Crea e gestisci account locali, ID di accesso e profili con Intune

Gestire in modo ordinato Account locali, account Microsoft Entra ID (in precedenza Azure AD) e profili aziendali con Intune È diventato un componente chiave di qualsiasi reparto IT moderno. Creare semplicemente utenti in Active Directory e sperare nel meglio non è più sufficiente: ora è necessario combinare identità cloud, dispositivi ibridi, policy di sicurezza e automazione, il tutto tenendo sempre a mente l'esperienza utente.

In questa guida vedrai, in modo molto dettagliato, come Crea, sincronizza e gestisci account utente, profili locali e ruoli di amministratore utilizzando Microsoft Entra ID, Intune e, se necessario, la directory locale. Vedremo anche come vengono controllati i privilegi di amministratore in Windows e macOS (incluso LAPS per Mac), come i dispositivi sono collegati agli utenti e quali elementi di sicurezza (MFA, certificati, Windows Hello, Zero Trust) si inseriscono in questo puzzle.

Relazione tra ID Microsoft Entra, Intune e account utente

Microsoft Entra ID è il servizio di identità su cui si basa Intune.Ciò significa che gli account utente visualizzati in Intune risiedono effettivamente nel tenant Entra. Intune non gestisce una propria directory separata; si limita a utilizzare ed estendere ciò che è già presente nell'ID Entra.

Se hai sufficienti autorizzazioni per Controllo degli accessi basato sui ruoli (RBAC) in Microsoft EnterÈ possibile gestire gli utenti da tre posizioni: l'Interfaccia di amministrazione di Intune, l'Interfaccia di amministrazione di Microsoft 365 e il centro di amministrazione di Entra. L'autorizzazione di base è sempre la stessa e le autorizzazioni di Intune sono in realtà un sottoinsieme del modello RBAC di Entra.

Intune si integra perfettamente anche con gli ambienti ibridi: È possibile utilizzare gli account sincronizzati da Active Directory locale all'ID Entra e condividere lo stesso tenant con Intune e altri servizi cloud di Microsoft 365. Pertanto, una volta che un utente è stato creato o sincronizzato con Entra e gli è stata assegnata una licenza Intune, è pronto per registrare i dispositivi e accedere alle risorse aziendali.

Oltre all'aspetto puramente identitario, gli amministratori possono assegnare ruoli Intune RBAC ai gruppi di utenti per delegare compiti (ad esempio, consentire a un gruppo di supporto di visualizzare le password LAPS o di ruotarle, senza renderli amministratori globali).

Autorizzazioni RBAC minime richieste per gestire gli account in Entra e Intune

Per gestire gli utenti da Intune, non è sufficiente assegnare loro semplicemente un ruolo Intune interno: È obbligatorio che l'account disponga delle autorizzazioni RBAC appropriate nell'ID Microsoft EntraPoiché i ruoli di Intune si basano sul modello Entra, un amministratore con solo un ruolo Intune, ma senza un ruolo Entra, non sarà in grado di gestire le identità nella directory.

La raccomandazione di Microsoft è di seguire rigorosamente le principio del privilegio minimo: Concedi a ogni persona solo le autorizzazioni essenziali per il suo ruolo e riserva i ruoli più privilegiati (ad esempio Amministratore globale o Amministratore Intune) solo per attività specifiche e account altamente controllati.

All'interno dei ruoli integrati di Entra ID, il ruolo più idoneo per gestire gli utenti senza eccedere nei privilegi è quello di Gestore utentiQuesto ruolo consente di creare, modificare ed eliminare account utente dai centri di amministrazione di Entra, Microsoft 365 e Intune, senza dover assegnare loro la proprietà assoluta del tenant.

Registrazione degli utenti in Intune tramite ID di accesso Microsoft

Quando parliamo di aggiungere utenti a Intune, stiamo parlando in realtà di Creali in Microsoft Inserisci l'ID dall'interfaccia di amministrazione di IntuneLa procedura guidata è molto simile a quella di Entra: è possibile registrare gli utenti uno alla volta oppure utilizzare caricamenti in blocco tramite CSV.

Per la registrazione individuale, il primo passo è accedere a Intune. Utenti > Tutti gli utenti > Nuovo utente > Crea nuovo utenteNella scheda delle informazioni di base, puoi configurare l'UPN (nome principale utente), l'alias e-mail, il nome visualizzato, la password iniziale e se l'account è abilitato o meno, il che ti consente di preparare tutto con solo queste informazioni di base.

