Creare criteri di sicurezza dei dispositivi in mobilità e sicurezza di base

Puoi usare Mobilità e sicurezza di base per creare criteri per i dispositivi che aiutano a proteggere le informazioni dell'organizzazione in Microsoft 365 da accessi non autorizzati. È possibile applicare criteri a qualsiasi dispositivo mobile dell'organizzazione in cui l'utente del dispositivo ha una licenza di Microsoft 365 applicabile e ha registrato il dispositivo in Mobilità e sicurezza di base.

In questo articolo:

Prima di iniziare

  • Informazioni sui dispositivi, le app per dispositivi mobili e le impostazioni di sicurezza supportate da Mobilità e sicurezza di base. Vedere funzionalità di mobilità e sicurezza di base.

  • Creare gruppi di sicurezza che includono Microsoft 365 gli utenti a cui si vogliono distribuire i criteri e per gli utenti che si desidera escludere dall'accesso bloccato a Microsoft 365. Prima di distribuire nuovi criteri nell'organizzazione, è consigliabile testarli distribuendoli a un numero limitato di utenti. È possibile creare e usare un gruppo di sicurezza che include solo se stessi o un numero limitato Microsoft 365 gli utenti che possono testare i criteri. Per altre informazioni sui gruppi di sicurezza, vedere creare, modificare o eliminare un gruppo di sicurezza.

  • Importante: Prima di poter creare un criterio per dispositivi mobili, è necessario attivare e configurare Mobilità e sicurezza di base. Vedere Panoramica della mobilità e della sicurezza di base.

  • Per creare e distribuire criteri di mobilità e sicurezza di base in Microsoft 365, è necessario essere un amministratore diMicrosoft 365 globale. Vedere autorizzazioni nell'interfaccia di amministrazione di Office 365 Security & Compliance.

  • Prima di distribuire i criteri, consentire all'organizzazione di conoscere gli impatti potenziali di registrazione di un dispositivo in Mobilità e sicurezza di base. A seconda di come si configurano i criteri, i dispositivi non conformi possono essere bloccati dall'accesso a Microsoft 365 e dati, incluse le applicazioni installate, le foto e le informazioni personali su un dispositivo registrato, possono essere eliminate.

Nota: I criteri e le regole di accesso creati in MDM per Microsoft 365 Business Standard avranno la priorità sui criteri delle cassette postali dei dispositivi mobili e sulle regole di accesso ai dispositivi di Exchange ActiveSync creati nell'interfaccia di amministrazione di Exchange. Dopo la registrazione di un dispositivo in MDM per Microsoft 365 Business Standard, gli eventuali criteri relativi alle cassette postali dei dispositivi mobili e le regole di accesso ai dispositivi di Exchange ActiveSync applicati al dispositivo vengono ignorati. Per altre informazioni su Exchange ActiveSync, vedere Exchange ActiveSync in Exchange Online.

Passaggio 1: creare un criterio di dispositivo e distribuirlo a un gruppo di test

Prima di iniziare, verificare di aver attivato e configurato Mobilità e sicurezza di base. Per istruzioni, vedere Panoramica della mobilità e della sicurezza di base .

  1. Dal tipo di browser: https://Protection.Office.com/devicev2.

  2. Selezionare Crea un criterio.

    Aggiungere un criterio di sicurezza dei dispositivi
  3. Nella pagina impostazioni dei criteri specificare i requisiti da applicare ai dispositivi mobili dell'organizzazione.

    1. Richiedi la gestione del profilo di posta elettronica: quando è abilitata, i dispositivi che non hanno un profilo di posta elettronica gestito da Mobilità e sicurezza di base sono considerati non conformi. Un dispositivo non può avere un profilo di posta elettronica gestito quando non è correttamente mirato o se l'utente ha configurato manualmente l'account di posta elettronica nel dispositivo. Quando non viene abilitata (impostazione predefinita), questa impostazione non viene valutata per la conformità o la mancata conformità. Vedere l' account di posta elettronica aziendale esistente disponibileper istruzioni su come gli utenti possono essere conformi quando si seleziona questa opzione,

  4. Nella pagina si desidera applicare il criterio, scegliere i gruppi a cui si vuole applicare il criterio.

  5. Al termine, selezionare crea questo criterio .

Ogni utente a cui si applica il criterio avrà il criterio inserito nel dispositivo alla successiva accesso a Microsoft 365 usando il dispositivo mobile. Se gli utenti non hanno applicato un criterio al dispositivo mobile prima, dopo aver distribuito il criterio, riceveranno una notifica sul dispositivo che include la procedura per iscriversi e attivare la mobilità e la sicurezza di base. Fino a completare l'iscrizione in Mobilità e sicurezza di base ospitata dal servizio Intune, l'accesso a posta elettronica, OneDrive e altri servizi sarà limitato. Dopo il completamento della registrazione con l'app del portale aziendale di Intune, gli utenti potranno usare i servizi e i criteri verranno applicati ai loro dispositivi.

