Creare un profilo di dispositivo in Microsoft Intune

Importante

Il 22 ottobre 2022 Microsoft Intune terminerà il supporto per i dispositivi che eseguono Windows 8.1. Dopo tale data, l'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non saranno disponibili. Per altre informazioni, vedere Plan for Change: Ending support for Windows 8.1 (Pianificare la modifica: terminare il supporto per Windows 8.1).

Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11. Per altre informazioni, vedere Fine del supporto per Windows 7 e Windows 8.1.

I profili di dispositivo consentono di aggiungere e configurare le impostazioni e quindi di eseguire il push di queste impostazioni nei dispositivi dell'organizzazione. Durante la creazione dei criteri sono disponibili alcune opzioni:

  • Modelli amministrativi: nei dispositivi Windows 10/11 questi modelli sono impostazioni ADMX configurate. Se si ha familiarità con i criteri ADMX o gli oggetti Criteri di gruppo, l'uso di modelli amministrativi è un passaggio naturale per Microsoft Intune e Endpoint Manager.

    Per altre informazioni, vedere Modelli amministrativi

  • Baseline: nei dispositivi Windows 10/11, queste baseline includono impostazioni di sicurezza preconfigurate. Se si vogliono creare criteri di sicurezza usando le raccomandazioni dei team di sicurezza Microsoft, le baseline di sicurezza sono adatte all'utente.

    Per altre informazioni, vedere Baseline di sicurezza.

  • Catalogo delle impostazioni: nei dispositivi Windows 10/11 usare il catalogo delle impostazioni per visualizzare tutte le impostazioni disponibili e in un'unica posizione. Ad esempio, è possibile visualizzare tutte le impostazioni applicabili a BitLocker e creare un criterio incentrato solo su BitLocker. Nei dispositivi macOS usare il catalogo delle impostazioni per configurare Microsoft Edge versione 77 e le impostazioni.

    Per altre informazioni, vedere Catalogo delle impostazioni.

    In macOS continuare a usare il file delle preferenze per:

    • Configurare le versioni precedenti di Microsoft Edge
    • Configurare le impostazioni del browser Edge non presenti nel catalogo delle impostazioni
  • Modelli: nei dispositivi Android, iOS/iPadOS, macOS e Windows i modelli includono un raggruppamento logico di impostazioni che configurano una funzionalità o un concetto, ad esempio VPN, posta elettronica, dispositivi in modalità tutto schermo e altro ancora. Se si ha familiarità con la creazione di criteri di configurazione del dispositivo in Microsoft Intune, questi modelli sono già in uso.

    Per altre informazioni, inclusi i modelli disponibili, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili di dispositivo.

Questo articolo:

  • Elenca i passaggi per creare un profilo.
  • Illustra come aggiungere un tag di ambito per "filtrare" i criteri.
  • Descrive le regole di applicabilità nei dispositivi client Windows e illustra come creare una regola.
  • Elenca i tempi di ciclo di aggiornamento dell'archiviazione quando i dispositivi ricevono profili ed eventuali aggiornamenti del profilo.

Creare il profilo

I profili vengono creati nell'interfaccia di amministrazione di Microsoft Endpoint Manager. In questa interfaccia di amministrazione selezionare Dispositivi. Sono disponibili le opzioni seguenti:

In Endpoint Manager e Microsoft Intune selezionare Dispositivi per vedere cosa è possibile configurare e gestire.

  • Panoramica: elenca lo stato dei profili e fornisce altri dettagli sui profili assegnati a utenti e dispositivi.
  • Monitoraggio: controllare lo stato dei profili per verificare l'esito positivo o negativo e visualizzare anche i log sui profili.
  • Per piattaforma: creare e visualizzare criteri e profili in base alla piattaforma. Questa visualizzazione può anche mostrare funzionalità specifiche della piattaforma. Ad esempio, selezionare Windows. Verranno visualizzate funzionalità specifiche di Windows, ad esempio anelli di Windows Update e script di PowerShell.
  • Criteri: creare profili di dispositivo, caricare script di PowerShell personalizzati da eseguire nei dispositivi e aggiungere piani dati ai dispositivi usando eSIM.

