I 10 migliori software MDM nel 2026

Per anni, scegliere un MDM è stata essenzialmente una questione di «quanti dispositivi ho e quanto mi costa gestirli». Nel 2026 questa domanda non basta più.

L’entrata in vigore della NIS2 ha obbligato migliaia di medie imprese a rispettare livelli di cybersicurezza che prima venivano richiesti solo alle grandi aziende. Tracciabilità degli endpoint, controllo degli accessi, risposta agli incidenti e, soprattutto, la capacità di dimostrarlo con evidenze documentali. A questo si aggiunge il Regolamento Europeo sull’IA, i cui obblighi per i sistemi ad alto rischio entreranno in vigore quest’estate e riguardano da vicino molte funzionalità «intelligenti» che gli MDM già integrano di serie.

In questo articolo analizziamo le migliori soluzioni MDM del 2026 per aiutarti a trovare quella più adatta alla tua azienda, sia in termini di funzionalità che di conformità normativa.

Tabella comparativa: i migliori software MDM

1. Factorial IT

Ideale per: team IT in aziende europee in crescita e medie imprese che gestiscono flotte miste (macOS, Windows, Linux, iOS, Android) e vogliono automatizzare il provisioning e il deprovisioning di endpoint e accessi a partire dalle modifiche nell’HRIS.

Factorial IT combina gestione dei dispositivi, controllo degli accessi SaaS e provisioning del ciclo di vita del dipendente nella stessa piattaforma. Ciò che lo distingue dagli MDM tradizionali non è tanto la gestione dell’endpoint (che c’è comunque), quanto il fatto che il ciclo di vita del dispositivo è collegato all’HRIS fin dall’inizio: quando viene registrata un’assunzione, un cambio di reparto o un’uscita, l’IT può avviare il provisioning o il deprovisioning del dispositivo, delle licenze SaaS e dei permessi di accesso senza dover intervenire su mezza dozzina di sistemi diversi. Dati e supporto in Europa.

Funzionalità MDM principali

• Enrollment zero-touch multipiattaforma: integrazione con Apple Business Manager e Automated Device Enrollment per macOS, iOS e iPadOS. Windows Autopilot per dispositivi Windows. I dispositivi vengono configurati automaticamente al primo avvio con profili, applicazioni e credenziali aziendali già applicati.
• Profili di configurazione: applicazione di policy di sicurezza, restrizioni, certificati, profili Wi-Fi e VPN dalla console. Conformità mappata con framework di sicurezza standard.
• Crittografia del disco con custodia delle chiavi: attivazione e applicazione forzata di FileVault su macOS e BitLocker su Windows, con escrow centralizzato delle chiavi di recupero affinché il team IT possa ripristinare l’accesso senza perdere dati.
• Gestione degli aggiornamenti e delle patch: applicazione forzata degli aggiornamenti del sistema operativo, finestre di manutenzione configurabili e monitoraggio dello stato di patching dell’intera flotta.
• Inventario in tempo reale: visibilità su quali applicazioni sono installate, quali versioni sono in uso, quale hardware possiede ciascun dispositivo e quale stato di conformità presenta, senza dipendere da report programmati.
• Monitoraggio delle vulnerabilità (CVE): correlazione automatica tra il software installato nella flotta e i database pubblici delle vulnerabilità per individuare endpoint esposti a CVE noti.
• Distribuzione delle applicazioni: Apple VPP per macOS e iOS, Managed Google Play per Android e pacchetti MSI/PKG per Windows. Assegnazione basata su gruppi di utenti o dispositivi.
• Comandi remoti: blocco, cancellazione, localizzazione, riavvio ed esecuzione di script personalizzati su macOS, Windows e Linux dalla console.
• Automazione IT-HRIS: l’assunzione, il cambio o l’uscita dall’HRIS attiva il provisioning o il deprovisioning dell’endpoint, delle licenze SaaS e degli accessi aziendali, senza ticket manuali.
• Gestione delle applicazioni SaaS integrata: visibilità e controllo delle licenze SaaS dalla stessa piattaforma che gestisce gli endpoint.
• Piattaforma e dati gestiti dall’Europa: con supporto in orario europeo incluso.

