Gestione dei dispositivi mobili con Microsoft Intune per la sicurezza aziendale

Gestione dei dispositivi mobili con Microsoft Intune per la sicurezza aziendale

03/08/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'uso di Microsoft Intune per gestire e proteggere i dispositivi mobili (iOS/iPadOS e Android) in un ambiente aziendale. Intune, come soluzione Unified Endpoint Management (UEM), offre strumenti robusti per garantire che i dispositivi mobili che accedono alle risorse aziendali siano configurati in modo sicuro e conforme, sia in un modello di proprietà dell'azienda che personale (BYOD) [1].

Introduzione

I dispositivi mobili sono essenziali per la produttività, ma rappresentano un rischio significativo se non gestiti. Microsoft Intune affronta queste sfide attraverso due approcci principali: Mobile Device Management (MDM), che gestisce il dispositivo nel suo complesso, e Mobile Application Management (MAM), che protegge i dati all'interno delle applicazioni indipendentemente dal fatto che il dispositivo sia gestito o non gestito. Quest'ultimo è ideale per scenari BYOD [2].

Questa guida riguarderà la configurazione di Intune per MDM e MAM, la registrazione dei dispositivi, la creazione di criteri di configurazione e conformità e la distribuzione delle applicazioni.

Perché Microsoft Intune è fondamentale?

  • Protezione completa: offre MDM e MAM per proteggere dispositivi e dati.
  • Controllo centralizzato: gestisci i dispositivi mobili da un'unica piattaforma.
  • Accesso condizionale: si integra con l'accesso condizionale di Azure AD per garantire che solo i dispositivi e le applicazioni conformi accedano ai dati aziendali.
  • Separazione dei dati: isola i dati aziendali dai dati personali sui dispositivi BYOD.

Prerequisiti

  1. Licenza: Microsoft Intune (incluso negli abbonamenti come Microsoft 365 E3/E5).
  2. Accesso amministrativo: amministratore globale o amministratore del servizio Intune.
  3. Certificato APN (per iOS/iPadOS): richiesto per gestire i dispositivi Apple [3].
  4. Account Google Play gestito (per Android): obbligatorio per Android Enterprise.

Procedura dettagliata: configurazione di Intune per dispositivi mobili

1. Configurazione della registrazione del dispositivo

Innanzitutto, configura i prerequisiti per la registrazione dei dispositivi iOS e Android nell'interfaccia di amministrazione di Microsoft Intune (https://intune.microsoft.com) in Amministrazione tenant > Connettori e token.

  • Per iOS/iPadOS: crea e carica un Certificato APN Apple.
  • Per Android: collega il tuo account Intune a Google Play gestito.

2. Creazione di politiche di conformità

I criteri di conformità definiscono i requisiti di sicurezza che un dispositivo deve soddisfare per essere considerato "conforme". I dispositivi non conformi potrebbero essere bloccati dall'accesso condizionato.

  1. Nell'interfaccia di amministrazione di Intune, vai a Dispositivi > Criteri di conformità.
  2. Fare clic su Crea policy e selezionare la piattaforma (ad esempio "Android Enterprise" o "iOS/iPadOS").
  3. Impostazioni di conformità: definire i requisiti. Esempi essenziali:
    • Salute del dispositivo: richiede che il dispositivo non sia jailbreak/root sbloccato.
    • Proprietà dispositivo: imposta la "Versione minima del sistema operativo".
    • Sicurezza del sistema:
      • "Richiedi una password per sbloccare i dispositivi mobili".
      • "Richiedi che i dati sul dispositivo siano crittografati".
  4. Azioni in caso di non conformità: l'azione predefinita è "Contrassegna il dispositivo come non conforme". Puoi aggiungere azioni come l'invio di un'e-mail all'utente.
  5. Assegnazioni: assegna la policy a un gruppo di utenti o dispositivi.

