Guida alla distribuzione: Gestire i dispositivi che eseguono Windows 10/11
Questa guida descrive come proteggere e gestire le app e gli endpoint di Windows usando Microsoft Intune e include le raccomandazioni e le risorse di configurazione, dai prerequisiti alla registrazione.
Per ogni sezione di questa guida, esaminare le attività associate. Alcune attività sono necessarie e alcune, ad esempio la configurazione dell'accesso condizionale di Microsoft Entra, sono facoltative. Selezionare i collegamenti forniti in ogni sezione per passare alla documentazione della Guida consigliata in Microsoft Learn, in cui è possibile trovare informazioni più dettagliate e istruzioni dettagliate.
Passo 1: Prerequisiti
Completare i prerequisiti seguenti per abilitare le funzionalità di gestione degli endpoint del tenant:
- Aggiungere utenti e gruppi
- Assegnare licenze agli utenti
- Impostare l'autorità di gestione dei dispositivi mobili
Per informazioni sui ruoli e sulle autorizzazioni di Microsoft Intune, vedere Controllo degli accessi in base al ruolo con Microsoft Intune. I ruoli Amministratore globale di Microsoft Entra e Amministratore di Intune hanno diritti completi all'interno di Microsoft Intune. Questi ruoli hanno privilegi elevati e hanno più accesso del necessario per molte attività di gestione dei dispositivi in Microsoft Intune. È consigliabile usare il ruolo predefinito con privilegi minimi disponibile per completare le attività.
Per altri dettagli e consigli su come preparare l'organizzazione, eseguire l'onboarding o adottare Intune per la gestione dei dispositivi mobili, vedere Guida alla migrazione: Configurare o passare a Microsoft Intune.
Passaggio 2: Pianificare la distribuzione
Usare la guida alla pianificazione di Microsoft Intune per definire gli obiettivi di gestione dei dispositivi, gli scenari dei casi d'uso e i requisiti. Usare la guida per pianificare l'implementazione, la comunicazione, il supporto, i test e la convalida. Ad esempio, in alcuni casi non è necessario essere presenti quando i dipendenti e gli studenti registrano i propri dispositivi. È consigliabile avere un piano di comunicazione in modo che gli utenti sappiano dove trovare informazioni sull'installazione e l'uso del portale aziendale di Intune.
Per altre informazioni, vedere Guida alla pianificazione di Microsoft Intune.
Passaggio 3: Creare criteri di conformità
Usare i criteri di conformità per assicurarsi che i dispositivi che accedono ai dati siano sicuri e soddisfino gli standard dell'organizzazione. La fase finale del processo di registrazione è la valutazione della conformità, che verifica che le impostazioni nel dispositivo soddisfino i criteri. Gli utenti del dispositivo devono risolvere tutti i problemi di conformità per ottenere l'accesso alle risorse protette. Intune contrassegna i dispositivi che non sono conformi ai requisiti di conformità ed esegue azioni aggiuntive (ad esempio l'invio di una notifica all'utente, la limitazione dell'accesso o la cancellazione del dispositivo) in base all'azione per le configurazioni di non conformità.
È possibile usare i criteri di accesso condizionale di Microsoft Entra insieme ai criteri di conformità dei dispositivi per controllare l'accesso ai PC Windows, alla posta elettronica aziendale e ai servizi di Microsoft 365. Ad esempio, è possibile creare un criterio che impedisce ai dipendenti di accedere a Microsoft Teams in Edge senza prima registrare o proteggere il dispositivo.
Consiglio
Per una panoramica dei criteri di conformità dei dispositivi, vedere Panoramica della conformità.
