Il 73% dei dipendenti italiani usa il proprio smartphone per lavoro, ma solo il 28% delle PMI ha una policy MDM attiva (fonte: Osservatorio Smart Working, Politecnico di Milano 2025). BullTech Informatica, MSP dal 2009, configura e gestisce MDM per aziende da 10 a 500 dispositivi. Ecco tutto quello che devi sapere per gestire smartphone, tablet e laptop aziendali senza diventare matto.
Cos'è il Mobile Device Management e perché non puoi più ignorarlo
MDM sta per Mobile Device Management: è un software che ti permette di gestire, proteggere e monitorare tutti i dispositivi mobili che accedono ai dati aziendali. Smartphone, tablet, laptop — aziendali o personali. Da una console centralizzata puoi configurare email, Wi-Fi, VPN, distribuire app, applicare policy di sicurezza e, se un dispositivo viene perso o rubato, cancellare i dati da remoto con un click.
Perché ti serve? Perché i tuoi dipendenti accedono all'email aziendale dal telefono personale. Aprono file SharePoint dal tablet. Collegano il laptop al Wi-Fi dell'hotel. E se uno di questi dispositivi viene compromesso, i dati aziendali finiscono in mano a chi non dovrebbe averli. Senza MDM, non hai visibilità e non hai controllo. È come lasciare le chiavi dell'ufficio sotto lo zerbino — tecnicamente funziona, ma non è il massimo della sicurezza.
BYOD vs COPE vs COBO: quale modello scegliere
Prima di scegliere il tool, devi decidere il modello di gestione dei dispositivi. Ce ne sono tre, e ognuno ha pro e contro concreti.
| Modello | Significato | Pro | Contro | Ideale per |
|---|---|---|---|---|
| BYOD | Bring Your Own Device | Zero costi hardware, dipendenti soddisfatti | Meno controllo, privacy complessa | PMI <30 dipendenti, budget limitato |
| COPE | Corporate Owned, Personally Enabled | Controllo totale, uso personale consentito | Costi hardware, gestione flotta | PMI 30-200 dipendenti |
| COBO | Corporate Owned, Business Only | Massimo controllo, nessuna commistione | Doppio telefono per i dipendenti | Settori regolamentati (finance, sanità) |
Il consiglio pratico per la maggior parte delle PMI: BYOD con work profile per smartphone (Android Enterprise o Apple User Enrollment) e COPE per laptop. In questo modo i dipendenti usano il loro telefono senza sentirsi spiati, ma i dati aziendali restano in un container separato e controllato. I laptop, che contengono più dati sensibili, restano di proprietà aziendale.
Le migliori soluzioni MDM per PMI
Microsoft Intune
Se la tua azienda usa Microsoft 365, Intune è la scelta naturale — e spesso è già incluso nella licenza. Intune gestisce Windows, macOS, iOS, iPadOS e Android da un'unica console (Microsoft Endpoint Manager). Punti di forza: integrazione perfetta con Entra ID e Defender, Autopilot per il provisioning zero-touch dei laptop Windows, conditional access (blocca i device non conformi). Costo: incluso in M365 Business Premium (20,60 €/utente/mese) o standalone a 8,80 €/utente/mese.
VMware Workspace ONE
L'alternativa enterprise a Intune. Ottimo per ambienti multi-piattaforma complessi, con funzionalità avanzate di app management e analytics. Il prezzo parte da 3,78 €/device/mese per la versione Standard. Ha senso se hai un parco dispositivi misto (molti Android diversi, ChromeOS, Linux) o se non sei nell'ecosistema Microsoft. Per la maggior parte delle PMI Microsoft, Intune basta e avanza.
Jamf (solo Apple)
Se la tua azienda usa prevalentemente Mac, iPhone e iPad, Jamf è il re indiscusso. Gestione Apple nativa con funzionalità che nessun altro MDM offre su macOS e iOS. Da 4 USD/device/mese (Jamf Now) a 8 USD/device/mese (Jamf Pro). Il limite: non gestisce Windows. Se hai un mix Apple/Windows, devi usare Jamf + Intune o scegliere solo Intune.
Kandji (solo Apple)
Alternativa più recente a Jamf, con un'interfaccia più moderna e un approccio "compliance-first": definisci lo stato desiderato del dispositivo e Kandji lo mantiene automaticamente. Ottimo per le PMI Apple-first che non hanno un IT team grande. Da 5 USD/device/mese.