3. Creazione dei profili di configurazione

I profili di configurazione inviano le impostazioni ai dispositivi, come profili Wi-Fi, profili VPN e restrizioni sui dispositivi.

  1. Vai su Dispositivi > Profili di configurazione e fai clic su Crea profilo.
  2. Seleziona la piattaforma e il tipo di profilo (es: "Modelli > Restrizioni dispositivo").
  3. Impostazioni di configurazione: configura le restrizioni desiderate. Esempi:
    • Generale: blocca Screenshot e procedura guidata della schermata.
    • Password: forza il Tipo di password richiesta su Alfanumerico.
    • App: blocca l'accesso agli app store personali.
  4. Assegnare il profilo a un gruppo di utenti o dispositivotivi.

4. Implementazione delle policy di protezione delle applicazioni (MAM)

MAM è ideale per proteggere i dati sui dispositivi personali (BYOD) senza gestirli completamente.

  1. Vai su Applicazioni > Criteri di protezione delle app e fai clic su Crea criterio.
  2. Seleziona la piattaforma (es: iOS/iPadOS).
  3. Applicazioni: seleziona le applicazioni che desideri proteggere (ad esempio: Microsoft Outlook, Microsoft Teams).
  4. Protezione dati: configura le regole DLP (Prevenzione della perdita di dati).
    • Backup dei dati dell'organo: Blocca.
    • "Invia dati dell'organizzazione ad altre app": "App gestite da criteri" (impedisce il copia/incolla su app non gestite).
    • "Ricevi dati da altre app": "Tutte le app".
    • Limita taglia, copia e incolla tra altre applicazioni: Bloccato.
  5. Requisiti di accesso: Richiedi un "PIN per l'accesso" o credenziali aziendali.
  6. Assegnare la policy a un gruppo di utenti.

5. Distribuzione delle applicazioni

Distribuisci le app sui dispositivi degli utenti.

  1. Vai su App > Tutte le app e fai clic su Aggiungi.
  2. Selezionare il tipo di applicazione (ad esempio "App iOS Store" o "App Android Store").
  3. Cerca l'app nello store (es: Microsoft Authenticator).
  4. Configura le informazioni sull'applicazione e vai a Assegnazioni.
  5. Assegnare l'applicazione come Obbligatoria a un gruppo (installazione forzata) o come Disponibile (l'utente può eseguire l'installazione dal Portale aziendale).

Azioni e monitoraggio da remoto

In Intune è possibile selezionare un dispositivo specifico ed eseguire azioni remote, ad esempio:

  • Sincronizzazione: impone al dispositivo di effettuare il check-in con Intune.
  • Riavvia: riavvia il dispositivo.
  • Cancella: rimuove tutti i dati aziendali e ripristina le impostazioni di fabbrica del dispositivo (ideale per i dispositivi aziendali smarriti).
  • Disabilita: rimuove i dati aziendali, lasciando intatti i dati personali (ideale per scenari BYOD).
  • Blocco remoto: blocca il dispositivo.

Conclusione

Microsoft Intune offre un set completo di strumenti per affrontare le sfide della moderna sicurezza mobile. Combinando policy di conformità, profili di configurazione e policy di protezione delle applicazioni, le organizzazioni possono garantire che i dati aziendali rimangano protetti indipendentemente da dove vi si acceda, offrendo allo stesso tempo agli utenti la flessibilità di cui hanno bisogno. Un’attenta implementazione di queste politiche è un passo essenziale verso un’efficace strategia di sicurezza Zero Trust.

Riferimenti

[1]Microsoft. (2023). Cos'è Microsoft Intune? [2]Microsoft. (2023). Che cos'è la gestione delle app Microsoft Intune? [3] Mela. (2023). Servizio di notifiche push Apple. [4]Microsoft. (2023). Licenze disponibili per Microsoft Intune. [5]Microsoft. (2023). Creare un criterio di conformità in Microsoft Intune. [6]Google. (2023). Connetti Intune al tuo account Google Play gestito.