Impostazioni di conformità del dispositivo per Windows 10/11 in Intune
Questo articolo elenca e descrive le diverse impostazioni di conformità che è possibile configurare nei dispositivi Windows in Intune. Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per richiedere BitLocker, impostare un sistema operativo minimo e massimo, impostare un livello di rischio usando Microsoft Defender per endpoint e altro ancora.
Questa funzionalità si applica a:
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
In qualità di amministratore di Intune, usare queste impostazioni di conformità per proteggere le risorse dell'organizzazione. Per altre informazioni sui criteri di conformità e sulle relative operazioni, vedere Introduzione alla conformità dei dispositivi.
Prima di iniziare
Creare criteri di conformità. Per Piattaforma selezionare Windows 10 e versioni successive.
Integrità del dispositivo
Per garantire che i dispositivi vengano avviati in uno stato attendibile, Intune usa i servizi di attestazione dei dispositivi Microsoft. I dispositivi nei servizi commerciali di Intune, US Government GCC High e DoD che eseguono Windows 10 usano il servizio DHA (Device Health Attestation).
Per altre informazioni, vedere:
Regole di valutazione del servizio di attestazione dell'integrità di Windows
Richiedi BitLocker:
Crittografia unità BitLocker di Windows crittografa tutti i dati archiviati nel volume del sistema operativo Windows. BitLocker usa il modulo TPM (Trusted Platform Module) per proteggere il sistema operativo Windows e i dati utente. Consente inoltre di verificare che un computer non sia manomesso, anche se il computer è rimasto incustodito, perso o rubato. Se il computer è dotato di un TPM compatibile, BitLocker usa il TPM per bloccare le chiavi di crittografia che proteggono i dati. Di conseguenza, non è possibile accedere alle chiavi finché il TPM non verifica lo stato del computer.- Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
- Richiedi : il dispositivo può proteggere i dati archiviati nell'unità da accessi non autorizzati quando il sistema è spento o ibernazione.
Device HealthAttestation CSP - BitLockerStatus
Nota
Se si usano criteri di conformità dei dispositivi in Intune, tenere presente che lo stato di questa impostazione viene misurato solo in fase di avvio. Pertanto, anche se la crittografia BitLocker potrebbe essere stata completata, sarà necessario un riavvio per consentire al dispositivo di rilevarlo e di diventare conforme. Per altre informazioni, vedere il blog del supporto tecnico Microsoft seguente su Attestazione dell'integrità dei dispositivi.
Richiedi l'abilitazione dell'avvio protetto nel dispositivo:
- Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
- Richiedi : il sistema viene forzato ad avviare uno stato attendibile della factory. I componenti principali usati per avviare il computer devono avere firme crittografiche corrette attendibili dall'organizzazione che ha prodotto il dispositivo. Il firmware UEFI verifica la firma prima che consenta l'avvio del computer. Se i file vengono manomessi, il che interrompe la firma, il sistema non viene avviato.
Nota
L'impostazione Richiedi l'abilitazione dell'avvio protetto nel dispositivo è supportata in alcuni dispositivi TPM 1.2 e 2.0. Per i dispositivi che non supportano TPM 2.0 o versioni successive, lo stato dei criteri in Intune viene visualizzato come Non conforme. Per altre informazioni sulle versioni supportate, vedere Attestazione dell'integrità dei dispositivi.
Richiedere l'integrità del codice:
L'integrità del codice è una funzionalità che convalida l'integrità di un driver o di un file di sistema ogni volta che viene caricato in memoria.- Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
- Richiedi : richiede l'integrità del codice, che rileva se un driver o un file di sistema non firmato viene caricato nel kernel. Rileva anche se un file di sistema viene modificato da software dannoso o eseguito da un account utente con privilegi di amministratore.
Per altre informazioni, vedere:
- Per informazioni dettagliate sul funzionamento del servizio di attestazione dell'integrità, vedere Health Attestation CSP (Provider di servizi di attestazione dell'integrità).
- Suggerimento per il supporto: uso delle impostazioni di attestazione dell'integrità del dispositivo come parte dei criteri di conformità di Intune.
Proprietà dispositivo
Versione del sistema operativo
Per individuare le versioni di compilazione per tutti gli aggiornamenti delle funzionalità di Windows 10/11 e gli aggiornamenti cumulativi (da usare in alcuni dei campi seguenti), vedi Informazioni sulla versione di Windows. Assicurarsi di includere il prefisso di versione appropriato prima dei numeri di compilazione, ad esempio 10.0 per Windows 10, come illustrato negli esempi seguenti.
Versione minima del sistema operativo:
Immettere la versione minima consentita nel formato major.minor.build.revision . Per ottenere il valore corretto, aprire un prompt dei comandi e digitarever
. Ilver
comando restituisce la versione nel formato seguente:Microsoft Windows [Version 10.0.17134.1]
Quando un dispositivo ha una versione precedente alla versione del sistema operativo immessa, viene segnalato come non conforme. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento. L'utente finale può scegliere di aggiornare il dispositivo. Dopo l'aggiornamento, possono accedere alle risorse aziendali.
Versione massima del sistema operativo:
Immettere la versione massima consentita nel formato major.minor.build.revision . Per ottenere il valore corretto, aprire un prompt dei comandi e digitarever
. Ilver
comando restituisce la versione nel formato seguente:Microsoft Windows [Version 10.0.17134.1]
Quando un dispositivo usa una versione del sistema operativo successiva alla versione immessa, l'accesso alle risorse dell'organizzazione viene bloccato. All'utente finale viene chiesto di contattare l'amministratore IT. Il dispositivo non può accedere alle risorse dell'organizzazione fino a quando la regola non viene modificata per consentire la versione del sistema operativo.
Sistema operativo minimo necessario per i dispositivi mobili:
Immettere la versione minima consentita nel formato del numero major.minor.build.Quando un dispositivo ha una versione precedente immessa dal sistema operativo, viene segnalato come non conforme. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento. L'utente finale può scegliere di aggiornare il dispositivo. Dopo l'aggiornamento, possono accedere alle risorse aziendali.
Numero massimo di sistema operativo necessari per i dispositivi mobili:
Immettere la versione massima consentita nel numero major.minor.build.Quando un dispositivo usa una versione del sistema operativo successiva alla versione immessa, l'accesso alle risorse dell'organizzazione viene bloccato. All'utente finale viene chiesto di contattare l'amministratore IT. Il dispositivo non può accedere alle risorse dell'organizzazione fino a quando la regola non viene modificata per consentire la versione del sistema operativo.
Compilazioni valide del sistema operativo:
Specificare un elenco di build del sistema operativo minime e massime. Le build valide del sistema operativo offrono maggiore flessibilità rispetto alle versioni minime e massime del sistema operativo. Si consideri uno scenario in cui la versione minima del sistema operativo è impostata su 10.0.18362.xxx (Windows 10 1903) e la versione massima del sistema operativo è impostata su 10.0.18363.xxx (Windows 10 1909). Questa configurazione può consentire a un dispositivo Windows 10 1903 che non dispone di aggiornamenti cumulativi recenti installati di essere identificato come conforme. Le versioni minime e massime del sistema operativo potrebbero essere adatte se hai standardizzato una singola versione di Windows 10, ma potrebbe non soddisfare i tuoi requisiti se devi usare più build, ognuna con livelli di patch specifici. In questo caso, è consigliabile sfruttare invece le compilazioni valide del sistema operativo, che consente di specificare più compilazioni in base all'esempio seguente.Il valore supportato più grande per ogni campo versione, principale, secondaria e di compilazione è 65535. Ad esempio, il valore più grande che è possibile immettere è 65535.65535.65535.65535.
Esempio:
La tabella seguente è un esempio di un intervallo per le versioni dei sistemi operativi accettabili per le diverse versioni di Windows 10. In questo esempio sono stati consentiti tre diversi aggiornamenti delle funzionalità (1809, 1909 e 2004). In particolare, solo le versioni di Windows che hanno applicato gli aggiornamenti cumulativi da giugno a settembre 2020 verranno considerate conformi. Si tratta solo di dati di esempio. La tabella include una prima colonna che include qualsiasi testo che si desidera descrivere la voce, seguita dalla versione minima e massima del sistema operativo per tale voce. La seconda e la terza colonna devono rispettare le versioni di compilazione del sistema operativo valide nel formato del numero major.minor.build.revision . Dopo aver definito una o più voci, è possibile esportare l'elenco come file con valori delimitati da virgole (CSV).Descrizione Versione minima del sistema operativo Versione massima del sistema operativo Win 10 2004 (Giugno-Settembre 2020) 10.0.19041.329 10.0.19041.508 Win 10 1909 (Giugno-Settembre 2020) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (Giugno-Settembre 2020) 10.0.17763.1282 10.0.17763.1490 Nota
Se si specificano più intervalli di build della versione del sistema operativo nei criteri e un dispositivo ha una compilazione esterna agli intervalli conformi, Portale aziendale informerà l'utente del dispositivo che il dispositivo non è conforme a questa impostazione. Tuttavia, tenere presente che, a causa di limitazioni tecniche, il messaggio di correzione della conformità mostra solo il primo intervallo di versione del sistema operativo specificato nei criteri. È consigliabile documentare gli intervalli di versioni del sistema operativo accettabili per i dispositivi gestiti nell'organizzazione.
Conformità di Configuration Manager
Si applica solo ai dispositivi co-gestiti che eseguono Windows 10/11. I dispositivi solo in Intune restituiscono uno stato non disponibile.
-
Richiedere la conformità del dispositivo da Configuration Manager:
- Non configurato (impostazione predefinita): Intune non verifica la conformità delle impostazioni di Configuration Manager.
- Richiedi : richiedere la conformità di tutte le impostazioni (elementi di configurazione) in Configuration Manager.
Sicurezza del sistema
Password
Richiedere una password per sbloccare i dispositivi mobili:
- Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
- Richiedi : gli utenti devono immettere una password prima di poter accedere al dispositivo.
Password semplici:
- Non configurato (impostazione predefinita): gli utenti possono creare password semplici, ad esempio 1234 o 1111.
- Blocca : gli utenti non possono creare password semplici, ad esempio 1234 o 1111.
Tipo di password:
Scegliere il tipo di password o PIN necessario. Le opzioni disponibili sono:- Impostazione predefinita del dispositivo (impostazione predefinita) - Richiedere una password, un PIN numerico o un PIN alfanumerico
- Numeric - Richiedere una password o un PIN numerico
- Alfanumerico : richiede una password o un PIN alfanumerico.
Se impostato su Alfanumerico, sono disponibili le impostazioni seguenti:
Complessità delle password:
Le opzioni disponibili sono:- Richiedi cifre e lettere minuscole (impostazione predefinita)
- Richiedi cifre, lettere minuscole e lettere maiuscole
- Richiedi cifre, lettere minuscole, lettere maiuscole e caratteri speciali
Consiglio
I criteri password alfanumerici possono essere complessi. Per altre informazioni, è consigliabile che gli amministratori leggano i CSP:
Lunghezza minima password:
Immettere il numero minimo di cifre o caratteri che la password deve avere.Numero massimo di minuti di inattività prima che sia necessaria la password:
Immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password.Scadenza password (giorni):
Immettere il numero di giorni prima della scadenza della password e crearne uno nuovo, da 1 a 730.Numero di password precedenti per impedire il riutilizzo:
Immettere il numero di password usate in precedenza che non è possibile usare.Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic):Require password when device returns from idle state (Mobile and Holographic):
- Non configurato (impostazione predefinita)
- Richiedi : richiedere agli utenti del dispositivo di immettere la password ogni volta che il dispositivo torna da uno stato di inattività.
Importante
Quando il requisito della password viene modificato in un desktop di Windows, gli utenti vengono interessati al successivo accesso, in quanto il dispositivo passa da inattivo a attivo. Agli utenti con password che soddisfano i requisiti viene comunque richiesto di modificare le password.
Crittografia
Crittografia dell'archiviazione dati in un dispositivo:
Questa impostazione si applica a tutte le unità in un dispositivo.- Non configurato (impostazione predefinita)
- Richiedi : usare Richiedi per crittografare l'archiviazione dati nei dispositivi.
Provider di servizi di configurazione DeviceStatus - DeviceStatus/Compliance/EncryptionCompliance
Nota
L'impostazione Crittografia dell'archiviazione dati in un dispositivo controlla in modo generico la presenza di crittografia nel dispositivo, in modo più specifico a livello di unità del sistema operativo. Attualmente, Intune supporta solo il controllo della crittografia con BitLocker. Per un'impostazione di crittografia più affidabile, è consigliabile usare Require BitLocker, che sfrutta l'attestazione dell'integrità dei dispositivi Windows per convalidare lo stato di BitLocker a livello di TPM. Tuttavia, quando si sfrutta questa impostazione, tenere presente che potrebbe essere necessario un riavvio prima che il dispositivo rispecchi come conforme.
Sicurezza dei dispositivi
Firewall:
- Non configurato (impostazione predefinita): Intune non controlla Windows Firewall né modifica le impostazioni esistenti.
- Richiedi : attiva Windows Firewall e impedisci agli utenti di disattivarlo.
Provider di servizi di configurazione del firewall
Nota
Se il dispositivo viene sincronizzato immediatamente dopo un riavvio o sincronizza immediatamente la riattivazione dalla sospensione, questa impostazione può essere segnalata come errore. Questo scenario potrebbe non influire sullo stato complessivo di conformità del dispositivo. Per rivalutare lo stato di conformità, sincronizzare manualmente il dispositivo.
Se viene applicata una configurazione (ad esempio, tramite criteri di gruppo) a un dispositivo che configura Windows Firewall per consentire tutto il traffico in ingresso o disattiva il firewall, l'impostazione di Firewall su Richiedi restituirà Non conforme, anche se i criteri di configurazione del dispositivo di Intune attivano Firewall. Questo perché l'oggetto Criteri di gruppo esegue l'override dei criteri di Intune. Per risolvere questo problema, è consigliabile rimuovere eventuali impostazioni di Criteri di gruppo in conflitto o eseguire la migrazione delle impostazioni dei criteri di gruppo correlate al firewall ai criteri di configurazione dei dispositivi di Intune. In generale, è consigliabile mantenere le impostazioni predefinite, incluso il blocco delle connessioni in ingresso. Per altre informazioni, vedere Procedure consigliate per la configurazione di Windows Firewall.
Trusted Platform Module (TPM):
- Non configurato (impostazione predefinita): Intune non controlla la versione del chip TPM nel dispositivo.
- Richiedi : Intune verifica la conformità alla versione del chip TPM. Il dispositivo è conforme se la versione del chip TPM è maggiore di 0 (zero). Il dispositivo non è conforme se non è presente una versione TPM nel dispositivo.
Provider di servizi di configurazione DeviceStatus - DeviceStatus/TPM/SpecificationVersion
Antivirus:
- Non configurato (impostazione predefinita): Intune non verifica la presenza di soluzioni antivirus installate nel dispositivo.
- Richiedi : verificare la conformità usando soluzioni antivirus registrate con il Centro sicurezza di Windows, ad esempio Symantec e Microsoft Defender. Se impostato su Richiedi, un dispositivo con software antivirus disabilitato o non aggiornato non è conforme.
Provider di servizi di configurazione DeviceStatus - DeviceStatus/Antivirus/Status
Antispyware:
- Non configurato (impostazione predefinita): Intune non verifica la presenza di soluzioni antispyware installate nel dispositivo.
- Richiedi : verificare la conformità usando soluzioni antispyware registrate con il Centro sicurezza di Windows, ad esempio Symantec e Microsoft Defender. Se impostato su Richiedi, un dispositivo con software antimalware disabilitato o non aggiornato non è conforme.
Provider di servizi di configurazione DeviceStatus - DeviceStatus/Antispyware/Status
Defender
Con Windows 10/11 Desktop sono supportate le impostazioni di conformità seguenti.
Microsoft Defender Antimalware:
- Non configurato (impostazione predefinita): Intune non controlla il servizio né modifica le impostazioni esistenti.
- Richiedi : attivare il servizio antimalware di Microsoft Defender e impedire agli utenti di disattivarlo.
Versione minima di Microsoft Defender Antimalware:
Immettere la versione minima consentita del servizio antimalware di Microsoft Defender. Immettere ad esempio4.11.0.0
. Se lasciato vuoto, è possibile usare qualsiasi versione del servizio antimalware di Microsoft Defender.Per impostazione predefinita, non è configurata alcuna versione.
Microsoft Defender Antimalware Security Intelligence aggiornato:
Controlla gli aggiornamenti del virus e della protezione dalle minacce di Sicurezza di Windows nei dispositivi.- Non configurato (impostazione predefinita): Intune non applica alcun requisito.
- Richiedi : forzare l'aggiornamento dell'intelligence di sicurezza di Microsoft Defender.
Defender CSP - Defender/Health/SignatureOutOfDate CSP
Per altre informazioni, vedere Aggiornamenti dell'intelligence per la sicurezza per Microsoft Defender Antivirus e altri antimalware Microsoft.
Protezione in tempo reale:
- Non configurato (impostazione predefinita): Intune non controlla questa funzionalità né modifica le impostazioni esistenti.
- Richiedi : attiva la protezione in tempo reale, che analizza la ricerca di malware, spyware e altro software indesiderato.
Provider di servizi di configurazione dei criteri - CSP Defender/AllowRealtimeMonitoring
Microsoft Defender per endpoint
Regole di Microsoft Defender per endpoint
Per altre informazioni sull'integrazione di Microsoft Defender per endpoint negli scenari di accesso condizionale, vedere Configurare l'accesso condizionale in Microsoft Defender per endpoint.
Richiedere al dispositivo di trovarsi al o sotto il punteggio di rischio del computer:
Usare questa impostazione per considerare la valutazione dei rischi dei servizi di minaccia della difesa come condizione per la conformità. Scegliere il livello massimo di minaccia consentito:- Non configurato (impostazione predefinita)
- Cancella : questa opzione è la più sicura, in quanto il dispositivo non può avere minacce. Se il dispositivo viene rilevato come con qualsiasi livello di minacce, viene valutato come non conforme.
- Basso : il dispositivo viene valutato come conforme se sono presenti solo minacce di basso livello. Qualsiasi valore superiore inserisce il dispositivo in uno stato non conforme.
- Medio : il dispositivo viene valutato come conforme se le minacce esistenti nel dispositivo sono di livello basso o medio. Se viene rilevato che il dispositivo presenta minacce di alto livello, è determinato che non è conforme.
- Alto : questa opzione è la meno sicura e consente tutti i livelli di minaccia. Può essere utile se si usa questa soluzione solo a scopo di creazione di report.
Per configurare Microsoft Defender per endpoint come servizio di difesa dalle minacce, vedere Abilitare Microsoft Defender per endpoint con accesso condizionale.
Windows Holographic for Business
Windows Holographic for Business usa la piattaforma Windows 10 e versioni successive . Windows Holographic for Business supporta l'impostazione seguente:
- Sicurezza del> sistemaCodifica>Crittografia dell'archiviazione dati nel dispositivo.
Per verificare la crittografia del dispositivo in Microsoft HoloLens, vedere Verificare la crittografia del dispositivo.
Surface Hub
Surface Hub usa la piattaforma Windows 10 e versioni successive . I surface hub sono supportati sia per la conformità che per l'accesso condizionale. Per abilitare queste funzionalità in Surface Hubs, è consigliabile abilitare la registrazione automatica di Windows in Intune (richiede l'ID Microsoft Entra) e assegnare i dispositivi Surface Hub come gruppi di dispositivi. Per il funzionamento della conformità e dell'accesso condizionale, i Surface Hub devono essere aggiunti a Microsoft Entra.
Per indicazioni, vedere Configurare la registrazione per i dispositivi Windows.
Considerazioni speciali per surface hub che eseguono il sistema operativo Windows 10/11 Team:
I surface hub che eseguono il sistema operativo Windows 10/11 Team non supportano attualmente i criteri di conformità di Microsoft Defender per endpoint e password. Pertanto, per surface hub che eseguono Windows 10/11 Team OS impostare le due impostazioni seguenti sul valore predefinito Non configurato:
Nella categoria Password impostare Richiedi una password per sbloccare i dispositivi mobili sul valore predefinito Non configurato.
Nella categoria Microsoft Defender per endpoint impostare Richiedi che il dispositivo sia in corrispondenza o sotto il punteggio di rischio del computer sul valore predefinito Non configurato.