Esercitazione: Configurare e configurare un endpoint Windows nativo del cloud con Microsoft Intune

  • Articolo

Consiglio

Durante la lettura degli endpoint nativi del cloud, verranno visualizzati i termini seguenti:

  • Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
  • Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
  • Endpoint nativi del cloud: endpoint aggiunti ad Azure AD. Non sono aggiunti ad ACTIVE Directory locale.
  • Carico di lavoro: qualsiasi programma, servizio o processo.

Questa guida illustra i passaggi per creare una configurazione dell'endpoint Di Windows nativa del cloud per l'organizzazione. Per una panoramica degli endpoint nativi del cloud e dei relativi vantaggi, vedere Informazioni sugli endpoint nativi del cloud.

Questa funzionalità si applica a:

  • Endpoint nativi del cloud di Windows

Consiglio

Se vuoi che una soluzione standardizzata consigliata da Microsoft si basi su , potresti essere interessato a Windows nella configurazione cloud. In Intune è possibile configurare Windows nella configurazione cloud usando uno scenario guidato.

La tabella seguente descrive la differenza chiave tra questa guida e Windows nella configurazione cloud:

Soluzione Obiettivo
Esercitazione: Introduzione agli endpoint windows nativi del cloud (questa guida) Consente di creare una configurazione personalizzata per l'ambiente in base alle impostazioni consigliate da Microsoft e di iniziare a eseguire i test.
Configurazione di Windows nel cloud Un'esperienza guidata dello scenario che crea e applica la configurazione predefinita in base alle procedure consigliate di Microsoft per i ruoli di lavoro in prima linea, remoti e di altro tipo con esigenze più mirate.

È possibile usare questa guida combinata con Windows nella configurazione cloud per personalizzare ancora di più l'esperienza predefinita.

Come iniziare

Usare le cinque fasi ordinate in questa guida, che si basano l'una sull'altra per preparare la configurazione dell'endpoint Windows nativo del cloud. Completando queste fasi in ordine, si notano progressi tangibili e si è pronti per effettuare il provisioning di nuovi dispositivi.

Fasi:

Cinque fasi per configurare gli endpoint di Windows nativi del cloud usando Microsoft Intune e Windows Autopilot.

  • Fase 1: configurare l'ambiente
  • Fase 2: creare il primo endpoint Windows nativo del cloud
  • Fase 3: proteggere l'endpoint windows nativo del cloud
  • Fase 4: applicare le impostazioni e le applicazioni personalizzate
  • Fase 5: distribuire su larga scala con Windows Autopilot

Alla fine di questa guida è disponibile un endpoint Windows nativo del cloud pronto per iniziare a eseguire il test nell'ambiente. Prima di iniziare, è possibile consultare la guida alla pianificazione dell'aggiunta Microsoft Entra in Come pianificare l'implementazione del join Microsoft Entra.

Fase 1: configurare l'ambiente

Fase 1.

Prima di compilare il primo endpoint Windows nativo del cloud, è necessario verificare alcuni requisiti chiave e la configurazione. Questa fase illustra come controllare i requisiti, configurare Windows Autopilot e creare alcune impostazioni e applicazioni.

Passaggio 1 - Requisiti di rete

L'endpoint windows nativo del cloud deve accedere a diversi servizi Internet. Avviare i test in una rete aperta. In alternativa, usare la rete aziendale dopo aver fornito l'accesso a tutti gli endpoint elencati nei requisiti di rete di Windows Autopilot.

Se la rete wireless richiede certificati, è possibile iniziare con una connessione Ethernet durante il test mentre si determina l'approccio migliore per le connessioni wireless per il provisioning dei dispositivi.

Passaggio 2 - Registrazione e licenze

Prima di poter partecipare Microsoft Entra e registrarsi a Intune, è necessario verificare alcuni aspetti. È possibile creare un nuovo gruppo di Microsoft Entra, ad esempio il nome Intune Utenti MDM. Aggiungere quindi account utente di test specifici e impostare come destinazione ognuna delle configurazioni seguenti in tale gruppo per limitare gli utenti che possono registrare i dispositivi durante la configurazione. Per creare un gruppo Microsoft Entra, passare a Creare un gruppo di base e aggiungere membri.

  • Restrizioni di registrazione
    Le restrizioni di registrazione consentono di controllare i tipi di dispositivi che possono essere registrati nella gestione con Intune. Affinché questa guida abbia esito positivo, verificare che la registrazione di Windows (MDM) sia consentita, ovvero la configurazione predefinita.

    Per informazioni sulla configurazione delle restrizioni di registrazione, vedere Impostare le restrizioni di registrazione in Microsoft Intune.

  • Impostazioni MDM del dispositivo Azure AD
    Quando si aggiunge un dispositivo Windows a Microsoft Entra, è possibile configurare Microsoft Entra per indicare ai dispositivi di registrarsi automaticamente con un MDM. Questa configurazione è necessaria per il funzionamento di Windows Autopilot.

    Per verificare che le impostazioni MDM del dispositivo Microsoft Entra siano abilitate correttamente, passare a Avvio rapido - Configurare la registrazione automatica in Intune.

  • Personalizzazione aziendale di Azure AD
    L'aggiunta di logo e immagini aziendali a Microsoft Entra garantisce agli utenti un aspetto familiare e coerente quando accedono a Microsoft 365. Questa configurazione è necessaria per il funzionamento di Windows Autopilot.

    Per informazioni sulla configurazione della personalizzazione personalizzata in Microsoft Entra, vedere Aggiungere personalizzazioni alla pagina di accesso Microsoft Entra dell'organizzazione.

  • Licenze
    Gli utenti che registrano i dispositivi Windows dalla configurazione guidata in Intune richiedono due funzionalità chiave.

    Gli utenti richiedono le licenze seguenti:

    • Licenza Microsoft Intune o Microsoft Intune per Education
    • Una licenza simile a una delle opzioni seguenti che consente la registrazione automatica di MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune per Education

    Per assegnare licenze, passare a Assegna licenze Microsoft Intune.

