Assegnare criteri in Microsoft Intune
Quando si crea un criterio di Intune, include tutte le impostazioni aggiunte e configurate all'interno del criterio. Quando il criterio è pronto per la distribuzione, il passaggio successivo consiste nell'"assegnare" i criteri ai gruppi di utenti o dispositivi. Quando viene assegnato, gli utenti e i dispositivi ricevono i criteri e le impostazioni immesse vengono applicate.
In Intune è possibile creare e assegnare i criteri seguenti:
- Criteri di protezione delle app
- Criteri di configurazione delle app
- Criteri di conformità
- Criteri di accesso condizionale
- Profili di configurazione del dispositivo
- Criteri di registrazione
Questo articolo illustra come assegnare un criterio, include alcune informazioni sull'uso dei tag di ambito, descrive quando assegnare criteri a gruppi di utenti o gruppi di dispositivi e altro ancora.
Prima di iniziare
Assicurarsi di avere il ruolo corretto per assegnare criteri e profili. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
Assegnare criteri a utenti o gruppi
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Configurazione dispositivi>. Tutti i profili sono elencati.
Selezionare il profilo a cui si vuole assegnare >le assegnazioni delle> proprietà >Modifica:
Ad esempio, per assegnare un profilo di configurazione del dispositivo:
Passare aConfigurazionedispositivi>. Tutti i profili sono elencati.
Selezionare il criterio a cui si desidera assegnare >le assegnazioni delle>proprietà>Modifica:
In Gruppi inclusi o Gruppi esclusi scegliere Aggiungi gruppi per selezionare uno o più gruppi Microsoft Entra. Se si intende distribuire i criteri in modo ampio in tutti i dispositivi applicabili, selezionare Aggiungi tutti gli utenti o Aggiungi tutti i dispositivi.
Nota
Se si seleziona "Tutti i dispositivi" e "Tutti gli utenti", l'opzione per aggiungere altri gruppi di Microsoft Entra viene disabilitata.
Selezionare Rivedi e salva. Questo passaggio non assegna i criteri.
Selezionare Salva. Quando si salva, i criteri vengono assegnati. I gruppi riceveranno le impostazioni dei criteri quando i dispositivi esezionano l'accesso con il servizio Intune.
Funzionalità di assegnazione che è necessario conoscere e usare
Usare Filtri per assegnare un criterio in base alle regole create. È possibile creare filtri per:
- Criteri di configurazione delle app
- Criteri di protezione delle app
- Assegnazioni di app
- Criteri di conformità
- Profili di configurazione del dispositivo
Per altre informazioni, vedere:
I set di criteri creano un gruppo o una raccolta di app e criteri esistenti. Quando viene creato il set di criteri, è possibile assegnare il set di criteri da un'unica posizione nell'interfaccia di amministrazione Microsoft Intune.
Per altre informazioni, vedere Usare set di criteri per raggruppare raccolte di oggetti di gestione in Microsoft Intune.
I tag di ambito sono un ottimo modo per filtrare i criteri in base a gruppi specifici, ad
US-NC IT Teamesempio oJohnGlenn_ITDepartment. Per altre informazioni, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.Nei dispositivi Windows 10/11 è possibile aggiungere regole di applicabilità in modo che i criteri si applichino solo a una versione specifica del sistema operativo o a una specifica edizione di Windows. Per altre informazioni, vedere Regole di applicabilità.
Gruppi di utenti e gruppi di dispositivi
Molti utenti chiedono quando usare i gruppi di utenti e quando usare i gruppi di dispositivi. La risposta dipende dall'obiettivo. Ecco alcune linee guida per iniziare.
Gruppi di dispositivi
Se si vogliono applicare le impostazioni in un dispositivo, indipendentemente da chi ha eseguito l'accesso, assegnare i criteri a un gruppo di dispositivi. Le impostazioni applicate ai gruppi di dispositivi vanno sempre con il dispositivo, non con l'utente.
Ad esempio:
I gruppi di dispositivi sono utili per gestire i dispositivi che non hanno un utente dedicato. Ad esempio, si dispone di dispositivi che stampano ticket, analizzano l'inventario, sono condivisi dai turnisti, vengono assegnati a un magazzino specifico e così via. Inserire questi dispositivi in un gruppo di dispositivi e assegnare i criteri a questo gruppo di dispositivi.
Si crea un profilo DFCI (Device Firmware Configuration Interface) Intune che aggiorna le impostazioni nel BIOS. Ad esempio, si configura questo criterio per disabilitare la fotocamera del dispositivo o bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo. Questo criterio è un buon scenario da assegnare a un gruppo di dispositivi.
In alcuni dispositivi Windows specifici è sempre necessario controllare alcune impostazioni di Microsoft Edge, indipendentemente da chi usa il dispositivo. Ad esempio, si vuole bloccare tutti i download, limitare tutti i cookie alla sessione di esplorazione corrente ed eliminare la cronologia di esplorazione. Per questo scenario, inserire questi dispositivi Windows specifici in un gruppo di dispositivi. Creare quindi un modello amministrativo in Intune, aggiungere queste impostazioni del dispositivo e quindi assegnare questo criterio al gruppo di dispositivi.
Per riepilogare, usare i gruppi di dispositivi quando non si è interessati a chi ha eseguito l'accesso al dispositivo o se qualcuno accede. Si vuole che le impostazioni siano sempre presenti nel dispositivo.
Gruppi di utenti
Le impostazioni dei criteri applicate ai gruppi di utenti vengono sempre applicate all'utente e vengono eseguite con l'utente quando si accede ai numerosi dispositivi. È normale che gli utenti abbiano molti dispositivi, ad esempio un Surface Pro per lavoro e un dispositivo iOS/iPadOS personale. Inoltre, è normale per una persona accedere alla posta elettronica e ad altre risorse dell'organizzazione da questi dispositivi.
Se un utente ha più dispositivi nella stessa piattaforma, è possibile usare i filtri per l'assegnazione del gruppo. Ad esempio, un utente ha un dispositivo iOS/iPadOS personale e un iOS/iPadOS di proprietà dell'organizzazione. Quando si assegna un criterio per l'utente, è possibile usare i filtri solo per il dispositivo di proprietà dell'organizzazione.
Seguire questa regola generale: se una funzionalità appartiene a un utente, ad esempio i certificati di posta elettronica o utente, assegnarla ai gruppi di utenti.
Ad esempio:
Si vuole inserire un'icona help desk per tutti gli utenti in tutti i loro dispositivi. In questo scenario, inserire questi utenti in un gruppo di utenti e assegnare i criteri icona help desk a questo gruppo di utenti.
Un utente riceve un nuovo dispositivo di proprietà dell'organizzazione. L'utente accede al dispositivo con il proprio account di dominio. Il dispositivo viene registrato automaticamente in Microsoft Entra ID e gestito automaticamente da Intune. Questo criterio è un buon scenario da assegnare a un gruppo di utenti.
Ogni volta che un utente accede a un dispositivo, si vogliono controllare le funzionalità nelle app, ad esempio OneDrive o Office. In questo scenario assegnare le impostazioni dei criteri di OneDrive o Office a un gruppo di utenti.
Ad esempio, si vuole bloccare i controlli ActiveX non attendibili nelle app di Office. È possibile creare un modello amministrativo in Intune, configurare questa impostazione e quindi assegnare questo criterio a un gruppo di utenti.
Per riepilogare, usare i gruppi di utenti quando si desidera che le impostazioni e le regole vengano sempre usate dall'utente, indipendentemente dal dispositivo usato.
Desktop virtuale Azure multisessione
È possibile usare Intune per gestire i desktop remoti a più sessioni di Windows creati con Desktop virtuale Azure, proprio come si gestisce qualsiasi altro dispositivo client Windows condiviso. Quando si assegnano criteri a gruppi di utenti o dispositivi, Desktop virtuale Azure multisessione è uno scenario speciale. Quando si usano queste macchine virtuali, i CSP del dispositivo devono essere destinati ai gruppi di dispositivi. I CSP utente devono essere destinati ai gruppi di utenti.
Per altre informazioni, vedere Usare più sessioni di Desktop virtuale Azure con Microsoft Intune.
Provider di servizi di configurazione di Windows e relativo comportamento
Le impostazioni dei criteri per i dispositivi Windows si basano sui provider di servizi di configurazione (CSP). Queste impostazioni vengono mappate alle chiavi o ai file del Registro di sistema nei dispositivi.
Ecco cosa devi sapere sui CSP di Windows:
Intune espone questi CSP in modo da poter configurare queste impostazioni e assegnarle ai dispositivi Windows. Queste impostazioni sono configurabili usando i modelli predefiniti e il catalogo delle impostazioni. Nel catalogo delle impostazioni si noterà che alcune impostazioni si applicano all'ambito utente e alcune impostazioni si applicano all'ambito del dispositivo.
Per informazioni sul modo in cui le impostazioni con ambito utente e con ambito dispositivo vengono applicate ai dispositivi Windows, passare a Catalogo impostazioni: Ambito del dispositivo e impostazioni dell'ambito utente.
Quando un criterio viene rimosso o non è più assegnato a un dispositivo, possono verificarsi cose diverse, a seconda delle impostazioni nei criteri. Ogni CSP può gestire la rimozione dei criteri in modo diverso.
Ad esempio, un'impostazione potrebbe mantenere il valore esistente e non ripristinare un valore predefinito. Il comportamento è controllato da ogni CSP nel sistema operativo. Per un elenco dei provider di servizi di configurazione di Windows, vedere informazioni di riferimento sul provider di servizi di configurazione (CSP).
Per modificare un'impostazione in un valore diverso, creare un nuovo criterio, configurare l'impostazione su Non configurato e assegnare il criterio. Quando i criteri si applicano al dispositivo, gli utenti devono avere il controllo per modificare l'impostazione in base al valore preferito.
Quando si configurano queste impostazioni, è consigliabile eseguire la distribuzione in un gruppo pilota. Per altre Intune consigli per l'implementazione, vedere Creare un piano di implementazione.
Escludere gruppi da un'assegnazione di criteri
Intune criteri di configurazione dei dispositivi consentono di includere ed escludere i gruppi dall'assegnazione dei criteri.
Come procedura consigliata:
- Creare e assegnare criteri specifici per i gruppi di utenti. Usare i filtri per includere o escludere i dispositivi di tali utenti.
- Creare e assegnare criteri diversi in modo specifico per i gruppi di dispositivi.
Per altre informazioni sui gruppi, vedere Aggiungere gruppi per organizzare utenti e dispositivi.
Principi di inclusione ed esclusione dei gruppi
Quando si assegnano criteri e criteri, applicare i principi generali seguenti:
Considerare i gruppi inclusi o esclusi come punto di partenza per gli utenti e i dispositivi che riceveranno i criteri. Il gruppo Microsoft Entra è il gruppo di limitazione, quindi usare l'ambito del gruppo più piccolo possibile. Usare i filtri per limitare o perfezionare l'assegnazione dei criteri.
I gruppi Microsoft Entra assegnati, noti anche come gruppi statici, possono essere aggiunti ai gruppi inclusi o esclusi.
In genere, si assegnano in modo statico i dispositivi a un gruppo di Microsoft Entra se sono pre-registrati in Microsoft Entra ID, ad esempio con Windows Autopilot. In alternativa, se si desidera combinare i dispositivi per una distribuzione una tantum ad hoc. In caso contrario, potrebbe non essere pratico assegnare i dispositivi in modo statico a un gruppo di Microsoft Entra.
I gruppi di utenti Microsoft Entra dinamici possono essere aggiunti ai gruppi inclusi o esclusi.
I gruppi esclusi possono essere gruppi con utenti o gruppi con dispositivi.
I gruppi di dispositivi Microsoft Entra dinamici possono essere aggiunti ai gruppi inclusi. Tuttavia, può esserci latenza quando si popola l'appartenenza dinamica al gruppo. Negli scenari sensibili alla latenza usare i filtri per i dispositivi specifici e assegnare i criteri ai gruppi di utenti.
Ad esempio, si desidera che i criteri vengano assegnati ai dispositivi non appena vengono registrati. In questa situazione sensibile alla latenza creare un filtro destinato ai dispositivi desiderati e assegnare i criteri con questo filtro ai gruppi di utenti. Non assegnare ai gruppi di dispositivi.
In uno scenario senza utente creare un filtro per i dispositivi desiderati e assegnare i criteri con il filtro al gruppo "Tutti i dispositivi".
Evitare di aggiungere gruppi di dispositivi Microsoft Entra dinamici ai gruppi esclusi. La latenza nel calcolo dinamico del gruppo di dispositivi durante la registrazione può causare risultati indesiderati. Ad esempio, le app e i criteri indesiderati potrebbero essere distribuiti prima che l'appartenenza al gruppo escluso venga popolata.