Cosa lo rende diverso

La maggior parte degli MDM tratta il dispositivo come un’entità indipendente dal dipendente che lo utilizza. Factorial IT ribalta questo approccio, dato che l’endpoint è un attributo in più del profilo del dipendente, come la sua email o il suo ruolo. Quando l’HR aggiorna quel profilo, l’IT non riceve un ticket, ma il nuovo stato già applicato sul dispositivo, sulle licenze e sugli accessi. Per un team IT che finora orchestrava manualmente questo ciclo tra tre o quattro console, il cambiamento è operativo, non cosmetico.

Limitazioni

• Non supporta ChromeOS. Se hai Chromebook nella flotta, dovrai integrare con un altro strumento.
• Il catalogo di integrazioni con sistemi di ticketing, SIEM e altri sistemi di terze parti sta crescendo, ma è ancora più ridotto rispetto a quello di Intune o Jamf. Se hai uno stack molto specifico, vale la pena verificare in anticipo quali connettori sono già disponibili.
• Il vero valore emerge quando Factorial IT convive con Factorial HRIS. Come MDM standalone funziona, ma è come comprarsi un Bimby solo per fare il purè di patate.

2. Microsoft Intune

Ideale per: organizzazioni che vivono già all’interno dell’ecosistema Microsoft 365 e vogliono consolidare la gestione degli endpoint senza aggiungere un altro vendor allo stack.

Intune è la soluzione di Microsoft per la gestione unificata degli endpoint e, per qualsiasi azienda con licenze E3 o E5, rappresenta il percorso con meno attrito. La sua forza sta nell’integrazione nativa con Azure AD, Microsoft 365, Defender for Endpoint e Windows Autopilot. Quando questi elementi fanno già parte della tua architettura, Intune si inserisce quasi da solo. Il rovescio della medaglia è che acquisire dimestichezza con la console richiede tempo.

Funzionalità MDM principali

• Windows Autopilot zero-touch: deployment automatizzato su dispositivi Windows con profili di enrollment che configurano il dispositivo al primo avvio senza intervento dell’utente.
• Policy di accesso condizionale con Azure AD: regole che combinano stato del dispositivo, posizione e conformità per consentire o bloccare l’accesso alle risorse aziendali. Ad esempio, un commerciale che tenta di aprire SharePoint da un laptop senza BitLocker attivato riceve l’accesso bloccato finché la crittografia non rispetta la policy.
• Gestione delle applicazioni Win32: pacchettizzazione in formato .intunewin con rilevamento dei requisiti, regole di dipendenza e assegnazione per gruppi di utenti o dispositivi.
• Configuration Service Providers (CSP): l’API dichiarativa che Microsoft espone per applicare impostazioni di Windows da un MDM senza ricorrere alle GPO. Copre praticamente qualsiasi parametro configurabile nel sistema.
• Gestione BitLocker con escrow delle chiavi: attivazione forzata della crittografia del disco con custodia delle chiavi di recupero in Azure AD e report di conformità.
• Update Rings per Windows Update for Business: distribuzione graduale delle patch per anelli di deployment con finestre di manutenzione e scadenze configurabili.
• App Protection Policies per BYOD: protezione dei dati aziendali su dispositivi personali senza necessità di enrollment completo del dispositivo.
• Rimedi proattivi: script PowerShell che rilevano e correggono automaticamente le deviazioni di configurazione senza intervento manuale.
• Supporto multi-OS: gestione di dispositivi Windows, macOS, iOS, Android e Linux da un’unica console.
• Piano 1 incluso in Microsoft 365: accesso all’MDM base con licenze E3, E5, F1, F3 e Business Premium senza costi aggiuntivi.

