Servizi e concetti di Microsoft 365 EnterpriseMicrosoft 365 Enterprise services and concepts

Microsoft 365 Enterprise è progettato per le organizzazioni di grandi dimensioni e integra Office 365 Enterprise, Windows 10 Enterprise ed Enterprise Mobility + Security per offrire a tutti gli utenti le funzionalità fondamentali per esprimere la propria creatività e collaborare in tutta sicurezza. Microsoft Enterprise 365 include un'edizione enterprise delle applicazioni di Windows 10 e Office tramite Office 365 ProPlus.Microsoft 365 Enterprise is designed for large organizations and integrates Office 365 Enterprise, Windows 10 Enterprise, and Enterprise Mobility + Security (EMS) to empower everyone to be creative and work together, securely. Microsoft 365 Enterprise includes an enterprise edition of Windows 10 and Office applications through Office 365 ProPlus.

Sia Windows 10 che Office 365 ProPlus offrono nuovi aggiornamenti delle funzionalità per le aziende rilasciati in marzo e settembre tramite il canale semestrale. Un rilascio di funzionalità del canale semestrale è supportato per 18 mesi. Sia Microsoft Intune che System Center Configuration Manager includono funzionalità per distribuire e aggiornare Windows 10 e Office 365 ProPlus.Both Windows 10 and Office 365 ProPlus provide new feature releases to the enterprise in March and September via the Semi-Annual Channel. A feature release of Semi-Annual Channel is supported for 18 months. Both Microsoft Intune and System Center Configuration Manager provide capabilities to deploy and update Windows 10 and Office 365 ProPlus.

Queste sono le versioni più aggiornate di Windows 10, Office 365 ProPlus, Microsoft Intune e System Center Configuration Manager:Here are the most current versions of Windows 10, Office 365 ProPlus, Microsoft Intune, and System Center Configuration Manager:

Canale semestrale (mirato)Semi-Annual Channel (Targeted) Canale semestraleSemi-Annual Channel
Windows 10Windows 10 Windows 10 Fall Creators Update (presto disponibile)Windows 10 Fall Creators Update (coming soon) Versione 1703Version 1703
Office 365 ProPlusOffice 365 ProPlus Versione 1803Version 1803 Versione 1708Version 1708
IntuneIntune N/DN/A Versione 1708Version 1708
System Center Configuration ManagerSystem Center Configuration Manager Technical Preview versione 1708Technical Preview Version 1708 Versione1706*Version 1706*

* L'aggiornamento 1706 per System Center Configuration Manager (Current Branch) è disponibile come aggiornamento nella console per siti installati in precedenza che eseguono la versione 1606, 1610 o 1702.* Update 1706 for System Center Configuration Manager current branch is available as an in-console update for previously installed sites that run version 1606, 1610, or 1702.

Nota

Anche i servizi di Microsoft Azure vengono aggiornati a intervalli regolari, ma non sono contraddistinti da un numero di versione. Per controllare gli aggiornamenti più recenti e quelli previsti per il futuro per i servizi di Azure, vedere la Guida di orientamento a Cloud Platform.Microsoft Azure services are also updated on a regular basis, but are not referenced by a version number. To review the latest updates, and what's coming, for Azure services, see the cloud platform roadmap.

Per altre informazioni sulle funzionalità disponibili in queste versioni, vedere gli articoli seguenti:For more information about the features available in these versions, see the following articles:

Panoramica dei serviziServices overview

Questa sezione offre una panoramica dei servizi EMS e Office 365 inclusi in Microsoft 365 Enterprise, oltre a un'introduzione ai concetti di base necessari per comprendere come usarli al meglio per le specifiche esigenze di ogni organizzazione. Le funzionalità offerte da questi servizi consentono agli amministratori aziendali del cloud Microsoft non solo di proteggere le identità e i dispositivi dei dipendenti della società, ma anche di controllare l'accesso ai dati aziendali, sia in transito che inattivi.This section provides an overview of the EMS and Office 365 services included with Microsoft 365 Enterprise and also introduces the core concepts necessary to understand how to best use it for your oganizational needs. These services provide capabilities that enable Microsoft cloud enterprise administrators to not just protect company employees’ identities and devices, but also control access to company data itself; both in transit and at rest.