Attività | Dettagli |
---|---|
Creare i criteri di conformità | Istruzioni dettagliate su come creare e assegnare criteri di conformità a gruppi di utenti e dispositivi. |
Aggiungere azioni per la mancata conformità | Scegliere cosa accade quando i dispositivi non soddisfano più le condizioni dei criteri di conformità. Esempi di azioni includono l'invio di avvisi, il blocco remoto dei dispositivi o il ritiro dei dispositivi. È possibile aggiungere azioni per la non conformità quando si configurano un criterio di conformità dei dispositivi o in un secondo momento modificando il criterio. |
Creare criteri di accesso condizionale basati su dispositivi o app | Selezionare le app o i servizi da proteggere e definire le condizioni per l'accesso. |
Bloccare l'accesso alle app che non usano l'autenticazione moderna | Creare criteri di accesso condizionale basati su app per bloccare le app che usano metodi di autenticazione diversi da OAuth2, ad esempio le app che usano l'autenticazione di base e basata su modulo. Prima di bloccare l'accesso, tuttavia, accedere a Microsoft Entra ID ed esaminare il report attività sui metodi di autenticazione per verificare se gli utenti usano l'autenticazione di base per accedere agli elementi essenziali di cui si è dimenticato o che non sono a conoscenza. Ad esempio, elementi come i chioschi del calendario della sala riunioni usano l'autenticazione di base. |
Aggiungere impostazioni di conformità personalizzate | Con le impostazioni di conformità personalizzate, è possibile scrivere script Bash personalizzati per risolvere gli scenari di conformità non ancora inclusi nelle opzioni di conformità dei dispositivi integrate in Microsoft Intune. Questo articolo descrive come creare, monitorare e risolvere i criteri di conformità personalizzati per i dispositivi Windows. Le impostazioni di conformità personalizzate richiedono la creazione di uno script personalizzato che identifichi le impostazioni e le coppie di valori. |
Passaggio 4: Configurare la sicurezza degli endpoint
Usare le funzionalità di sicurezza degli endpoint di Intune per configurare la sicurezza dei dispositivi e gestire le attività di sicurezza per i dispositivi a rischio.
Attività | Dettagli |
---|---|
Gestire i dispositivi con le funzionalità di sicurezza degli endpoint | Usare le impostazioni di sicurezza degli endpoint in Intune per gestire in modo efficace la sicurezza dei dispositivi e correggere i problemi per i dispositivi. |
Aggiungere le impostazioni di Endpoint Protection | Configurare le funzionalità di sicurezza comuni di Endpoint Protection, ad esempio firewall, BitLocker e Microsoft Defender. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni di Endpoint Protection. |
Configurare Microsoft Defender per endpoint in Intune | Integrando Intune con Microsoft Defender per endpoint, non solo si contribuisce a prevenire le violazioni della sicurezza, ma è possibile sfruttare i vantaggi di Microsoft Defender per Endpoints Threat & Vulnerability Management (TVM) e usare Intune per correggere la debolezza degli endpoint identificata da TVM. |
Gestire i criteri di BitLocker | Assicurarsi che i dispositivi vengano crittografati al momento della registrazione creando un criterio che configura BitLocker nei dispositivi gestiti. |
Gestire i profili di baseline di sicurezza | Usare le baseline di sicurezza in Intune per proteggere e proteggere utenti e dispositivi. Una baseline di sicurezza include le procedure consigliate e le raccomandazioni per le impostazioni che influiscono sulla sicurezza. |
Usare Windows Update for Business per gli aggiornamenti software | Configurare una strategia di implementazione di Windows Update con Windows Update per le aziende. Questo articolo presenta i tipi di criteri che è possibile usare per gestire gli aggiornamenti software di Windows 10/11 e come passare dai rinvii dell'anello di aggiornamento ai criteri di aggiornamento delle funzionalità. |
Passaggio 5: Configurare le impostazioni del dispositivo
Usare Microsoft Intune per abilitare o disabilitare le impostazioni e le funzionalità di Windows nei dispositivi. Per configurare e applicare queste impostazioni, creare un profilo di configurazione del dispositivo e quindi assegnare il profilo ai gruppi dell'organizzazione. I dispositivi ricevono il profilo dopo la registrazione.
