Condividi tramite

Procedura dettagliata: creare un criterio di catalogo delle impostazioni di Intune e confrontarlo con ADMX locale

Nota

Questa procedura dettagliata è stata creata come workshop tecnico e aggiornata per essere applicata al catalogo delle impostazioni di Intune. Presenta più prerequisiti rispetto alle procedure dettagliate tipiche, in quanto confronta l'uso e la configurazione dei criteri del catalogo delle impostazioni in Intune e in locale Criteri di gruppo Modelli amministrativi (ADMX).

I criteri di gruppo e i modelli ADMX includono le impostazioni che è possibile configurare nei dispositivi Windows. Queste impostazioni vengono usate e gestite dai provider MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune, per configurare le funzionalità e le impostazioni nei dispositivi Windows. Ad esempio, è possibile attivare Idee di progettazione in PowerPoint, impostare una home page in Microsoft Edge e altro ancora.

Queste impostazioni sono integrate nel catalogo delle impostazioni di Microsoft Intune. In un profilo del catalogo delle impostazioni si configurano le impostazioni da includere e quindi si assegna questo profilo ai dispositivi.

In questa procedura dettagliata si:

  • Introduzione all'interfaccia di amministrazione di Microsoft Intune.
  • Creare gruppi di utenti e creare gruppi di dispositivi.
  • Confrontare le impostazioni in Intune con le impostazioni ADMX locali.
  • Creare criteri di catalogo di impostazioni diversi e configurare le impostazioni destinate ai diversi gruppi.

Al termine di questo lab, è possibile usare Intune per gestire gli utenti e distribuire i criteri del catalogo delle impostazioni.

Questa funzionalità si applica a:

  • Windows
  • Microsoft Edge versione 77 e successive

Consiglio

Prerequisiti

  • Sottoscrizione Microsoft 365 E3 o E5, che include Intune e Microsoft Entra ID P1 o P2. Se non si ha un abbonamento E3 o E5, provare gratuitamente.

    Per altre informazioni su cosa si ottiene con le diverse licenze di Microsoft 365, vedere Trasformare l'azienda con Microsoft 365.

  • Microsoft Intune è configurato come autorità MDM di Intune. Per altre informazioni, vedere Impostare l'autorità di gestione dei dispositivi mobili.

    Screenshot che mostra come impostare l'autorità MDM su Microsoft Intune nello stato del tenant.

  • In un controller di dominio Active Directory locale:

    1. Copiare i modelli di Office e Microsoft Edge seguenti nell'archivio centrale (cartella sysvol):Copy the following Office and Microsoft Edge templates to the Central Store (sysvol folder):

    2. Creare criteri di gruppo per eseguire il push di questi modelli in un computer amministratore di Windows Enterprise nello stesso dominio del controller di dominio. In questa procedura dettagliata:

      • I criteri di gruppo creati con questi modelli sono denominati OfficeandEdge. Questo nome verrà visualizzato nelle immagini.
      • Il computer amministratore di Windows Enterprise usato è denominato computer Amministrazione.

      Nella maggior parte delle organizzazioni, un amministratore di dominio ha due account:

      • Un account di lavoro di dominio tipico
      • Un account amministratore di dominio diverso usato solo per le attività di amministratore di dominio, ad esempio Criteri di gruppo

      Lo scopo di questo computer Amministrazione è consentire agli amministratori di accedere con l'account amministratore di dominio e di accedere agli strumenti progettati per la gestione dei criteri di gruppo.

  • In questo Amministrazione computer:

    • Accedere con un account amministratore di dominio.

    • Aggiungere RSAT: Criteri di gruppo Management Tools:

      1. Aprire l'app >ImpostazioniSistema>Aggiungere una funzionalità> facoltativaVisualizza funzionalità.

      2. Selezionare RSAT: Criteri di gruppo Management ToolsAdd (Aggiungi strumenti > di gestione).

        Attendere l'aggiunta della funzionalità da parte di Windows. Al termine, viene visualizzato nell'app Strumenti di amministrazione di Windows .

        Screenshot che mostra le app strumenti di amministrazione di Windows, inclusa l'app di gestione Criteri di gruppo.

