Assegnare profili di configurazione utente e dispositivo in Microsoft Intune

Si crea un profilo di configurazione del dispositivo che include tutte le impostazioni immesse. Il passaggio successivo consiste nel distribuire o "assegnare" il profilo ai gruppi di utenti o dispositivi. Quando il profilo viene assegnato, gli utenti e i dispositivi lo ricevono e vengono applicate le impostazioni inserite.

Questo articolo illustra come assegnare un profilo e include alcune informazioni sull'uso dei tag di ambito nei profili di configurazione del dispositivo.

Per informazioni sui profili di configurazione dei dispositivi e su cosa è possibile configurare, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili di dispositivo in Microsoft Intune.

Nota

Quando un profilo viene rimosso o non è più assegnato a un dispositivo, possono verificarsi cose diverse, a seconda delle impostazioni nel profilo. Le impostazioni sono basate su CSP e ogni CSP può gestire la rimozione del profilo in modo diverso. Ad esempio, un'impostazione potrebbe mantenere il valore esistente e non ripristinare un valore predefinito. Il comportamento è controllato da ogni CSP nel sistema operativo. Per un elenco dei provider di servizi di configurazione di Windows, vedere informazioni di riferimento sul provider di servizi di configurazione (CSP).

Per modificare un'impostazione in un valore diverso, creare un nuovo profilo, configurare l'impostazione su Non configurato e assegnare il profilo. Una volta applicato al dispositivo, gli utenti devono avere il controllo per modificare l'impostazione sul valore preferito.

Quando si configurano queste impostazioni, è consigliabile eseguire la distribuzione in un gruppo pilota. Per altre Intune consigli per l'implementazione, vedere Creare un piano di implementazione.

Prima di iniziare

Assicurarsi di avere il ruolo corretto per assegnare i profili. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Assegnare un profilo di dispositivo

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare Dispositivi>Profili di configurazione. Tutti i profili sono elencati.

  3. Selezionare il profilo a cui si vuole assegnare >le assegnazioni delle> proprietà >Modifica:

    Screenshot che mostra come selezionare le assegnazioni per distribuire il profilo a utenti e gruppi in Microsoft Intune.

  4. Selezionare Gruppi inclusi o Gruppi esclusi e quindi selezionare Seleziona gruppi da includere. Quando si selezionano i gruppi, si sceglie un gruppo di Azure AD. Per selezionare più gruppi, tenere premuto CTRL e selezionare i gruppi.

    Screenshot che mostra come includere o escludere utenti e gruppi durante l'assegnazione o la distribuzione di un profilo in Microsoft Intune.

  5. Selezionare Rivedi e salva. Questo passaggio non assegna il profilo.

  6. Selezionare Salva. Quando si salva, viene assegnato il profilo. I gruppi riceveranno le impostazioni del profilo quando i dispositivi eseguiranno l'accesso con il servizio Intune.

Usare tag di ambito o regole di applicabilità

Quando si crea o si aggiorna un profilo, è anche possibile aggiungere tag di ambito e regole di applicabilità al profilo.

I tag di ambito sono un ottimo modo per filtrare i profili in gruppi specifici, ad US-NC IT Team esempio o JohnGlenn_ITDepartment. Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito include altre informazioni.

Nei dispositivi Windows 10/11 è possibile aggiungere regole di applicabilità in modo che il profilo si applichi solo a una versione specifica del sistema operativo o a una specifica edizione di Windows. Le regole di applicabilità contengono altre informazioni.

Gruppi di utenti e gruppi di dispositivi

Molti utenti chiedono quando usare i gruppi di utenti e quando usare i gruppi di dispositivi. La risposta dipende dall'obiettivo. Ecco alcune linee guida per iniziare.

Gruppi di dispositivi

Se si vogliono applicare le impostazioni in un dispositivo, indipendentemente da chi ha eseguito l'accesso, assegnare i profili a un gruppo di dispositivi. Le impostazioni applicate ai gruppi di dispositivi vanno sempre con il dispositivo, non con l'utente.

Ad esempio:

  • I gruppi di dispositivi sono utili per gestire i dispositivi che non hanno un utente dedicato. Ad esempio, si dispone di dispositivi che stampano ticket, analizzano l'inventario, sono condivisi dai turnisti, vengono assegnati a un magazzino specifico e così via. Inserire questi dispositivi in un gruppo di dispositivi e assegnare i profili a questo gruppo di dispositivi.

  • Si crea un profilo DFCI (Device Firmware Configuration Interface) Intune che aggiorna le impostazioni nel BIOS. Ad esempio, si configura questo profilo per disabilitare la fotocamera del dispositivo o bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo. Questo profilo è un buon scenario da assegnare a un gruppo di dispositivi.

  • In alcuni dispositivi Windows specifici, è sempre necessario controllare alcune impostazioni di Microsoft Edge, indipendentemente dall'utente che usa il dispositivo. Ad esempio, si vuole bloccare tutti i download, limitare tutti i cookie alla sessione di esplorazione corrente ed eliminare la cronologia di esplorazione. Per questo scenario, inserire questi dispositivi Windows specifici in un gruppo di dispositivi. Creare quindi un modello amministrativo in Intune, aggiungere queste impostazioni del dispositivo e quindi assegnare questo profilo al gruppo di dispositivi.

Per riepilogare, usare i gruppi di dispositivi quando non si è interessati a chi ha eseguito l'accesso al dispositivo o se qualcuno accede. Si vuole che le impostazioni siano sempre presenti nel dispositivo.

Gruppi di utenti

Le impostazioni del profilo applicate ai gruppi di utenti vanno sempre con l'utente e vengono eseguite con l'utente quando si accede ai numerosi dispositivi. È normale che gli utenti abbiano molti dispositivi, ad esempio un Surface Pro per lavoro e un dispositivo iOS/iPadOS personale. Inoltre, è normale per una persona accedere alla posta elettronica e ad altre risorse dell'organizzazione da questi dispositivi.

Se un utente ha più dispositivi nella stessa piattaforma, è possibile usare i filtri per l'assegnazione del gruppo. Ad esempio, un utente ha un dispositivo iOS/iPadOS personale e un iOS/iPadOS di proprietà dell'organizzazione. Quando si assegnano criteri per l'utente, è possibile usare i filtri solo per il dispositivo di proprietà dell'organizzazione.

Seguire questa regola generale: se una funzionalità appartiene a un utente, ad esempio i certificati di posta elettronica o utente, assegnarla ai gruppi di utenti.

Ad esempio:

  • Si vuole inserire un'icona help desk per tutti gli utenti in tutti i loro dispositivi. In questo scenario, inserire questi utenti in un gruppo di utenti e assegnare il profilo dell'icona help desk a questo gruppo di utenti.

  • Un utente riceve un nuovo dispositivo di proprietà dell'organizzazione. L'utente accede al dispositivo con il proprio account di dominio. Il dispositivo viene registrato automaticamente in Azure AD e gestito automaticamente da Intune. Questo profilo è un buon scenario da assegnare a un gruppo di utenti.

  • Ogni volta che un utente accede a un dispositivo, si vogliono controllare le funzionalità nelle app, ad esempio OneDrive o Office. In questo scenario assegnare le impostazioni del profilo di OneDrive o Office a un gruppo di utenti.

    Ad esempio, si vuole bloccare i controlli ActiveX non attendibili nelle app di Office. È possibile creare un modello amministrativo in Intune, configurare questa impostazione e quindi assegnare questo profilo a un gruppo di utenti.

Per riepilogare, usare i gruppi di utenti quando si desidera che le impostazioni e le regole vengano sempre usate dall'utente, indipendentemente dal dispositivo usato.

CSP windows

Le impostazioni dei criteri per i dispositivi Windows si basano sui provider di servizi di configurazione (CSP). Queste impostazioni vengono mappate alle chiavi o ai file del Registro di sistema nei dispositivi.

Intune espone questi CSP in modo da poter configurare queste impostazioni e assegnarle ai dispositivi Windows. Queste impostazioni sono configurabili usando i modelli predefiniti e il catalogo delle impostazioni. Nel catalogo delle impostazioni si noterà che alcune impostazioni si applicano all'ambito utente e alcune impostazioni si applicano all'ambito del dispositivo.

Per informazioni sul modo in cui le impostazioni con ambito utente e con ambito dispositivo vengono applicate ai dispositivi Windows, passare a Catalogo impostazioni: Ambito del dispositivo e impostazioni dell'ambito utente.

Escludere gruppi da un'assegnazione di profilo

Intune profili di configurazione del dispositivo consentono di includere ed escludere i gruppi dall'assegnazione del profilo.

Come procedura consigliata:

  • Creare e assegnare profili in modo specifico per i gruppi di utenti. Usare i filtri per includere o escludere i dispositivi di tali utenti.
  • Creare e assegnare profili diversi in modo specifico per i gruppi di dispositivi.

Per altre informazioni sui gruppi, vedere Aggiungere gruppi per organizzare utenti e dispositivi.

Nozioni fondamentali

Quando si assegnano i criteri e i profili, applicare i principi generali seguenti:

  • Considerare i gruppi inclusi o esclusi come punto di partenza per gli utenti e i dispositivi che riceveranno i criteri. Il gruppo di Azure AD è il gruppo di limitazione, quindi usare l'ambito del gruppo più piccolo possibile. Usare i filtri per limitare o perfezionare l'assegnazione dei criteri.

  • I gruppi di Azure AD assegnati, noti anche come gruppi statici, possono essere aggiunti ai gruppi inclusi o esclusi.

    In genere, si assegnano in modo statico i dispositivi a un gruppo di Azure AD se sono pre-registrati in Azure AD, ad esempio con Windows Autopilot. In alternativa, se si desidera combinare i dispositivi per una distribuzione una tantum ad hoc. In caso contrario, potrebbe non essere pratico assegnare i dispositivi in modo statico a un gruppo di Azure AD.

  • I gruppi di utenti dinamici di Azure AD possono essere aggiunti ai gruppi inclusi o esclusi.