ServizioService DescrizioneDescription
Microsoft Azure Active DirectoryMicrosoft Azure Active Directory Azure AD offre una gamma completa di funzionalità per la gestione delle identità, tra cui autenticazione a più fattori, registrazione dei dispositivi, gestione delle password self-service, gestione dei gruppi self-service, controllo degli accessi in base al ruolo, monitoraggio dell'utilizzo delle applicazioni, controllo avanzato e monitoraggio e avvisi per la sicurezza.Azure AD provides a full suite of identity management capabilities including multi-factor authentication, device registration, self-service password management, self-service group management, role based access control, application usage monitoring, rich auditing and security monitoring and alerting.
Azure AD Identity ProtectionAzure AD Identity Protection Questo servizio consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare risposte automatizzate tramite criteri di accesso condizionale per rischi di accesso e rischi utente di livello basso, medio e alto.This service enables you to detect potential vulnerabilities affecting your organization’s identities and configure automated responses via conditional access policies to low, medium and high sign-in risk and user risk.
Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management Questo servizio consente alle organizzazioni di ridurre al minimo il numero di persone con accesso permanente a operazioni privilegiate. Azure AD Privileged Identity Management introduce il concetto di amministratore idoneo. Gli amministratori idonei devono essere utenti che necessitano dell'accesso con privilegi occasionalmente, ma non ogni giorno. Il ruolo è inattivo fino a quando l'utente deve accedere con questi requisiti, quindi occorre completare un processo di attivazione per diventare amministratore attivo per un periodo di tempo prestabilito.This service enables organizations to minimize the number of people who have persistent access to privileged operations; Azure AD Privileged Identity Management introduces the concept of an eligible admin. Eligible admins should be users that need privileged access now and then, but not every day. The role is inactive until the user needs access, then they complete an activation process and become an active admin for a predetermined amount of time.
Azure Information ProtectionAzure Information Protection Azure Information Protection è una soluzione basata sul cloud, inclusa nell'offerta EMS E5, che consente alle organizzazioni di classificare, etichettare e proteggere documenti e messaggi di posta elettronica. Queste operazioni possono essere eseguite automaticamente dagli amministratori, che definiscono regole e condizioni, manualmente dagli utenti oppure da entrambi, quando gli utenti ricevono raccomandazioni dagli amministratori. Le etichette di Azure Information Protection consentono di applicare la classificazione a documenti e messaggi di posta elettronica. In questo modo, la classificazione è identificabile in qualsiasi momento, indipendentemente dalla posizione di archiviazione dei dati o dagli utenti con cui è condivisa.Azure Information Protection is a cloud-based solution, delivered as part of the EMS E5 offering, that helps an organization to classify, label, and protect its documents and emails. This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users are given recommendations. You use Azure Information Protection labels to apply classification to documents and emails. When you do this, the classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared.

Le impostazioni dei criteri di Azure Information Protection sono protette da Azure Rights Management. Analogamente alle etichette, la protezione applicata tramite Rights Management rimane associata ai documenti e ai messaggi di posta elettronica indipendentemente dalla posizione: all'interno o all'esterno dell'organizzazione, in reti, file server o applicazioni.Azure Information Protection policy settings are protected by Azure Rights Management. Similar to how the labels that are applied, protection that is applied by using Rights Management stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.
Microsoft IntuneMicrosoft Intune Intune è un servizio di gestione della mobilità aziendale (EMM) basato su cloud che consente alla forza lavoro di essere produttiva, garantendo al tempo stesso la protezione dei dati aziendali. Intune è integrato con Azure AD per il controllo delle identità e degli accessi e viene usato per la gestione di dispositivi e applicazioni. Le funzionalità di gestione dei dispositivi di Intune vengono usate per configurare e proteggere i dispositivi dell'utente, inclusi i PC Windows.Intune is a cloud-based enterprise mobility management (EMM) service that helps enable your workforce to be productive while keeping your corporate data protected. Intune integrates closely with Azure AD for identity and access control and is used for device and application management. Intune’s device management capabilities are used to configure and protect your user’s devices, including Windows PCs.

