Creare criteri di sicurezza dei dispositivi in Basic Mobility and Security
È possibile usare La mobilità e la sicurezza di base per creare criteri per i dispositivi che consentono di proteggere le informazioni dell'organizzazione su Microsoft 365 da accessi non autorizzati. È possibile applicare criteri a qualsiasi dispositivo mobile dell'organizzazione in cui l'utente del dispositivo ha una licenza di Microsoft 365 applicabile e ha registrato il dispositivo in Mobilità e sicurezza di base.
Prima di iniziare
Importante
Prima di poter creare criteri per dispositivi mobili, è necessario attivare e configurare La mobilità e la sicurezza di base. Per altre info, vedi Panoramica della mobilità e della sicurezza di base per Microsoft 365.
- Informazioni sui dispositivi, le app per dispositivi mobili e le impostazioni di sicurezza supportate da Basic Mobility and Security. Vedere Funzionalità di mobilità e sicurezza di base.
- Creare gruppi di sicurezza che includono gli utenti di Microsoft 365 in cui si desidera distribuire i criteri e per gli utenti che potrebbero voler escludere dal blocco l'accesso a Microsoft 365. Prima di distribuire un nuovo criterio per l'organizzazione verifica i criteri distribuendoli a un numero limitato di utenti. È possibile creare e usare un gruppo di sicurezza che include solo se stessi o un numero ridotto di utenti di Microsoft 365 che possono testare automaticamente i criteri. Per altre informazioni sui gruppi di sicurezza, vedere Creare, modificare o eliminare un gruppo di sicurezza.
- Per creare e distribuire criteri di mobilità e sicurezza di base in Microsoft 365, è necessario essere un amministratore della conformità. Per altre info, vedi Ruoli predefiniti di Microsoft Entra.
- Prima di distribuire i criteri, comunicare all'organizzazione i potenziali effetti della registrazione di un dispositivo in Mobilità e sicurezza di base. A seconda della modalità di configurazione dei criteri, ai dispositivi non conformi può essere impedito l'accesso a Microsoft 365 e ai dati, incluse le applicazioni installate, le foto e le informazioni personali in un dispositivo registrato e i dati possono essere eliminati.
Nota
I criteri e le regole di accesso creati in Basic Mobility and Security per Microsoft 365 Business Standard sostituiscono i criteri delle cassette postali dei dispositivi mobili exchange ActiveSync e le regole di accesso ai dispositivi creati nell'interfaccia di amministrazione di Exchange. Dopo la registrazione di un dispositivo in Mobilità e sicurezza di base per Microsoft 365 Business Standard, qualsiasi criterio cassetta postale del dispositivo mobile Exchange ActiveSync o regola di accesso al dispositivo applicata al dispositivo viene ignorato. Per altre informazioni su Exchange ActiveSync, vedere Exchange ActiveSync in Exchange Online.
Passaggio 1: Creare un criterio dispositivo e distribuirlo in un gruppo di test
Prima di iniziare, assicurarsi di aver attivato e configurato La mobilità e la sicurezza di base. Per istruzioni, vedere Panoramica della mobilità e della sicurezza di base.
Dal browser passare a https://compliance.microsoft.com/basicmobilityandsecurity.
Nella scheda Criteri selezionare Crea.
Nella pagina Nome criterio aggiungere e nome e una descrizione e selezionare Avanti.
Nella pagina Requisiti di accesso specificare i requisiti da applicare ai dispositivi mobili nell'organizzazione e selezionare Avanti.
Nella pagina Configurazioni selezionare requisiti di configurazione per l'organizzazione e selezionare Avanti.
Nella pagina Distribuzione scegliere un gruppo di sicurezza a cui applicare questo criterio.
Nella pagina Verifica verificare le selezioni e scegliere Invia.
