Share via

guida dettagliata alla configurazione del cloud Windows 10/11

  • Articolo

Windows 10/11 nella configurazione cloud (configurazione cloud) è una configurazione del dispositivo per i dispositivi client Windows. È progettato per semplificare l'esperienza dell'utente finale. Per altre informazioni sulla configurazione del cloud, inclusi i requisiti minimi, vedere Panoramica dello scenario guidato della configurazione cloud di Windows.

Con la configurazione cloud si usano criteri di Microsoft Intune per trasformare un dispositivo client Windows in un dispositivo ottimizzato per il cloud. Windows 10/11 nella configurazione cloud:

  • Ottimizza i dispositivi per il cloud configurandoli per la registrazione nella gestione di Intune con Microsoft Entra. I dati utente vengono archiviati automaticamente in OneDrive con lo spostamento di cartelle note configurato.

  • Installa Microsoft Teams e Microsoft Edge nei dispositivi.

  • Configura gli utenti finali in modo che siano utenti standard nei dispositivi, offrendo al personale IT un maggiore controllo sulle app installate nei dispositivi.

  • Rimuove le app predefinite e l'app di Microsoft Store, semplificando l'esperienza utente finale.

  • Applica le impostazioni di sicurezza degli endpoint e i criteri di conformità. Questi criteri consentono di proteggere i dispositivi e di monitorare l'integrità dei dispositivi.

  • Garantisce che i dispositivi vengano aggiornati automaticamente tramite Windows Update per le aziende.

  • Facoltativamente, è anche possibile:

    • Aggiungere altre app di Microsoft 365, ad esempio Outlook, Word, Excel e PowerPoint.
    • Aggiungere app line-of-business essenziali che gli utenti finali devono avere successo. Microsoft consiglia di mantenere queste app al minimo per semplificare la configurazione.
    • Aggiungere risorse essenziali, ad esempio profili Wi-Fi, connessioni VPN, certificati e driver della stampante necessari per i flussi di lavoro degli utenti.

Consiglio

Per una panoramica su Windows 10/11 nella configurazione cloud e sui relativi usi, passare a Windows 10/11 nella configurazione cloud.

Esistono due modi per distribuire la configurazione cloud:

  • Opzione 1 - Automatico: usare lo scenario guidato per creare automaticamente tutti i gruppi e i criteri con i valori configurati. Per altre informazioni su questa opzione, vedere Panoramica dello scenario guidato della configurazione cloud di Windows.
  • Opzione 2 - Manuale (questo articolo): usare la procedura descritta in questo articolo per distribuire manualmente la configurazione cloud.

Questa guida consente di creare una distribuzione di configurazione cloud personalizzata. Le sezioni seguenti descrivono come usare Microsoft Intune per configurare la configurazione cloud:

  1. Creare un gruppo di Microsoft Entra
  2. Configurare la registrazione dei dispositivi
  3. Distribuire uno script per configurare lo spostamento di cartelle note e rimuovere le app predefinite
  4. Distribuire le app
  5. Distribuire le impostazioni di sicurezza degli endpoint
  6. Configurare le impostazioni di Windows Update
  7. Distribuire un criterio di conformità di Windows
  8. Configurazioni facoltative

Passaggio 1: Creare un gruppo di Microsoft Entra

Il primo passaggio consiste nel creare un gruppo di sicurezza Microsoft Entra che riceve le configurazioni distribuite.

Questo gruppo dedicato consente di organizzare i dispositivi e gestire le risorse di configurazione cloud in Intune. Microsoft consiglia di distribuire solo le configurazioni in questa guida. Quindi, se necessario, aggiungere altre app essenziali e altre configurazioni del dispositivo.

Per creare il gruppo, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Gruppi>Tutti i gruppi>Nuovo gruppo.

  3. In Tipo di gruppo selezionare Sicurezza.

  4. Immettere un nome di gruppo, ad esempio Cloud config PCs.

  5. Per Tipo di appartenenza selezionare Assegnato.

  6. Se si desidera, è possibile aggiungere dispositivi al nuovo gruppo ora. Selezionare Nessun membro selezionato e aggiungere membri al gruppo.

    È anche possibile iniziare con un gruppo vuoto e aggiungere dispositivi in un secondo momento.

  7. Selezionare Crea.

Consiglio

Quando viene creato il gruppo, è possibile aggiungere dispositivi Windows Autopilot preregistrati a questo gruppo.

Dispositivi esistenti

Se si dispone di dispositivi esistenti registrati in Intune che si vuole usare con la configurazione cloud, è consigliabile iniziare da zero con questi dispositivi. In particolare:

  • Rimuovere le app e i profili esistenti distribuiti in questi dispositivi.
  • Reimpostare questi dispositivi.
  • Registrare nuovamente il dispositivo in Intune e distribuire la configurazione cloud.