    • Assicurarsi di avere accesso a Internet e diritti di amministratore per l'abbonamento a Microsoft 365, che include l'interfaccia di amministrazione di Intune.

Aprire l'interfaccia di amministrazione di Intune

  1. Aprire un Web browser basato su Chromium, ad esempio Microsoft Edge.

  2. Passare all'interfaccia di amministrazione di Microsoft Intune. Accedere con l'account seguente:

    Utente: immettere l'account amministratore della sottoscrizione del tenant di Microsoft 365. Password: immettere la password.

L'interfaccia di amministrazione di Intune è incentrata sulla gestione dei dispositivi e include servizi di Azure, ad esempio Microsoft Entra ID. È possibile che l'ID Microsoft Entra e la personalizzazione di Azure non vengano visualizzati, ma che vengano usati.

È anche possibile aprire l'interfaccia di amministrazione di Intune dal interfaccia di amministrazione di Microsoft 365:

  1. Vai a https://admin.microsoft.com.

  2. Accedere con l'account amministratore della sottoscrizione del tenant di Microsoft 365.

  3. Selezionare Mostra tutto>Amministrazione centri>Microsoft Intune. Verrà aperta l'interfaccia di amministrazione di Intune.

    Screenshot che mostra le interfacce di amministrazione nel interfaccia di amministrazione di Microsoft 365.

Creare gruppi e aggiungere utenti

I criteri locali vengono applicati nell'ordine LSDOU: locale, sito, dominio e unità organizzativa (OU). In questa gerarchia i criteri di unità organizzativa sovrascrivono i criteri locali, i criteri di dominio sovrascrivono i criteri del sito e così via.

In Intune i criteri vengono applicati agli utenti e ai gruppi creati. Non esiste una gerarchia. Ad esempio:

  • Se due criteri aggiornano la stessa impostazione, l'impostazione viene visualizzata come conflitto.
  • Se due criteri di conformità sono in conflitto, vengono applicati i criteri più restrittivi.
  • Se due profili di configurazione sono in conflitto, l'impostazione non viene applicata.

Per altre informazioni, vedere Domande comuni, problemi e soluzioni con i criteri e i profili dei dispositivi.

In questi passaggi successivi si creano gruppi di sicurezza e si aggiungono utenti a questi gruppi. È possibile aggiungere un utente a più gruppi. Ad esempio, è normale che un utente abbia più dispositivi, ad esempio un Surface Pro per il lavoro e un dispositivo mobile Android per il personale. Inoltre, è normale per una persona accedere alle risorse dell'organizzazione da questi più dispositivi.

  1. Nell'interfaccia di amministrazione di Intune selezionare Gruppi>Nuovo gruppo.

  2. Immettere le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.
    • Nome gruppo: immettere Tutti i dispositivi per studenti windows.
    • Tipo di appartenenza: selezionare Assegnato.

  3. Selezionare Membri e aggiungere alcuni dispositivi.

    L'aggiunta di dispositivi è facoltativa. L'obiettivo è esercitarsi nella creazione di gruppi e nel sapere come aggiungere dispositivi. Se si usa questa procedura dettagliata in un ambiente di produzione, tenere presente ciò che si sta facendo.

  4. Selezionare>Creare per salvare le modifiche.

    Non vedi il tuo gruppo? Selezionare Aggiorna.

  5. Selezionare Nuovo gruppo e immettere le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.

    • Nome gruppo: immettere Tutti i dispositivi Windows.

    • Tipo di appartenenza: selezionare Dispositivo dinamico.

    • Membri del dispositivo dinamico: selezionare Aggiungi query dinamica e configurare la query:

      • Proprietà: selezionare deviceOSType.
      • Operatore: selezionare Uguale.
      • Valore: immettere Windows.

      1. Selezionare Aggiungi espressione. L'espressione viene visualizzata nella sintassi Della regola:

        Screenshot che mostra come creare una query di gruppo dinamico e aggiungere espressioni in Microsoft Intune.

        Quando gli utenti o i dispositivi soddisfano i criteri immessi, vengono aggiunti automaticamente ai gruppi dinamici. In questo esempio, i dispositivi vengono aggiunti automaticamente a questo gruppo quando il sistema operativo è Windows. Se si usa questa procedura dettagliata in un ambiente di produzione, prestare attenzione. L'obiettivo è di praticare la creazione di gruppi dinamici.

