Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa esercitazione dettagliata illustra come configurare un endpoint Windows nativo del cloud usando Microsoft Intune e Windows Autopilot. Un endpoint Windows nativo del cloud (talvolta scritto come Windows nativo del cloud) viene Microsoft Entra aggiunto, registrato in Microsoft Intune e gestito interamente dal cloud, senza aggiunta al dominio Active Directory, senza infrastruttura locale necessaria.
Al termine di questa esercitazione, si dispone di un dispositivo Windows completamente configurato che è:
- Microsoft Entra aggiunto e registrato in Microsoft Intune
- Protetto con Microsoft Defender Antivirus, Crittografia BitLocker, Windows LAPS e baseline di sicurezza
- Provisioning tramite Windows Autopilot con app di Microsoft 365, Spostamento cartella nota di OneDrive e Portale aziendale
- Pronti per la scalabilità per il resto della flotta di Windows
Per informazioni in background, vedere Che cosa sono gli endpoint nativi del cloud? e Come pianificare l'implementazione del join Microsoft Entra.
Consiglio
Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:
- Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
- Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
- Endpoint nativi del cloud: endpoint aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.
- Carico di lavoro: qualsiasi programma, servizio o processo.
Come iniziare
Completare le cinque fasi in ordine, ognuna delle quali si basa su quella precedente.
| Fase | Obiettivo |
|---|---|
| Fase 1 : configurare l'ambiente | Preparare il tenant, il dispositivo di test e i criteri autopilot di base |
| Fase 2 : creare un endpoint Windows nativo del cloud | Effettuare il provisioning del primo endpoint tramite Autopilot |
| Fase 3 : proteggere l'endpoint windows nativo del cloud | Applicare la sicurezza degli endpoint: Defender, BitLocker, LAPS, baseline, aggiornamenti |
| Fase 4 : applicare personalizzazioni ed esaminare la configurazione locale | Aggiungere app specifiche dell'organizzazione, impostazioni ed eseguire la migrazione da Criteri di gruppo |
| Fase 5 : ridimensionare la distribuzione con Windows Autopilot | Ridimensionare il provisioning per la flotta usando la registrazione OEM, le persone e gli anelli di implementazione |
Dopo aver distribuito gli endpoint, usare la sezione Monitorare gli endpoint di Windows nativi del cloud per convalidare lo stato di criteri, app e conformità dall'interfaccia di amministrazione Intune come parte delle operazioni in corso.
Fase 1: configurare l'ambiente
Prima di compilare il primo endpoint Windows nativo del cloud, è necessario verificare alcuni requisiti chiave e la configurazione. Questa fase illustra come controllare i requisiti, configurare Windows Autopilot e creare alcune impostazioni e applicazioni.
Passaggio 1 - Requisiti di rete
L'endpoint windows nativo del cloud deve accedere a diversi servizi Internet. Avviare i test in una rete aperta. In alternativa, usare la rete aziendale dopo aver fornito l'accesso a tutti gli endpoint elencati nei requisiti di rete di Windows Autopilot.
Se la rete wireless richiede certificati, è possibile iniziare con una connessione Ethernet durante il test mentre si determina l'approccio migliore per le connessioni wireless per il provisioning dei dispositivi.
Passaggio 2 - Registrazione e licenze
Prima di poter partecipare Microsoft Entra e registrarsi a Intune, è necessario verificare alcuni aspetti. È possibile creare un nuovo gruppo di Microsoft Entra, ad esempio il nome Intune Utenti MDM. Aggiungere quindi account utente di test specifici e impostare come destinazione ognuna delle configurazioni seguenti in tale gruppo per limitare gli utenti che possono registrare i dispositivi durante la configurazione. Per creare un gruppo Microsoft Entra, passare a Gestire i gruppi Microsoft Entra e l'appartenenza al gruppo.
Restrizioni di registrazione Le restrizioni di registrazione consentono di controllare i tipi di dispositivi che possono essere registrati nella gestione con Intune. Affinché questa guida abbia esito positivo, verificare che la registrazione di Windows (MDM) sia consentita, ovvero la configurazione predefinita.
Per informazioni sulla configurazione delle restrizioni di registrazione, vedere Impostare le restrizioni di registrazione in Microsoft Intune.
Microsoft Entra impostazioni MDM del dispositivo Quando si aggiunge un dispositivo Windows a Microsoft Entra, è possibile configurare Microsoft Entra per indicare ai dispositivi di registrarsi automaticamente con un MDM. Questa configurazione è necessaria per il funzionamento di Windows Autopilot.
Per verificare che le impostazioni MDM del dispositivo Microsoft Entra siano abilitate correttamente, passare a Avvio rapido - Configurare la registrazione automatica in Intune.
Microsoft Entra personalizzazione aziendale L'aggiunta di logo e immagini aziendali a Microsoft Entra garantisce agli utenti un aspetto familiare e coerente quando accedono a Microsoft 365. Questa configurazione è necessaria per il funzionamento di Windows Autopilot.
Per informazioni sulla configurazione della personalizzazione personalizzata in Microsoft Entra, vedere Aggiungere personalizzazioni alla pagina di accesso Microsoft Entra dell'organizzazione.
Licenze Gli utenti che registrano i dispositivi Windows dalla configurazione guidata in Intune richiedono due funzionalità chiave.
Gli utenti richiedono le licenze seguenti:
- Licenza Microsoft Intune o Microsoft Intune per Education
- Una licenza simile a una delle opzioni seguenti che consente la registrazione automatica di MDM:
- Microsoft Entra Premium P1
- Microsoft Intune per Education
Per assegnare licenze, passare a Assegna licenze Microsoft Intune.
Nota
Entrambi i tipi di licenze sono in genere inclusi nei bundle di licenza, ad esempio Microsoft 365 E3 (o A3) e versioni successive. Visualizzare i confronti delle licenze di Microsoft 365 qui.
Passaggio 3: Importare il dispositivo di test
Per testare l'endpoint windows nativo del cloud, è necessario iniziare preparando una macchina virtuale o un dispositivo fisico per il test. I passaggi seguenti recuperano i dettagli del dispositivo e li caricano nel servizio Windows Autopilot, che vengono usati più avanti in questo articolo.
Nota
Sebbene i passaggi seguenti forniscano un modo per importare un dispositivo per il test, partner e OEM possono importare dispositivi in Windows Autopilot per conto dell'utente come parte dell'acquisto. Sono disponibili altre informazioni su Windows Autopilot nella fase 5.
Installare Windows in una macchina virtuale o reimpostare un dispositivo fisico in modo che sia in attesa nella schermata di configurazione della Configurazione guidata. Per una macchina virtuale, è possibile creare facoltativamente un checkpoint.
Completare i passaggi necessari per connettersi a Internet.
Aprire un prompt dei comandi usando la combinazione di tastiera MAIUSC + F10 .
Verificare di avere accesso a Internet eseguendo il ping bing.com:
ping bing.com
Passare a PowerShell eseguendo il comando :
powershell.exe
Scaricare lo script Get-WindowsAutopilotInfo eseguendo i comandi seguenti:
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope ProcessInstall-Script Get-WindowsAutopilotInfo
Quando richiesto, immettere Y da accettare.
Digitare il comando seguente:
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
Nota
I tag di gruppo consentono di creare gruppi di Microsoft Entra dinamici in base a un subset di dispositivi. I tag di gruppo possono essere impostati durante l'importazione di dispositivi o modificati più avanti nell'interfaccia di amministrazione Microsoft Intune. Il tag di gruppo CloudNative viene usato nel passaggio 4. È possibile impostare il nome del tag su un valore diverso per il test.
Quando vengono richieste le credenziali, accedere con l'account amministratore Intune.
Lasciare il computer all'esperienza predefinita fino alla fase 2.