Questi passaggi aggiuntivi sono consigliati per i dispositivi esistenti perché offrono un'esperienza utente semplificata. È quindi possibile aggiungere altre app essenziali e assicurarsi che i dispositivi abbiano solo ciò di cui gli utenti hanno bisogno.

Passaggio 2 - Configurare la registrazione del dispositivo

In questo passaggio viene abilitata la registrazione automatica MDM in Intune e viene configurata la modalità di registrazione dei dispositivi in Intune.

Se si usa già Windows Autopilot, ignorare questo passaggio e passare al passaggio 3 - Distribuire uno script per configurare lo spostamento di cartelle note e rimuovere le app predefinite (in questo articolo).

✔️ 1 - Abilitare la registrazione automatica

Abilitare la registrazione automatica per gli utenti dell'organizzazione che si desidera usare la configurazione cloud. La registrazione automatica è necessaria per la configurazione cloud. Per altre informazioni sulla registrazione automatica, vedere Guida alla registrazione - Registrazione automatica di Windows.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Dispositivi>>Registrazione>automatica windows.

  3. In Ambito utente MDM selezionare una delle opzioni seguenti:

    • Selezionare Tutto per applicare la configurazione cloud a tutti i dispositivi Windows usati dagli utenti dell'organizzazione. Nella maggior parte degli scenari di configurazione cloud è selezionata l'opzione Tutto .
    • Selezionare Alcuni per applicare la configurazione cloud ai dispositivi usati da un subset di utenti nell'organizzazione. Se si vuole applicare la configurazione cloud in un approccio a fasi, Alcuni potrebbero essere una buona scelta.

  4. Non configurare l'ambito utente MAM, le condizioni MAM dell'URL utente, l'URL di individuazione MDM e le impostazioni dell'URL di conformità MAM. Lasciare vuote queste impostazioni. Le impostazioni MAM non sono configurate per la configurazione cloud.

  5. Seleziona Salva per salvare le modifiche.

✔️ 2 - Scegliere il modo in cui i dispositivi registrano e configurano gli utenti come utenti standard nei dispositivi

Dopo aver abilitato la registrazione automatica di Windows in Intune, il passaggio successivo consiste nel determinare la modalità di registrazione dei dispositivi in Intune. Quando si registrano, sono disponibili per ricevere i criteri di configurazione cloud. È anche necessario configurare gli utenti in modo che siano utenti standard nei propri dispositivi. Gli utenti standard possono installare solo le app che l'organizzazione approva.

Per la registrazione sono disponibili tre opzioni. Selezionare un'opzione di registrazione.

  • Usare Windows Autopilot (scelta consigliata)
  • Registrazione in blocco tramite un pacchetto di provisioning
  • Usare il Microsoft Entra ID nell'esperienza predefinita (Configurazione guidata)

Questa sezione fornisce altre informazioni su queste opzioni di registrazione e sulla configurazione degli utenti come utenti standard nei propri dispositivi.

È consigliabile usare la registrazione di Windows Autopilot e la pagina dello stato della registrazione (ESP). Questo metodo di registrazione e l'ESP offrono un'esperienza utente finale coerente.

  • Si preregistra i dispositivi con il servizio di distribuzione Windows Autopilot. Con Windows Autopilot, gli amministratori configurano la modalità di avvio e registrazione dei dispositivi nella gestione dei dispositivi.
  • I criteri di Windows Autopilot di Intune configurano l'esperienza predefinita (Configurazione guidata). Nella Configurazione guidata selezionare gli utenti come utenti standard.
  • I criteri di Windows Autopilot di Intune configurano la pagina dello stato della registrazione (ESP). L'ESP mostra lo stato di avanzamento della configurazione. Gli utenti rimangono sull'ESP fino a quando tutte le impostazioni di configurazione del cloud non vengono applicate al dispositivo.

Per configurare la registrazione guidata dall'utente di Windows Autopilot, seguire questa procedura:

  1. Aggiungere dispositivi a Windows Autopilot.

    Registrare i dispositivi in Windows Autopilot seguendo la procedura descritta in Passaggio 3 - Registrare i dispositivi in Windows Autopilot (apre un articolo di Windows Autopilot).

    Nota

    L'articolo Passaggio 3 - Registrare i dispositivi in Windows Autopilot Windows Autopilot fa parte di una serie di passaggi. Per questa configurazione cloud, seguire solo il passaggio 3 - Registrare i dispositivi in Windows Autopilot per registrare i dispositivi. Non seguire gli altri passaggi della serie. Gli altri passaggi della serie di Windows Autopilot sono relativi a uno scenario di Windows Autopilot diverso.

