Domande frequenti (FAQ) su impostazioni e roaming dei dati per gli amministratori

In Windows 8.1, la sincronizzazione delle impostazioni usava sempre gli account Microsoft per utenti. Gli utenti aziendali possono connettere un account Microsoft al proprio account di dominio di Active Directory per ottenere l'accesso alla sincronizzazione delle impostazioni. In Windows 10 e versioni successive, la funzionalità di questo account Microsoft connesso è stata sostituita da un framework di account primario/secondario.

L'account principale è l'account utilizzato per accedere a Windows. Può trattarsi di un account Microsoft, di un account Microsoft Entra, di un account Active Directory locale o di un account locale. Oltre all'account primario, gli utenti di Windows 10 e versioni successive, possono aggiungere uno o più account cloud secondari al proprio dispositivo. Un account secondario è generalmente un account Microsoft, un account Microsoft Entra o un account diverso, ad esempio Gmail o Facebook. Tali account secondari permettono di accedere ad altri servizi, ad esempio Single Sign-On e Windows Store, tuttavia non sono in grado di sincronizzare le impostazioni.

I dati non vengono mai combinati tra i diversi account utente nel dispositivo. Esistono due regole per la sincronizzazione delle impostazioni:

• Per le impostazioni di Windows sarà sempre effettuato il roaming con l'account primario.
• I dati dell'app saranno contrassegnati con l'account usato per acquisire l'app. Verranno sincronizzate solo le app contrassegnate con l'account primario. La proprietà di un'app viene contrassegnata quando si carica un'app in sideload tramite Windows Store o la gestione dei dispositivi mobili.

Se non fosse possibile identificare il proprietario di un'app, il roaming dell'app verrà eseguito con l'account primario. Se si aggiorna un dispositivo da Windows 8 o Windows 8.1 a Windows 10, tutte le app saranno contrassegnate come acquisite dall'account Microsoft. Ciò accade perché la maggior parte degli utenti acquisisce le app tramite Windows Store, ma prima di Windows 10 gli account di Microsoft Entra non erano supportati in Windows Store. Se un'app viene installata tramite una licenza offline, questa verrà contrassegnata usando l'account primario nel dispositivo.

Dopo l'aggiornamento a Windows 10, o versioni successive, è possibile continuare a sincronizzare le impostazioni utente tramite l'account Microsoft, purché l'utente sia aggiunto a un dominio e il dominio di Active Directory non si connetta a Microsoft Entra ID.

Se il dominio di Active Directory locale si connette con Microsoft Entra ID, il dispositivo tenta di sincronizzare le impostazioni usando l'account Microsoft Entra connesso. Se l'amministratore di Microsoft Entra non abilita Enterprise State Roaming, l'account Microsoft Entra connesso interrompe la sincronizzazione delle impostazioni. Se si esegue Windows 10, o versioni successive, e si accede con un'identità di Microsoft Entra, la sincronizzazione delle impostazioni di Windows inizia non appena l'amministratore abilita la sincronizzazione delle impostazioni tramite Microsoft Entra ID.

Se si archiviano dati personali sul dispositivo aziendale, è opportuno tenere presente che i dati delle applicazioni e del sistema operativo Windows inizieranno a sincronizzarsi con Microsoft Entra ID. Le implicazioni sono le seguenti:

• Le impostazioni dell'account Microsoft personale si desincronizzano dalle impostazioni dell'account Microsoft Entra aziendale o dell'istituto di istruzione. Ciò avviene perché l'account Microsoft e la sincronizzazione delle impostazioni dell'account Microsoft Entra ora utilizzano account separati.
• I dati personali come le password Wi-Fi, le credenziali Web e i Preferiti di Internet Explorer, che in precedenza erano sincronizzati tramite un account Microsoft connesso, vengono ora sincronizzati tramite Microsoft Entra ID.

Nella versione di Windows 10 di novembre 2015 o successiva, l'Enterprise State Roaming è supportato per un solo account alla volta. Se si accede a Windows usando un account Microsoft Entra aziendale o dell'istituto di istruzione, tutti i dati vengono sincronizzati tramite Microsoft Entra ID. Se si accede a Windows usando un account Microsoft personale, tutti i dati vengono sincronizzati tramite l'account Microsoft. Per i dati delle app universali, il roaming verrà effettuato usando solo l'account di accesso primario al dispositivo e verrà eseguito soltanto se la licenza dell'app è di proprietà dell'account primario. I dati delle app universali per le app di proprietà di eventuali account secondari, non vengono sincronizzati.

Se su uno stesso dispositivo sono presenti più account di Microsoft Entra da diversi tenant Microsoft Entra, è necessario aggiornare il registro del dispositivo per comunicare con il servizio Microsoft Azure AD Rights Management per ogni tenant di Microsoft Entra.

1. Trovare il GUID per ogni tenant di Microsoft Entra. Accedere all'Interfaccia di amministrazione di Microsoft Entra, passare a Identità>Panoramica>Proprietà>ID tenant.
2. Una volta trovato il GUID, si dovrà aggiungere la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SettingSync\WinMSIPC<GUID tenant ID>. Dalla chiave tenant ID GUID, creare un nuovo valore multistringa (REG-MULTI-SZ) denominato AllowedRMSServerUrls. Come dati, specificare gli URL del punto di distribuzione delle licenze di altri tenant Azure ai quali accede il dispositivo.
3. Per trovare gli URL del punto di distribuzione delle licenze, è possibile eseguire il cmdlet Get-AadrmConfiguration dal modulo AADRM. Se i valori LicensingIntranetDistributionPointUrl e LicensingExtranetDistributionPointUrl sono diversi, specificarli entrambi. Se i valori sono uguali, specificare il valore solo una volta.

La funzione Enterprise State Roaming permette di archiviare tutti i dati sincronizzati nel cloud di Microsoft. La soluzione di roaming locale è disponibile in UE-V.

Prima di novembre 2022 tutti i dati degli utenti erano protetti tramite Microsoft Azure AD Rights Management.

A partire da novembre 2022, Microsoft non si avvale più di Microsoft Azure AD Rights Management per la crittografia di tutti i dati. Microsoft si impegna a proteggere i dati dei clienti. Alcuni dati sensibili, quali le password, vengono crittografati sul lato client con chiavi derivate dal tenant di Microsoft Entra al fine di garantire un livello di sicurezza aggiuntivo. Tutti i dati utente (inclusi i dati non sensibili) vengono crittografati in transito e quando sono inattivi nel cloud. Per un elenco di elementi di dati sensibili e non sensibili, vedere Informazioni di riferimento sulle impostazioni di roaming di Windows.

In Windows 10, o versione successive, gli amministratori possono disabilitare la sincronizzazione per tutti i gruppi di sincronizzazione delle impostazioni in un dispositivo gestito con MDM o Criteri di gruppo.

Nell'app Impostazioni accedere alla voce Account>Sincronizza le impostazioni. In questa pagina è possibile visualizzare gli account usati per il roaming delle impostazioni e abilitare o disabilitare singoli gruppi di impostazioni da sottoporre a roaming.

Microsoft offre diverse soluzioni per il roaming delle impostazioni, tra cui UE-V ed Enterprise State Roaming. Se l'organizzazione non è pronta a trasferire i dati nel cloud o ha poca familiarità con questa operazione, è consigliabile usare UE-V come tecnologia di roaming principale. Se l'organizzazione è decisa a passare al cloud, ma necessita di supporto per il roaming delle applicazioni desktop di Windows esistenti, si consiglia di usare sia Enterprise State Roaming sia UE-V. Per quanto simili, le tecnologie UE-V ed Enterprise State Roaming non si escludono a vicenda. Si tratta piuttosto di tecnologie complementari, che assicurano che l'organizzazione fornisca i servizi di roaming necessari per gli utenti.

Se si usano entrambe le tecnologie, sia Enterprise State Roaming, sia UE-V, ESR è l'agente di roaming principale nel dispositivo. UE-V viene usato per integrare le applicazioni Win32.

• Il servizio Enterprise State Roaming è l'agente di roaming principale nel dispositivo. UE-V viene usato per integrare il "gap Win32".
• Se si usano i criteri di gruppo di UE-V, è necessario disabilitare il roaming UE-V per le impostazioni di Windows e i dati delle moderne app UWP. Tali impostazioni sono già gestite da Enterprise State Roaming.

Enterprise State Roaming è supportato sulle SKU dei client Windows 10, o versioni successive, ma non su quelle dei server. Se una VM client è ospitata in un computer hypervisor e si accede da remoto alla macchina virtuale, verrà effettuato il roaming dei dati. Se più utenti che condividono lo stesso sistema operativo accedono da remoto a un server per un'esperienza desktop completa, il roaming potrebbe non funzionare. Quest'ultimo scenario basato sulla sessione non è ufficialmente supportato.

Il report sullo stato di sincronizzazione dei dispositivi per utente è stato rimosso dall'interfaccia di amministrazione di Microsoft Entra. Il report è stato rimosso perché ha fornito solo i dettagli per le versioni non supportate di Windows. Enterprise State Roaming richiede Windows 11 o Windows 10 versione 21H2 o successiva.

Passaggi successivi

Per informazioni generali, vedere Panoramica di Enterprise State Roaming