      2. Salvare>Creare per salvare le modifiche.

  6. Creare il gruppo Tutti gli insegnanti con le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.

    • Nome gruppo: immettere Tutti gli insegnanti.

    • Tipo di appartenenza: selezionare Utente dinamico.

    • Membri utente dinamici: selezionare Aggiungi query dinamica e configurare la query:

      • Proprietà: selezionare reparto.

      • Operatore: selezionare Uguale.

      • Valore: immettere Insegnanti.

        1. Selezionare Aggiungi espressione. L'espressione viene visualizzata nella sintassi Rule.

          Quando gli utenti o i dispositivi soddisfano i criteri immessi, vengono aggiunti automaticamente ai gruppi dinamici. In questo esempio, gli utenti vengono aggiunti automaticamente a questo gruppo quando il loro reparto è Insegnanti. È possibile immettere il reparto e altre proprietà quando gli utenti vengono aggiunti all'organizzazione. Se si usa questa procedura dettagliata in un ambiente di produzione, prestare attenzione. L'obiettivo è di praticare la creazione di gruppi dinamici.

        2. Salvare>Creare per salvare le modifiche.

Punti di discussione

Gli utenti e i gruppi creati vengono visualizzati anche nell'interfaccia di amministrazione interfaccia di amministrazione di Microsoft 365 e Microsoft Entra. È possibile creare e gestire gruppi in tutte queste aree per la sottoscrizione del tenant. Se l'obiettivo è la gestione dei dispositivi, usare l'interfaccia di amministrazione di Microsoft Intune.

Esaminare l'appartenenza ai gruppi

  1. Nell'interfaccia di amministrazione di Intune selezionare Utenti>Tutti gli utenti> selezionare il nome di qualsiasi utente esistente.
  2. Esaminare alcune delle informazioni che è possibile aggiungere o modificare. Esaminare, ad esempio, le proprietà che è possibile configurare, ad esempio Titolo processo, Reparto, Città, Posizione ufficio e altro ancora. È possibile usare queste proprietà nelle query dinamiche quando si creano gruppi dinamici.
  3. Selezionare Gruppi per visualizzare l'appartenenza di questo utente. È anche possibile rimuovere l'utente da un gruppo.
  4. Selezionare alcune delle altre opzioni per visualizzare altre informazioni e le operazioni che è possibile eseguire. Ad esempio, esaminare la licenza assegnata, i dispositivi dell'utente e altro ancora.

Cosa ho appena fatto?

Nell'interfaccia di amministrazione di Intune sono stati creati nuovi gruppi di sicurezza e sono stati aggiunti utenti e dispositivi esistenti a questi gruppi. Questi gruppi verranno usati nei passaggi successivi di questa esercitazione.

Creare criteri di catalogo delle impostazioni in Intune

In questa sezione vengono creati criteri del catalogo delle impostazioni in Intune, vengono esaminate alcune impostazioni in Gestione Criteri di gruppo locale e viene confrontata la stessa impostazione in Intune. L'obiettivo è mostrare un'impostazione in Criteri di gruppo e visualizzare la stessa impostazione in Intune.

  1. Nell'interfaccia di amministrazione di Intune selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.

  2. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Catalogo impostazioni.

  3. Selezionare Crea.

  4. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, immettere dispositivi per studenti Windows.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  5. Seleziona Avanti.

  6. In Impostazioni di configurazione selezionare Aggiungi impostazioni. Viene visualizzato un elenco di tutte le impostazioni.

    Screenshot che mostra la selezione delle impostazioni del catalogo delle impostazioni in Microsoft Intune.

    È anche possibile filtrare le impostazioni che si applicano ai dispositivi e alle impostazioni applicabili agli utenti e cercare le impostazioni:

    Screenshot che mostra come filtrare e cercare nella selezione impostazioni del catalogo delle impostazioni in Microsoft Intune.