    Nota

    Entrambi i tipi di licenze sono in genere inclusi nei bundle di licenza, ad esempio Microsoft 365 E3 (o A3) e versioni successive. Visualizzare i confronti delle licenze M365 qui.

Passaggio 3: Importare il dispositivo di test

Per testare l'endpoint windows nativo del cloud, è necessario iniziare preparando una macchina virtuale o un dispositivo fisico per il test. I passaggi seguenti recuperano i dettagli del dispositivo e li caricano nel servizio Windows Autopilot, che vengono usati più avanti in questo articolo.

Nota

Sebbene i passaggi seguenti forniscano un modo per importare un dispositivo per il test, partner e OEM possono importare dispositivi in Windows Autopilot per conto dell'utente come parte dell'acquisto. Sono disponibili altre informazioni su Windows Autopilot nella fase 5.

  1. Installare Windows (preferibilmente 20H2 o versione successiva) in una macchina virtuale o reimpostare il dispositivo fisico in modo che sia in attesa nella schermata di configurazione della Configurazione guidata. Per una macchina virtuale, è possibile creare facoltativamente un checkpoint.

  2. Completare i passaggi necessari per connettersi a Internet.

  3. Aprire un prompt dei comandi usando la combinazione di tastiera MAIUSC + F10 .

  4. Verificare di avere accesso a Internet eseguendo il ping bing.com:

    • ping bing.com

  5. Passare a PowerShell eseguendo il comando :

    • powershell.exe

  6. Scaricare lo script Get-WindowsAutopilotInfo eseguendo i comandi seguenti:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Quando richiesto, immettere Y da accettare.

  8. Digitare il comando seguente:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Nota

    I tag di gruppo consentono di creare gruppi di Microsoft Entra dinamici in base a un subset di dispositivi. I tag di gruppo possono essere impostati durante l'importazione di dispositivi o modificati più avanti nell'interfaccia di amministrazione Microsoft Intune. Verrà usato il tag di gruppo CloudNative nel passaggio 4. È possibile impostare il nome del tag su un valore diverso per il test.

  9. Quando vengono richieste le credenziali, accedere con l'account amministratore Intune.

  10. Lasciare il computer all'esperienza predefinita fino alla fase 2.

Passaggio 4: Creare Microsoft Entra gruppo dinamico per il dispositivo

Per limitare le configurazioni di questa guida ai dispositivi di test importati in Windows Autopilot, creare un gruppo di Microsoft Entra dinamico. Questo gruppo deve includere automaticamente i dispositivi che importano in Windows Autopilot e hanno il tag di gruppo CloudNative. È quindi possibile impostare come destinazione tutte le configurazioni e le applicazioni in questo gruppo.

  1. Aprire l'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Gruppi>Nuovo gruppo. Immettere i dettagli seguenti:

    • Tipo di gruppo: selezionare Sicurezza.
    • Nome gruppo: immettere Autopilot Cloud-Native Endpoint windows.
    • Tipo di appartenenza: selezionare Dispositivo dinamico.

  3. Selezionare Aggiungi query dinamica.

  4. Nella sezione Sintassi regola selezionare Modifica.

  5. Incollare il testo seguente:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Selezionare OK>Salva>crea.

Consiglio

Il popolamento dei gruppi dinamici richiede alcuni minuti dopo l'esecuzione delle modifiche. Nelle organizzazioni di grandi dimensioni può essere necessario molto più tempo. Dopo aver creato un nuovo gruppo, attendere alcuni minuti prima di verificare che il dispositivo sia ora membro del gruppo.

Per altre informazioni sui gruppi dinamici per i dispositivi, vedere Regole per i dispositivi.

Passaggio 5 - Configurare la pagina Stato registrazione

La pagina dello stato di registrazione (ESP) è il meccanismo usato da un professionista IT per controllare l'esperienza dell'utente finale durante il provisioning degli endpoint. Vedere Configurare la pagina stato registrazione. Per limitare l'ambito della pagina di stato della registrazione, è possibile creare un nuovo profilo e impostare come destinazione il gruppo Autopilot Cloud-Native Endpoint di Windows creato nel passaggio precedente, Creare Microsoft Entra gruppo dinamico per il dispositivo.

  • Ai fini del test, è consigliabile usare le impostazioni seguenti, ma è possibile modificarle in base alle esigenze:
    • Visualizzare lo stato di avanzamento della configurazione dell'app e del profilo - Sì
    • Mostra solo la pagina ai dispositivi di cui è stato effettuato il provisioning in base all'esperienza predefinita (Configurazione guidata) - Sì (impostazione predefinita)

Passaggio 6: Creare e assegnare il profilo di Windows Autopilot

Ora è possibile creare il profilo Di Windows Autopilot e assegnarlo al dispositivo di test. Questo profilo indica al dispositivo di aggiungere Microsoft Entra e quali impostazioni applicare durante la configurazione guidata.

  1. Aprire l'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare DevicesEnrollment> Windows AutopilotDeployment profiles (Profili di distribuzione diWindows Autopilot> registrazione dispositivi>).

  3. Selezionare Creapc Windowsprofilo>.

  4. Immettere il nome Autopilot Cloud-Native Endpoint di Windows e quindi selezionare Avanti.

  5. Esaminare e lasciare le impostazioni predefinite e selezionare Avanti.

  6. Lasciare i tag di ambito e selezionare Avanti.

  7. Assegnare il profilo al gruppo di Microsoft Entra creato denominato Autopilot Cloud-Native Endpoint di Windows, selezionare Avanti e quindi selezionare Crea.

Passaggio 7 - Sincronizzare i dispositivi Windows Autopilot

Il servizio Windows Autopilot viene sincronizzato più volte al giorno. È anche possibile attivare immediatamente una sincronizzazione in modo che il dispositivo sia pronto per il test. Per eseguire immediatamente la sincronizzazione:

  1. Aprire l'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare DispositiviRegistrazione>dispositivi>Windows Autopilot>.