Passaggio 4: Creare Microsoft Entra gruppo dinamico per il dispositivo
Per limitare le configurazioni di questa guida ai dispositivi di test importati in Windows Autopilot, creare un gruppo di Microsoft Entra dinamico. Questo gruppo deve includere automaticamente i dispositivi che importano in Windows Autopilot e hanno il tag di gruppo CloudNative. È quindi possibile impostare come destinazione tutte le configurazioni e le applicazioni in questo gruppo.
Selezionare Gruppi>Nuovo gruppo. Immettere i dettagli seguenti:
- Tipo di gruppo: selezionare Sicurezza.
- Nome gruppo: immettere Autopilot Cloud-Native Endpoint windows.
- Tipo di appartenenza: selezionare Dispositivo dinamico.
Selezionare Aggiungi query dinamica.
Nella sezione Sintassi regola selezionare Modifica.
Incollare il testo seguente:
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))Selezionare OK>Salva>crea.
Consiglio
Il popolamento dei gruppi dinamici richiede alcuni minuti dopo l'esecuzione delle modifiche. Nelle organizzazioni di grandi dimensioni può richiedere più tempo. Dopo aver creato un nuovo gruppo, attendere alcuni minuti prima di verificare che il dispositivo sia ora membro del gruppo.
Per altre informazioni sui gruppi dinamici per i dispositivi, vedere Regole per i dispositivi.
Passaggio 5 - Configurare la pagina Stato registrazione
La pagina dello stato di registrazione (ESP) è il meccanismo usato da un professionista IT per controllare l'esperienza dell'utente finale durante il provisioning degli endpoint. Vedere Configurare la pagina stato registrazione. Per limitare l'ambito della pagina di stato della registrazione, è possibile creare un nuovo profilo e impostare come destinazione il gruppo Autopilot Cloud-Native Endpoint di Windows creato nel passaggio precedente, Creare Microsoft Entra gruppo dinamico per il dispositivo.
Ai fini del test, è consigliabile usare le impostazioni seguenti, ma è possibile modificarle in base alle esigenze:
Impostazione Valore Mostra stato di configurazione dell'app e del profilo Sì Mostra la pagina solo ai dispositivi forniti da OOBE (Out-of-box Experience). Sì (impostazione predefinita)
Passaggio 6: Creare e assegnare il profilo di Windows Autopilot
Ora è possibile creare il profilo Di Windows Autopilot e assegnarlo al dispositivo di test. Questo profilo indica al dispositivo di aggiungere Microsoft Entra e quali impostazioni applicare durante la configurazione guidata.
Selezionare DispositiviDevice onboarding>Enrollment>Windows AutopilotDeployment profiles (Profili> di distribuzione Windows Autopilot > diWindows>).
Selezionare Creapc Windowsprofilo>.
Immettere il nome Autopilot Cloud-Native Windows Endpoints e quindi selezionare Avanti.
Nelle impostazioni dell'esperienza predefinita (Configurazione guidata) verificare i valori chiave seguenti e selezionare Avanti:
Impostazione Valore Modalità di distribuzione Basato sull'utente Partecipare a Microsoft Entra ID come Microsoft Entra aggiunto Tipo di account utente Standard Applica modello di nome dispositivo Facoltativo. Un modello di denominazione come CloudPC-%SERIAL%semplifica l'identificazione dei dispositivi nell'interfaccia di amministrazione.Importante
L'impostazione di Tipo di account utente su Standard è una procedura consigliata per la sicurezza. Impedisce agli utenti di installare software non approvato e riduce la superficie di attacco sugli endpoint nativi del cloud.
Lasciare i tag di ambito e selezionare Avanti.
Assegnare il profilo al gruppo Microsoft Entra creato denominato Autopilot Cloud-Native Endpoint di Windows, selezionare Avanti e quindi selezionare Crea.
Passaggio 7 - Sincronizzare i dispositivi Windows Autopilot
Il servizio Windows Autopilot viene sincronizzato più volte al giorno. È anche possibile attivare immediatamente una sincronizzazione in modo che il dispositivo sia pronto per il test. Per eseguire immediatamente la sincronizzazione:
Selezionare DispositiviDevice onboardingEnrollment>WindowsAutopilot Devices (Dispositivi > Windows >Autopilot> perl'onboarding dei>dispositivi).
Selezionare Sincronizza.
La sincronizzazione richiede diversi minuti e continua in background. Al termine della sincronizzazione, lo stato del profilo per il dispositivo importato viene visualizzato Assegnato.
Passaggio 8: Configurare le impostazioni per un'esperienza ottimale di Microsoft 365
Sono state selezionate alcune impostazioni da configurare. Queste impostazioni illustrano un'esperienza utente finale di Microsoft 365 ottimale nel dispositivo windows nativo del cloud. Queste impostazioni vengono configurate usando un profilo del catalogo delle impostazioni di configurazione del dispositivo. Per altre informazioni, vedere Creare un criterio usando il catalogo delle impostazioni in Microsoft Intune.
Dopo aver creato il profilo e aggiunto le impostazioni, assegnare il profilo al gruppo Autopilot Cloud-Native Endpoint di Windows creato in precedenza.
Microsoft Outlook : per migliorare la prima esperienza di esecuzione per Microsoft Outlook, l'impostazione seguente configura automaticamente un profilo quando Outlook viene aperto per la prima volta.
Impostazione della categoria Impostazione Valore Microsoft Outlook 2016\Impostazioni account\Exchange (impostazione utente) Configurare automaticamente solo il primo profilo in base all'indirizzo SMTP primario di Active Directory Enabled Microsoft Edge : per migliorare la prima esperienza di esecuzione per Microsoft Edge, le impostazioni seguenti configurano Microsoft Edge per sincronizzare le impostazioni dell'utente e ignorare la prima esperienza di esecuzione.
Impostazione della categoria Impostazione Valore Microsoft Edge Nascondere l'esperienza di prima esecuzione e la schermata iniziale Enabled Forzare la sincronizzazione dei dati del browser e non visualizzare la richiesta di consenso per la sincronizzazione Enabled Microsoft OneDrive : per migliorare la prima esperienza di accesso, le impostazioni seguenti configurano Microsoft OneDrive per accedere e reindirizzare automaticamente Desktop, Immagini e Documenti a OneDrive. è consigliabile anche Files On Demand (FOD). È abilitato per impostazione predefinita e non è incluso nell'elenco seguente. Per altre informazioni sulla configurazione consigliata per l'app sincronizzazione OneDrive, vedere Configurazione dell'app di sincronizzazione consigliata per Microsoft OneDrive.
Impostazione della categoria Impostazione Valore OneDrive Consenti l'accesso automatico degli utenti alll'app sincronizzazione di OneDrive con le proprie credenziali di Windows Enabled Sposta automaticamente le cartelle note di Windows in OneDrive Enabled Nota
Per altre informazioni, vedere Reindirizzare cartelle note.
Lo screenshot seguente mostra un esempio di profilo del catalogo delle impostazioni con ognuna delle impostazioni suggerite configurate:
Passaggio 9: Creare e assegnare alcune applicazioni
L'endpoint nativo del cloud richiede alcune applicazioni. Per iniziare, è consigliabile configurare le applicazioni seguenti e assegnarle come destinazione al gruppo Autopilot Cloud-Native endpoint Windows creato in precedenza.
Microsoft 365 Apps (in precedenza Office 365 ProPlus): Microsoft 365 Apps come Word, Excel e Outlook possono essere distribuiti facilmente nei dispositivi usando il profilo di app di Microsoft 365 predefinito per Windows in Intune.
- Selezionare Progettazione configurazione per il formato delle impostazioni, anziché XML.
- Selezionare Canale corrente per il canale di aggiornamento.
Per distribuire Microsoft 365 Apps, passare ad Aggiungere app di Microsoft 365 ai dispositivi Windows usando Microsoft Intune
Portale aziendale'app: è consigliabile distribuire l'app Intune Portale aziendale a tutti i dispositivi come applicazione obbligatoria. Portale aziendale'app è l'hub self-service per gli utenti che usano per installare applicazioni da più origini, ad esempio Intune, Microsoft Store e Gestione configurazione. Gli utenti usano anche l'app Portale aziendale per sincronizzare il dispositivo con Intune, controllare lo stato di conformità e così via.
