Microsoft offre alle aziende una suite per gestire, accedere e proteggere da remoto i dati archiviati nei dispositivi di proprietà dell'azienda e dei dipendenti. Questa pratica di gestione dei dispositivi e dei dati è chiamata Mobile Device Management (MDM). I servizi MDM ti permettono di creare politiche di sicurezza che regolano il comportamento di un dispositivo quando accede ai dati sensibili dell'azienda. Queste politiche stabiliscono come gli utenti possono accedere al portale aziendale (sito web o applicazione) e cosa possono o non possono fare dopo aver effettuato l'accesso. In questo articolo vedremo meglio cos’è l’ecosistema MDM di Microsoft e le funzionalità dei servizi che lo compongono.
In passato, le aziende utilizzavano strumenti di gestione della configurazione per amministrare e proteggere i dati sui loro dispositivi, poiché la maggior parte dei dipendenti lavorava su dispositivi forniti e di proprietà del datore di lavoro. La tendenza odierna si sta spostando invece verso un approccio più ibrido e flessibile definito in gergo BYOD, che significa “Bring Your Own Device” (Porta il tuo dispositivo).
In questo contesto, i dipendenti hanno la flessibilità di utilizzare i propri dispositivi personali per lavoro, sia a casa che in ufficio. Tuttavia, questa pratica ha reso difficile proteggere i dati su diversi dispositivi mobili che utilizzano vari sistemi operativi e per ovviare a questo problema Microsoft ha lanciato un prodotto chiamato Microsoft Intune.
Grazie a Intune, gli amministratori IT possono gestire laptop, tablet e smartphone che utilizzano i principali sistemi operativi, ovvero Android, iOS/iPadOS, macOS e Windows.
Intune si è evoluto negli ultimi anni in un prodotto onnicomprensivo e multipiattaforma per la gestione di dispositivi e applicazioni, che ha inglobato al suo interno l’intero ecosistema di gestione dei dispositivi mobili targato Microsoft e diventando, de facto, l’etichetta con cui ora si fa riferimento a questa particolare famiglia di servizi.
Ma come funziona l’ecosistema di gestione dei dispositivi mobili di Microsoft? Quali sono le sue funzionalità? Vediamolo nelle prossime sezioni.
Microsoft offre una suite di soluzioni e tecnologie alle aziende per gestire, accedere e proteggere da remoto i dati memorizzati su dispositivi di proprietà dell'organizzazione e dei dipendenti. Questa pratica di gestione dei dispositivi e dei dati è chiamata Mobile Device Management (o MDM).
I servizi MDM consentono di creare politiche di sicurezza che regolano il comportamento di un dispositivo quando accede a dati sensibili dell'azienda. Queste politiche stabiliscono come gli utenti possono accedere al portale aziendale (sito web o applicazione) e cosa possono o non possono fare dopo l'accesso. Se un dipendente desidera utilizzare il proprio dispositivo sul posto di lavoro, dovrà accettare queste politiche.
Ecco alcuni casi d'uso della gestione dei dispositivi mobili:
Per implementare correttamente i processi aziendali all'interno dell'ecosistema Microsoft 365, è necessario un team con competenze trasversali:
Dev4Side Software ha le competenze tecniche verticali per fornirti un unico punto di contatto, trasversale per tutti gli elementi della tua sottoscrizione.
Intune è un servizio di MDM che aiuta le organizzazioni a gestire e proteggere i propri dispositivi mobili. Intune offre un set completo di funzionalità, tra cui la gestione dei dispositivi, la gestione delle applicazioni, la protezione delle informazioni e altro ancora. Con Intune, le organizzazioni possono gestire dispositivi sia di proprietà aziendale che personale in una singola console.
Consente la gestione di una rete di dispositivi tramite il cloud e il monitoraggio dell'accesso degli utenti, semplificando al contempo la gestione delle applicazioni su vari dispositivi, inclusi dispositivi mobili, computer desktop e endpoint virtuali.
Microsoft Intune è stato lanciato nel 2011 come Windows Intune, con il cambio di nome in Microsoft Intune annunciato nel 2014. Un importante sviluppo da allora è stato il passaggio di Microsoft Intune al cloud pubblico di Microsoft Azure. Nel dicembre 2016, Microsoft ha presentato una versione preliminare in cui gli amministratori potevano accedere e gestire Microsoft Intune utilizzando il portale di Azure. Nel giugno 2017, Microsoft ha annunciato la disponibilità generale della gestione di Intune tramite il portale di Azure.
