Microsoft
Microsoft Intune
MDM/MAM cloud incluso in Business Premium: profili, app, patch, Autopilot e wipe remoto da un portale unico
Scheda prodotto SynSphereMicrosoft Intune vs gestione manuale dei PC: quanto costa il "non gestito" alle PMI
Installazioni a mano, policy verbali, inventario su Excel: fin dove regge? Il confronto con Intune — Autopilot, patch, BitLocker, wipe remoto — e il costo reale del non gestito.
vs
— vs —
IT interno o tecnico di fiducia
Gestione manuale dei PC
Installazioni a mano, policy verbali e inventario su Excel: il default storico di molte PMI italiane
01 — Il contesto
Perché confrontarli
In moltissime PMI italiane i PC si gestiscono ancora a mano: il tecnico interno (o lo studio di fiducia) prepara ogni macchina una alla volta, le regole di sicurezza sono raccomandazioni verbali — "non installate programmi strani" — e l'inventario vive in un foglio Excel aggiornato all'ultimo acquisto. Finché le postazioni sono quattro o cinque, regge. Poi l'azienda cresce e arrivano i sintomi: onboarding che blocca un tecnico per ore, patch applicate a caso, ex dipendenti con i dati aziendali ancora sul portatile.
Microsoft Intune è la piattaforma cloud di gestione dei dispositivi (MDM/MAM) di Microsoft, inclusa in Microsoft 365 Business Premium: profili di configurazione che si applicano da soli, distribuzione centralizzata delle app, controllo di patch e BitLocker, wipe remoto — e con Windows Autopilot il nuovo PC si configura da solo alla prima accensione, senza passare dal tecnico.
Questo confronto è diverso dal nostro [Intune vs Jamf Pro](/confronti/microsoft-intune-vs-jamf-pro-mdm-apple-pmi-italiane), che mette a confronto due MDM per chi ha flotte Apple: qui la domanda è più a monte — gestire o non gestire — e la risposta passa dal calcolare quanto costa davvero il "non gestito".
02 — Confronto puntuale
Criteri di confronto
Ogni criterio confronta i due prodotti su un aspetto rilevante. I valori sono basati su informazioni pubblicamente disponibili sui siti dei vendor coinvolti.
Onboarding e provisioning
-
Preparazione di un nuovo PC
Microsoft
Windows Autopilot zero-touch: il PC può arrivare dal fornitore direttamente al dipendente; al primo login si registra, applica i profili e installa le app da solo. Il tecnico non lo tocca.
IT interno o tecnico di fiducia
Ore di lavoro manuale per ogni macchina: installazioni, account, stampanti, VPN, personalizzazioni. Con assunzioni frequenti l'onboarding diventa un collo di bottiglia ricorrente.
-
Distribuzione delle applicazioni
Microsoft
Catalogo app centralizzato: Microsoft 365 Apps, browser, gestionali e utility distribuiti in silent install, versioni uniformi su tutta la flotta, aggiornamenti governati.
IT interno o tecnico di fiducia
Installazione a mano su ogni PC: download, chiavette, setup cliccati uno a uno. Risultato tipico: versioni diverse ovunque e software "di passaggio" mai censito.
-
Standardizzazione delle configurazioni
Microsoft
Profili di configurazione (Wi-Fi, VPN, OneDrive con Known Folder Move, restrizioni, branding) applicati e ri-applicati automaticamente: ogni PC è conforme per costruzione.
IT interno o tecnico di fiducia
Checklist su Excel + memoria del tecnico: ogni PC è un caso a sé. La deriva delle configurazioni è la regola — e la si scopre solo quando qualcosa smette di funzionare.
Operatività quotidiana
-
Patch e aggiornamenti
Microsoft
Update ring di Windows Update for Business: rollout scaglionato, scadenze, report su chi è indietro. Le patch critiche arrivano ovunque — e puoi dimostrarlo.
IT interno o tecnico di fiducia
"Windows si aggiorna da solo"... in teoria: nessuna visibilità su chi rimanda da mesi, versioni fuori supporto scoperte al primo problema. Le patch incoerenti sono il vettore classico degli incidenti.
-
Inventario e visibilità della flotta
Microsoft
Inventario hardware e software sempre aggiornato nel portale: modelli, versioni di Windows, app installate, stato di conformità. Una fonte unica e interrogabile.
IT interno o tecnico di fiducia
Foglio Excel fermo all'ultimo acquisto: quanti PC ci sono davvero, e con sopra cosa, lo sa (forse) solo il tecnico. Ogni ricognizione è un censimento da rifare da capo.
-
Supporto e azioni remote
Microsoft
Azioni remote dal portale: sync, riavvio, raccolta diagnostica, reset del PIN, fino al reset completo del dispositivo. Meno interventi fisici, meno fermi utente.
IT interno o tecnico di fiducia
Teleassistenza improvvisata o intervento di persona: ogni problema richiede una sessione dedicata, e sulle sedi remote o sui commerciali in giro i tempi si allungano.
Sicurezza
-
Crittografia del disco (BitLocker)
Microsoft
Enforcement automatico di BitLocker con chiavi di recupero custodite in Entra ID: ogni disco cifrato, ogni chiave ritrovabile quando serve.
IT interno o tecnico di fiducia
Attivata a mano, se qualcuno ci pensa: dischi in chiaro frequenti, chiavi di recupero su post-it o perdute. Sul portatile smarrito è la differenza fra incidente e data breach.
-
Policy di sicurezza
Microsoft
Baseline applicate tecnicamente: requisiti password/PIN/Windows Hello, firewall, blocco periferiche USB, blocco schermo — configurate una volta, verificate su tutta la flotta.
IT interno o tecnico di fiducia
Policy verbali: "usate password robuste" detto a voce non è una policy. Non è applicata, non è verificabile, non è dimostrabile.
-
Accesso ai dati aziendali
Microsoft
Compliance + Conditional Access: a Microsoft 365 accedono solo dispositivi registrati e conformi (cifrati, aggiornati, con protezione attiva). Il PC sconosciuto resta fuori.
IT interno o tecnico di fiducia
Basta la password: chiunque la conosca entra da qualunque dispositivo, compreso il PC di casa senza antivirus. L'identità è protetta quanto il device peggiore che la usa.
-
Antivirus e protezione endpoint
Microsoft
Microsoft Defender configurato centralmente, con onboarding automatico a Defender for Business per l'EDR: stato di protezione visibile su tutta la flotta da un'unica console.
IT interno o tecnico di fiducia
Installato a mano, configurato a caso: c'è chi ha l'antivirus scaduto e chi lo ha disattivato "perché rallentava". Nessun monitoraggio centrale, nessun alert.
Offboarding e device persi
-
Uscita di un dipendente
Microsoft
Offboarding in minuti: blocco degli accessi, retire o wipe remoto del dispositivo, dati aziendali rimossi anche dal telefono personale. Procedura ripetibile e tracciata.
IT interno o tecnico di fiducia
Il punto più rischioso del non gestito: si spera che il portatile torni, i dati aziendali restano sul device per settimane, gli accessi si revocano "quando ci si ricorda".
-
PC perso o rubato
Microsoft
Wipe remoto + BitLocker: il dato è cifrato e cancellabile a distanza. L'incidente resta una pratica hardware, non una violazione di dati personali.
IT interno o tecnico di fiducia
Dati potenzialmente in chiaro in giro: senza cifratura né controllo remoto, il portatile perso è una potenziale violazione GDPR da valutare — ed eventualmente notificare al Garante.
BYOD e mobile
-
Dispositivi personali (BYOD)
Microsoft
App protection (MAM) senza gestire il telefono: i dati aziendali vivono in app protette — PIN, blocco copia/incolla verso app personali, wipe selettivo — e la sfera privata resta privata.
IT interno o tecnico di fiducia
Posta e file aziendali sul telefono personale senza alcun controllo: nessun PIN garantito, nessuna rimozione selettiva all'uscita. Il BYOD non governato è un canale di fuga dati.
Costi e scalabilità
-
Costo della soluzione
Microsoft
Incluso in Microsoft 365 Business Premium (canone per utente) o attivabile come piano singolo: se Business Premium c'è già per Defender ed Entra ID, Intune è già pagato.
IT interno o tecnico di fiducia
"Gratis" solo in apparenza: le ore di tecnico per ogni PC, i fermi, gli errori di configurazione e i rischi non compaiono in fattura — ma si pagano, e crescono con la flotta.
-
Scalabilità
Microsoft
Gestire 15 o 150 PC cambia poco: profili e app si applicano da soli ai nuovi device, l'effort IT cresce molto meno che linearmente con le macchine.
IT interno o tecnico di fiducia
Effort proporzionale alle postazioni: ogni PC in più è lavoro manuale in più. Oltre la decina di macchine il fai-da-te smette di reggere, anche con il miglior tecnico.
Compliance
-
NIS2, audit e dimostrabilità
Microsoft
Evidenze pronte: report di conformità, policy documentate e applicate tecnicamente, inventario esportabile. Questionari di filiera, polizze cyber e audit trovano risposte, non promesse.
IT interno o tecnico di fiducia
Excel e buona volontà non sono evidenze: a ogni richiesta si ricostruisce lo stato della flotta a mano, e "lo abbiamo detto ai dipendenti" non supera un audit né un questionario NIS2.
03 — Quando scegliere uno o l'altro
Scenari decisionali
Non esiste vincitore assoluto. La scelta giusta dipende dal vostro contesto: stack esistente, processi, dimensione, budget.
Microsoft Intune
Scegli Intune dai 15 PC in su
È la soglia oltre la quale l'effort manuale smette di scalare: onboarding, patch e inventario assorbono ore ricorrenti e gli errori diventano sistematici. Con i profili Intune la flotta è conforme per costruzione e il tempo del tecnico torna su attività di valore.
Scegli Intune se assumi spesso o lavori su più sedi
Con Autopilot il PC nuovo viene spedito direttamente al neoassunto o alla sede remota: si accende, fa login e si configura da solo. Niente trasferte del tecnico, niente muletti preparati a mano, onboarding uniforme ovunque.
Scegli Intune se i dati aziendali girano su telefoni personali
Se posta, Teams e file aziendali stanno già sugli smartphone privati dei dipendenti, il BYOD esiste di fatto — solo senza protezioni. Le policy di App Protection mettono in sicurezza il dato aziendale (PIN, wipe selettivo) senza toccare la sfera personale del telefono.
Scegli Intune se NIS2, filiera o polizza cyber chiedono evidenze
Clienti capofiliera, assicuratori e adempimenti NIS2 chiedono prove: dispositivi cifrati, patch gestite, accessi controllati, offboarding tracciato. Con la gestione manuale ogni risposta è una ricostruzione artigianale; con Intune è un report da esportare.
Gestione manuale dei PC
Resta sulla gestione manuale se hai 5 PC e zero turnover
Micro-realtà con una manciata di postazioni in un'unica sede, niente assunzioni in vista, niente dati critici sui portatili: il fai-da-te disciplinato (BitLocker attivato, update verificati a calendario, offboarding con checklist scritta) può bastare. È l'unico scenario in cui il gioco non vale ancora la candela.
04 — La nostra raccomandazione
Il consiglio SynSphere
Sotto la decina di postazioni, con un tecnico disciplinato, la gestione manuale può ancora reggere — a patto di fare comunque il minimo sindacale: BitLocker su tutti i portatili, aggiornamenti verificati a calendario, offboarding con una checklist scritta.
Dai 15 PC in su, Microsoft Intune vince per ragioni strutturali — e già nella fascia fra le 10 e le 15 postazioni bastano un turnover frequente, una seconda sede o il BYOD a far pendere la bilancia: il costo del "non gestito" — onboarding lento, patch incoerenti, offboarding rischioso — è reale anche se non compare in nessuna fattura, e cresce a ogni PC in più. Se l'azienda è già su [Microsoft 365 Business Premium](/licenze-microsoft-365/business-premium), magari scelto per Defender o per le funzioni di sicurezza, Intune è già pagato: attivarlo è il modo più rapido di incassare il valore del canone.
Il percorso pragmatico che proponiamo: enrollment dei PC Windows esistenti senza reinstallare nulla, baseline di sicurezza e profili essenziali (BitLocker, update ring, OneDrive), poi Autopilot per i nuovi acquisti e App Protection per gli smartphone. La [guida all'implementazione di Intune](/notizie/implementare-microsoft-intune-mdm-pmi-guida) e il [tutorial Autopilot zero-touch](/notizie/microsoft-intune-autopilot-zero-touch-windows-11-tutorial-pmi) descrivono i passi nel dettaglio; la scheda completa del servizio è in [Microsoft Intune nel nostro catalogo](/software/sicurezza/microsoft-intune).
Per le PMI italiane dai 15 PC in su — o con BYOD diffuso, sedi multiple, obblighi NIS2 diretti o di filiera — raccomandiamo Intune: trasforma la gestione dei dispositivi da artigianato a processo, con evidenze pronte quando qualcuno le chiede.
05 — Domande frequenti
FAQ
-
Intune è incluso nelle licenze Microsoft 365 che abbiamo già?
Dipende dal piano: è incluso in Microsoft 365 Business Premium (insieme a Defender for Business ed Entra ID P1), mentre Business Basic e Standard non lo comprendono — lì si aggiunge come piano singolo o si valuta l'upgrade. Se Business Premium c'è già, Intune è solo da attivare e configurare: il costo incrementale è zero.
-
Serve un server o altra infrastruttura per usare Intune?
No: Intune è interamente cloud e si amministra da un portale web. È anche la via per applicare policy in stile Group Policy senza Active Directory on-premises — per molte PMI è l'occasione di dismettere l'ultimo server rimasto in azienda solo a fare da domain controller.
-
I PC esistenti vanno reinstallati per portarli sotto Intune?
No: i PC Windows esistenti si registrano (enrollment) senza formattare, mantenendo dati e programmi, e ricevono progressivamente profili e policy. Autopilot — il flusso zero-touch — si applica ai nuovi acquisti o alle macchine rigenerate, non è un prerequisito per partire.
-
Con il BYOD, l'azienda vede i contenuti personali del telefono?
No: con l'App Protection (MAM) l'azienda governa solo le app e i dati aziendali — PIN sull'app, blocco del copia/incolla verso app personali, rimozione selettiva all'uscita. Foto, chat e contenuti privati restano fuori dal perimetro gestito: è il compromesso che rende il BYOD accettabile per entrambe le parti.
-
Gestiamo anche qualche Mac e gli smartphone: Intune li copre?
Sì: Intune è cross-platform (Windows, macOS, iOS/iPadOS, Android), quindi un solo MDM copre la PMI mista tipica. Per flotte prevalentemente Apple con esigenze di gestione molto profonde il confronto da leggere è quello con Jamf Pro; per l'azienda Windows-centrica con qualche Mac e i telefoni, Intune è la scelta naturale.
Nota metodologica. Il confronto è basato su informazioni pubblicamente disponibili sui siti dei vendor coinvolti, listini e documentazione tecnica ufficiale. Nomi, marchi e logo citati sono dei rispettivi proprietari. Per una valutazione personalizzata sul tuo specifico scenario aziendale (utenti, stack esistente, budget, requisiti compliance), contattaci: discovery iniziale gratuita, senza impegno.
- Microsoft Intune
- MDM
- Windows Autopilot
- BYOD
- NIS2
- Gestione endpoint
Potrebbe interessarti anche
Confronti correlati per argomento, sezione e categoria di catalogo.
- Software
Microsoft Intune vs Jamf Pro: MDM Apple per PMI italiane
Microsoft Intune vs Jamf Pro
Microsoft Intune vs Jamf Pro per PMI italiane: MDM Apple a confronto. Granularità macOS/iOS, integrazione M365, Apple Business Manager, pricing e scenari mixed-fleet.
Microsoft IntuneLeggi - Software
Microsoft Defender for Business vs antivirus tradizionale: la protezione endpoint delle PMI
Microsoft Defender for Business vs Antivirus tradizionale a firme
EDR comportamentale incluso in Business Premium o antivirus a firme con canone separato? Confronto onesto per le PMI: rilevamento, ASR, console cloud, costi.
Leggi - Software
Microsoft 365 Business Premium vs stack di sicurezza separato: consolidare conviene?
Microsoft 365 Business Premium vs Stack di sicurezza separato
Un piano tutto incluso (Defender, Intune, Entra ID P1) o antivirus, MDM e MFA separati? La guida al consolidamento della sicurezza per le PMI: costi, console, integrazione.
Leggi
Devi scegliere fra le due soluzioni?
Parla con un nostro consulente: ti aiutiamo a tradurre il confronto teorico in una scelta concreta sul tuo scenario aziendale (utenti, stack, budget, tempi). Discovery iniziale gratuita.