Cosa lo rende diverso

La potenza delle policy di accesso condizionale combinate con l’identità. Configurare una regola del tipo «solo i dispositivi crittografati e aggiornati possono accedere a SharePoint dall’esterno dell’ufficio» è banale in Intune, e questo livello di difesa è genuinamente prezioso in ambienti ibridi dove Azure AD è già presente.

Limitazioni

• Curva di apprendimento ripida. L’Intune Admin Center è denso e poco intuitivo per team IT senza dedicazione esclusiva. Richiede esperienza specifica.
• La gestione dei dispositivi Apple e Android, sebbene funzionale, resta indietro rispetto alle soluzioni specializzate in termini di profondità di controllo.
• I componenti aggiuntivi (Piano 2, Intune Suite) aumentano significativamente il costo per accedere a Remote Help, Advanced Analytics o gestione di dispositivi specializzati.

➡️ Scopri le migliori alternative a Microsoft Intune.

3. Jamf

Ideale per: aziende con flotta 100% Apple che necessitano del livello più approfondito di controllo su macOS, iOS, iPadOS e tvOS.

Jamf è da anni un punto di riferimento nella gestione dei dispositivi Apple, e a ragione. La sua integrazione con Apple Business Manager funziona bene, il catalogo di configurazioni è ampio e copre aspetti che altre piattaforme non sempre considerano. Inoltre, può contare su una community tecnica attiva che facilita la risoluzione dei problemi quotidiani. Detto questo, non è economico, né particolarmente facile da amministrare, né la scelta migliore se il tuo parco dispositivi va oltre l’ecosistema Apple.

Funzionalità MDM principali

• PreStage Enrollments tramite Apple Business Manager: provisioning zero-touch dall’unboxing, con profili e applicazioni applicati automaticamente al primo avvio del dispositivo.
• Smart Groups dinamici: raggruppamento automatico dei dispositivi in base a criteri di inventario che attivano policy senza intervento manuale. Ad esempio, un gruppo che contenga «tutti i MacBook Pro con macOS inferiore alla 14.0 e senza FileVault attivato» avvia automaticamente la patch e la crittografia quando un dispositivo rientra in queste condizioni.
• Jamf Composer: strumento per pacchettizzare applicazioni e configurazioni personalizzate come pacchetti PKG pronti per il deployment sulla flotta.
• Self Service aziendale: portale dove gli utenti finali possono installare applicazioni approvate dall’IT senza aprire ticket né dipendere dal team tecnico.
• Profili di configurazione avanzati: controllo granulare su praticamente qualsiasi impostazione nativa di macOS e iOS, incluse le estensioni di sistema e le kernel extension.
• Patch Management automatizzato: monitoraggio delle versioni e deployment degli aggiornamenti per applicazioni di terze parti comuni senza intervento manuale.
• Jamf Protect e Jamf Connect (add-on): Protect offre rilevamento delle minacce endpoint nativo di macOS e Connect gestisce identità e password aziendali.
• Gestione FileVault con custodia delle chiavi: attivazione e controllo della crittografia del disco con escrow istituzionale delle chiavi di recupero.
• Community attiva (Jamf Nation): repository di risorse, script e recipe di automazione mantenuto dalla community di amministratori.

Cosa lo rende diverso

Il livello di dettaglio nelle policy specifiche per macOS. Ci sono flussi di provisioning complessi che su altre piattaforme richiedono script e workaround. Su Jamf basta selezionare una casella. Se la tua realtà è «solo Mac e solo iPad», troverai cose che solo Jamf risolve bene, e te ne sarai grato.

Limitazioni

• Solo Apple. Non gestisce Windows, Android né Linux. Le aziende con flotte miste hanno bisogno obbligatoriamente di un secondo MDM.
• Prezzo elevato rispetto alle alternative multipiattaforma, soprattutto per team con meno di 200 dispositivi.
• La complessità richiede amministratori con esperienza specifica su Jamf, il che aumenta il costo totale di possesso.

➡️ Scopri le migliori alternative a Jamf.