Hexnode
Piattaforma MDM multi-OS con ottimo rapporto qualità-prezzo, particolarmente apprezzata per ambienti con device Android misti e kiosk mode. Supporta Android, iOS, macOS, Windows e tvOS. Ideale per aziende che gestiscono dispositivi in modalità chiosco (punto vendita, magazzino, reception). Prezzi: da 1,20 USD/device/mese (Express) a 3,60 USD/device/mese (Enterprise). Non offre l'integrazione nativa con Microsoft 365 di Intune, ma il prezzo è imbattibile per chi non è nell'ecosistema Microsoft.
| Soluzione | Piattaforme | Costo/device/mese (2026) | Punto di forza | Ideale per |
|---|---|---|---|---|
| Microsoft Intune | Windows, macOS, iOS, Android | 0 € (incluso M365 BP) o 8,80 €/utente | Integrazione M365/Entra ID/Defender | PMI Microsoft, qualsiasi dimensione |
| VMware Workspace ONE | Tutti + ChromeOS, Linux | Da 3,78 € | Multi-piattaforma, analytics avanzate | Ambienti multi-piattaforma complessi |
| Jamf Pro | Solo Apple | Da 4-8 USD | Gestione Apple nativa senza pari | Aziende Apple-first |
| Hexnode | Android, iOS, macOS, Windows, tvOS | Da 1,20 USD (Express) a 3,60 USD (Enterprise) | Kiosk mode, ottimo prezzo | Ambienti con device kiosk/POS, budget limitato |
| Kandji | Solo Apple | Da 5 USD | Compliance-first, auto-remediation | PMI Apple senza IT team grande |
BullTech implementa e gestisce Microsoft Intune per la maggior parte delle PMI italiane. Per ambienti Apple-only usiamo Jamf. Per dispositivi kiosk o ambienti misti non-Microsoft, valutiamo Hexnode. Contattaci per una consulenza gratuita.
Cosa puoi fare con un MDM (e cosa no)
Un MDM ben configurato ti permette di:
- Configurare automaticamente email, Wi-Fi e VPN su ogni dispositivo. Il dipendente accende il telefono e tutto funziona già.
- Distribuire app aziendali senza che l'utente debba fare niente. Teams, Outlook, app verticali — tutto installato e configurato automaticamente.
- Applicare policy di sicurezza: PIN obbligatorio, crittografia disco, blocco screenshot nelle app aziendali, impedire copia-incolla dal container aziendale a quello personale.
- Remote wipe: se un dispositivo viene perso o rubato, cancelli i dati aziendali (solo quelli) con un click. Le foto delle vacanze del dipendente restano intatte.
- Gestire gli aggiornamenti: forzi gli update del sistema operativo e delle app, evitando dispositivi con vulnerabilità note.
- Compliance check: il dispositivo che non rispetta le policy (jailbroken, senza PIN, OS troppo vecchio) viene automaticamente bloccato dall'accesso ai dati aziendali.
Cosa un MDM non deve fare (e non fa, se configurato correttamente): leggere messaggi personali, accedere alle foto private, tracciare la posizione 24/7, registrare chiamate. La separazione tra lavoro e vita privata non è solo etica — è un obbligo GDPR.
MDM e GDPR: come essere in regola
Il GDPR impone limiti chiari a cosa puoi monitorare sui dispositivi dei dipendenti, specialmente in scenari BYOD. Ecco le regole d'oro:
- Informativa chiara: il dipendente deve sapere esattamente cosa il MDM può e non può fare. Fornisci un documento scritto, non un'email di 3 righe.
- Minimizzazione dei dati: raccogli solo i dati necessari. La posizione GPS 24/7 non è necessaria per proteggere l'email aziendale.
- Separazione lavoro/personale: usa il work profile (Android Enterprise) o il User Enrollment (Apple). Mai gestione full-device su BYOD.
- Consenso informato: in Italia, il consenso del dipendente non è sufficiente (lo dice il Garante) perché c'è squilibrio di potere. Devi basarti su "legittimo interesse" e documentare la DPIA (Data Protection Impact Assessment).
- Diritto alla disconnessione: non usare il MDM per verificare se il dipendente è "online" fuori orario di lavoro.
Implementazione MDM step-by-step
Fase 1: Pianificazione (giorno 1-2)
Decidi il modello (BYOD, COPE o ibrido). Definisci le policy: quali app sono obbligatorie, quali sono vietate, quali parametri di compliance (PIN minimo, OS minimo, crittografia). Scrivi l'informativa per i dipendenti. Scegli il tool (nella maggior parte dei casi: Intune).
Fase 2: Configurazione (giorno 3-5)
Configura il tenant MDM: profili Wi-Fi aziendali, configurazione email automatica, profili VPN, policy di compliance, conditional access (blocca i device non conformi). Configura l'enrollment automatico: Autopilot per Windows, Apple Business Manager per iOS/macOS, Android Enterprise per Android.
Fase 3: Pilota (settimana 1)
Enrolla 5-10 dispositivi di utenti "amici" — quelli che non si lamentano se qualcosa non funziona. Testa tutto: email, Wi-Fi, app, conditional access, remote wipe (su un dispositivo di test). Raccogli feedback e aggiusta le policy.
Fase 4: Rollout (settimana 2)
Enrolla tutti i dispositivi. Per i laptop aziendali: Autopilot rende il processo automatico (il dipendente accende il PC e in 30 minuti è configurato). Per gli smartphone BYOD: l'utente scarica il Company Portal, segue la procedura guidata in 5 minuti. Fornisci supporto dedicato per i primi giorni — ci saranno domande.
