Mobile Application Management (MAM) per Windows con Microsoft Intune

Davide SalsiEnterprise Mobility, Microsoft Intune

Nel panorama digitale odierno in rapida evoluzione, la gestione e la protezione dei dati aziendali è fondamentale; con la proliferazione di dispositivi e applicazioni mobili, le aziende sono alla ricerca di soluzioni solide per garantire la sicurezza dei dati.

La soluzione è quella di centralizzare il monitoraggio e la gestione delle applicazioni, dotando gli amministratori IT di strumenti che consentano di gestire le app aziendali installate sui dispositivi, verificando che siano in linea con le policy aziendali, aggiornate e dotate delle necessarie licenze.

L’adozione di una soluzione di Mobile Device Management (MDM) comporta il controllo dell’intero dispositivo mobile utilizzato in azienda: gli IT admin hanno un controllo completo sulle impostazioni del dispositivo, le configurazioni, le applicazioni e le funzioni di sicurezza. Questo scenario risulta adatto per dispositivi di proprietà aziendale.

Rispetto a quanto sopra riportato, la soluzione di Mobile Application Management (MAM) si concentra sulla gestione e sulla sicurezza delle applicazioni mobili e dei dati in esse presenti. MAM consente di controllare e proteggere le applicazioni senza richiedere alcuna registrazione del dispositivo su uno strumento di gestione. Questo scenario è preferibile in situazioni in cui gli utenti desiderano mantenere separati i dispositivi personali dalle applicazioni lavorative, offrendo un’esperienza più user-friendly pur mantenendo la sicurezza dei dati.

 

Panoramica e requisiti

La soluzione Mobile Application Management (MAM) prevede la gestione delle app consentendo di configurare criteri e policy per la messa in sicurezza di ogni singola app, inclusi i dati su cui le stesse operano; questa modalità di gestione contribuisce in modo sostanziale alla protezione delle informazioni aziendali semplificando nello stesso tempo l’operatività.

Fino a qualche mese fa, la protezione delle app era circoscritta ai soli dispositivi mobili (Android e iOS/iPadOS); a partire dalla Service Release di Giugno, la tanto attesa funzionalità MAM è ora disponibile in Public Preview per Microsoft Edge for Business su sistemi Windows.

Usando MAM, le aziende avranno la possibilità di offrire ai propri utenti un accesso sicuro ai dati aziendali su dispositivi Windows personali: sfruttando le potenzialità delle App Protection Policy, di Windows Defender e delle Conditional Access policy è possibile consentire l’accesso ai dati anche da dispositivi non gestiti verificando preventivamente che questi risultino integri e protetti. Ciò può aiutare le aziende a migliorare il proprio livello di sicurezza e proteggere i dati sensibili dall’accesso non autorizzato, senza richiedere la registrazione completa del dispositivo su Intune.

 

I vantaggi nell’utilizzo di questa soluzione sono molteplici:

  • Migliora la sicurezza: la soluzione MAM per dispositivi Windows aiuta a proteggere i dati aziendali da eventuali compromissioni o furti; ciò aiuta a minimizzare il rischio di perdita di dati e/o danni reputazionali.
  • Supporto per dispositivi non registrati: una delle caratteristiche distintive di MAM è la sua capacità di gestire le applicazioni su dispositivi non registrati. Ciò significa che anche se un dispositivo Windows non è registrato in Microsoft Intune, può comunque essere gestito e controllato, estendendo la portata della gestione IT.
  • Integrazione con Microsoft Edge: questa integrazione consente una gestione del browser più diffuso sui sistemi Windows, garantendo che la navigazione aziendale rimanga sicura e allineata con i criteri definiti dagli amministratori IT.
  • Gestione centralizzata: Microsoft Intune consente di gestire in modo centralizzato le policy per la protezione delle app attraverso la medesima console di gestione per le policy di protezione dei dispositivi.