Per distribuire Portale aziendale in base alle esigenze, vedi Aggiungere e assegnare l'app windows Portale aziendale per Intune dispositivi gestiti.
App di Microsoft Store (lavagna): anche se Intune possono distribuire un'ampia gamma di app, distribuiamo un'app dello Store (Microsoft Whiteboard) per semplificare questa guida. Seguire la procedura descritta in Aggiungere app di Microsoft Store a Microsoft Intune per installare Microsoft Whiteboard.
Fase 2: creare un endpoint Windows nativo del cloud
Per compilare il primo endpoint Windows nativo del cloud, usare la stessa macchina virtuale o lo stesso dispositivo fisico raccolto e quindi caricare l'hash hardware nel servizio Windows Autopilot nella fase 1, Passaggio 3: Importare il dispositivo di test. Con questo dispositivo, passare attraverso il processo di Windows Autopilot.
Riprendere (o reimpostare se necessario) il PC Windows in Configurazione guidata.
Nota
Se viene richiesto di scegliere la configurazione per personale o un'organizzazione, il processo di Windows Autopilot non è stato avviato. In questo caso, riavviare il dispositivo e assicurarsi che abbia accesso a Internet. Se ancora non funziona, provare a reimpostare il PC o reinstallare Windows.
Accedere con credenziali Microsoft Entra (UPN o AzureAD\username).
La pagina dello stato della registrazione mostra lo stato della configurazione del dispositivo.
Congratulazioni! È stato effettuato il provisioning del primo endpoint Windows nativo del cloud.
Convalidare l'endpoint
Verificare le attività seguenti nel nuovo dispositivo prima di passare alla fase 3:
- Le cartelle di OneDrive (Desktop, Documenti, Immagini) vengono reindirizzate e sincronizzate.
- Outlook apre e configura automaticamente il profilo di Microsoft 365.
- Portale aziendale è installato e Microsoft Whiteboard è disponibile.
- È possibile accedere con le credenziali di Microsoft Entra e accedere alle risorse cloud.
- Le risorse locali (condivisioni file, siti Intranet, stampanti) sono accessibili, se necessario.
Se viene richiesto di immettere una password quando si usa Windows Hello per accedere alle risorse locali, Windows Hello for Business ibrido non è ancora configurato. È possibile continuare il test selezionando l'icona della chiave nella schermata di accesso e usando il nome utente e la password. Per altre informazioni, vedere Windows Hello for Business Ibrido.
Fase 3: proteggere l'endpoint windows nativo del cloud
Questa fase è progettata per semplificare la compilazione delle impostazioni di sicurezza per l'organizzazione. Questa sezione richiama l'attenzione sui vari componenti di Endpoint Security in Microsoft Intune tra cui:
- Microsoft Defender Antivirus (MDAV)
- Microsoft Defender Firewall
- Crittografia BitLocker
- Windows Local Administrator Password Solution (LAPS)
- Baseline di sicurezza
- criteri client Windows Update
- Criteri di conformità
- Accesso condizionale
Microsoft Defender Antivirus (MDAV)
Le impostazioni seguenti sono consigliate come configurazione minima per Microsoft Defender Antivirus, un componente del sistema operativo predefinito di Windows. Queste impostazioni non richiedono alcun contratto di licenza specifico, ad esempio E3 o E5, e possono essere abilitate nell'interfaccia di amministrazione Microsoft Intune.
Interfaccia di amministrazione di Intune
Microsoft GraphNell'interfaccia di amministrazione passare a Endpoint SecurityAntivirus Create PolicyWindows e versioni successiveProfile typeMicrosoft Defender Antivirus.In the admin center, go to Endpoint Security >Antivirus>Create Policy> Windows and later > Profile type = Microsoft Defender Antivirus.
Defender:
- Consenti monitoraggio del comportamento: consentito. Attiva il monitoraggio del comportamento in tempo reale.
- Consenti cloud protection: consentito. Attiva Cloud Protection.
- Consenti analisi Email: consentito. Attiva l'analisi della posta elettronica.
- Consenti l'analisi di tutti i file e gli allegati scaricati: consentito.
- Consenti monitoraggio in tempo reale: consentito. Attiva ed esegue il servizio di monitoraggio in tempo reale.
- Consenti analisi rete Files: consentito. Analizza i file di rete.
- Consenti analisi script: consentito.
- Timeout esteso cloud: 50
- Giorni per conservare il malware pulito: 30
- Abilita protezione di rete: abilitata (modalità di controllo)
- Protezione PUA: PUA Protection on. Gli elementi rilevati sono bloccati. Verranno mostrati nella storia insieme ad altre minacce.
- Direzione analisi in tempo reale: monitorare tutti i file (bidirezionali).
- Invia il consenso per gli esempi: invia automaticamente campioni sicuri.
- Consenti protezione accesso: consentito.
- Azione di correzione per minacce gravi: quarantena. Sposta i file in quarantena.
- Azione di correzione per la minaccia di gravità bassa: quarantena. Sposta i file in quarantena.
- Azione di correzione per le minacce di gravità moderata: quarantena. Sposta i file in quarantena.
- Azione di correzione per le minacce di gravità elevata: quarantena. Sposta i file in quarantena.
utente in alto a destra per accedere e accedere con l'account aziendale dell'amministratore Intune.Per altre informazioni sulla configurazione di Windows Defender, tra cui Microsoft Defender per endpoint per la licenza del cliente per E3 ed E5, vedere:
- Protezione di nuova generazione in Windows, Windows Server 2016 e Windows Server 2019
- Valutare Microsoft Defender Antivirus
Microsoft Defender Firewall
Usare Endpoint Security in Microsoft Intune per configurare le regole del firewall e del firewall. Per altre informazioni, vedere Criteri del firewall per la sicurezza degli endpoint in Intune.
Microsoft Defender Firewall è in grado di rilevare una rete attendibile usando il CSP NetworkListManager. Inoltre, può passare al profilo del firewall di dominio negli endpoint che eseguono Windows.
L'uso del profilo di rete di dominio consente di separare le regole del firewall in base a una rete attendibile, una rete privata e una rete pubblica. Queste impostazioni possono essere applicate usando un profilo personalizzato di Windows.
Nota
Microsoft Entra endpoint aggiunti non possono usare LDAP per rilevare una connessione di dominio nello stesso modo degli endpoint aggiunti a un dominio. Usare invece il provider di servizi di configurazione NetworkListManager per specificare un endpoint TLS che, quando accessibile, passa l'endpoint al profilo del firewall di dominio .
Crittografia BitLocker
Usare Endpoint Security in Microsoft Intune per configurare la crittografia con BitLocker.
- Per altre informazioni sulla gestione di BitLocker, vedere Crittografare i dispositivi Windows con BitLocker in Intune.
- Vedere la serie di blog su BitLocker in Abilitazione di BitLocker con Microsoft Intune.