4. Hexnode UEM

Ideale per: team IT che gestiscono flotte multipiattaforma e hanno bisogno di template predefiniti per un deployment rapido senza configurazioni complesse.

Hexnode è compatibile con Windows, macOS, iOS, Android, tvOS, Fire OS e ChromeOS. Ma ciò che lo differenzia non è tanto questa copertura (anche altri competitor la offrono), quanto la sua libreria di template di policy predefiniti. Per un team IT con risorse limitate, partire da un template come «BYOD Android» o «chiosco iPad» e modificare solo il necessario è molto diverso dal configurare tutto da zero. Questo si traduce in tempi di deployment più brevi e meno attrito nella messa in opera.

Funzionalità MDM principali

• Zero-touch enrollment multipiattaforma: integrazione con Apple Business Manager, Android Zero-Touch, Samsung Knox e Windows Autopilot affinché i dispositivi si configurino automaticamente dal primo avvio.
• Template di policy predefiniti: configurazioni pronte per casi d’uso comuni come chiosco, BYOD, dispositivi condivisi e COPE, che riducono i tempi di deployment e la possibilità di errori.
• Android Enterprise completo: supporto per Work Profile, Fully Managed e Dedicated Device modes, coprendo dal BYOD ai dispositivi di uso dedicato.
• Kiosk Lockdown avanzato: blocco in modalità single-app o multi-app con browser web filtrato e restrizioni hardware come fotocamera, USB e tasti fisici.
• Gestione dei contenuti aziendali: distribuzione di documenti ai dispositivi con restrizioni di visualizzazione e controllo su chi accede a cosa.
• Geofencing e policy basate sulla posizione: applicazione automatica di configurazioni e restrizioni in base alla posizione fisica del dispositivo.
• Distribuzione di applicazioni aziendali: distribuzione tramite Managed Google Play, Apple VPP e pacchetti MSI/EXE su Windows, con assegnazione per gruppi di utenti o dispositivi.
• Remote View e Remote Control: assistenza remota agli utenti finali direttamente dalla console, senza strumenti di terze parti.
• Supporto ChromeOS: gestione di dispositivi Chromebook, una compatibilità che diversi competitor di questa lista non offrono.
• Cinque piani tariffari: struttura flessibile che consente di adattare la spesa alle esigenze reali di ogni team.

Cosa lo rende diverso

La sua libreria di template predefiniti. Può sembrare un dettaglio secondario, ma fa una differenza reale quando il team IT non ha una persona dedicata esclusivamente alla gestione degli endpoint. Configurare una policy di Android Work Profile su Hexnode richiede minuti, non ore. Ed è questa agilità che separa un deployment che parte nel pomeriggio da uno che resta nella lista delle cose in sospeso fino al mese prossimo.

Limitazioni

• Le funzionalità avanzate di sicurezza (gestione dei certificati, VPN per-app, controllo granulare delle applicazioni) sono disponibili solo nei piani Enterprise e Ultra.
• Le integrazioni con HRIS e strumenti di IT service management sono limitate rispetto a piattaforme più complete.
• Il supporto può essere lento nei piani base, soprattutto in orario europeo.

5. NinjaOne

Ideale per: team IT interni e MSP che già usano NinjaOne come RMM e vogliono estendere la gestione ai dispositivi mobili senza aggiungere una seconda console.

NinjaOne nasce come strumento di RMM (gestione remota di server ed endpoint Windows) e nel tempo ha ampliato le sue capacità verso il territorio MDM con supporto per Android, iOS, macOS e Linux. Per i team che lo usano già per monitorare i server, integrare la gestione di smartphone e laptop nella stessa console è un’estensione naturale. E consolidare tutto in un unico strumento è, nella pratica, uno dei modi più semplici per snellire l’operatività di un team IT con risorse limitate.

