Esportare, pianificare e condividere i dati di report in modo sicuro
Anche se l'interfaccia di amministrazione Microsoft Intune è eccellente per gli amministratori IT, gli altri stakeholder, ad esempio i responsabili della sicurezza, i revisori della conformità o i dirigenti di livello C, spesso devono visualizzare questi dati senza accedere al portale di gestione. Inoltre, l'organizzazione potrebbe richiedere di conservare i log più a lungo del periodo di conservazione predefinito di Intune.
Per soddisfare queste esigenze, è necessario comprendere come estrarre i dati di report da Intune, automatizzarne il recapito e assicurarsi che rimangano sicuri in transito e inattivi.
Esportare formati e metodi
A seconda del caso d'uso, Intune offre diversi modi per esportare i dati dal tenant.
-
Esportazione csv manuale: Quasi ogni elenco e report nell'interfaccia di amministrazione Intune include un pulsante Esporta. Viene generato un file statico
.csvcontenente la visualizzazione attualmente filtrata. È consigliabile usarlo per un'analisi rapida e ad hoc in Excel. -
Impostazioni di diagnostica (JSON): Come illustrato nelle sezioni precedenti, la configurazione delle impostazioni di diagnostica consente di trasmettere continuamente i log di telemetria e di controllo in
JSONformato Azure account di archiviazione, hub eventi o aree di lavoro Log Analytics. - Intune Data Warehouse: feed OData specializzato che gestisce i dati cronologici Intune (fino a 30 giorni per la maggior parte delle tabelle dei fatti). È progettato specificamente per essere connesso direttamente a strumenti di creazione di report come Power BI.
Automatizzare le esportazioni pianificate (API Graph e PowerShell)
Gli amministratori delle limitazioni comuni individuano che Intune non dispone di un pulsante nativo "Email questo report ogni lunedì". Per pianificare la creazione di report, è necessario usare l'automazione.
API di Microsoft Graph
Microsoft API Graph è il gateway programmatico per tutti gli elementi in Intune. Qualsiasi report che è possibile visualizzare nella console può essere sottoposto a query tramite API Graph.
-
Il processo: È possibile creare un'app per la logica Azure o un runbook Automazione di Azure che effettua una richiesta HTTP
GETgiornaliera agli endpoint di esportazione API Graph. L'app può quindi formattare i dati e inviarli automaticamente tramite posta elettronica a una lista di distribuzione o rilasciarli in una cartella di SharePoint sicura.
PowerShell
Gli amministratori usano spesso PowerShell per pianificare le esportazioni localizzate.
- Usando SDK PowerShell di Microsoft Graph, è possibile scrivere uno script che esegue l'autenticazione nel tenant, esegue il pull di report di conformità o di inventario dei dispositivi specifici, li esporta in un
.csve li carica in una posizione sicura. È quindi possibile attivare questo script usando un'attività pianificata di Windows standard o Automazione di Azure.
Procedure di condivisione sicura
Quando si esportano e condividono dati utente e dispositivo, è possibile spostare informazioni sensibili al di fuori del limite sicuro di Intune. È necessario implementare una governance rigorosa per proteggerla.
Applicare il principio dei privilegi minimi
Non concedere mai a un stakeholder un ruolo di "amministratore Intune" solo per poter visualizzare un report.
- Microsoft Entra ID ruoli: se un utente deve accedere al portale per visualizzare i report, assegnargli il ruolo Lettore report o Lettore globale in Microsoft Entra ID. Ciò concede loro l'accesso in sola lettura ai dati di report senza la possibilità di cancellare accidentalmente un dispositivo o eliminare un criterio.
- Azure controllo degli accessi in base al ruolo: se si condivide una cartella di lavoro di monitoraggio Azure, assegnare allo stakeholder il ruolo Lettore di Log Analytics nel gruppo di risorse specifico, mantenendoli completamente fuori dal portale di Intune.
Controllare l'accesso e le esportazioni dei report
Monitorare chi estrae i dati dall'ambiente.
- I log di controllo di Intune tengono traccia quando un amministratore avvia un'esportazione manuale.
- Se si usa una registrazione app aziendale per automatizzare le esportazioni di API Graph, assicurarsi di controllare regolarmente i log di accesso e le autorizzazioni associate alla registrazione dell'app.
Minimizzazione dei dati
Esportare solo ciò di cui ha effettivamente bisogno lo stakeholder. Se il reparto risorse umane necessita di un elenco di telefoni cellulari di proprietà dell'azienda, non esportare il report completo del dispositivo che include indirizzi IP, indirizzi MAC ed elenchi di applicazioni installati. Filtrare i dati tramite API Graph o lo script di PowerShell prima che il csv venga generato e condiviso.