 

Per poter procedere con l’attivazione di MAM su dispositivi Windows, è necessario disporre dei seguenti prerequisiti:

  • Windows 11 versione 22H2 (o successive) con ultima Cumulative Update disponibile;
  • Ultima versione disponibile del browser Microsoft Edge;
  • Licenza Microsoft Intune per gestione policy di configurazione attraverso lo strumento di gestione;
  • I dispositivi Windows non devono essere direttamente in join ad Azure AD o già enrollati su Microsoft Intune;
  • Impostare l’opzione MAM User Scope a All;

 

Figura 1 – Impostazione MAM User Scope

 

NOTA: Al momento della stesura di questo articolo, la funzionalità MAM per Edge risulta essere in Public Preview e richiede la compilazione di un form per fornire il proprio consenso a partecipare alla preview. A tal proposito, i prerequisiti potrebbero subire variazioni a fronte del rilascio in General Availability.

 

Nei prossimi paragrafi, andremo ad approfondire gli step necessari per utilizzare la soluzione di protezione delle applicazioni su dispositivi Windows sfruttando lo strumento di gestione Microsoft Intune.

 

Attivazione connettore Windows Security Center

Il primo passo per poter iniziare ad utilizzare la soluzione consiste nell’abilitare il connettore Windows Security Center all’interno della sezione Mobile Threat Defense; la procedura consiste nell’esecuzione di pochi e semplici step:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Tenant admin > Connectors and tokens > Mobile Threat Defense;
  • Premere sul pulsante Add per avviare il processo di aggiunta del nuovo connettore;
  • Dal menu a tendina, selezionare l’opzione Windows Security Center;
Figura 2 – Aggiunta connettore Windows Security Center

 

  • Confermare la modifica attraverso il pulsante Create;
  • Una volta completato il processo di creazione, il connettore sarà visibile all’interno dell’apposita sezione.
    NOTA: Il connettore riporterà lo stato Unavailable finché il primo utente non utilizza effettivamente MAM per Windows.

 

A questo punto, una volta completata la procedura sopra citata, sarà possibile creare il profilo di protezione dell’app necessario per istruire il browser Microsoft Edge nella protezione delle risorse aziendali.

 

Creazione policy

Come riportato in precedenza, con il rilascio della Service Release 2306 di Microsoft Intune, è possibile creare le opportune App Protection Policy per il sistema operativo Windows.

Riportiamo qui sotto gli step necessari per creare una nuova App Protection policy:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Apps – App protection policies;
  • Premere sul pulsante Create Policy;
  • Dal menù a tendina Platform selezionare la voce Windows;
Figura 3 – App Protection Policy per WIndows
  • Assegnare un nome, un’eventuale descrizione della policy e premere sul pulsante Next;
  • Premere sul pulsante Select apps, selezionare l’applicazione Microsoft Edge e premere sul pulsante Select;

 

Figura 4 – Selezione Microsoft Edge come app target

 

  • Premere nuovamente sul pulsante Next;
  • Impostare i settings relativi alle azioni consentite o non consentite sulla base delle proprie esigenze/politiche:
    • Receive data from: questa opzione permette di specificare le sorgenti da cui gli utenti dell’organizzazione possono ricevere i dati; le azioni disponibili sono:
      • All sources: gli utenti possono aprire i dati da qualsiasi account, documento, posizione o applicazione nel contesto dell’organizzazione.
      • No sources: gli utenti non possono aprire i dati da account esterni, documento, posizione o applicazione nel contesto dell’organizzazione.
    • Send org data to: questa opzione permette di specificare le destinazioni a cui gli utenti dell’organizzazione possono inviare i dati; le azioni disponibili sono:
      • All sources: gli utenti possono inviare i dati aziendali a qualsiasi account, documento, posizione o applicazione.
      • No sources: gli utenti non possono inviare dati aziendali a nessun account, documento, posizione o applicazione esterna all’organizzazione.
    • Allow cut, copy, and paste for: attraverso questa opzione è possibile specificare verso quali sorgenti o destinazioni gli utenti possono eseguire copia/incolla delle informazioni aziendali; è possibile definire i seguenti livelli:
      • Any destination and any source: gli utenti possono copiare/tagliare e incollare i dati aziendali verso qualsiasi destinazione esterna all’organizzazione.
      • No destination or source: gli utenti non possono tagliare, copiare o incollare dati aziendali da/verso nessuna destinazione/sorgente.
    • Print org data: è possibile bloccare la stampa delle informazioni aziendali (Block) oppure consentirne l’esecuzione (Allow).
Figura 5 – Azioni consentite/bloccate sui dati aziendali