  3. Selezionare Sincronizza.

La sincronizzazione richiede diversi minuti e continua in background. Al termine della sincronizzazione, lo stato del profilo per il dispositivo importato viene visualizzato Assegnato.

Passaggio 8: Configurare le impostazioni per un'esperienza ottimale di Microsoft 365

Sono state selezionate alcune impostazioni da configurare. Queste impostazioni illustrano un'esperienza utente finale di Microsoft 365 ottimale nel dispositivo windows nativo del cloud. Queste impostazioni vengono configurate usando un profilo del catalogo delle impostazioni di configurazione del dispositivo. Per altre informazioni, vedere Creare un criterio usando il catalogo delle impostazioni in Microsoft Intune.

Dopo aver creato il profilo e aggiunto le impostazioni, assegnare il profilo al gruppo Autopilot Cloud-Native Endpoint di Windows creato in precedenza.

  • Microsoft Outlook
    Per migliorare la prima esperienza di esecuzione per Microsoft Outlook, l'impostazione seguente configura automaticamente un profilo quando Outlook viene aperto per la prima volta.

    • Microsoft Outlook 2016\Impostazioni account\Exchange (impostazione utente)
      • Configurare automaticamente solo il primo profilo in base all'indirizzo SMTP primario di Active Directory - Abilitato

  • Microsoft Edge
    Per migliorare la prima esperienza di esecuzione per Microsoft Edge, le impostazioni seguenti configurano Microsoft Edge per sincronizzare le impostazioni dell'utente e ignorare la prima esperienza di esecuzione.

    • Microsoft Edge
      • Nascondere l'esperienza di prima esecuzione e la schermata iniziale - Abilitato
      • Forzare la sincronizzazione dei dati del browser e non visualizzare il prompt del consenso per la sincronizzazione - Abilitato

  • Microsoft OneDrive

    Per migliorare la prima esperienza di accesso, le impostazioni seguenti configurano Microsoft OneDrive per accedere e reindirizzare automaticamente Desktop, Immagini e Documenti a OneDrive. È anche consigliabile usare file su richiesta . È abilitato per impostazione predefinita e non è incluso nell'elenco seguente. Per altre informazioni sulla configurazione consigliata per l'app sincronizzazione OneDrive, vedere Configurazione dell'app di sincronizzazione consigliata per Microsoft OneDrive.

    • OneDrive

      • Accedere automaticamente agli utenti all'app sincronizzazione OneDrive con le credenziali di Windows - Abilitato
      • Spostare automaticamente le cartelle note di Windows in OneDrive - Abilitato

      Nota

      Per altre informazioni, vedere Reindirizzare cartelle note.

Lo screenshot seguente mostra un esempio di profilo del catalogo delle impostazioni con ognuna delle impostazioni suggerite configurate:

Immagine che mostra un esempio di profilo del catalogo delle impostazioni in Microsoft Intune.

Passaggio 9: Creare e assegnare alcune applicazioni

L'endpoint nativo del cloud richiede alcune applicazioni. Per iniziare, è consigliabile configurare le applicazioni seguenti e assegnarle come destinazione al gruppo Autopilot Cloud-Native endpoint Windows creato in precedenza.

  • Microsoft 365 Apps (in precedenza Office 365 ProPlus)
    Microsoft 365 Apps come Word, Excel e Outlook possono essere distribuiti facilmente nei dispositivi usando il profilo app di Microsoft 365 per Windows integrato in Intune.

    • Selezionare Progettazione configurazione per il formato delle impostazioni, anziché XML.
    • Selezionare Canale corrente per il canale di aggiornamento.

    Per distribuire Microsoft 365 Apps, passare ad Aggiungere app di Microsoft 365 ai dispositivi Windows usando Microsoft Intune

  • Portale aziendale'app
    È consigliabile distribuire l'app Intune Portale aziendale in tutti i dispositivi come applicazione obbligatoria. Portale aziendale'app è l'hub self-service per gli utenti che usano per installare applicazioni da più origini, ad esempio Intune, Microsoft Store e Configuration Manager. Gli utenti usano anche l'app Portale aziendale per sincronizzare il dispositivo con Intune, controllare lo stato di conformità e così via.

    Per distribuire Portale aziendale in base alle esigenze, vedi Aggiungere e assegnare l'app windows Portale aziendale per Intune dispositivi gestiti.

  • App di Microsoft Store (Whiteboard)
    Anche se Intune possono distribuire un'ampia gamma di app, viene distribuita un'app dello Store (Microsoft Whiteboard) per semplificare questa guida. Seguire la procedura descritta in Aggiungere app di Microsoft Store a Microsoft Intune per installare Microsoft Whiteboard.

Fase 2: creare un endpoint Windows nativo del cloud

Fase 2.

Per compilare il primo endpoint Windows nativo del cloud, usare la stessa macchina virtuale o lo stesso dispositivo fisico raccolto e quindi caricare l'hash hardware nel servizio Windows Autopilot nel passaggio 3 della fase 1>. Con questo dispositivo, passare attraverso il processo di Windows Autopilot.

  1. Riprendere (o reimpostare se necessario) il PC Windows in Configurazione guidata.

    Nota

    Se viene richiesto di scegliere la configurazione per personale o un'organizzazione, il processo Autopilot non è stato attivato. In questo caso, riavviare il dispositivo e assicurarsi che abbia accesso a Internet. Se ancora non funziona, provare a reimpostare il PC o reinstallare Windows.

  2. Accedere con credenziali Microsoft Entra (UPN o AzureAD\username).

  3. La pagina dello stato della registrazione mostra lo stato della configurazione del dispositivo.

Congratulazioni! È stato effettuato il provisioning del primo endpoint Windows nativo del cloud.

Alcuni elementi da estrarre nel nuovo endpoint windows nativo del cloud:

  • Le cartelle di OneDrive vengono reindirizzate. All'apertura di Outlook, viene configurato automaticamente per la connessione a Office 365.

