Procedura dettagliata: Usare il cloud per configurare criteri di gruppo in dispositivi Windows 10/11 con modelli ADMX e Microsoft Intune

  • Articolo

Nota

Questa procedura dettagliata è stata creata come workshop tecnico per Microsoft Ignite. Presenta più prerequisiti rispetto alle procedure dettagliate tipiche, in quanto confronta l'uso e la configurazione dei criteri ADMX in Intune e in locale.

I modelli amministrativi di Criteri di gruppo, noti anche come modelli ADMX, includono le impostazioni che è possibile configurare nei dispositivi client Windows, inclusi i PC. Le impostazioni del modello ADMX sono disponibili da servizi diversi. Queste impostazioni vengono usate dai provider MDM (Mobile Gestione dispositivi), tra cui Microsoft Intune. Ad esempio, è possibile attivare Idee di progettazione in PowerPoint, impostare una home page in Microsoft Edge e altro ancora.

Consiglio

Per una panoramica dei modelli ADMX in Intune, inclusi i modelli ADMX predefiniti per Intune, vedere Usare i modelli ADMX Windows 10/11 in Microsoft Intune.

Per altre informazioni sui criteri ADMX, vedere Informazioni sui criteri supportati da ADMX.

Questi modelli sono incorporati in Microsoft Intune e sono disponibili come profili di modelli amministrativi. In questo profilo si configurano le impostazioni da includere e quindi si "assegna" questo profilo ai dispositivi.

In questa procedura dettagliata si vedrà quanto segue:

  • Introduzione all'interfaccia di amministrazione Microsoft Intune.
  • Creare gruppi di utenti e creare gruppi di dispositivi.
  • Confrontare le impostazioni in Intune con le impostazioni ADMX locali.
  • Creare modelli amministrativi diversi e configurare le impostazioni destinate ai diversi gruppi.

Al termine di questo lab, è possibile usare Intune e Microsoft 365 per gestire gli utenti e distribuire modelli amministrativi.

Questa funzionalità si applica a:

  • Windows 11
  • Windows 10 versione 1709 e successive

Consiglio

Esistono due modi per creare un modello amministrativo: uso di un modello o uso del catalogo delle impostazioni. Questo articolo è incentrato sull'uso del modello Modelli amministrativi . Nel Catalogo impostazioni sono disponibili altre impostazioni del modello amministrativo. Per i passaggi specifici per l'uso del Catalogo impostazioni, passare a Usare il catalogo delle impostazioni per configurare le impostazioni.

Prerequisiti

  • Sottoscrizione Microsoft 365 E3 o E5, che include Intune e Microsoft Entra ID P1 o P2. Se non si ha un abbonamento E3 o E5, provare gratuitamente.

    Per altre informazioni su cosa si ottiene con le diverse licenze di Microsoft 365, vedere Trasformare l'azienda con Microsoft 365.

  • Microsoft Intune è configurato come autorità MDM Intune. Per altre informazioni, vedere Impostare l'autorità di gestione dei dispositivi mobili.

    Screenshot che mostra come impostare l'autorità MDM su Microsoft Intune nello stato del tenant.

  • In un controller di dominio Active Directory locale:

    1. Copiare i modelli di Office e Microsoft Edge seguenti nell'archivio centrale (cartella sysvol):Copy the following Office and Microsoft Edge templates to the Central Store (sysvol folder):

    2. Creare criteri di gruppo per eseguire il push di questi modelli in un computer amministratore dell'organizzazione Windows 10/11 nello stesso dominio del controller di dominio. In questa procedura dettagliata:

      • I criteri di gruppo creati con questi modelli sono denominati OfficeandEdge. Questo nome verrà visualizzato nelle immagini.
      • Il computer amministratore aziendale Windows 10/11 usato è denominato computer Amministrazione.

      In alcune organizzazioni, un amministratore di dominio ha due account:

      • Un account di lavoro di dominio tipico
      • Un account amministratore di dominio diverso usato solo per le attività di amministratore di dominio, ad esempio Criteri di gruppo

      Lo scopo di questo computer Amministrazione è consentire agli amministratori di accedere con l'account amministratore di dominio e di accedere agli strumenti progettati per la gestione dei criteri di gruppo.

  • In questo Amministrazione computer:

    • Accedere con un account amministratore di dominio.