Un altro cambio di nome è avvenuto nel 2019 quando Microsoft ha rinominato la suite che contiene la gestione degli endpoint. La nuova suite, che include prodotti come Configuration Manager, Intune e Windows Autopilot, è stata chiamata Microsoft Endpoint Manager.
Nel 2022, Microsoft ha poi rinominato Microsoft Endpoint Manager di nuovo in Microsoft Intune con diversi nuovi annunci di prodotto, tra cui Remote Help, Endpoint Privilege Management, analisi avanzate degli endpoint e Microsoft Tunnel per MAM.
Nel corso degli anni (e di diversi quanto confusionari cambi di nome), Microsoft Intune si è dunque evoluto in uno strumento multipiattaforma per la gestione di dispositivi e applicazioni. Le caratteristiche e capacità più importanti includono quanto segue:
Intune è un componente dell'offerta Enterprise Mobility + Security (EMS) di Microsoft, una piattaforma di gestione dei dispositivi mobili e delle applicazioni mobili (MAM) ed è disponibile anche negli abbonamenti a Microsoft 365 E3, E5, F1, F3, EMS E3 ed E5, e nei piani Business Premium.
Il prodotto è progettato per integrarsi con altre parti della suite EMS, tra cui Azure Active Directory (Azure AD) e Microsoft Azure Information Protection. Il componente delle politiche di protezione delle app di Intune utilizza l'identità di Azure AD per separare i dati aziendali da quelli personali.
Nell'approccio di Microsoft alla gestione dei dispositivi mobili, Intune utilizza principalmente protocolli o API disponibili nei sistemi operativi mobili per eseguire compiti come la registrazione dei dispositivi. La registrazione consente al personale IT di mantenere un inventario dei dispositivi che possono accedere ai servizi aziendali.
Altri compiti includono la configurazione dei dispositivi mobili, i certificati, i profili Wi-Fi e VPN, e i rapporti di conformità relativi agli standard aziendali. Intune si integra con Azure AD per fornire funzionalità di controllo degli accessi, offrendo gli strumenti necessari per avanzare verso un ambiente zero-trust.
Nel frattempo, l'approccio di Microsoft alla gestione delle applicazioni tramite Intune copre aree come l'assegnazione delle app mobili alla forza lavoro, la configurazione di queste app con impostazioni standard e la rimozione dei dati aziendali dalle app mobili. Quando utilizzato con altri servizi della suite EMS, Intune consente all'organizzazione di fornire app che possono accedere a funzionalità di sicurezza aggiuntive per app mobili e dati, come il single sign-on (SSO) e l'autenticazione a più fattori.
Intune offre alle organizzazioni le funzionalità per gestire i dispositivi e le app e proteggere i dati aziendali e tramite l’integrazione con Azure AD, Windows Autopilot, Microsoft Defender for Endpoint, Microsoft 365 e Windows Autopatch, è diventato una parte importantissima della strategia zero-trust in un ambiente cloud Microsoft.
Il servizio può fornire al reparto IT le funzionalità necessarie per gestire registrazioni, configurazioni, sicurezza, conformità, app e aggiornamenti su qualsiasi dispositivo supportato, permettendo agli amministratori IT di garantire l'accesso sicuro ai dati aziendali su quasi tutti i dispositivi.
Inoltre, grazie all'integrazione diretta con l'accesso condizionato tramite Azure AD, Intune consente agli amministratori IT di verificare se un dispositivo è conforme alle politiche aziendali e permette l'accesso ai dati e alle app aziendali solo quando il dispositivo rispetta i requisiti di conformità.
Microsoft Endpoint Manager (ora parte della famiglia Intune; ulteriori dettagli di seguito) era una piattaforma che integrava Microsoft Intune e Configuration Manager per offrire una soluzione unificata di gestione degli endpoint.
Consente di gestire e proteggere gli endpoint, come laptop, desktop, tablet, smartphone, server e macchine virtuali, su diversi sistemi operativi, come Windows, iOS, Android, macOS e Linux. Inoltre, permette di distribuire e gestire applicazioni, politiche, aggiornamenti e conformità sui propri endpoint, oltre a controllare l'accesso e i dati su dispositivi aziendali e personali.
A partire dal 12 ottobre 2022, Microsoft Intune è diventato de facto il nome della famiglia di gestione degli endpoint e il nome Microsoft Endpoint Manager non verrà più utilizzato. In futuro, Microsoft farà riferimento alla gestione cloud come Microsoft Intune e alla gestione on-premises come Microsoft Configuration Manager, con quest’ultimo ora sotto la famiglia dei prodotti Intune.
