Microsoft Intune Suite: funzionalità, attivazione e licensing
- Introduzione
- Perimetro tecnico e licensing
- Panoramica dei piani Intune
- Cosa include Microsoft Intune Suite
- Novità licensing per il 2026: cosa cambia per Microsoft 365 E3 ed E5
- Come attivare una trial di Intune Suite
- Come assegnare le licenze agli utenti
- Strategia di adozione: da dove partire
- Limiti e punti di attenzione
- Conclusioni
Introduzione
In molti tenant Microsoft 365, Microsoft Intune non è una novità da introdurre da zero, è già presente perché incluso in piani come Microsoft 365 E3, Microsoft 365 E5, Enterprise Mobility + Security E3/E5 o in altri piani compatibili. Questa base, cioè Microsoft Intune Plan 1, consente di gestire dispositivi Windows, iOS/iPadOS, Android e macOS, distribuire applicazioni, applicare criteri di configurazione e compliance, e integrare la gestione degli endpoint nei processi di sicurezza e accesso dell’azienda. Microsoft indica Intune Plan 1 come la base su cui si innestano sia Intune Plan 2 sia Intune Suite.
Dopo la prima fase di adozione, però, negli ambienti enterprise emergono spesso esigenze più specifiche. L’helpdesk ha bisogno di uno strumento di assistenza remota integrato e governato, i team security chiedono di ridurre gli amministratori locali permanenti senza bloccare le attività operative, chi gestisce le applicazioni vuole ridurre il lavoro manuale di packaging e aggiornamento, e i team endpoint hanno bisogno di insight più completi su performance, affidabilità e user experience. In altri scenari, invece, il tema riguarda la gestione cloud dei certificati, l’accesso applicativo da dispositivi mobili personali o la gestione di dispositivi specializzati.
Microsoft Intune Suite nasce per raccogliere queste funzionalità avanzate in un unico bundle sopra Intune Plan 1. Non sostituisce Intune Plan 1 e non va considerata una licenza alternativa alla gestione base dei dispositivi, ma è un’estensione pensata per aggiungere capability avanzate di endpoint management e security, come Remote Help, Endpoint Privilege Management, Advanced Analytics, Enterprise Application Management, Microsoft Cloud PKI e le funzionalità incluse in Intune Plan 2. Microsoft descrive Intune Suite come un bundle pensato per aggregarsi ad Intune Plan 1 che unifica soluzioni avanzate di gestione e sicurezza endpoint.
Il tema diventa ancora più importante nel corso del 2026, perché Microsoft ha annunciato l’aggiunta di alcune funzionalità Intune avanzate a Microsoft 365 E3 e Microsoft 365 E5. Non significa che tutta Intune Suite venga inclusa allo stesso modo in entrambi i piani. Le informazioni pubblicate indicano per Microsoft 365 E3 l’aggiunta di Intune Remote Help, Intune Advanced Analytics e Intune Plan 2; per Microsoft 365 E5 vengono citati anche Endpoint Privilege Management, Enterprise Application Management e Microsoft Cloud PKI. Le modifiche di list price sono indicate a partire dal 1° luglio 2026.
In questo articolo vedremo quindi cosa include Microsoft Intune Suite, come attivare una trial nel tenant, come assegnare correttamente le licenze, quali componenti valutare per primi e come leggere con attenzione le novità licensing previste nel 2026.
Perimetro tecnico e licensing
Microsoft Intune Suite non è una licenza alternativa a Microsoft Intune Plan 1 e non lo sostituisce. È un add-on che richiede una base Intune Plan 1 già presente nel tenant.
Intune Plan 1 è il piano che abilita le funzionalità principali di gestione endpoint: enrollment dei dispositivi, configurazioni, compliance policy, gestione applicativa, protezione delle app e integrazione con Microsoft Entra ID. È incluso in diversi piani Microsoft, tra cui Microsoft 365 E3, Microsoft 365 E5, Enterprise Mobility + Security E3/E5, Microsoft 365 Business Premium e altri piani compatibili. Microsoft Intune Plan 2, invece, è un add-on di Intune Plan 1 ed è incluso anche in Microsoft Intune Suite.
Lato licensing, Intune Suite raccoglie in un unico bundle diverse funzionalità avanzate di endpoint management e security, alcune di queste funzionalità possono essere acquistate anche come add-on standalone, mentre altre rientrano nel perimetro di Intune Plan 2 o della Suite. Tra le funzionalità disponibili come parte di Intune Suite troviamo Remote Help, Endpoint Privilege Management, Advanced Analytics, Enterprise Application Management, Microsoft Cloud PKI e le capability incluse in Intune Plan 2.
Intune Plan 2 comprende funzionalità come Microsoft Tunnel for Mobile Application Management, specialty device management e firmware over-the-air updates, dove supportate dalla piattaforma e dal vendor del dispositivo.
Questo punto è importante perché non tutte le funzionalità avanzate seguono lo stesso modello. Alcune possono essere acquistate singolarmente, altre vengono acquisite tramite Intune Plan 2, altre ancora sono incluse nel bundle Intune Suite. Prima di costruire un progetto o una proposta economica, è quindi necessario verificare quale SKU è già presente nel tenant, quali service plan sono attivi e quali utenti sono effettivamente coperti dalla licenza.
Panoramica dei piani Intune
Avere Microsoft Intune incluso in Microsoft 365 non significa avere automaticamente tutte le funzionalità avanzate disponibili nell’ecosistema Intune. La prima distinzione da fare è tra Intune Plan 1, Intune Plan 2, Intune Suite e i singoli add-on standalone.