Funzionalità MDM principali

• Patching automatizzato multipiattaforma: aggiornamento di Windows, macOS e Linux con policy granulari per anelli di deployment e finestre di manutenzione configurabili.
• Software Deployment: distribuzione di pacchetti MSI, EXE, PKG e script personalizzati con retry automatici e verifica dell’installazione.
• Scripting avanzato ereditato dal modulo RMM: esecuzione di script PowerShell, Bash e altri sull’intera flotta, con programmazione e automazione di attività ricorrenti.
• Monitoraggio in tempo reale: alert personalizzabili sullo stato di hardware, software e sicurezza di ciascun dispositivo della flotta.
• Accesso remoto integrato (NinjaOne Remote): assistenza remota dalla console stessa senza necessità di strumenti esterni come TeamViewer o AnyDesk.
• Gestione di policy MDM per iOS e Android: enrollment, profili di configurazione e comandi remoti per dispositivi mobili dalla stessa piattaforma.
• Inventario automatico di hardware e software: visibilità completa su ciò che è installato su ogni dispositivo con storico delle modifiche.
• Backup integrato (add-on): copie di sicurezza degli endpoint configurabili direttamente dalla console.
• Modello di pricing pay-per-device: struttura flessibile con pagamento per dispositivo e sconti per volumi.

Cosa lo rende diverso

Per i team IT che saltano continuamente tra il patching di un Windows Server e la risoluzione di un problema di Outlook sullo smartphone di un commerciale, avere tutto in un’unica console semplifica notevolmente il lavoro quotidiano. Inoltre, l’interfaccia è ben pensata per l’operatività di tutti i giorni. Non è la più vistosa del mercato, ma è una delle più agili quando si tratta di trovare ciò che serve e agire.

Limitazioni

• Le capacità MDM per dispositivi mobili sono più recenti e meno mature rispetto a quelle di gestione degli endpoint tradizionali.
• Non offre gestione SaaS né provisioning degli accessi: è uno strumento di gestione dei dispositivi puro.
• I prezzi non sono pubblici e richiedono un contatto commerciale, il che rende difficile il confronto nella fase iniziale di valutazione.

6. Mosyle

Ideale per: aziende Apple-first e istituti scolastici che cercano un’alternativa a Jamf con prezzi più aggressivi e un pacchetto all-in-one.

Mosyle si è posizionato come una delle alternative più solide nella gestione esclusiva di dispositivi Apple. Il suo principale vantaggio rispetto ad altri competitor è l’approccio a piattaforma unificata. Mentre altre soluzioni fanno pagare moduli separati (antimalware, identità, filtraggio DNS), Mosyle include tutto nello stesso piano a un prezzo notevolmente inferiore. La sua origine è nel settore educativo, ma le versioni Business Premium e Fuse sono chiaramente orientate a piccole e medie imprese con flotte Mac.

Funzionalità MDM principali

• Automated Device Enrollment tramite Apple Business Manager: provisioning zero-touch con flussi semplificati affinché i dispositivi arrivino configurati dal primo avvio.
• Mosyle Fuse come piattaforma unificata: un unico prodotto che combina MDM, protezione endpoint (antimalware), gestione dell’identità (login unificato) e filtraggio DNS senza moduli aggiuntivi.
• AutoPatch per applicazioni di terze parti: aggiornamento automatico di oltre 200 applicazioni comuni su macOS senza intervento del team IT.
• Profili di configurazione completi: gestione granulare di macOS, iOS e iPadOS con supporto nativo per le ultime versioni di Apple Silicon.
• Mosyle Hardening: applicazione dei benchmark CIS ai dispositivi macOS con un solo clic per rispettare gli standard di sicurezza senza configurazione manuale.
• Gestione delle applicazioni tramite Apple VPP: acquisto e distribuzione centralizzata di applicazioni dall’App Store con assegnazione per utente o dispositivo.
• FileVault con custodia delle chiavi: attivazione della crittografia del disco ed escrow istituzionale delle chiavi di recupero.
• Piano gratuito per un massimo di 30 dispositivi Apple: opzione funzionale per team piccoli che vogliono provare la piattaforma senza impegno.
• Strumenti specifici per l’istruzione: funzionalità progettate per la gestione dei dispositivi in ambienti scolastici e istituti educativi.