La famiglia di prodotti Microsoft Intune ora include:
Intune è offerto con un prezzo per utente, per mese, e le organizzazioni possono acquistarlo come piano standalone o come componente di un altro abbonamento.
Di seguito, sono riportati i tre piani individuali:
Per maggiori informazioni sui prezzi specifici dei tre piani vi rimandiamo come sempre alla pagina ufficiale Microsoft (disponibile qui) dove potrete cominciare a fare una prima stima dei costi del servizio per la vostra organizzazione.
Microsoft Intune è sia un sistema di MDM (Mobile Device Management) che di MAM (Mobile Application Management), ma che cosa vuol dire esattamente?
I due approcci principali emersi nell'ambito della gestione mobile sono, per l’appunto, il Mobile Device Management (MDM) e il Mobile Application Management (MAM). Sebbene entrambi gli approcci mirino a migliorare il controllo e la sicurezza dei dispositivi e delle applicazioni mobili, ne affrontano aspetti distinti con metodologie differenti.
Il dibattito tra MDM e MAM offre alle organizzazioni opzioni preziose per gestire e proteggere i propri dispositivi e applicazioni mobili e comprendere le differenze tra MDM e MAM è cruciale per prendere decisioni informate che siano allineate alle specifiche esigenze e obiettivi aziendali.
L’MDM (Mobile Device Management), come abbiamo già visto, consente agli amministratori di gestire e controllare i dispositivi aziendali e personali. Permette di registrare i dispositivi, inviare profili di configurazione sui dispositivi e consente agli amministratori di cancellare i dispositivi da remoto o ripristinarli alle impostazioni di fabbrica.
Il MAM (Mobile Application Management) si concentra invece sulla gestione delle applicazioni e consente di controllare e monitorare i dati aziendali presenti sui dispositivi personali degli utenti o sui dispositivi aziendali. È possibile isolare i dati aziendali dai dati personali all'interno dei dispositivi.
È possibile utilizzare le politiche di gestione delle applicazioni per impedire agli utenti di copiare i dati aziendali dalle app di Office alle loro applicazioni personali e controllare la distribuzione delle applicazioni sui dispositivi. Con l'aiuto delle politiche di Mobile Application Management si possono applicare rigorose politiche di sicurezza e conformità a livello di applicazione.
A seconda dei propri obiettivi, uno strumento MDM, una soluzione MAM o una combinazione di entrambi potrebbe essere ideale per la propria azienda e per scegliere l’approccio giusto è necessario tenere in considerazione i seguenti punti:
Cercando online, è ancora possibile trovare un sacco di informazioni obsolete sulle opzioni di Mobile Device Management di Microsoft, tra cui diversi confronti tra Intune e Microsoft 365 MDM. La cosa può generare un po’ di perplessità e dubbi nel già abbastanza confusionario panorama di Intune, tra cambi di nome e aggregazione di servizi un tempo differenti e separati.
Vediamo quindi di chiarire una volta per tutte la situazione.
In passato, attraverso gli abbonamenti 365, Microsoft forniva un Mobile Device Manager dalle funzioni estremamente basilari denominato (molto appropriatamente) Microsoft 365 MDM, che è stato però deprecato da Microsoft e la software house non supporterà più la gestione dei dispositivi mobili tramite MDM di base integrato in Microsoft 365.
Questa decisione è parte di un più ampio spostamento verso l'uso di Microsoft Intune, che offre funzionalità di gestione dei dispositivi mobili molto più avanzate rispetto all'MDM integrato in Microsoft 365. L’attuale politica della software house è infatti votata a incoraggiare i clienti a migrare a Intune per garantire una gestione più sicura e funzionale dei dispositivi.
Nel mondo digitale di oggi, le organizzazioni affrontano sfide nella gestione del numero crescente di dispositivi all'interno dei loro ecosistemi tecnologici. Gli asset IT aziendali sono diventati diversificati e complessi, passando dai tradizionali desktop e laptop a smartphone, tablet e dispositivi IoT.
Questo aumento dei dispositivi ha creato un'esigenza pressante di soluzioni di gestione dei dispositivi robuste, flessibili e complete. Una gestione efficace dei dispositivi è fondamentale per le organizzazioni al fine di mantenere la sicurezza, la produttività e la conformità in tutta l'infrastruttura tecnologica.