    È anche possibile registrare manualmente i dispositivi per usare Windows Autopilot. La registrazione manuale dei dispositivi viene spesso usata per riutilizzare l'hardware esistente non configurato in precedenza con Windows Autopilot.

  2. Creare e assegnare un profilo di distribuzione di Windows Autopilot in Intune.

    1. Accedere all'interfaccia di amministrazione Microsoft Intune.

    2. Selezionare Dispositivi>Registrazione>Windows> Windows Autopilot DeploymentProfili di distribuzionedel programma>.

    3. Selezionare Creapc Windowsprofilo>. Immettere un nome per il profilo.

    4. Per l'impostazione Converti tutti i dispositivi di destinazione in Autopilot selezionare . Seleziona Avanti.

      È possibile applicare la configurazione cloud ai dispositivi registrati usando metodi di registrazione diversi da Windows Autopilot. Quando si aggiungono tali dispositivi (dispositivi non Windows Autopilot) al gruppo, i dispositivi vengono convertiti in Windows Autopilot. La prossima volta che i dispositivi vengono reimpostati e passano attraverso l'esperienza predefinita di Windows (Configurazione guidata), vengono registrati tramite Windows Autopilot.

    5. Nella scheda Configurazione guidata immettere i valori seguenti e quindi selezionare Avanti:

      Impostazione Valore
      Modalità di distribuzione Basato sull'utente
      Partecipare a Microsoft Entra ID come Microsoft Entra aggiunto
      Condizioni di licenza software Microsoft Nascondi
      Impostazioni di privacy Nascondi
      Nascondi le opzioni dell'account di modifica Nascondi
      Tipo di account utente Standard
      Consenti distribuzione pre-provisioning No
      Lingua (area geografica) Impostazione predefinita del sistema operativo
      Configurare automaticamente la tastiera
      Applica modello di nome dispositivo Facoltativo. È possibile applicare un modello di nome dispositivo. Usare un prefisso di nome che consente di identificare i dispositivi di configurazione cloud, ad esempio Cloud-%SERIAL%.

    6. Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo) e quindi selezionare Avanti.

    7. Esaminare il nuovo profilo e quindi selezionare Crea.

  3. Creare e assegnare una pagina stato registrazione in Intune.

    1. Accedere all'interfaccia di amministrazione Microsoft Intune.

    2. Selezionare Dispositivi>Registrazione Windows>> Paginastato registrazionegenerale>.

    3. Selezionare Crea e immettere un nome per la pagina Stato registrazione.

    4. Nella scheda Impostazioni immettere i valori seguenti e quindi selezionare Avanti:

      Impostazione Valore
      Mostra processo di configurazione dell'app e del profilo
      Mostra un errore quando l'installazione richiede un numero di minuti superiore a quello specificato. 60
      Mostra messaggio personalizzato quando si verifica un errore relativo al limite di tempo Sì: è anche possibile modificare il messaggio predefinito.
      Consentire agli utenti di raccogliere i log degli errori di installazione
      Bloccare l'utente del dispositivo finché non vengono installati tutti i profili e le app
      Consentire agli utenti di ripristinare il dispositivo in caso di errore di installazione.
      Consentire agli utenti di utilizzare il dispositivo in caso di errore di installazione No
      Bloccare l'utente del dispositivo fino a quando queste app necessarie non vengono installate se vengono assegnate all'utente/dispositivo Tutti

      Nota

      Se si verifica un errore di installazione, è consigliabile impedire agli utenti di usare il dispositivo. Il blocco degli utenti garantisce che possano iniziare a usare il dispositivo solo dopo l'applicazione completa della configurazione cloud.

      Se si verifica un errore di installazione, in base alle esigenze di distribuzione, è possibile consentire all'utente di usare il dispositivo. Se si consente l'uso del dispositivo, quando il dispositivo esegue l'accesso con Intune, Intune continua a provare ad applicare le configurazioni.

    5. In Assegnazioni assegnare la pagina Stato registrazione al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

      Seleziona Avanti.

    6. Selezionare Crea per creare e assegnare la pagina Stato registrazione.

Opzione di registrazione 2: registrazione in blocco con un pacchetto di provisioning

È possibile registrare i dispositivi usando un pacchetto di provisioning creato usando configurazione di Windows Designer o l'app Configurazione PC scolastici.

Per altre informazioni sulla registrazione in blocco, vedere Registrazione in blocco per i dispositivi Windows.

Con la registrazione in blocco:

  • Dopo la registrazione dei dispositivi in Intune, aggiungerli al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo). Quando vengono aggiunti al gruppo, ricevono la configurazione cloud.
  • Tutti gli utenti sono automaticamente utenti standard nel dispositivo.
  • Non è presente una pagina di stato della registrazione. Gli utenti non possono visualizzare lo stato di avanzamento quando vengono applicate tutte le impostazioni di configurazione del cloud. Gli utenti possono iniziare a usare il dispositivo prima che la configurazione cloud venga applicata completamente.
  • Prima di distribuire i dispositivi agli utenti, Microsoft consiglia di verificare che le impostazioni e le app siano presenti nei dispositivi.