Le funzionalità di gestione dei dispositivi di Intune supportano sia la registrazione BYOD (Bring Your Own Device) che consente agli utenti di registrare telefoni, tablet o PC personali, sia la registrazione di dispositivi di proprietà dell'azienda (COD, Corporate-Owned Device) che rende possibili scenari di gestione come la registrazione automatica, i dispositivi condivisi o configurazioni con requisiti di registrazione pre-autorizzati. Per maggiore sicurezza, è anche possibile richiedere l'autenticazione a più fattori (MFA) per registrare un dispositivo. Dopo averli registrati nel sistema di gestione, Intune può configurare le funzionalità e le impostazioni dei dispositivi per abilitare l'accesso protetto alle risorse aziendali.Intune device management capabilities support both Bring Your Own Device (BYOD) enrollment which lets users enroll their personal phones, tablets, or PCs, and Corporate-owned Device (COD) enrollment that enable management scenarios like automatic enrollment, shared devices, or pre-authorized enrollment requirement configurations. For added security, you can even require MFA to enroll a device. Once enrolled into management, Intune can configure device features and settings to enable secure access to company resources.

Concetti importantiImportant concepts to understand

Nella tabella seguente vengono descritti i concetti di base e le funzionalità di EMS con i quali occorre avere familiarità.Core concepts and EMS capabilities that you should be familiar with are described in the table below.

Concetto di baseCore Concept DescrizioneDescription
Azure Multi-Factor Authentication (MFA)Azure Multi-Factor Authentication (MFA) Come soluzione di verifica in due passaggi di Microsoft, Azure MFA consente di proteggere l'accesso ai dati e alle applicazioni rispettando allo stesso tempo l'esigenza degli utenti di un processo di accesso semplice. Offre un sistema di autenticazione avanzata tramite un'ampia gamma di metodi di verifica, tra cui telefono, SMS o un'app per dispositivi mobili.As Microsoft's two-step verification solution, Azure MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. It delivers strong authentication via a range of verification methods, including phone call, text message, or mobile app verification.
Accesso condizionale di Azure ADAzure AD Conditional Access Questa funzionalità di Azure Active Directory consente di applicare i controlli per l'accesso alle app cloud nell'ambiente in base a condizioni specifiche. Con questi controlli è possibile associare ulteriori requisiti per l'accesso o bloccarlo. L'implementazione dell'accesso condizionale è basato su criteri.This capability of Azure AD enables you to enforce controls on the access to cloud apps in your environment based on specific conditions. With controls, you can either tie additional requirements to the access or you can block it. The implementation of conditional access is based on policies.
Prevenzione della perdita dei dati (DLP) di Exchange OnlineExchange Online Data Loss Prevention (DLP) I criteri di prevenzione della perdita dei dati di Exchange Online, disponibili come funzionalità Premium per le sottoscrizioni di Exchange Online Piano 2 e Office 365, consentono alle organizzazioni di identificare, monitorare e proteggere automaticamente le informazioni riservate in Office 365.Exchange Online Data Loss Prevention (DLP) policies, available as a premium feature of Exchange Online Plan 2 and Office 365 subscriptions, enable organizations to identify, monitor, and automatically protect sensitive information across Office 365.