Queste impostazioni possono essere abilitate nell'interfaccia di amministrazione Microsoft Intune. Nell'interfaccia di amministrazione passare a Endpoint Security> Manage Disk encryption Create Policy Windows (Gestisci>crittografia> dischi), Create Policy Windows (Crea criteri)>e successivamenteProfileBitLocker (BitLockerprofilo = ).>
Quando si configurano le impostazioni di BitLocker seguenti, abilitano automaticamente la crittografia a 128 bit per gli utenti standard, ovvero uno scenario comune. Tuttavia, l'organizzazione potrebbe avere requisiti di sicurezza diversi, quindi usare la documentazione di BitLocker per altre impostazioni.
| Impostazione della categoria | Impostazione | Valore |
|---|---|---|
| BitLocker | Richiedi crittografia dispositivo | Enabled |
| Consenti avviso per la crittografia di altri dischi | Disabled | |
| Consenti crittografia utente Standard | Enabled | |
| Configurare la rotazione delle password di ripristino | Eseguire l'aggiornamento per Azure dispositivi aggiunti ad AD | |
| Crittografia unità BitLocker | Scegliere il metodo di crittografia dell'unità e il livello di crittografia | Non configurata |
| Specificare gli identificatori univoci per l'organizzazione | Non configurata | |
| Unità del sistema operativo | Applicare il tipo di crittografia delle unità nelle unità del sistema operativo | Enabled |
| Selezionare il tipo di crittografia (Dispositivo) | Crittografia solo spazio usato | |
| Richiedere l'autenticazione aggiuntiva all'avvio | Enabled | |
| Consenti BitLocker senza un TPM compatibile (richiede una password o una chiave di avvio in un'unità flash USB) | Falso | |
| Configurare la chiave di avvio e il PIN di TPM | Consenti chiave di avvio e PIN con TPM | |
| Configurare la chiave di avvio TPM | Consenti chiave di avvio con TPM | |
| Configurare il PIN di avvio di TPM | Consenti PIN di avvio con TPM | |
| Configurare l'avvio di TPM | Richiedi TPM | |
| Configurare la lunghezza minima del PIN per l'avvio | Non configurata | |
| Consenti PIN avanzati per l'avvio | Non configurata | |
| Non consentire agli utenti standard di modificare il PIN o la password | Non configurata | |
| Consentire ai dispositivi conformi a InstantGo o HSTI di rifiutare esplicitamente il PIN pre-avvio | Non configurata | |
| Abilitare l'uso dell'autenticazione di BitLocker che richiede l'input della tastiera di avvio preliminare nei contratti di servizio | Non configurata | |
| Scegliere come ripristinare le unità del sistema operativo protette da BitLocker | Enabled | |
| Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker | Richiedi password di ripristino a 48 cifre | |
| Consenti agente di ripristino dati | Falso | |
| Configurare l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory Domain Services | Archiviare le password di ripristino e i pacchetti di chiavi | |
| Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo | Vero | |
| Omettere le opzioni di ripristino dall'installazione guidata di BitLocker | Vero | |
| Salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory per le unità del sistema operativo | Vero | |
| Configurare il messaggio e l'URL di ripristino prima dell'avvio | Non configurata | |
| Unità dati fisse | Applicare il tipo di crittografia delle unità nelle unità dati fisse | Enabled |
| Selezionare il tipo di crittografia: (Dispositivo) | Consenti all'utente di scegliere (impostazione predefinita) | |
| Scegliere come ripristinare le unità fisse protette da BitLocker | Enabled | |
| Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker | Richiedi password di ripristino a 48 cifre | |
| Consenti agente di ripristino dati | Falso | |
| Configurare l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory Domain Services | Backup delle password di ripristino e dei pacchetti di chiavi | |
| Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse | Vero | |
| Omettere le opzioni di ripristino dall'installazione guidata di BitLocker | Vero | |
| Salvare le informazioni di ripristino di BitLocker in Active Directory Domain Services per le unità dati fisse | Vero | |
| Negare l'accesso in scrittura a unità fisse non protette da BitLocker | Non configurata | |
| Unità dati rimovibili | Controllare l'uso di BitLocker nelle unità rimovibili | Enabled |
| Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili (dispositivo) | Falso | |
| Consentire agli utenti di sospendere e decrittografare la protezione BitLocker nelle unità dati rimovibili (dispositivo) | Falso | |
| Negare l'accesso in scrittura a unità rimovibili non protette da BitLocker | Non configurata |
Windows Local Administrator Password Solution (LAPS)
Per impostazione predefinita, l'account amministratore locale predefinito (noto SID S-1-5-500) è disabilitato. Esistono alcuni scenari in cui un account amministratore locale può essere utile, ad esempio la risoluzione dei problemi, il supporto degli utenti finali e il ripristino dei dispositivi. Se si decide di abilitare l'account amministratore predefinito o di creare un nuovo account amministratore locale, è importante proteggere la password per tale account.
Windows Local Administrator Password Solution (LAPS) è una delle funzionalità che è possibile usare per archiviare in modo casuale e archiviare in modo sicuro la password in Microsoft Entra. Se si usa Intune come servizio MDM, seguire questa procedura per abilitare Windows LAPS.
Importante
Windows LAPS presuppone che l'account amministratore locale predefinito sia abilitato, anche se è stato rinominato o se si crea un altro account amministratore locale. Windows LAPS non crea o abilita automaticamente account locali, a meno che non si configuri la modalità di gestione automatica degli account.
È necessario creare o abilitare gli account locali separatamente dalla configurazione di Windows LAPS. È possibile creare script per questa attività o usare i provider di servizi di configurazione, ad esempio il provider di servizi di configurazione account o il provider di servizi di configurazione dei criteri.
Assicurarsi che nei dispositivi Windows sia installato l'aggiornamento della sicurezza di aprile 2023 (o versione successiva).
Per altre informazioni, vedere Microsoft Entra aggiornamenti del sistema operativo.
Abilitare Windows LAPS in Microsoft Entra:
- Accedere a Microsoft Entra.
- Per l'impostazione Abilita la soluzione LAPS (Local Administrator Password Solution), selezionare Sì>Salva (nella parte superiore della pagina).
Per altre informazioni, vedere Abilitazione di Windows LAPS con Microsoft Entra.
In Intune creare un criterio di sicurezza degli endpoint:
- Accedere all'Interfaccia di amministrazione di Microsoft Intune.
- Selezionare Endpoint Security>Account Protection>Create PolicyWindows>Local admin password solution (Windows LAPS)>Create (Crea criteri>).
Per altre informazioni, vedere Creare un criterio LAPS in Intune.
Baseline di sicurezza
È possibile usare le baseline di sicurezza per applicare un set di configurazioni note per aumentare la sicurezza di un endpoint di Windows. Per altre informazioni sulle baseline di sicurezza, vedere Impostazioni della baseline di sicurezza MDM di Windows per Intune.
Le baseline possono essere applicate usando le impostazioni suggerite e personalizzate in base alle esigenze. Alcune impostazioni all'interno delle baseline potrebbero causare risultati imprevisti o essere incompatibili con le app e i servizi in esecuzione negli endpoint di Windows. Di conseguenza, le baseline devono essere testate in isolamento. Applicare la baseline solo a un gruppo selettivo di endpoint di test senza altri profili di configurazione o impostazioni.
Problemi noti delle baseline di sicurezza
Le impostazioni seguenti nella baseline di sicurezza di Windows possono causare problemi con Windows Autopilot o il tentativo di installare le app come utente standard:
- Opzioni di sicurezza dei criteri locali\Comportamento del prompt dell'elevazione dell'amministratore (impostazione predefinita = Richiedi consenso sul desktop protetto)
- Standard comportamento della richiesta di elevazione dei privilegi utente (impostazione predefinita = Nega automaticamente le richieste di elevazione dei privilegi)
Per altre informazioni, vedere Risoluzione dei conflitti di criteri con Windows Autopilot.
criteri client Windows Update
Windows Update criteri client è la tecnologia cloud per controllare come e quando vengono installati gli aggiornamenti nei dispositivi. In Intune i criteri client Windows Update possono essere configurati usando:
Per altre informazioni, vedere:
- Informazioni sull'uso dei criteri client Windows Update in Microsoft Intune
- Modulo 4.2 - Windows Update per i concetti fondamentali sulle aziende della serie di video Intune for Education Deployment Workshop
Consiglio
Per gli ambienti nativi del cloud, prendere in considerazione Il supporto automatico di Windows. Autopatch automatizza la gestione degli anelli di aggiornamento e la creazione di report, eliminando la necessità di ottimizzare manualmente i periodi di differimento e le scadenze. È incluso in Microsoft Intune ed è l'approccio consigliato per le organizzazioni che desiderano aggiornamenti di Windows completamente automatizzati e basati su criteri con un sovraccarico amministrativo minimo.