Opzione di registrazione 3: eseguire la registrazione usando Microsoft Entra ID nell'esperienza predefinita (Configurazione guidata)

Con la registrazione automatica MDM abilitata in Intune, durante la configurazione guidata, gli utenti accedono con i propri account Microsoft Entra. Quando accedono, la registrazione viene avviata automaticamente.

Con questa opzione di registrazione, è possibile:

  1. Configurare un profilo personalizzato Microsoft Intune per limitare gli amministratori locali nei dispositivi. Il provider di servizi di configurazione criteri include un codice XML di definizione dei criteri di esempio che è possibile usare nel profilo personalizzato.

    Consiglio

    In questo profilo personalizzato è presente un'altra impostazione che aggiunge un gruppo che può essere amministratore locale nel dispositivo. Questo gruppo di amministratori locali deve includere solo gli amministratori IT nell'ambiente.

  2. Assegnare il profilo personalizzato al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

Passaggio 3: Configurare lo spostamento di cartelle note di OneDrive e distribuire uno script per rimuovere le app predefinite

Quando si configura Lo spostamento di cartelle note di OneDrive, i file utente e i dati vengono salvati automaticamente in OneDrive. Quando rimuovi le app di Windows predefinite e Microsoft Store, il menu Start e l'esperienza del dispositivo sono semplificati.

Questo passaggio consente di semplificare l'esperienza utente di Windows.

✔️ 1 - Configurare lo spostamento di cartelle note di OneDrive con un modello amministrativo

Con lo spostamento di cartelle note, i dati degli utenti (file e cartelle) vengono salvati in OneDrive. Quando gli utenti accedono a un altro dispositivo, OneDrive sincronizza automaticamente i dati con il nuovo dispositivo. Gli utenti non devono spostare manualmente i file.

Nota

A causa di un problema di sincronizzazione con lo spostamento di cartelle note di OneDrive e la configurazione SharedPC, Microsoft non consiglia l'uso di Windows nella configurazione cloud con un dispositivo con più utenti che eseguono l'accesso e l'uscita.

Per configurare lo spostamento di cartelle note, usare un modello ADMX in Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Dispositivi>Profili >di configurazione diWindows> Crea >nuovo criterio.

  3. Selezionare Windows 10 e versioni successive per la piattaforma e selezionare Modelli per il tipo di profilo.

  4. Selezionare Modelli amministrativi e quindi Crea.

  5. Immettere un nome per il profilo e selezionare Avanti.

  6. In Impostazioni di configurazione cercare le impostazioni nella tabella seguente e selezionare i valori consigliati:

    Nome dell'impostazione Valore
    Spostare automaticamente le cartelle note di Windows nell'ID tenant abilitato per OneDrive Immettere l'ID tenant dell'organizzazione.

    L'ID tenant viene visualizzato nella pagina> Proprietà Interfaccia di amministrazione di Microsoft Entra >ID tenant.
    Visualizzare la notifica agli utenti dopo il reindirizzamento delle cartelle Sì. È anche possibile scegliere di nascondere la notifica.
    Consenti l'accesso automatico degli utenti alll'app sincronizzazione di OneDrive con le proprie credenziali di Windows Abilitato
    Impedisci agli utenti di spostare le proprie cartelle note di Windows in OneDrive Abilitato
    Impedisci agli utenti di reindirizzare le proprie cartelle note di Windows al proprio PC Abilitato
    Usa File di OneDrive su richiesta Abilitato

  7. Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

✔️ 2 - Distribuire uno script per rimuovere le app predefinite

Microsoft ha creato uno script Windows PowerShell che:

  • Rimuove le app predefinite dai dispositivi.
  • Rimuove l'app di Microsoft Store dai dispositivi.

Lo script viene distribuito nei dispositivi usando in Intune. Per aggiungere e distribuire lo script, seguire questa procedura:

  1. Scaricare lo script di rimozione dell'app PowerShell della finestra di configurazione del cloud. Questo script rimuove l'app di Microsoft Store e le app predefinite.

    Nota

    Se vuoi mantenere l'app di Microsoft Store nei dispositivi, puoi usare lo script che rimuove le app predefinite ma mantiene invece Microsoft Store . Per usare questo script, scaricarlo e seguire la stessa procedura. Questo script tenta di rimuovere le app predefinite, ma potrebbe non rimuoverle tutte. Potrebbe essere necessario modificare lo script per rimuovere tutte le app predefinite nei dispositivi.