L'UPN definito a questo punto è la credenziale che verrà utilizzata per Accedi a Entra ID, Microsoft 365 e IntunePertanto, è fondamentale allineare il formato (ad esempio, nome.cognome@dominio) allo standard dell'organizzazione. Tutti i nuovi utenti sono tenuti a modificare la propria password al primo accesso, rafforzando la sicurezza.

Se si decide di continuare con la scheda Proprietà, le informazioni vengono espanse con campi per l'identità (nome, cognome, tipo di utente: membro o ospite, dati per l'autenticazione basata su certificato), dati di lavoro (posizione, reparto, responsabile), dettagli di contatto, controlli parentali per i minori (molto utili negli ambienti educativi K-12) e posizione di utilizzo dell'utenteche influenza le questioni legali e di licenza.

Successivamente, nella sezione Assegnazioni, la procedura guidata consente Collega l'utente a un'unità amministrativa ID Entra, fino a 20 gruppi e fino a 20 ruoli EntraQuesta è una soluzione molto pratica, in quanto l'utente può partire con gli effetti personali corretti e, se necessario, essere in grado di svolgere determinate funzioni amministrative fin dal primo giorno.

Le unità amministrative di Entra rappresentano un modo efficace per delegare l'amministrazione a sottoinsiemi di utenti, gruppi o dispositivi, ma molte distribuzioni di Intune preferiscono utilizzare tag di ambito e gruppi di ambito per segmentare la gestione del servizio Intune stesso.

Creazione di account in blocco tramite file CSV

Quando si importano grandi volumi di utenti, il modo più efficiente è utilizzare... creazione in blocco dall'Intune Admin Center utilizzando un file CSV. Questa funzionalità evita di creare manualmente ogni utente e riduce l'errore umano.

Il flusso è semplice: da Intune accedi Utenti > Tutti gli utenti > Operazioni in blocco > Creazione in bloccoIl modello CSV fornito dalla console viene scaricato e compilato con l'elenco completo degli utenti da creare. Questo file CSV può essere modificato con un editor di testo o Excel, purché ne venga mantenuta la formattazione.

Una volta completato il file, viene caricato nuovamente su Intune, inviato per l'elaborazione e Dopo la convalida dei dati, gli account vengono creati in Entra IDLa stessa filosofia del modello CSV viene ripetuta in altre attività di massa, come l'eliminazione degli utenti.

Sincronizzazione di Active Directory con ID Entra per utilizzare Intune

Nelle organizzazioni con infrastrutture on-premise, è comune sfruttare Sincronizzazione della directory tra Active Directory locale e Microsoft Entra IDIn questo modo, gli account vengono gestiti in AD e replicati in Entra, dove vengono poi utilizzati in Intune e in altri servizi cloud.

Esistono diversi modi per raggiungere questo obiettivo, ma il percorso supportato da Microsoft è quello di configurare un identità ibridaCiò garantisce che le identità degli utenti siano presenti sia in Active Directory che nell'ID Entra. In questo modo, le modifiche vengono comunque apportate localmente, ma si riflettono nel cloud senza duplicare i processi.

Il componente chiave è il Assistente Microsoft Enter Connect, che guida passo passo Collegamento tra la foresta di Active Directory e il tenant di Entra. Durante la configurazione, viene scelta la topologia (una singola foresta o più foreste, una o più directory) e il metodo di autenticazione: sincronizzazione dell'hash delle password, autenticazione pass-through (PTA) o federazione con AD FS.

In background, Entra Connect installa e configura i servizi di sincronizzazione e i componenti necessari di Servizi federativi di Active Directory (AD FS) quando applicabile e il modulo di PowerShell / Grafico appropriato, lasciando l'infrastruttura pronta in modo che gli utenti AD appaiano come utenti cloud.

Affinché questo modello funzioni bene, è importante che il Gli amministratori di Active Directory hanno accesso al tenant Entra e ricevere formazione sia sulle attività AD classiche sia sulle specifiche della directory cloud.

