Condividi tramite

Procedura dettagliata: Usare il cloud per configurare criteri di gruppo nei dispositivi Windows 10/11 con modelli ADMX e Microsoft Intune

  • Articolo

Nota

Questa procedura dettagliata è stata creata come workshop tecnico per Microsoft Ignite. Presenta più prerequisiti rispetto alle procedure dettagliate tipiche, in quanto confronta l'uso e la configurazione dei criteri ADMX in Intune e in locale.

I modelli amministrativi di Criteri di gruppo, noti anche come modelli ADMX, includono le impostazioni che è possibile configurare nei dispositivi client Windows, inclusi i PC. Le impostazioni del modello ADMX sono disponibili da servizi diversi. Queste impostazioni vengono usate dai provider MDM (Mobile Device Management), tra cui Microsoft Intune. Ad esempio, è possibile attivare Idee di progettazione in PowerPoint, impostare una home page in Microsoft Edge e altro ancora.

Consiglio

Per una panoramica dei modelli ADMX in Intune, inclusi i modelli ADMX incorporati in Intune, vedere Usare i modelli ADMX di Windows 10/11 in Microsoft Intune.

Per altre informazioni sui criteri ADMX, vedere Informazioni sui criteri supportati da ADMX.

Questi modelli sono incorporati in Microsoft Intune e sono disponibili come profili di modelli amministrativi . In questo profilo si configurano le impostazioni da includere e quindi si "assegna" questo profilo ai dispositivi.

In questa procedura dettagliata si vedrà quanto segue:

  • Introduzione all'interfaccia di amministrazione di Microsoft Intune.
  • Creare gruppi di utenti e creare gruppi di dispositivi.
  • Confrontare le impostazioni in Intune con le impostazioni ADMX locali.
  • Creare modelli amministrativi diversi e configurare le impostazioni destinate ai diversi gruppi.

Al termine di questo lab, è possibile usare Intune e Microsoft 365 per gestire gli utenti e distribuire modelli amministrativi.

Questa funzionalità si applica a:

  • Windows 11
  • Windows 10 versione 1709 e successive

Consiglio

Esistono due modi per creare un modello amministrativo: uso di un modello o uso del catalogo delle impostazioni. Questo articolo è incentrato sull'uso del modello Modelli amministrativi . Nel Catalogo impostazioni sono disponibili altre impostazioni del modello amministrativo. Per i passaggi specifici per l'uso del Catalogo impostazioni, passare a Usare il catalogo delle impostazioni per configurare le impostazioni.

Prerequisiti

  • Sottoscrizione di Microsoft 365 E3 o E5, che include Intune e Microsoft Entra ID P1 o P2. Se non si ha un abbonamento E3 o E5, provare gratuitamente.

    Per altre informazioni su cosa si ottiene con le diverse licenze di Microsoft 365, vedere Trasformare l'azienda con Microsoft 365.

  • Microsoft Intune è configurato come autorità MDM di Intune. Per altre informazioni, vedere Impostare l'autorità di gestione dei dispositivi mobili.

    Screenshot che mostra come impostare l'autorità MDM su Microsoft Intune nello stato del tenant.

  • In un controller di dominio Active Directory locale:

    1. Copiare i modelli di Office e Microsoft Edge seguenti nell'archivio centrale (cartella sysvol):Copy the following Office and Microsoft Edge templates to the Central Store (sysvol folder):

    2. Creare un criterio di gruppo per eseguire il push di questi modelli in un computer amministratore di Windows 10/11 Enterprise nello stesso dominio del controller di dominio. In questa procedura dettagliata:

      • I criteri di gruppo creati con questi modelli sono denominati OfficeandEdge. Questo nome verrà visualizzato nelle immagini.
      • Il computer amministratore di Windows 10/11 Enterprise usato è denominato computer amministratore.

      In alcune organizzazioni, un amministratore di dominio ha due account:

      • Un account di lavoro di dominio tipico
      • Un account amministratore di dominio diverso usato solo per le attività di amministratore di dominio, ad esempio Criteri di gruppo

      Lo scopo di questo computer amministratore è consentire agli amministratori di accedere con il proprio account amministratore di dominio e di accedere agli strumenti progettati per la gestione dei criteri di gruppo.

  • In questo computer amministratore:

    • Accedere con un account amministratore di dominio.

    • Aggiungere RSAT: Strumenti di gestione dei Criteri di gruppo:

      1. Aprire l'app >ImpostazioniFunzionalità> facoltative del sistema>Aggiungi funzionalità.

        Se usi una versione precedente a Windows 10 22H2, vai a Impostazioni>App app>& Funzionalità>>facoltativeAggiungi funzionalità.

      2. Selezionare RSAT: Aggiungi strumenti> di gestione criteri di gruppo.

        Attendere l'aggiunta della funzionalità da parte di Windows. Al termine, viene visualizzato nell'app Strumenti di amministrazione di Windows .

        Screenshot che mostra le app strumenti di amministrazione di Windows, inclusa l'app Gestione Criteri di gruppo.

    • Assicurarsi di avere accesso a Internet e diritti di amministratore per l'abbonamento a Microsoft 365, che include l'interfaccia di amministrazione di Intune.

Aprire l'interfaccia di amministrazione di Intune

  1. Aprire un Web browser chromium, ad esempio Microsoft Edge versione 77 e successive.

  2. Passare all'interfaccia di amministrazione di Microsoft Intune. Accedere con l'account seguente:

    Utente: immettere l'account amministratore della sottoscrizione del tenant di Microsoft 365.
    Password: immettere la password.

Questa interfaccia di amministrazione è incentrata sulla gestione dei dispositivi e include servizi di Azure, ad esempio Microsoft Entra ID e Intune. Potrebbe non essere visualizzato l'ID Microsoft Entra e la personalizzazione di Intune , ma vengono usati.

È anche possibile aprire l'interfaccia di amministrazione di Intune dall'interfaccia di amministrazione di Microsoft 365:

  1. Vai a https://admin.microsoft.com.

  2. Accedere con l'account amministratore della sottoscrizione del tenant di Microsoft 365.

  3. Selezionare Mostra tutte le>interfacce di> amministrazioneGestione endpoint. Verrà aperta l'interfaccia di amministrazione di Intune.

    Screenshot che mostra tutte le interfacce di amministrazione nell'interfaccia di amministrazione di Microsoft 365.

Creare gruppi e aggiungere utenti

I criteri locali vengono applicati nell'ordine LSDOU: locale, sito, dominio e unità organizzativa (OU). In questa gerarchia i criteri di unità organizzativa sovrascrivono i criteri locali, i criteri di dominio sovrascrivono i criteri del sito e così via.

In Intune i criteri vengono applicati agli utenti e ai gruppi creati. Non esiste una gerarchia. Ad esempio:

  • Se due criteri aggiornano la stessa impostazione, l'impostazione viene visualizzata come conflitto.
  • Se due criteri di conformità sono in conflitto, vengono applicati i criteri più restrittivi.
  • Se due profili di configurazione sono in conflitto, l'impostazione non viene applicata.

Per altre informazioni, vedere Domande comuni, problemi e soluzioni con i criteri e i profili dei dispositivi.

In questi passaggi successivi si creano gruppi di sicurezza e si aggiungono utenti a questi gruppi. È possibile aggiungere un utente a più gruppi. Ad esempio, è normale che un utente abbia più dispositivi, ad esempio Surface Pro per lavoro e un dispositivo mobile Android per uso personale. Inoltre, è normale per una persona accedere alle risorse dell'organizzazione da questi più dispositivi.

  1. Nell'interfaccia di amministrazione di Intune selezionare Gruppi>Nuovo gruppo.

  2. Immettere le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.
    • Nome gruppo: immettere Tutti i dispositivi per studenti windows 10.
    • Tipo di appartenenza: selezionare Assegnato.

  3. Selezionare Membri e aggiungere alcuni dispositivi.

    L'aggiunta di dispositivi è facoltativa. L'obiettivo è esercitarsi nella creazione di gruppi e nel sapere come aggiungere dispositivi. Se si usa questa procedura dettagliata in un ambiente di produzione, tenere presente ciò che si sta facendo.

  4. Selezionare>Creare per salvare le modifiche.

    Non vedi il tuo gruppo? Selezionare Aggiorna.

  5. Selezionare Nuovo gruppo e immettere le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.

    • Nome gruppo: immettere Tutti i dispositivi Windows.

    • Tipo di appartenenza: selezionare Dispositivo dinamico.

    • Membri del dispositivo dinamico: selezionare Aggiungi query dinamica e configurare la query:

      • Proprietà: selezionare deviceOSType.
      • Operatore: selezionare Uguale.
      • Valore: immettere Windows.

      1. Selezionare Aggiungi espressione. L'espressione viene visualizzata nella sintassi Della regola:

        Screenshot che mostra come creare una query dinamica e aggiungere espressioni in un modello amministrativo di Microsoft Intune.

        Quando gli utenti o i dispositivi soddisfano i criteri immessi, vengono aggiunti automaticamente ai gruppi dinamici. In questo esempio, i dispositivi vengono aggiunti automaticamente a questo gruppo quando il sistema operativo è Windows. Se si usa questa procedura dettagliata in un ambiente di produzione, prestare attenzione. L'obiettivo è di praticare la creazione di gruppi dinamici.

      2. Salvare>Creare per salvare le modifiche.

  6. Creare il gruppo Tutti gli insegnanti con le impostazioni seguenti:

    • Tipo di gruppo: selezionare Sicurezza.

    • Nome gruppo: immettere Tutti gli insegnanti.

    • Tipo di appartenenza: selezionare Utente dinamico.

    • Membri utente dinamici: selezionare Aggiungi query dinamica e configurare la query:

      • Proprietà: selezionare reparto.

      • Operatore: selezionare Uguale.

      • Valore: immettere Insegnanti.

        1. Selezionare Aggiungi espressione. L'espressione viene visualizzata nella sintassi Rule.

          Quando gli utenti o i dispositivi soddisfano i criteri immessi, vengono aggiunti automaticamente ai gruppi dinamici. In questo esempio, gli utenti vengono aggiunti automaticamente a questo gruppo quando il loro reparto è Insegnanti. È possibile immettere il reparto e altre proprietà quando gli utenti vengono aggiunti all'organizzazione. Se si usa questa procedura dettagliata in un ambiente di produzione, prestare attenzione. L'obiettivo è di praticare la creazione di gruppi dinamici.

        2. Salvare>Creare per salvare le modifiche.

Punti di discussione

  • I gruppi dinamici sono una funzionalità di Microsoft Entra ID P1 o P2. Se non si dispone di Microsoft Entra ID P1 o P2, si ha la licenza per creare solo gruppi assegnati. Per altre informazioni sui gruppi dinamici, vedere:

  • Microsoft Entra ID P1 o P2 include altri servizi comunemente usati durante la gestione di app e dispositivi, tra cui l'autenticazione a più fattori (MFA) e l'accesso condizionale.

  • Molti amministratori chiedono quando usare i gruppi di utenti e quando usare i gruppi di dispositivi. Per alcune indicazioni, vedere Gruppi di utenti e gruppi di dispositivi.

  • Tenere presente che un utente può appartenere a più gruppi. Si considerino alcuni degli altri gruppi di utenti e dispositivi dinamici che è possibile creare, ad esempio:

    • Tutti gli studenti
    • Tutti i dispositivi Android
    • Tutti i dispositivi iOS/iPadOS
    • Marketing
    • Risorse umane
    • Tutti i dipendenti di Charlotte
    • Tutti i dipendenti redmond
    • Amministratori IT della costa occidentale
    • Amministratori IT della costa orientale

Gli utenti e i gruppi creati sono disponibili anche nell'interfaccia di amministrazione di Microsoft 365, nell'ID Microsoft Entra nel portale di Azure e in Microsoft Intune nel portale di Azure. È possibile creare e gestire gruppi in tutte queste aree per la sottoscrizione del tenant. Se l'obiettivo è la gestione dei dispositivi, usare l'interfaccia di amministrazione di Microsoft Intune.

Esaminare l'appartenenza ai gruppi

  1. Nell'interfaccia di amministrazione di Intune selezionare Utenti>Tutti gli utenti> selezionare il nome di qualsiasi utente esistente.
  2. Esaminare alcune delle informazioni che è possibile aggiungere o modificare. Esaminare, ad esempio, le proprietà che è possibile configurare, ad esempio Titolo processo, Reparto, Città, Posizione ufficio e altro ancora. È possibile usare queste proprietà nelle query dinamiche durante la creazione di gruppi dinamici.
  3. Selezionare Gruppi per visualizzare l'appartenenza di questo utente. È anche possibile rimuovere l'utente da un gruppo.
  4. Selezionare alcune delle altre opzioni per visualizzare altre informazioni e le operazioni che è possibile eseguire. Ad esempio, esaminare la licenza assegnata, i dispositivi dell'utente e altro ancora.

Cosa ho appena fatto?

Nell'interfaccia di amministrazione di Intune sono stati creati nuovi gruppi di sicurezza e sono stati aggiunti utenti e dispositivi esistenti a questi gruppi. Questi gruppi verranno usati nei passaggi successivi di questa esercitazione.

Creare un modello in Intune

In questa sezione viene creato un modello amministrativo in Intune, vengono esaminate alcune impostazioni in Gestione Criteri di gruppo e viene confrontata la stessa impostazione in Intune. L'obiettivo è mostrare un'impostazione in Criteri di gruppo e visualizzare la stessa impostazione in Intune.

  1. Nell'interfaccia di amministrazione di Intune selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.

  2. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli>amministrativi modelli.

  3. Selezionare Crea.

  4. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, immettere Modello di amministratore - Dispositivi per studenti Windows 10.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  5. Seleziona Avanti.

  6. In Impostazioni di configurazionetutte le impostazioni visualizzano un elenco alfabetico di tutte le impostazioni. È anche possibile filtrare le impostazioni che si applicano ai dispositivi (configurazione computer) e le impostazioni applicabili agli utenti (configurazione utente):

    Screenshot che mostra come applicare le impostazioni del modello ADMX a utenti e dispositivi in Microsoft Intune.

  7. Espandere Configurazione> computerMicrosoft Edge> selezionare Impostazioni SmartScreen. Si noti il percorso dei criteri e tutte le impostazioni disponibili:

    Screenshot che mostra come visualizzare le impostazioni dei criteri SmartScreen di Microsoft Edge nei modelli ADMX in Microsoft Intune.

  8. Nella ricerca immettere download. Si noti che le impostazioni dei criteri sono filtrate:

    Screenshot che mostra come filtrare le impostazioni dei criteri SmartScreen di Microsoft Edge in un modello ADMX di Microsoft Intune.

Aprire Gestione Criteri di gruppo

In questa sezione vengono visualizzati i criteri in Intune e i relativi criteri corrispondenti in Editor gestione Criteri di gruppo.

Confrontare i criteri di un dispositivo

  1. Nel computer amministratore aprire l'app Gestione Criteri di gruppo .

    Questa app viene installata con RSAT: Strumenti di gestione di Criteri di gruppo, che è una funzionalità facoltativa aggiunta in Windows. I prerequisiti (in questo articolo) elencano i passaggi per installarlo.

  2. Espandere Domini> per selezionare il dominio. Ad esempio, selezionare contoso.net.

  3. Fare clic con il pulsante destro del mouse sul criterio OfficeandEdge Edit.Right-click the OfficeandEdge policy >Edit. Verrà visualizzata l'app Editor gestione Criteri di gruppo.

    Screenshot che mostra come fare clic con il pulsante destro del mouse sui criteri di gruppo di Office e Microsoft Edge ADMX locali e selezionare Modifica.

    OfficeandEdge è un criterio di gruppo che include i modelli ADMX di Office e Microsoft Edge. Questo criterio è descritto nei prerequisiti (in questo articolo).

  4. EspandereCriteri di>configurazione> computerModelli amministrativiPersonalizzazione>del Pannello di> controllo. Si noti che le impostazioni disponibili.

    Screenshot che mostra come espandere Configurazione computer nell'Editor gestione Criteri di gruppo locale e passare a Personalizzazione.

    Fare doppio clic su Impedisci abilitazione della fotocamera della schermata di blocco e visualizzare le opzioni disponibili:

    Screenshot che mostra come visualizzare le opzioni dell'impostazione di configurazione computer locale in Criteri di gruppo.

  5. Nell'interfaccia di amministrazione di Intune passare al modello di amministratore - Modello di dispositivi per studenti Windows 10 .

  6. SelezionarePersonalizzazionepannello di> controllo configurazione> computer. Si noti che le impostazioni disponibili sono:

    Screenshot che mostra il percorso dell'impostazione dei criteri di personalizzazione in Microsoft Intune.

    Il tipo di impostazione è Device e il percorso è /Control Panel/Personalization. Questo percorso è simile a quello appena visto in Editor Gestione Criteri di gruppo. Se si apre l'impostazione Impedisci l'abilitazione della fotocamera della schermata di blocco , vengono visualizzate le stesse opzioni Non configurate, Abilitate e Disabilitate visualizzate in Editor gestione Criteri di gruppo.

Confrontare i criteri utente

  1. Nel modello di amministratore selezionare Configurazione> computerTutte le impostazioni e cercare inprivate browsing. Si noti il percorso.

    Eseguire la stessa operazione per Configurazione utente. Selezionare Tutte le impostazioni e cercare inprivate browsing.

  2. In Editor gestione Criteri di gruppo individuare le impostazioni corrispondenti per utente e dispositivo:

    • Dispositivo: espandereCriteri di>configurazione> computerModelli amministrativi Componenti>>di WindowsInternet Explorer>Privacy>Disattiva InPrivate Browsing.
    • Utente: espandereCriteri di>configurazione> utenteModelli amministrativi Componenti>>di WindowsInternet Explorer>Privacy>Disattiva InPrivate Browsing.

    Screenshot che mostra come disattivare InPrivate Browsing in Internet Explorer usando il modello ADMX.

Consiglio

Per visualizzare i criteri predefiniti di Windows, è anche possibile usare GPEdit (Modifica app criteri di gruppo ).

Confrontare i criteri di Microsoft Edge

  1. Nell'interfaccia di amministrazione di Intune passare al modello di amministratore - Modello di dispositivi per studenti Windows 10 .

  2. Espandere Configurazione> computer Avvio diMicrosoft Edge>, home page e nuova scheda. Si noti che le impostazioni disponibili.

    Eseguire la stessa operazione per Configurazione utente.

  3. Nell'Editor gestione Criteri di gruppo individuare le impostazioni seguenti:

    • Dispositivo: espandereCriteri di>configurazione> computerModelli> amministrativi Avvio diMicrosoft Edge>, home page e nuova scheda.
    • Utente: espandereCriteri di>configurazione> utenteModelli> amministrativi Avvio diMicrosoft Edge>, home page e nuova scheda

Cosa ho appena fatto?

È stato creato un modello amministrativo in Intune. In questo modello sono state esaminate alcune impostazioni di ADMX e sono state esaminate le stesse impostazioni DIMX in Gestione Criteri di gruppo.

Aggiungere impostazioni al modello di amministratore Studenti

In questo modello vengono configurate alcune impostazioni di Internet Explorer per bloccare i dispositivi condivisi da più studenti.

  1. Nel modello amministratore - Dispositivi per studenti windows 10 espandere Configurazione computer, selezionare Tutte le impostazioni e cercare Disattiva InPrivate Browsing:

    Screenshot che mostra come disattivare i criteri del dispositivo InPrivate Browsing in un modello amministrativo in Microsoft Intune.

  2. Selezionare l'impostazione Disattiva InPrivate Browsing . In questa finestra si noterà la descrizione e i valori che è possibile impostare. Queste opzioni sono simili a quelle visualizzate in Criteri di gruppo.

  3. Selezionare Abilitato>OK per salvare le modifiche.

  4. Configurare anche le impostazioni di Internet Explorer seguenti. Assicurarsi di selezionare OK per salvare le modifiche.

    • Consenti trascinamento della selezione o copia e incolla file

      • Tipo: Dispositivo
      • Percorso: \Componenti di Windows\Internet Explorer\Pannello di controllo Internet\Pagina Sicurezza\Area Internet
      • Valore: disabilitato

    • Impedisci di ignorare gli errori del certificato

      • Tipo: Dispositivo
      • Percorso: \Componenti di Windows\Internet Explorer\Pannello di controllo Internet
      • Valore: abilitato

    • Disabilitare la modifica delle impostazioni della home page

      • Tipo: Utente
      • Percorso: \Componenti di Windows\Internet Explorer
      • Valore: abilitato
      • Home page: immettere un URL, ad contoso.comesempio .

  5. Cancellare il filtro di ricerca. Si noti che le impostazioni configurate sono elencate nella parte superiore:

    Screenshot che mostra che le impostazioni ADMX configurate sono elencate nella parte superiore di Microsoft Intune.

Assegnare il modello

  1. Nel modello selezionare Avanti fino a quando non si arriva a Assegnazioni. Scegliere Seleziona gruppi da includere:

    Screenshot che mostra come selezionare il profilo del modello amministrativo dall'elenco Profili di configurazione del dispositivo in Microsoft Intune.

  2. Viene visualizzato un elenco di utenti e gruppi esistenti. Selezionare il gruppo Tutti i dispositivi studente Windows 10 creato in precedenza >Selezionare.

    Se si usa questa procedura dettagliata in un ambiente di produzione, provare ad aggiungere gruppi vuoti. L'obiettivo è esercitarsi nell'assegnazione del modello.

  3. Seleziona Avanti. In Rivedi e crea selezionare Crea per salvare le modifiche.

Non appena il profilo viene salvato, si applica ai dispositivi quando eseguono il check-in con Intune. Se i dispositivi sono connessi a Internet, possono verificarsi immediatamente. Per altre informazioni sui tempi di aggiornamento dei criteri, vedere Quanto tempo è necessario per i dispositivi per ottenere un criterio, un profilo o un'app.

Quando si assegnano criteri e profili rigorosi o restrittivi, non bloccarsi. È consigliabile creare un gruppo escluso dai criteri e dai profili. L'idea è di avere accesso alla risoluzione dei problemi. Monitorare questo gruppo per verificare che venga usato come previsto.

Cosa ho appena fatto?

Nell'interfaccia di amministrazione di Intune è stato creato un profilo di configurazione del dispositivo modello amministrativo e questo profilo è stato assegnato a un gruppo creato.

Creare un modello di OneDrive

In questa sezione viene creato un modello di amministratore di OneDrive in Intune per controllare alcune impostazioni. Queste impostazioni specifiche vengono scelte perché vengono comunemente usate dalle organizzazioni.

  1. Creare un altro profilo (Dispositivi>Gestisci dispositivi>Configurazione>Crea>nuovo criterio).

  2. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli>amministrativi.

  3. Selezionare Crea.

  4. In Informazioni di base immettere le seguenti proprietà:

    • Nome: immettere il modello di amministratore : criteri di OneDrive applicabili a tutti gli utenti di Windows 10.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

  5. Seleziona Avanti.

  6. In Impostazioni di configurazione configurare le impostazioni seguenti. Assicurarsi di selezionare OK per salvare le modifiche:

    • Configurazione del computer:

      • Consenti l'accesso automatico degli utenti al client di sincronizzazione di OneDrive con le proprie credenziali di Windows
        • Tipo: Dispositivo
        • Valore: abilitato
      • Usa File di OneDrive su richiesta
        • Tipo: Dispositivo
        • Valore: abilitato

    • Configurazione utente:

      • Impedisci agli utenti di sincronizzare gli account personali di OneDrive
        • Tipo: Utente
        • Valore: abilitato

Al termine, le impostazioni saranno simili alle seguenti:

Screenshot che mostra come creare un modello amministrativo di OneDrive in Microsoft Intune.

Per altre informazioni sulle impostazioni client di OneDrive, vedere Usare Criteri di gruppo per controllare le impostazioni client di sincronizzazione di OneDrive.

Assegnare il modello

  1. Nel modello selezionare Avanti fino a quando non si arriva a Assegnazioni. Scegliere Seleziona gruppi da includere:

  2. Viene visualizzato un elenco di utenti e gruppi esistenti. Selezionare il gruppo Tutti i dispositivi Windows creato in precedenza >Selezionare.

    Se si usa questa procedura dettagliata in un ambiente di produzione, provare ad aggiungere gruppi vuoti. L'obiettivo è esercitarsi nell'assegnazione del modello.

  3. Seleziona Avanti. In Rivedi e crea selezionare Crea per salvare le modifiche.

A questo punto, sono stati creati alcuni modelli amministrativi e sono stati assegnati ai gruppi creati. Il passaggio successivo consiste nel creare un modello amministrativo usando Windows PowerShell e l'API Microsoft Graph per Intune.

Facoltativo: creare un criterio usando PowerShell e l'API Graph

In questa sezione vengono usate le risorse seguenti. Queste risorse vengono installate in questa sezione.

  1. Nel computer amministratore aprire Windows PowerShell come amministratore:

    1. Nella barra di ricerca immettere powershell.
    2. Fare clic con il pulsante destro del mouse su Esegui Windows PowerShell>come amministratore.

    Screenshot che mostra come eseguire Windows PowerShell come amministratore.

  2. Ottenere e impostare i criteri di esecuzione.

    1. Entrare: get-ExecutionPolicy

      Annotare il criterio impostato su, che potrebbe essere Limitato. Al termine della procedura dettagliata, impostarla nuovamente sul valore originale.

    2. Entrare: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Immettere Y per modificarlo.

    I criteri di esecuzione di PowerShell consentono di impedire l'esecuzione di script dannosi. Per altre informazioni, vedere Informazioni sui criteri di esecuzione.