- Intune Plan 1 rappresenta la base della gestione endpoint, è il piano che abilita gli scenari principali di gestione dispositivi, applicazioni, configurazioni, compliance e protezione delle app
- Intune Plan 2 e Intune Suite, invece, si innestano sopra questa base e aggiungono funzionalità avanzate (Intune Plan 2 è inoltre incluso in Intune Suite)
Questa distinzione è importante perché una stessa area funzionale può essere disponibile in modi diversi: come add-on standalone, come parte di Intune Suite oppure come capability inclusa in Intune Plan 2. Prima di attivare una trial, acquistare una licenza o pianificare un rollout, conviene quindi verificare quali SKU sono già presenti nel tenant e quali service plan risultano effettivamente assegnati agli utenti.
Piano o add-on | Cosa rappresenta | Quando serve | Note |
|---|---|---|---|
Microsoft Intune Plan 1 | Piano base di Intune per gestione dispositivi, applicazioni, configurazioni, compliance e app protection | Serve per la maggior parte degli scenari MDM e MAM standard | È incluso in diversi piani Microsoft 365 ed EMS, tra cui Microsoft 365 E3/E5, EMS E3/E5 e Microsoft 365 Business Premium |
Microsoft Intune Plan 2 | Add-on di Intune Plan 1 che aggiunge capability avanzate | Serve per scenari come Tunnel for MAM, gestione di dispositivi specializzati e firmware over-the-air, dove supportati | È incluso in Intune Suite; dal 2026 è previsto tra le capability aggiunte a Microsoft 365 E3/E5 commercial eleggibili |
Microsoft Intune Suite | Bundle di funzionalità avanzate sopra Intune Plan 1 | Serve quando si vogliono adottare più funzionalità avanzate in modo coordinato | Richiede Intune Plan 1; include Intune Plan 2 e altre soluzioni avanzate di gestione e sicurezza endpoint |
Remote Help | Add-on standalone oppure componente di Intune Suite | Serve per assistenza remota integrata con Intune, helpdesk e supporto controllato | Richiede abilitazione nel tenant, ruoli adeguati e licenze per gli utenti coinvolti |
Endpoint Privilege Management | Add-on standalone oppure componente di Intune Suite | Serve per ridurre gli amministratori locali permanenti e gestire elevazioni controllate | Richiede policy EPM, regole di elevazione, reporting e governance operativa |
Enterprise Application Management | Add-on standalone oppure componente di Intune Suite | Serve per usare l’Enterprise App Catalog e semplificare la gestione di app Win32 preconfezionate | Riduce parte del lavoro di packaging, ma non elimina test applicativi, controllo versioni e verifica delle licenze software |
Microsoft Cloud PKI | Add-on standalone oppure componente di Intune Suite | Serve per gestire dal cloud il ciclo di vita dei certificati per scenari come Wi-Fi, VPN e autenticazione utente/dispositivo | Richiede progettazione PKI, catena di trust, profili certificato e verifica dei sistemi che consumano i certificati |
Advanced Analytics | Add-on standalone oppure componente di Intune Suite | Serve per insight avanzati su endpoint experience, performance, anomalie e device query | Richiede prerequisiti di raccolta dati e tempo di popolamento delle informazioni |
Tunnel for MAM | Capability inclusa in Intune Plan 2 e Intune Suite | Serve per accesso VPN applicativo da dispositivi mobili non registrati in Intune | Richiede Microsoft Tunnel gateway e configurazione MAM specifica per iOS/iPadOS e Android |
Specialty device management | Capability inclusa in Intune Plan 2 e Intune Suite | Serve per gestire dispositivi specializzati supportati, come alcuni dispositivi AR/VR, smart screen e meeting room device | Disponibilità e supporto dipendono dal tipo di dispositivo e dal modello di gestione |
Firmware over-the-air updates | Capability inclusa in Intune Plan 2 e Intune Suite | Serve per gestire aggiornamenti firmware su dispositivi supportati | Richiede supporto OEM e, in alcuni scenari, componenti o licenze vendor aggiuntive |
Cosa include Microsoft Intune Suite
Microsoft Intune Suite raccoglie funzionalità che coprono aree diverse: supporto remoto, least privilege, gestione applicativa, analytics, PKI cloud, accesso mobile avanzato e gestione di dispositivi specializzati. Non tutte risolvono lo stesso problema e non tutte richiedono lo stesso livello di progettazione. Le capability della Suite sono esposte nel Microsoft Intune admin center e nella sezione dedicata agli add-on. La disponibilità effettiva dipende da licensing, cloud environment, rollout del tenant e prerequisiti specifici della singola funzionalità.