    • Aggiungere RSAT: Criteri di gruppo Management Tools:

      1. Aprire l'app >ImpostazioniFunzionalità> facoltative del sistema>Aggiungi funzionalità.

        Se si usa una versione precedente a Windows 10 22H2, passare a Impostazioni>App app>& funzionalità Funzionalità>>facoltativeAggiungi funzionalità.

      2. Selezionare RSAT: Criteri di gruppo Management ToolsAdd (Aggiungi strumenti > di gestione).

        Attendere l'aggiunta della funzionalità da parte di Windows. Al termine, viene visualizzato nell'app Strumenti di amministrazione di Windows .

        Screenshot che mostra le app strumenti di amministrazione di Windows, inclusa l'app di gestione Criteri di gruppo.

    • Assicurarsi di avere accesso a Internet e diritti di amministratore per l'abbonamento a Microsoft 365, che include l'interfaccia di amministrazione Intune.

Aprire l'interfaccia di amministrazione Intune

  1. Aprire un Web browser chromium, ad esempio Microsoft Edge versione 77 e successive.

  2. Passare all'interfaccia di amministrazione Microsoft Intune. Accedere con l'account seguente:

    Utente: immettere l'account amministratore della sottoscrizione del tenant di Microsoft 365.
    Password: immettere la password.

Questa interfaccia di amministrazione è incentrata sulla gestione dei dispositivi e include servizi di Azure, ad esempio Microsoft Entra ID e Intune. È possibile che non vengano visualizzati i Microsoft Entra ID e Intune personalizzazione, ma vengono usati.

È anche possibile aprire l'interfaccia di amministrazione Intune dal interfaccia di amministrazione di Microsoft 365:

  1. Vai a https://admin.microsoft.com.

  2. Accedere con l'account amministratore della sottoscrizione del tenant di Microsoft 365.

  3. Selezionare Mostra tutte le>interfacce di> amministrazioneGestione endpoint. Verrà visualizzata l'interfaccia di amministrazione Intune.

    Screenshot che mostra tutte le interfacce di amministrazione nel interfaccia di amministrazione di Microsoft 365.

Creare gruppi e aggiungere utenti

I criteri locali vengono applicati nell'ordine LSDOU: locale, sito, dominio e unità organizzativa (OU). In questa gerarchia i criteri di unità organizzativa sovrascrivono i criteri locali, i criteri di dominio sovrascrivono i criteri del sito e così via.

In Intune, i criteri vengono applicati agli utenti e ai gruppi creati. Non esiste una gerarchia. Ad esempio:

  • Se due criteri aggiornano la stessa impostazione, l'impostazione viene visualizzata come conflitto.
  • Se due criteri di conformità sono in conflitto, vengono applicati i criteri più restrittivi.
  • Se due profili di configurazione sono in conflitto, l'impostazione non viene applicata.

Per altre informazioni, vedere Domande comuni, problemi e soluzioni con i criteri e i profili dei dispositivi.

In questi passaggi successivi si creano gruppi di sicurezza e si aggiungono utenti a questi gruppi. È possibile aggiungere un utente a più gruppi. Ad esempio, è normale che un utente abbia più dispositivi, ad esempio un Surface Pro per il lavoro e un dispositivo mobile Android per il personale. Inoltre, è normale per una persona accedere alle risorse dell'organizzazione da questi più dispositivi.

  1. Nell'interfaccia di amministrazione Intune selezionare Gruppi>Nuovo gruppo.

  2. Immettere le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.
    • Nome gruppo: immettere Tutti i dispositivi Windows 10 studenti.
    • Tipo di appartenenza: selezionare Assegnato.

  3. Selezionare Membri e aggiungere alcuni dispositivi.

    L'aggiunta di dispositivi è facoltativa. L'obiettivo è esercitarsi nella creazione di gruppi e nel sapere come aggiungere dispositivi. Se si usa questa procedura dettagliata in un ambiente di produzione, tenere presente ciò che si sta facendo.

  4. Selezionare>Creare per salvare le modifiche.

    Non vedi il tuo gruppo? Selezionare Aggiorna.

  5. Selezionare Nuovo gruppo e immettere le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.

    • Nome gruppo: immettere Tutti i dispositivi Windows.

    • Tipo di appartenenza: selezionare Dispositivo dinamico.

    • Membri del dispositivo dinamico: selezionare Aggiungi query dinamica e configurare la query:

      • Proprietà: selezionare deviceOSType.
      • Operatore: selezionare Uguale.
      • Valore: immettere Windows.