Passaggio 2: verificare il funzionamento dei criteri

Dopo aver creato un criterio di dispositivo, è consigliabile verificare che i criteri funzionino come previsto prima di distribuirlo nell'organizzazione.

  1. Dal tipo di browser: https://Protection.Office.com/devicev2.

  2. Selezionare Visualizza l'elenco dei dispositivi gestiti.

  3. Controllare lo stato dei dispositivi degli utenti a cui sono applicati i criteri. Si vuole che lo stato dei dispositivi venga gestito.

  4. È anche possibile eseguire una cancellazione completa o selettiva su un dispositivo facendo clic su Reimposta Factory o Rimuovi dati aziendali dal pulsante Gestisci dopo aver selezionato un dispositivo. Per istruzioni, vedere cancellare un dispositivo mobile in Microsoft 365.

Passaggio 3: distribuire un criterio all'organizzazione

Dopo aver creato un criterio di dispositivo e aver verificato che funzioni come previsto, distribuirlo nell'organizzazione.

  1. Dal tipo di browser: https://Protection.Office.com/devicev2.

  2. Selezionare i criteri da distribuire e scegliere modifica accanto a gruppi applicati a.

  3. Cercare un gruppo da aggiungere e fare clic su Seleziona.

  4. Fare clic su Chiudi sull' impostazione modifica.

  5. Fare clic su Chiudi in modifica criteri.

Ogni utente a cui si applica il criterio avrà il criterio inserito nel dispositivo alla successiva accesso a Microsoft 365 dal dispositivo mobile. Se gli utenti non hanno applicato un criterio al dispositivo mobile, riceveranno una notifica sul dispositivo con i passaggi per iscriversi e attivarlo per Mobilità e sicurezza di base. Dopo il completamento della registrazione, i criteri verranno applicati al dispositivo.

Passaggio 4: bloccare l'accesso alla posta elettronica per i dispositivi non supportati

Per proteggere le informazioni dell'organizzazione, è consigliabile bloccare l'accesso alle app Microsoft 365 la posta elettronica per i dispositivi mobili non supportati da Mobilità e sicurezza di base. Vedere dispositivi supportati per un elenco di dispositivi supportati. Per eseguire questa operazione:

  1. Dal tipo di browser: https://Protection.Office.com/devicev2.

  2. Selezionare Gestisci impostazioni di accesso del dispositivo per l'intera organizzazione.

  3. Per bloccare i dispositivi non supportati, scegliere blocca in se un dispositivo non è supportato da MDM per Microsoft 365, si vuole consentire o bloccare l'uso di un account di Exchange per accedere alla posta elettronica dell'organizzazione > salvare.

    Accedere a centro conformità > criteri di sicurezza dei dispositivi> gestire le impostazioni di accesso ai dispositivi a livello di organizzazione > blocca.

Passaggio 5: Scegliere i gruppi di sicurezza da escludere dai controlli di accesso condizionale

Se si vuole escludere alcuni utenti dai controlli di accesso condizionale nel relativo dispositivo mobile e sono stati creati uno o più gruppi di sicurezza per tali utenti, aggiungere qui i gruppi di sicurezza. Ai dispositivi mobili supportati delle persone in questi gruppi non verranno applicati criteri. Questa è l'opzione consigliata se non si vuole più usare Mobilità e sicurezza di base nell'organizzazione.

  1. Dal tipo di browser: https://Protection.Office.com/devicev2.

  2. Selezionare Gestisci impostazioni di accesso del dispositivo per l'intera organizzazione.

    Aggiungere un criterio di sicurezza dei dispositivi
  3. Selezionare Aggiungi per aggiungere il gruppo di sicurezza che contiene gli utenti che si desidera escludere dall'accesso bloccato a Microsoft 365. Quando un utente è stato aggiunto a questo elenco, sarà in grado di accedere alla posta elettronica Microsoft 365 quando si usa un dispositivo non supportato.