  • Aprire l'app Portale aziendale dal menu Start e notare che Microsoft Whiteboard è disponibile per l'installazione.

  • Provare a testare l'accesso dal dispositivo alle risorse locali, ad esempio condivisioni file, stampanti e siti Intranet.

    Nota

    Se non è stato configurato Windows Hello for Business ibrido, potrebbe essere richiesto agli accessi Windows Hello di immettere le password per accedere alle risorse locali. Per continuare a testare l'accesso Single Sign-On, è possibile configurare Windows Hello for Business ibrido o l'accesso al dispositivo con nome utente e password anziché Windows Hello. A tale scopo, selezionare l'icona a forma di chiave nella schermata di accesso.

Fase 3: proteggere l'endpoint windows nativo del cloud

Fase 3.

Questa fase è progettata per semplificare la compilazione delle impostazioni di sicurezza per l'organizzazione. Questa sezione richiama l'attenzione sui vari componenti di Endpoint Security in Microsoft Intune tra cui:

Microsoft Defender Antivirus (MDAV)

Le impostazioni seguenti sono consigliate come configurazione minima per Microsoft Defender Antivirus, un componente del sistema operativo predefinito di Windows. Queste impostazioni non richiedono alcun contratto di licenza specifico, ad esempio E3 o E5, e possono essere abilitate nell'interfaccia di amministrazione Microsoft Intune. Nell'interfaccia di amministrazione passare a Endpoint SecurityAntivirus Create PolicyWindows e versioni successiveProfile typeMicrosoft Defender Antivirus.In the admin center, go to Endpoint Security >Antivirus>Create Policy> Windows and later > Profile type = Microsoft Defender Antivirus.

Cloud Protection:

  • Attivare la protezione fornita dal cloud:
  • Livello di protezione fornito dal cloud: non configurato
  • Timeout esteso di Defender Cloud in secondi: 50

Protezione in tempo reale:

  • Attivare la protezione in tempo reale:
  • Abilita per la protezione dall'accesso:
  • Monitoraggio per i file in ingresso e in uscita: monitorare tutti i file
  • Attivare il monitoraggio del comportamento:
  • Attivare la prevenzione delle intrusioni:
  • Abilitare la protezione di rete: Abilita
  • Analizzare tutti i file e gli allegati scaricati:
  • Analizzare gli script usati nei browser Microsoft:
  • Analizzare i file di rete: non configurati
  • Analizzare i messaggi di posta elettronica:

Correzione:

  • Numero di giorni (da 0 a 90) per mantenere il malware in quarantena: 30
  • Inviare il consenso per gli esempi: inviare automaticamente campioni sicuri
  • Azione da eseguire su app potenzialmente indesiderate: Abilitare
  • Azioni per le minacce rilevate: Configurare
    • Minaccia bassa: quarantena
    • Minaccia moderata: quarantena
    • Minaccia elevata: quarantena
    • Grave minaccia: quarantena

Impostazioni configurate nel profilo MDAV in Endpoint Security:

Screenshot che mostra un esempio di un profilo antivirus Microsoft Defender in Microsoft Intune.

Per altre informazioni sulla configurazione Windows Defender, tra cui Microsoft Defender per endpoint per la licenza del cliente per E3 ed E5, vedere:

Microsoft Defender Firewall

Usare Endpoint Security in Microsoft Intune per configurare le regole del firewall e del firewall. Per altre informazioni, vedere Criteri del firewall per la sicurezza degli endpoint in Intune.

Microsoft Defender Firewall è in grado di rilevare una rete attendibile usando il CSP NetworkListManager. Inoltre, può passare al profilo del firewall di dominio negli endpoint che eseguono le versioni del sistema operativo seguenti:

L'uso del profilo di rete di dominio consente di separare le regole del firewall in base a una rete attendibile, una rete privata e una rete pubblica. Queste impostazioni possono essere applicate usando un profilo personalizzato di Windows.

Nota

Microsoft Entra endpoint aggiunti non possono sfruttare LDAP per rilevare una connessione di dominio allo stesso modo degli endpoint aggiunti a un dominio. Usare invece il provider di servizi di configurazione NetworkListManager per specificare un endpoint TLS che, quando accessibile, passerà l'endpoint al profilo del firewall di dominio .

Crittografia BitLocker

Usare Endpoint Security in Microsoft Intune per configurare la crittografia con BitLocker.

Queste impostazioni possono essere abilitate nell'interfaccia di amministrazione Microsoft Intune. Nell'interfaccia di amministrazione passare aEndpoint Security Disk encryptionCreate PolicyWindows (Crea criteri) e in un secondo momentoProfile BitLocker .In the admin center, go to Endpoint Security> Disk encryption >Create Policy> Windows and later >Profile = BitLocker.

Quando si configurano le impostazioni di BitLocker seguenti, abilitano automaticamente la crittografia a 128 bit per gli utenti standard, ovvero uno scenario comune. Tuttavia, l'organizzazione potrebbe avere requisiti di sicurezza diversi, quindi usare la documentazione di BitLocker per altre impostazioni.

BitLocker - Impostazioni di base:

  • Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse:
  • Richiedi la crittografia delle schede di archiviazione (solo per dispositivi mobili): non configurata
  • Nascondi richiesta di crittografia di terze parti:
    • Consentire agli utenti standard di abilitare la crittografia durante Autopilot:
  • Configurare la rotazione delle password di ripristino guidate dal client: abilitare la rotazione nei dispositivi aggiunti ad Azure AD

BitLocker - Impostazioni fisse dell'unità:

  • Criteri di unità fissa BitLocker: Configurare
  • Correzione del ripristino dell'unità: Configurare
    • Creazione del file di chiave di ripristino: bloccato
    • Configurare il pacchetto di ripristino di BitLocker: password e chiave
    • Richiedere al dispositivo di eseguire il backup delle informazioni di ripristino in Azure AD:
    • Creazione della password di ripristino: consentita
    • Nascondere le opzioni di ripristino durante l'installazione di BitLocker: non configurata
    • Abilitare BitLocker dopo l'archiviazione delle informazioni di ripristino: Non configurato
    • Bloccare l'uso dell'agente di recupero dati basato su certificato: non configurato
    • Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker: non configurato
    • Configurare il metodo di crittografia per unità dati fisse: non configurato

