Hardening Endpoint con Microsoft Intune

Una fleet di dispositivi Windows non gestita centralmente è un rischio operativo e di compliance. Configurazioni difformi, BitLocker non abilitato, software non aggiornato e accesso locale senza MFA sono vulnerabilità concrete. In Neos Air l'obiettivo era raggiungere uno stato di compliance misurabile e mantenibile senza overhead operativo.

Deployment di una baseline di sicurezza tramite Microsoft Intune con enrollment Autopilot per i nuovi dispositivi e enrollment manuale per quelli esistenti. Configurazione di policy di compliance, remediation automatica e accesso condizionale Entra ID che esclude i dispositivi non conformi dai servizi cloud.

La baseline si basa sul CIS Benchmark per Windows 11, adattato al contesto aziendale:

- Crittografia: BitLocker con TPM 2.0, PIN obbligatorio, chiavi di recovery in Azure Key Vault

- Autenticazione: Windows Hello for Business, MFA enforced, nessun account locale senza password complessa

- Aggiornamenti: update ring configurato con deadline di 7 giorni per patch critiche

- Firewall: Windows Firewall abilitato e non modificabile dall'utente, regole baseline applicate

- Antivirus: Defender for Endpoint con policy centralizzata, esclusioni controllate

- UAC e privilegi: standard user per tutti, elevazione solo tramite account IT separato

L'accesso condizionale Entra ID garantisce che solo i dispositivi conformi possano accedere ai servizi Microsoft 365:

- Dispositivo deve essere Intune-managed e compliant

- MFA richiesto per tutti gli accessi da rete non aziendale

- Blocco accesso da Paesi non autorizzati

- Session token limitato a 8h, refresh token a 24h su dispositivi non gestiti

I nuovi dispositivi vengono pre-registrati in Autopilot dal vendor. Al primo avvio, il dipendente si autentica con le credenziali aziendali e Intune configura automaticamente il dispositivo in 20-30 minuti: installazione app, policy di sicurezza, certificati, VPN client. Nessun intervento IT richiesto fisicamente.