Eliminazione dell'utente e operazioni in blocco

Quando un dipendente lascia l'azienda, non basta semplicemente ritirare il suo computer portatile: Devi disattivare o eliminare il tuo account utente Per interrompere l'accesso alle risorse aziendali. Dall'Intune Admin Center, è possibile avviare l'eliminazione degli account in Entra ID, rimuovendoli anche da Intune.

Per farlo individualmente, accedi a Intune, quindi vai a Utenti > Tutti gli utentiSelezionare l'account desiderato e fare clic su Elimina. Questa azione richiede che l'account amministratore disponga almeno di autorizzazioni equivalenti al ruolo di Amministratore utenti in Microsoft Login.

Se ciò che serve è una massiccia epurazione (ad esempio, un'ondata di cancellazioni di account o la pulizia di vecchi account), allora ricorriamo di nuovo a operazioni in blocco con file CSVIn questo caso viene utilizzata l'opzione Eliminazione di massa degli utenti, in cui il modello viene scaricato, compilato con gli account da eliminare e caricato in modo che il sistema possa elaborare la richiesta.

È importante considerare la portata: account al di fuori del gruppo di ambito Intune corrente Non possono essere modificati dalla console stessa, perché i tag di ambito e RBAC limitano gli oggetti che ogni amministratore può toccare.

Creazione e gestione di account amministratore locale con Intune

In molti ambienti è ancora necessario avere account di amministratore locale sui dispositiviChe si tratti di attività di supporto sul campo, scenari offline o come ultima risorsa in caso di problemi di connettività con Entra ID, Intune offre diversi modi per creare e gestire questi account in modo centralizzato.

In Windows, è possibile utilizzare criteri di configurazione o script per creare un account locale con ruolo di amministratore e tenerlo sotto controllo. Per aggiungere un utente o un gruppo con ID Entra al gruppo degli amministratori locali, è possibile utilizzare le opzioni di configurazione dell'account locale o i meccanismi di protezione dell'account/OMA-URI, come descritto in diverse guide specializzate.

Questo approccio impedisce a ciascun tecnico di creare account locali diversi su ciascun computer, il che rende difficile controllare e verificare chi ha effettivamente accesso con privilegi elevati sui dispositivi dell'organizzazione.

macOS ADE e LAPS: account locali sicuri gestiti con Intune

Nel mondo Apple, Intune si integra con Apple Business Manager / School Manager per Registra automaticamente i dispositivi macOS tramite ADE (Registrazione automatica dei dispositivi). Per quanto riguarda questo processo, Microsoft ha incorporato una funzionalità simile a LAPS ma progettata per Mac, che consente la distribuzione e la gestione sicure degli account locali.

La chiamata Configurazione dell'account locale macOS con LAPS È abilitato nei profili di registrazione macOS ADE e si applica solo alle nuove registrazioni. Consente di assegnare un account amministratore locale sul dispositivo con una password complessa, casuale e crittografata, archiviata in modo sicuro in Intune.

Inoltre, il profilo può includere un account utente standard locale che coesiste con l'account amministratore. Una volta registrato il dispositivo, Intune ruota automaticamente la password dell'amministratore locale gestito da LAPS circa ogni sei mesi, riducendo il rischio di password statiche.

Se un Mac era già registrato prima di attivare LAPS nel profilo ADE, è necessario reiscriverlo utilizzando un profilo ADE con LAPS abilitato in modo che l'account gestito venga creato correttamente e venga collegato al ciclo di rotazione delle password.

Per impostazione predefinita, le password generate per questi account amministratore hanno 15 caratteri e combina lettere maiuscole, lettere minuscole, numeri e caratteri speciali, che fornisce un livello di complessità ragionevolmente elevato senza essere impossibile da gestire quando è necessario introdurli occasionalmente.

Requisiti e autorizzazioni RBAC per macOS LAPS

Per far funzionare correttamente macOS LAPS, ci sono una serie di requisiti minimi di dispositivo e registrazione Questi requisiti non possono essere ignorati. Il sistema deve eseguire macOS 12 o versioni successive, il computer deve essere sincronizzato con Intune da Apple Business Manager o School Manager e l'iscrizione deve essere effettuata tramite un profilo macOS ADE.

Oltre ai requisiti tecnici, la gestione delle password richiede autorizzazioni RBAC specifiche in Intune. All'interno della categoria Programmi di iscrizione Nel modello RBAC di Intune, è necessario abilitare le autorizzazioni "Visualizza password amministratore macOS" e "Ruota password amministratore macOS" per i ruoli o i gruppi amministrativi che devono essere in grado di visualizzare o ruotare la password.

Questa granularità consente, ad esempio, la il team di supporto di secondo livello può visualizzare o rigenerare la password amministratore locale di un Mac senza dover diventare amministratore Intune a livello globale, riducendo la superficie di rischio.

Opzioni di configurazione di account e password nei profili ADE di macOS

Quando modifichi o crei un profilo di registrazione macOS ADE in Intune, viene visualizzata una scheda per Impostazioni dell 'account Qui sono abilitati gli account amministratore locale e utente standard. Per impostazione predefinita, entrambe le opzioni sono disabilitate, quindi è necessario selezionare esplicitamente quali si desidera creare.

Se si seleziona la creazione di un account amministratore locale o di un account utente standard, il set di configurazione macOS LAPS viene attivato e generato password univoche di 15 caratteri Seguendo le regole di complessità già discusse, nel backend, il parametro "await final" è forzato su Sì, in modo che la creazione dell'account venga eseguita durante la procedura guidata di configurazione iniziale del dispositivo.

Per l'account amministratore locale, è possibile definire nome utente e nome completo dell'amministratore sia con un valore fisso sia utilizzando variabili dinamiche come {{serialNumber}}, {{partialupn}}, {{managedDeviceName}} o {{onPremisesSamAccountName}}, che vengono sostituite con i dati del dispositivo stesso o dell'utente.

C'è anche un'opzione per Nascondi l'account nella schermata di accesso e in Utenti e GruppiCiò impedisce all'utente finale di vederla a colpo d'occhio. È inoltre possibile specificare un periodo di rotazione aggiuntivo, espresso in giorni, in modo che la password ruoti a intervalli specifici compresi tra 1 e 180 giorni, oltre al ciclo di rotazione automatica di base di LAPS.

Nel caso dell'account utente locale standard, vengono definiti elementi come il tipo di account (di default Standard, anche se se non è configurato alcun account amministratore locale il sistema lo eleverà ad amministratore a causa di una limitazione della piattaforma), se desiderato precompilare le informazioni dell'account, il nome dell'account principale e il nome completo, oltre alle variabili di supporto.

Inoltre, puoi decidere se l'utente finale può o meno Modifica il nome dell'account e il nome completo durante la procedura guidata di configurazione, configurando di conseguenza l'opzione di restrizione delle modifiche.

Visualizzazione e rotazione manuale delle password LAPS su macOS

Per verificare la password dell'amministratore locale di un Mac gestito con LAPS, è necessario disporre dell'autorizzazione RBAC. Visualizza la password dell'amministratore macOS nella categoria Programmi di iscrizione a Intune. Senza tale autorizzazione, la console non visualizzerà informazioni sensibili.

Il processo per visualizzare la password prevede l'accesso all'Intune Admin Center, l'accesso a Dispositivi > Dispositivi > macOSSeleziona il computer in questione e, dal pannello Informazioni generali, apri la sezione Password e chiavi. Lì vedrai la password corrente per l'account amministratore locale e la data dell'ultima rotazione della password.

Se la password viene recuperata correttamente in quella vista, è un segno che la L'account amministratore locale è gestito da Intune.In caso contrario, il dispositivo potrebbe non essere configurato con il profilo ADE appropriato oppure LAPS non è stato applicato durante la registrazione.

Oltre alla rotazione automatica, esiste un'azione remota chiamata Cambia la password dell'amministratore locale che consente di forzare una modifica immediata. Per utilizzarlo, l'amministratore deve avere l'autorizzazione RBAC per la rotazione delle password di macOS abilitata nel proprio ruolo.

Quando si esegue questa azione su un dispositivo, Intune genera una nuova password, la invia al computer, attende che venga applicata e aggiorna la console con le nuove credenziali e l'ora esatta in cui si è verificata la modifica, informazioni che sono nuovamente visibili nella sezione Password e chiavi.

Tutte queste operazioni, sia di visualizzazione che di rotazione manuale, si riflettono nel Registri di controllo di IntuneNella sezione dei registri di controllo dell'amministrazione del tenant, sono presenti voci quali "Get AdminAccountDto" (query della password) e "rotateLocalAdminPassword ManagedDevice" (rotazione eseguita), facilitando la tracciabilità e la conformità normativa.