Cosa lo rende diverso

Ciò che include al prezzo a cui lo offre. Dove altre soluzioni fanno pagare separatamente l’antimalware, la gestione dell’identità e il filtraggio DNS, Mosyle integra tutto in un unico piano. Per un’azienda Apple con 80 dispositivi che preferisce evitare di gestire più fornitori contemporaneamente, la differenza in termini di costo e di semplicità operativa è notevole.

Limitazioni

• Solo Apple. Nessun supporto per Windows, Android né Linux.
• Il focus sull’istruzione fa sì che alcune funzionalità enterprise siano meno curate rispetto a quelle di Jamf Pro.
• Dati ospitati principalmente su infrastruttura statunitense, il che può complicare la conformità per le aziende europee con requisiti stringenti di residenza dei dati.

7. Scalefusion

Ideale per: aziende che gestiscono dispositivi dedicati come chioschi, terminali punto vendita, dispositivi sul campo o dispositivi condivisi.

Scalefusion si focalizza sulla gestione di dispositivi dedicati. Tablet nei negozi, terminali di magazzino, smartphone dei corrieri. Il suo punto di forza è il controllo remoto in tempo reale, con terminale remoto, registrazione delle sessioni e trasferimento di file. Tutto pensato per intervenire su dispositivi ai quali il team IT non può accedere fisicamente.

Funzionalità MDM principali

• Controllo remoto in tempo reale: streaming del dispositivo, terminale remoto con registrazione della sessione e trasferimento di file per risolvere le segnalazioni senza accesso fisico.
• Modalità chiosco avanzata: blocco single-app e multi-app su Android, iOS e Windows con controllo granulare sugli elementi dell’interfaccia visibili all’utente.
• Scalefusion DeepDive: diagnostica remota dei dispositivi Android con informazioni dettagliate su hardware, rete e prestazioni dalla console.
• Geofencing e tracciamento per posizione: monitoraggio delle flotte sul campo con alert automatici quando un dispositivo esce dalla zona assegnata.
• Distribuzione di applicazioni aziendali: distribuzione di app e sideloading APK su Android con opzioni di aggiornamento silenzioso senza intervento dell’utente.
• Profili di configurazione e policy di sicurezza: gestione centralizzata di password, Wi-Fi, VPN, email e restrizioni del dispositivo.
• Content Management: distribuzione di documenti ai dispositivi con restrizioni di stampa e condivisione per proteggere informazioni sensibili.
• ProSurf (browser gestito): browser con whitelist di URL consentiti, progettato per casi d’uso di chiosco e dispositivi ad accesso pubblico.
• Integrazione con Azure AD: enrollment automatizzato dei dispositivi tramite Azure Active Directory.

Cosa lo rende diverso

Il terminale remoto con registrazione della sessione. Per i team di supporto che assistono lavoratori sul campo e devono documentare ogni intervento in vista delle audit, avere la sessione registrata di serie non è un extra, è un’esigenza coperta senza strumenti aggiuntivi.

Limitazioni

• Non offre funzionalità di self-service per gli utenti finali, il che concentra tutta la gestione sul team IT.
• L’interfaccia di amministrazione risulta sovraccarica per la quantità di opzioni disponibili, non è la scelta più adatta se cerchi semplicità.
• Le integrazioni con HRIS e strumenti per il ciclo di vita del dipendente sono minime.

8. Rippling IT

Ideale per: aziende che già usano Rippling come HRIS e vogliono estendere l’automazione del ciclo di vita del dipendente alla gestione dei dispositivi.

Rippling integra in un’unica piattaforma HRIS, payroll, IT e finanza. Il suo modulo IT segue la stessa logica e collega la gestione del dispositivo direttamente al profilo del dipendente. Quando una persona viene assunta, Rippling può inviarle il laptop dal proprio magazzino, configurarlo in base al suo ruolo e assegnarle gli accessi SaaS corrispondenti. Quando quella persona lascia l’azienda, il processo si inverte automaticamente. È una proposta potente, anche se il suo valore reale dipende da quanto l’azienda adotta Rippling come piattaforma centrale.