BitLocker - Impostazioni unità del sistema operativo:

  • Criterio unità di sistema BitLocker: Configurare
    • Autenticazione di avvio necessaria:
    • Avvio TPM compatibile: obbligatorio
    • PIN di avvio TPM compatibile: Blocca
    • Chiave di avvio TPM compatibile: Blocca
    • Chiave di avvio TPM compatibile e PIN: Blocca
    • Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile: non configurato
    • Abilitare il messaggio e l'URL di ripristino di preavavimento: Non configurato
  • Ripristino dell'unità di sistema: Configurare
    • Creazione del file di chiave di ripristino: bloccato
    • Configurare il pacchetto di ripristino di BitLocker: password e chiave
    • Richiedere al dispositivo di eseguire il backup delle informazioni di ripristino in Azure AD:
    • Creazione della password di ripristino: consentita
    • Nascondere le opzioni di ripristino durante l'installazione di BitLocker: non configurata
    • Abilitare BitLocker dopo l'archiviazione delle informazioni di ripristino: Non configurato
    • Bloccare l'uso dell'agente di recupero dati basato su certificato: non configurato
    • Lunghezza minima PIN: lasciare vuoto
    • Configurare il metodo di crittografia per le unità del sistema operativo: non configurato

BitLocker - Impostazioni unità rimovibili:

  • Criterio unità rimovibile BitLocker: Configurare
    • Configurare il metodo di crittografia per unità dati rimovibili: non configurato
    • Blocca l'accesso in scrittura alle unità dati rimovibili non protette da BitLocker: non configurato
    • Bloccare l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione: Non configurato

Windows Local Administrator Password Solution (LAPS)

Per impostazione predefinita, l'account amministratore locale predefinito (noto SID S-1-5-500) è disabilitato. Esistono alcuni scenari in cui un account amministratore locale può essere utile, ad esempio la risoluzione dei problemi, il supporto degli utenti finali e il ripristino dei dispositivi. Se si decide di abilitare l'account amministratore predefinito o di creare un nuovo account amministratore locale, è importante proteggere la password per tale account.

Windows Local Administrator Password Solution (LAPS) è una delle funzionalità che è possibile usare per archiviare in modo casuale e archiviare in modo sicuro la password in Microsoft Entra. Se si usa Intune come servizio MDM, seguire questa procedura per abilitare Windows LAPS.

Importante

Windows LAPS presuppone che l'account amministratore locale predefinito sia abilitato, anche se è stato rinominato o se si crea un altro account amministratore locale. Windows LAPS non crea o abilita automaticamente account locali.

È necessario creare o abilitare gli account locali separatamente dalla configurazione di Windows LAPS. È possibile creare script per questa attività o usare i provider di servizi di configurazione , ad esempio il provider di servizi di configurazione account o il provider di servizi di configurazione dei criteri.

  1. Assicurarsi che nei dispositivi Windows 10 (20H2 o versioni successive) o Windows 11 sia installato l'aggiornamento della sicurezza di aprile 2023 (o versione successiva).

    Per altre informazioni, vedere Microsoft Entra aggiornamenti del sistema operativo.

  2. Abilitare Windows LAPS in Microsoft Entra:

    1. Accedere a Microsoft Entra.
    2. Per l'impostazione Abilita la soluzione LAPS (Local Administrator Password Solution), selezionare >Salva (nella parte superiore della pagina).

    Per altre informazioni, vedere Abilitazione di Windows LAPS con Microsoft Entra.

  3. In Intune creare un criterio di sicurezza degli endpoint:

    1. Accedere all'interfaccia di amministrazione Microsoft Intune.
    2. Selezionare Endpoint SecurityAccount Protection>Create Policy> Windows 10 and laterLocal admin password solution (Windows LAPS)Create (Soluzione per la creazione di criteri per gli account di sicurezza> degli endpoint Windows 10 e versioni successive> Local admin password solution (Windows LAPS)>Create(Crea).

    Per altre informazioni, vedere Creare un criterio LAPS in Intune.

Baseline di sicurezza

È possibile usare le baseline di sicurezza per applicare un set di configurazioni note per aumentare la sicurezza di un endpoint di Windows. Per altre informazioni sulle baseline di sicurezza, vedere Impostazioni della baseline di sicurezza MDM di Windows per Intune.

Le baseline possono essere applicate usando le impostazioni suggerite e personalizzate in base alle esigenze. Alcune impostazioni all'interno delle baseline potrebbero causare risultati imprevisti o essere incompatibili con le app e i servizi in esecuzione negli endpoint di Windows. Di conseguenza, le baseline devono essere testate in isolamento. Applicare la baseline solo a un gruppo selettivo di endpoint di test senza altri profili di configurazione o impostazioni.

Problemi noti delle baseline di sicurezza

Le impostazioni seguenti nella baseline di sicurezza di Windows possono causare problemi con Windows Autopilot o il tentativo di installare le app come utente standard:

  • Opzioni di sicurezza dei criteri locali\Comportamento del prompt dell'elevazione dell'amministratore (impostazione predefinita = Richiedi consenso sul desktop protetto)
  • Comportamento della richiesta di elevazione degli utenti standard (impostazione predefinita = Nega automaticamente le richieste di elevazione dei privilegi)

Per altre informazioni, vedere Conflitti dei criteri di Windows Autopilot.

Windows Update per le aziende

Windows Update for Business è la tecnologia cloud per il controllo di come e quando vengono installati gli aggiornamenti nei dispositivi. In Intune è possibile configurare Windows Update for Business usando:

Per altre informazioni, vedere:

Se vuoi un controllo più granulare per Windows Aggiornamenti e usi Configuration Manager, prendi in considerazione la co-gestione.