Componente | Scopo | Scenario tipico | Piattaforme principali | Note e limiti |
|---|---|---|---|---|
Microsoft Intune Remote Help | Assistenza remota integrata con Intune | Helpdesk verso utenti aziendali, sessioni controllate e tracciate | Windows, macOS, Android, con differenze funzionali | Richiede abilitazione tenant, ruoli, app e licenze appropriate |
Endpoint Privilege Management | Elevazione controllata dei privilegi | Ridurre amministratori locali permanenti | Windows | Richiede regole di elevazione e modello operativo chiaro |
Advanced Analytics | Analisi avanzata dell’esperienza endpoint | Performance, anomalie, timeline, device query | Principalmente Windows, con alcune capability multi-piattaforma | Richiede raccolta dati e prerequisiti di piattaforma |
Enterprise Application Management | Catalogo app enterprise preconfezionate | Distribuzione e aggiornamento app Win32 | Windows | Non sostituisce il testing applicativo del cliente |
Microsoft Cloud PKI | PKI cloud gestita da Intune | Certificati per Wi-Fi, VPN, identità dispositivo/utente | Windows, Android, iOS/iPadOS, macOS | Non elimina la necessità di progettare trust e profili certificato |
Microsoft Tunnel for Mobile Application Management | Accesso VPN per app mobili su device non enrolled | BYOD Android/iOS con MAM | Android, iOS/iPadOS | Richiede Microsoft Tunnel gateway e app/policy compatibili |
Specialty device management | Gestione di dispositivi specializzati | AR/VR, large smart-screen, alcuni meeting room device | Dipende dal device | Richiede verifica del tipo dispositivo e licenza applicabile |
Firmware over-the-air updates | Aggiornamento firmware remoto per device supportati | Zebra, Samsung e altri scenari OEM supportati | Android Enterprise supportato da OEM specifici | Richiede supporto OEM e, in alcuni casi, licenze vendor aggiuntive |
Microsoft Intune Remote Help
Remote Help è la funzionalità pensata per integrare l’assistenza remota nel modello di gestione di Intune. Permette agli operatori di supporto di aiutare gli utenti da remoto, mantenendo il controllo attraverso identità aziendale, ruoli amministrativi, autorizzazioni granulari e tracciabilità delle sessioni.
Il valore principale non è semplicemente collegarsi a un pc, ma portare il supporto remoto dentro un perimetro governato. L’operatore che fornisce assistenza e l’utente che la riceve operano all’interno del tenant aziendale, con autenticazione tramite Microsoft Entra ID e permessi definiti tramite RBAC. Questo consente di distinguere chi può solo visualizzare lo schermo, chi può prendere il controllo completo e chi può gestire scenari più avanzati, come l’elevazione dei privilegi durante una sessione di supporto.
Remote Help può essere utile nei team helpdesk di primo e secondo livello, soprattutto quando l’azienda vuole ridurre l’uso di strumenti remoti esterni, sessioni poco tracciabili o procedure non uniformi. È particolarmente interessante negli ambienti dove Intune è già il punto centrale per la gestione dei dispositivi e dove il supporto deve spesso verificare configurazioni, problemi applicativi, errori di enrollment o comportamenti anomali segnalati dagli utenti. La funzionalità supporta più piattaforme, ma le capacità disponibili non sono identiche per tutti i sistemi operativi. Windows, macOS, Android e Web App hanno livelli di supporto differenti, quindi prima di adottarla come soluzione standard conviene verificare quali scenari sono realmente coperti nel proprio ambiente.
Un punto da valutare con attenzione è il supporto ai dispositivi non registrati in Intune. Remote Help può essere configurato anche per consentire assistenza verso dispositivi non enrolled, ma questa scelta deve essere coerente con il modello di sicurezza aziendale. Un dispositivo non gestito offre meno informazioni di contesto rispetto a un device enrolled, soprattutto su compliance, configurazioni applicate e stato di gestione. Operativamente, Remote Help è disabilitato di default e va abilitato dal portale Intune. Il percorso è Tenant administration > Remote Help. Da qui si abilita il servizio nella tab Settings > Configure.
Importante: prima del rollout, conviene definire chiaramente chi può fornire assistenza, quali permessi assegnare ai diversi livelli di supporto, se consentire l’elevazione, se includere dispositivi non enrolled e come monitorare l’utilizzo del servizio. La licenza abilita la funzionalità, ma il valore reale dipende dal processo operativo costruito attorno a Remote Help.
Endpoint Privilege Management
Endpoint Privilege Management, spesso abbreviato in EPM, è la funzionalità di Microsoft Intune pensata per ridurre l’uso di account amministrativi locali permanenti sui dispositivi Windows. L’obiettivo è consentire agli utenti standard di eseguire attività che richiedono privilegi elevati, ma solo quando serve, solo per ciò che è stato autorizzato e con un livello di controllo più alto rispetto al modello utente local admin.
In molti ambienti aziendali la presenza di utenti amministratori locali nasce da esigenze operative concrete, come installare un componente, aggiornare un tool, eseguire un’applicazione amministrativa, modificare una configurazione o completare un’attività richiesta dal supporto. Il problema è che il privilegio permanente è difficile da governare, espone maggiormente il dispositivo e rende più complesso applicare un modello least privilege solido.
Con EPM, le elevazioni vengono gestite tramite policy e regole. Le regole possono identificare un file in base a elementi come nome, path, hash, certificato publisher e proprietà del file. A seconda dello scenario, l’elevazione può essere automatica, confermata dall’utente, approvata dal supporto oppure negata. Microsoft prevede anche l’elevazione come utente corrente, utile per applicazioni che devono mantenere accesso al profilo utente, alle variabili d’ambiente o ad altri elementi legati alla sessione dell’utente connesso. Nella maggior parte degli altri casi, EPM utilizza invece un account virtuale per isolare l’azione elevata dal profilo dell’utente.
La sezione dedicata a EPM si trova in Endpoint security > Endpoint Privilege Management. Da qui è possibile accedere alla vista di sintesi, ai report, alle policy, alle impostazioni riutilizzabili e alle richieste di elevazione. La dashboard è utile soprattutto per capire quante elevazioni sono già gestite, quante avvengono ancora fuori controllo e quali file vengono più spesso elevati, approvati o negati.