Attività | Dettagli |
---|---|
Creare un profilo del dispositivo | Creare un profilo di dispositivo in Microsoft Intune e trovare risorse su tutti i tipi di profilo del dispositivo. È anche possibile usare il catalogo delle impostazioni per creare un criterio da zero. |
Configurare le impostazioni di Criteri di gruppo | Usare i modelli di Windows 10 per configurare le impostazioni dei criteri di gruppo in Microsoft Intune. I modelli amministrativi includono centinaia di impostazioni che è possibile configurare per Internet Explorer, Microsoft Edge, OneDrive, desktop remoto, Word, Excel e altri programmi di Office. Questi modelli offrono agli amministratori una visione semplificata delle impostazioni, simile a quella dei criteri di gruppo, e sono basati al 100% sul cloud. |
Configurare il profilo Wi-Fi | Questo profilo consente alle persone di trovare e connettersi alla rete Wi-Fi dell'organizzazione. Per una descrizione delle impostazioni in questa area, vedi le informazioni di riferimento sulle impostazioni Wi-Fi per Windows 10 e versioni successive. |
Configurare il profilo VPN | Configurare un'opzione VPN sicura, ad esempio Microsoft Tunnel, per le persone che si connettono alla rete dell'organizzazione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni VPN. |
Configurare il profilo di posta elettronica | Configurare le impostazioni di posta elettronica in modo che gli utenti possano connettersi a un server di posta elettronica e accedere alla posta elettronica aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni di posta elettronica. |
Limitare le funzionalità del dispositivo | Proteggi gli utenti da accessi non autorizzati e distrazioni limitando le funzionalità dei dispositivi che possono usare al lavoro o a scuola. Per una descrizione delle impostazioni in questa area, vedi le informazioni di riferimento sulle restrizioni dei dispositivi per Windows 10/11 e Windows 10 Teams. |
Configurare profili personalizzati | Aggiungere e assegnare le impostazioni e le funzionalità del dispositivo che non sono integrate in Intune. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni personalizzate. |
Configurare le impostazioni del BIOS | Configurare Intune in modo da poter controllare le impostazioni UEFI (BIOS) nei dispositivi registrati usando l'interfaccia di configurazione del firmware del dispositivo (DFCI) |
Configurare l'aggiunta al dominio | Se si prevede di registrare i dispositivi aggiunti a Microsoft Entra, assicurarsi di creare un profilo di aggiunta al dominio in modo che Intune sappia quale dominio locale aggiungere. |
Configurare le impostazioni di ottimizzazione del recapito | Usare queste impostazioni per ridurre il consumo di larghezza di banda nei dispositivi che scaricano app e aggiornamenti. |
Personalizzare l'esperienza di personalizzazione e registrazione | Personalizza l'esperienza dell'app Portale aziendale Intune e Microsoft Intune con le parole, la personalizzazione, le preferenze dello schermo e le informazioni di contatto dell'organizzazione. |
Configurare chioschi e dispositivi dedicati | Creare un profilo tutto schermo per gestire i dispositivi in esecuzione in modalità tutto schermo. |
Personalizzare i dispositivi condivisi | Controllare l'accesso, gli account e le funzionalità di alimentazione nei dispositivi condivisi o multiutetti. |
Configurare il limite di rete | Creare un profilo di limite di rete per proteggere l'ambiente da siti non attendibili. |
Configurare il monitoraggio dell'integrità di Windows | Creare un profilo di monitoraggio dell'integrità di Windows per consentire a Microsoft di raccogliere dati sulle prestazioni e fornire raccomandazioni per i miglioramenti. La creazione di un profilo abilita l'endpoint analitica funzionalità in Microsoft Intune, che analizza i dati raccolti, consiglia il software, aiuta a migliorare le prestazioni di avvio e corregge i problemi di supporto comuni. |
Configurare l'app Test per gli studenti | Configurare l'app Test per gli studenti che eserci vano test o esami nei dispositivi registrati. |
Configurare il profilo cellulare eSim | È possibile configurare eSIM per i dispositivi con supporto per ESIM, ad esempio Surface LTE Pro, per connettersi a Internet tramite una connessione dati cellulare. Questa configurazione è ideale per i viaggiatori globali che devono rimanere connessi e flessibili durante il viaggio ed elimina la necessità di una scheda SIM. |
Passaggio 6: Configurare metodi di autenticazione sicuri
Configurare i metodi di autenticazione in Intune per assicurarsi che solo gli utenti autorizzati accedano alle risorse interne. Intune supporta l'autenticazione a più fattori, i certificati e le credenziali derivate. I certificati possono essere usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.