Fase 4: applicare personalizzazioni ed esaminare la configurazione locale

Fase 4.

In questa fase si applicano le impostazioni specifiche dell'organizzazione, le app e si esamina la configurazione locale. La fase consente di creare eventuali personalizzazioni specifiche dell'organizzazione. Si noti che i vari componenti di Windows consentono di esaminare le configurazioni esistenti da un ambiente AD Criteri di gruppo locale e di applicarle agli endpoint nativi del cloud. Sono disponibili sezioni per ognuna delle aree seguenti:

Microsoft Edge

Distribuzione di Microsoft Edge

Microsoft Edge è incluso nei dispositivi che eseguono:

  • Windows 11
  • Windows 10 20H2 o versioni successive
  • Windows 10 1803 o versione successiva, con l'aggiornamento cumulativo della sicurezza mensile di maggio 2021 o versione successiva

Dopo l'accesso degli utenti, Microsoft Edge viene aggiornato automaticamente. Per attivare un aggiornamento per Microsoft Edge durante la distribuzione, è possibile eseguire il comando seguente:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Per distribuire Microsoft Edge nelle versioni precedenti di Windows, passare ad Aggiungi Microsoft Edge per Windows a Microsoft Intune.

Configurazione di Microsoft Edge

Due componenti dell'esperienza microsoft edge, che si applicano quando gli utenti accedono con le proprie credenziali di Microsoft 365, possono essere configurati dal centro Amministrazione Microsoft 365.

  • Il logo della pagina iniziale in Microsoft Edge può essere personalizzato configurando la sezione Organizzazione all'interno del interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere Personalizzare il tema di Microsoft 365 per l'organizzazione.

  • La nuova esperienza di pagina delle schede predefinita in Microsoft Edge include informazioni Office 365 e notizie personalizzate. La modalità di visualizzazione di questa pagina può essere personalizzata dalla interfaccia di amministrazione di Microsoft 365 nella pagina Impostazioni>impostazioni> organizzazioneNotizie>nuova scheda di Microsoft Edge.

È anche possibile impostare altre impostazioni per Microsoft Edge usando i profili del catalogo delle impostazioni. Ad esempio, è possibile configurare impostazioni di sincronizzazione specifiche per l'organizzazione.

  • Microsoft Edge
    • Configurare l'elenco dei tipi esclusi dalla sincronizzazione : password

Layout start e barra delle applicazioni

È possibile personalizzare e impostare un layout standard di avvio e barra delle applicazioni usando Intune.

Catalogo delle impostazioni

Il catalogo delle impostazioni è un'unica posizione in cui sono elencate tutte le impostazioni configurabili di Windows. Questa funzionalità semplifica la creazione di un criterio e la visualizzazione di tutte le impostazioni disponibili. Per altre informazioni, vedere Creare un criterio usando il catalogo delle impostazioni in Microsoft Intune.

Nota

  • Alcune impostazioni potrebbero non essere disponibili nel catalogo, ma sono disponibili in Modelli per Intune profili di configurazione del dispositivo.

  • Molte delle impostazioni che si hanno familiarità con Criteri di gruppo sono già disponibili nel catalogo delle impostazioni. Per altre informazioni, vedere La più recente delle impostazioni di Criteri di gruppo parità in Mobile Gestione dispositivi.

  • Se si intende sfruttare i modelli ADMX o il catalogo delle impostazioni (scelta consigliata), assicurarsi di aggiornare i dispositivi con l'aggiornamento "Patch Tuesday" di settembre 2021 (KB5005565) per Windows 10 versioni 2004 e successive. Questo aggiornamento mensile include KB5005101 che porta oltre 1.400 impostazioni di Criteri di gruppo in MDM. Se non si applica questo aggiornamento, verrà visualizzato un messaggio "Non applicabile" insieme all'impostazione nell'interfaccia di amministrazione Intune. Sebbene inizialmente sia applicabile solo alle versioni Enterprise ed Edu di Windows, a partire da maggio 2022, queste impostazioni aggiuntive ora funzionano anche nelle versioni Pro di Windows 10/11. Se si usano le versioni Pro di Windows 10/11, assicurarsi di installare KB5013942 o versioni successive in Windows 10 e KB5013943 o versioni successive in Windows 11 come indicato in The latest in Criteri di gruppo settings parity in Mobile Gestione dispositivi.If using the Pro versions of Windows 10/11, ensure that you install KB5013942 or later on Windows 10 and KB5013943 or later on Windows 11 as mentioned in The latest in Criteri di gruppo settings parity in Mobile Gestione dispositivi.

Di seguito sono riportate alcune impostazioni disponibili nel catalogo delle impostazioni che potrebbero essere rilevanti per l'organizzazione:

  • Dominio tenant preferito di Azure Active Directory
    Questa impostazione configura il nome di dominio tenant preferito da aggiungere al nome utente di un utente. Un dominio tenant preferito consente agli utenti di accedere agli endpoint Microsoft Entra con solo il nome utente anziché l'intero UPN, purché il nome di dominio dell'utente corrisponda al dominio tenant preferito. Per gli utenti con nomi di dominio diversi, possono digitare l'intero UPN.

    L'impostazione è disponibile in:

    • Autenticazione
      • Nome di dominio tenant AAD preferito: specificare il nome di dominio, ad esempio contoso.onmicrosoft.com.

  • Contenuti in evidenza di Windows
    Per impostazione predefinita, sono abilitate diverse funzionalità consumer di Windows, che comportano l'installazione di app dello Store selezionate e suggerimenti di terze parti nella schermata di blocco. È possibile controllarlo usando la sezione Esperienza del catalogo delle impostazioni.

    • Funzionalità
      • Consenti funzionalità consumer di Windows - Blocco
      • Consenti suggerimenti di terze parti in Evidenza di Windows (utente) - Blocca

  • Microsoft Store
    Le organizzazioni in genere vogliono limitare le applicazioni che possono essere installate negli endpoint. Usare questa impostazione se l'organizzazione vuole controllare quali applicazioni possono essere installate da Microsoft Store. Questa impostazione impedisce agli utenti di installare applicazioni a meno che non siano approvate.