Quando si crea un profilo (profili > di configurazione Crea profilo), scegliere la piattaforma:

  • Amministratore del dispositivo Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 e versioni successive
  • Windows 8.1 e versioni successive

Scegliere quindi il profilo. A seconda della piattaforma scelta, le impostazioni che è possibile configurare sono diverse. Gli articoli seguenti descrivono i diversi profili:

Ad esempio, se si seleziona iOS/iPadOS per la piattaforma, le opzioni sono simili al profilo seguente:

Creare un profilo e criteri di configurazione del dispositivo iOS/iPadOS in Endpoint Manager e Microsoft Intune.

Se si seleziona Windows 10 e versioni successive per la piattaforma, le opzioni sono simili al profilo seguente:

Creare un profilo e criteri di configurazione dei dispositivi Windows in Endpoint Manager e Microsoft Intune.

Tag di ambito

Dopo aver aggiunto le impostazioni, è anche possibile aggiungere un tag di ambito al profilo. I tag di ambito filtrano i profili in gruppi IT specifici, ad US-NC IT Team esempio o JohnGlenn_ITDepartment. Inoltre, vengono usati nell'IT distribuito.

Per altre informazioni sui tag di ambito e sulle operazioni che è possibile eseguire, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

Regole di applicabilità

Si applica a:

  • Windows 11
  • Windows 10

Le regole di applicabilità consentono agli amministratori di indirizzare i dispositivi in un gruppo che soddisfano criteri specifici. Ad esempio, si crea un profilo di restrizioni del dispositivo che si applica al gruppo Tutti i dispositivi Windows 10/11. Inoltre, si vuole assegnare solo il profilo ai dispositivi che eseguono Windows Enterprise.

Per eseguire questa attività, creare una regola di applicabilità. Queste regole sono ideali per gli scenari seguenti:

  • Si usa Windows 10 Education (EDU). Al Bellows College si vuole scegliere come destinazione tutti i dispositivi EDU Windows 10 tra RS3 e RS4.
  • Si vuole indirizzare tutti gli utenti in Risorse umane in Contoso, ma si vuole solo Windows 10 dispositivi Professionali o Aziendali.

Per affrontare questi scenari, è necessario:

  • Creare un gruppo di dispositivi che include tutti i dispositivi in Bellows College. Nel profilo aggiungere una regola di applicabilità in modo che venga applicata se la versione minima del sistema operativo è 16299 e la versione massima è 17134. Assegnare questo profilo al gruppo di dispositivi Bellows College.

    Quando viene assegnato, il profilo si applica ai dispositivi tra le versioni minime e massime immesse. Per i dispositivi che non sono compresi tra le versioni minime e massime immesse, il relativo stato viene visualizzato come Non applicabile.

  • Creare un gruppo di utenti che includa tutti gli utenti in Risorse umane (HR) in Contoso. Nel profilo aggiungere una regola di applicabilità in modo che si applichi ai dispositivi che eseguono Windows 10 Professional o Enterprise. Assegnare questo profilo al gruppo di utenti hr.

    Quando viene assegnato, il profilo si applica ai dispositivi che eseguono Windows 10 Professional o Enterprise. Per i dispositivi che non eseguono queste edizioni, il relativo stato viene visualizzato come Non applicabile.

  • Se sono presenti due profili con esattamente le stesse impostazioni, viene applicato il profilo senza una regola di applicabilità.

    Ad esempio, ProfileA è destinato al gruppo di dispositivi Windows 10, abilita BitLocker e non ha una regola di applicabilità. ProfileB è destinato allo stesso gruppo di dispositivi Windows 10, abilita BitLocker e ha una regola di applicabilità per applicare il profilo solo a Windows 10 Enterprise.

    Quando vengono assegnati entrambi i profili, ProfileA viene applicato perché non ha una regola di applicabilità.

Quando si assegna il profilo ai gruppi, le regole di applicabilità fungono da filtro e hanno come destinazione solo i dispositivi che soddisfano i criteri.

Aggiungere una regola

  1. Selezionare Regole di applicabilità. È possibile scegliere la regola e la proprietà:

    Aggiungere una regola di applicabilità a un profilo di configurazione del dispositivo Windows 10 in Endpoint Manager e Microsoft Intune.