Criteri di conformità
I criteri di conformità segnalano l'integrità degli endpoint windows nativi del cloud, ad esempio se BitLocker è abilitato, l'avvio protetto è attivo e Microsoft Defender Antivirus è in esecuzione. I criteri sono anche la base per l'accesso condizionale, quindi è possibile impedire ai dispositivi non conformi di accedere alle risorse dell'organizzazione.
Per creare un criterio di conformità di Windows:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Conformità>Crea criterio.
In Piattaforma selezionare Windows 10 e successivamente>Crea.
In Nozioni di base immettere un nome per il criterio e selezionare Avanti.
In Impostazioni di conformità configurare i valori consigliati seguenti e selezionare Avanti:
Impostazione della categoria Impostazione Valore Integrità del dispositivo Richiedi BitLocker Richiedono Richiedere l'abilitazione dell'avvio protetto nel dispositivo Richiedono Richiedere l'integrità del codice Richiedono Sicurezza del sistema Firewall Richiedono Antivirus Richiedono Antispyware Richiedono Richiedere una password per sbloccare i dispositivi mobili Richiedono Password semplici Blocca Tipo di password Alfanumerici Lunghezza minima password 14 Numero massimo di minuti di inattività prima che sia necessaria la password 1 minuto Scadenza password (giorni) 365 Numero di password precedenti per impedire il riutilizzo 5 Defender Microsoft Defender Antimalware Richiedono Microsoft Defender l'intelligence di sicurezza antimalware aggiornata Richiedono Protezione in tempo reale Richiedono Consiglio
Microsoft e le linee guida NIST correnti non consigliano più la scadenza periodica delle password. La baseline di sicurezza di Windows ha rimosso la scadenza della password nel 2019. Per gli endpoint nativi del cloud, il comportamento più sicuro consiste nel spostare gli utenti all'accesso senza password con Windows Hello for Business e passkey/chiavi di sicurezza FIDO2 e nel bloccare le password vulnerabili con protezione password Microsoft Entra. Modificare i valori precedenti in modo che corrispondano ai criteri dell'organizzazione. Per altre informazioni, vedere Autenticazione senza password con Microsoft Intune.
In Azioni per la non conformità impostare la pianificazione contrassegna il dispositivo non conforme al giorno (o un altro periodo di tolleranza adatto all'organizzazione
1).Consiglio
Se si usa l'accesso condizionale, configurare un periodo di tolleranza in modo che i dispositivi non conformi non perdano immediatamente l'accesso alle risorse dell'organizzazione. È anche possibile aggiungere un'azione agli utenti di posta elettronica con la procedura per ottenere la conformità.
Assegnare i criteri al gruppo Autopilot Cloud-Native Endpoint Windows nel passaggio 4 - Creare Microsoft Entra gruppo dinamico per il dispositivo.
Per altre informazioni sulle impostazioni di conformità di Windows, vedere Impostazioni di conformità dei dispositivi Windows in Microsoft Intune.
Accesso condizionale
L'accesso condizionale in Microsoft Entra usa il segnale di conformità di Intune per consentire o bloccare l'accesso alle risorse dell'organizzazione. Il modello nativo del cloud più comune è la necessità di un dispositivo conforme per le app Microsoft 365 e altri servizi cloud. Questo modello garantisce che solo i dispositivi integri gestiti da Intune possano accedere ai dati.
Una linea di base tipica dell'accesso condizionale nativo del cloud include:
- Richiedere l'autenticazione a più fattori per tutti gli utenti.
- Richiedere un dispositivo conforme (o un dispositivo ibrido Microsoft Entra aggiunto) per le app cloud.
- Bloccare i protocolli di autenticazione legacy.
Importante
Testare prima i criteri di accesso condizionale in un gruppo pilota. Un criterio non configurato correttamente può bloccare gli amministratori dal Interfaccia di amministrazione di Microsoft Entra.
Per istruzioni dettagliate, vedere:
- Accesso condizionale: richiedere un dispositivo conforme o ibrido Microsoft Entra aggiunto
- Pianificare una distribuzione di accesso condizionale
- Criteri comuni di accesso condizionale
Fase 4: applicare personalizzazioni ed esaminare la configurazione locale
In questa fase si applicano le impostazioni specifiche dell'organizzazione, le app e si esamina la configurazione locale. La fase consente di creare eventuali personalizzazioni specifiche dell'organizzazione. Si noti che i vari componenti di Windows consentono di esaminare le configurazioni esistenti da un ambiente AD Criteri di gruppo locale e di applicarle agli endpoint nativi del cloud. Sono disponibili sezioni per ognuna delle aree seguenti:
- Esperienza utente
- Configurazione del dispositivo
- Eseguire la migrazione dall'ambiente locale
- Applicazioni
Microsoft Edge
Distribuzione di Microsoft Edge
Microsoft Edge è incluso nei dispositivi che eseguono:
- Windows
Dopo l'accesso degli utenti, Microsoft Edge viene aggiornato automaticamente. Per attivare un aggiornamento per Microsoft Edge durante la distribuzione, è possibile eseguire il comando seguente:
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
Per distribuire Microsoft Edge nelle versioni precedenti di Windows, passare ad Aggiungi Microsoft Edge per Windows a Microsoft Intune.
Configurazione di Microsoft Edge
Due componenti dell'esperienza microsoft edge, che si applicano quando gli utenti accedono con le proprie credenziali di Microsoft 365, possono essere configurati dal centro Amministrazione Microsoft 365.
Il logo della pagina iniziale in Microsoft Edge può essere personalizzato configurando la sezione Organizzazione all'interno del interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere Personalizzare il tema di Microsoft 365 per l'organizzazione.
La nuova esperienza di pagina delle schede predefinita in Microsoft Edge include informazioni Office 365 e notizie personalizzate. La modalità di visualizzazione di questa pagina può essere personalizzata dalla interfaccia di amministrazione di Microsoft 365 nella pagina Impostazioni>impostazioni> organizzazioneNotizie>nuova scheda di Microsoft Edge.
È anche possibile impostare altre impostazioni per Microsoft Edge usando i profili del catalogo delle impostazioni. Ad esempio, è possibile configurare impostazioni di sincronizzazione specifiche per l'organizzazione.
-
Microsoft Edge
- Configurare l'elenco dei tipi esclusi dalla sincronizzazione : password
Layout start e barra delle applicazioni
È possibile personalizzare e impostare un layout standard di avvio e barra delle applicazioni usando Intune.
Per Windows 11:
- Per creare e applicare un layout di menu Start, passare a Personalizza il layout del menu Start in Windows 11.
- Per creare e applicare un layout della barra delle applicazioni, passare a Personalizza la barra delle applicazioni in Windows 11.
Per Windows 10:
- Per altre informazioni sulla personalizzazione dell'avvio e della barra delle applicazioni, vai a Gestisci start di Windows e layout della barra delle applicazioni (Windows).
- Per creare un layout di avvio e barra delle applicazioni, passare a Personalizza ed esporta layout Start (Windows).To create a start and taskbar layout, go to Customize and export Start layout (Windows).
Dopo aver creato il layout, è possibile caricarlo in Intune configurando un profilo Limitazioni del dispositivo. L'impostazione si trova nella categoria Start .
Importante
Il 14 ottobre 2025 Windows 10 raggiunto la fine del supporto e non riceverà aggiornamenti di qualità e funzionalità. Windows 10 è una versione consentita in Intune. I dispositivi che eseguono questa versione possono comunque registrarsi in Intune e usare le funzionalità idonee, ma le funzionalità non saranno garantite e possono variare.
Catalogo delle impostazioni
Il catalogo delle impostazioni è un'unica posizione in cui sono elencate tutte le impostazioni configurabili di Windows. Questa funzionalità semplifica la creazione di un criterio e la visualizzazione di tutte le impostazioni disponibili. Per altre informazioni, vedere Creare un criterio usando il catalogo delle impostazioni in Microsoft Intune.
Consiglio
Molte delle impostazioni che si hanno familiarità con i criteri di gruppo sono integrate nel catalogo delle impostazioni. Se le impostazioni non sono disponibili nel catalogo delle impostazioni, controllare i modelli di profili di configurazione del dispositivo.
Di seguito sono riportate alcune impostazioni disponibili nel catalogo delle impostazioni che potrebbero essere rilevanti per l'organizzazione:
Azure dominio tenant preferito di Active Directory: questa impostazione configura il nome di dominio tenant preferito da aggiungere al nome utente di un utente. Un dominio tenant preferito consente agli utenti di accedere agli endpoint Microsoft Entra con solo il nome utente anziché l'intero UPN, purché il nome di dominio dell'utente corrisponda al dominio tenant preferito. Per gli utenti con nomi di dominio diversi, possono digitare l'intero UPN.
Impostazione della categoria Impostazione Valore Autenticazione Nome di dominio tenant AAD preferito Immettere il nome di dominio, ad esempio contoso.onmicrosoft.com.Nota
L'etichetta di impostazione usa la terminologia legacy. "AAD" si riferisce a Microsoft Entra ID.
Contenuti in evidenza di Windows : per impostazione predefinita, sono abilitate diverse funzionalità consumer di Windows, che comportano l'installazione di app dello Store selezionate e suggerimenti di terze parti nella schermata di blocco. È possibile controllarlo usando la sezione Esperienza del catalogo delle impostazioni.
Impostazione della categoria Impostazione Valore Esperienza > Consenti contenuti in evidenza di Windows Consenti funzionalità consumer di Windows Blocca Consenti suggerimenti di terze parti in Evidenza di Windows (utente) Blocca Microsoft Store : le organizzazioni in genere vogliono limitare le applicazioni che possono essere installate negli endpoint. Usare questa impostazione se l'organizzazione vuole controllare quali applicazioni possono essere installate da Microsoft Store. Questa impostazione impedisce agli utenti di installare applicazioni a meno che non siano approvate.
Impostazione della categoria Impostazione Valore Microsoft App Store Richiedi solo archivio privato È abilitato solo l'archivio privato Nota
Questa impostazione si applica a Windows 10. In Windows 11 questa impostazione blocca l'accesso all'archivio Microsoft pubblico. Per altre informazioni, vedere:
Block Gaming : le organizzazioni potrebbero preferire che gli endpoint aziendali non possano essere usati per giocare. La pagina Giochi all'interno dell'app Impostazioni può essere nascosta interamente usando l'impostazione seguente. Per altre informazioni sulla visibilità della pagina delle impostazioni, vedere la documentazione di CSP e il riferimento allo schema URI ms-settings.
Impostazione della categoria Impostazione Valore Impostazioni Elenco Visibilità pagina hide:gaming-gamebar; gioco-gamedvr; gioco-trasmissione; gaming-gamemode; gioco-trueplay; gioco-xboxnetworking; quietmomentsgame Controllare i tenant a cui il client desktop di Teams può accedere: quando questo criterio è configurato in un dispositivo, gli utenti possono accedere solo con account ospitati in un tenant Microsoft Entra incluso nell'"Elenco di autorizzazioni tenant" definito in questo criterio. "Elenco tenant consentiti" è un elenco delimitato da virgole di ID tenant Microsoft Entra. Specificando questo criterio e definendo un tenant Microsoft Entra, si blocca anche l'accesso a Teams per uso personale. Per altre informazioni, vedere Come limitare l'accesso ai dispositivi desktop.
Impostazione della categoria Impostazione Valore Microsoft Teams Limitare l'accesso a Teams agli account in tenant specifici (utente) Enabled
Restrizioni del dispositivo
I modelli di restrizioni dei dispositivi Windows contengono molte delle impostazioni necessarie per proteggere e gestire un endpoint di Windows usando i provider di servizi di configurazione di Windows. Più di queste impostazioni saranno rese disponibili nel catalogo delle impostazioni nel tempo. Per altre informazioni, vedere Restrizioni del dispositivo.
Per creare un profilo che usa il modello Restrizioni del dispositivo, nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>Gestire i dispositivi>Configurazione>Crea>nuovo criterio> Selezionare Windows 10 e versioni successive per Modelli di piattaforma >Restrizioni del dispositivo per il tipo di profilo.
URL immagine di sfondo del desktop (solo desktop): usare questa impostazione per impostare uno sfondo in SKU Windows Enterprise o Windows Education. Il file viene ospitato online o si fa riferimento a un file copiato in locale. Per configurare questa impostazione, nella scheda Impostazioni di configurazione del profilo Restrizioni del dispositivo espandere Personalizzazione e configurare l'URL dell'immagine di sfondo del desktop (solo desktop).
Richiedi agli utenti di connettersi a una rete durante l'installazione del dispositivo : questa impostazione riduce il rischio che un dispositivo possa ignorare Windows Autopilot se il computer viene reimpostato. Questa impostazione richiede che i dispositivi dispongano di una connessione di rete durante la fase di esperienza predefinita. Per configurare questa impostazione, nella scheda Impostazioni di configurazione nel profilo Restrizioni del dispositivo espandere Generale e configurare Richiedi agli utenti di connettersi alla rete durante l'installazione del dispositivo.
Nota
L'impostazione diventa effettiva alla successiva cancellazione o reimpostazione del dispositivo.
Ottimizzazione recapito
Ottimizzazione recapito viene usato per ridurre il consumo di larghezza di banda condividendo il lavoro di download dei pacchetti supportati tra più endpoint. Ottimizzazione recapito è una cache distribuita auto-organizzativa che consente ai client di scaricare tali pacchetti da origini alternative, ad esempio peer in rete. Queste origini peer integrano i tradizionali server basati su Internet. Puoi scoprire tutte le impostazioni disponibili per Ottimizzazione recapito e quali tipi di download sono supportati in Ottimizzazione recapito per gli aggiornamenti di Windows.
Per applicare le impostazioni di Ottimizzazione recapito, creare un profilo di ottimizzazione recapito Intune o un profilo del catalogo delle impostazioni.
Alcune impostazioni comunemente usate dalle organizzazioni sono:
- Limitare la selezione peer - Subnet : questa impostazione limita la memorizzazione nella cache peer ai computer nella stessa subnet.
- ID gruppo : i client di Ottimizzazione recapito possono essere configurati in modo da condividere solo il contenuto con i dispositivi dello stesso gruppo. Gli ID di gruppo possono essere configurati direttamente inviando un GUID tramite criteri o usando le opzioni DHCP negli ambiti DHCP.
I clienti che usano Microsoft Configuration Manager possono distribuire server cache connessi che possono essere usati per ospitare il contenuto di Ottimizzazione recapito. Per altre informazioni, vedere Microsoft Connected Cache in Gestione configurazione.
Amministratori locali
Se è presente un solo gruppo di utenti che richiede l'accesso dell'amministratore locale a tutti i dispositivi Windows aggiunti Microsoft Entra, è possibile aggiungerli all'amministratore locale del dispositivo aggiunto Microsoft Entra.
Potrebbe essere necessario che l'helpdesk IT o altro personale di supporto disponga dei diritti di amministratore locale in un gruppo selezionato di dispositivi. È possibile soddisfare questo requisito usando i provider di servizi di configurazione (CSP) seguenti.
- CSP Utenti e gruppi locali (preferito)
- CSP gruppi con restrizioni (nessuna azione di aggiornamento, solo sostituzione)
Per altre informazioni, vedere Come gestire il gruppo di amministratori locali nei dispositivi aggiunti Microsoft Entra
migrazione delle impostazioni da Criteri di gruppo a MDM
Esistono diverse opzioni per la creazione della configurazione del dispositivo quando si valuta una migrazione da Criteri di gruppo alla gestione dei dispositivi nativa del cloud:
- Iniziare da zero e applicare le impostazioni personalizzate in base alle esigenze.
- Esaminare i criteri di gruppo esistenti e applicare le impostazioni necessarie. È possibile usare strumenti utili, ad esempio l'analisi Criteri di gruppo.