EPM è particolarmente interessante quando l’aziendae vuole rimuovere gli utenti dal gruppo Administrators locale, ma non può ignorare le esigenze operative quotidiane. In questo senso, non è solo una funzionalità di sicurezza: è anche uno strumento di transizione. Permette di passare da un modello permissivo, basato su privilegi permanenti, a un modello più controllato, basato su eccezioni autorizzate, audit e regole mirate.
Il valore della funzionalità dipende molto dalla qualità delle regole definite. Regole troppo ampie, ad esempio basate su path generici o su file facilmente sostituibili, rischiano di indebolire il modello di controllo. Al contrario, regole basate su publisher attendibili, hash, proprietà del file e casi d’uso realmente validati consentono di gestire le elevazioni in modo più sicuro e prevedibile.
Un approccio corretto parte dall’analisi delle esigenze: quali applicazioni richiedono privilegi elevati, quali attività vengono richieste più spesso al service desk, quali installer sono approvati, quali tool sono usati dai team tecnici e quali elevazioni devono invece rimanere bloccate. Solo dopo questa fase ha senso definire regole automatiche o support-approved. Le elevazioni automatiche sono comode, ma vanno riservate a processi standardizzati e verificati; per gli scenari meno consolidati è spesso preferibile partire con elevazioni confermate dall’utente o approvate dal supporto.
EPM richiede anche attenzione lato compatibilità. Se nel tenant sono presenti policy di App Control for Business, WDAC o altre soluzioni di application control, bisogna verificare che i componenti di EPM e i flussi di elevazione siano consentiti. Inoltre, EPM non supporta scenari in cui UAC è stato disabilitato esplicitamente, e Administrator Protection può interferire con le elevazioni gestite da EPM.
Endpoint Privilege Management è una delle funzionalità più rilevanti della Suite quando l’obiettivo è ridurre i privilegi permanenti senza bloccare l’operatività degli utenti.
Enterprise Application Management
Enterprise Application Management è la funzionalità di Microsoft Intune che introduce l’Enterprise App Catalog, un catalogo di applicazioni Win32 già predisposte per la distribuzione tramite Intune. L’obiettivo è ridurre parte del lavoro manuale richiesto nella preparazione dei package applicativi, mettendo a disposizione app già catalogate con informazioni come metadati, comandi di installazione e disinstallazione, requisiti e detection rule precompilate.
Questa funzionalità è utile soprattutto negli ambienti dove la gestione delle applicazioni di terze parti richiede molto tempo: download degli installer, preparazione del package, definizione dei parametri di installazione silenziosa, creazione delle detection rule, aggiornamento delle versioni e gestione della supersedence. Con Enterprise Application Management, una parte di queste informazioni viene già proposta dal catalogo, riducendo il lavoro ripetitivo dell’amministratore.
Questo però non significa che l’applicazione possa essere distribuita senza controllo. L’amministratore deve comunque validare il comportamento dell’installer, verificare le assegnazioni, testare l’app sui gruppi pilota, controllare eventuali dipendenze e assicurarsi che la versione proposta sia coerente con gli standard aziendali. Il catalogo semplifica la preparazione tecnica dell’app, ma non sostituisce il processo di test e approvazione interna.
Le applicazioni dell’Enterprise App Catalog vengono gestite come app Win32 e distribuite tramite Intune Management Extension. Nel portale, durante la creazione di una nuova app Windows, è possibile selezionare il tipo Enterprise App Catalog app (Win32) e cercare l’applicazione desiderata all’interno del catalogo.
Enterprise Application Management è utile anche nella gestione degli aggiornamenti. Quando per un’app del catalogo è disponibile una versione più recente, Intune può aiutare a creare una nuova app e a gestire la relazione di supersedence con la versione precedente. Questo consente di governare meglio il ciclo di vita applicativo, soprattutto per software diffusi su molti dispositivi. È importante però non confondere questa funzionalità con un meccanismo universale di aggiornamento automatico per qualsiasi applicazione. Le app self-updating possono continuare ad aggiornarsi tramite il proprio meccanismo nativo, mentre per le app gestite tramite Intune resta necessario definire assegnazioni, gruppi pilota, criteri di rollout e verifiche post-deployment.
Enterprise Application Management è interessante quando l’obiettivo è ridurre il lavoro manuale di packaging e rendere più ordinata la gestione delle applicazioni Win32 di terze parti. Il valore è maggiore nei tenant dove esiste già un processo strutturato di application lifecycle management, con test, gruppi pilota, supersedence, controllo versioni e responsabilità chiare tra team endpoint, application owner e security.
Advanced Analytics
Advanced Analytics estende le funzionalità di Endpoint analytics con report e strumenti pensati per analizzare in modo più approfondito l’esperienza dei dispositivi gestiti. Endpoint analytics fornisce già indicatori utili su startup performance, restart frequency, affidabilità applicativa e user experience; Advanced Analytics aggiunge viste più dettagliate su performance, batteria, anomalie, timeline del dispositivo e interrogazioni quasi in tempo reale tramite Device query.
Il valore principale è la possibilità di passare da una gestione puramente reattiva, basata sul ticket dell’utente, a un’analisi più strutturata dei problemi ricorrenti. Resource performance, ad esempio, aiuta a individuare dispositivi o modelli hardware con criticità legate a CPU e memoria. Battery health consente di valutare lo stato delle batterie sui dispositivi Windows portatili. Anomaly detection aiuta a identificare regressioni nell’esperienza utente dopo modifiche di configurazione, aggiornamenti o rollout applicativi.