Con i criteri di prevenzione della perdita dei dati di Exchange Online è possibile identificare le informazioni riservate in numerose posizioni, ad esempio Exchange Online, SharePoint Online e OneDrive for Business. Questi criteri consentono ad esempio di identificare i documenti che contengono informazioni riservate o di evitare la condivisione accidentale di informazioni riservate con utenti esterni all'organizzazione.With Exchange Online DLP policies you can identify sensitive information across many locations, such as Exchange Online, SharePoint Online, and OneDrive for Business. For example, these policies help you identify documents containing sensitive information or prevent the accidental sharing of sensitive information with people outside your organization.
Regole del flusso di posta/di trasporto di ExchangeExchange Mail Flow/Transport Rules Le regole del flusso di posta di Exchange, note anche come regole di trasporto, cercano condizioni specifiche nei messaggi scambiati all'interno dell'organizzazione e applicano azioni corrispondenti. Le regole del flusso di posta sono simili alle regole della posta in arrivo disponibili in molti client di posta elettronica. La differenza principale tra le regole del flusso di posta e le regole che si impostano di solito in un'applicazione client, come Outlook, è che le regole del flusso di posta agiscono sui messaggi in transito, anziché dopo il recapito del messaggio. Per le regole del flusso di posta è inoltre disponibile un set più ampio di condizioni, eccezioni e azioni, che offrono la flessibilità per implementare molti tipi di criteri per la messaggistica.Exchange mail flow rules, also known as transport rules, look for specific conditions in messages that pass through your organization and act on them. Mail flow rules are like the Inbox rules that are available in many email clients. The main difference between mail flow rules and rules you would set up in a client application such as Outlook is that mail flow rules act on messages while they’re in transit as opposed to after the message is delivered. Mail flow rules also contain a richer set of conditions, exceptions, and actions, which provides you with the flexibility to implement many types of messaging policies.
Gestione dei dispositivi mobili di IntuneIntune Mobile Device Management Le funzionalità di gestione dei dispositivi mobili (MDM) di Intune si basano sull'uso dei protocolli o delle API disponibili nei sistemi operativi mobili. Sono incluse attività come la registrazione dei dispositivi nella gestione, in modo che il reparto IT disponga di un inventario dei dispositivi che accedono ai servizi aziendali, la configurazione dei dispositivi per garantire che soddisfino gli standard di integrità e sicurezza aziendali, la fornitura di certificati e profili Wi-Fi/VPN per accedere ai servizi aziendali, la creazione di report e misurazione della conformità dei dispositivi agli standard aziendali e la rimozione dei dati aziendali dai dispositivi gestiti.Intune provides mobile device management (MDM) by using the protocols or APIs that are available in the mobile operating systems. It includes tasks like enrolling devices into management so IT has an inventory of devices that are accessing corporate services, configuring devices to ensure they meet company security and health standards, providing certificates and Wi-Fi/VPN profiles to access corporate services, reporting on and measuring device compliance to corporate standards, and removing corporate data from managed devices.
Criteri di protezione delle app di IntuneIntune app protection policies I criteri di protezione delle app di Intune possono essere usati per proteggere i dati aziendali nelle app per dispositivi mobili, con o senza la registrazione dei dispositivi in una soluzione di gestione. I dispositivi mobili degli utenti possono essere in effetti gestiti anche da un'altra soluzione MDM non Microsoft, mentre Intune protegge le informazioni di Office 365. Mentre ci si assicura che i dipendenti possano rimanere produttivi, è anche possibile prevenire la perdita di dati, sia intenzionale che non intenzionale. Implementando i criteri a livello di app è possibile limitare l'accesso alle risorse aziendali e mantenere i dati sotto il controllo del reparto IT.Intune app protection policies can be used to protect your company’s data in mobile apps with or without enrolling devices into management. In fact, your users' mobile devices can even be managed by another non-Microsoft MDM solution while Intune helps protect Office 365 information. While making sure your employees can still be productive, you can also prevent data loss—intentional and unintentional. By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.
Durata del token di Azure ADAzure AD Token Lifetime È possibile specificare la durata di un token emesso da Azure Active Directory (Azure AD). È possibile impostare le durate dei token per tutte le app all'interno dell'organizzazione, per un'applicazione multi-tenant (più organizzazioni) o per un'entità servizio specifica all'interno dell'organizzazione.You can specify the lifetime of a token issued by Azure Active Directory (Azure AD). You can set token lifetimes for all apps in your organization, for a multi-tenant (multi-organization) application, or for a specific service principal in your organization.
Gestori di identità MicrosoftMicrosoft Identity Brokers Microsoft offre applicazioni per ogni piattaforma per dispositivi mobili che consentono lo scambio di credenziali tra applicazioni di fornitori diversi e supportano funzionalità avanzate speciali che richiedono un'unica posizione sicura da cui convalidare le credenziali. Queste applicazioni sono note come gestori. In iOS e Android tali gestori vengono forniti tramite le app Microsoft Authenticator e Portale aziendale Intune. In Windows 10, questa funzionalità viene fornita tramite uno strumento di selezione degli account incorporato nel sistema operativo, tecnicamente noto come gestore delle autenticazioni Web.Microsoft provides applications for every mobile platform that allow for the bridging of credentials across applications from different vendors and allows for special enhanced features that require a single secure place from where to validate credentials. We call these brokers. On iOS and Android these brokers are provided through the Microsoft Authenticator and Intune Company Portal apps. In Windows 10, this functionality is provided by an account chooser built in to the operating system, known technically as the Web Authentication Broker.

Procedure consigliate e raccomandazioni per la sicurezzaSecurity best practices and recommendations

Non esiste una sola procedura consigliata per tutti gli ambienti dei clienti, ma l'articolo Configurazioni e criteri di sicurezza consigliati presenta alcuni concetti su procedure consigliate che è importante comprendere. L'articolo descrive anche i consigli generali di Microsoft su come applicare i criteri e la configurazione nell'ambito del cloud di Microsoft per garantire la protezione e la produttività dei dipendenti.While there is no single best recommendation for all customer environments, the recommended security policies and configurations article introduces important security best practices concepts to understand. This article also describes general Microsoft recommendations about how to apply policy and configuration within the Microsoft cloud to ensure that your employees are both secure and productive.

General identity and device access policy recommendations (Consigli generali su criteri di identità e accesso dei dispositivi) descrive i criteri comuni consigliati per proteggere Microsoft 365 Enterprise. Vengono anche presentate le configurazioni client della piattaforma predefinite consigliate per offrire un'esperienza SSO ottimale agli utenti, oltre ai prerequisiti tecnici per l'accesso condizionale.General identity and device access policy recommendations describes the common recommended policies to help you secure Microsoft 365 Enterprise. Also discussed are the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical pre-requisites for conditional access.

Criteri di accesso di Exchange OnlineExchange Online access policies

L'articolo Criteri di sicurezza consigliati per la posta elettronica offre i consigli Microsoft per proteggere la posta elettronica dell'organizzazione e i client di posta elettronica che supportano l'autenticazione moderna e l'accesso condizionale. Queste indicazioni si aggiungono a quelle contenute in Common identity and access policy recommendations (Consigli sui criteri comuni di identità e accesso).Policy recommendations to help secure email provides Microsoft recommendations to help you secure organizational email, and email clients that support Modern Authentication and Conditional Access. These recommendations are in addition to the common identity and access policy recommendations.

Criteri di accesso di SharePoint OnlineSharePoint Online access policies

Vengono offerti consigli per proteggere l'accesso ai file di SharePoint Online oltre ai consigli sui criteri comuni di identità e accesso e ai criteri di sicurezza consigliati per la posta elettronica. L'articolo descrive i criteri che devono essere creati e la modalità con cui i criteri esistenti devono essere modificati per proteggere l'accesso ai messaggi di posta elettronica di Exchange Online e ai file di SharePoint Online.Recommendations are provided to safeguard SharePoint Online file access in addition to the common identity and access policy recommendations and policy recommendations to help secure email. This article describes the new policies that must be created, and how existing policies should be amended, to protect both Exchange Online email and SharePoint online file access.

Distribuire Windows 10 e Office 365 ProPlusDeploy Windows 10 and Office 365 ProPlus

Informazioni su come distribuire Windows 10 e Office 365 ProPlus con integrazione in Microsoft Azure Active Directory (Azure AD) o in Active Directory Domain Services in locale. Distribuire Windows 10, Office 365 ProPlus e le altre app line-of-business nei nuovi dispositivi o aggiornare i dispositivi esistenti a Windows 10 usando Intune, System Center Configuration Manager e Criteri di gruppo per gestire i dispositivi.Learn how to deploy Windows 10 and Office 365 ProPlus and integrate into Microsoft Azure Active Directory (Azure AD) or on-premises Active Directory Domain Services (AD DS). Deploy Windows 10, Office 365 ProPlus, and your other line-of-business apps to new devices or upgrade existing devices to Windows 10 using Intune, System Center Configuration Manager, and Group Policy to manage devices.

Per ulteriori informazioni, vedere gli articoli seguenti:For more information, see the following articles:

Per assistenza per la distribuzione con Microsoft 365, contattare FastTrack.For deployment assistance with Microsoft 365, contact FastTrack.

Gestire gli aggiornamenti per Windows 10 e Office 365 ProPlusManage updates to Windows 10 and Office 365 ProPlus

I collegamenti seguenti mostrano come ottenere il massimo controllo sugli aggiornamenti della qualità e delle funzionalità per Windows 10 e Office 365 ProPlus. Informazioni su come controllare in modo efficace l'utilizzo della larghezza di banda e mantenere aggiornati Windows e Office con le funzionalità, le caratteristiche e gli aggiornamenti della sicurezza più recenti.The following links show you how to gain maximum control over quality and feature updates for Windows 10 and Office 365 ProPlus. Learn how to effectively control bandwidth usage and keep Windows and Office up-to-date with the newest features, capabilities, and security updates.

Per ulteriori informazioni, vedere gli articoli seguenti:For more information, see the following articles:

* Microsoft invita le organizzazioni che attualmente usano Configuration Manager per la gestione degli aggiornamenti di Windows a continuare a farlo per i computer client Windows 10.* Microsoft encourages organizations currently using Configuration Manager for Windows update management to continue doing so for Windows 10 client computers.

Passaggi successiviNext steps

Pagina del prodotto Microsoft 365 EnterpriseMicrosoft 365 Enterprise product page
Guida di orientamento a Cloud PlatformCloud platform roadmap