  7. Nella ricerca immettere download. Tutte le impostazioni dei criteri con "download" nel nome vengono filtrate e visualizzate nell'elenco:

    Screenshot che mostra come cercare i criteri con una parola chiave nel catalogo delle impostazioni in microsoft intune.

  8. Passare alla categoria >Microsoft Edge selezionare Impostazioni SmartScreen. Si noti che le impostazioni dei criteri SmartScreen con "download" nel nome vengono filtrate e visualizzate:

    Screenshot che mostra come visualizzare le impostazioni dei criteri dello smart screen di Microsoft Edge nel catalogo delle impostazioni in Microsoft Intune.

Confrontare un criterio in Gestione Criteri di gruppo e Intune

In questa sezione vengono visualizzati i criteri in Intune e i relativi criteri di corrispondenza in Criteri di gruppo Management Editor.

  1. Nel computer Amministrazione aprire l'app gestione Criteri di gruppo.

    Questa app viene installata con RSAT: Criteri di gruppo Management Tools, che è una funzionalità facoltativa aggiunta in Windows. I prerequisiti (in questo articolo) elencano i passaggi per installarlo.

  2. Espandere Domini> per selezionare il dominio. Ad esempio, selezionare contoso.net.

  3. Fare clic con il pulsante destro del mouse sul criterio OfficeandEdge Edit.Right-click the OfficeandEdge policy >Edit. Verrà visualizzata l'app Editor gestione Criteri di gruppo.

    Screenshot che mostra come fare clic con il pulsante destro del mouse sui criteri di gruppo di Office e Microsoft Edge ADMX locali e selezionare Modifica.

    OfficeandEdge è un criterio di gruppo che include i modelli ADMX di Office e Microsoft Edge. Questo criterio è descritto nei prerequisiti (in questo articolo).

  4. EspandereCriteri di>configurazione> computerModelli> amministrativi Pannello di controllo>Personalizzazione. Si noti che le impostazioni disponibili.

    Screenshot che mostra come espandere Configurazione computer in Criteri di gruppo Management Editor locale e passare a Personalizzazione.

    Fare doppio clic su Impedisci abilitazione della fotocamera della schermata di blocco e visualizzare le opzioni disponibili:

    Screenshot che mostra come visualizzare le opzioni dell'impostazione di configurazione computer locale in Criteri di gruppo.

  5. Nell'interfaccia di amministrazione di Intune passare ai criteri del catalogo delle impostazioni dei dispositivi degli studenti Windows .

  6. Selezionare Impostazioni> di configurazioneModifica>Aggiungi impostazioni. Cercare Personalizzazione e selezionare la Administrative templates\Control Panel\Personalization categoria. Si noti che le impostazioni disponibili sono:

    Screenshot che mostra il percorso dell'impostazione dei criteri di personalizzazione ADMX nel catalogo delle impostazioni di Microsoft Intune.

    Questo percorso e le impostazioni disponibili sono simili a quelle visualizzate in Criteri di gruppo Management Editor. Se si seleziona l'impostazione Impedisci l'abilitazione della fotocamera della schermata di blocco, vengono visualizzate opzioni simili disponibili in Criteri di gruppo Management Editor.

    Screenshot che mostra il percorso di impostazione dell'impostazione impedisci l'abilitazione della fotocamera della schermata di blocco di ADMX nel catalogo delle impostazioni di Microsoft Intune.

Confrontare i criteri utente in Gestione Criteri di gruppo e Intune

  1. Nei criteri del catalogo delle impostazioni dei dispositivi degli studenti Windows selezionare Impostazioni> di configurazioneModifica Aggiungi>impostazioni. Cercare inprivate browsing. Si noti che le opzioni delle impostazioni. L'impostazione (User) si applica alle configurazioni utente. L'altra impostazione si applica alle configurazioni del dispositivo.

    Screenshot che mostra un'impostazione utente e un'impostazione del dispositivo nel catalogo delle impostazioni di Microsoft Intune.

  2. In Criteri di gruppo Management Editor individuare le impostazioni utente e dispositivo corrispondenti:

    • Dispositivo: espandereCriteri di>configurazione> computerModelli amministrativi Componenti>>di WindowsInternet Explorer>Privacy>Disattiva InPrivate Browsing.
    • Utente: espandereCriteri di>configurazione> utenteModelli amministrativi Componenti>>di WindowsInternet Explorer>Privacy>Disattiva InPrivate Browsing.