  3. Entrare: Install-Module -Name Microsoft.Graph.Intune

    Immettere Y se:

    • Richiesta di installare il provider NuGet
    • Richiesta di installare i moduli da un repository non attendibile

    Il completamento può richiedere alcuni minuti. Al termine, viene visualizzato un prompt simile al seguente:

    Screenshot che mostra il prompt di Windows PowerShell dopo l'installazione di un modulo.

  4. Nel Web browser passare a https://github.com/Microsoft/Intune-PowerShell-SDK/releasese selezionare il file Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Selezionare Salva con nome e selezionare una cartella da ricordare. c:\psscripts è una buona scelta.

    2. Aprire la cartella, fare clic con il pulsante destro del mouse sul file > .zip Estrai tutto>estrai. La struttura di cartelle è simile alla cartella seguente:

      Screenshot che mostra la struttura di cartelle di PowerShell SDK di Intune dopo l'estrazione.

  5. Nella scheda Visualizza selezionare Estensioni nome file:

    Screenshot che mostra come selezionare le estensioni del nome file nella scheda Visualizza in Esplora file di Windows.

  6. Nella cartella e passare a c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Fare clic con il pulsante destro del mouse su ogni .dll >Proprietà>Sblocca.

    Screenshot che mostra come sbloccare le DLL.

  7. Nell'app di Windows PowerShell immettere:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Immettere R se viene richiesto di eseguire dal server di pubblicazione non attendibile.

  8. I modelli amministrativi di Intune usano la versione beta di Graph:

    1. Entrare: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Entrare: Connect-MSGraph -AdminConsent

    3. Quando richiesto, accedere con lo stesso account amministratore di Microsoft 365. Questi cmdlet creano i criteri nell'organizzazione tenant.

      Utente: immettere l'account amministratore della sottoscrizione del tenant di Microsoft 365.
      Password: immettere la password.

    4. Selezionare Accetta.

  9. Creare il profilo di configurazione di Configurazione test . Entrare:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Quando questi cmdlet hanno esito positivo, viene creato il profilo. Per confermare, passare all'interfaccia > di amministrazione di Intune Dispositivi>Gestire la configurazione dei dispositivi>. Il profilo di configurazione del test deve essere elencato.

  10. Ottenere tutti gli oggetti SettingDefinitions. Entrare:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Trovare l'ID definizione usando il nome visualizzato dell'impostazione. Entrare:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Configurare un'impostazione. Entrare:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Visualizzare i criteri

  1. Nell'interfaccia > di amministrazione di Intune Dispositivi> Gestire l'aggiornamentodella configurazione>dei dispositivi>.
  2. Selezionare le impostazioni del profilo di configurazione del test>.
  3. Nell'elenco a discesa selezionare Tutti i prodotti.

Viene visualizzato l'impostazione Accesso invisibile all'utente al client di sincronizzazione di OneDrive con l'impostazione delle credenziali di Windows configurata.

Procedure consigliate per i criteri

Quando si creano criteri e profili in Intune, è necessario prendere in considerazione alcune raccomandazioni e procedure consigliate. Per altre informazioni, vedere Procedure consigliate per criteri e profili.

Pulire le risorse

Quando non è più necessario, è possibile:

  • Eliminare i gruppi creati:

    • Tutti i dispositivi per studenti Windows 10
    • Tutti i dispositivi Windows
    • Tutti gli insegnanti

  • Eliminare i modelli di amministratore creati:

    • Modello di amministratore - Dispositivi per studenti Windows 10
    • Modello di amministratore : criteri di OneDrive applicabili a tutti gli utenti di Windows 10
    • Configurazione test

  • Impostare nuovamente i criteri di esecuzione di Windows PowerShell sul valore originale. Nell'esempio seguente i criteri di esecuzione vengono impostati su Con restrizioni:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Passaggi successivi

In questa esercitazione si ha più familiarità con l'interfaccia di amministrazione di Microsoft Intune, si è usato il generatore di query per creare gruppi dinamici e sono stati creati modelli amministrativi in Intune per configurare le impostazioni di ADMX. È stato anche confrontato l'uso di modelli ADMX in locale e nel cloud con Intune. Come bonus, sono stati usati i cmdlet di PowerShell per creare un modello amministrativo.

Per altre informazioni sui modelli amministrativi in Intune, vedere:

Usare i modelli di Windows 10/11 per configurare le impostazioni di Criteri di gruppo in Intune