Una delle capability più utili è Device query, che consente di interrogare rapidamente informazioni sullo stato e sulla configurazione di un dispositivo Windows direttamente dal portale Intune. Questo può essere utile quando serve verificare un dettaglio tecnico senza distribuire script, raccogliere log manualmente o attendere un ciclo di inventory tradizionale.
Un’altra funzionalità interessante è Device timeline, che mostra una sequenza di eventi relativi a un dispositivo, come avvii, accessi utente, crash applicativi, app non rispondenti e anomalie rilevate. Questa vista è utile durante il troubleshooting perché consente di correlare eventi tecnici, azioni dell’utente e cambiamenti recenti sul dispositivo. Nei tenant con Advanced Analytics, la scheda Device timeline sostituisce la vista Application reliability nel dettaglio del device.
Advanced Analytics non sostituisce gli strumenti di monitoring, security investigation o log analytics già presenti in azienda. Va considerato come un livello di osservabilità integrato in Intune, utile per i team endpoint che devono analizzare performance, stabilità e user experience senza uscire dal contesto di gestione dei dispositivi.
Microsoft Cloud PKI
Microsoft Cloud PKI consente di gestire una PKI privata direttamente da Microsoft Intune, con l’obiettivo di semplificare l’emissione dei certificati verso i dispositivi gestiti. È una funzionalità utile negli ambienti in cui i certificati sono necessari per scenari come Wi-Fi, VPN, autenticazione utente o dispositivo e accesso a risorse aziendali, ma dove si vuole ridurre la dipendenza da componenti on-premises come NDES, Intune Certificate Connector o infrastrutture proxy dedicate.
La funzionalità supporta due modelli principali. Il primo prevede la creazione di una root CA e di una issuing CA gestite nel cloud, private per il tenant Intune. Il secondo è il modello Bring Your Own Certification Authority, in cui la issuing CA viene creata nel cloud ma viene ancorata a una CA privata esistente, ad esempio una PKI basata su Active Directory Certificate Services.
Il valore principale di Cloud PKI è la possibilità di gestire il ciclo di vita dei certificati in modo più integrato con Intune. La issuing CA cloud può emettere certificati ai dispositivi gestiti tramite profili SCEP, senza richiedere la pubblicazione di un’infrastruttura NDES dedicata per questo specifico scenario. Questo può semplificare molto l’architettura, soprattutto nei tenant che stanno riducendo la dipendenza da componenti on-premises.
Cloud PKI supporta Windows, Android, iOS/iPadOS e macOS, ma richiede che i dispositivi siano gestiti da Intune e che lo scenario certificati sia compatibile con i profili SCEP. Il fatto che la CA sia gestita dal cloud non elimina quindi la necessità di progettare correttamente profili certificato, catena di trust, criteri di validità, soggetto del certificato, EKU e sistemi che dovranno considerare attendibili quei certificati.
Un punto importante riguarda i relying party, cioè i servizi che useranno i certificati emessi dalla Cloud PKI. VPN server, controller Wi-Fi, servizi applicativi o altri sistemi di autenticazione devono fidarsi della CA che emette i certificati. Per questo motivo, anche in uno scenario cloud, la progettazione della trust chain resta un passaggio fondamentale. Cloud PKI non va quindi interpretata come un sostituto universale di AD CS in ogni scenario. È molto interessante per semplificare la distribuzione di certificati verso dispositivi gestiti da Intune, ma non elimina la necessità di una progettazione PKI coerente. Prima di adottarla, conviene verificare casi d’uso, piattaforme coinvolte, requisiti dei servizi che validano i certificati e compatibilità con l’architettura esistente.
Microsoft Tunnel for Mobile Application Management
Microsoft Tunnel for Mobile Application Management estende Microsoft Tunnel agli scenari MAM, consentendo l’accesso sicuro ad applicazioni e risorse interne da dispositivi iOS/iPadOS e Android non registrati in Intune. È una funzionalità particolarmente utile nei modelli BYOD, dove l’azienda vuole proteggere l’accesso applicativo senza gestire l’intero dispositivo personale dell’utente. Microsoft indica Tunnel for MAM come funzionalità disponibile con Intune Plan 2 o Intune Suite. (learn.microsoft.com)
La differenza rispetto al Microsoft Tunnel tradizionale è il perimetro di gestione. Nel modello MDM, il tunnel viene configurato sul dispositivo registrato e gestito da Intune. Con Tunnel for MAM, invece, il controllo viene applicato all’app protetta e alla relativa app protection policy. Questo consente di mantenere separati il contesto personale e quello aziendale, limitando l’intervento dell’azienda alle applicazioni e ai dati di lavoro.
Scenario | Microsoft Tunnel per dispositivi enrolled | Microsoft Tunnel for MAM |
|---|---|---|
Tipo di dispositivo | Dispositivo registrato e gestito da Intune | Dispositivo non registrato in Intune |
Modello di gestione | MDM | MAM |
Perimetro di controllo | Dispositivo e configurazioni gestite | Applicazione protetta e dati aziendali |
Scenario tipico | Device aziendale o BYOD enrolled | BYOD non enrolled |
Piattaforme principali | In base al supporto Microsoft Tunnel | Android e iOS/iPadOS |
Esperienza utente | Tunnel configurato a livello dispositivo | Tunnel usato dall’app protetta |
Caso d’uso | Accesso sicuro da device gestiti | Accesso sicuro da app aziendali su device personali |
Il prerequisito principale è avere già distribuito un Microsoft Tunnel Gateway. Tunnel for MAM non elimina quindi la parte infrastrutturale del servizio: estende un gateway Microsoft Tunnel esistente per supportare dispositivi mobili non enrolled. I prerequisiti del gateway includono server Linux, configurazioni di rete, firewall, proxy e connettività verso gli endpoint Microsoft richiesti.