Gestione dell'amministratore locale sui dispositivi Windows uniti a Enter

Nell'ambiente Windows, per gestire un computer, è essenziale appartenere al gruppo degli amministratori locali del dispositivoQuando un dispositivo si unisce all'ID Microsoft Entra, questo processo aggiorna automaticamente la sua appartenenza al gruppo degli amministratori locali.

Durante il processo di join dell'ID Entra, alcuni principi di sicurezza predefiniti vengono aggiunti al gruppo Amministratori locali, tra cui Ruolo di amministratore locale per i dispositivi aggiunti a Microsoft. AccediIn questo modo puoi controllare chi ha privilegi elevati sui dispositivi, senza doverli toccare uno per uno.

Il grande vantaggio è che, aggiungendo utenti o gruppi a quel ruolo in Login, Gli amministratori di tutti i dispositivi uniti a Entra vengono aggiornati senza dover modificare la configurazione locale di ogni macchina. Ciò supporta naturalmente il principio del privilegio minimo, poiché il ruolo di amministratore del dispositivo dall'amministratore globale.

La gestione dei ruoli viene eseguita dalla configurazione del dispositivo nel portale Entra: effettuando l'accesso con almeno un account con il ruolo di Amministratore dei ruoli con privilegi, navigando su Vai su ID > Dispositivi > Tutti i dispositivi > Impostazioni dispositivo e utilizzando l'opzione per gestire amministratori locali aggiuntivi su tutti i dispositivi collegati a Entra.

È importante sapere che questo ruolo Questo vale per tutti i dispositivi collegati a Entra. e non può essere limitato a un sottoinsieme. Inoltre, le modifiche non sono immediate: possono essere necessarie fino a quattro ore prima che venga emesso un nuovo Master Refresh Token (PRT) con i privilegi nuovi o revocati, e l'utente deve disconnettersi e riconnettersi affinché le modifiche abbiano effetto.

Controllo dei privilegi locali tramite gruppi di ingresso e policy MDM

Se è necessario un approccio più granulare rispetto al ruolo di amministratore locale globale per i dispositivi uniti a Entra, è possibile ricorrere a Criterio MDM per utenti e gruppi localiQuesto criterio consente di assegnare utenti e gruppi di accesso a gruppi locali specifici (amministratori, utenti, ospiti, utenti esperti, utenti desktop remoto, ecc.) su computer che eseguono Windows 10 o versioni successive.

Con questa configurazione, le organizzazioni possono utilizzare Intune per definire criteri OMA-URI personalizzati o utilizzare Politiche di protezione dell'account per fare in modo che determinati gruppi Entra ottengano privilegi di amministratore locale solo su determinati dispositivi o raccolte di dispositivi.

Per aggiungere gruppi Entra, è necessario conoscerne i SID (identificatore di sicurezza)Questo si ottiene tramite l'API Microsoft Graph analizzando la proprietà securityIdentifier dell'oggetto gruppo. Questo SID viene quindi referenziato nella configurazione dei criteri.

Ci sono alcune limitazioni da considerare: questo metodo di gestione degli amministratori locali tramite gruppi di ingresso Ciò non si applica ai dispositivi ibridi aggiunti al dominio o ai dispositivi registrati solo con Entra.Inoltre, i gruppi aggiunti in questo modo non controllano le connessioni Desktop remoto, per le quali è comunque necessario aggiungere il SID dell'utente direttamente al gruppo appropriato sul dispositivo.

Gestione standard degli utenti e elevazione manuale in Windows

Per impostazione predefinita, quando un utente unisce un dispositivo all'ID di accesso Microsoft, L'utente diventa l'amministratore locale del computer.In molte aziende questo non è auspicabile, perché aumenta l'area di rischio e complica la cambia controllo in squadre.

Per evitare che l'utente che esegue l'unione sia un amministratore, ci sono due strategie molto comuni: utilizzando Pilota automatico di Windows con un profilo che impedisce all'utente principale di diventare un amministratore, oppure ricorrere alla registrazione di massa, in cui l'adesione a Entra avviene nel contesto di un utente tecnico auto-creato e gli utenti finali che accedono in seguito rimangono utenti standard.