    Screenshot che mostra come disattivare InPrivate Browsing in Internet Explorer usando il modello ADMX locale.

Consiglio

Per visualizzare i criteri predefiniti di Windows, è anche possibile usare GPEdit (Modifica app criteri di gruppo ).

Cosa ho appena fatto?

È stato creato un criterio del catalogo delle impostazioni in Intune. In questo criterio sono state esaminate alcune impostazioni e sono state esaminate le stesse impostazioni ADMX in Gestione Criteri di gruppo locale.

Creare un criterio di catalogo delle impostazioni di OneDrive

In questa sezione viene creato un criterio di catalogo delle impostazioni di OneDrive in Intune per controllare alcune impostazioni. Queste impostazioni specifiche vengono scelte perché vengono comunemente usate dalle organizzazioni.

  1. Creare un altro criterio di Intune (Dispositivi>Gestisci dispositivi>Configurazione>Crea>nuovo criterio).

  2. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Catalogo impostazioni.

  3. Selezionare Crea.

  4. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere i criteri di OneDrive per tutti gli utenti di Windows.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  5. Seleziona Avanti.

  6. In Impostazioni di configurazione selezionare Aggiungi impostazioni. Nell'elenco delle categorie cercare o passare a OneDrive. Selezionare le impostazioni seguenti e quindi chiudere la selezione impostazioni:

    • Impedire agli utenti di sincronizzare gli account OneDrive personali (utente)
    • Consenti l'accesso automatico degli utenti all'app di sincronizzazione di OneDrive con le proprie credenziali di Windows
    • Usa File di OneDrive su richiesta

  7. Configurare queste impostazioni:

    Impostazione Valore
    Impedire agli utenti di sincronizzare gli account OneDrive personali (utente) Abilitato
    Consenti l'accesso automatico degli utenti alll'app sincronizzazione di OneDrive con le proprie credenziali di Windows Abilitato
    Usa File di OneDrive su richiesta Abilitato

Al termine, le impostazioni saranno simili alle seguenti:

Screenshot che mostra come creare un criterio di catalogo delle impostazioni di OneDrive in Microsoft Intune.

Per altre informazioni sulle impostazioni client di OneDrive, vedere Usare Criteri di gruppo per controllare sincronizzazione OneDrive impostazioni client.

Assegnare i criteri

  1. Nel criterio selezionare Avanti fino a quando non si arriva a Assegnazioni. Scegliere Aggiungi gruppi:

  2. Viene visualizzato un elenco di utenti e gruppi esistenti. Selezionare il gruppo Tutti i dispositivi Windows creato in precedenza >Selezionare.

    Se si usa questa procedura dettagliata in un ambiente di produzione, provare ad aggiungere gruppi vuoti. L'obiettivo è esercitarsi nell'assegnazione dei criteri.

  3. Seleziona Avanti. In Rivedi e crea selezionare Crea per salvare le modifiche.

In questa sezione sono stati creati alcuni criteri del catalogo delle impostazioni e sono stati assegnati ai gruppi creati.

Procedure consigliate per i criteri

Quando si creano criteri e profili in Intune, è necessario prendere in considerazione alcune raccomandazioni e procedure consigliate. Per altre informazioni, vedere Procedure consigliate per criteri e profili.

Pulire le risorse

Quando non è più necessario, è possibile:

  • Eliminare i gruppi creati:

    • Tutti i dispositivi per studenti Windows
    • Tutti i dispositivi Windows
    • Tutti gli insegnanti

  • Eliminare i criteri del catalogo delle impostazioni creati:

    • Dispositivi per studenti Windows
    • Criteri di OneDrive applicabili a tutti gli utenti di Windows

Riepilogo

In questa esercitazione si ha familiarità con l'interfaccia di amministrazione di Microsoft Intune, si è usato il generatore di query per creare gruppi dinamici e sono stati creati criteri del catalogo delle impostazioni in Intune per configurare impostazioni diverse. È stato anche confrontato l'uso di modelli ADMX in locale e nel cloud con Intune.

  • Last updated on