Novità licensing per il 2026: cosa cambia per Microsoft 365 E3 ed E5
Microsoft ha annunciato l’aggiunta di alcune funzionalità avanzate Intune a Microsoft 365 E3 e Microsoft 365 E5. Questo però non significa che Microsoft Intune Suite venga inclusa integralmente e allo stesso modo in entrambi i piani. Per Microsoft 365 E3 vengono indicate Intune Remote Help, Intune Advanced Analytics e Intune Plan 2. Per Microsoft 365 E5 vengono indicate anche Endpoint Privilege Management, Enterprise Application Management e Microsoft Cloud PKI. Le modifiche di list price indicate nell’annuncio decorrono dal 1° luglio 2026.
Funzionalità | Prima del cambiamento | Microsoft 365 E3 nel 2026 | Microsoft 365 E5 nel 2026 | Note |
|---|---|---|---|---|
Remote Help | Add-on standalone o parte di Intune Suite | Prevista tra le capability aggiunte | Prevista, in quanto E5 include anche le aggiunte E3 | Verificare rollout, service plan e cloud environment |
Advanced Analytics | Add-on standalone o parte di Intune Suite | Prevista tra le capability aggiunte | Prevista, in quanto E5 include anche le aggiunte E3 | Richiede prerequisiti e popolamento dati |
Intune Plan 2 | Add-on sopra Plan 1, incluso in Intune Suite | Previsto tra le capability aggiunte | Previsto, in quanto E5 include anche le aggiunte E3 | Include capability come Tunnel for MAM, specialty device management e FOTA, dove supportate |
Tunnel for MAM | Capability Intune Plan 2/Suite | Da verificare come parte del perimetro Plan 2 assegnato al tenant | Da verificare come parte del perimetro Plan 2 assegnato al tenant | Richiede Microsoft Tunnel gateway e policy MAM |
Specialty device management | Capability Intune Plan 2/Suite | Da verificare come parte del perimetro Plan 2 assegnato al tenant | Da verificare come parte del perimetro Plan 2 assegnato al tenant | Dipende dal tipo dispositivo e dal modello di licensing applicabile |
Endpoint Privilege Management | Add-on standalone o parte di Intune Suite | Non indicato tra le aggiunte Microsoft 365 E3 commercial standard | Previsto tra le capability aggiunte | Non assumere disponibilità in E3 senza verifica contrattuale |
Enterprise Application Management | Add-on standalone o parte di Intune Suite | Non indicato tra le aggiunte Microsoft 365 E3 commercial standard | Previsto tra le capability aggiunte | Il cliente resta responsabile di testing e licensing applicativo |
Microsoft Cloud PKI | Add-on standalone o parte di Intune Suite | Non indicato tra le aggiunte Microsoft 365 E3 commercial standard | Previsto tra le capability aggiunte |
|
Attenzione anche al perimetro dei piani: le informazioni pubblicate fanno riferimento a specifiche offerte Microsoft 365 e alle condizioni indicate da Microsoft per il 2026. Non bisogna estendere automaticamente lo stesso ragionamento a Business Premium, Frontline, Education, Government, sovereign cloud o contratti speciali, salvo verifica esplicita. Alcuni ambienti possono avere disponibilità, tempi di rollout, SKU e diritti d’uso differenti. Per questo motivo, la verifica va sempre fatta su più livelli: licenze disponibili nel Microsoft 365 admin center, service plan assegnati agli utenti, condizioni contrattuali, eventuali comunicazioni ricevute nel Message Center e confronto con il licensing specialist o il partner di riferimento.
Attenzione: questo articolo non sostituisce una consulenza licensing formale. L’obiettivo è chiarire il modello, evitare interpretazioni troppo semplificate e fornire una base tecnica per valutare correttamente Intune Suite, gli add-on e le novità previste nel 2026.
Come attivare una trial di Intune Suite
Prima di acquistare Microsoft Intune Suite, o uno dei singoli add-on, può essere utile attivare una trial nel tenant e validare le funzionalità su un gruppo pilota. Questo passaggio è particolarmente utile negli ambienti enterprise, perché consente di verificare non solo la disponibilità della licenza, ma anche il comportamento reale delle singole capability nel proprio tenant.
La trial può essere avviata partendo dalla sezione dedicata agli add-on nel Microsoft Intune admin center. In alcuni tenant, però, l’attivazione vera e propria viene completata dal Microsoft 365 admin center, nella parte di Marketplace, billing e acquisto licenze. Il percorso può quindi variare leggermente in base al tenant, alle licenze già presenti e all’esperienza del portale disponibile in quel momento.
Accedete al Microsoft Intune admin center con un account che disponga dei privilegi necessari per gestire trial, acquisti o componenti aggiuntivi. Per questa attività, in genere, servono ruoli come Global Administrator o Billing Administrator. Un amministratore Intune può configurare molte impostazioni operative, ma non è detto che abbia anche i permessi necessari per avviare una trial o acquistare un add-on.