  2. Accedere all'interfaccia di amministrazione Microsoft Intune.

  3. Selezionare Dispositivi>Script windows>e correzioni>Script della piattaforma>Aggiungi.

  4. In Nozioni di base immettere un nome per i criteri di script e selezionare Avanti.

  5. In Impostazioni script caricare lo script scaricato. Lasciare invariate le altre impostazioni e selezionare Avanti.

  6. Assegnare lo script al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

App di Microsoft Store

Se l'app di Microsoft Store è stata rimossa in precedenza, è possibile ridistribuirla usando Microsoft Intune. Per aggiungere nuovamente l'app di Microsoft Store (o qualsiasi altra app da aggiungere di nuovo), aggiungere l'app di Microsoft Store al repository di app dell'organizzazione privata. Distribuire quindi l'app nei dispositivi usando Intune. L'app di Microsoft Store consente di mantenere aggiornate le app.

Il repository di app dell'organizzazione privata può essere:

Usando Intune, nei dispositivi Windows 10/11 Enterprise ed Education è possibile impedire agli utenti finali di installare app di Microsoft Store all'esterno del repository di app privato dell'organizzazione.

Per evitare queste app esterne, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Dispositivi>Profili >di configurazione diWindows> Crea >nuovo criterio.

  3. Selezionare Windows 10 e versioni successive per la piattaforma e selezionare Catalogo impostazioni per il tipo di profilo. Selezionare Crea.

  4. In Informazioni di base immettere un nome per il profilo.

  5. In Impostazioni di configurazione selezionare Aggiungi impostazioni. In seguito:

    1. Nella selezione impostazioni cercare private store. Nei risultati della ricerca nella categoria Microsoft App Store selezionare Richiedi solo archivio privato.
    2. Impostare l'impostazione Richiedi solo archivio privato su Solo archivio privato abilitato.
    3. Seleziona Avanti.

  6. In Assegnazioni assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

  7. In Rivedi e crea rivedere il profilo e selezionare Crea.

Passaggio 4- Distribuire le app

Questo passaggio distribuisce Microsoft Edge e Microsoft Teams. È possibile distribuire altre app essenziali in questo passaggio. Tenere presente che distribuire solo ciò di cui gli utenti hanno bisogno.

✔️ 1 - Distribuire Microsoft Edge

  1. Aggiungere Microsoft Edge a Intune.
  2. Per Impostazioni app selezionare Canale stabile.
  3. Assegnare l'app Microsoft Edge al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

✔️ 2- Distribuire Microsoft Teams

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare App>di Windows.

  3. Selezionare Aggiungi per creare una nuova app.

  4. Per Microsoft 365 Apps selezionare Windows 10 e quindi>Selezionare.

  5. Per Nome suite immettere un nome o usare il nome suggerito. Seleziona Avanti.

  6. Per Configura suite di app selezionare solo Teams.

    Se si vogliono distribuire altre app di Microsoft 365, selezionarle da questo elenco. Tenere presente che distribuire solo ciò di cui gli utenti hanno bisogno.

    Consiglio

    Non è necessario scegliere OneDrive. OneDrive è integrato in Windows 10/11 Pro, Enterprise ed Education.

  7. Per informazioni sulla suite di app, configurare le impostazioni seguenti:

    Impostazione Valore
    Architettura 64 bit

    La configurazione cloud funziona anche con 32 bit. Microsoft consiglia di scegliere a 64 bit.
    Canale di aggiornamento Canale corrente
    Rimuovere altre versioni
    Versione da installare Ultima versione

  8. Per Proprietà configurare le impostazioni seguenti:

    Impostazione Valore
    Usare l'attivazione del computer condiviso
    Accettare le condizioni di licenza software Microsoft per conto degli utenti

  9. Seleziona Avanti.

  10. Assegnare la suite al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

Passaggio 5 - Distribuire le impostazioni di sicurezza degli endpoint

Questo passaggio configura le impostazioni di sicurezza degli endpoint per proteggere i dispositivi, incluse le impostazioni predefinite di sicurezza di Windows e BitLocker.

✔️ 1 - Distribuire la baseline di sicurezza MDM Windows 10/11

Per Windows nella configurazione cloud, è consigliabile usare la baseline di sicurezza Windows 10/11. Esistono alcuni valori di impostazione che è possibile modificare in base alle preferenze dell'organizzazione.

Configurare la baseline di sicurezza in Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Baseline di sicurezza>> degli endpoint Baselinedi sicurezza per Windows 10 e versioni successive.

  3. Selezionare Crea profilo per creare una nuova baseline di sicurezza.

  4. Immettere un nome per la baseline di sicurezza e selezionare Avanti.

  5. Accettare le impostazioni di configurazione predefinite. In alternativa, è possibile modificare le impostazioni seguenti in base alle esigenze dell'organizzazione:

    Impostazione della categoria Impostazione Motivo della modifica
    Browser Blocca Gestione password Se si vuole consentire agli utenti finali di usare le gestioni password, disabilitare questa impostazione.
    Assistenza remota Assistenza remota richiesta Questa impostazione consente al personale di supporto di connettersi in remoto ai dispositivi. Microsoft consiglia di disabilitare questa impostazione a meno che non sia necessaria.
    Firewall Tutte le impostazioni del firewall Se è necessario consentire determinate connessioni ai dispositivi in base alle esigenze dell'organizzazione, modificare le impostazioni predefinite del firewall.

    Seleziona Avanti.

  6. In Assegnazioni selezionare il gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

  7. Selezionare Crea per creare e assegnare la baseline.

✔️ 2 - Distribuire altre impostazioni di BitLocker con un profilo di sicurezza dell'endpoint di crittografia dell'unità

Sono disponibili altre impostazioni di BitLocker che consentono di proteggere i dispositivi. Configurare queste impostazioni di BitLocker in Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Endpoint security> Disk encryptionCreate Policy (Crea criteri dicrittografia> dei dischi).

  3. In Piattaforma selezionare Windows 10 e versioni successive.

  4. In Profilo selezionare Crea BitLocker>.

  5. In Informazioni di base immettere un nome per il profilo.

  6. In Impostazioni di configurazione selezionare le impostazioni seguenti:

    Impostazione della categoria Impostazione Valore
    BitLocker - Impostazioni di base Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
         
    BitLocker - Impostazioni fisse dell'unità Criteri di unità fissa BitLocker Configurazione
      Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
      Configurare il metodo di crittografia per le unità dati fisse AES XTS a 128 bit
         
    BitLocker - Impostazioni unità del sistema operativo Criteri unità di sistema BitLocker Configurazione
      Autenticazione di avvio necessaria
      Avvio TPM compatibile Consentito
      PIN di avvio TPM compatibile Consentito
      Chiave di avvio TPM compatibile Obbligatorio
      Chiave di avvio E PIN TPM compatibili Consentito
      Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile
      Configurare il metodo di crittografia per le unità del sistema operativo AES XTS a 128 bit
         
    BitLocker - Impostazioni unità rimovibili Criteri unità rimovibili BitLocker Configurazione
      Configurare il metodo di crittografia per le unità dati rimovibili AES CBC a 128 bit
      Bloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker

  7. In Assegnazioni assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

  8. Selezionare Crea per creare e assegnare il profilo.

Passaggio 6: Configurare le impostazioni di Windows Update

Questo passaggio usa un anello di Windows Update per mantenere i dispositivi aggiornati automaticamente. Le impostazioni in questa guida sono allineate alle impostazioni consigliate nella baseline di Windows Update.

Configurare l'anello di aggiornamento in Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Dispositivi>Windows 10 e aggiornamenti> successiviAggiorna anelli>Crea profilo.

  3. In Nozioni di base immettere un nome per l'anello di aggiornamento.

  4. In Aggiorna impostazioni anello configurare i valori seguenti e selezionare Avanti:

    Impostazione Valore
    Canale di servizio Canale semestrale
    Aggiornamenti dei prodotti Microsoft Consenti
    driver Windows Consenti
    Periodo di differimento degli aggiornamenti qualitativi (giorni) 0
    Periodo di differimento dell'aggiornamento delle funzionalità (giorni) 0
    Impostare il periodo di disinstallazione degli aggiornamenti delle funzionalità 10
    Comportamento dell'aggiornamento automatico Reimpostare l'impostazione predefinita
    Controlli di riavvio Consenti
    Opzione per sospendere gli aggiornamenti di Windows Attivazione
    Opzione per verificare la disponibilità di aggiornamenti di Windows Attivazione
    Richiedere l'approvazione dell'utente per ignorare la notifica di riavvio No
    Ricorda all'utente prima del riavvio automatico richiesto con promemoria ignorabile (ore) Lasciare questa impostazione non configurata
    Ricorda all'utente prima del riavvio automatico richiesto con un promemoria permanente (minuti) Lasciare questa impostazione non configurata
    Modificare il livello di aggiornamento delle notifiche Usare le notifiche di Windows Update predefinite
    Usare le impostazioni di scadenza Consenti
    Scadenza per gli aggiornamenti delle funzionalità 7
    Scadenza per gli aggiornamenti qualitativi 2
    Periodo di tolleranza 2
    Riavvio automatico prima della scadenza

  5. Assegnare l'anello Update al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

Passaggio 7: Distribuire criteri di conformità di Windows

Configurare criteri di conformità per monitorare la conformità e l'integrità dei dispositivi. I criteri segnalano la non conformità e consentono comunque agli utenti di usare i dispositivi. È possibile scegliere come risolvere la non conformità con altre azioni in base ai processi dell'organizzazione.

Creare i criteri di conformità in Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Devices ComplianceCreate Policy (Crea criteri diconformità>dei dispositivi>).

  3. In Piattaforma selezionare Windows 10 e successivamente>Crea.

  4. In Nozioni di base immettere un nome per i criteri di conformità. Seleziona Avanti.

  5. In Impostazioni di conformità configurare i valori seguenti e selezionare Avanti:

    Impostazione della categoria Impostazione Valore
    Integrità del dispositivo Richiedi BitLocker Richiedono
      Richiedere l'abilitazione dell'avvio protetto nel dispositivo Richiedono
      Richiedere l'integrità del codice Richiedono
         
    Sicurezza del sistema Firewall Richiedono
      Antivirus Richiedono
      Antispyware Richiedono
      Richiedere una password per sbloccare i dispositivi mobili Richiedono
      Password semplici Blocca
      Tipo di password Alfanumerici
      Lunghezza minima password 8
      Numero massimo di minuti di inattività prima che sia necessaria la password 1 minuto
      Scadenza password (giorni) 41
      Numero di password precedenti per impedire il riutilizzo 5
         
    Defender Microsoft Defender Antimalware Richiedono
      Microsoft Defender l'intelligence di sicurezza antimalware aggiornata Richiedono
      Protezione in tempo reale Richiedono

  6. In Azioni per la non conformità, per l'azione Contrassegno del dispositivo non conforme configurare pianificazione (giorni dopo la non conformità) al 1 giorno. È possibile configurare un periodo di tolleranza diverso in base alle preferenze dell'organizzazione.

    Se si usano criteri di accesso condizionale nell'organizzazione, è consigliabile configurare un periodo di tolleranza. I periodi di tolleranza impediscono ai dispositivi non conformi di perdere immediatamente l'accesso alle risorse dell'organizzazione.

  7. È possibile aggiungere un'azione agli utenti di posta elettronica che informano di non conformità con i passaggi per ottenere la conformità.

  8. Assegnare i criteri di conformità al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

Passaggio 8 - Configurazioni facoltative

Esistono criteri facoltativi che è possibile creare e distribuire con la configurazione cloud. Questa sezione descrive questi criteri facoltativi.

✔️ Configurare un nome di dominio tenant

Configurare i dispositivi per l'uso automatico del nome di dominio del tenant per gli accessi utente. Quando si aggiunge un nome di dominio, gli utenti non devono digitare l'UPN completo per accedere.

Aggiungere il nome di dominio tenant in Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.
  2. Selezionare Dispositivi>Profili >di configurazione diWindows> Crea >nuovo criterio.
  3. Per la piattaforma selezionare Windows 10 e versioni successive.
  4. Per Tipo di profilo selezionare Modelli> Restrizioni >del dispositivoCrea.
  5. Immettere un nome per il profilo e selezionare Avanti.
  6. In Impostazioni di configurazione, per Password, configurare il dominio tenant preferred Microsoft Entra. Immettere il nome di dominio Microsoft Entra che gli utenti devono usare per accedere ai dispositivi.
  7. Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

✔️ Distribuire altre app line-of-business (LOB) essenziali per la produttività

È possibile che siano presenti alcune app lob essenziali necessarie per tutti i dispositivi. Scegliere un numero minimo di queste app da distribuire. Se si distribuiscono app usando una soluzione di virtualizzazione, distribuire anche l'app client di virtualizzazione nei dispositivi.

Non sono previste restrizioni sul numero o sulle dimensioni di altre app che possono essere distribuite con le app aggiunte alla configurazione cloud. Tuttavia, Microsoft consiglia di mantenere al minimo queste altre app in base alle esigenze degli utenti per i propri ruoli. Assegnare queste app essenziali al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

Potrebbero essere necessarie app LOB specifiche in alcuni dispositivi. In alternativa, potrebbero essere presenti alcune app con requisiti di creazione di pacchetti o procedure complessi. Per questi scenari, valutare la possibilità di spostare queste app dalla distribuzione di configurazione cloud. In alternativa, mantenere i dispositivi che necessitano di queste app nel modello di gestione windows esistente.

La configurazione cloud è consigliata per i dispositivi che richiedono solo alcune app chiave, oltre alla collaborazione e all'esplorazione.

✔️ Distribuire le risorse necessarie agli utenti per l'accesso all'organizzazione

Configurare le risorse essenziali di cui gli utenti potrebbero aver bisogno, a seconda dei processi dell'organizzazione. Le risorse essenziali possono includere certificati, stampanti, connessioni VPN e profili di Wi-Fi.

In Intune assegnare queste risorse al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

✔️ Configurare le impostazioni consigliate per lo spostamento di cartelle note di OneDrive

Sono disponibili altre impostazioni che migliorano l'esperienza utente per lo spostamento di cartelle note di OneDrive. Le impostazioni non sono necessarie per il funzionamento di Spostamento cartelle note , ma sono utili.

Per altre informazioni su queste impostazioni, passare a Impostazioni di OneDrive consigliate per lo spostamento di cartelle note.

✔️ Configurare le impostazioni consigliate di Microsoft Edge

Alcune impostazioni dell'app Microsoft Edge possono essere configurate per un'esperienza utente migliore. È possibile configurare queste impostazioni in base ai requisiti o alle preferenze per l'esperienza utente finale.

Per configurare queste impostazioni consigliate, usare Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Dispositivi>Profili> di configurazionedi Windows>Crea>nuovo criterio.

  3. Selezionare Windows 10 e versioni successive per Piattaforma e Modelli per il tipo di profilo.

  4. Selezionare Modelli amministrativi e quindi Crea.

  5. Immettere un nome per il profilo e selezionare Avanti.

  6. In Impostazioni di configurazione cercare le impostazioni seguenti e configurarle in base ai valori consigliati:

    Impostazione della categoria Impostazione Valori
      Configurare l'integrazione di Internet Explorer Abilitato, modalità Internet Explorer
       
    Impostazioni di SmartScreen Configurare Microsoft Defender SmartScreen Abilitato
      Forzare Microsoft Defender controlli SmartScreen sui download da origini attendibili Abilitato
      Configurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate Abilitato

    Nota

    Le impostazioni di SmartScreen vengono applicate anche da Microsoft Defender. Quando si configurano le impostazioni di SmartScreen tramite l'app Microsoft Edge, Microsoft Edge applica direttamente le impostazioni.

  7. Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).

Monitorare lo stato della configurazione cloud

Quando si applica la configurazione cloud ai dispositivi, è possibile usare Intune per monitorare lo stato delle app e delle configurazioni dei dispositivi.

Stato dello script

È possibile monitorare lo stato di installazione degli script distribuiti:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>Script di Windows> escript della piattaformadi correzione>.
  2. Selezionare lo script distribuito.
  3. Nella pagina dei dettagli dello script selezionare Stato dispositivo. Vengono visualizzati i dettagli di installazione dello script.

Installazioni di app

È possibile monitorare lo stato di installazione delle app distribuite:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare ad App app> diWindows>.
  2. Selezionare un'app distribuita, ad esempio Microsoft 365 App Suite.
  3. Selezionare Stato installazione dispositivo o Stato installazione utente. Vengono visualizzati i dettagli di installazione dell'app.

Per informazioni sulla risoluzione dei problemi delle app nei singoli dispositivi, vedere Risoluzione dei problemi di installazione delle app di Intune.

Baseline di sicurezza

È possibile monitorare lo stato di installazione della baseline di sicurezza distribuita. Per altre informazioni, vedere Monitorare le baseline e i profili di sicurezza in Intune.

Profilo di crittografia del disco

Nel passaggio 5 - Distribuire le impostazioni di sicurezza degli endpoint (in questo articolo) è possibile che siano state configurate e distribuite le impostazioni di BitLocker.

È possibile monitorare lo stato del profilo BitLocker:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare aCrittografia dischidi sicurezza> degli endpoint.
  2. Selezionare il profilo di crittografia del disco distribuito nella configurazione cloud.
  3. Selezionare Stato installazione dispositivo o Stato installazione utente. Vengono visualizzati i dettagli del profilo.

Impostazioni di Windows Update

È possibile monitorare lo stato dei criteri anello Windows Update:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>Windows 10 e aggiornamenti successiviAnelli di aggiornamento>.
  2. Selezionare l'anello di aggiornamento distribuito come parte della configurazione cloud.
  3. Selezionare Stato dispositivo, Stato utente o Stato aggiornamento utente finale. Vengono visualizzati i dettagli delle impostazioni dell'anello di aggiornamento.

Per altre informazioni sulla creazione di report per gli anelli di Windows Update, vedere Report per gli anelli di aggiornamento per Windows 10 e criteri successivi.

Criteri di conformità

È possibile monitorare lo stato dei criteri di conformità:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare aConformitàdei dispositivi>.
  2. Selezionare i criteri di conformità distribuiti come parte della configurazione cloud.

La visualizzazione di monitoraggio della conformità dei dispositivi contiene informazioni dettagliate sullo stato di assegnazione e sugli errori di assegnazione dei criteri di conformità. Ha anche visualizzazioni per trovare rapidamente i dispositivi non conformi e intervenire.

Per informazioni più approfondite sul monitoraggio dei criteri di conformità in Intune, vedere Monitorare i risultati dei criteri di conformità dei dispositivi di Intune.

Contenuto correlato