Creare un profilo di dispositivo in Microsoft Intune

I profili dei dispositivi consentono di aggiungere e configurare le impostazioni, per poi trasferirle ai dispositivi dell'organizzazione. Durante la creazione dei criteri sono disponibili alcune opzioni:

• Modelli amministrativi: nei dispositivi Windows 10/11 questi modelli sono impostazioni ADMX configurate. Se si ha familiarità con i criteri ADMX o gli oggetti Criteri di gruppo, l'uso di modelli amministrativi è un passaggio naturale per Microsoft Intune.

  Per altre informazioni, vedere Modelli amministrativi

• Baseline: nei dispositivi Windows 10/11 queste baseline includono impostazioni di sicurezza preconfigurate. Se vuoi creare criteri di sicurezza utilizzando le raccomandazioni dei team di Microsoft Security, le linee di base della sicurezza fanno al caso tuo.

  Per altre informazioni, vedere Baseline di sicurezza.

• Catalogo delle impostazioni: nei dispositivi Apple e Windows è possibile usare il catalogo delle impostazioni per configurare le funzionalità e le impostazioni dei dispositivi. Il catalogo delle impostazioni include tutte le impostazioni disponibili e in un'unica posizione. Ad esempio, è possibile visualizzare tutte le impostazioni applicabili a BitLocker e creare un criterio incentrato solo su BitLocker. Nei dispositivi macOS usare il catalogo delle impostazioni per configurare Microsoft Edge versione 77 e le impostazioni.

  Per altre informazioni, vedere Catalogo impostazioni.

• Modelli: nei dispositivi Android, iOS/iPadOS, macOS e Windows i modelli includono un raggruppamento logico di impostazioni che configurano una funzionalità o un concetto, ad esempio VPN, posta elettronica, dispositivi in modalità tutto schermo e altro ancora. Se hai familiarità con la creazione di criteri di configurazione dei dispositivi in Microsoft Intune, allora stai già utilizzando questi modelli.

  Per altre informazioni, inclusi i modelli disponibili, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili di dispositivo.

Questo articolo:

• Elenca i passaggi per creare un profilo.
• Illustra come aggiungere un tag di ambito per "filtrare" i criteri.
• Descrive le regole di applicabilità nei dispositivi client Windows e illustra come creare una regola.
• Contiene altre informazioni sui tempi di ciclo di aggiornamento dell'archiviazione quando i dispositivi ricevono profili ed eventuali aggiornamenti del profilo.

Creare il profilo

I profili vengono creati nell’Interfaccia di amministrazione di Microsoft Intune. In questa interfaccia di amministrazione selezionare Dispositivi. Sono disponibili le opzioni seguenti:

• Panoramica: elenca lo stato dei profili e fornisce altri dettagli sui profili assegnati a utenti e dispositivi.
• Monitoraggio: controllare lo stato dei profili per verificare l'esito positivo o negativo e visualizzare anche i log sui profili.
• Per piattaforma: creare e visualizzare criteri e profili in base alla piattaforma. Questa visualizzazione può anche mostrare funzionalità specifiche della piattaforma. Ad esempio, selezionare Windows. Vengono visualizzate funzionalità specifiche di Windows, ad esempio Anelli di Windows Update e Script di PowerShell.
• Gestire i dispositivi: creare profili di dispositivo, caricare Script di PowerShell personalizzati per l'esecuzione nei dispositivi e aggiungere piani dati ai dispositivi usando eSIM.

Quando si crea un profilo (Configurazione> Crea), scegliere la piattaforma:

• Amministratore del dispositivo Android
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 e versioni successive
• Windows 8.1 e versioni successive

Scegliere quindi il profilo. A seconda della piattaforma scelta, le impostazioni che è possibile configurare sono diverse. Gli articoli seguenti descrivono i diversi profili:

• Modelli amministrativi (Windows)
• Configurazione del BIOS e altre impostazioni
• Personalizzato
• Ottimizzazione recapito (Windows)
• Credenziali derivate (Android Enterprise, iOS, iPadOS)
• Funzionalità del dispositivo (macOS, iOS, iPadOS)
• Interfaccia di configurazione del firmware del dispositivo (DFCI) (Windows)
• Restrizioni dei dispositivi
• Aggiunta al dominio (Windows)
• Aggiornamento dell'edizione e cambio di modalità (Windows)
• Education (iOS, iPadOS)
• Posta elettronica
• Endpoint protection (macOS, Windows)
• Estensioni (macOS)
• Chiosco
• Microsoft Defender per endpoint
• Profilo mobility extensions (MX) (amministratore di dispositivi Android)
• Limite di rete (Windows)
• OEMConfig (Android Enterprise)
• Certificato PKCS
• Certificato PKCS importato
• File di preferenze (macOS)
• Certificato SCEP
• Valutazione sicura (Education) (Windows)
• Dispositivo multiutente condiviso
• Certificato attendibile
• VPN
• Wi-Fi
• Monitoraggio dell’integrità di Windows
• Reti cablate (macOS)

Ad esempio, se si seleziona Android Enterprise per la piattaforma, le opzioni sono simili al profilo seguente:

Se si seleziona Windows 10 e versioni successive per la piattaforma, le opzioni sono simili al profilo seguente:

Tag di ambito

Dopo aver aggiunto le impostazioni, è anche possibile aggiungere un tag di ambito al profilo. I tag di ambito filtrano i profili a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Inoltre, vengono usati nell'IT distribuito.

Per ulteriori informazioni sui tag di ambito e su ciò che è possibile fare, vedere Utilizzo di RBAC e tag di ambito per l'IT distribuito.

Regole di applicabilità

Si applica a:

• Windows 11
• Windows 10

I criteri di applicabilità consentono agli amministratori di indirizzare i dispositivi di un gruppo che soddisfano criteri specifici. Ad esempio, si crea un profilo di restrizioni del dispositivo che si applica al gruppo Tutti i dispositivi Windows 10/11. Inoltre, si vuole assegnare solo il profilo ai dispositivi che eseguono Windows Enterprise.

Per eseguire questa attività, creare una regola di applicabilità. Queste regole sono ideali per gli scenari seguenti:

• Si usa Windows 10 Education (EDU). Al Bellows College vuoi scegliere come destinazione tutti i dispositivi Windows 10 EDU tra RS3 e RS4.
• Vuoi scegliere come destinazione tutti gli utenti in Risorse umane in Contoso, ma vuoi solo dispositivi Windows 10 Professional o Enterprise.

Per affrontare questi scenari, è necessario:

• Creare un gruppo di dispositivi che include tutti i dispositivi in Bellows College. Nel profilo aggiungere una regola di applicabilità in modo che venga applicata se la versione minima del sistema operativo è 16299 e la versione massima è 17134. Assegnare questo profilo al gruppo di dispositivi Bellows College.

  Quando il profilo viene assegnato, si applica ai dispositivi tra le versioni minime e massime immesse. Per i dispositivi che non sono compresi tra le versioni minime e massime immesse, il relativo stato viene visualizzato come Non applicabile.

• Creare un gruppo di utenti che includa tutti gli utenti in Risorse umane (HR) in Contoso. Nel profilo aggiungere una regola di applicabilità in modo che si applichi ai dispositivi che eseguono Windows 10 Professional o Enterprise. Assegnare questo profilo al gruppo di utenti HR.

  Quando il profilo viene assegnato, si applica ai dispositivi che eseguono Windows 10 Professional o Enterprise. Per i dispositivi che non eseguono queste edizioni, il relativo stato viene visualizzato come Non applicabile.

• Se sono presenti due profili con esattamente le stesse impostazioni, viene applicato il profilo senza una regola di applicabilità.

  Ad esempio, ProfileA è destinato al gruppo di dispositivi Windows 10, abilita BitLocker e non ha una regola di applicabilità. ProfileB è destinato allo stesso gruppo di dispositivi Windows 10, abilita BitLocker e ha una regola di applicabilità per applicare il profilo solo a Windows 10 Enterprise.

  Quando vengono assegnati entrambi i profili, ProfileA viene applicato perché non ha una regola di applicabilità.

Quando si assegna il profilo ai gruppi, le regole di applicabilità fungono da filtro e hanno come destinazione solo i dispositivi che soddisfano i criteri.

Aggiungi una regola

1. Nel criterio selezionare Regole di applicabilità. È possibile scegliere la Regola e la Proprietà:

   

2. In Regola scegliere se includere o escludere utenti o gruppi. Le opzioni disponibili sono:

   • Assegnare profilo se: include utenti o gruppi che soddisfano i criteri immessi.
   • Non assegnare il profilo se: esclude gli utenti o i gruppi che soddisfano i criteri immessi.