Dal portale Intune andate in Tenant administration e aprite la sezione Intune add-ons; in questa schermata vengono mostrati gli add-on Intune disponibili per il tenant. Selezionate Microsoft Intune Suite > View details per aprire la pagina di dettaglio della Suite.
Nella schermata Microsoft Intune Suite details viene mostrato lo stato della Suite nel tenant e, se disponibile, il collegamento per procedere con la trial o con l’acquisto. Nel nostro caso, per completare l’attivazione, il portale mostra il collegamento To try or buy, go to Microsoft 365 admin center. Facendo clic su questo collegamento si viene reindirizzati al Marketplace del Microsoft 365 admin center.
Una volta arrivati nel catalogo del Marketplace, cercate Intune Suite usando la barra di ricerca e premete Invio. La ricerca può richiedere qualche secondo.
Al termine della ricerca, tra i risultati verrà mostrata la voce Microsoft Intune Suite. Aprite il dettaglio del prodotto facendo clic su Dettagli.
A questo punto, dal menu Seleziona un piano, selezioniamo il piano di trial Microsoft Intune Suite for FLW (Versione di valutazione). Si aprirà sulla destra un breve wizard per completare la transazione. Durante questa fase potete utilizzare un account di fatturazione già esistente oppure crearne uno nuovo, in base alla configurazione del tenant e agli account di fatturazione disponibili. Una volta completata la selezione, procedete facendo clic su Avanti.
Successivamente, il portale richiederà di scegliere le impostazioni di rinnovo della versione di valutazione. In questa schermata vengono mostrate informazioni come la quantità di licenze, la durata dell’abbonamento e la frequenza di fatturazione. Una volta verificati i dati, scorrete fino in fondo alla pagina e procedete con Effettua ordine.
Se invece volete solamente provare la trial senza prevedere il rinnovo alla scadenza, nella schermata precedente relativa alle impostazioni di rinnovo della versione di valutazione selezionate No, annulla alla scadenza e procedete con Avvia versione di valutazione.
A questo punto il portale avvierà l’attivazione della trial. L’operazione può richiedere qualche istante.
Una volta completato l’ordine, verrà visualizzato un messaggio di conferma che indica che la versione di valutazione di Microsoft Intune Suite è stata aggiunta al tenant.
Come assegnare le licenze agli utenti
Dopo aver attivato Microsoft Intune Suite, o uno dei singoli add-on, il passaggio successivo è assegnare la licenza agli utenti che devono utilizzare o beneficiare della funzionalità. Le licenze Intune Suite e gli add-on Intune sono normalmente gestiti come licenze per utente, questo significa che non basta attivare la trial o acquistare la licenza a livello tenant, ma gli utenti interessati devono ricevere il relativo entitlement, esattamente come avviene per le altre licenze Microsoft 365.
Attenzione: se dovete assegnare la licenza a pochi utenti, ad esempio per una validazione iniziale o per un test molto limitato, potete seguire il normale flusso di assegnazione licenza dal Microsoft 365 admin center, selezionando direttamente gli utenti interessati. Se invece volete gestire l’assegnazione in modo più ordinato e scalabile, soprattutto in ottica pilota o rollout progressivo, è preferibile creare un gruppo dedicato, assegnare la licenza al gruppo e aggiungere successivamente gli utenti al gruppo stesso. Questo approccio è più pulito, più facile da controllare e riduce il rischio di assegnazioni manuali difficili da tracciare nel tempo.
Per una gestione più strutturata, suggerisco la creazione di un gruppo dedicato per l’assegnazione delle licenze; vediamo come fare. Nel Microsoft Entra admin center selezioniamo Groups e poi New group.
Nella pagina che si apre impostiamo Group type su Security, assegniamo un valore a Group name (ad esempio LIC-IntuneSuite-Pilot) e, se necessario, aggiungiamo una descrizione. In Membership type selezioniamo Assigned, quindi facciamo clic su No member selected per aggiungere membri al gruppo. Si aprirà il wizard Add members, dal quale è possibile cercare e selezionare i membri da aggiungere al gruppo che stiamo creando. Una volta fatto, facciamo click su Select.
Concludiamo la creazione del gruppo facendo click su Create.
Una volta creato il gruppo, accediamo al Microsoft 365 admin center e navighiamo in Fatturazione > Licenze, da qui selezioniamo la licenza di Microsoft Intune Suite
Nella pagina di overview della licenza Microsoft Intune Suite facciamo click su Assegna le licenze. Nel wizard di assegnazione licenze che si aprirà sulla destra, inseriamo il gruppo che abbiamo creato in precedenza (nel mio caso LIC-IntuneSuite-Pilot), selezioniamo le app e i servizi da includere (nel mio caso, tutti) e concludiamo facendo click su Assegna licenze.
Terminata la procedura, verremo avvisati che è in corso l’assegnazione delle licenze.
Dopo qualche istante, il contatore delle licenze assegnate aumenterà in base a quelle assegnate agli utenti (nel mio caso, solo 1).
Strategia di adozione: da dove partire
Intune Suite non va affrontata come un pacchetto da attivare in blocco. Ogni componente risponde a un’esigenza diversa e richiede un modello operativo differente. La scelta migliore è partire dal problema aziendale, non dalla licenza.
