Usare i gruppi per organizzare utenti e dispositivi per Microsoft Intune

Microsoft Intune usa gruppi di sicurezza di Microsoft Entra ID per diverse esigenze aziendali. Queste esigenze includono il raggruppamento di utenti o dispositivi per posizione geografica, reparto, caratteristiche hardware e altro ancora. Per supportare l'uso dei gruppi Entra da parte di Intune, l'interfaccia di amministrazione Intune include l'interfaccia utente Entra Groups con tutte le relative funzionalità. Tutti i gruppi visualizzati in Entra e nei nuovi gruppi che un amministratore Intune potrebbe creare sono visibili in Intune, Entra e altri prodotti che condividono l'interfaccia utente Dei gruppi di entra come Microsoft 365.

Intune gli amministratori usano gruppi ben definiti durante la distribuzione di criteri, la distribuzione di app e l'assegnazione delle autorizzazioni di altri utenti amministratori in modo che possano aiutare ad amministrare diversi aspetti della sottoscrizione Intune.

Questo articolo è incentrato sull'uso dell'interfaccia di amministrazione Intune per creare gruppi da usare con Intune, inclusi i dettagli sulle autorizzazioni necessarie per gestire e usare tali gruppi all'interno dell'interfaccia di amministrazione.

Per altre informazioni sui gruppi Microsoft Entra, vedere la documentazione di Entra.

Controlli degli accessi in base al ruolo per l'uso dei gruppi

Per impostazione predefinita, tutti gli account utente Microsoft Entra hanno le autorizzazioni per creare e configurare nuovi gruppi senza che venga assegnato un ruolo Entra role-based access control (RBAC). Queste autorizzazioni si estendono all'uso del nodo Gruppi all'interno dell'interfaccia di amministrazione Intune.

Solo l'utente che ha creato il gruppo, gli utenti assegnati come proprietario e gli utenti che dispongono di autorizzazioni di controllo degli accessi in base al ruolo sufficienti per gestire i gruppi Entra possono modificare le proprietà di un gruppo. Altri utenti senza diritti per modificare un gruppo possono visualizzarne l'appartenenza e, se amministrano Intune, possono assegnare criteri, app e assegnazioni di ruolo Intune al gruppo.

Il ruolo predefinito controllo degli accessi in base al ruolo predefinito Microsoft Entra seguente è il ruolo predefinito con privilegi minimi che include autorizzazioni sufficienti per modificare e gestire i gruppi Entra creati da altri utenti:

• Amministratore dei gruppi: questo ruolo fornisce autorizzazioni sufficienti per aggiungere e modificare gruppi dalle interfacce di amministrazione per Microsoft Intune, Microsoft Entra e Microsoft 365.

Quando si usa il controllo degli accessi in base al ruolo, Microsoft consiglia di seguire il principio delle autorizzazioni minime usando solo gli account con le autorizzazioni minime necessarie per un'attività e limitando l'uso e l'assegnazione di ruoli amministrativi con privilegi come l'amministratore Intune.

Per altre informazioni sui gruppi Microsoft Entra e sull'accesso ai gruppi, vedere Informazioni sui gruppi e sui diritti di accesso nella documentazione di Entra.

Requisiti dei gruppi usati con Intune

Intune amministratori devono tenere presenti gli aspetti seguenti dei gruppi Microsoft Entra quando creano nuovi gruppi o li assegnano per la distribuzione dei criteri o i ruoli amministrativi.

Sicurezza: i gruppi usati con Intune devono essere gruppi abilitati per la sicurezza. Ciò richiede in genere che il tipo di gruppo gruppi sia impostato su Sicurezza al momento della creazione del gruppo. Un gruppo di sicurezza supporta sia gli utenti che i dispositivi come membri.

Per impostazione predefinita, i gruppi di Microsoft 365 in Microsoft Entra non sono abilitati per la sicurezza, supportano solo gli utenti come membri e non sono supportati da Intune. Anche se è possibile usare Microsoft Graph PowerShell per creare gruppi di Microsoft 365 abilitati per la sicurezza supportati Intune, come i gruppi predefiniti di Microsoft 365, possono includere solo utenti e non dispositivi.

Appartenenza: Intune supporta le appartenenze a gruppiassegnati e dinamiche. Scegliere il tipo di appartenenza in base alla modalità di gestione dell'appartenenza ai gruppi, manualmente o automaticamente in base alle regole. Ad esempio, per assegnare un ruolo predefinito Intune controllo degli accessi in base al ruolo come Endpoint Security Manager agli utenti amministratori, usare un gruppo con membri assegnati manualmente per limitare chi riceve tale ruolo con privilegi. Al contrario, per distribuire un set predefinito di criteri di configurazione dei dispositivi in tutti i dispositivi Windows 11, è possibile usare un gruppo che aggiunge dinamicamente i membri in base a una versione del sistema operativo dei dispositivi. L'uso di un gruppo dinamico consente di garantire che i dispositivi registrati con Intune ricevano automaticamente i criteri predefiniti previsti senza che il dispositivo debba essere aggiunto manualmente a un gruppo.

Il Intune Tutti gli utenti e Tutti i gruppi di dispositivi

Oltre ai gruppi Microsoft Entra che è possibile creare e usare con Intune, Intune include due gruppi virtuali disponibili solo nel contesto di Intune e dall'interfaccia di amministrazione Intune:

• Tutti gli utenti: questo gruppo include automaticamente tutti gli utenti che hanno una licenza per Intune.
• Tutti i dispositivi: questo gruppo include automaticamente ogni dispositivo registrato con Intune.

Questi gruppi virtuali offrono un modo semplice per indirizzare tutti gli utenti o i dispositivi applicabili con criteri e assegnazioni Intune che devono essere applicati in modo generale.

Ad esempio, è possibile distribuire un criterio di conformità Intune al gruppo di tutti i dispositivi per stabilire un livello minimo di requisiti di conformità che tutti i dispositivi dell'organizzazione devono soddisfare. In seguito, è possibile distribuire altri requisiti a gruppi Entra specifici per applicare i requisiti aggiuntivi che potrebbero essere necessari per gruppi specifici di dispositivi o utenti.

Consiglio

Si consideri l'uso dei filtri per i gruppi all'interno di Intune. È possibile usare filtri all'interno di Intune quando si assegnano app, criteri e profili in Microsoft Intune a gruppi di grandi dimensioni, ad esempio Tutti gli utenti e Tutti i dispositivi. I filtri consentono di controllare in modo dinamico quali dispositivi o utenti ricevono la distribuzione. Per informazioni sull'uso dei filtri, vedere:

• Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune
• Raccomandazioni sulle prestazioni per il raggruppamento, la destinazione e il filtro in ambienti di Microsoft Intune di grandi dimensioni

Aggiungere gruppi a Intune

Quando si crea un gruppo all'interno dell'interfaccia di amministrazione Microsoft Intune, si sta effettivamente creando un gruppo in Microsoft Entra ID. La procedura seguente fornisce indicazioni di base per la creazione di gruppi nell'interfaccia di amministrazione Intune. Per informazioni più dettagliate, vedere gli articoli Microsoft Entra seguenti:

• Gestire i gruppi Microsoft Entra e l'appartenenza ai gruppi
• Creare un gruppo di base e aggiungere membri usando Microsoft Entra ID
• Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID

Per creare gruppi nell'interfaccia di amministrazione Microsoft Intune:

1. Accedere all'interfaccia di amministrazione Microsoft Intune e quindi selezionare Gruppi>Nuovo gruppo:

   

2. Verrà aperto il riquadro Nuovo gruppo, che corrisponde all'interfaccia disponibile in Microsoft Entra:

   

   Configurare le opzioni seguenti per il nuovo gruppo:

   1. Impostare Tipo di gruppo su Sicurezza.

   2. In Nome gruppo specificare un nome significativo che identifichi chiaramente il gruppo. Questo nome è visibile agli utenti che lavorano con i gruppi nell'interfaccia di amministrazione.

   3. Per Descrizione gruppo, facoltativo, specificare altri dettagli sul gruppo come l'uso previsto.

   4. Per Tipo di appartenenza selezionare le opzioni seguenti:

      • Assegnato : con questo tipo di appartenenza sarà necessario aggiungere manualmente gli utenti al gruppo, operazione che può essere eseguita ora o in un secondo momento dopo la creazione del gruppo.

        Per aggiungere utenti in questo momento, individuare e selezionare Nessun membro selezionato per aprire il riquadro Aggiungi membri .

        Nel riquadro usare la scheda Utenti o Dispositivi in cui è possibile selezionare la casella di controllo accanto a ogni oggetto da aggiungere al gruppo.

        È anche possibile selezionare la scheda Gruppi se si vuole annidare un gruppo all'interno di questo gruppo. Un gruppo che include un gruppo come membro è noto come gruppo padre. Prestare attenzione quando si annidano i gruppi perché le relazioni di appartenenza potrebbero non essere chiare agli amministratori che in seguito usano il gruppo padre per un'assegnazione. Tutte le modifiche apportate all'appartenenza a un gruppo annidato vengono applicate automaticamente all'appartenenza effettiva del gruppo padre.

        Importante

        Evitare di creare gruppi che includono sia utenti che dispositivi, in quanto ciò può causare conflitti di criteri e comportamenti imprevedibili durante le distribuzioni Intune.

        Consiglio

        Per creare gruppi di dispositivi, è possibile usare le categorie di dispositivi per aggiungere automaticamente i dispositivi a un gruppo al momento della registrazione con Intune.

      • Utente dinamico : con questo tipo di appartenenza selezionare Aggiungi query dinamica e quindi configurare le regole di appartenenza dinamica. Per indicazioni, vedere Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.

        Importante

        Per usare gruppi di utenti dinamici, è necessario disporre di una licenza P1 Microsoft Entra ID per ogni utente membro del gruppo dinamico.

      • Dispositivo dinamico : con questo tipo di appartenenza selezionare Aggiungi query dinamica e quindi configurare le regole di appartenenza dinamica. Per indicazioni, vedere Gestire le regole per i gruppi di appartenenza dinamica in Microsoft Entra ID.

        Consiglio

        Non è necessaria alcuna licenza Entra ID specifica per i membri dei gruppi di dispositivi dinamici.

   5. La configurazione proprietari è facoltativa. Per impostazione predefinita, l'utente che crea un gruppo è un proprietario. Per aggiungere altri proprietari, selezionare Nessun proprietario selezionato e quindi la scheda Utenti , in cui è possibile selezionare uno o più utenti da aggiungere come proprietari di questo gruppo.

3. Selezionare Crea per aggiungere il nuovo gruppo. Il gruppo viene visualizzato nell'elenco.

Modificare un gruppo

Come amministratore Intune, è possibile modificare i gruppi, ad esempio modificando i membri del gruppo, il proprietario e le proprietà.

Per modificare un gruppo esistente, seguire questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Gruppi>Tutti i gruppi>selezionare il nome di un gruppo da modificare.
3. Nel gruppo di menu Gestisci selezionare un'area del gruppo da modificare, ad esempio Proprietà, Membri o Proprietari. Intune visualizza l'interfaccia utente correlata a tale opzione di configurazione.

Eliminare un gruppo

Un amministratore Intune può eliminare i gruppi che non sono più necessari.

Per eliminare un gruppo esistente, seguire questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Gruppi>Tutti i gruppi.
3. Selezionare la casella di controllo per ogni gruppo da eliminare e quindi selezionare Elimina dalle opzioni nella parte superiore della visualizzazione Tutti i gruppi . In alternativa, è possibile selezionare il nome di un gruppo per aprire la pagina Panoramica di un singolo gruppo e quindi selezionare Elimina* nella parte superiore della visualizzazione.

Consiglio

Dopo l'eliminazione di un gruppo, potrebbe essere necessario del tempo prima che venga visualizzato nell'elenco Gruppi eliminati .

Contenuto correlato

• Assegnare licenze agli utenti a Intune
• Assegnare ruoli di Microsoft Intune a gruppi di utenti per il controllo degli accessi in base al ruolo