      1. Selezionare Aggiungi espressione. L'espressione viene visualizzata nella sintassi Della regola:

        Screenshot che mostra come creare una query dinamica e aggiungere espressioni in un modello amministrativo Microsoft Intune.

        Quando gli utenti o i dispositivi soddisfano i criteri immessi, vengono aggiunti automaticamente ai gruppi dinamici. In questo esempio, i dispositivi vengono aggiunti automaticamente a questo gruppo quando il sistema operativo è Windows. Se si usa questa procedura dettagliata in un ambiente di produzione, prestare attenzione. L'obiettivo è di praticare la creazione di gruppi dinamici.

      2. Salvare>Creare per salvare le modifiche.

  6. Creare il gruppo Tutti gli insegnanti con le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.

    • Nome gruppo: immettere Tutti gli insegnanti.

    • Tipo di appartenenza: selezionare Utente dinamico.

    • Membri utente dinamici: selezionare Aggiungi query dinamica e configurare la query:

      • Proprietà: selezionare reparto.

      • Operatore: selezionare Uguale.

      • Valore: immettere Insegnanti.

        1. Selezionare Aggiungi espressione. L'espressione viene visualizzata nella sintassi Rule.

          Quando gli utenti o i dispositivi soddisfano i criteri immessi, vengono aggiunti automaticamente ai gruppi dinamici. In questo esempio, gli utenti vengono aggiunti automaticamente a questo gruppo quando il loro reparto è Insegnanti. È possibile immettere il reparto e altre proprietà quando gli utenti vengono aggiunti all'organizzazione. Se si usa questa procedura dettagliata in un ambiente di produzione, prestare attenzione. L'obiettivo è di praticare la creazione di gruppi dinamici.

        2. Salvare>Creare per salvare le modifiche.

Punti di discussione

  • I gruppi dinamici sono una funzionalità in Microsoft Entra ID P1 o P2. Se non si dispone di Microsoft Entra ID P1 o P2, si ha la licenza per creare solo gruppi assegnati. Per altre informazioni sui gruppi dinamici, vedere:

  • Microsoft Entra ID P1 o P2 include altri servizi comunemente usati durante la gestione di app e dispositivi, tra cui l'autenticazione a più fattori (MFA) e l'accesso condizionale.

  • Molti amministratori chiedono quando usare i gruppi di utenti e quando usare i gruppi di dispositivi. Per alcune indicazioni, vedere Gruppi di utenti e gruppi di dispositivi.

  • Tenere presente che un utente può appartenere a più gruppi. Si considerino alcuni degli altri gruppi di utenti e dispositivi dinamici che è possibile creare, ad esempio:

    • Tutti gli studenti
    • Tutti i dispositivi Android
    • Tutti i dispositivi iOS/iPadOS
    • Marketing
    • Risorse umane
    • Tutti i dipendenti di Charlotte
    • Tutti i dipendenti redmond
    • Amministratori IT della costa occidentale
    • Amministratori IT della costa orientale

Gli utenti e i gruppi creati vengono visualizzati anche nella interfaccia di amministrazione di Microsoft 365, Microsoft Entra ID nel portale di Azure e Microsoft Intune nel portale di Azure. È possibile creare e gestire gruppi in tutte queste aree per la sottoscrizione del tenant. Se l'obiettivo è la gestione dei dispositivi, usare l'interfaccia di amministrazione Microsoft Intune.

Esaminare l'appartenenza ai gruppi

  1. Nell'interfaccia di amministrazione Intune selezionare Utenti>Tutti gli utenti> selezionare il nome di qualsiasi utente esistente.
  2. Esaminare alcune delle informazioni che è possibile aggiungere o modificare. Esaminare, ad esempio, le proprietà che è possibile configurare, ad esempio Titolo processo, Reparto, Città, Posizione ufficio e altro ancora. È possibile usare queste proprietà nelle query dinamiche durante la creazione di gruppi dinamici.
  3. Selezionare Gruppi per visualizzare l'appartenenza di questo utente. È anche possibile rimuovere l'utente da un gruppo.
  4. Selezionare alcune delle altre opzioni per visualizzare altre informazioni e le operazioni che è possibile eseguire. Ad esempio, esaminare la licenza assegnata, i dispositivi dell'utente e altro ancora.

Cosa ho appena fatto?

Nell'interfaccia di amministrazione Intune sono stati creati nuovi gruppi di sicurezza e sono stati aggiunti utenti e dispositivi esistenti a questi gruppi. Questi gruppi verranno usati nei passaggi successivi di questa esercitazione.

Creare un modello in Intune

In questa sezione viene creato un modello amministrativo in Intune, vengono esaminate alcune impostazioni in Gestione Criteri di gruppo e viene confrontata la stessa impostazione in Intune. L'obiettivo è mostrare un'impostazione in Criteri di gruppo e mostrare la stessa impostazione in Intune.

  1. Nell'interfaccia di amministrazione Intune selezionare Device ConfigurationCreate (Crea configurazione>dispositivi>).

  2. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli amministrativi.

  3. Selezionare Crea.

  4. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, immettere Amministrazione modello- Windows 10 dispositivi per studenti.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  5. Selezionare Avanti.

  6. In Impostazioni di configurazionetutte le impostazioni visualizzano un elenco alfabetico di tutte le impostazioni. È anche possibile filtrare le impostazioni che si applicano ai dispositivi (configurazione computer) e le impostazioni applicabili agli utenti (configurazione utente):

    Screenshot che mostra come applicare le impostazioni del modello ADMX a utenti e dispositivi in Microsoft Intune.

  7. Espandere Configurazione> computerMicrosoft Edge> selezionare Impostazioni SmartScreen. Si noti il percorso dei criteri e tutte le impostazioni disponibili:

    Screenshot che mostra come visualizzare le impostazioni dei criteri SmartScreen di Microsoft Edge nei modelli ADMX in Microsoft Intune.

  8. Nella ricerca immettere download. Si noti che le impostazioni dei criteri sono filtrate:

    Screenshot che mostra come filtrare le impostazioni dei criteri SmartScreen di Microsoft Edge in un modello ADMX Microsoft Intune.

Aprire gestione Criteri di gruppo

In questa sezione vengono visualizzati i criteri in Intune e i relativi criteri di corrispondenza in Criteri di gruppo Management Editor.

Confrontare i criteri di un dispositivo

  1. Nel computer Amministrazione aprire l'app gestione Criteri di gruppo.

    Questa app viene installata con RSAT: Criteri di gruppo Management Tools, che è una funzionalità facoltativa aggiunta in Windows. I prerequisiti (in questo articolo) elencano i passaggi per installarlo.

  2. Espandere Domini> per selezionare il dominio. Ad esempio, selezionare contoso.net.

  3. Fare clic con il pulsante destro del mouse sul criterio OfficeandEdge Edit.Right-click the OfficeandEdge policy >Edit. Verrà visualizzata l'app Editor gestione Criteri di gruppo.

    Screenshot che mostra come fare clic con il pulsante destro del mouse sui criteri di gruppo di Office e Microsoft Edge ADMX locali e selezionare Modifica.

    OfficeandEdge è un criterio di gruppo che include i modelli ADMX di Office e Microsoft Edge. Questo criterio è descritto nei prerequisiti (in questo articolo).

  4. EspandereCriteri di>configurazione> computerModelli> amministrativi Pannello di controllo>Personalizzazione. Si noti che le impostazioni disponibili.

    Screenshot che mostra come espandere Configurazione computer in Criteri di gruppo Management Editor locale e passare a Personalizzazione.

    Fare doppio clic su Impedisci abilitazione della fotocamera della schermata di blocco e visualizzare le opzioni disponibili:

    Screenshot che mostra come visualizzare le opzioni dell'impostazione di configurazione computer locale in Criteri di gruppo.

  5. Nell'interfaccia di amministrazione Intune passare al modello di Amministrazione Windows 10 modello di dispositivi per studenti.

  6. Selezionare Configurazione> computer Pannello di controllo>Personalizzazione. Si noti che le impostazioni disponibili sono:

    Screenshot che mostra il percorso dell'impostazione dei criteri di personalizzazione in Microsoft Intune.

    Il tipo di impostazione è Device e il percorso è /Control Panel/Personalization. Questo percorso è simile a quello appena visto in Criteri di gruppo Management Editor. Se si apre l'impostazione Impedisci l'abilitazione della fotocamera della schermata di blocco, vengono visualizzate le stesse opzioni Non configurate, Abilitate e Disabilitate visualizzate in Criteri di gruppo Management Editor.

Confrontare i criteri utente

  1. Nel modello di amministratore selezionare Configurazione> computerTutte le impostazioni e cercare inprivate browsing. Si noti il percorso.

    Eseguire la stessa operazione per Configurazione utente. Selezionare Tutte le impostazioni e cercare inprivate browsing.

  2. In Criteri di gruppo Management Editor individuare le impostazioni utente e dispositivo corrispondenti:

    • Dispositivo: espandereCriteri di>configurazione> computerModelli amministrativi Componenti>>di WindowsInternet Explorer>Privacy>Disattiva InPrivate Browsing.
    • Utente: espandereCriteri di>configurazione> utenteModelli amministrativi Componenti>>di WindowsInternet Explorer>Privacy>Disattiva InPrivate Browsing.

    Screenshot che mostra come disattivare InPrivate Browsing in Internet Explorer usando il modello ADMX.

Consiglio

Per visualizzare i criteri predefiniti di Windows, è anche possibile usare GPEdit (Modifica app criteri di gruppo ).

Confrontare i criteri di Microsoft Edge

  1. Nell'interfaccia di amministrazione Intune passare al modello di Amministrazione Windows 10 modello di dispositivi per studenti.

  2. Espandere Configurazione> computer Avvio diMicrosoft Edge>, home page e nuova scheda. Si noti che le impostazioni disponibili.

    Eseguire la stessa operazione per Configurazione utente.

  3. In Criteri di gruppo Management Editor individuare le impostazioni seguenti:

    • Dispositivo: espandereCriteri di>configurazione> computerModelli> amministrativi Avvio diMicrosoft Edge>, home page e nuova scheda.
    • Utente: espandereCriteri di>configurazione> utenteModelli> amministrativi Avvio diMicrosoft Edge>, home page e nuova scheda

Cosa ho appena fatto?

È stato creato un modello amministrativo in Intune. In questo modello sono state esaminate alcune impostazioni di ADMX e sono state esaminate le stesse impostazioni DIMX in Gestione Criteri di gruppo.

Aggiungere impostazioni al modello di amministratore Studenti

In questo modello vengono configurate alcune impostazioni di Internet Explorer per bloccare i dispositivi condivisi da più studenti.

  1. Nel modello di Amministrazione- Windows 10 dispositivi studente espandere Configurazione computer, selezionare Tutte le impostazioni e cercare Disattiva InPrivate Browsing:

    Screenshot che mostra come disattivare i criteri del dispositivo InPrivate Browsing in un modello amministrativo in Microsoft Intune.

  2. Selezionare l'impostazione Disattiva InPrivate Browsing . In questa finestra si noterà la descrizione e i valori che è possibile impostare. Queste opzioni sono simili a quelle visualizzate in Criteri di gruppo.

  3. Selezionare Abilitato>OK per salvare le modifiche.

  4. Configurare anche le impostazioni di Internet Explorer seguenti. Assicurarsi di selezionare OK per salvare le modifiche.

    • Consenti trascinamento della selezione o copia e incolla file

      • Tipo: Dispositivo
      • Percorso: \Componenti di Windows\Internet Explorer\Internet Pannello di controllo\Pagina Sicurezza\Area Internet
      • Valore: disabilitato

    • Impedisci di ignorare gli errori del certificato

      • Tipo: Dispositivo
      • Percorso: \Componenti di Windows\Internet Explorer\Internet Pannello di controllo
      • Valore: abilitato

    • Disabilitare la modifica delle impostazioni della home page

      • Tipo: Utente
      • Percorso: \Componenti di Windows\Internet Explorer
      • Valore: abilitato
      • Home page: immettere un URL, ad contoso.comesempio .

  5. Cancellare il filtro di ricerca. Si noti che le impostazioni configurate sono elencate nella parte superiore:

    Screenshot che mostra che le impostazioni ADMX configurate sono elencate nella parte superiore di Microsoft Intune.

Assegnare il modello

  1. Nel modello selezionare Avanti fino a quando non si arriva a Assegnazioni. Scegliere Seleziona gruppi da includere:

    Screenshot che mostra come selezionare il profilo del modello amministrativo nell'elenco Profili di configurazione del dispositivo in Microsoft Intune.

  2. Viene visualizzato un elenco di utenti e gruppi esistenti. Selezionare il gruppo Tutti Windows 10 dispositivi degli studenti creato in precedenza >Selezionare.

    Se si usa questa procedura dettagliata in un ambiente di produzione, provare ad aggiungere gruppi vuoti. L'obiettivo è esercitarsi nell'assegnazione del modello.

  3. Selezionare Avanti. In Rivedi e crea selezionare Crea per salvare le modifiche.

Non appena il profilo viene salvato, si applica ai dispositivi quando eseguono il check-in con Intune. Se i dispositivi sono connessi a Internet, possono verificarsi immediatamente. Per altre informazioni sui tempi di aggiornamento dei criteri, vedere Quanto tempo è necessario per i dispositivi per ottenere un criterio, un profilo o un'app.

Quando si assegnano criteri e profili rigorosi o restrittivi, non bloccarsi. È consigliabile creare un gruppo escluso dai criteri e dai profili. L'idea è di avere accesso alla risoluzione dei problemi. Monitorare questo gruppo per verificare che venga usato come previsto.

Cosa ho appena fatto?

Nell'interfaccia di amministrazione Intune è stato creato un profilo di configurazione del dispositivo modello amministrativo e questo profilo è stato assegnato a un gruppo creato.

Creare un modello di OneDrive

In questa sezione viene creato un modello di amministratore di OneDrive in Intune per controllare alcune impostazioni. Queste impostazioni specifiche vengono scelte perché vengono comunemente usate dalle organizzazioni.

  1. Creare un altro profilo (Creazioneconfigurazione>dispositivi>).

  2. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli amministrativi.

  3. Selezionare Crea.

  4. In Informazioni di base immettere le seguenti proprietà:

    • Nome: immettere Amministrazione modello: criteri di OneDrive applicabili a tutti gli utenti Windows 10.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  5. Selezionare Avanti.

  6. In Impostazioni di configurazione configurare le impostazioni seguenti. Assicurarsi di selezionare OK per salvare le modifiche:

    • Configurazione del computer:

      • Consenti l'accesso automatico degli utenti al client di sincronizzazione di OneDrive con le proprie credenziali di Windows
        • Tipo: Dispositivo
        • Valore: abilitato
      • Usa File di OneDrive su richiesta
        • Tipo: Dispositivo
        • Valore: abilitato

    • Configurazione utente:

      • Impedisci agli utenti di sincronizzare gli account personali di OneDrive
        • Tipo: Utente
        • Valore: abilitato

Al termine, le impostazioni saranno simili alle seguenti:

Screenshot che mostra come creare un modello amministrativo di OneDrive in Microsoft Intune.

Per altre informazioni sulle impostazioni client di OneDrive, vedere Usare Criteri di gruppo per controllare sincronizzazione OneDrive impostazioni client.

Assegnare il modello

  1. Nel modello selezionare Avanti fino a quando non si arriva a Assegnazioni. Scegliere Seleziona gruppi da includere:

  2. Viene visualizzato un elenco di utenti e gruppi esistenti. Selezionare il gruppo Tutti i dispositivi Windows creato in precedenza >Selezionare.

    Se si usa questa procedura dettagliata in un ambiente di produzione, provare ad aggiungere gruppi vuoti. L'obiettivo è esercitarsi nell'assegnazione del modello.

  3. Selezionare Avanti. In Rivedi e crea selezionare Crea per salvare le modifiche.

A questo punto, sono stati creati alcuni modelli amministrativi e sono stati assegnati ai gruppi creati. Il passaggio successivo consiste nel creare un modello amministrativo usando Windows PowerShell e microsoft API Graph per Intune.

Facoltativo: creare un criterio con PowerShell e API Graph

In questa sezione vengono usate le risorse seguenti. Queste risorse vengono installate in questa sezione.

  1. Nel computer Amministrazione aprire Windows PowerShell come amministratore:

    1. Nella barra di ricerca immettere powershell.
    2. Fare clic con il pulsante destro del mouse su Windows PowerShell >Esegui come amministratore.

    Screenshot che mostra come eseguire Windows PowerShell come amministratore.

  2. Ottenere e impostare i criteri di esecuzione.

    1. Immettere: get-ExecutionPolicy

      Annotare il criterio impostato su, che potrebbe essere Limitato. Al termine della procedura dettagliata, impostarla nuovamente sul valore originale.

    2. Immettere: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Immettere Y per modificarlo.

    I criteri di esecuzione di PowerShell consentono di impedire l'esecuzione di script dannosi. Per altre informazioni, vedere Informazioni sui criteri di esecuzione.