  4. Selezionare il gruppo di sicurezza che si vuole usare nel pannello Seleziona gruppo .

  5. Selezionare il nome e quindi aggiungi > Salva.

  6. Nel pannello impostazioni di Access Device a livello di organizzazione scegliere Salva.

    Nelle impostazioni di accesso ai dispositivi a livello di organizzazione scegliere gruppi esclusi dal controllo di Access.

Qual è l'impatto dei criteri di sicurezza sui diversi tipi di dispositivo?

Quando si applicano criteri ai dispositivi degli utenti, l'impatto su ogni dispositivo varia leggermente a seconda del tipo di dispositivo. Vedere la tabella seguente per esempi dell'impatto dei criteri su dispositivi diversi.

Criteri di sicurezza

Android 4+

Samsung Knox

IOS 6+

Note

Richiedi backup crittografato

Viene richiesto il backup crittografato iOS.

Blocca backup sul cloud

Vengono bloccati il backup in Google su dispositivi Android (opzione non disponibile) e il backup cloud su dispositivi iOS.

Blocca sincronizzazione documenti

iOS: vengono bloccati i documenti nel cloud.

Blocca sincronizzazione foto

iOS (nativo): viene bloccato lo streaming di foto.

Blocca acquisizione schermate

X

L'operazione viene bloccata, se si prova a eseguirla.

Blocca conferenze video

Viene bloccato FaceTime in iOS, ma non vengono bloccati Skype o altri servizi.

Blocca invio dati di diagnostica

X

Viene bloccato l'invio delle segnalazioni di arresti anomali di Google in Android.

Blocca accesso all'app store

X

L'icona dell'app store non è visualizzata nella home page Android, è disabilitata in Windows e non è presente in iOS.

Richiedi password per app store

iOS: viene richiesta la password per gli acquisti su iTunes.

Blocca connessione con archivio rimovibile

X

N/D

Android: la scheda SD viene visualizzata come non disponibile nelle impostazioni, Windows invia una notifica agli utenti e le app installate in questa posizione non sono disponibili.

Blocca connessione Bluetooth

***

***

***Non è possibile disabilitare l'impostazione Bluetooth in Android. Vengono invece disabilitate tutte le transazioni che richiedono Bluetooth: distribuzione audio avanzata, controllo remoto audio/video, dispositivi viva voce, cuffie auricolari, accesso all'elenco telefonico e porta seriale. Quando viene usato uno di questi strumenti, viene visualizzato un piccolo avviso popup nella parte inferiore della pagina.

Cosa succede quando si eliminano criteri o si rimuove un utente dai criteri?

Quando si elimina un criterio o si rimuove un utente da un gruppo a cui è stato distribuito il criterio, le impostazioni dei criteri, Microsoft 365 il profilo di posta elettronica e i messaggi memorizzati nella cache potrebbero essere rimossi dal dispositivo dell'utente. Vedere la tabella seguente per vedere cosa viene rimosso per i diversi tipi di dispositivo:

Contenuti rimossi

iOS 6+

Android 4+ (incluso Samsung Knox)

Profili di posta elettronica gestiti *

Impostazioni di criteri

Nota: *Se i criteri sono stati distribuiti con l'opzione  che indica che il profilo di posta elettronica è gestito, tale profilo e i messaggi di posta elettronica memorizzati nella cache nel profilo verranno eliminati dal dispositivo dell'utente.

Ogni utente a cui sono stati applicati i criteri rimossi consentirà di rimuovere i criteri dal dispositivo al successivo controllo del dispositivo mobile con Mobilità e sicurezza di base. Se si distribuisce un nuovo criterio che si applica ai dispositivi di questi utenti, verrà richiesto di eseguire nuovamente la registrazione in Mobilità e sicurezza di base.

È anche possibile cancellare un dispositivo, completamente o cancellare selettivamente le informazioni dell'organizzazione dal dispositivo.

Argomenti correlati

Panoramica della mobilità e della sicurezza di base

Funzionalità di mobilità e sicurezza di base

Nota:  Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Queste informazioni sono risultate utili' Questo è l'articolo in inglese per riferimento.

Un abbonamento per sfruttare al meglio il proprio tempo

Serve aiuto?

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×