Attività | Dettagli |
---|---|
Richiedere l'autenticazione a più fattori (MFA) | Richiedere agli utenti di fornire due forme di credenziali al momento della registrazione del dispositivo. Questo criterio funziona in combinazione con i criteri di accesso condizionale di Microsoft Entra. |
Creare un profilo certificato attendibile | Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. Il profilo certificato attendibile distribuisce il certificato radice attendibile ai dispositivi e agli utenti usando certificati importati SCEP, PKCS e PKCS. |
usare certificati SCEP con in Intune | Informazioni su cosa è necessario per usare i certificati SCEP con Intune e configurare l'infrastruttura necessaria. È quindi possibile creare un profilo certificato SCEP o configurare un'autorità di certificazione di terze parti con SCEP. |
Usare certificati PKCS con Intune | Configurare l'infrastruttura necessaria (ad esempio i connettori di certificato locali), esportare un certificato PKCS e aggiungere il certificato a un profilo di configurazione del dispositivo Intune. |
Usare i certificati PKCS importati con Intune | Configurare i certificati PKCS importati, che consentono di configurare e usare S/MIME per crittografare la posta elettronica. |
Configurare un’emittente di credenziali derivate | Effettuare il provisioning di dispositivi Windows con certificati derivati da smart card utente. |
Integrare Windows Hello for Business con Microsoft Intune | Crea un criterio di Windows Hello for Business per abilitare o disabilitare Windows Hello for Business durante la registrazione del dispositivo. Hello for Business è un metodo di accesso alternativo che usa Active Directory o un account Microsoft Entra per sostituire una password, una smart card o una smart card virtuale. |
Passaggio 7: Distribuire le app
Quando si configurano app e criteri per le app, considerare i requisiti dell'organizzazione, ad esempio le piattaforme supportate, le attività eseguite dagli utenti, il tipo di app necessarie per completare tali attività e chi ne ha bisogno. È possibile usare Intune per gestire l'intero dispositivo (incluse le app) o usare Intune per gestire solo le app.
Attività | Dettagli |
---|---|
Aggiungere app line-of-business | Aggiungere app line-of-business (LOB) macOS a Intune e assegnare a gruppi. |
Aggiungere Microsoft Edge | Aggiungere e assegnare Microsoft Edge per Windows. |
Aggiungere un'app Portale aziendale di Intune da Microsoft Store | Aggiungere e assegnare manualmente l'app Portale aziendale di Intune come app obbligatoria. |
Aggiungere l'app Portale aziendale di Intune per Autopilot | Aggiungere l'app Portale aziendale ai dispositivi di cui è stato effettuato il provisioning da Windows Autopilot. |
Aggiungere app di Microsoft 365 | Aggiungere Microsoft 365 Apps for enterprise. |
Assegnare app ai gruppi | Dopo aver aggiunto le app a Intune, assegnarle a utenti e dispositivi. |
Includere ed escludere assegnazioni di app | Controllare l'accesso e la disponibilità a un'app includendo ed escludendo i gruppi selezionati dall'assegnazione. |
Usare gli script di PowerShell | Caricare script di PowerShell per estendere le funzionalità di gestione dei dispositivi Windows in Intune e semplificare il passaggio alla gestione moderna. |
Passaggio 8: Registrare i dispositivi
Durante la registrazione, il dispositivo viene registrato con l'ID Microsoft Entra e valutato per la conformità. Per informazioni su ogni metodo di registrazione e su come sceglierne uno appropriato per l'organizzazione, vedere La guida alla registrazione dei dispositivi Windows per Microsoft Intune.
Attività | Dettagli |
---|---|
Abilitare la registrazione automatica MDM | Semplificare la registrazione abilitando la registrazione automatica, che registra automaticamente i dispositivi in Intune che si uniscono o si registrano con l'ID Microsoft Entra. La registrazione automatica semplifica la distribuzione di Windows Autopilot, la registrazione BYOD, la registrazione tramite Criteri di gruppo e la registrazione in blocco tramite un pacchetto di provisioning. |
Abilitare l'individuazione automatica del server MDM | Se non si dispone di Microsoft Entra ID P1 o P2, è consigliabile creare un tipo di record CNAME per i server di registrazione di Intune. Il record CNAME reindirizza le richieste di registrazione al server corretto in modo che gli utenti che registrano non devono digitare manualmente il nome del server. |
Scenari di Windows Autopilot | Semplificare la configurazione guidata dall'utente o la distribuzione automatica di Configurazione guidata dall'utente per l'utente e gli utenti configurando la registrazione automatica dei dispositivi di Microsoft Intune durante Windows Autopilot. |