Matrice di supporto
Usare la matrice seguente per comprendere il supporto per l'esclusione dei gruppi:
- ✔️:Supportati
- ❌: non supportato
- ❕ : parzialmente supportato
| Scenario | Supporto tecnico |
|---|---|
| 1 | ❕ È supportato parzialmente l'assegnazione di criteri a un gruppo di dispositivi dinamico escludendo un altro gruppo di dispositivi dinamico. Tuttavia, non è consigliabile in scenari sensibili alla latenza. Qualsiasi ritardo nell'esclusione del calcolo dell'appartenenza ai gruppi può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi. Ad esempio, si dispone di un criterio del dispositivo assegnato a Tutti i dispositivi. In seguito, è necessario che i nuovi dispositivi di marketing non ricevano questo criterio. Si crea quindi un gruppo di dispositivi dinamico denominato Dispositivi di marketing in base alla enrollmentProfilename proprietà (device.enrollmentProfileName -eq "Marketing_devices"). Nei criteri si aggiunge il gruppo dinamico Dispositivi di marketing come gruppo escluso. Un nuovo dispositivo di marketing viene registrato in Intune per la prima volta e viene creato un nuovo oggetto dispositivo Microsoft Entra. Il processo di raggruppamento dinamico inserisce il dispositivo nel gruppo Dispositivi di marketing con un possibile calcolo ritardato. Allo stesso tempo, il dispositivo si registra in Intune e inizia a ricevere tutti i criteri applicabili. I criteri di Intune possono essere distribuiti prima che il dispositivo venga inserito nel gruppo di esclusione. Questo comportamento comporta la distribuzione di criteri (o app) indesiderati nel gruppo Dispositivi di marketing . Di conseguenza, non è consigliabile usare gruppi di dispositivi dinamici per le esclusioni in scenari sensibili alla latenza. Usare invece i filtri. |
| 2 | ✔️ Supportato L'assegnazione di criteri a un gruppo di dispositivi dinamici, escludendo un gruppo di dispositivi statici, è supportata. |
| 3 | ❌ Non supportato L'assegnazione di criteri a un gruppo di dispositivi dinamici escludendo i gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi. |
| 4 | ❌ Non supportato L'assegnazione di criteri a un gruppo di dispositivi dinamici e l'esclusione di gruppi di utenti (sia dinamici che statici) non sono supportati. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi. |
| 5 | ❕ Parzialmente supportato È supportato l'assegnazione di un criterio a un gruppo di dispositivi statici escludendo un gruppo di dispositivi dinamico. Tuttavia, non è consigliabile in scenari sensibili alla latenza. Qualsiasi ritardo nell'esclusione del calcolo dell'appartenenza ai gruppi può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi. |
| 6 | ✔️ Supportato L'assegnazione di criteri a un gruppo di dispositivi statici ed esclusione di un gruppo di dispositivi statici diverso è supportata. |
| 7 | ❌ Non supportato L'assegnazione di criteri a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non sono supportati. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi. |
| 8 | ❌ Non supportato L'assegnazione di criteri a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non sono supportati. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi. |
| 9 | ❌ Non supportato L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non sono supportati. |
| 10 | ❌ Non supportato L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non sono supportati. |
| 11 | ✔️ È supportato l'assegnazione di criteri a un gruppo di utenti dinamico, escludendo al contempo altri gruppi di utenti (sia dinamici che statici). |
| 12 | ✔️ È supportato l'assegnazione di criteri a un gruppo di utenti dinamico, escludendo al contempo altri gruppi di utenti (sia dinamici che statici). |
| 13 | ❌ Non supportato L'assegnazione di criteri a un gruppo di utenti statici escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata. |
| 14 | ❌ Non supportato L'assegnazione di criteri a un gruppo di utenti statici escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata. |
| 15 | ✔️ È supportato l'assegnazione di criteri a un gruppo di utenti statici escludendo altri gruppi di utenti (sia dinamici che statici). |
| 16 | ✔️ È supportato l'assegnazione di criteri a un gruppo di utenti statici escludendo altri gruppi di utenti (sia dinamici che statici). |
Passaggi successivi
Per indicazioni sul monitoraggio dei criteri e dei dispositivi che eseguono i criteri, vedere Monitorare i profili di dispositivo .
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per