- Usare Criteri di gruppo analytics per creare profili di configurazione del dispositivo direttamente per le impostazioni supportate.
La transizione a un endpoint Windows nativo del cloud rappresenta un'opportunità per esaminare i requisiti di elaborazione degli utenti finali e stabilire una nuova configurazione per il futuro. Quando possibile, iniziare da zero con un set minimo di criteri. Evitare di portare avanti impostazioni non necessarie o legacy da un ambiente aggiunto a un dominio o da sistemi operativi precedenti, ad esempio Windows 7 o Windows XP.
Per iniziare, esaminare i requisiti correnti e implementare una raccolta minima di impostazioni per soddisfare questi requisiti. I requisiti possono includere impostazioni e impostazioni di sicurezza normative o obbligatorie per migliorare l'esperienza dell'utente finale. L'azienda crea un elenco di requisiti, non IT. Ogni impostazione deve essere documentata, compresa e deve avere uno scopo.
La migrazione delle impostazioni da Criteri di gruppo esistenti a MDM (Microsoft Intune) non è l'approccio preferito. Quando si passa a Windows nativo del cloud, l'intenzione non dovrebbe essere quella di spostare e spostare le impostazioni di Criteri di gruppo esistenti. Considerare invece il gruppo di destinatari e le impostazioni necessarie. È necessario molto tempo e probabilmente non è pratico esaminare ogni impostazione di criteri di gruppo nell'ambiente per determinarne la rilevanza e la compatibilità con un dispositivo gestito moderno. Evitare di provare a valutare ogni criterio di gruppo e ogni singola impostazione. Concentrarsi invece sulla valutazione dei criteri comuni che coprono la maggior parte dei dispositivi e degli scenari.
Identificare invece le impostazioni di Criteri di gruppo obbligatorie ed esaminare tali impostazioni rispetto alle impostazioni MDM disponibili. Eventuali gap rappresentano blocchi che possono impedire di procedere con un dispositivo nativo del cloud se non risolto. Strumenti come l'analisi Criteri di gruppo possono essere usati per analizzare le impostazioni dei criteri di gruppo e determinare se è possibile eseguirne o meno la migrazione ai criteri MDM.
Script
È possibile usare script di PowerShell per qualsiasi impostazione o personalizzazione che è necessario configurare all'esterno dei profili di configurazione predefiniti. Per altre informazioni, vedere Aggiungere script di PowerShell ai dispositivi Windows in Microsoft Intune.
Mapping di unità e stampanti di rete
Gli scenari nativi del cloud non hanno una soluzione predefinita per le unità di rete mappate. È invece consigliabile eseguire la migrazione degli utenti a Teams, SharePoint e OneDrive. Se la migrazione non è possibile, prendere in considerazione l'uso di script, se necessario.
Per l'archiviazione personale, nel passaggio 8 - Configurare le impostazioni per un'esperienza ottimale di Microsoft 365, è stato configurato lo spostamento della cartella nota di OneDrive. Per altre informazioni, vedere Reindirizzare cartelle note.
Per l'archiviazione dei documenti, gli utenti possono anche trarre vantaggio dall'integrazione di SharePoint con Esplora file e dalla possibilità di sincronizzare le raccolte in locale, come indicato qui: Sincronizzare i file di SharePoint e Teams con il computer.
Se si usano modelli di documento di Office aziendali, che in genere si trovano nei server interni, considerare l'equivalente più nuovo basato sul cloud che consente agli utenti di accedere ai modelli da qualsiasi posizione.
Per le soluzioni di stampa, prendere in considerazione la stampa universale. Per altre informazioni, vedere:
- Che cos'è la stampa universale?
- Annuncio della disponibilità generale della stampa universale
- Attività che è possibile completare usando il Catalogo impostazioni in Intune
Applicazioni
Intune supporta la distribuzione di molti tipi di applicazioni Windows diversi.
- Windows Installer (MSI): aggiungere un'app line-of-business di Windows a Microsoft Intune
- MSIX: aggiungere un'app line-of-business di Windows a Microsoft Intune
- App Win32 (programmi di installazione msi, exe e script): gestione delle app Win32 in Microsoft Intune
- App dello Store: aggiungere app di Microsoft Store a Microsoft Intune
- Collegamenti Web: aggiungere app Web a Microsoft Intune
Se si dispone di applicazioni che usano programmi di installazione msi, exe o script, è possibile distribuire tutte queste applicazioni usando la gestione delle app Win32 in Microsoft Intune. Il wrapping di questi programmi di installazione nel formato Win32 offre maggiore flessibilità e vantaggi, tra cui notifiche, ottimizzazione del recapito, dipendenze, regole di rilevamento e supporto per la pagina stato della registrazione in Windows Autopilot.
Nota
Per evitare conflitti durante l'installazione, è consigliabile usare esclusivamente le funzionalità delle app line-of-business di Windows o delle app Win32. Se si dispone di applicazioni in pacchetto come .msi o , è possibile convertirli in app Win32 (.intunewin) usando lo strumento di preparazione del contenuto Microsoft Win32 disponibile in GitHub.exe.
Fase 5: ridimensionare la distribuzione con Windows Autopilot
È stato dimostrato che funziona in modo nativo del cloud in un unico dispositivo. Questa fase illustra come passare da un dispositivo di test alla flotta di produzione: come vengono registrati i dispositivi, come raggrupparli per persona, come si esegue l'implementazione temporanea e come gestire i PC esistenti già gestiti.
Registrare i dispositivi su larga scala
Nella fase 1 è stato caricato manualmente un hash hardware. Va bene per un laboratorio, ma non si ridimensiona. Le opzioni pronte per la produzione sono:
| Origine di registrazione | Come funziona | Ideale per |
|---|---|---|
| OEM o partner hardware | I dispositivi vengono spediti dal fornitore già registrato al tenant (Dell, HP, Lenovo, Microsoft, Surface e altri). | Nuovo approvvigionamento hardware: lo stato di destinazione consigliato. |
| Reseller o CSP | Un partner Microsoft registra i dispositivi per conto dell'utente. | Catene di approvvigionamento indiretto o miste. |
| Caricamento hash manuale (CSV) | Stesso Get-WindowsAutopilotInfo flusso della fase 1, passaggio 3, caricato in blocco come csv. |
Progetti pilota, dispositivi lab, piccoli batch, dispositivi esistenti di cui viene eseguito l'onboarding. |
| connettore Intune/registrazione diretta | I percorsi di registrazione più recenti sono stati visualizzati nell'interfaccia di amministrazione. | Scenari di registrazione specifici: vedere la panoramica della registrazione di Autopilot. |
Per informazioni dettagliate, vedere Registrare i dispositivi Autopilot.
Consiglio
Ogni volta che acquisti un nuovo hardware Windows, chiedi al rivenditore o all'OEM di registrare i dispositivi nell'ID tenant Microsoft Entra al momento dell'acquisto. Questo approccio è il modello a lungo termine con attrito più basso e rimuove la necessità di raccogliere un hash manualmente.
Usare tag di gruppo per le persone
È già stato usato il tag di CloudNative gruppo nella fase 1 per guidare un gruppo dinamico. Lo stesso modello viene ridimensionato in base a più persone del dispositivo. Definire un tag di gruppo per persona, un gruppo dinamico Microsoft Entra per tag e un profilo di distribuzione Autopilot più Pagina stato registrazione per gruppo.
| Utente | Tag di gruppo suggerito | Profilo autopilot | Tipo di account utente |
|---|---|---|---|
| Knowledge Worker | KnowledgeWorker |
Basato sull'utente | Standard utente |
| Sviluppatore/utente con alimentazione | Developer |
Basato sull'utente | Amministratore |
| Tutto schermo o dispositivo condiviso | Kiosk |
Distribuzione automatica | N/D |
| Pre-provisioning (guanti bianchi) | PreProvisioned |
Pre-provisioning | Standard utente |
Questo modello mantiene la configurazione, le app e i criteri di sicurezza isolati per persona ed evita eccezioni una tantum che si estendono in tutto il tenant.