  • Block Gaming
    Le organizzazioni potrebbero preferire che gli endpoint aziendali non possano essere usati per giocare. La pagina Giochi all'interno dell'app Impostazioni può essere nascosta interamente usando l'impostazione seguente. Per altre informazioni sulla visibilità della pagina delle impostazioni, vedere la documentazione di CSP e il riferimento allo schema URI ms-settings.

    • Impostazioni
      • Page Visibility List – hide:gaming-gamebar; gioco-gamedvr; gioco-trasmissione; gaming-gamemode; gioco-trueplay; gioco-xboxnetworking; quietmomentsgame

  • Controllare la visibilità dell'icona chat nella barra delle applicazioni La visibilità dell'icona Chat nella barra delle applicazioni Windows 11 può essere controllata tramite il provider di servizi di configurazione criteri.

    • Funzionalità
      • Icona Configura chat - Disabilitato

  • Controllare a quali tenant il client desktop di Teams può accedere

    Quando questo criterio è configurato in un dispositivo, gli utenti possono accedere solo con gli account ospitati in un tenant Microsoft Entra incluso nell'"Elenco di autorizzazioni tenant" definito in questo criterio. "Elenco tenant consentiti" è un elenco delimitato da virgole di ID tenant Microsoft Entra. Specificando questo criterio e definendo un tenant Microsoft Entra, si blocca anche l'accesso a Teams per uso personale. Per altre informazioni, vedere Come limitare l'accesso ai dispositivi desktop.

    • Modelli amministrativi \ Microsoft Teams
      • Limitare l'accesso a Teams agli account in tenant specifici (utente) - Abilitato

Restrizioni del dispositivo

I modelli di restrizioni dei dispositivi Windows contengono molte delle impostazioni necessarie per proteggere e gestire un endpoint di Windows usando i provider di servizi di configurazione di Windows. Più di queste impostazioni saranno rese disponibili nel catalogo delle impostazioni nel tempo. Per altre informazioni, vedere Restrizioni del dispositivo.

Per creare un profilo che usa il modello Restrizioni del dispositivo, nell'interfaccia di amministrazione Microsoft Intune passare aConfigurazione>dispositivi>Crea> Selezionare Windows 10 e versioni successive per o Piattaforma e modelli per il tipo di> profiloRestrizioni del dispositivo.

  • URL immagine di sfondo del desktop (solo desktop)
    Usa questa impostazione per impostare uno sfondo in SKU Windows Enterprise o Windows Education. Il file viene ospitato online o si fa riferimento a un file copiato localmente. Per configurare questa impostazione, nella scheda Impostazioni di configurazione del profilo Restrizioni del dispositivo espandere Personalizzazione e configurare l'URL dell'immagine di sfondo del desktop (solo desktop).

  • Richiedere agli utenti di connettersi a una rete durante la configurazione del dispositivo
    Questa impostazione riduce il rischio che un dispositivo possa ignorare Windows Autopilot se il computer viene reimpostato. Questa impostazione richiede che i dispositivi dispongano di una connessione di rete durante la fase di esperienza predefinita. Per configurare questa impostazione, nella scheda Impostazioni di configurazione del profilo Restrizioni del dispositivo espandere Generale e configurare Richiedi agli utenti di connettersi alla rete durante l'installazione del dispositivo.

    Nota

    L'impostazione diventa effettiva alla successiva cancellazione o reimpostazione del dispositivo.

Ottimizzazione recapito

Ottimizzazione recapito viene usato per ridurre il consumo di larghezza di banda condividendo il lavoro di download dei pacchetti supportati tra più endpoint. Ottimizzazione recapito è una cache distribuita auto-organizzativa che consente ai client di scaricare tali pacchetti da origini alternative, ad esempio peer in rete. Queste origini peer integrano i tradizionali server basati su Internet. Puoi scoprire tutte le impostazioni disponibili per Ottimizzazione recapito e quali tipi di download sono supportati in Ottimizzazione recapito per gli aggiornamenti di Windows.

Per applicare le impostazioni di Ottimizzazione recapito, creare un profilo di ottimizzazione recapito Intune o un profilo del catalogo delle impostazioni.

Alcune impostazioni comunemente usate dalle organizzazioni sono:

  • Limita selezione peer- Subnet. Questa impostazione limita la memorizzazione nella cache peer ai computer nella stessa subnet.
  • ID gruppo. I client di Ottimizzazione recapito possono essere configurati in modo da condividere solo il contenuto con i dispositivi dello stesso gruppo. Gli ID di gruppo possono essere configurati direttamente inviando un GUID tramite criteri o usando le opzioni DHCP negli ambiti DHCP.

I clienti che usano Microsoft Configuration Manager possono distribuire server cache connessi che possono essere usati per ospitare il contenuto di Ottimizzazione recapito. Per altre informazioni, vedere Microsoft Connected Cache in Configuration Manager.

Amministratori locali

Se è presente un solo gruppo di utenti che richiede l'accesso dell'amministratore locale a tutti i dispositivi Windows aggiunti Microsoft Entra, è possibile aggiungerli all'amministratore locale del dispositivo aggiunto Microsoft Entra.

Potrebbe essere necessario che l'helpdesk IT o altro personale di supporto disponga dei diritti di amministratore locale in un gruppo selezionato di dispositivi. Con Windows 2004 o versioni successive, è possibile soddisfare questo requisito usando i provider di servizi di configurazione (CSP) seguenti.

