Configura l'integrazione di BeyondCorp Enterprise con Microsoft Intune

Questo documento mostra come configurare l'integrazione di BeyondCorp Enterprise con Microsoft Intune. La configurazione di questa integrazione prevede la configurazione di Intune, la verifica degli endpoint, la configurazione di Workload Identity di Azure e l'attivazione di Microsoft Intune nelle unità organizzative.

Prima di iniziare

• Per configurare Intune per BeyondCorp Enterprise:

  • Comprendi le configurazioni supportate e assicurati che il tuo ambiente soddisfi i requisiti di networking.
  • Accedi all'abbonamento di prova o crea un nuovo abbonamento a Intune.
  • Imposta la registrazione DNS per collegare il nome di dominio della tua azienda a Intune.
  • Aggiungi utenti e gruppi oppure collega Active Directory per la sincronizzazione con Intune.
  • Autorizza gli utenti a utilizzare Intune assegnando le licenze.

  Per ulteriori informazioni, vedi Configurare Intune.

• Assicurati che i dispositivi della tua organizzazione utilizzino uno dei seguenti sistemi operativi:

  • macOS versione 10.11 o successive
  • Microsoft® Windows 10 o versioni successive
• Configura la verifica degli endpoint per la tua organizzazione.

Connettiti a Intune

1. Trova il tuo ID tenant Microsoft 365.
2. Registra la tua richiesta per ottenere l'ID di un'applicazione.

3. Nella home page della Console di amministrazione, vai a Dispositivi.

   Vai a Dispositivi
4. Nel menu di navigazione, fai clic su Dispositivi mobili ed endpoint > Impostazioni > Integrazioni di terze parti > Partner di sicurezza e MDM > Gestisci.
5. Cerca Microsoft Intune e fai clic su Apri connessione.

6. Nella finestra di dialogo Connetti a Intune, inserisci l'ID tenant nel campo ID tenant directory Azure e l'ID applicazione nel campo ID applicazione Azure.

   
7. A seconda che tu voglia importare solo i dispositivi di proprietà dell'azienda o importare tutti i dispositivi, esegui l'azione appropriata:
   • Per importare solo dispositivi di proprietà dell'azienda, fai clic sul pulsante di attivazione/disattivazione Importa solo i dispositivi di proprietà dell'azienda. Nella sezione Proprietà dispositivo da importare, seleziona le proprietà che devono essere archiviate in BeyondCorp Enterprise.

   • Per importare tutti i dispositivi, nella sezione Proprietà dispositivo da importare, seleziona le proprietà che devono essere archiviate in BeyondCorp Enterprise.

     

   Le proprietà obbligatorie del dispositivo come device identifier, last sync time, serial number e wifi MAC address vengono raccolte per impostazione predefinita.

   Per maggiori informazioni sulle proprietà del dispositivo raccolte da Intune, consulta l'articolo Proprietà del dispositivo Intune.

8. Fai clic su Continua.
9. Copia l'ID account di servizio.
   
10. Utilizza l'ID account di servizio per autorizzare Azure Workload Identity per raccogliere i dati dai dispositivi Intune:
    1. Configura la tua app in modo che consideri un provider di identità esterno.

       Specifica i seguenti valori nei campi corrispondenti:

       • Nome: qualsiasi nome per la credenziale federata.
       • Subject ID: l'ID account di servizio che hai copiato.
       • Emittente: https://accounts.google.com.
    2. Concedi le autorizzazioni app:
       1. Cerca le autorizzazioni DeviceManagementManagedDevices.Read.All e DeviceManagementApps.Read.All e aggiungile a Microsoft Graph. Quando richiedi le autorizzazioni API, seleziona Autorizzazioni applicazione.

          DeviceManagementManagedDevices.Read.All fornisce l'accesso in lettura a tutti i dispositivi e alle relative proprietà gestite da Intune, mentre DeviceManagementApps.Read.All fornisce l'accesso in lettura ai log di controllo di Intune per gli eventi di eliminazione dei dispositivi.

       2. Concedi il consenso dell'amministratore alle autorizzazioni configurate per l'applicazione.
11. Nella finestra di dialogo Connetti a Intune, fai clic su Connetti.

La connessione a Intune è impostata su aperta.

Attiva Intune per l'unità organizzativa

Per raccogliere le informazioni sul dispositivo tramite Intune, attivalo per la tua unità organizzativa seguendo questi passaggi:

1. Nella home page della Console di amministrazione, vai a Dispositivi.

   Vai a Dispositivi
2. Nel menu di navigazione, fai clic su Dispositivi mobili ed endpoint > Impostazioni > Integrazioni di terze parti > Partner di sicurezza e MDM.
3. Dal riquadro Unità organizzative, seleziona l'unità organizzativa.

4. Seleziona la casella di controllo relativa a Microsoft Intune e fai clic su Salva.

   Microsoft Intune è ora disponibile nella sezione Sicurezza e partner MDM. A seconda delle dimensioni della tua organizzazione, potrebbero essere necessari alcuni secondi per stabilire la connessione tra Endpoint Verification e Intune. Una volta stabilita la connessione, i dispositivi potrebbero impiegare da pochi minuti a un'ora per generare report sui dati di Intune.

   
   

Verificare i dati di Intune sui dispositivi

1. Nella home page della Console di amministrazione, vai a Dispositivi.

   Vai a Dispositivi
2. Fai clic su Endpoint.

3. Seleziona un dispositivo della tua unità organizzativa per cui è abilitato Intune.

   

4. Verifica che i dati di Microsoft Intune siano elencati nella sezione Servizi di terze parti.

   

5. Per visualizzare i dettagli completi, espandi la sezione Servizi di terze parti.

   La seguente immagine mostra i dettagli dei dati raccolti da Intune:

   

Gli stati di conformità segnalati da Intune sono classificati in modo ampio nei seguenti stati di conformità:

Passaggi successivi

• Creare e assegnare livelli di accesso personalizzati