Il criterio viene inserito nel dispositivo di ogni utente, il criterio viene applicato alla successiva accesso a Microsoft 365 usando il dispositivo mobile. Se gli utenti non hanno mai avuto un criterio applicato al proprio dispositivo mobile prima, dopo aver distribuito i criteri, ricevono una notifica sul dispositivo che include i passaggi per registrare e attivare La mobilità e la sicurezza di base. Per altre info, vedi Registrare il dispositivo mobile usando La mobilità e la sicurezza di base. Fino a quando non completano la registrazione in Basic Mobility and Security ospitata dal servizio Intune, l'accesso alla posta elettronica, a OneDrive e ad altri servizi è limitato. Dopo aver completato la registrazione usando l'app Portale aziendale di Intune, è possibile usare i servizi e i criteri vengono applicati al dispositivo.
Passaggio 2: Verificare che i criteri funzionino
Dopo aver creato i criteri per i dispositivi, verificare che i criteri funzionino come previsto prima di distribuirli nell'organizzazione.
- Dal browser passare a https://compliance.microsoft.com/basicmobilityandsecurity.
- Selezionare Visualizza l'elenco dei dispositivi gestiti.
- Verifica lo stato dei dispositivi dell'utente a cui sono stati applicati i criteri. Si vuole che lo stato dei dispositivi sia gestito.
- È anche possibile eseguire una cancellazione completa o selettiva in un dispositivo facendo clic su Ripristino delle impostazioni predefinite o Rimuovi dati aziendali dal pulsante Gestisci dopo aver selezionato un dispositivo. Per istruzioni, vedere Cancellare un dispositivo mobile in Mobilità e sicurezza di base.
Passaggio 3: Distribuire un criterio all'organizzazione
Dopo aver creato un criterio del dispositivo e aver verificato che funzioni come previsto, distribuirlo nell'organizzazione.
- Dal tipo di browser: https://compliance.microsoft.com/basicmobilityandsecurity.
- Selezionare il criterio da distribuire e scegliere Modifica accanto a Gruppi applicati.
- Cercare un gruppo da aggiungere e fare clic su Seleziona.
- Selezionare Chiudi e modifica impostazione.
- Selezionare Chiudi e modifica criterio.
Il criterio viene inserito nel dispositivo mobile di ogni utente, il criterio viene applicato alla successiva accesso a Microsoft 365 dal dispositivo mobile. Se gli utenti non hanno applicato un criterio al dispositivo mobile, ricevono una notifica sul dispositivo con la procedura per registrarlo e attivarlo per La mobilità e la sicurezza di base. Dopo aver completato la registrazione, i criteri vengono applicati al dispositivo. Per altre info, vedi Registrare il dispositivo mobile usando La mobilità e la sicurezza di base.
Passaggio 4: Bloccare l'accesso alla posta elettronica per i dispositivi non supportati
Per proteggere le informazioni dell'organizzazione, è consigliabile bloccare l'accesso delle app alla posta elettronica di Microsoft 365 per i dispositivi mobili non supportati da Mobilità e sicurezza di base. Per un elenco dei dispositivi supportati, vedere Dispositivi supportati.
Per bloccare l'accesso alle app:
Dal browser digitare https://compliance.microsoft.com/basicmobilityandsecurity.
Selezionare la scheda Impostazione organizzazione .
Per bloccare i dispositivi non supportati, scegliere Accesso in Se un dispositivo non è supportato da Basic Mobility and Security per Microsoft 365 e quindi selezionare Salva.
Passaggio 5: Scegliere i gruppi di sicurezza da escludere dai controlli dell'accesso condizionale
Se si desidera escludere alcuni utenti dai controlli dell'accesso condizionale sui relativi dispositivi mobili e sono stati creati uno o più gruppi di sicurezza per tali utenti, è possibile aggiungere qui i gruppi di sicurezza. Gli utenti di questi gruppi non avranno criteri applicati per i dispositivi mobili supportati. Questa è l'opzione consigliata se non si vuole più usare La mobilità e la sicurezza di base nell'organizzazione.
Dal browser digitare https://compliance.microsoft.com/basicmobilityandsecurity.
Selezionare la scheda Impostazione organizzazione .
Selezionare Aggiungi per aggiungere il gruppo di sicurezza con gli utenti che si desidera escludere dal blocco dell'accesso a Microsoft 365. Quando un utente è stato aggiunto a questo elenco, può accedere alla posta elettronica di Microsoft 365 quando usa un dispositivo non supportato.