  3. Immettere: Install-Module -Name Microsoft.Graph.Intune

    Immettere Y se:

    • Richiesta di installare il provider NuGet
    • Richiesta di installare i moduli da un repository non attendibile

    Il completamento può richiedere alcuni minuti. Al termine, viene visualizzato un prompt simile al seguente:

    Screenshot che mostra la richiesta di Windows PowerShell dopo l'installazione di un modulo.

  4. Nel Web browser passare a https://github.com/Microsoft/Intune-PowerShell-SDK/releasese selezionare il file Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Selezionare Salva con nome e selezionare una cartella da ricordare. c:\psscripts è una buona scelta.

    2. Aprire la cartella, fare clic con il pulsante destro del mouse sul file > .zip Estrai tutto>estrai. La struttura di cartelle è simile alla cartella seguente:

      Screenshot che mostra la struttura di cartelle di PowerShell SDK Intune dopo l'estrazione.

  5. Nella scheda Visualizza selezionare Estensioni nome file:

    Screenshot che mostra come selezionare le estensioni del nome file nella scheda Visualizza in Esplora file di Windows.

  6. Nella cartella e passare a c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Fare clic con il pulsante destro del mouse su ogni .dll >Proprietà>Sblocca.

    Screenshot che mostra come sbloccare le DLL.

  7. Nell'app Windows PowerShell immettere:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Immettere R se viene richiesto di eseguire dal server di pubblicazione non attendibile.

  8. Intune modelli amministrativi usano la versione beta di Graph:

    1. Immettere: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Immettere: Connect-MSGraph -AdminConsent

    3. Quando richiesto, accedere con lo stesso account amministratore di Microsoft 365. Questi cmdlet creano i criteri nell'organizzazione tenant.

      Utente: immettere l'account amministratore della sottoscrizione del tenant di Microsoft 365.
      Password: immettere la password.

    4. Selezionare Accetta.

  9. Creare il profilo di configurazione di Configurazione test . Immettere:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Quando questi cmdlet hanno esito positivo, viene creato il profilo. Per confermare, passare alla configurazione dei dispositivi> dell'interfaccia > di amministrazioneIntune. Il profilo di configurazione del test deve essere elencato.

  10. Ottenere tutti gli oggetti SettingDefinitions. Immettere:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Trovare l'ID definizione usando il nome visualizzato dell'impostazione. Immettere:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Configurare un'impostazione. Immettere:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Visualizzare i criteri

  1. Nell'interfaccia di amministrazione > Intune Aggiornamentoconfigurazione>dispositivi>.
  2. Selezionare le impostazioni del profilo di configurazione del test>.
  3. Nell'elenco a discesa selezionare Tutti i prodotti.

Viene visualizzata l'impostazione Accesso invisibile all'utente al client sincronizzazione OneDrive con l'impostazione delle credenziali di Windows configurata.

Procedure consigliate per i criteri

Quando si creano criteri e profili in Intune, è necessario prendere in considerazione alcune raccomandazioni e procedure consigliate. Per altre informazioni, vedere Procedure consigliate per criteri e profili.

Pulire le risorse

Quando non è più necessario, è possibile:

  • Eliminare i gruppi creati:

    • Tutti i dispositivi Windows 10 studenti
    • Tutti i dispositivi Windows
    • Tutti gli insegnanti

  • Eliminare i modelli di amministratore creati:

    • modello Amministrazione - Windows 10 dispositivi per studenti
    • Amministrazione modello : criteri di OneDrive applicabili a tutti gli utenti Windows 10
    • Configurazione test

  • Impostare nuovamente i criteri di esecuzione Windows PowerShell sul valore originale. Nell'esempio seguente i criteri di esecuzione vengono impostati su Con restrizioni:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Passaggi successivi

In questa esercitazione si ha familiarità con l'interfaccia di amministrazione Microsoft Intune, si è usato il generatore di query per creare gruppi dinamici e sono stati creati modelli amministrativi in Intune per configurare le impostazioni ADMX. È stato anche confrontato l'uso di modelli ADMX in locale e nel cloud con Intune. Come bonus, sono stati usati i cmdlet di PowerShell per creare un modello amministrativo.

Per altre informazioni sui modelli amministrativi in Intune, vedere:

Usare i modelli Windows 10/11 per configurare le impostazioni di Criteri di gruppo in Intune