Eseguire l'implementazione in anelli
Non distribuirlo nell'intera flotta in una sola volta. Usare lo stesso concetto di anello usato per Windows Aggiornamenti:
| Anello | Gruppo di destinatari | Finalità |
|---|---|---|
| Pilota | Team IT e un piccolo gruppo di volontari | Convalidare il provisioning end-to-end e i criteri. |
| Primi utilizzatori | Circa il 5% degli utenti, distribuiti tra reparti | Rilevare i problemi specifici di utenti e app. |
| Ampio | La flotta rimanente, messa in scena per regione o reparto | Implementazione della produzione. |
Usare i filtri di assegnazione per gli anelli di destinazione anziché creare gruppi duplicati per ogni criterio. Monitorare ogni anello usando la sezione Monitorare gli endpoint windows nativi del cloud prima di passare al successivo.
Gestire i dispositivi esistenti
Per i PC Windows già gestiti, Microsoft consiglia di passare a Autopilot al prossimo aggiornamento hardware anziché effettuare di nuovo il provisioning dell'intera flotta. Windows nativo del cloud offre tutti i vantaggi offerti da un avvio pulito della configurazione guidata e i cicli di aggiornamento consentono di eseguire la transizione in modo naturale con interruzioni minime degli utenti.
Se non è possibile attendere l'aggiornamento, sono disponibili due percorsi:
- Registrare e reimpostare sul posto. Raccogliere l'hash per un dispositivo esistente, registrarlo in Autopilot e quindi reimpostare il PC. Il dispositivo torna tramite Configurazione guidata come endpoint nativo del cloud. Vedere Aggiungere dispositivi esistenti a Windows Autopilot.
- Ricreare l'immagine durante l'aggiornamento. Solo l'hardware nuovo o aggiornato viene registrato come nativo del cloud. I dispositivi esistenti rimangono nella gestione corrente fino a quando non raggiungono la fine del ciclo di vita.
Attenzione
Non registrare i dispositivi gestiti attivamente da Microsoft Configuration Manager senza un piano di co-gestione. Decidere se il dispositivo sarà gestito dal cloud, co-gestito o rimarrà Gestione configurazione prima di registrarlo in Autopilot. Per altre informazioni, vedere Co-gestione per dispositivi Windows.
Ulteriori informazioni
- Panoramica di Windows Autopilot
- Profili di distribuzione di Windows Autopilot
- Modulo 6.4 - Nozioni fondamentali su Windows Autopilot - YouTube
Se Windows Autopilot non è adatto allo scenario, vedere Intune metodi di registrazione per i dispositivi Windows per le alternative.
Monitorare gli endpoint di Windows nativi del cloud
Dopo il provisioning e la configurazione degli endpoint di Windows nativi del cloud, usare le visualizzazioni di monitoraggio nell'interfaccia di amministrazione Microsoft Intune per confermare la corretta distribuzione di criteri, script e app e per individuare i problemi in anticipo. Il monitoraggio è un'attività operativa in corso, non un passaggio di configurazione una tantum.
| Cosa monitorare | Nell'interfaccia di amministrazione | Cosa rivedere | Ulteriori informazioni |
|---|---|---|---|
| Stato dello script | Dispositivi>Per piattaforma>Finestre>Gestire i dispositivi>Script e correzioni>Script della piattaforma | Selezionare uno script >Stato del dispositivo | — |
| Stato di installazione dell'app | Applicazioni>Finestre>App di Windows | Selezionare uno stato di installazione del dispositivo dell'app > o stato di installazione utente | Risolvere i problemi di installazione delle app |
| Baseline di sicurezza | — | — | Monitorare le baseline di sicurezza in Intune |
| Crittografia disco (BitLocker) | Sicurezza> degli endpointCrittografia del disco | Selezionare il criterio > BitLocker Stato installazione dispositivo. Chiavi di ripristino: i dispositivi>Windows> selezionano le chiavi di ripristino del dispositivo > | — |
| anelli Windows Update | Dispositivi>Gestire gli aggiornamenti>Windows 10 e aggiornamenti successivi Anelli>di aggiornamento | Selezionare uno stato del dispositivo circolare > | Report per gli anelli di aggiornamento |
| Conformità | Dispositivi>Conformità | Selezionare i criteri per visualizzare i risultati dell'assegnazione, i dispositivi non conformi e gli errori per impostazione | Monitorare i criteri di conformità |
| Analisi degli endpoint | Rapporti>Analisi degli endpoint | Prestazioni di avvio, affidabilità delle app e correzioni proattive nell'intera flotta | Panoramica di Endpoint Analytics · report Intune |
Seguire le indicazioni per gli endpoint nativi del cloud
- Panoramica: Che cosa sono gli endpoint nativi del cloud?
- 🡺 Esercitazione: Configurare gli endpoint windows nativi del cloud con Microsoft Intune (qui)
- Concetto: Microsoft Entra aggiunto a un Microsoft Entra ibrido
- Concetto: endpoint nativi del cloud e risorse locali
- Guida alla pianificazione di alto livello
- Problemi noti e informazioni importanti
Domande frequenti
Che cos'è un endpoint Windows nativo del cloud?
Un endpoint windows nativo del cloud è un dispositivo Windows Microsoft Entra aggiunto e registrato in Microsoft Intune, senza alcuna dipendenza da Active Directory locale, Criteri di gruppo o controller di dominio. Tutta la configurazione, la sicurezza e la distribuzione delle app vengono gestite dal cloud usando Microsoft Intune e Windows Autopilot.
Qual è la differenza tra i Microsoft Entra nativi del cloud e ibridi aggiunti?
Un dispositivo ibrido Microsoft Entra aggiunto viene aggiunto a Active Directory locale e Microsoft Entra. Dipende ancora da controller di dominio per l'autenticazione e Criteri di gruppo per la configurazione. Un dispositivo nativo del cloud (solo Microsoft Entra aggiunto) non ha alcuna dipendenza locale: identità, criteri e app provengono tutti dal cloud. Per un confronto dettagliato, vedere Microsoft Entra aggiunto a Microsoft Entra ibrido.
È necessario Windows 11 per gli endpoint nativi del cloud?
No. Windows nativo del cloud funziona con Windows 10 22H2 o versioni successive. Microsoft consiglia Windows 11 per un'esperienza ottimale con Windows Autopilot, Windows Hello for Business e funzionalità di sicurezza moderne.
È possibile spostare i dispositivi aggiunti a un dominio esistente nel cloud nativo?
Sì, ma Microsoft consiglia di eseguire questa operazione al successivo aggiornamento hardware invece di effettuare di nuovo il provisioning dell'intera flotta. Windows nativo del cloud ottiene tutti i suoi vantaggi da un avvio pulito della configurazione guidata. Per i dispositivi che non è possibile attendere l'aggiornamento, vedere Gestire i dispositivi esistenti nella fase 5.
Windows nativo del cloud funziona con risorse locali come condivisioni file e stampanti?
Sì, con un po' di pianificazione. I dispositivi nativi del cloud possono accedere alle risorse locali tramite VPN o tramite Microsoft Entra proxy dell'applicazione. Per l'archiviazione file, Microsoft consiglia di eseguire la migrazione a OneDrive e SharePoint. Per la stampa, prendere in considerazione la stampa universale. Per indicazioni dettagliate, vedere Endpoint nativi del cloud e risorse locali .
Risorse online utili
- Co-gestione per dispositivi Windows
- Attivazione della sottoscrizione di Windows
- Configurare un criterio di conformità del dispositivo Intune in grado di consentire o negare l'accesso alle risorse in base a criteri di accesso condizionale Microsoft Entra
- Aggiungere app dello Store
- Aggiungere app Win32
- Usare i certificati per l'autenticazione in Intune
- Distribuire profili di rete, tra cui VPN e Wi-Fi
- Distribuire l'autenticazione a più fattori
- Baseline di sicurezza per Microsoft Edge