Salta al contenuto
Guida In evidenza

Implementare Microsoft Intune per MDM in PMI 50-100 utenti: guida operativa

Pianificazione 8 settimane: enrollment Windows + iOS + Android, configuration policy, compliance, AutoPilot zero-touch. Costi reali e pitfall del deploy MDM in PMI italiane.

SynSphere Italia 11 min di lettura

Microsoft Intune è la piattaforma di Mobile Device Management (MDM) e Mobile Application Management (MAM) integrata in Microsoft 365 Business Premium. Permette di gestire centralmente Windows PC, Mac, iPhone, iPad, Android: configuration policy, compliance, app deployment, wipe remoto, AutoPilot per zero-touch provisioning. Per PMI italiane sopra 30 dipendenti, è uno dei componenti M365 Business Premium con ROI più alto (riduce IT effort 60%+ sul provisioning device, migliora security baseline drasticamente).

Questa guida descrive il deploy operativo 8 settimane che facciamo con i clienti SynSphere per portare in produzione Intune su PMI 50-100 utenti. È pensata come pianificazione realistica con tempi e pitfall noti, non come tutorial step-by-step (per quello c’è documentazione Microsoft Learn).

Pre-requisiti e licensing

Per usare Intune serve:

  • Licenza Intune Plan 1: inclusa in Microsoft 365 Business Premium, M365 E3, M365 E5, oppure standalone (~7,40 €/utente/mese).
  • Entra ID in cloud (anche con sync da AD on-prem hybrid).
  • Ruolo admin: Intune Administrator o Global Administrator nel tenant Microsoft 365.

Pattern raccomandato: Microsoft 365 Business Premium copre tutto incluso Intune (vedi confronto Standard vs Premium). Standalone Intune è raramente la scelta razionale — costa di più del bundle Premium che include anche Defender + Entra ID P1.

Settimana 1 — Discovery e configurazione tenant

Inventario device target

Mappare il parco macchine attuale:

  • Windows PC aziendali: laptop + desktop, modelli, versioni Windows (10/11), età, modalità join (workgroup / domain joined / Entra joined).
  • macOS aziendali: rare in PMI italiane, ma se presenti vanno mappate.
  • iOS / Android: smartphone aziendali per management, BYOD per email aziendale.
  • Linux: workstation specifiche o server (Intune supporta Ubuntu/RHEL ma in modalità più limitata).

Per PMI 50 utenti tipica: ~50 Windows PC + ~50 smartphone (mix iOS/Android) + 1-2 Mac per design/marketing. Totale ~100 device.

Setup tenant Intune

  1. intune.microsoft.com → verifica accesso. Se primo accesso, accept terms + setup automatic.
  2. Tenant administrationConnectors and tokens → Apple MDM Push certificate. Critical: ottenere il certificate Apple richiede 5-7 giorni (account Apple ID aziendale). Avviare subito in settimana 1.
  3. Apple VPP/Volume Purchase Program: se l’azienda compra app iOS/iPad in volume, integrare il token. Skip se non applicabile.
  4. Android Enterprise: setup managed Google Play, accept terms.
  5. Windows automatic enrollment: configura il dominio aziendale → Intune (per device che si Entra-joinano automaticamente vengono enrollati in Intune).

Settimana 2 — Configuration profiles baseline

Windows configuration profiles

Le policy chiave per PC Windows aziendali:

  1. Endpoint security baseline (Windows MDM): importare il Microsoft security baseline for Windows 11 che pre-popola 200+ settings hardened (LAPS, BitLocker, SmartScreen, account policies, ecc.). Customizzare i 5-10 settings specifici al contesto aziendale.
  2. BitLocker policy: encryption automatica disco di sistema, recovery key salvata in Entra ID.
  3. Windows Defender policy: real-time protection on, cloud-delivered protection, automatic sample submission, attack surface reduction rules attive.
  4. Update Ring: 2 ring (Pilot 5-10 utenti, Production rest). Pilot riceve patch security after 7 giorni di delay, Production after 14 giorni.
  5. Local administrator policy (LAPS): disabilitare account locale standard, gestire local admin via LAPS (random password rotation 30 giorni).

iOS / Android configuration profiles

Per smartphone aziendali (corporate-owned):

  1. Device restrictions: block jailbreak/root, require passcode min 6 chars, force encryption, block app installation from untrusted sources.
  2. Wi-Fi profile: pre-config rete aziendale.
  3. VPN profile: se l’azienda ha VPN aziendale.
  4. Email profile: pre-config Outlook con account aziendale.

Per BYOD (personali con email aziendale): App Protection Policy invece di MDM completo. Protegge solo i dati aziendali nelle app Microsoft (Outlook, Teams, OneDrive) senza controllare il device personale.

Settimana 3 — Compliance policy

Le compliance policy definiscono “cosa significa device sicuro” e abilitano enforcement Conditional Access (es. “blocca accesso a SharePoint da device non compliant”).

Windows compliance policy

Conditions tipiche:

  • ✓ Require BitLocker.
  • ✓ Require Secure Boot.
  • ✓ Require Code Integrity.
  • ✓ Anti-malware (Defender) up-to-date.
  • ✓ Firewall enabled.
  • ✓ OS version: Windows 11 22H2+.
  • Actions for noncompliance: dopo 7 giorni in stato non compliant → mark as noncompliant. Email automatica all’utente con “Il tuo PC non rispetta le policy aziendali, contatta IT”.

iOS / Android compliance

  • ✓ Min OS version (iOS 17+, Android 13+).
  • ✓ Require passcode.
  • ✓ No jailbreak/root.
  • ✓ Threat level “Low” (se Defender for Endpoint mobile è installato).

Settimana 4 — App deployment

Configurare deployment automatico delle app aziendali.

Windows app

  1. Microsoft 365 Apps (Office desktop): deployment automatico tramite Intune (più rapido che pacchetto MSI manuale). Configurazione: Office Customization Tool per scegliere lingua italiana, channel (Monthly Enterprise raccomandato), apps inclusi.
  2. Microsoft Edge: già preinstallato Windows 11, ma policy enforcement (homepage, sync, security).
  3. Teams: deploy Teams desktop app.
  4. Software gestionale aziendale: il gestionale Zucchetti / SAP B1 / app custom .NET. Deploy via Win32 app package (.intunewin format). Setup tipico: 1-2 giorni IT per packaging + testing.
  5. Defender for Endpoint client: auto-deployed se Business Premium (incluso).

iOS / Android app

  1. Outlook mobile: deploy automatico tramite App Configuration profile (pre-config server email).
  2. Teams mobile: deploy automatico.
  3. OneDrive / SharePoint mobile: deploy automatico.
  4. App custom aziendali (es. CRM custom, tool campo): caricare in Intune via App Apple/Google enterprise ed assegnare a security group target.

Settimana 5 — Conditional Access integration

Conditional Access policy che usano lo stato compliance Intune:

  • Block access to SharePoint da device non compliant: utenti possono accedere a OneDrive/SharePoint solo da PC enrollati e compliant.
  • Block legacy authentication: già coperto da CA standard ma rinforzato qui.
  • Require app protection policy per app mobile: BYOD smartphone deve avere App Protection (anche se non MDM full).

Vedi tutorial Conditional Access dedicato per i dettagli delle 5 policy baseline.

Settimana 6 — Pilot rollout

Selezionare 5-10 utenti pilot (mix di IT, manager, knowledge worker volontari). Per ognuno:

  1. Reset Windows PC o test fresh enrollment via AutoPilot (vedi sotto).
  2. Verifica che enrollment in Intune sia successful: device compare in intune.microsoft.com → Devices.
  3. Verifica policy applicate (PowerShell Get-ItemProperty HKLM:\SOFTWARE\Microsoft\PolicyManager\current\device per vedere policy live).
  4. Verifica compliance status: Compliant (può richiedere 1-24h dopo enrollment per primo eval).
  5. Test app deployment: Office, Teams installati automaticamente.
  6. Test Conditional Access: tentativo accesso a SharePoint da device non enrollato → block atteso.

Iterare 1-2 settimane su pilot per fix di policy troppo aggressive o configurazioni problematiche.

AutoPilot setup

Windows AutoPilot è il game-changer: provisioning zero-touch dei device. Workflow:

  1. Microsoft fornisce a SynSphere i hardware hash dei device acquistati (durante l’ordine).
  2. SynSphere registra i hash su Intune AutoPilot.
  3. Cliente unboxa il PC, lo accende, fa login con account aziendale Entra ID.
  4. Il PC si configura automaticamente: Windows setup, join Entra ID, enroll Intune, deploy Office + apps + policy. Tempo totale: 30-90 minuti completamente automatico.

Setup AutoPilot è must-have per PMI con device DaaS (i device arrivano direttamente in azienda preregistrati). Per device già esistenti via “Intune AutoPilot Reset” o re-imaging tradizionale (più lavoro).

Settimana 7 — Rollout esteso

Dopo pilot validato:

  1. Comunicazione interna a tutti gli utenti: “Nei prossimi 2-3 settimane il tuo PC verrà gestito da Intune. Cosa cambia per te: niente di immediato, ricevi alcuni prompt di setup. IT è disponibile per domande.”
  2. Rollout per gruppi (5-10 PC alla volta), distribuiti su 1-2 settimane:
    • Setup automatic enrollment per device Windows (già Entra-joined): si auto-enrolla via policy.
    • Setup manual enrollment per device legacy AD-joined: utente fa “Settings → Accounts → Access work or school → Connect” e segue wizard.
    • Smartphone aziendali: deploy via Apple Configurator (per iOS) o Android Enterprise zero-touch (per Android Pixel/Samsung enterprise).
  3. Monitor compliance dashboard quotidianamente: device che falliscono enrollment o restano non compliant 7+ giorni vengono escalati a IT.

Settimana 8 — Validation e onboarding completo

Validation finale:

  1. Compliance rate: target 95%+ device compliant. Casistiche tipiche di non-compliant residui:
    • Device Windows 10 vecchi che non supportano Secure Boot → vanno refreshed (vedi articolo Windows 10 EOL).
    • BYOD smartphone Android low-end che non supportano security baseline → escalate a sostituzione device.
  2. Test wipe remoto: provare wipe su 1-2 device test per validare il process di emergency (es. device perso/rubato).
  3. Documentation runbook: creare runbook IT per scenari frequenti (utente nuovo, device perso, problema enrollment).

Costi tipici deploy 50 utenti

VoceCosto
Licenza Microsoft 365 Business Premium 50 utenti × 22 €/m × 1213.200 €/anno
Setup Intune SynSphere (8 settimane, 80-100 ore-uomo)8.000-12.000 € one-time
Apple MDM Push certificate (gratuito ma richiede Apple ID)0 €
Setup AutoPilot (registrazione device + test)1.500-2.500 € one-time
Totale primo anno~22.700-27.700 €
Totale anni successivi (solo licensing)13.200 €/anno

ROI tipico: tempo IT recuperato sul provisioning ~2-3 ore/device × 50 device/anno (refresh + new hire) = ~120-150 ore-uomo/anno × 35 €/h = ~4.000-5.000 €/anno in tempo IT recuperato. Setup ripaga in 18-30 mesi solo via productivity, prima di considerare il valore security.

Pitfall comuni

  • Skip dell’Apple MDM Push certificate: richiede 5-7 giorni e Apple ID account, se dimenticato blocca tutto il deploy iOS al pilot.
  • Compliance policy troppo aggressive al pilot: scale-out fallisce con tanti device non compliant. Iniziare con baseline soft, alzare poi.
  • Mancato pilot: rollout direttamente a 50 utenti porta a problemi massivi non rilevati. Pilot 5-10 utenti per 1-2 settimane è non-negoziabile.
  • Comunicazione utenti dimenticata: utenti vedono prompt strani, IT helpdesk inondato di ticket. Comunicazione pre-rollout 1 settimana prima riduce ticket del 70%.
  • AutoPilot non configurato per device DaaS: device arrivano in azienda non preregistrati → IT deve configurarli manualmente uno per uno (perso tutto il vantaggio del DaaS).
  • Application packaging custom rinviato: il gestionale aziendale non funziona day-1 perché non è stato packaged in tempo. Pianificare packaging in settimana 4, non last-minute.

Conclusioni

Microsoft Intune è uno dei componenti meno sfruttati in M365 Business Premium nelle PMI italiane (per nostra esperienza ~30% dei clienti M365 Business Premium ha Intune effettivamente in produzione). Setup baseline 8 settimane è realistico, costi ragionevoli, ROI multiplo via tempo IT + sicurezza enterprise + compliance NIS2.

Per PMI in scope NIS2 (settori critical sopra 50 dipendenti), Intune copre direttamente alcuni dei requisiti tecnici minimi art. 21: asset management, endpoint security, MDM. La documentazione setup è utile come evidenza di compliance.

Per il deploy completo Intune nella tua azienda, contattaci: assessment device esistenti, configurazione policy hardened, rollout pilot + esteso 8 settimane, formazione IT manager su day-2 operations.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Confronti correlati

Approfondisci con confronti puntuali fra i prodotti citati nell'articolo.

Altri articoli Guida

Continua a esplorare contenuti della stessa categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci