Applicare funzionalità e impostazioni ai dispositivi usando i profili dei dispositivi

  • Articolo

Microsoft Intune include le impostazioni e le funzionalità che è possibile abilitare o disabilitare su dispositivi diversi all'interno dell'organizzazione. Queste impostazioni e funzionalità vengono aggiunte ai profili di configurazione.

Quando si configurano le funzionalità del dispositivo usando il profilo di configurazione, è possibile aiutare gli utenti finali a essere produttivi sui propri dispositivi più velocemente.

È possibile creare profili per dispositivi diversi e piattaforme diverse, tra cui Android, iOS/iPadOS, macOS e Windows. Alcune impostazioni di configurazione sono univoche per ogni piattaforma. È anche comune avere molti profili di dispositivo per ogni piattaforma, dalle impostazioni antivirus alle impostazioni personalizzate.

Quando i profili sono pronti, si usa Intune per applicare o "assegnare" il profilo a gruppi di utenti o gruppi di dispositivi.

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare questi profili di configurazione per completare attività diverse. Alcuni esempi di profilo includono:

  • Consentire o impedire l'accesso al bluetooth nel dispositivo.
  • Creare un profilo Wi-Fi o VPN che offra ai dispositivi diversi l'accesso alla rete aziendale.
  • Gestire gli aggiornamenti software, anche quando vengono installati.
  • Eseguire un dispositivo Android come dispositivo tutto schermo dedicato che può eseguire un'app o eseguire molte app.
  • Nei dispositivi iOS/iPadOS e macOS, consentire agli utenti di usare stampanti AirPrint nell'organizzazione.

Consiglio

Se si gestiscono dispositivi locali usando Microsoft Configuration Manager, è possibile usare la co-gestione per collegare al cloud i dispositivi locali. Con la co-gestione si gestiscono i dispositivi client Windows con Configuration Manager e Microsoft Intune.

È possibile creare i profili e i criteri di dispositivo necessari in Intune in base ai criteri attualmente disponibili in Configuration Manager. Per altre informazioni sulla co-gestione, vedere Informazioni sulla co-gestione tramite Microsoft Configuration Manager. Per informazioni correlate, vedere Preparare Intune per la co-gestione.

Usare i modelli o il catalogo delle impostazioni

In Intune, per la maggior parte delle piattaforme, quando si crea un profilo di configurazione del dispositivo, sono disponibili due tipi di criteri: Modelli o Catalogo impostazioni.

Il catalogo delle impostazioni elenca tutte le impostazioni che è possibile configurare e tutte in un'unica posizione. I modelli includono un raggruppamento logico di impostazioni che configurano una funzionalità o un concetto, ad esempio posta elettronica, dispositivi chiosco multimediale e firmware del dispositivo.

Intune include molti modelli che includono gruppi di impostazioni incentrati su diverse parti della gestione dei dispositivi, tra cui l'accesso alle risorse (VPN, Wi-Fi), la sicurezza (antivirus, firewall, certificati) e gli oggetti Criteri di gruppo (modelli amministrativi ADMX).

È possibile creare una baseline di profili che tutti i dispositivi devono avere oppure è possibile configurare funzionalità specifiche in base alle esigenze e ai livelli di sicurezza dell'organizzazione. Per altre informazioni, vedere Livelli di protezione e configurazione in Microsoft Intune.

Questo articolo offre una panoramica dei diversi tipi di profili che è possibile creare. Usare questi profili per consentire o impedire alcune funzionalità nei dispositivi.

Modelli amministrativi e Criteri di gruppo

I modelli amministrativi includono centinaia di impostazioni che è possibile configurare per Internet Explorer, Microsoft Edge, OneDrive, desktop remoto, Word, Excel e altre app di Office. Questi modelli offrono agli amministratori una visione semplificata delle impostazioni, simile a quella dei criteri di gruppo, e sono basati al 100% sul cloud.

Criteri di gruppo analytics analizza gli oggetti Criteri di gruppo locali. Si tratta di uno strumento che consente di determinare il modo in cui gli oggetti Criteri di gruppo si traducono nel cloud. L'output mostra tutte le impostazioni deprecate e le impostazioni disponibili (o non disponibili) per i provider MDM, inclusi i Microsoft Intune.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Certificati

I certificati vengono usati in Intune per autenticare gli utenti in modo che possano accedere ad applicazioni e risorse aziendali tramite vpn, Wi-Fi o profili di posta elettronica. Quando si usano i certificati per autenticare queste connessioni, gli utenti finali non devono immettere nomi utente e password.

I certificati vengono usati anche per la firma e la crittografia della posta elettronica tramite S/MIME. I tipi comuni di certificati usati in Intune includono certificati radice attendibili, certificati Simple Certificate Enrollment Protocol (SCEP) e certificati PKCS (Public Key Cryptography Standards).

Questa funzionalità supporta:

  • Amministratore del dispositivo Android
  • Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Profilo personalizzato

Le impostazioni personalizzate consentono agli amministratori di assegnare le impostazioni del dispositivo che non sono predefinite per Intune. Nei dispositivi Android è possibile immettere valori URI OMA. Per i dispositivi iOS/iPadOS, è possibile importare un file di configurazione creato in Apple Configurator.

Questa funzionalità supporta:

  • Amministratore del dispositivo Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

Ottimizzazione recapito

L'ottimizzazione recapito offre un'esperienza migliore per la distribuzione degli aggiornamenti software. Queste impostazioni stanno sostituendo le impostazioni dell'anello di aggiornamentosoftware Aggiornamenti> Windows 10.

Usare queste impostazioni per controllare il modo in cui gli aggiornamenti software vengono scaricati nei dispositivi dell'organizzazione. Ad esempio, è possibile consentire agli utenti di ottenere i propri aggiornamenti o ottenere gli aggiornamenti usando i servizi cloud di ottimizzazione recapito in un profilo di dispositivo.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Credenziali derivate

Se l'organizzazione usa smart card per l'autenticazione, la firma o la crittografia, è possibile usare le credenziali derivate. In Intune è possibile configurare e distribuire un certificato derivato dalla smart card di un utente. Le credenziali derivate vengono comunemente usate per Wi-Fi & connessioni VPN, l'autenticazione tramite posta elettronica & app o la firma S/MIME & la crittografia.

Intune supporta diversi emittenti di credenziali derivate. Ogni piattaforma ha anche il proprio set di impostazioni.

Questa funzionalità supporta:

  • Android Enterprise
  • iOS/iPadOS

Funzionalità del dispositivo

Le funzionalità del dispositivo controllano le funzionalità nei dispositivi iOS/iPadOS e macOS, ad esempio AirPrint, notifiche e messaggi della schermata di blocco.

Questa funzionalità supporta:

  • iOS/iPadOS
  • macOS

Configurazione del BIOS e DFCI

Con la configurazione del BIOS, gli amministratori possono proteggere con password l'accesso al BIOS e creare un file di configurazione usando uno strumento OEM con le impostazioni del BIOS desiderate. Aggiunge quindi questo file di configurazione ai criteri di Intune.

L'interfaccia di configurazione del firmware del dispositivo (DFCI) consente agli amministratori di abilitare o disabilitare le impostazioni UEFI (BIOS) usando Intune. Usare queste impostazioni per migliorare la sicurezza a livello di firmware, che in genere è più resiliente agli attacchi dannosi.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Restrizioni di dispositivo

Le restrizioni dei dispositivi controllano la sicurezza, l'hardware, la condivisione dei dati e altre impostazioni nei dispositivi. Ad esempio, creare un profilo di restrizione del dispositivo che impedisce agli utenti del dispositivo iOS/iPadOS di usare la fotocamera del dispositivo.

Esistono anche impostazioni che gestiscono l'accesso agli app store, impediscono agli utenti di visualizzare documenti aziendali in app non gestite, richiedono una password per sbloccare il dispositivo o richiedono ai dispositivi di usare solo reti Wi-Fi specifiche.

Questa funzionalità supporta:

  • Amministratore del dispositivo Android
  • Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 10 Team

Aggiunta a un dominio

L'aggiunta a un dominio configura Active Directory locale informazioni sul dominio. Queste informazioni vengono distribuite in Microsoft Entra dispositivi aggiunti ibridi quando viene effettuato il provisioning con Windows Autopilot e Intune. Questo profilo indica ai dispositivi quali dominio e unità organizzativa aggiungere.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Aggiornamento dell'edizione e cambio di modalità

Windows 10/11 l'edizione aggiorna automaticamente i dispositivi che eseguono alcune versioni del client Windows a un'edizione più recente.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Education

Impostazioni per la formazione: Windows 10 configurare le opzioni per l'app Windows Take a Test. Quando si configurano queste opzioni, non è possibile eseguire altre app nel dispositivo finché non viene completato il test.

Impostazioni per l'istruzione: iOS/iPadOS usa l'app Classroom iOS/iPadOS per guidare l'apprendimento e controllare i dispositivi degli studenti in classe. È possibile configurare i dispositivi iPad in modo che molti studenti possano condividere un singolo dispositivo.

Posta elettronica

Email impostazioni crea, assegna e monitora Exchange ActiveSync impostazioni di posta elettronica nei dispositivi. Email profili consentono di garantire coerenza, ridurre le chiamate di supporto e consentire agli utenti finali di accedere alla posta elettronica aziendale sui propri dispositivi personali, senza alcuna configurazione necessaria da parte loro.

Questa funzionalità supporta:

  • Amministratore del dispositivo Android
  • Android Enterprise
  • iOS/iPadOS
  • Windows 11
  • Windows 10

Protezione degli endpoint

Endpoint Protection configura le impostazioni di BitLocker e Microsoft Defender per i dispositivi client Windows. Nei dispositivi macOS è anche possibile configurare il firewall, il gateway e altre risorse.

Per eseguire l'onboarding di Microsoft Defender per endpoint con Microsoft Intune, vedere Configurare gli endpoint con gli strumenti MDM (Mobile Gestione dispositivi).

Questa funzionalità supporta:

  • macOS
  • Windows 11
  • Windows 10

Cellulare eSIM

I profili cellulari eSIM consentono agli amministratori di configurare i piani dati della rete cellulare nei dispositivi gestiti per l'accesso a Internet e ai dati. Dopo aver ottenuto i codici di attivazione dall'operatore di telefonia mobile, usare Intune per importare questi codici di attivazione e quindi assegnare ai dispositivi con supporto per eSIM.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10 Fall Creators Update e versioni successive

Estensioni

Le estensioni del sistema macOS e le estensioni del kernel consentono agli amministratori di aggiungere funzionalità o programmi che estendono le funzionalità native del sistema operativo. Configurare queste impostazioni per considerare attendibili tutte le estensioni di uno sviluppatore o partner specifico o consentire estensioni specifiche.

Questa funzionalità supporta:

  • macOS

Protezione dell'identità

Identity Protection controlla l'esperienza di Windows Hello for Business nei dispositivi client Windows. Configurare queste impostazioni per rendere disponibile Windows Hello for Business a utenti e dispositivi e per specificare i requisiti per i PIN e i movimenti del dispositivo.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

Chiosco multimediale

Il profilo delle impostazioni chiosco multimediale configura un dispositivo per l'esecuzione di un'app o l'esecuzione di molte app. È anche possibile personalizzare altre funzionalità del chiosco, tra cui un menu di avvio e un Web browser.

Questa funzionalità supporta:

  • Windows 11 (solo chiosco multimediale per app singola)
  • Windows 10

Le impostazioni del chiosco multimediale sono disponibili anche come restrizioni del dispositivo per Android, Android Enterprise e iOS/iPadOS.

Profilo MX (Zebra)

Le estensioni di mobilità (MX) si espandono sulle impostazioni di Intune predefinite per personalizzare o aggiungere altre impostazioni specifiche per i dispositivi Zebra. I dispositivi Zebra vengono comunemente usati in fabbrica e in ambienti di vendita al dettaglio. Se si dispone di centinaia o migliaia di dispositivi Zebra, è possibile usare Intune per configurare e gestire questi dispositivi.

Questa funzionalità supporta:

  • Amministratore del dispositivo Android

Microsoft Defender per endpoint

Microsoft Defender per endpoint si integra con Intune per monitorare e proteggere i dispositivi. È possibile impostare i livelli di rischio e determinare cosa accade se i dispositivi superano tale livello. In combinazione con l'accesso condizionale, è possibile evitare attività dannose nell'organizzazione.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Limite di rete

Il limite di rete crea un elenco di siti attendibili per l'organizzazione. Questa funzionalità viene usata con Microsoft Defender Application Guard e Microsoft Edge per proteggere i dispositivi.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

OEMConfig

Nei dispositivi Android Enterprise, OEMConfig è uno standard. Consente agli OEM (produttori di apparecchiature originali) e alle emms (gestione della mobilità aziendale) di creare e supportare funzionalità specifiche degli OEM in modo standardizzato.

Con OEMConfig, un OEM crea uno schema che definisce le funzionalità di gestione specifiche dell'OEM e lo incorpora in un'app caricata in Google Play. Intune legge lo schema dall'app e consente agli amministratori Intune di configurare le impostazioni nello schema.

Questa funzionalità supporta:

  • Android Enterprise (OEMConfig)

File delle preferenze

I file di preferenza nei dispositivi macOS includono informazioni sulle app. Ad esempio, è possibile usare i file delle preferenze per controllare le impostazioni del Web browser, personalizzare le app e altro ancora.

Questa funzionalità supporta:

  • macOS

Consiglio

Le impostazioni macOS vengono aggiunte continuamente al catalogo delle impostazioni. Alcune di queste impostazioni possono sostituire i file delle preferenze. Per altre informazioni, vedere Attività che è possibile completare usando il Catalogo impostazioni in Intune.

Catalogo delle impostazioni

Il catalogo delle impostazioni elenca tutte le impostazioni disponibili che è possibile configurare e tutte in un'unica posizione. Non si tratta di un modello o di un raggruppamento logico di impostazioni. Il catalogo delle impostazioni è simile alla configurazione degli oggetti Criteri di gruppo locali, ma è nativo del cloud.

In Windows sono disponibili migliaia di impostazioni, tra cui molte impostazioni non disponibili nei modelli. Quando si vuole un elenco completo di tutte le impostazioni, usare il catalogo delle impostazioni per creare i criteri. Se si vuole usare un raggruppamento logico di impostazioni, continuare a usare i modelli.

Le attività che è possibile completare usando il catalogo delle impostazioni Intune sono una risorsa valida.

Questa funzionalità supporta:

  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

Dispositivo multiutente condiviso

Windows 10/11 e Windows Holographic for Business include le impostazioni per gestire i dispositivi con più utenti. Questi dispositivi sono noti come dispositivi condivisi o PC condivisi. Quando un utente accede al dispositivo, si sceglie se l'utente può modificare le opzioni di sospensione o salvare i file nel dispositivo. In un altro esempio, per risparmiare spazio, è possibile creare un profilo che elimina le credenziali inattive dai dispositivi Windows HoloLens.

Queste impostazioni del dispositivo multiuteto condivise consentono agli amministratori di controllare alcune delle funzionalità del dispositivo e di gestire questi dispositivi condivisi usando Intune.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

Script della shell

Nei dispositivi Linux è possibile aggiungere script Bash esistenti per personalizzare le impostazioni e le funzionalità in questi dispositivi. Questo concetto è simile alla creazione di un profilo di configurazione del dispositivo personalizzato e alla distribuzione dei criteri nei dispositivi. Con Linux si usano gli script Bash esistenti per configurare le funzionalità e le impostazioni non integrate in Intune.