Costi reali del MDM per PMI
Per una PMI con 50 dipendenti e un mix di laptop Windows + smartphone BYOD:
- Se hai già M365 Business Premium: il costo MDM è zero. Intune è incluso. Paghi solo il setup iniziale: 1.500-3.000 € con un MSP.
- Se non hai M365 BP: Intune standalone costa 8,80 €/utente/mese × 50 = 440 €/mese. Più il setup: 1.500-3.000 €.
- Gestione continuativa MSP: 300-800 €/mese per monitoraggio, onboarding/offboarding dispositivi, troubleshooting, aggiornamento policy.
Il ROI? Un singolo smartphone aziendale perso senza MDM può costare migliaia di euro tra data breach notification (obbligo GDPR), impatto reputazionale e costi di remediation. Con il MDM, un click e i dati sono cancellati. Fine della storia.
Come BullTech gestisce il MDM per le PMI
Non ti installiamo Intune e arrivederci. Il nostro servizio di assistenza informatica gestita include: progettazione del modello (BYOD/COPE), configurazione completa del tenant MDM, enrollment di tutti i dispositivi, formazione utenti, gestione quotidiana (onboarding/offboarding, troubleshooting, policy update). Come assistenza informatica a Milano, siamo specializzati in ambienti Microsoft e gestiamo flotte da 10 a 500 dispositivi. Operiamo anche nell'area brianzola: se cerchi assistenza informatica Monza, il nostro team è a pochi minuti dalla tua azienda.
Novità MDM 2026: Cosa Cambia per le PMI
Il mondo MDM non sta fermo, e nel 2026 ci sono cambiamenti concreti che impattano anche le PMI. Vediamoli uno per uno.
Apple Declarative Device Management (DDM)
Con iOS 18 e macOS 15, Apple ha reso il Declarative Device Management il metodo predefinito di gestione. Cosa cambia in pratica? Il dispositivo "sa" quale stato deve avere e si auto-configura, senza aspettare comandi dal server MDM. Risultato: configurazioni più veloci, meno traffico di rete e meno consumo batteria. Se usi Intune o Jamf con device Apple, il DDM è già attivo — non devi fare niente, ma noterai che le policy si applicano in secondi invece che in minuti.
Microsoft Intune Suite
Lanciata a fine 2025 e disponibile da gennaio 2026, la Intune Suite costa 10,30 €/utente/mese (in aggiunta alla licenza Intune base o M365 BP) e include: Tunnel (VPN per app), Advanced Endpoint Analytics, Remote Help (assistenza remota nativa) e soprattutto Copilot per Intune. In pratica, per 10 euro in più a utente hai la VPN aziendale, il supporto remoto e l'AI che ti suggerisce cosa fixare. Per una PMI con 50 utenti sono 515 €/mese — da valutare, ma se stai pagando un tool di assistenza remota separato, potrebbe avere senso consolidare tutto in Intune.
Android 15 Work Profile
Android 15 ha migliorato in modo significativo la separazione tra profilo personale e aziendale. Le novità che contano: controlli granulari su fotocamera e microfono nel work profile (puoi disabilitarli solo per le app aziendali), protezione clipboard migliorata (i dati aziendali non possono essere incollati nelle app personali) e notifiche separate più chiare. Per le PMI con BYOD Android, questo significa privacy migliore per il dipendente e più sicurezza per i dati aziendali. Se il device ha Android 15, Intune applica automaticamente i nuovi controlli.
AI-Powered Compliance con Copilot
Questa è la novità più impattante per chi gestisce dispositivi ogni giorno. Copilot in Intune analizza i device non conformi e suggerisce automaticamente le azioni correttive: "Questo iPhone non ha il PIN attivo, vuoi forzarlo?", "Questo laptop ha BitLocker disabilitato, vuoi un remediation script?". Non devi più controllare report di compliance manualmente — l'AI ti segnala i problemi e ti propone la soluzione. Per le PMI senza un IT team dedicato, è un game changer perché riduce drasticamente il tempo di gestione e gli errori umani.
Zero Trust + MDM: Conditional Access per tutti
Microsoft ha esteso il Conditional Access anche ai piani Essential di Entra ID. In pratica, ora anche le PMI con licenze base possono bloccare l'accesso a email e documenti dai dispositivi non conformi. Il concetto è semplice: se il tuo device non rispetta le policy MDM (niente PIN, OS vecchio, jailbroken), non accedi ai dati aziendali. Punto. Questo rende l'integrazione Zero Trust + MDM accessibile anche alle aziende con budget limitato.
Vuoi gestire i dispositivi della tua azienda?
BullTech configura MDM per PMI con Microsoft Intune in meno di 2 settimane. Se hai già M365 Business Premium, il costo del software è zero. Chiamaci al 039 6099 023 o scrivici.