S/MIME FalseFalse
Impostazioni di sincronizzazioneSynchronization settings Numero di giorni di messaggi di posta elettronica da sincronizzareNumber of days of email to synchronize Due settimaneTwo weeks Selezionato (menu a discesa)Selected – Drop down
Pianificazione sincronizzazioneSync schedule Non configurataNot configured Selezionato (menu a discesa)Selected – Drop down
Usa SSLUse SSL TrueTrue CheckCheck
Tipo di contenuti da sincronizzareContent type to synchronize
Posta elettronicaEmail TrueTrue Controllare (bloccato)Check (locked)
ContattiContacts TrueTrue CheckCheck
CalendarioCalenadr TrueTrue CheckCheck
AttivitàTasks TrueTrue CheckCheck
NoteNotes TrueTrue CheckCheck

Profilo di posta elettronica per AndroidAndroid for work email profile

Nel portale di Intune in Azure è possibile creare i seguenti profili di configurazione dei dispositivi in Configurazione del dispositivo > Profili > Crea profilo > Piattaforma (Android for Work) > Tipo di profilo (Posta elettronica).In the Intune on Azure portal, you can create the following device configuration profiles at Device configuration > Profiles > Create Profile > Platform (Android for Work) > Profile type (E-mail).

Profilo di posta elettronicaEmail profile

TipoType ProprietàProperties ValoriValues NoteNotes
Exchange Active SyncExchange Active Sync Host(#)Host(#) Outlook.Office365.comOutlook.office365.com
Nome account (#)Account Name(#) SecureEmailAccountSecureEmailAccount Scelta amministratoreAdmini choice
Nome utenteUsername Nome entità utenteUser principal name Selezionato (menu a discesa)Selected – Drop down
Indirizzo di posta elettronicaEmail address Indirizzo SMTP primarioPrimary SMTP address Selezionato (menu a discesa)Selected – Drop down
Metodo di autenticazioneAuthentication method Nome utente e passwordUsername and password Selezionato (menu a discesa)Selected – Drop down
Impostazioni di sincronizzazioneSynchronization settings Numero di giorni di messaggi di posta elettronica da sincronizzareNumber of days of email to synchronize Due settimaneTwo weeks Selezionato (menu a discesa)Selected – Drop down
Usa SSLUse SSL TrueTrue CheckCheck

Criteri di conformità dei dispositiviDevice compliance policy

Nel portale di Intune in Azure è possibile creare i seguenti criteri di conformità del dispositivo in Conformità del dispositivo > Criteri > Crea criterio > Piattaforma (iOS, Android o altre) > Impostazioni.In the Intune on Azure portal, you can create the following device compliance policies at Device compliance > Policies > Create Policy > Platform (iOS, Android or others) > Settings.

Protezione del sistemaSystem security

TipoType ProprietàProperties ValoriValues NoteNotes
PasswordPassword Richiedi una password per sbloccare i dispositivi mobili (...)Require a password to unlock mobile devices (...) Yes Selezionato (menu a discesa)Selected – Drop down
Consenti le password semplici (...)Allow simple passwords (...) NoNo Selezionato (menu a discesa)Selected – Drop down
Lunghezza minima password (...)Minimum password length (...) 66 Selezionato (elenco)Selected – List
Impostazioni avanzate passwordAdvanced password settings TuttoAll Non configurataNot configured
CrittografiaEncryption Richiedi crittografia sul dispositivo mobile (...)Require encryption on mobile device (...) Yes Selezionato (menu a discesa)Selected – Drop down
Profili di posta elettronicaEmail profiles L'account di posta elettronica deve essere gestito da Intune (iOS 8.0+)Email account must be managed by Intune (iOS 8.0+) Yes Selezionato (menu a discesa)Selected – Drop down
Seleziona (#)Select (#) Selezionare i criteri di configurazione di posta elettronica per iOS: criteri di posta elettronica iOS (vedere i criteri di configurazione descritti in precedenza)Must select Email Configuration Policy for iOS: iOS Email Policy (see configuration policies above)

Integrità del dispositivoDevice health

TipoType ProprietàProperties ValoriValues NoteNotes
Attestazione dell'integrità del dispositivo WindowsWindows decide health attestation Richiedi che i dispositivi siano riportati come integri (Windows 10 Desktop e Mobile e versioni successive)Require devices to be reported as healthy (Windows 10 Desktop and Mobile and later) Yes
Impostazioni di sicurezza del dispositivoDevice security settings TuttoAll Non configurataNot configured
Protezione dalle minacce per il dispositivoDevice threat protection TuttoAll Non configurataNot configured
JailbreakJailbreak Il dispositivo non deve essere jailbroken o rooted (iOS 8.0+, Android 4.0+)Device must not be jailbroken or rooted (iOS 8.0+, Android 4.0+) Yes

Proprietà del dispositivoDevice properties

TipoType ProprietàProperties ValoriValues NoteNotes
Versione del sistema operativoOperating system version TuttoAll Non configurataNot configured

Tutti i criteri descritti in precedenza vengono considerati distribuiti se assegnati a gruppi di utenti. Creare quindi criteri (al momento del salvataggio) o successivamente selezionando Gestisci distribuzione nella sezione Criteri (stesso livello di Aggiungi).For all the above policies to be considered deployed, they must be targeted at user groups. You can do this by creating the policy (on Save) or later by selecting Manage Deployment in the Policy section (same level as Add).

Correzione degli eventi che hanno generato rischi di accesso medio ed elevatoRemediating medium or high risk access events

Se un utente segnala che è ora richiesto eseguire l'autenticazione a più fattori, il supporto può rivedere lo stato dell'utente da una prospettiva di rischio.If a user reports that they are now expected to perform MFA when this was previously not required, support can review their status from a risk perspective.

Gli utenti dell'organizzazione con un ruolo Amministratore globale o Amministratore della protezione possono usare Azure AD Identity Protection per analizzare gli eventi rischiosi che hanno contribuito al punteggio del rischio calcolato. Se si identificano eventi che sono stati contrassegnati come sospetti, ma che vengono ritenuti validi (ad esempio un accesso da posizione insolita quando un dipendente è in ferie), l'amministratore può risolvere l'evento in modo che non sia più considerato per calcolare il punteggio di rischio.Users within the organization with a Global Administrator or Security Administrator role can use Azure AD Identity Protection to review the risky events that contributed to the calculated risk score. If they identify some events that were flagged as suspicious, but are confirmed to be valid (such as a login from an unfamiliar location when an employee is on vacation), the administrator can resolve the event so it no longer contributes to the risk score.

Passaggi successiviNext steps

Suggerimenti sui criteri per la protezione di siti e file di SharePointLearn about policy recommendations for securing SharePoint Sites and files