Condividi tramite

Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune

  • Articolo

Consiglio

Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:

  • Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
  • Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
  • Endpoint nativi del cloud: endpoint aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.
  • Carico di lavoro: qualsiasi programma, servizio o processo.

Questa guida illustra i passaggi per creare una configurazione dell'endpoint Di Windows nativa del cloud per l'organizzazione. Per una panoramica degli endpoint nativi del cloud e dei relativi vantaggi, vedere Informazioni sugli endpoint nativi del cloud.

Questa funzionalità si applica a:

  • Endpoint nativi del cloud di Windows

Consiglio

Se vuoi che una soluzione standardizzata consigliata da Microsoft si basi su , potresti essere interessato a Windows nella configurazione cloud. In Intune è possibile configurare Windows nella configurazione cloud usando uno scenario guidato.

La tabella seguente descrive la differenza chiave tra questa guida e Windows nella configurazione cloud:

Soluzione Obiettivo
Esercitazione: Introduzione agli endpoint windows nativi del cloud (questa guida) Consente di creare una configurazione personalizzata per l'ambiente in base alle impostazioni consigliate da Microsoft e di iniziare a eseguire i test.
Configurazione di Windows nel cloud Un'esperienza guidata dello scenario che crea e applica la configurazione predefinita in base alle procedure consigliate di Microsoft per i ruoli di lavoro in prima linea, remoti e di altro tipo con esigenze più mirate.

È possibile usare questa guida combinata con Windows nella configurazione cloud per personalizzare ancora di più l'esperienza predefinita.

Come iniziare

Usare le cinque fasi ordinate in questa guida, che si basano l'una sull'altra per preparare la configurazione dell'endpoint Windows nativo del cloud. Completando queste fasi in ordine, si notano progressi tangibili e si è pronti per effettuare il provisioning di nuovi dispositivi.

Fasi:

Cinque fasi per configurare gli endpoint windows nativi del cloud usando Microsoft Intune e Windows Autopilot.

  • Fase 1: configurare l'ambiente
  • Fase 2: creare il primo endpoint Windows nativo del cloud
  • Fase 3: proteggere l'endpoint windows nativo del cloud
  • Fase 4: applicare le impostazioni e le applicazioni personalizzate
  • Fase 5: distribuire su larga scala con Windows Autopilot

Alla fine di questa guida è disponibile un endpoint Windows nativo del cloud pronto per iniziare a eseguire il test nell'ambiente. Prima di iniziare, è possibile consultare la guida alla pianificazione dell'aggiunta a Microsoft Entra in Come pianificare l'implementazione dell'aggiunta a Microsoft Entra.

Fase 1: configurare l'ambiente

Immagine che mostra la fase 1, configurare l'ambiente per gli endpoint nativi del cloud con Microsoft Intune

Prima di compilare il primo endpoint Windows nativo del cloud, è necessario verificare alcuni requisiti chiave e la configurazione. Questa fase illustra come controllare i requisiti, configurare Windows Autopilot e creare alcune impostazioni e applicazioni.

Passaggio 1 - Requisiti di rete

L'endpoint windows nativo del cloud deve accedere a diversi servizi Internet. Avviare i test in una rete aperta. In alternativa, usare la rete aziendale dopo aver fornito l'accesso a tutti gli endpoint elencati nei requisiti di rete di Windows Autopilot.

Se la rete wireless richiede certificati, è possibile iniziare con una connessione Ethernet durante il test mentre si determina l'approccio migliore per le connessioni wireless per il provisioning dei dispositivi.

Passaggio 2 - Registrazione e licenze

Prima di poter partecipare a Microsoft Entra e iscriversi a Intune, è necessario verificare alcuni aspetti. È possibile creare un nuovo gruppo Microsoft Entra, ad esempio il nome Utenti MDM di Intune. Aggiungere quindi account utente di test specifici e impostare come destinazione ognuna delle configurazioni seguenti in tale gruppo per limitare gli utenti che possono registrare i dispositivi durante la configurazione. Per creare un gruppo Microsoft Entra, passare a Gestire i gruppi di Microsoft Entra e l'appartenenza al gruppo.

  • Restrizioni di registrazione Le restrizioni di registrazione consentono di controllare i tipi di dispositivi che possono essere registrati nella gestione con Intune. Affinché questa guida abbia esito positivo, verificare che la registrazione di Windows (MDM) sia consentita, ovvero la configurazione predefinita.

    Per informazioni sulla configurazione delle restrizioni di registrazione, vedere Impostare le restrizioni di registrazione in Microsoft Intune.

  • Impostazioni MDM del dispositivo Microsoft Entra Quando si aggiunge un dispositivo Windows a Microsoft Entra, Microsoft Entra può essere configurato per indicare ai dispositivi di registrarsi automaticamente con un MDM. Questa configurazione è necessaria per il funzionamento di Windows Autopilot.

    Per verificare che le impostazioni MDM del dispositivo Microsoft Entra siano abilitate correttamente, passare a Avvio rapido - Configurare la registrazione automatica in Intune.

  • Personalizzazione aziendale di Microsoft Entra L'aggiunta del logo aziendale e delle immagini a Microsoft Entra garantisce agli utenti un aspetto familiare e coerente quando accedono a Microsoft 365. Questa configurazione è necessaria per il funzionamento di Windows Autopilot.

    Per informazioni sulla configurazione della personalizzazione personalizzata in Microsoft Entra, vedere Aggiungere personalizzazioni alla pagina di accesso di Microsoft Entra dell'organizzazione.

  • Licenze Gli utenti che registrano dispositivi Windows dalla configurazione guidata in Intune richiedono due funzionalità chiave.

    Gli utenti richiedono le licenze seguenti:

    • Una licenza di Microsoft Intune o Microsoft Intune per Education
    • Una licenza simile a una delle opzioni seguenti che consente la registrazione automatica di MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune per Education

    Per assegnare licenze, passare a Assegnare licenze di Microsoft Intune.

    Nota

    Entrambi i tipi di licenze sono in genere inclusi nei bundle di licenza, ad esempio Microsoft 365 E3 (o A3) e versioni successive. Visualizzare i confronti delle licenze M365 qui.

Passaggio 3: Importare il dispositivo di test

Per testare l'endpoint windows nativo del cloud, è necessario iniziare preparando una macchina virtuale o un dispositivo fisico per il test. I passaggi seguenti recuperano i dettagli del dispositivo e li caricano nel servizio Windows Autopilot, che vengono usati più avanti in questo articolo.

Nota

Sebbene i passaggi seguenti forniscano un modo per importare un dispositivo per il test, partner e OEM possono importare dispositivi in Windows Autopilot per conto dell'utente come parte dell'acquisto. Sono disponibili altre informazioni su Windows Autopilot nella fase 5.

  1. Installare Windows (preferibilmente 20H2 o versione successiva) in una macchina virtuale o reimpostare il dispositivo fisico in modo che sia in attesa nella schermata di configurazione della Configurazione guidata. Per una macchina virtuale, è possibile creare facoltativamente un checkpoint.

  2. Completare i passaggi necessari per connettersi a Internet.

  3. Aprire un prompt dei comandi usando la combinazione di tastiera MAIUSC + F10 .

  4. Verificare di avere accesso a Internet eseguendo il ping bing.com:

    • ping bing.com

  5. Passare a PowerShell eseguendo il comando :

    • powershell.exe

  6. Scaricare lo script Get-WindowsAutopilotInfo eseguendo i comandi seguenti:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Quando richiesto, immettere Y da accettare.

  8. Digitare il comando seguente:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Nota

    I tag di gruppo consentono di creare gruppi microsoft entra dinamici in base a un subset di dispositivi. I tag di gruppo possono essere impostati durante l'importazione di dispositivi o modificati in un secondo momento nell'interfaccia di amministrazione di Microsoft Intune. Verrà usato il tag di gruppo CloudNative nel passaggio 4. È possibile impostare il nome del tag su un valore diverso per il test.

  9. Quando vengono richieste le credenziali, accedere con l'account amministratore di Intune.

  10. Lasciare il computer all'esperienza predefinita fino alla fase 2.

Passaggio 4: Creare un gruppo dinamico di Microsoft Entra per il dispositivo

Per limitare le configurazioni di questa guida ai dispositivi di test importati in Windows Autopilot, creare un gruppo dinamico di Microsoft Entra. Questo gruppo deve includere automaticamente i dispositivi che importano in Windows Autopilot e hanno il tag di gruppo CloudNative. È quindi possibile impostare come destinazione tutte le configurazioni e le applicazioni in questo gruppo.

  1. Aprire l'interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Gruppi>Nuovo gruppo. Immettere i dettagli seguenti:

    • Tipo di gruppo: selezionare Sicurezza.
    • Nome gruppo: immettere Autopilot Cloud-Native Endpoint windows.
    • Tipo di appartenenza: selezionare Dispositivo dinamico.

  3. Selezionare Aggiungi query dinamica.

  4. Nella sezione Sintassi regola selezionare Modifica.

  5. Incollare il testo seguente:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Selezionare OK>Salva>crea.

Consiglio

Il popolamento dei gruppi dinamici richiede alcuni minuti dopo l'esecuzione delle modifiche. Nelle organizzazioni di grandi dimensioni può essere necessario molto più tempo. Dopo aver creato un nuovo gruppo, attendere alcuni minuti prima di verificare che il dispositivo sia ora membro del gruppo.

Per altre informazioni sui gruppi dinamici per i dispositivi, vedere Regole per i dispositivi.

Passaggio 5 - Configurare la pagina Stato registrazione

La pagina dello stato di registrazione (ESP) è il meccanismo usato da un professionista IT per controllare l'esperienza dell'utente finale durante il provisioning degli endpoint. Vedere Configurare la pagina stato registrazione. Per limitare l'ambito della pagina di stato della registrazione, è possibile creare un nuovo profilo e impostare come destinazione il gruppo Autopilot Cloud-Native Endpoint di Windows creato nel passaggio precedente , Creare un gruppo dinamico Microsoft Entra per il dispositivo.

  • Ai fini del test, è consigliabile usare le impostazioni seguenti, ma è possibile modificarle in base alle esigenze:
    • Visualizzare lo stato di avanzamento della configurazione dell'app e del profilo - Sì
    • Mostra solo la pagina ai dispositivi di cui è stato effettuato il provisioning in base all'esperienza predefinita (Configurazione guidata) - Sì (impostazione predefinita)

Passaggio 6: Creare e assegnare il profilo di Windows Autopilot

Ora è possibile creare il profilo Di Windows Autopilot e assegnarlo al dispositivo di test. Questo profilo indica al dispositivo di partecipare a Microsoft Entra e quali impostazioni applicare durante la Configurazione guidata.

  1. Aprire l'interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare DispositiviDevice onboarding>Enrollment>Windows AutopilotDeployment profiles (Profili> di distribuzione Windows Autopilot > diWindows>).

  3. Selezionare Creapc Windowsprofilo>.

  4. Immettere il nome Autopilot Cloud-Native Endpoint di Windows e quindi selezionare Avanti.

  5. Esaminare e lasciare le impostazioni predefinite e selezionare Avanti.

  6. Lasciare i tag di ambito e selezionare Avanti.

  7. Assegnare il profilo al gruppo Microsoft Entra creato denominato Autopilot Cloud-Native Endpoint di Windows, selezionare Avanti e quindi selezionare Crea.

Passaggio 7 - Sincronizzare i dispositivi Windows Autopilot

Il servizio Windows Autopilot viene sincronizzato più volte al giorno. È anche possibile attivare immediatamente una sincronizzazione in modo che il dispositivo sia pronto per il test. Per eseguire immediatamente la sincronizzazione:

  1. Aprire l'interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare DispositiviDevice onboardingEnrollment>WindowsAutopilot Devices (Dispositivi > Windows >Autopilot> perl'onboarding dei>dispositivi).

  3. Selezionare Sincronizza.

La sincronizzazione richiede diversi minuti e continua in background. Al termine della sincronizzazione, lo stato del profilo per il dispositivo importato viene visualizzato Assegnato.

Passaggio 8: Configurare le impostazioni per un'esperienza ottimale di Microsoft 365

Sono state selezionate alcune impostazioni da configurare. Queste impostazioni illustrano un'esperienza utente finale di Microsoft 365 ottimale nel dispositivo windows nativo del cloud. Queste impostazioni vengono configurate usando un profilo del catalogo delle impostazioni di configurazione del dispositivo. Per altre informazioni, vedere Creare un criterio usando il catalogo delle impostazioni in Microsoft Intune.

Dopo aver creato il profilo e aggiunto le impostazioni, assegnare il profilo al gruppo Autopilot Cloud-Native Endpoint di Windows creato in precedenza.

  • Microsoft Outlook Per migliorare la prima esperienza di esecuzione per Microsoft Outlook, l'impostazione seguente configura automaticamente un profilo quando Outlook viene aperto per la prima volta.

    • Microsoft Outlook 2016\Impostazioni account\Exchange (impostazione utente)
      • Configurare automaticamente solo il primo profilo in base all'indirizzo SMTP primario di Active Directory - Abilitato

  • Microsoft Edge Per migliorare la prima esperienza di esecuzione per Microsoft Edge, le impostazioni seguenti configurano Microsoft Edge per sincronizzare le impostazioni dell'utente e ignorare la prima esperienza di esecuzione.

    • Microsoft Edge
      • Nascondere l'esperienza di prima esecuzione e la schermata iniziale - Abilitato
      • Forzare la sincronizzazione dei dati del browser e non visualizzare il prompt del consenso per la sincronizzazione - Abilitato

  • Microsoft OneDrive

    Per migliorare la prima esperienza di accesso, le impostazioni seguenti configurano Microsoft OneDrive per accedere e reindirizzare automaticamente Desktop, Immagini e Documenti a OneDrive. È anche consigliabile usare file su richiesta . È abilitato per impostazione predefinita e non è incluso nell'elenco seguente. Per altre informazioni sulla configurazione consigliata per l'app di sincronizzazione di OneDrive, passare a Configurazione dell'app di sincronizzazione consigliata per Microsoft OneDrive.

    • OneDrive

      • Accedere automaticamente agli utenti all'app di sincronizzazione di OneDrive con le credenziali di Windows - Abilitato
      • Spostare automaticamente le cartelle note di Windows in OneDrive - Abilitato

      Nota

      Per altre informazioni, vedere Reindirizzare cartelle note.

Lo screenshot seguente mostra un esempio di profilo del catalogo delle impostazioni con ognuna delle impostazioni suggerite configurate:

Screenshot che mostra un esempio di profilo del catalogo delle impostazioni in Microsoft Intune.

Passaggio 9: Creare e assegnare alcune applicazioni

L'endpoint nativo del cloud richiede alcune applicazioni. Per iniziare, è consigliabile configurare le applicazioni seguenti e assegnarle come destinazione al gruppo Autopilot Cloud-Native endpoint Windows creato in precedenza.

  • Microsoft 365 Apps (in precedenza Office 365 ProPlus) Microsoft 365 Apps, ad esempio Word, Excel e Outlook, può essere facilmente distribuito nei dispositivi usando il profilo di app microsoft 365 per Windows incorporato in Intune.

    • Selezionare Progettazione configurazione per il formato delle impostazioni, anziché XML.
    • Selezionare Canale corrente per il canale di aggiornamento.

    Per distribuire Microsoft 365 Apps, passare ad Aggiungere app di Microsoft 365 ai dispositivi Windows usando Microsoft Intune

  • App Portale aziendale È consigliabile distribuire l'app Portale aziendale di Intune in tutti i dispositivi come applicazione obbligatoria. L'app Portale aziendale è l'hub self-service per gli utenti che usano per installare applicazioni da più origini, ad esempio Intune, Microsoft Store e Configuration Manager. Gli utenti usano anche l'app Portale aziendale per sincronizzare il dispositivo con Intune, controllare lo stato di conformità e così via.

    Per distribuire portale aziendale in base alle esigenze, vedere Aggiungere e assegnare l'app Portale aziendale di Windows per i dispositivi gestiti di Intune.

  • App di Microsoft Store (lavagna) Mentre Intune può distribuire un'ampia gamma di app, distribuiamo un'app dello Store (Microsoft Whiteboard) per semplificare questa guida. Seguire la procedura descritta in Aggiungere app di Microsoft Store a Microsoft Intune per installare Microsoft Whiteboard.

Fase 2: creare un endpoint Windows nativo del cloud

Fase 2.

Per compilare il primo endpoint Windows nativo del cloud, usare la stessa macchina virtuale o lo stesso dispositivo fisico raccolto e quindi caricare l'hash hardware nel servizio Windows Autopilot nel passaggio 3 della fase 1>. Con questo dispositivo, passare attraverso il processo di Windows Autopilot.

  1. Riprendere (o reimpostare se necessario) il PC Windows in Configurazione guidata.

    Nota

    Se viene richiesto di scegliere la configurazione per personale o un'organizzazione, il processo Autopilot non è stato attivato. In questo caso, riavviare il dispositivo e assicurarsi che abbia accesso a Internet. Se ancora non funziona, provare a reimpostare il PC o reinstallare Windows.

  2. Accedere con le credenziali di Microsoft Entra (UPN o AzureAD\username).

  3. La pagina dello stato della registrazione mostra lo stato della configurazione del dispositivo.

Congratulazioni! È stato effettuato il provisioning del primo endpoint Windows nativo del cloud.

Alcuni elementi da estrarre nel nuovo endpoint windows nativo del cloud:

  • Le cartelle di OneDrive vengono reindirizzate. All'apertura di Outlook, viene configurato automaticamente per la connessione a Office 365.

  • Aprire l'app Portale aziendale dal menu Start e notare che Microsoft Whiteboard è disponibile per l'installazione.

  • Provare a testare l'accesso dal dispositivo alle risorse locali, ad esempio condivisioni file, stampanti e siti Intranet.

    Nota

    Se non hai configurato Windows Hello for Business Hybrid, potrebbe essere richiesto agli accessi di Windows Hello di immettere le password per accedere alle risorse locali. Per continuare a testare l'accesso Single Sign-On, è possibile configurare Windows Hello for Business Hybrid o l'accesso al dispositivo con nome utente e password anziché Windows Hello. A tale scopo, selezionare l'icona a forma di chiave nella schermata di accesso.

Fase 3: proteggere l'endpoint windows nativo del cloud

Fase 3.

Questa fase è progettata per semplificare la compilazione delle impostazioni di sicurezza per l'organizzazione. Questa sezione richiama l'attenzione sui vari componenti di Endpoint Security in Microsoft Intune, tra cui:

Microsoft Defender Antivirus (MDAV)

Le impostazioni seguenti sono consigliate come configurazione minima per Microsoft Defender Antivirus, un componente del sistema operativo predefinito di Windows. Queste impostazioni non richiedono alcun contratto di licenza specifico, ad esempio E3 o E5, e possono essere abilitate nell'interfaccia di amministrazione di Microsoft Intune. Nell'interfaccia di amministrazione passare a Endpoint SecurityAntivirus Create Policy Windows e successivamente Profile typeMicrosoft Defender Antivirus.In the admin center, go to Endpoint Security >Antivirus>Create Policy>Windows and later>Profile type = Microsoft Defender Antivirus.

Cloud Protection:

  • Attivare la protezione fornita dal cloud:
  • Livello di protezione fornito dal cloud: non configurato
  • Timeout esteso di Defender Cloud in secondi: 50

Protezione in tempo reale:

  • Attivare la protezione in tempo reale:
  • Abilita per la protezione dall'accesso:
  • Monitoraggio per i file in ingresso e in uscita: monitorare tutti i file
  • Attivare il monitoraggio del comportamento:
  • Attivare la prevenzione delle intrusioni:
  • Abilitare la protezione di rete: Abilita
  • Analizzare tutti i file e gli allegati scaricati:
  • Analizzare gli script usati nei browser Microsoft:
  • Analizzare i file di rete: non configurati
  • Analizzare i messaggi di posta elettronica:

Correzione:

  • Numero di giorni (da 0 a 90) per mantenere il malware in quarantena: 30
  • Inviare il consenso per gli esempi: inviare automaticamente campioni sicuri
  • Azione da eseguire su app potenzialmente indesiderate: Abilitare
  • Azioni per le minacce rilevate: Configurare
    • Minaccia bassa: quarantena
    • Minaccia moderata: quarantena
    • Minaccia elevata: quarantena
    • Grave minaccia: quarantena

Impostazioni configurate nel profilo MDAV in Endpoint Security:

Screenshot che mostra un esempio di profilo di Microsoft Defender Antivirus in Microsoft Intune.

Per altre informazioni sulla configurazione di Windows Defender, tra cui Microsoft Defender per endpoint per i clienti con licenza per E3 ed E5, vedere:

Microsoft Defender Firewall

Usare Endpoint Security in Microsoft Intune per configurare le regole del firewall e del firewall. Per altre informazioni, vedere Criteri del firewall per la sicurezza degli endpoint in Intune.

Microsoft Defender Firewall è in grado di rilevare una rete attendibile usando il CSP NetworkListManager. Inoltre, può passare al profilo del firewall di dominio negli endpoint che eseguono le versioni del sistema operativo seguenti:

L'uso del profilo di rete di dominio consente di separare le regole del firewall in base a una rete attendibile, una rete privata e una rete pubblica. Queste impostazioni possono essere applicate usando un profilo personalizzato di Windows.

Nota

Gli endpoint aggiunti a Microsoft Entra non possono sfruttare LDAP per rilevare una connessione di dominio allo stesso modo degli endpoint aggiunti a un dominio. Usare invece il provider di servizi di configurazione NetworkListManager per specificare un endpoint TLS che, quando accessibile, passerà l'endpoint al profilo del firewall di dominio .

Crittografia BitLocker

Usare Endpoint Security in Microsoft Intune per configurare la crittografia con BitLocker.

Queste impostazioni possono essere abilitate nell'interfaccia di amministrazione di Microsoft Intune. Nell'interfaccia di amministrazione passare a Endpoint Security> Manage Disk encryption Create Policy Windows (Gestisci>crittografia> dischi), Create Policy Windows (Crea criteri)>e successivamenteProfileBitLocker (BitLockerprofilo = ).>

Quando si configurano le impostazioni di BitLocker seguenti, abilitano automaticamente la crittografia a 128 bit per gli utenti standard, ovvero uno scenario comune. Tuttavia, l'organizzazione potrebbe avere requisiti di sicurezza diversi, quindi usare la documentazione di BitLocker per altre impostazioni.

BitLocker - Impostazioni di base:

  • Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse:
  • Richiedi la crittografia delle schede di archiviazione (solo per dispositivi mobili): non configurata
  • Nascondi richiesta di crittografia di terze parti:
    • Consentire agli utenti standard di abilitare la crittografia durante Autopilot:
  • Configurare la rotazione delle password di ripristino guidate dal client: abilitare la rotazione nei dispositivi aggiunti a Microsoft Entra

BitLocker - Impostazioni fisse dell'unità:

  • Criteri di unità fissa BitLocker: Configurare
  • Correzione del ripristino dell'unità: Configurare
    • Creazione del file di chiave di ripristino: bloccato
    • Configurare il pacchetto di ripristino di BitLocker: password e chiave
    • Richiedere al dispositivo di eseguire il backup delle informazioni di ripristino in Azure AD:
    • Creazione della password di ripristino: consentita
    • Nascondere le opzioni di ripristino durante l'installazione di BitLocker: non configurata
    • Abilitare BitLocker dopo l'archiviazione delle informazioni di ripristino: Non configurato
    • Bloccare l'uso dell'agente di recupero dati basato su certificato: non configurato
    • Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker: non configurato
    • Configurare il metodo di crittografia per unità dati fisse: non configurato

BitLocker - Impostazioni unità del sistema operativo:

  • Criterio unità di sistema BitLocker: Configurare
    • Autenticazione di avvio necessaria:
    • Avvio TPM compatibile: obbligatorio
    • PIN di avvio TPM compatibile: Blocca
    • Chiave di avvio TPM compatibile: Blocca
    • Chiave di avvio TPM compatibile e PIN: Blocca
    • Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile: non configurato
    • Abilitare il messaggio e l'URL di ripristino di preavavimento: Non configurato
  • Ripristino dell'unità di sistema: Configurare
    • Creazione del file di chiave di ripristino: bloccato
    • Configurare il pacchetto di ripristino di BitLocker: password e chiave
    • Richiedere al dispositivo di eseguire il backup delle informazioni di ripristino in Azure AD:
    • Creazione della password di ripristino: consentita
    • Nascondere le opzioni di ripristino durante l'installazione di BitLocker: non configurata
    • Abilitare BitLocker dopo l'archiviazione delle informazioni di ripristino: Non configurato
    • Bloccare l'uso dell'agente di recupero dati basato su certificato: non configurato
    • Lunghezza minima PIN: lasciare vuoto
    • Configurare il metodo di crittografia per le unità del sistema operativo: non configurato

BitLocker - Impostazioni unità rimovibili:

  • Criterio unità rimovibile BitLocker: Configurare
    • Configurare il metodo di crittografia per unità dati rimovibili: non configurato
    • Blocca l'accesso in scrittura alle unità dati rimovibili non protette da BitLocker: non configurato
    • Bloccare l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione: Non configurato

Windows Local Administrator Password Solution (LAPS)

Per impostazione predefinita, l'account amministratore locale predefinito (noto SID S-1-5-500) è disabilitato. Esistono alcuni scenari in cui un account amministratore locale può essere utile, ad esempio la risoluzione dei problemi, il supporto degli utenti finali e il ripristino dei dispositivi. Se si decide di abilitare l'account amministratore predefinito o di creare un nuovo account amministratore locale, è importante proteggere la password per tale account.

Windows Local Administrator Password Solution (LAPS) è una delle funzionalità che è possibile usare per archiviare in modo casuale e sicuro la password in Microsoft Entra. Se si usa Intune come servizio MDM, seguire questa procedura per abilitare Windows LAPS.

Importante

Windows LAPS presuppone che l'account amministratore locale predefinito sia abilitato, anche se è stato rinominato o se si crea un altro account amministratore locale. Windows LAPS non crea o abilita automaticamente account locali.

È necessario creare o abilitare gli account locali separatamente dalla configurazione di Windows LAPS. È possibile creare script per questa attività o usare i provider di servizi di configurazione , ad esempio il provider di servizi di configurazione account o il provider di servizi di configurazione dei criteri.

  1. Assicurarsi che nei dispositivi Windows 10 (20H2 o versioni successive) o Windows 11 sia installato l'aggiornamento della sicurezza di aprile 2023 (o versione successiva).

    Per altre informazioni, vedere Aggiornamenti del sistema operativo Microsoft Entra.

  2. Abilitare Windows LAPS in Microsoft Entra:

    1. Accedere a Microsoft Entra.
    2. Per l'impostazione Abilita la soluzione LAPS (Local Administrator Password Solution), selezionare >Salva (nella parte superiore della pagina).

    Per altre informazioni, vedere Abilitazione di Windows LAPS con Microsoft Entra.

  3. In Intune creare un criterio di sicurezza degli endpoint:

    1. Accedere all'interfaccia di amministrazione di Microsoft Intune.
    2. Selezionare Endpoint Security>Account Protection>Create Policy> Windows 10 and laterLocal admin password solution (Windows LAPS)Create ( Soluzione password amministratore locale (Windows LAPS)>Create (Crea criteri Windows10 e versioni successive>).

    Per altre informazioni, vedere Creare un criterio LAPS in Intune.

Baseline di sicurezza

È possibile usare le baseline di sicurezza per applicare un set di configurazioni note per aumentare la sicurezza di un endpoint di Windows. Per altre informazioni sulle baseline di sicurezza, vedere Impostazioni della baseline di sicurezza MDM di Windows per Intune.

Le baseline possono essere applicate usando le impostazioni suggerite e personalizzate in base alle esigenze. Alcune impostazioni all'interno delle baseline potrebbero causare risultati imprevisti o essere incompatibili con le app e i servizi in esecuzione negli endpoint di Windows. Di conseguenza, le baseline devono essere testate in isolamento. Applicare la baseline solo a un gruppo selettivo di endpoint di test senza altri profili di configurazione o impostazioni.

Problemi noti delle baseline di sicurezza

Le impostazioni seguenti nella baseline di sicurezza di Windows possono causare problemi con Windows Autopilot o il tentativo di installare le app come utente standard:

  • Opzioni di sicurezza dei criteri locali\Comportamento del prompt dell'elevazione dell'amministratore (impostazione predefinita = Richiedi consenso sul desktop protetto)
  • Comportamento della richiesta di elevazione degli utenti standard (impostazione predefinita = Nega automaticamente le richieste di elevazione dei privilegi)

Per altre informazioni, vedere Conflitti dei criteri di Windows Autopilot.

Windows Update per le aziende

Windows Update for Business è la tecnologia cloud per il controllo di come e quando vengono installati gli aggiornamenti nei dispositivi. In Intune è possibile configurare Windows Update for Business usando:

Per altre informazioni, vedere:

Se si vuole un controllo più granulare per Gli aggiornamenti di Windows e si usa Configuration Manager, prendere in considerazione la co-gestione.

Fase 4: applicare personalizzazioni ed esaminare la configurazione locale

Fase 4.

In questa fase si applicano le impostazioni specifiche dell'organizzazione, le app e si esamina la configurazione locale. La fase consente di creare eventuali personalizzazioni specifiche dell'organizzazione. Si noti che i vari componenti di Windows consentono di esaminare le configurazioni esistenti da un ambiente di Criteri di gruppo di Active Directory locale e di applicarle agli endpoint nativi del cloud. Sono disponibili sezioni per ognuna delle aree seguenti:

Microsoft Edge

Distribuzione di Microsoft Edge

Microsoft Edge è incluso nei dispositivi che eseguono:

  • Windows 11
  • Windows 10 20H2 o versione successiva
  • Windows 10 1803 o versione successiva, con l'aggiornamento cumulativo della sicurezza mensile di maggio 2021 o versione successiva

Dopo l'accesso degli utenti, Microsoft Edge viene aggiornato automaticamente. Per attivare un aggiornamento per Microsoft Edge durante la distribuzione, è possibile eseguire il comando seguente:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Per distribuire Microsoft Edge nelle versioni precedenti di Windows, passare a Aggiungi Microsoft Edge per Windows a Microsoft Intune.

Configurazione di Microsoft Edge

Due componenti dell'esperienza Microsoft Edge, che si applicano quando gli utenti accedono con le credenziali di Microsoft 365, possono essere configurati dall'interfaccia di amministrazione di Microsoft 365.

  • Il logo della pagina iniziale in Microsoft Edge può essere personalizzato configurando la sezione Organizzazione all'interno dell'interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere Personalizzare il tema di Microsoft 365 per l'organizzazione.

  • La nuova esperienza di pagina delle schede predefinita in Microsoft Edge include informazioni su Office 365 e notizie personalizzate. La modalità di visualizzazione di questa pagina può essere personalizzata dall'interfaccia di amministrazione di Microsoft 365 nella pagina Impostazioni>impostazioni> organizzazioneNotizie>nuova scheda di Microsoft Edge.

È anche possibile impostare altre impostazioni per Microsoft Edge usando i profili del catalogo delle impostazioni. Ad esempio, è possibile configurare impostazioni di sincronizzazione specifiche per l'organizzazione.

  • Microsoft Edge
    • Configurare l'elenco dei tipi esclusi dalla sincronizzazione : password

Layout start e barra delle applicazioni

È possibile personalizzare e impostare un layout standard di avvio e barra delle applicazioni usando Intune.

Catalogo delle impostazioni

Il catalogo delle impostazioni è un'unica posizione in cui sono elencate tutte le impostazioni configurabili di Windows. Questa funzionalità semplifica la creazione di un criterio e la visualizzazione di tutte le impostazioni disponibili. Per altre informazioni, vedere Creare un criterio usando il catalogo delle impostazioni in Microsoft Intune.

Nota

  • Alcune impostazioni potrebbero non essere disponibili nel catalogo, ma sono disponibili in Modelli per i profili di configurazione dei dispositivi di Intune.

  • Molte delle impostazioni che si hanno familiarità con Criteri di gruppo sono già disponibili nel catalogo delle impostazioni. Per altre informazioni, vedere La più recente parità delle impostazioni di Criteri di gruppo in Gestione dispositivi mobili.

  • Se si intende sfruttare i modelli ADMX o il catalogo delle impostazioni (consigliato), assicurarsi di aggiornare i dispositivi con l'aggiornamento "Patch Tuesday" di settembre 2021 (KB5005565) per Windows 10 versioni 2004 e successive. Questo aggiornamento mensile include KB5005101 che porta oltre 1.400 impostazioni di Criteri di gruppo in MDM. Se non si applica questo aggiornamento, verrà visualizzato un messaggio "Non applicabile" insieme all'impostazione nell'interfaccia di amministrazione di Intune. Sebbene inizialmente sia applicabile solo alle versioni Enterprise ed Edu di Windows, a partire da maggio 2022, queste impostazioni aggiuntive ora funzionano anche nelle versioni Pro di Windows 10/11. Se si usano le versioni Pro di Windows 10/11, assicurarsi di installare KB5013942 o versioni successive in Windows 10 e KB5013943 o versioni successive in Windows 11 come indicato in The latest in Group Policy settings parity in Mobile Device Management.If using the Pro versions of Windows 10/11, ensure that you install KB5013942 or later on Windows 10 and KB5013943 or later on Windows 11 as mentioned in The latest in Group Policy settings parity in Mobile Device Management.

Di seguito sono riportate alcune impostazioni disponibili nel catalogo delle impostazioni che potrebbero essere rilevanti per l'organizzazione:

  • Dominio tenant preferito di Azure Active Directory Questa impostazione configura il nome di dominio tenant preferito da aggiungere al nome utente di un utente. Un dominio tenant preferito consente agli utenti di accedere agli endpoint di Microsoft Entra con solo il nome utente anziché l'intero UPN, purché il nome di dominio dell'utente corrisponda al dominio tenant preferito. Per gli utenti con nomi di dominio diversi, possono digitare l'intero UPN.

    L'impostazione è disponibile in:

    • Autenticazione
      • Nome di dominio tenant AAD preferito: specificare il nome di dominio, ad esempio contoso.onmicrosoft.com.

  • Contenuti in evidenza di Windows Per impostazione predefinita, sono abilitate diverse funzionalità consumer di Windows, che comportano l'installazione di app dello Store selezionate e suggerimenti di terze parti nella schermata di blocco. È possibile controllarlo usando la sezione Esperienza del catalogo delle impostazioni.

    • Funzionalità
      • Consenti funzionalità consumer di Windows - Blocco
      • Consenti suggerimenti di terze parti in Evidenza di Windows (utente) - Blocca

  • Microsoft Store Le organizzazioni in genere vogliono limitare le applicazioni che possono essere installate negli endpoint. Usare questa impostazione se l'organizzazione vuole controllare quali applicazioni possono essere installate da Microsoft Store. Questa impostazione impedisce agli utenti di installare applicazioni a meno che non siano approvate.

  • Block Gaming Le organizzazioni potrebbero preferire che gli endpoint aziendali non possano essere usati per giocare. La pagina Giochi all'interno dell'app Impostazioni può essere nascosta interamente usando l'impostazione seguente. Per altre informazioni sulla visibilità della pagina delle impostazioni, vedere la documentazione di CSP e il riferimento allo schema URI ms-settings.

    • Impostazioni
      • Page Visibility List – hide:gaming-gamebar; gioco-gamedvr; gioco-trasmissione; gaming-gamemode; gioco-trueplay; gioco-xboxnetworking; quietmomentsgame

  • Controllare la visibilità dell'icona chat nella barra delle applicazioni La visibilità dell'icona Chat nella barra delle applicazioni di Windows 11 può essere controllata tramite il provider di servizi di configurazione dei criteri.

    • Funzionalità
      • Icona Configura chat - Disabilitato

  • Controllare a quali tenant il client desktop di Teams può accedere

    Quando questo criterio è configurato in un dispositivo, gli utenti possono accedere solo con gli account ospitati in un tenant di Microsoft Entra incluso nell'"Elenco tenant consentiti" definito in questo criterio. "Elenco tenant consentiti" è un elenco delimitato da virgole di ID tenant di Microsoft Entra. Specificando questo criterio e definendo un tenant di Microsoft Entra, si blocca anche l'accesso a Teams per uso personale. Per altre informazioni, vedere Come limitare l'accesso ai dispositivi desktop.

    • Modelli amministrativi \ Microsoft Teams
      • Limitare l'accesso a Teams agli account in tenant specifici (utente) - Abilitato

Restrizioni del dispositivo

I modelli di restrizioni dei dispositivi Windows contengono molte delle impostazioni necessarie per proteggere e gestire un endpoint di Windows usando i provider di servizi di configurazione di Windows. Più di queste impostazioni saranno rese disponibili nel catalogo delle impostazioni nel tempo. Per altre informazioni, vedere Restrizioni del dispositivo.

Per creare un profilo che usa il modello Restrizioni del dispositivo, nell'interfaccia di amministrazione di Microsoft Intune passare a Dispositivi> Gestisciconfigurazione>dispositivi>Crea>nuovo criterio> Selezionare Windows 10 e versioni successive per Modelli di piattaforma >Restrizioni del dispositivo per il tipo di profilo.

  • URL immagine di sfondo del desktop (solo desktop) Usa questa impostazione per impostare uno sfondo in SKU Windows Enterprise o Windows Education. Il file viene ospitato online o si fa riferimento a un file copiato localmente. Per configurare questa impostazione, nella scheda Impostazioni di configurazione del profilo Restrizioni del dispositivo espandere Personalizzazione e configurare l'URL dell'immagine di sfondo del desktop (solo desktop).

  • Richiedere agli utenti di connettersi a una rete durante la configurazione del dispositivo Questa impostazione riduce il rischio che un dispositivo possa ignorare Windows Autopilot se il computer viene reimpostato. Questa impostazione richiede che i dispositivi dispongano di una connessione di rete durante la fase di esperienza predefinita. Per configurare questa impostazione, nella scheda Impostazioni di configurazione del profilo Restrizioni del dispositivo espandere Generale e configurare Richiedi agli utenti di connettersi alla rete durante l'installazione del dispositivo.

    Nota

    L'impostazione diventa effettiva alla successiva cancellazione o reimpostazione del dispositivo.

Ottimizzazione recapito

Ottimizzazione recapito viene usato per ridurre il consumo di larghezza di banda condividendo il lavoro di download dei pacchetti supportati tra più endpoint. Ottimizzazione recapito è una cache distribuita auto-organizzativa che consente ai client di scaricare tali pacchetti da origini alternative, ad esempio peer in rete. Queste origini peer integrano i tradizionali server basati su Internet. Puoi scoprire tutte le impostazioni disponibili per Ottimizzazione recapito e quali tipi di download sono supportati in Ottimizzazione recapito per gli aggiornamenti di Windows.

Per applicare le impostazioni di Ottimizzazione recapito, creare un profilo di Ottimizzazione recapito di Intune o un profilo del catalogo delle impostazioni.

Alcune impostazioni comunemente usate dalle organizzazioni sono:

  • Limita selezione peer- Subnet. Questa impostazione limita la memorizzazione nella cache peer ai computer nella stessa subnet.
  • ID gruppo. I client di Ottimizzazione recapito possono essere configurati in modo da condividere solo il contenuto con i dispositivi dello stesso gruppo. Gli ID di gruppo possono essere configurati direttamente inviando un GUID tramite criteri o usando le opzioni DHCP negli ambiti DHCP.

I clienti che usano Microsoft Configuration Manager possono distribuire server cache connessi che possono essere usati per ospitare il contenuto di Ottimizzazione recapito. Per altre informazioni, passare a Microsoft Connected Cache in Configuration Manager.

Amministratori locali

Se è presente un solo gruppo di utenti che richiede l'accesso dell'amministratore locale a tutti i dispositivi Windows aggiunti a Microsoft Entra, è possibile aggiungerli all'amministratore locale del dispositivo aggiunto a Microsoft Entra.

Potrebbe essere necessario che l'helpdesk IT o altro personale di supporto disponga dei diritti di amministratore locale in un gruppo selezionato di dispositivi. Con Windows 2004 o versioni successive, è possibile soddisfare questo requisito usando i provider di servizi di configurazione (CSP) seguenti.

Per altre informazioni, vedere Come gestire il gruppo di amministratori locali nei dispositivi aggiunti a Microsoft Entra

Migrazione delle impostazioni da Criteri di gruppo a MDM

Esistono diverse opzioni per la creazione della configurazione del dispositivo quando si valuta una migrazione da Criteri di gruppo alla gestione dei dispositivi nativa del cloud:

  • Iniziare da zero e applicare le impostazioni personalizzate in base alle esigenze.
  • Esaminare i criteri di gruppo esistenti e applicare le impostazioni necessarie. È possibile usare strumenti utili, ad esempio l'analisi di Criteri di gruppo.
  • Usare l'analisi di Criteri di gruppo per creare profili di configurazione del dispositivo direttamente per le impostazioni supportate.

La transizione a un endpoint Windows nativo del cloud rappresenta un'opportunità per esaminare i requisiti di elaborazione degli utenti finali e stabilire una nuova configurazione per il futuro. Quando possibile, iniziare da zero con un set minimo di criteri. Evitare di portare avanti impostazioni non necessarie o legacy da un ambiente aggiunto a un dominio o da sistemi operativi precedenti, ad esempio Windows 7 o Windows XP.

Per iniziare, esaminare i requisiti correnti e implementare una raccolta minima di impostazioni per soddisfare questi requisiti. I requisiti possono includere impostazioni e impostazioni di sicurezza normative o obbligatorie per migliorare l'esperienza dell'utente finale. L'azienda crea un elenco di requisiti, non IT. Ogni impostazione deve essere documentata, compresa e deve avere uno scopo.

La migrazione delle impostazioni da Criteri di gruppo esistenti a MDM (Microsoft Intune) non è l'approccio preferito. Quando si passa a Windows nativo del cloud, l'intenzione non dovrebbe essere quella di spostare e spostare le impostazioni di Criteri di gruppo esistenti. Considerare invece il gruppo di destinatari e le impostazioni necessarie. È necessario molto tempo e probabilmente non è pratico esaminare ogni impostazione di criteri di gruppo nell'ambiente per determinarne la rilevanza e la compatibilità con un dispositivo gestito moderno. Evitare di provare a valutare ogni criterio di gruppo e ogni singola impostazione. Concentrarsi invece sulla valutazione dei criteri comuni che coprono la maggior parte dei dispositivi e degli scenari.

Identificare invece le impostazioni di Criteri di gruppo obbligatorie ed esaminare tali impostazioni rispetto alle impostazioni MDM disponibili. Eventuali gap rappresentano blocchi che possono impedire di procedere con un dispositivo nativo del cloud se non risolto. Strumenti come l'analisi di Criteri di gruppo possono essere usati per analizzare le impostazioni dei criteri di gruppo e determinare se è possibile eseguirne o meno la migrazione ai criteri MDM.

Script

È possibile usare script di PowerShell per qualsiasi impostazione o personalizzazione che è necessario configurare all'esterno dei profili di configurazione predefiniti. Per altre informazioni, vedere Aggiungere script di PowerShell ai dispositivi Windows in Microsoft Intune.

Mapping di unità e stampanti di rete

Gli scenari nativi del cloud non hanno una soluzione predefinita per le unità di rete mappate. È invece consigliabile eseguire la migrazione degli utenti a Teams, SharePoint e OneDrive for Business. Se la migrazione non è possibile, prendere in considerazione l'uso di script, se necessario.

Per l'archiviazione personale, nel passaggio 8 - Configurare le impostazioni per un'esperienza ottimale di Microsoft 365, è stato configurato lo spostamento della cartella nota di OneDrive. Per altre informazioni, vedere Reindirizzare cartelle note.

Per l'archiviazione dei documenti, gli utenti possono anche trarre vantaggio dall'integrazione di SharePoint con Esplora file e dalla possibilità di sincronizzare le raccolte in locale, come indicato qui: Sincronizzare i file di SharePoint e Teams con il computer.

Se si usano modelli di documento di Office aziendali, che in genere si trovano nei server interni, considerare l'equivalente più nuovo basato sul cloud che consente agli utenti di accedere ai modelli da qualsiasi posizione.

Per le soluzioni di stampa, prendere in considerazione la stampa universale. Per altre informazioni, vedere:

Applicazioni

Intune supporta la distribuzione di molti tipi di applicazione Windows diversi.

Se si dispone di applicazioni che usano programmi di installazione msi, exe o script, è possibile distribuire tutte queste applicazioni usando la gestione delle app Win32 in Microsoft Intune. Il wrapping di questi programmi di installazione nel formato Win32 offre maggiore flessibilità e vantaggi, tra cui notifiche, ottimizzazione del recapito, dipendenze, regole di rilevamento e supporto per la pagina stato della registrazione in Windows Autopilot.

Nota

Per evitare conflitti durante l'installazione, è consigliabile usare esclusivamente le funzionalità delle app line-of-business di Windows o delle app Win32. Se si dispone di applicazioni in pacchetto come .msi o .exe, è possibile convertirle in app Win32 (.intunewin) usando lo strumento di preparazione del contenuto Microsoft Win32, disponibile da GitHub.

Fase 5: distribuire su larga scala con Windows Autopilot

Fase 5.

Ora che è stato configurato l'endpoint di Windows nativo del cloud e ne è stato eseguito il provisioning con Windows Autopilot, valutare come importare più dispositivi. Si consideri anche come collaborare con il partner o il fornitore di hardware per iniziare a effettuare il provisioning di nuovi endpoint dal cloud. Esaminare le risorse seguenti per determinare l'approccio migliore per l'organizzazione.

Se per qualche motivo Windows Autopilot non è l'opzione giusta per te, esistono altri metodi di registrazione per Windows. Per altre informazioni, vedere Metodi di registrazione di Intune per i dispositivi Windows.

Seguire le indicazioni per gli endpoint nativi del cloud

  1. Panoramica: Che cosa sono gli endpoint nativi del cloud?
  2. 🡺 Esercitazione: Introduzione agli endpoint di Windows nativi del cloud (disponibile qui)
  3. Concetto: microsoft entra a far parte di Microsoft Entra e ibrido Microsoft Entra aggiunto
  4. Concetto: endpoint nativi del cloud e risorse locali
  5. Guida alla pianificazione di alto livello
  6. Problemi noti e informazioni importanti

Risorse online utili