Quando è necessario elevare manualmente i permessi di un utente specifico su un dispositivo specifico, è possibile farlo dall'interfaccia di Windows stessa. A partire da Windows 10 versione 1709, in Impostazioni > Account > Altri utenti Per aggiungere un utente professionale o didattico, immettere il suo UPN e selezionare "Amministratore" come tipo di account.

Ci sono anche opzioni online comandi Per aggiungere utenti al gruppo degli amministratori locali: amministratori del gruppo locale di rete /add “Contoso\utente” se l'utente è sincronizzato da AD, oppure amministratori del gruppo locale di rete /aggiungi “AzureAD\UPN” Se l'identità è stata creata direttamente in Entra ID. In entrambi i casi, è necessario essere già un amministratore locale del computer per eseguire questi comandi.

Come considerazioni aggiuntive, si possono assegnare solo le seguenti gruppi basati sui ruoli al ruolo Amministratore dispositivo locale unito a EnterGli ospiti B2B non acquisiscono diritti di amministratore locale tramite questo ruolo e, quando si rimuovono utenti dal ruolo, la perdita dei privilegi avviene in modo differito, al rinnovo del PRT e al successivo accesso.

Utilizzo di utenti e gruppi esistenti con Intune

Molte distribuzioni dispongono già di account e gruppi, sia localmente che nel cloud, quindi ha senso. riutilizzare quella struttura di identità con Intune Invece di creare tutto da zero, Intune Admin Center offre una visualizzazione centralizzata per lavorare con tali utenti e gruppi.

Se l'organizzazione utilizza già Microsoft 365, gli account e i gruppi gestiti dall'interfaccia di amministrazione di Microsoft 365 Vengono visualizzati automaticamente anche in Intune.A condizione che venga utilizzato lo stesso tenant. Entra ID e Intune condividono lo stesso tenant, quindi è sufficiente accedere a Intune con l'account amministratore corretto.

Quando si parte da un ambiente locale al 100% con Active Directory, la strategia consigliata è Sincronizza gli account AD con l'ID Entra utilizzando Entra Connect SyncUna volta che le identità sono disponibili nella directory cloud, sono visibili in Intune e possono ricevere criteri sui dispositivi.

È anche possibile Importa utenti e gruppi da file CSV direttamente in Intune oppure crearli manualmente da zero, organizzandoli per reparto, posizione, tipo di dispositivo, ecc. Per impostazione predefinita, Intune crea i gruppi Tutti gli utenti e Tutti i dispositivi, che fungono da destinazioni globali per l'applicazione di configurazioni generali.

Ruoli e autorizzazioni in Intune per controllare l'accesso

L'autorizzazione in Intune si basa in larga misura su RBAC. A ciascun amministratore vengono assegnati uno o più ruoli che determinano quali risorse puoi vedere e quali azioni puoi eseguire all'interno dell'Intune Admin Center. Sono disponibili ruoli predefiniti orientati ad attività specifiche, come Application Manager o Policy and Profile Manager.

Poiché Intune è supportato da Entra ID, è anche possibile utilizzare ruoli integrati di EnterAd esempio, Intune Service Manager concede un set di autorizzazioni allineate alla gestione dei servizi. Inoltre, è possibile definire ruoli personalizzati per scenari più granulari, modificando le autorizzazioni di lettura, creazione, aggiornamento o eliminazione.

Nella pratica, l'assegnazione dei ruoli è solitamente combinata con l'uso di etichette di ambito per definire quali oggetti (dispositivi, profili, applicazioni) ciascun ruolo può vedere in base alla regione, all'unità aziendale o a qualsiasi altra segmentazione che abbia senso per l'azienda.

Affinità dell'utente nella registrazione del dispositivo

Quando un dispositivo si registra in Intune e un utente accede per la prima volta, il sistema crea quello che è noto come affinità dell'utenteQuel dispositivo è associato a quell'utente primario. Da lì, le policy e applicazioni Le impostazioni assegnate all'utente si applicano anche al dispositivo di affinità.

Questo comportamento è ideale per i team di lavoro personali, Portátiles aziendali o dispositivi che sono chiaramente e permanentemente assegnati a una persona. Consente all'utente di avere il proprio account di posta elettronica, file, applicazioni e impostazioni collegati alla loro identità su tutti i dispositivi con affinità attiva.