Nei dispositivi macOS è possibile aggiungere script della shell esistenti e quindi distribuire questi script nei dispositivi macOS.

Nei dispositivi Windows è possibile usare l'estensione di gestione Intune per caricare gli script di PowerShell in Intune e quindi eseguire questi script nei dispositivi. Vedere anche gli elementi necessari per usare l'estensione, come aggiungerli a Intune e altre informazioni importanti.

Questa funzionalità supporta:

  • Linux
  • macOS
  • Windows 11
  • Windows 10

Criteri di aggiornamento

I criteri di aggiornamento di iOS/iPadOS mostrano come creare e assegnare criteri iOS/iPadOS per installare gli aggiornamenti software nei dispositivi iOS/iPadOS. È anche possibile verificare lo stato di installazione.

Per i criteri di aggiornamento nei dispositivi Windows, vedere Ottimizzazione recapito.

Questa funzionalità supporta:

  • iOS/iPadOS

VPN

Le impostazioni VPN assegnano profili VPN a utenti e dispositivi dell'organizzazione, in modo che possano connettersi facilmente e in modo sicuro alla rete.

Le reti private virtuali offrono agli utenti l'accesso remoto sicuro alla rete aziendale. I dispositivi usano un profilo di connessione VPN per avviare una connessione con il server VPN.

Questa funzionalità supporta:

  • Amministratore del dispositivo Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Le impostazioni Wi-Fi assegnano le impostazioni di rete wireless a utenti e dispositivi. Quando si assegna un profilo WiFi, gli utenti ottengono l'accesso al Wi-Fi aziendale senza doverlo configurare autonomamente.

Questa funzionalità supporta:

  • Amministratore del dispositivo Android
  • Android
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1 (solo importazione)

Monitoraggio dell’integrità di Windows

Il monitoraggio dell'integrità di Windows consente a Endpoint Analytics di raccogliere e analizzare i dati degli eventi. È possibile usare questi dati per ottenere informazioni dettagliate sui dispositivi Windows, inclusi gli aggiornamenti software e le prestazioni di avvio.

Questa funzionalità supporta:

  • Windows 11
  • Windows 10

Reti cablate

Le reti cablate consentono di creare e gestire connessioni cablate 802.1x per computer e dispositivi desktop macOS e Windows. Nel profilo scegliere l'interfaccia di rete, selezionare i tipi EAP accettati e immettere le impostazioni di attendibilità del server, inclusi i certificati PKCS e SCEP.

Quando si assegna il profilo, gli utenti ottengono l'accesso alla rete cablata aziendale senza doverla configurare autonomamente.

Questa funzionalità supporta:

  • macOS
  • Windows 11
  • Windows 10

Zebra Mobility Extensions (MX)

Zebra Mobility Extensions (MX) consente agli amministratori di usare e gestire i dispositivi Zebra in Intune. È possibile creare profili StageNow con le impostazioni e quindi usare Intune per assegnare e distribuire questi profili ai dispositivi Zebra. I log di StageNow e i problemi comuni sono un'ottima risorsa per risolvere i profili e visualizzare alcuni potenziali problemi quando si usa StageNow.The StageNow logs and common issues is a great resource to troubleshoot profiles, and see some potential issues when using StageNow.

Questa funzionalità supporta:

  • Amministratore di dispositivi Android (estensioni mobility)

Gestire e risolvere i problemi

Gestire i profili per controllare lo stato dei dispositivi e i profili assegnati. Consente inoltre di risolvere i conflitti visualizzando le impostazioni che causano un conflitto e i profili che includono queste impostazioni.

Domande e comportamenti comuni con criteri e profili consentono agli amministratori di lavorare con i profili. Descrive cosa accade quando si elimina un profilo, cosa fa sì che le notifiche vengano inviate ai dispositivi e altro ancora.

Passaggi successivi

Scegliere un profilo e iniziare.