  • I gruppi di dispositivi di Azure AD dinamici possono essere aggiunti ai gruppi inclusi. Tuttavia, può esserci latenza quando si popola l'appartenenza dinamica al gruppo. Negli scenari sensibili alla latenza usare i filtri per i dispositivi specifici e assegnare i criteri ai gruppi di utenti.

    Ad esempio, si desidera che i criteri vengano assegnati ai dispositivi non appena vengono registrati. In questa situazione sensibile alla latenza creare un filtro destinato ai dispositivi desiderati e assegnare i criteri con questo filtro ai gruppi di utenti. Non assegnare ai gruppi di dispositivi.

    In uno scenario senza utente creare un filtro per i dispositivi desiderati e assegnare i criteri con il filtro al gruppo "Tutti i dispositivi".

  • Evitare di aggiungere gruppi di dispositivi dinamici di Azure AD ai gruppi esclusi. La latenza nel calcolo dinamico del gruppo di dispositivi durante la registrazione può causare risultati indesiderati. Ad esempio, le app e i criteri indesiderati potrebbero essere distribuiti prima che l'appartenenza al gruppo escluso venga popolata.

Matrice di supporto

Usare la matrice seguente per comprendere il supporto per l'esclusione dei gruppi:

  • ✔️:Supportati
  • ❌: non supportato
  • ❕ : parzialmente supportato

Screenshot che mostra le opzioni supportate per includere o escludere gruppi da un'assegnazione di profilo.

Scenario Supporto tecnico
1 ❕ È supportato

parzialmente l'assegnazione di criteri a un gruppo di dispositivi dinamico escludendo un altro gruppo di dispositivi dinamico. Tuttavia, non è consigliabile in scenari sensibili alla latenza. Qualsiasi ritardo nell'esclusione del calcolo dell'appartenenza ai gruppi può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi.

Ad esempio, si dispone di un criterio del dispositivo assegnato a Tutti i dispositivi. In seguito, è necessario che i nuovi dispositivi di marketing non ricevano questo criterio. Si crea quindi un gruppo di dispositivi dinamico denominato Dispositivi di marketing in base alla enrollmentProfilename proprietà (device.enrollmentProfileName -eq "Marketing_devices"). Nei criteri si aggiunge il gruppo dinamico Dispositivi di marketing come gruppo escluso.

Un nuovo dispositivo di marketing viene registrato in Intune per la prima volta e viene creato un nuovo oggetto dispositivo Azure AD. Il processo di raggruppamento dinamico inserisce il dispositivo nel gruppo Dispositivi di marketing con un possibile calcolo ritardato. Allo stesso tempo, il dispositivo si registra in Intune e inizia a ricevere tutti i criteri applicabili. I criteri di Intune possono essere distribuiti prima che il dispositivo venga inserito nel gruppo di esclusione. Questo comportamento comporta la distribuzione di criteri (o app) indesiderati nel gruppo Dispositivi di marketing .

Di conseguenza, non è consigliabile usare gruppi di dispositivi dinamici per le esclusioni in scenari sensibili alla latenza. Usare invece i filtri.
2 ✔️ Supportato

L'assegnazione di criteri a un gruppo di dispositivi dinamici, escludendo un gruppo di dispositivi statici, è supportata.
3 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi dinamici escludendo i gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi.
4 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi dinamici e l'esclusione di gruppi di utenti (sia dinamici che statici) non sono supportati. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi.
5 ❕ Parzialmente supportato È supportato

l'assegnazione di un criterio a un gruppo di dispositivi statici escludendo un gruppo di dispositivi dinamico. Tuttavia, non è consigliabile in scenari sensibili alla latenza. Qualsiasi ritardo nell'esclusione del calcolo dell'appartenenza ai gruppi può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi.
6 ✔️ Supportato

L'assegnazione di criteri a un gruppo di dispositivi statici ed esclusione di un gruppo di dispositivi statici diverso è supportata.
7 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non sono supportati. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi.
8 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non sono supportati. Intune non valuta le relazioni tra utenti e gruppi di dispositivi e i dispositivi degli utenti inclusi non verranno esclusi.
9 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non sono supportati.
10 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non sono supportati.
11 ✔️ È supportato

l'assegnazione di criteri a un gruppo di utenti dinamico, escludendo al contempo altri gruppi di utenti (sia dinamici che statici).
12 ✔️ È supportato

l'assegnazione di criteri a un gruppo di utenti dinamico, escludendo al contempo altri gruppi di utenti (sia dinamici che statici).
13 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti statici escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata.
14 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti statici escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata.
15 ✔️ È supportato

l'assegnazione di criteri a un gruppo di utenti statici escludendo altri gruppi di utenti (sia dinamici che statici).
16 ✔️ È supportato

l'assegnazione di criteri a un gruppo di utenti statici escludendo altri gruppi di utenti (sia dinamici che statici).

Passaggi successivi

Per indicazioni sul monitoraggio dei profili e dei dispositivi che eseguono i profili, vedere Monitorare i profili di dispositivo .