Se non si desidera associare il dispositivo a un utente, registrarsi come dispositivo senza utenteQuesto approccio è tipico dei chioschi, degli schermi delle sale riunioni, dei dispositivi condivisi o dei terminali dedicati ad attività specifiche, in cui lo stato del dispositivo è più importante dell'identità della persona che si connette.

Intune offre direttive specifiche per entrambi gli scenari in AndroidiOS/iPadOS, macOS e Windows, quindi pianificare attentamente il tipo di dispositivo da registrare evita problemi successivi con l'assegnazione delle app o con le relative restrizioni.

Assegnazione di policy a utenti e gruppi rispetto al modello LSDOU locale

In un ambiente puramente on-premise con Active Directory, i criteri di gruppo vengono applicati seguendo la gerarchia LSDOU (Locale, Sito, Dominio, Unità Organizzativa)In Intune, la filosofia è diversa perché questa gerarchia classica non esiste. Gli oggetti Criteri di gruppo (GPO) nell'unità organizzativa più vicina all'oggetto hanno in genere la precedenza.

Intune crea profili e criteri nel cloud e quindi li assegna direttamente agli utenti o ai gruppiDi default non ci sono livelli ereditati, anche se è possibile approssimare una gerarchia giocando con gruppi, filtri e combinazioni di assegnazioni inclusive ed esclusive.

Il catalogo di configurazione di Intune riunisce migliaia di impostazioni per dispositivi Windows, iOS/iPadOS e macOS e rappresenta un ponte molto utile per chi proviene dalla gestione di GPO, perché consente per spostare gran parte di tali configurazioni su un modello basato sul cloud senza dover imparare ogni parametro da zero.

Protezione dell'identità: Windows Hello, certificati, MFA e Zero Trust

Poiché gli account utente sono il gateway per le risorse aziendali, non è sufficiente semplicemente crearli e assegnare loro policy sui dispositivi: è necessario Rafforzare l'autenticazione e ridurre la dipendenza dalle passwordÈ qui che entrano in gioco diversi componenti che si integrano con Intune.

Windows Hello for business sostituisce il classico login con nome utente e password con un PIN o fattore biometrico (volto, impronta digitale) collegate al dispositivo. Le credenziali vengono memorizzate e convalidate localmente, senza dover viaggiare sulla rete o basarsi su un segreto riutilizzabile, riducendo così il rischio di furto di password.

Con Intune è possibile creare criteri specifici di Windows Hello durante la fase di registrazione, utilizzando linee di base di sicurezza (ad esempio Microsoft Defender per Endpoint o Windows 10 e versioni successive) oppure vai al catalogo di configurazione per regolare parametri quali la lunghezza minima del PIN, il numero di tentativi falliti, i requisiti biometrici, ecc.

L'autenticazione basata su certificati è un altro elemento importante di una strategia senza password. Intune può distribuire certificati a dispositivi e utenti per autenticarli su reti Wi-Fi aziendali, VPN o sistemi di posta elettronica senza dover immettere le credenziali ogni volta, rendendo l'esperienza più fluida e sicura.

L'autenticazione a più fattori (MFA), disponibile tramite Microsoft Entra ID, aggiunge un secondo livello di verifica. Può essere richiesta. MFA per l'accesso e la registrazione dei dispositivi in ​​Intune, rafforzando così uno dei momenti più delicati del ciclo di vita dell'identità.

Infine, tutto questo è inquadrato in una visione di Fiducia ZeroIn questo ambiente, niente e nessuno è considerato affidabile di default. Ogni richiesta viene valutata tenendo conto dello stato, dell'identità, della posizione, del rischio e di altri fattori del dispositivo, con l'obiettivo di mantenere i dati dell'organizzazione all'interno di un perimetro logico ben difeso.

Combinando la gestione degli account in Entra ID, la gestione dei dispositivi con Intune, il controllo dei privilegi locali dettagliato (incluso LAPS per macOS e l'assegnazione di amministratori locali in Windows) e misure di sicurezza dell'identità come MFA, certificati e Windows Hello, è possibile creare uno scenario in cui Le operazioni IT quotidiane sono più agili e il rischio di incidenti di sicurezza è significativamente ridottosenza sacrificare un'esperienza utente ragionevole.