 

  • Confermare le modifiche attraverso il pulsante Next;
  • All’interno della sezione Health Checks, definire i criteri che dovranno essere soddisfatti per poter accedere alle informazioni aziendali, come ad esempio: versione minima/massima del sistema operativo o il livello di minaccia del device.
Figura 6 – Definizione condizioni del device

 

  • Proseguire attraverso il pulsante Next;
  • Premere sulla voce Add groups, selezionare un gruppo Azure AD contenente gli utenti interessati e confermare attraverso il pulsante Next;
  • Premere sul pulsante Create per completare il processo di creazione della policy.

 

Creazione regola di Conditional Access

Sfruttando la piena integrazione tra i servizi Microsoft 365, è possibile forzare la presenza dell’App Protection Policy per poter aver accesso alle risorse aziendali; l’applicazione di questo layer di sicurezza avviene attraverso l’utilizzo delle regole di Conditional Access:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Endpoint security – Conditional Access;
  • Premere sul pulsante Create new policy;
  • Assegnare un nome alla policy;
  • All’interno della sezione Users, selezionare gli utenti o il gruppo di utenti coinvolti;
  • All’interno della sezione Target resources, selezionare la Cloud app Office 365;

 

Figura 7 – Definizione Cloud Apps

 

  • Accedendo alla sezione Conditions, sarà necessario configurare i seguenti settings:
    • Selezionare la piattaforma Windows all’interno del filtro Device Platform;
    • Selezionare la modalità Browser all’interno del filtro Client apps;

 

Figura 8 – Definizione piattaforma

 

Figura 9 – Definizione applicazione client

 

  • All’interno della sezione Grant, flaggare l’opzione Require app protection policy;

 

Figura 10 – Richiesta App Protection Policy

 

  • Selezionare Enable policy – On per attivare la nuova regola di Conditional Access;
  • Confermare tutte le modifiche attraverso il pulsante Create;

 

Configurazione Microsoft Edge e User Experience

NOTA: Al momento della stesura di questo articolo, la funzionalità MAM sul browser Microsoft Edge deve essere attivata manualmente.

Figura 11 – Attivazione funzionalità MAM su MS Edge

 

A fronte dell’accesso da parte dell’utente a Office 365 attraverso il browser Microsoft Edge, verrà richiesto di cambiare profilo e/o registrare il dispositivo per consentire la corretta applicazione di tutti i criteri precedentemente impostati (ciò non implica la completa gestione del device su Intune).

 

Figura 12 – Accesso con profilo lavoro su Edge

 

La registrazione del dispositivo Windows avviene durante il processo di creazione del profilo di lavoro sul browser; per evitare che il dispositivo venga gestito, l’utente dovrà deselezionare la casella Allow my organization to manage my device e fare clic su OK (come mostrato di seguito nella figura sottostante) e attendere la corretta conclusione del processo che implicherà anche l’applicazione delle App Protection Policy create.

 

Figura 13 – Registrazione dispositivo

 

A questo punto l’utente, attraverso il suo profilo di lavoro, sarà in grado di accedere alle informazioni aziendali (vedi Figura 14) ma non sarà in grado di effettuare operazioni di copia/incolla in quanto bloccate dalle policy di protezione delle app (vedi Figura 15).

 

Figura 14 – Profilo di lavoro su Microsoft Edge

 

Figura 15 – Blocco azione di copia/incolla su profilo di lavoro

 

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

 

Conclusioni

L’adozione di Mobile Application Management (MAM) con Microsoft Intune per dispositivi Windows offre numerosi vantaggi in linea con le moderne esigenze aziendali. Dalla maggiore sicurezza dei dati alla configurazione flessibile e alla perfetta integrazione con le applicazioni più diffuse, MAM è uno strumento fondamentale per le organizzazioni odierne.

Adottando MAM, le aziende possono assicurarsi di essere all’avanguardia dell’innovazione tecnologica, sfruttando soluzioni per favorire l’efficienza e al tempo stesso la sicurezza. Il futuro è basato sempre di più sul mobile e con MAM le organizzazioni sono ben attrezzate per affrontare le sfide e le opportunità dell’era digitale.