Esigenza aziendale | Componente Intune Suite da valutare | Valore atteso | Prerequisiti – punti di attenzione |
|---|---|---|---|
Migliorare il supporto remoto agli utenti | Remote Help | Assistenza integrata, RBAC, tracciabilità sessioni | Ruoli helpdesk, app Remote Help, licensing helper/sharer |
Ridurre amministratori locali permanenti | Endpoint Privilege Management | Least privilege, elevazioni controllate, audit | Mappatura use case, regole sicure, test con applicazioni reali |
Ridurre packaging manuale e gestire versioni app | Enterprise Application Management | Catalogo app, detection precompilate, supersedence guidata | Testing applicativo, licenze vendor, gruppi pilota |
Semplificare certificati per Wi-Fi/VPN | Microsoft Cloud PKI | CA cloud, SCEP integrato, riduzione dipendenze on-prem | Progettazione PKI, trust chain, relying party |
Analizzare performance e anomalie endpoint | Advanced Analytics | Insight su device, anomalie e user experience | Prerequisiti dati, tempo di popolamento, processo di analisi |
Gestire accesso mobile BYOD non enrolled | Tunnel for MAM | VPN applicativa con MAM su iOS/Android | Microsoft Tunnel gateway, app compatibili, policy MAM |
Gestire device specializzati o firmware | Intune Plan 2 / FOTA / Specialty devices | Gestione scenari non standard | Supporto OEM, licensing vendor, verifica device |
Un percorso realistico può partire da Remote Help se l’azienda ha un’esigenza immediata di supporto remoto integrato. EPM è spesso il secondo candidato, soprattutto nei tenant dove esistono ancora troppi utenti local admin. Enterprise Application Management è interessante quando il problema principale è il tempo speso nel packaging e nell’aggiornamento delle applicazioni di terze parti. Cloud PKI va valutato quando la distribuzione certificati è complessa o troppo dipendente da componenti on-premises. Advanced Analytics ha senso quando esiste un processo per usare davvero gli insight raccolti, non solo per visualizzare dashboard. Tunnel for MAM è invece molto specifico per scenari mobile BYOD non enrolled.
Limiti e punti di attenzione
Microsoft Intune Suite va valutata con attenzione, soprattutto in ambienti enterprise dove licensing, ruoli amministrativi, gruppi di assegnazione e prerequisiti tecnici possono variare molto tra reparti, utenti e tipologie di dispositivo.
Il primo punto riguarda il licensing: come anticipato in precedenza, nel 2026 Microsoft aggiunge alcune funzionalità avanzate Intune a Microsoft 365 E3 e Microsoft 365 E5 (vedi capitolo Novità per il licensing 2026).
Un secondo aspetto riguarda la configurazione delle singole funzionalità. Assegnare la licenza non equivale ad abilitare operativamente tutti i servizi:
- Remote Help deve essere abilitato e governato tramite ruoli
- Endpoint Privilege Management richiede policy e regole di elevazione
- Cloud PKI richiede CA, profili trusted certificate e profili SCEP
- Tunnel for MAM richiede Microsoft Tunnel Gateway, app compatibili e policy MAM
- Enterprise Application Management richiede test applicativi, assegnazioni e gestione del ciclo di vita
- Advanced Analytics richiede prerequisiti di raccolta dati e tempo di popolamento
Nei tenant misti bisogna prestare ulteriore attenzione: se convivono utenti con Microsoft 365 E3, Microsoft 365 E5, EMS, Intune Suite o add-on standalone, è necessario separare bene i gruppi di licensing dai gruppi di assegnazione delle policy. Applicare una policy a utenti o dispositivi non coperti dal corretto entitlement può creare problemi di compliance licensing e rendere più complesso il supporto.
Va poi verificata la disponibilità delle funzionalità nel proprio cloud environment. Le informazioni pubbliche fanno spesso riferimento ai tenant commercial standard, mentre ambienti Government, GCC High, DoD, sovereign cloud, Education, Frontline o contratti speciali possono avere disponibilità, SKU, tempi di rollout e diritti d’uso differenti. Prima di pianificare un rollout è quindi necessario controllare il tenant, il Microsoft 365 admin center, eventuali comunicazioni nel Message Center e le condizioni contrattuali applicabili.
Infine, non conviene abilitare tutte le funzionalità insieme: ogni componente della Suite risolve un problema diverso e introduce prerequisiti diversi. Un approccio più solido prevede un POC limitato, gruppi pilota separati, obiettivi misurabili e una verifica del valore prima di estendere la configurazione a una platea più ampia. In questo modo la Suite viene adottata come estensione controllata del modello endpoint, non come semplice pacchetto di funzionalità da accendere nel tenant.
Conclusioni
Microsoft Intune Suite non va considerata semplicemente come una licenza aggiuntiva da assegnare agli utenti, ma come un’estensione avanzata del modello di gestione endpoint basato su Intune. Il cambiamento licensing previsto nel 2026 rende il tema ancora più rilevante, soprattutto per le aziende che utilizzano Microsoft 365 E3 o Microsoft 365 E5. Il valore della Suite emerge quando le funzionalità vengono scelte in base a problemi reali, non attivate tutte insieme solo perché disponibili. Prima di acquistare, avviare una trial o attendere le novità licensing del 2026, conviene fare un assessment del tenant: licenze già presenti, service plan attivi, gruppi coinvolti, scenari prioritari, prerequisiti tecnici e processi operativi.
Un’adozione efficace parte da pochi casi d’uso chiari, gruppi pilota ben definiti e una verifica puntuale dei risultati. Solo dopo aver misurato il valore di una singola capability ha senso estendere il perimetro o passare alla successiva. In questo modo Intune Suite diventa uno strumento concreto per rafforzare endpoint management, sicurezza e supporto operativo, non solo un insieme di funzionalità abilitate nel tenant.