Per altre informazioni, vedere Come gestire il gruppo di amministratori locali nei dispositivi aggiunti Microsoft Entra

migrazione delle impostazioni da Criteri di gruppo a MDM

Esistono diverse opzioni per la creazione della configurazione del dispositivo quando si valuta una migrazione da Criteri di gruppo alla gestione dei dispositivi nativa del cloud:

  • Iniziare da zero e applicare le impostazioni personalizzate in base alle esigenze.
  • Esaminare i criteri di gruppo esistenti e applicare le impostazioni necessarie. È possibile usare strumenti utili, ad esempio l'analisi Criteri di gruppo.
  • Usare Criteri di gruppo analytics per creare profili di configurazione del dispositivo direttamente per le impostazioni supportate.

La transizione a un endpoint Windows nativo del cloud rappresenta un'opportunità per esaminare i requisiti di elaborazione degli utenti finali e stabilire una nuova configurazione per il futuro. Quando possibile, iniziare da zero con un set minimo di criteri. Evitare di portare avanti impostazioni non necessarie o legacy da un ambiente aggiunto a un dominio o da sistemi operativi precedenti, ad esempio Windows 7 o Windows XP.

Per iniziare, esaminare i requisiti correnti e implementare una raccolta minima di impostazioni per soddisfare questi requisiti. I requisiti possono includere impostazioni e impostazioni di sicurezza normative o obbligatorie per migliorare l'esperienza dell'utente finale. L'azienda crea un elenco di requisiti, non IT. Ogni impostazione deve essere documentata, compresa e deve avere uno scopo.

La migrazione delle impostazioni da Criteri di gruppo esistenti a MDM (Microsoft Intune) non è l'approccio preferito. Quando si passa a Windows nativo del cloud, l'intenzione non dovrebbe essere quella di spostare e spostare le impostazioni di Criteri di gruppo esistenti. Considerare invece il gruppo di destinatari e le impostazioni necessarie. È necessario molto tempo e probabilmente non è pratico esaminare ogni impostazione di criteri di gruppo nell'ambiente per determinarne la rilevanza e la compatibilità con un dispositivo gestito moderno. Evitare di provare a valutare ogni criterio di gruppo e ogni singola impostazione. Concentrarsi invece sulla valutazione dei criteri comuni che coprono la maggior parte dei dispositivi e degli scenari.

Identificare invece le impostazioni di Criteri di gruppo obbligatorie ed esaminare tali impostazioni rispetto alle impostazioni MDM disponibili. Eventuali gap rappresentano blocchi che possono impedire di procedere con un dispositivo nativo del cloud se non risolto. Strumenti come l'analisi Criteri di gruppo possono essere usati per analizzare le impostazioni dei criteri di gruppo e determinare se è possibile eseguirne o meno la migrazione ai criteri MDM.

Script

È possibile usare script di PowerShell per qualsiasi impostazione o personalizzazione che è necessario configurare all'esterno dei profili di configurazione predefiniti. Per altre informazioni, vedere Aggiungere script di PowerShell ai dispositivi Windows in Microsoft Intune.

Mapping di unità e stampanti di rete

Gli scenari nativi del cloud non hanno una soluzione predefinita per le unità di rete mappate. È invece consigliabile eseguire la migrazione degli utenti a Teams, SharePoint e OneDrive for Business. Se la migrazione non è possibile, prendere in considerazione l'uso di script, se necessario.

Per l'archiviazione personale, nel passaggio 8 - Configurare le impostazioni per un'esperienza ottimale di Microsoft 365, è stato configurato lo spostamento della cartella nota di OneDrive. Per altre informazioni, vedere Reindirizzare cartelle note.

Per l'archiviazione dei documenti, gli utenti possono anche trarre vantaggio dall'integrazione di SharePoint con Esplora file e dalla possibilità di sincronizzare le raccolte in locale, come indicato qui: Sincronizzare i file di SharePoint e Teams con il computer.

Se si usano modelli di documento di Office aziendali, che in genere si trovano nei server interni, considerare l'equivalente più nuovo basato sul cloud che consente agli utenti di accedere ai modelli da qualsiasi posizione.

Per le soluzioni di stampa, prendere in considerazione la stampa universale. Per altre informazioni, vedere:

Applicazioni

Intune supporta la distribuzione di molti tipi di applicazioni Windows diversi.

Se si dispone di applicazioni che usano programmi di installazione msi, exe o script, è possibile distribuire tutte queste applicazioni usando la gestione delle app Win32 in Microsoft Intune. Il wrapping di questi programmi di installazione nel formato Win32 offre maggiore flessibilità e vantaggi, tra cui notifiche, ottimizzazione del recapito, dipendenze, regole di rilevamento e supporto per la pagina stato della registrazione in Windows Autopilot.

Nota

Per evitare conflitti durante l'installazione, è consigliabile usare esclusivamente le funzionalità delle app line-of-business di Windows o delle app Win32. Se si dispone di applicazioni in pacchetto come .msi o .exe, è possibile convertirle in app Win32 (.intunewin) usando lo strumento di preparazione del contenuto Microsoft Win32, disponibile da GitHub.

Fase 5: distribuire su larga scala con Windows Autopilot

Fase 5.

Ora che è stato configurato l'endpoint di Windows nativo del cloud e ne è stato eseguito il provisioning con Windows Autopilot, valutare come importare più dispositivi. Si consideri anche come collaborare con il partner o il fornitore di hardware per iniziare a effettuare il provisioning di nuovi endpoint dal cloud. Esaminare le risorse seguenti per determinare l'approccio migliore per l'organizzazione.

Se per qualche motivo Windows Autopilot non è l'opzione giusta per te, esistono altri metodi di registrazione per Windows. Per altre informazioni, vedere Intune metodi di registrazione per i dispositivi Windows.

Seguire le indicazioni per gli endpoint nativi del cloud

  1. Panoramica: Che cosa sono gli endpoint nativi del cloud?
  2. 🡺 Esercitazione: Introduzione agli endpoint di Windows nativi del cloud (disponibile qui)
  3. Concetto: Microsoft Entra aggiunto a un Microsoft Entra ibrido
  4. Concetto: endpoint nativi del cloud e risorse locali
  5. Guida alla pianificazione di alto livello
  6. Problemi noti e informazioni importanti

Risorse online utili