Funzionalità MDM principali

• Enrollment zero-touch collegato al dipendente: integrazione con Apple Business Manager e Windows Autopilot connessa direttamente al profilo del dipendente in Rippling per il provisioning automatico dall’assunzione.
• Policy automatiche basate sul ruolo: configurazioni di sicurezza e accessi che si applicano in base a reparto, sede o posizione del dipendente senza intervento manuale.
• Crittografia del disco forzata con custodia delle chiavi: attivazione automatica di FileVault e BitLocker con escrow centralizzato delle chiavi di recupero.
• Distribuzione di applicazioni per ruolo: installazione silenziosa del software in base alla posizione del dipendente, senza necessità di richieste né ticket.
• Comandi remoti: blocco, cancellazione e localizzazione di dispositivi persi o rubati dalla console.
• Logistica hardware gestita: stoccaggio, spedizione, recupero e ricondizionamento dei dispositivi attraverso la stessa infrastruttura di Rippling, con costo aggiuntivo per servizio.
• Gestione degli accessi SaaS integrata: assegnazione e revoca automatica delle licenze SaaS dalla stessa piattaforma all’assunzione o all’uscita di un dipendente.
• Flussi di onboarding unificati: processo di inserimento che collega IT, HR e finanza in un unico flusso automatizzato.

Cosa lo rende diverso

L’automazione completa dell’onboarding. Dal momento in cui un dipendente viene registrato nell’HRIS fino a quando riceve il laptop configurato a casa, il processo può funzionare senza intervento manuale. Per le aziende con team distribuiti e turnover frequente, questa automazione riduce considerevolmente il carico operativo del reparto IT.

Limitazioni

• Prezzo significativamente più alto rispetto agli MDM puri. Il modulo di device management parte da ~8 $/utente/mese.
• Il valore reale si sblocca solo se si usa già Rippling come HRIS. Come MDM standalone, il rapporto costo-funzionalità è sfavorevole.
• Minor profondità di controllo a livello di configurazione del dispositivo rispetto agli strumenti MDM specializzati.
• Presenza limitata in Europa: assenza di supporto in diverse lingue europee e minore copertura normativa locale.

9. Iru (ex Kandji)

Ideale per: team IT in aziende Apple-first che cercano un’automazione avanzata basata su template di configurazione che mantengono lo stato del dispositivo in modo autonomo.

Iru è il nuovo nome di Kandji. Il rebranding è recente e ci sono ancora team che lo conoscono con il nome precedente. La sua proposta principale sono i blueprint: template che combinano profili, script, applicazioni e controlli di conformità in un unico flusso riutilizzabile. Funzionano con un approccio dichiarativo. Invece di eseguire una sequenza di passaggi ogni volta, definisci lo stato finale che deve avere il dispositivo e la piattaforma si occupa di mantenerlo. Se rileva una deviazione, la corregge automaticamente.

Funzionalità MDM principali

• Blueprint (template dichiarativi): flussi riutilizzabili che combinano profili, script, applicazioni e controlli di conformità in un’unica configurazione. Ad esempio, un blueprint «Design» può definire macOS aggiornato all’ultima versione, FileVault attivato, Figma e Adobe Creative Cloud installati e blocco dei browser non approvati. Se qualcuno disinstalla Figma, la piattaforma la reinstalla automaticamente.
• Liftoff (onboarding guidato): esperienza di primo avvio per l’utente finale con avanzamento visivo passo dopo passo, senza necessità di intervento del team IT.
• Auto Apps: aggiornamento automatico di oltre 200 applicazioni di terze parti comuni su macOS senza che l’amministratore debba gestire le versioni manualmente.
• Libreria di controlli di sicurezza preconfigurati: oltre 150 controlli mappati sui CIS Benchmarks e NIST, pronti da applicare senza configurazione da zero.
• Passport (gestione dell’identità): sincronizzazione delle password tra la directory aziendale e l’account locale del dispositivo per unificare l’accesso dell’utente.
• Compliance remediation automatica: correzione autonoma quando un dispositivo devia dallo stato definito nel suo blueprint, senza intervento manuale.
• EDR nativo (add-on): rilevamento e risposta alle minacce sull’endpoint integrato nella stessa piattaforma come modulo aggiuntivo.
• Device Harmony: visibilità unificata dello stato di sicurezza dell’intera flotta Apple da un unico pannello.