Registrare i dispositivi aggiunti a Microsoft Entra ibrido con Windows Autopilot | Il connettore Intune per Active Directory consente ai dispositivi in Servizi di dominio Active Directory di accedere a Microsoft Entra ID e quindi registrarsi automaticamente in Intune. È consigliabile usare questa opzione di registrazione per gli ambienti locali che usano Servizi di dominio Active Directory e che attualmente non possono spostare le identità nell'ID Microsoft Entra. |
Registrare i dispositivi con Criteri di gruppo | Attivare la registrazione automatica in Intune usando criteri di gruppo. |
Dispositivi di registrazione in blocco | Creare un pacchetto di provisioning in Progettazione configurazione di Windows che unisce un numero elevato di nuovi dispositivi Windows a Microsoft Entra ID e li registra in Intune. |
Configurare la pagina dello stato della registrazione (ESP) | Creare un profilo della pagina di stato della registrazione con impostazioni personalizzate per guidare gli utenti attraverso la configurazione e la registrazione dei dispositivi. |
Modificare l'etichetta di proprietà del dispositivo | Dopo aver registrato un dispositivo, è possibile modificarne l'etichetta di proprietà in Intune in proprietà aziendale o personale. Questa regolazione modifica il modo in cui si gestisce il dispositivo e può abilitare più funzionalità di gestione e identificazione in Intune o limitarle. |
Configurare il proxy per Intune Active Directory Connector | Configurare Intune Connector per Active Directory per l'uso con i server proxy in uscita esistenti. |
Risolvere i problemi di registrazione | Risolvere e trovare le soluzioni ai problemi che si verificano durante la registrazione. |
Passaggio 9: Eseguire azioni remote
Dopo aver configurato i dispositivi, è possibile usare le azioni remote supportate per gestire e risolvere i problemi dei dispositivi da lontano. Gli articoli seguenti illustrano le azioni remote per Windows. Se un'azione è assente o disabilitata nel portale, non è supportata per Windows.
Attività | Dettagli |
---|---|
Eseguire un'azione remota nei dispositivi | Informazioni su come eseguire il drill-down e gestire e risolvere i problemi dei singoli dispositivi in Intune in remoto. Questo articolo elenca tutte le azioni remote disponibili in Intune e i collegamenti a tali procedure. |
Usare TeamViewer per gestire da remoto i dispositivi Intune | Configurare TeamViewer in Intune e informazioni su come amministrare in remoto un dispositivo. |
Usare le attività di sicurezza per visualizzare minacce e vulnerabilità | Usare Intune per correggere la debolezza dell'endpoint identificata da Microsoft Defender per endpoint. Prima di poter usare le attività di sicurezza, è necessario integrare Microsoft Defender per endpoint con Intune. |
Passaggio 10: Aiutare dipendenti e studenti
Le risorse in questa sezione sono disponibili nella documentazione della Guida per gli utenti di Microsoft Intune. Questa documentazione è destinata a dipendenti, studenti e altri utenti di dispositivi con licenza in Intune che registrano un dispositivo personale o fornito dall'azienda. I collegamenti alla documentazione sono disponibili in tutta l'app Portale aziendale di Intune e puntano a informazioni su:
- Metodi di registrazione, con procedure dettagliate su come registrare
- Impostazioni e funzionalità del portale aziendale
- Come annullare la registrazione e rimuovere i dati archiviati
- Aggiornamento delle impostazioni del dispositivo per i requisiti di conformità
- Come segnalare i problemi delle app
Consiglio
Rendere i requisiti del sistema operativo dell'organizzazione e i requisiti delle password del dispositivo facili da trovare nel sito Web o in un messaggio di posta elettronica di onboarding in modo che i dipendenti non devono ritardare la registrazione per cercare tali informazioni.
Attività | Dettagli |
---|---|
Installare l'app Portale aziendale di Intune per Windows | Informazioni su dove ottenere l'app Portale aziendale e su come accedere. |
Aggiornare l'app Portale aziendale | Questo articolo descrive come installare la versione più recente di Portale aziendale e come attivare gli aggiornamenti automatici delle app. |
Registrare un dispositivo | Questo articolo descrive come registrare i dispositivi personali che eseguono Windows 10 o Windows 11. |
Annullare la registrazione di un dispositivo | Questo articolo descrive come annullare la registrazione di un dispositivo da Intune ed eliminare la cache archiviata e i log per il portale aziendale. |
Passaggi successivi
Per una panoramica dell'interfaccia di amministrazione di Microsoft Intune e su come accedervi, vedere Esercitazione: Procedura dettagliata per l'interfaccia di amministrazione di Microsoft Intune. Le esercitazioni sono un contenuto di 100 – 200 livelli per gli utenti che non hanno esperienza in Intune o uno scenario specifico.
Per altre versioni di questa guida, vedere: