Assegnare criteri in Microsoft Intune
Quando si crea un criterio di Intune, include tutte le impostazioni aggiunte e configurate all'interno del criterio. Quando il criterio è pronto per la distribuzione, il passaggio successivo consiste nell'"assegnare" i criteri ai gruppi di utenti o dispositivi. Quando si assegna il criterio, gli utenti e i dispositivi ricevono il criterio e le impostazioni inserite vengono applicate.
In Intune è possibile creare e assegnare i criteri seguenti:
- Criteri di protezione delle app
- Criteri di configurazione delle app
- Criteri di conformità
- Criteri di accesso condizionale
- Profili di configurazione dei dispositivi
- Criteri di registrazione
Questo articolo mostra come assegnare un criterio, include alcune informazioni sull'uso dei tag di ambito, descrive quando assegnare i criteri a gruppi di utenti o gruppi di dispositivi e altro ancora.
Prima di iniziare
Assicurarsi di avere il ruolo corretto in grado di assegnare criteri e profili. Per altre informazioni vedere Controllo degli accessi in base al ruolo (RBAC) con Microsoft Intune.
Provare a usare Microsoft Copilot in Intune. Alcuni vantaggi includono:
- Quando si crea un criterio e si configurano le impostazioni, Copilot fornisce maggiori informazioni su ciascuna impostazione, può consigliare un valore e individuare potenziali conflitti.
- Quando si assegna un criterio, Copilot può indicare i gruppi a cui il criterio è assegnato e aiutare a capire l'effetto del criterio.
Per altre informazioni, vedere Microsoft Copilot in Intune.
Assegnare criteri a utenti o gruppi
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Gestisci dispositivi>Configurazione. Tutti i profili sono elencati.
Selezionare il profilo da assegnare >Propietà>Assegnazioni>Modifica:
Ad esempio, per assegnare un profilo di configurazione del dispositivo:
Passare a Dispositivi>Gestisci dispositivi>Configurazione. Tutti i profili sono elencati.
Selezionare il criterio da assegnare >Proprietà>Assegnazioni>Modifica:
In Gruppi inclusi o Gruppi esclusi scegliere Aggiungi gruppi per selezionare uno o più gruppi di Microsoft Entra. Se si intende distribuire i criteri in modo ampio in tutti i dispositivi applicabili, selezionare Aggiungi tutti gli utenti o Aggiungi tutti i dispositivi.
Nota
Se si seleziona "Tutti i dispositivi" e "Tutti gli utenti", l'opzione per aggiungere altri gruppi di Microsoft Entra viene disabilitata.
Selezionare Rivedi e salva. Questo passaggio non assegna i criteri.
Selezionare Salva. Quando si salva, il criterio viene assegnato. I gruppi riceveranno le impostazioni del profilo quando i dispositivi eseguiranno l'accesso con il servizio Intune.
Funzionalità di assegnazione che è necessario conoscere e usare
Usare Filtri per assegnare un criterio in base alle regole create. È possibile creare filtri per:
- Criteri di configurazione delle app
- Criteri di protezione delle app
- Assegnazioni di app
- Criteri di conformità
- Profili di configurazione del dispositivo
Per altre informazioni, vedere:
I set di criteri creano un gruppo o una raccolta di app e criteri esistenti. Quando viene creato il set di criteri, è possibile assegnare il set di criteri da un'unica posizione nell'interfaccia di amministrazione di Microsoft Intune.
Per altre informazioni, vedere Usare set di criteri per raggruppare raccolte di oggetti di gestione in Microsoft Intune.
I tag di ambito sono un ottimo modo per filtrare i criteri in base a gruppi specifici, ad esempio
US-NC IT TeamoJohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'IT distribuito.Nei dispositivi Windows 10/11 è possibile aggiungere regole di applicabilità in modo che i criteri si applichino solo a una versione specifica del sistema operativo o a una specifica edizione di Windows. Per altre informazioni, vedere Regole di applicabilità.
Gruppi di utenti e gruppi di dispositivi
Molti utenti chiedono quando usare i gruppi di utenti e quando usare i gruppi di dispositivi. La risposta dipende dall'obiettivo. Ecco alcune linee guida per iniziare.
Gruppi di dispositivi
Se si vogliono applicare le impostazioni a un dispositivo, indipendentemente dall'accesso, assegnare i criteri a un gruppo di dispositivi. Le impostazioni applicate ai gruppi di dispositivi vengono sempre trasferite al dispositivo, non all'utente.
Ad esempio:
I gruppi di dispositivi sono utili per gestire i dispositivi che non hanno un utente dedicato. Ad esempio, esistono dispositivi che stampano biglietti, scansionano l'inventario, sono condivisi dai lavoratori a turni, sono assegnati a un magazzino specifico e così via. Inserire questi dispositivi in un gruppo di dispositivi e assegnare i criteri a questo gruppo di dispositivi.
Si crea un profilo di Intune Device Firmware Configuration Interface (DFCI) che aggiorna le impostazioni nel BIOS. Ad esempio, si configura questo criterio per disabilitare la fotocamera del dispositivo o bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo. Questo criterio è un buon scenario da assegnare a un gruppo di dispositivi.
In alcuni dispositivi Windows specifici è sempre necessario controllare alcune impostazioni di Microsoft Edge, indipendentemente da chi usa il dispositivo. Ad esempio, si vuole bloccare tutti i download, limitare tutti i cookie alla sessione di esplorazione corrente ed eliminare la cronologia di esplorazione. Per questo scenario, inserire questi dispositivi Windows specifici in un gruppo di dispositivi. Creare quindi un Modello amministrativo in Intune, aggiungere queste impostazioni del dispositivo e quindi assegnare questo criterio al gruppo di dispositivi.
Per riepilogare, usare i gruppi di dispositivi quando non si è interessati a chi ha eseguito l'accesso al dispositivo o se qualcuno accede. Si vuole che le impostazioni siano sempre presenti nel dispositivo.
Gruppi di utenti
Le impostazioni dei criteri applicate ai gruppi di utenti vengono sempre applicate all'utente e vengono eseguite con l'utente quando si accede ai numerosi dispositivi. È normale che gli utenti dispongano di molti dispositivi, ad esempio Surface Pro aziendale e un dispositivo iOS/iPadOS personale. Inoltre, è normale per una persona accedere alla posta elettronica e ad altre risorse dell'organizzazione da questi dispositivi.
Se un utente ha più dispositivi nella stessa piattaforma, è possibile usare i filtri per l'assegnazione del gruppo. Ad esempio, un utente ha un dispositivo iOS/iPadOS personale e un iOS/iPadOS di proprietà dell'organizzazione. Quando si assegna un criterio per l'utente, è possibile usare i filtri solo per il dispositivo di proprietà dell'organizzazione.
Seguire questa regola generale: se una funzionalità appartiene a un utente, ad esempio i certificati di posta elettronica o utente, assegnarla ai gruppi di utenti.
Ad esempio:
Si vuole inserire un'icona Help Desk per tutti gli utenti in tutti i dispositivi. In questo scenario, inserire questi utenti in un gruppo di utenti e assegnare i criteri icona Help Desk a questo gruppo di utenti.
Un utente riceve un nuovo dispositivo di proprietà dell'organizzazione. L'utente accede al dispositivo con il proprio account di dominio. Il dispositivo viene registrato automaticamente in Microsoft Entra ID e gestito automaticamente da Intune. Questo criterio è un buon scenario da assegnare a un gruppo di utenti.
Ogni volta che un utente accede a un dispositivo, si vogliono controllare le funzionalità nelle app, ad esempio OneDrive o Office. In questo scenario assegnare le impostazioni dei criteri di OneDrive o Office a un gruppo di utenti.
Ad esempio, si vuole bloccare i controlli ActiveX non attendibili nelle app di Office. È possibile creare un Modello amministrativo in Intune, configurare questa impostazione e quindi assegnare questo criterio a un gruppo di utenti.
Per riepilogare, usare i gruppi di utenti quando si desidera che le impostazioni e le regole vengano sempre usate dall'utente, indipendentemente dal dispositivo usato.
Desktop virtuale Azure multi-sessione
È possibile utilizzare Intune per gestire i desktop remoti multi-sessione Windows creati con Desktop virtuale Azure, proprio come si gestisce qualsiasi altro dispositivo client Windows condiviso. Quando si assegnano criteri a gruppi di utenti o dispositivi, Desktop virtuale Azure multi-sessione è uno scenario speciale. Con le macchine virtuali, i CSP del dispositivo devono essere destinati ai gruppi di dispositivi. I CSP utente devono essere destinati ai gruppi di utenti.
Per altre informazioni, vedere Utilizzare Desktop virtuale Azure multi-sessione con Microsoft Intune.
CSP di Windows e relativo comportamento
Le impostazioni dei criteri per i dispositivi Windows si basano sui provider di servizi di configurazione (CSP). Queste impostazioni corrispondono a chiavi di registro o a file sui dispositivi.
Ecco cosa devi sapere sui CSP di Windows:
Intune espone i CSP in modo da poter configurare queste impostazioni e assegnarle ai dispositivi Windows. Queste impostazioni sono configurabili usando i modelli predefiniti e il catalogo delle impostazioni. Nel catalogo delle impostazioni, si nota che alcune impostazioni si applicano all'ambito utente e altre all'ambito dispositivo.
Per informazioni sulle modalità di applicazione delle impostazioni di ambito utente e di ambito dispositivo ai dispositivi Windows, consultate Catalogo delle impostazioni: Impostazioni dell'ambito del dispositivo e dell'ambito dell'utente.
Quando un criterio viene rimosso o non è più assegnato a un dispositivo, possono accadere diverse cose, a seconda delle impostazioni del criterio. Ogni CSP può gestire la rimozione dei criteri in modo diverso.
Ad esempio, un'impostazione potrebbe mantenere il valore esistente e non ripristinare un valore predefinito. Ogni CSP controlla il comportamento. Per un elenco dei provider dei CPS di Windows, vedere riferimento al provider di servizi di configurazione (CSP).
Per modificare un'impostazione in un valore diverso, creare un nuovo criterio, configurare l'impostazione su Non configurato e assegnare il criterio. Quando il criterio viene applicato al dispositivo, gli utenti devono avere il controllo di modificare l'impostazione al valore che preferiscono.
Quando si configurano queste impostazioni, si consiglia di distribuirle a un gruppo pilota. Per altri consigli per l'implementazione di Intune, vedere Creare un piano di implementazione.
Escludere gruppi da un'assegnazione di criteri
I criteri di configurazione dei dispositivi di Intune consentono di includere ed escludere i gruppi dall'assegnazione dei criteri.
Come procedura consigliata:
- Creare e assegnare criteri specifici per i gruppi di utenti. Usare i filtri per includere o escludere i dispositivi di tali utenti.
- Creare e assegnare criteri diversi in modo specifico per i gruppi di dispositivi.
Per altre informazioni sulla creazione dei gruppi, vedere Aggiungere gruppi per organizzare utenti e dispositivi.
Principi di inclusione ed esclusione dei gruppi
Quando si assegnano criteri, applicare i principi generali seguenti:
Considerare i Gruppi inclusi o Gruppi esclusi come punto di partenza per gli utenti e i dispositivi che riceveranno i criteri. Il gruppo Microsoft Entra è il gruppo di limitazione, quindi usare l'ambito del gruppo più piccolo possibile. Usare i filtri per limitare o perfezionare l'assegnazione dei criteri.
I gruppi di Microsoft Entra assegnati, noti anche come gruppi statici, possono essere aggiunti ai Gruppi inclusi o Gruppi esclusi.
In genere, i dispositivi vengono assegnati staticamente a un gruppo Microsoft Entra se sono pre-registrati in Microsoft Entra ID, come nel caso di Windows Autopilot. Oppure, se si desidera combinare i dispositivi per un'implementazione unica e ad hoc. Altrimenti, potrebbe non essere pratico assegnare staticamente i dispositivi a un gruppo Microsoft Entra.
I gruppi di utenti dinamici di Microsoft Entra possono essere aggiunti ai Gruppi inclusi o ai Gruppi esclusi.
I Gruppi esclusi possono essere gruppi con utenti o gruppi con dispositivi.
I gruppi di dispositivi Microsoft Entra dinamici possono essere aggiunti ai gruppi inclusi. Tuttavia, può verificarsi una latenza durante il popolamento dell'appartenenza dinamica al gruppo. Negli scenari sensibili alla latenza usare i filtri per i dispositivi specifici e assegnare i criteri ai gruppi di utenti.
Ad esempio, si desidera che i criteri vengano assegnati ai dispositivi non appena vengono registrati. In questa situazione sensibile alla latenza creare un filtro destinato ai dispositivi desiderati e assegnare i criteri con questo filtro ai gruppi di utenti. Non assegnare ai gruppi di dispositivi.
In uno scenario senza utente creare un filtro per i dispositivi desiderati e assegnare i criteri con il filtro al gruppo "Tutti i dispositivi".
Evitare di aggiungere gruppi di dispositivi Microsoft Entra dinamici ai Gruppi esclusi. La latenza nel calcolo dinamico del gruppo di dispositivi al momento dell'iscrizione può causare risultati indesiderati. Ad esempio, le app e i criteri indesiderati potrebbero essere distribuiti prima che l'appartenenza al gruppo escluso sia popolata.
Matrice di supporto
Utilizzate la seguente matrice per comprendere il supporto all'esclusione dei gruppi:
- ✔️: Supportato
- ❌: Non supportato
- ❕ : Parzialmente supportato
| Scenario | Supporto tecnico |
|---|---|
| 1 | ❕ Parzialmente supportato È supportata l'assegnazione di criteri a un gruppo di dispositivi dinamici escludendo un altro gruppo di dispositivi dinamici. Tuttavia, non è consigliabile in scenari sensibili alla latenza. Qualsiasi ritardo nel calcolo dell'appartenenza al gruppo di esclusione può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare i filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi.
Ad esempio, si dispone di un criterio del dispositivo assegnato a Tutti i dispositivi. In seguito, è necessario che i nuovi dispositivi di marketing non ricevano questo criterio. Si crea quindi un gruppo di dispositivi dinamico denominato Dispositivi di marketing in base alla proprietà enrollmentProfilename (device.enrollmentProfileName -eq "Marketing_devices"). Nei criteri si aggiunge il gruppo dinamico Dispositivi di marketing come gruppo escluso.
Un nuovo dispositivo di marketing si iscrive a Intune per la prima volta e viene creato un nuovo oggetto dispositivo Microsoft Entra. Il processo di raggruppamento dinamico inserisce il dispositivo nel gruppo dei Dispositivi di marketing con un eventuale calcolo ritardato. Allo stesso tempo, il dispositivo si registra in Intune e inizia a ricevere tutti i criteri applicabili. I criteri di Intune possono essere distribuiti prima che il dispositivo venga inserito nel gruppo di esclusione. Questo comportamento comporta la distribuzione di criteri (o app) indesiderati nel gruppo Dispositivi di marketing.
Di conseguenza, non è consigliabile usare gruppi di dispositivi dinamici per le esclusioni in scenari sensibili alla latenza. Usare invece ifiltri. |
| 2 | ✔️ Supportato È supportata l'assegnazione di un criterio a un gruppo di dispositivi dinamici escludendo un gruppo di dispositivi statici. |
| 3 | ❌ Non supportato L'assegnazione di un criterio a un gruppo di dispositivi dinamici escludendo i gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non vengono esclusi. |
| 4 | ❌ Non supportato L'assegnazione di un criterio a un gruppo di dispositivi dinamici e l'esclusione di gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non vengono esclusi. |
| 5 | ❕ Parzialmente supportato È supportata l'assegnazione di un criterio a un gruppo di dispositivi statici escludendo un gruppo di dispositivi dinamici. Tuttavia, non è consigliabile in scenari sensibili alla latenza. Qualsiasi ritardo nel calcolo dell'appartenenza al gruppo di esclusione può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare i filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi. |
| 6 | ✔️ Supportato È supportata l'assegnazione di un criterio a un gruppo di dispositivi statici e l'esclusione di un altro gruppo di dispositivi statici. |
| 7 | ❌ Non supportato L'assegnazione di un criterio a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non vengono esclusi. |
| 8 | ❌ Non supportato L'assegnazione di un criterio a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non vengono esclusi. |
| 9 | ❌ Non supportato L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non sono supportati. |
| 10 | ❌ Non supportato L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non sono supportati. |
| 11 | ✔️ Supportato È supportata l'assegnazione di un criterio a un gruppo di utenti dinamico escludendo altri gruppi di utenti (sia dinamici che statici). |
| 12 | ✔️ Supportato È supportata l'assegnazione di un criterio a un gruppo di utenti dinamico escludendo altri gruppi di utenti (sia dinamici che statici). |
| 13 | ❌ Non supportato L'assegnazione di un criterio a un gruppo di utenti statici escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata. |
| 14 | ❌ Non supportato L'assegnazione di un criterio a un gruppo di utenti statici escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata. |
| 15 | ✔️ È supportato È supportata l'assegnazione di un criterio a un gruppo di utenti statici escludendo altri gruppi di utenti (sia dinamici che statici). |
| 16 | ✔️ È supportato È supportata l'assegnazione di un criterio a un gruppo di utenti statici escludendo altri gruppi di utenti (sia dinamici che statici). |
Passaggi successivi
Per informazioni sul monitoraggio dei criteri e dei dispositivi che li eseguono, consultare la sezione Monitoraggio dei profili dei dispositivi.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per