3. In Proprietà scegliere il filtro. Le opzioni disponibili sono:

   • Edizione del sistema operativo: nell'elenco controllare le edizioni client Windows che si desidera includere (o escludere) nella regola.

   • Versione del sistema operativo: immettere i numeri di versione minima e massima del client Windows da includere (o escludere) nella regola. Entrambi i valori sono obbligatori.

     Ad esempio, è possibile immettere 10.0.16299.0 (RS3 o 1709) per la versione minima e 10.0.17134.0 (RS4 o 1803) per la versione massima. In alternativa, è possibile essere più granulari e immettere 10.0.16299.001 per la versione minima e 10.0.17134.319 per la versione massima.

     Per altri numeri di versione, passare a Informazioni sulla versione del client Windows.

4. Selezionare Aggiungi per salvare le modifiche.

Tempi del ciclo di aggiornamento dei criteri

Intune utilizza diversi cicli di aggiornamento per verificare gli aggiornamenti dei profili di configurazione. Se il dispositivo è stato registrato di recente, il check-in viene eseguito più frequentemente. Cicli di aggiornamento dei criteri e dei profili elenca i tempi di aggiornamento stimati.

In qualsiasi momento, gli utenti possono aprire l'app Company Portal e sincronizzare il dispositivo per controllare immediatamente gli aggiornamenti del profilo.

Consigli

Quando si creano elenchi di indirizzi, è consigliabile prendere in considerazione le raccomandazioni seguenti:

• Assegnare un nome ai criteri in modo da sapere cosa sono e cosa fanno. Tutti i criteri di conformità e i profili di configurazione hanno una proprietà Description facoltativa. In Description, occorre essere specifici e includere informazioni che consentano agli altri di sapere cosa fa il criterio.

  Alcuni esempi di profilo includono:

  Nome profilo: modello di amministratore - Profilo di configurazione di OneDrive per tutti gli utenti di Windows 10
  Descrizione profilo: profilo del modello di amministratore di OneDrive che include le impostazioni minime e di base per tutti gli utenti di Windows 10. Creato da user@contoso.com per impedire agli utenti di condividere i dati dell'organizzazione con account OneDrive personali.

  Nome profilo: profilo VPN per tutti gli utenti iOS/iPadOS
  Descrizione profilo: profilo VPN che include le impostazioni minime e di base per tutti gli utenti iOS/iPadOS per connettersi alla VPN Contoso. Creato da user@contoso.com in modo che gli utenti eseguano automaticamente l'autenticazione alla VPN, anziché richiedere agli utenti il nome utente e la password.

• Creare il profilo in base alla relativa attività, ad esempio configurare le impostazioni di Microsoft Edge, abilitare le impostazioni antivirus di Microsoft Defender, bloccare i dispositivi jailbroken iOS/iPadOS e così via.

• Creare profili che si applicano a gruppi specifici, ad esempio Marketing, Vendite, Amministratori IT o in base alla posizione o al sistema dell'istituto di istruzione. Usare le funzionalità predefinite, tra cui:

  • Utilizzare il controllo degli accessi basato sui ruoli (RBAC) e i tag di ambito per l'IT distribuito in Intune
  • IT distribuito con molti amministratori nello stesso tenant di Intune
  • Usare i filtri durante l'assegnazione di app, criteri e profili in Intune

• Separare i criteri utente dai criteri dei dispositivi.

  Ad esempio, i modelli amministrativi in Intune hanno migliaia di impostazioni ADMX. Questi modelli mostrano se un'impostazione si applica a utenti o dispositivi. Quando si creano modelli di amministratore, assegnare le impostazioni degli utenti a un gruppo di utenti e assegnare le impostazioni del dispositivo a un gruppo di dispositivi.

  L'immagine seguente mostra un esempio di impostazione che può essere applicata agli utenti, applicata ai dispositivi o applicata a entrambi:

  

• Utilizzare Microsoft Copilot in Intune per valutare i criteri, approfondire l'impostazione di un criterio e il suo impatto sugli utenti e sulla sicurezza e confrontare i criteri tra due dispositivi.

  Per altre informazioni, vedere Microsoft Copilot in Intune.

• Ogni volta che si crea un criterio restrittivo, comunicare questa modifica agli utenti. Ad esempio, se si intende modificare il requisito del codice di accesso da quattro (4) caratteri a sei (6) caratteri, è necessario informare gli utenti prima di assegnare il criterio.

Passaggi successivi

Assegnare il profilo e monitorarne lo stato.