Man mano che il panorama della gestione dei dispositivi continua a evolversi, le organizzazioni devono valutare attentamente le proprie esigenze specifiche e scegliere una soluzione che si allinei alla loro strategia a lungo termine e Microsoft Intune (e la famiglia di servizi e prodotti che porta il suo nome) potrebbe essere per la propria organizzazione la soluzione ideale.
Come abbiamo visto, Intune si propone come una solida alternativa agli MDM tradizionali e offre, oltre ai vantaggi nativi del cloud, anche una varietà impressionante di funzioni di management avanzate per ogni genere di dispositivo e sistema operativo, un’integrazione fluida con il resto degli ambienti Microsoft e la garanzia di essere sempre al passo con le ultime innovazioni e ritrovati nella gestione dei dispositivi mobili e delle applicazioni.
Tutto questo in un unico, comodo pacchetto.
MDM, acronimo di Mobile Device Management, è un insieme di tecnologie Microsoft che consente alle aziende di gestire, proteggere e accedere da remoto ai dati contenuti nei dispositivi mobili aziendali o personali. Questa gestione si basa su politiche di sicurezza che definiscono cosa può o non può fare un dispositivo quando accede a risorse aziendali come portali, app o documenti sensibili.
Microsoft Intune è il servizio cloud attraverso cui Microsoft implementa la gestione MDM e MAM. In passato, esisteva un servizio chiamato Microsoft 365 MDM, molto basilare e ormai deprecato. Oggi, Intune rappresenta l’evoluzione completa e avanzata di questo ecosistema, ed è il nome di riferimento per la gestione dei dispositivi mobili all’interno delle soluzioni Microsoft.
Con Intune è possibile gestire dispositivi che utilizzano i principali sistemi operativi presenti sul mercato. L’obiettivo è offrire una gestione multipiattaforma per rispondere alla varietà di esigenze delle aziende moderne, che adottano ambienti tecnologici ibridi e flessibili.
Un amministratore IT può definire regole di accesso sicuro ai dati aziendali, limitare la connessione a reti pubbliche, cancellare i dati da dispositivi smarriti o non più autorizzati, pubblicare e aggiornare app aziendali tramite il portale, proteggere le informazioni sensibili, configurare VPN e profili di sicurezza, e monitorare la conformità dei dispositivi rispetto alle policy aziendali.
Sì, Microsoft supporta pienamente il modello BYOD (Bring Your Own Device), in cui i dipendenti possono utilizzare i propri dispositivi per lavorare. Intune permette di applicare regole di protezione solo sui dati aziendali, mantenendo separati i dati personali da quelli professionali, grazie all’integrazione con Azure Active Directory.
MDM si occupa della gestione dell’intero dispositivo, incluse le impostazioni, le configurazioni e la possibilità di eseguire azioni come la cancellazione da remoto. MAM, invece, si concentra esclusivamente sulle applicazioni aziendali installate su un dispositivo e consente di gestire i dati all’interno di quelle app senza controllare l’intero dispositivo. MAM è particolarmente indicato nei contesti in cui l’azienda non possiede il dispositivo ma vuole proteggere le proprie risorse.
Sì, Microsoft Intune è incluso in diversi piani Microsoft 365 e può essere acquistato anche come servizio standalone. I piani variano in base alle funzionalità offerte e includono opzioni base, componenti aggiuntivi come Intune Piano 2, oppure la suite completa chiamata Microsoft Intune Suite, che integra funzionalità avanzate per la gestione degli endpoint, l’assistenza remota e il controllo dei privilegi.
Microsoft Endpoint Manager era la piattaforma che integrava Intune e Configuration Manager per offrire una gestione unificata degli endpoint. A partire da ottobre 2022, Microsoft ha riorganizzato la nomenclatura e oggi fa riferimento a Intune come nome ufficiale per la gestione cloud e a Configuration Manager per la gestione on-premises. Il nome Endpoint Manager non viene più utilizzato.
No, anche se un dispositivo è registrato tramite MDM, i dati personali restano privati. L’amministratore IT può gestire solo i dati e le app aziendali, senza la possibilità di visualizzare messaggi, foto o contenuti privati. In più, Intune supporta la cancellazione selettiva, che permette di rimuovere solo i dati aziendali lasciando intatti quelli personali.
Sì, è una delle soluzioni più flessibili proprio perché consente di gestire dispositivi aziendali con MDM completo e dispositivi personali attraverso politiche MAM. Questo permette di adattarsi alle diverse esigenze delle organizzazioni moderne, mantenendo elevati livelli di sicurezza e rispetto della privacy.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).