  2. In Regola scegliere se includere o escludere utenti o gruppi. Le opzioni disponibili sono:

    • Assegna profilo se: include utenti o gruppi che soddisfano i criteri immessi.
    • Non assegnare il profilo se: esclude gli utenti o i gruppi che soddisfano i criteri immessi.
  3. In Proprietà scegliere il filtro. Le opzioni disponibili sono:

    • Edizione del sistema operativo: nell'elenco controllare le edizioni client Windows che si desidera includere (o escludere) nella regola.

    • Versione del sistema operativo: immettere i numeri di versione minima e massima del client Windows da includere (o escludere) nella regola. Entrambi i valori sono obbligatori.

      Ad esempio, è possibile immettere 10.0.16299.0 (RS3 o 1709) per la versione minima e 10.0.17134.0 (RS4 o 1803) per la versione massima. In alternativa, è possibile essere più granulari e immettere 10.0.16299.001 per la versione minima e 10.0.17134.319 per la versione massima.

      Per altri numeri di versione, vedere Informazioni sulla versione del client Windows.

  4. Selezionare Aggiungi per salvare le modifiche.

Tempi di ciclo di aggiornamento

Intune utilizza diversi cicli di aggiornamento per verificare gli aggiornamenti dei profili di configurazione. Se il dispositivo è stato registrato di recente, il check-in viene eseguito più frequentemente. I cicli di aggiornamento dei criteri e dei profili elencano i tempi di aggiornamento stimati.

In qualsiasi momento, gli utenti possono aprire l'app Company Portal e sincronizzare il dispositivo per controllare immediatamente gli aggiornamenti del profilo.

Suggerimenti

Quando si creano profili, prendere in considerazione le raccomandazioni seguenti:

  • Assegnare un nome ai criteri in modo da sapere cosa sono e cosa fanno. Tutti i criteri di conformità e i profili di configurazione hanno una proprietà Description facoltativa. In Descrizione, essere specifici e includere informazioni in modo che altri utenti sappiano cosa fa il criterio.

    Alcuni esempi di profili di configurazione includono:

    Nome profilo: Amministrazione modello - Profilo di configurazione di OneDrive per tutti gli utenti Windows 10
    Descrizione del profilo: profilo del modello di amministratore di OneDrive che include le impostazioni minime e di base per tutti gli utenti Windows 10. Creato da user@contoso.com per impedire agli utenti di condividere i dati dell'organizzazione con account OneDrive personali.

    Nome profilo: profilo VPN per tutti gli utenti iOS/iPadOS
    Descrizione profilo: profilo VPN che include le impostazioni minime e di base per tutti gli utenti iOS/iPadOS per connettersi alla VPN Contoso. Creato da user@contoso.com in modo che gli utenti eseguano automaticamente l'autenticazione alla VPN, anziché richiedere agli utenti il nome utente e la password.

  • Creare il profilo in base alla propria attività, ad esempio configurare le impostazioni di Microsoft Edge, abilitare Microsoft Defender impostazioni antivirus, bloccare i dispositivi jailbroken iOS/iPadOS e così via.

  • Creare profili che si applicano a gruppi specifici, ad esempio Marketing, Vendite, Amministratori IT o in base alla posizione o al sistema dell'istituto di istruzione.

  • Separare i criteri utente dai criteri dei dispositivi.

    Ad esempio, i modelli amministrativi in Intune hanno migliaia di impostazioni ADMX. Questi modelli mostrano se un'impostazione si applica a utenti o dispositivi. Quando si creano modelli di amministratore, assegnare le impostazioni degli utenti a un gruppo di utenti e assegnare le impostazioni del dispositivo a un gruppo di dispositivi.

    L'immagine seguente mostra un esempio di impostazione che può essere applicata agli utenti, applicata ai dispositivi o applicata a entrambi:

    Intune modello di amministratore che si applica a utenti e dispositivi in Endpoint Manager e Microsoft Intune.

  • Ogni volta che si crea un criterio restrittivo, comunicare questa modifica agli utenti. Ad esempio, se si modifica il requisito del passcode da quattro (4) caratteri a sei (6) caratteri, comunicare agli utenti prima di assegnare i criteri.

Passaggi successivi

Assegnare il profilo e monitorarne lo stato.