Selezionare il gruppo di sicurezza da usare nel pannello Seleziona gruppo .
Selezionare il nome e quindi Aggiungi>salva.
Nel pannello Impostazioni organizzazione scegliere Salva.
Qual è l'impatto dei criteri di sicurezza sui diversi tipi di dispositivo?
Quando si applicano criteri ai dispositivi utente, l'impatto su ogni dispositivo varia leggermente tra i tipi di dispositivo. Vedere la tabella seguente per visualizzare esempi dell'impatto dei criteri su diversi dispositivi.
| Criterio di sicurezza | Android | Samsung KNOX | iOS | Note |
|---|---|---|---|---|
| Richiede un backup crittografato | No | Sì | Sì | È necessario il backup crittografato iOS. |
| Blocca backup sul cloud | Sì | Sì | Sì | Blocca il backup di Google in Android (disattivato), il backup cloud in iOS supervisionato. |
| Blocca sincronizzazione documenti | No | No | Sì | iOS: bloccare i documenti nel cloud nei dispositivi iOS con supervisione. |
| Blocca sincronizzazione foto | No | No | Sì | iOS (nativo): blocco lo streaming foto. |
| Blocca acquisizione schermata | No | Sì | Sì | Tentativo bloccato. |
| Blocca videoconferenza | No | No | Sì | FaceTime bloccato nei dispositivi iOS supervisionati, non in Skype o in altri dispositivi. |
| Blocca invio dati di diagnostica | No | Sì | Sì | Blocco invio segnalazione di arresto anomalo di Google su Android. |
| Blocca l'accesso all'app store | No | Sì | Sì | Icona dell'App Store mancante nella home page android, disabilitata in Windows e dispositivi iOS con supervisione. |
| Richiede una password per l'app store | No | No | Sì | iOS: password necessaria per gli acquisti su iTunes. |
| Blocca connessione con archivi rimovibili | No | Sì | N/D | Android: la scheda SD è disattivata nelle impostazioni, Windows notifica all'utente che le app installate non sono disponibili |
| Blocca connessione Bluetooth | Vedere le note | Vedere le note | Sì | Non è possibile disabilitare BlueTooth come impostazione in Android. Vengono invece disabilitate tutte le transazioni che richiedono BlueTooth: distribuzione audio avanzata, controllo remoto audio/video, dispositivi vivavoce, auricolare, accesso alla rubrica telefonica e porta seriale. Durante una di queste transazioni, viene visualizzato un piccolo messaggio popup in fondo alla pagina. |
Cosa accade quando si elimina un criterio o si rimuove un utente dal criterio?
Quando si elimina un criterio o si rimuove un utente da un gruppo in cui è stato distribuito il criterio, le impostazioni dei criteri, il profilo di posta elettronica di Microsoft 365 e i messaggi di posta elettronica memorizzati nella cache potrebbero essere rimossi dal dispositivo dell'utente. Vedere la tabella seguente per vedere cosa viene rimosso per i diversi tipi di dispositivo.
| Contenuto rimosso | iOS | Android (incluso Samsung KNOX) |
|---|---|---|
| Profili di posta elettronicagestiti 1 | Sì | No |
| Blocca backup sul cloud | Sì | No |
1 Se il criterio è stato distribuito con l'opzione Profilo di posta elettronica è gestito selezionato, il profilo di posta elettronica gestito e i messaggi di posta elettronica memorizzati nella cache in tale profilo vengono eliminati dal dispositivo utente.
I criteri vengono rimossi dal dispositivo mobile per ogni utente che i criteri si applicano alla successiva verifica del dispositivo con La mobilità e la sicurezza di base. Se si distribuisce un nuovo criterio che si applica a questi dispositivi utente, viene richiesto di eseguire di nuovo la registrazione in Mobilità e sicurezza di base.
È anche possibile cancellare completamente o in modo selettivo le informazioni aziendali dal dispositivo. Per altre info, vedi Cancellare un dispositivo mobile in Mobilità e sicurezza di base.
Contenuto correlato
Panoramica della mobilità e della sicurezza di base (articolo)
Funzionalità di mobilità e sicurezza di base (articolo)