Cosa lo rende diverso

I blueprint. Definisci come deve essere configurato ogni dispositivo e la piattaforma si occupa di mantenerlo così. Se qualcosa cambia o devia, si corregge da solo. Questo riduce buona parte delle segnalazioni del tipo «questo Mac non è conforme alla policy» perché il sistema stesso le risolve prima che arrivino al team IT.

Limitazioni

• Solo Apple. Non gestisce Windows, Android né Linux.
• Prezzo più alto rispetto ad altri MDM Apple-only come Mosyle, soprattutto per macOS.
• Il rebranding recente da Kandji a Iru genera confusione sul mercato e parte della documentazione pubblica è ancora in fase di transizione.

10. Miradore

Ideale per: team IT con budget molto ridotto che hanno bisogno di un MDM funzionale senza complessità enterprise.

Miradore offre un piano gratuito che funziona davvero e un’interfaccia semplice, il che lo rende un buon punto di partenza per le aziende che non hanno mai gestito i dispositivi in modo centralizzato. Copre le funzionalità di base per smettere di gestire la flotta a mano. Detto questo, ha un tetto chiaro. Quando il team ha bisogno di controlli di sicurezza avanzati, integrazioni con il resto dello stack IT o una politica di patching formale, i limiti si fanno sentire e ciò che si risparmia in licenza finisce per essere investito in ore di lavoro manuale.

Funzionalità MDM principali

• Enrollment multipiattaforma: registrazione dei dispositivi tramite Apple Business Manager, Android Enterprise e Windows, sia manuale che programmatica.
• Profili di configurazione base: policy per password, Wi-Fi, VPN, email e restrizioni del dispositivo gestite dalla console.
• Comandi remoti essenziali: blocco, cancellazione completa, cancellazione selettiva (solo dati aziendali) e localizzazione dei dispositivi.
• Crittografia del disco con custodia delle chiavi: attivazione di FileVault e BitLocker con escrow centralizzato delle chiavi di recupero, disponibile nel piano Premium+.
• Inventario automatico di hardware e software: visibilità su ciò che è installato su ogni dispositivo con report programmabili.
• Distribuzione di applicazioni: distribuzione da App Store, Managed Google Play e pacchetti MSI per Windows con assegnazione per gruppi.
• Business Policy predefinite: template di configurazione pronti da applicare a gruppi di dispositivi senza partire da zero.
• Piano gratuito senza limite rigido di dispositivi: operazioni MDM di base disponibili senza costi per i team che stanno iniziando.
• Prova gratuita di 14 giorni del piano Premium+: accesso a tutte le funzionalità avanzate per valutare la piattaforma prima di sottoscrivere.

Cosa lo rende diverso

Il suo piano gratuito è davvero funzionale, non una demo limitata come accade con molti free tier del settore. Per un’azienda che vuole iniziare a gestire i propri dispositivi in modo ordinato senza sostenere costi dal primo giorno, Miradore è uno dei punti di ingresso più accessibili.

Limitazioni

• Le funzionalità avanzate (integrazione con strumenti di terze parti, supporto remoto nativo) sono disponibili solo nel piano Premium+.
• Senza capacità di gestione SaaS, provisioning degli accessi né automazione del ciclo di vita.
• La profondità di controllo resta inferiore a quella di Hexnode, Jamf o Intune; non è adatto ad aziende con requisiti di sicurezza stringenti.