Condividi tramite

Distribuire OMA-URIs per definire come destinazione un provider di servizi di configurazione tramite Intune e un confronto con l'ambiente locale

  • Articolo

Questo articolo descrive l'importanza dei provider di servizi di configurazione windows (CSP), Open Mobile Alliance - Uniform Resources (OMA-URIs) e come i criteri personalizzati vengono distribuiti a un dispositivo basato su Windows 10 con Microsoft Intune.

Intune offre un'interfaccia comoda e facile da usare per configurare questi criteri. Tuttavia, non tutte le impostazioni sono necessariamente disponibili all'interno dell'interfaccia di amministrazione Microsoft Intune. Anche se molte impostazioni possono essere potenzialmente configurate in un dispositivo Windows, non è possibile inserirle tutte nell'interfaccia di amministrazione. Inoltre, man mano che vengono fatti progressi, non è insolito avere un certo grado di ritardo prima che venga aggiunta una nuova impostazione. In questi scenari, la risposta è la distribuzione di un profilo URI OMA personalizzato che usa un provider di servizi di configurazione Windows (CSP).

Ambito CSP

I CSP sono un'interfaccia usata dai provider di gestione dei dispositivi mobili (MDM) per leggere, impostare, modificare ed eliminare le impostazioni di configurazione nel dispositivo. In genere, viene eseguito tramite chiavi e valori nel Registro di sistema di Windows. I criteri CSP hanno un ambito che definisce il livello al quale è possibile configurare un criterio. È simile ai criteri disponibili nell'interfaccia di amministrazione Microsoft Intune. Alcuni criteri possono essere configurati solo a livello di dispositivo. Questi criteri si applicano indipendentemente da chi è connesso al dispositivo. È possibile configurare altri criteri a livello di utente. Questi criteri si applicano solo a tale utente. Il livello di configurazione è dettato dalla piattaforma, non dal provider MDM. Quando si distribuisce un criterio personalizzato, è possibile cercare qui l'ambito del CSP che si vuole usare.

L'ambito del CSP è importante perché determina la sintassi della stringa URI OMA da usare. Ad esempio:

Ambito utente

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName per configurare il criterio. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName per ottenere il risultato.

Ambito del dispositivo

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName per configurare il criterio. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName per ottenere il risultato.

OMA-URIs

L'URI OMA è un percorso di un'impostazione di configurazione specifica supportata da un CSP.

URI OMA: stringa che rappresenta la configurazione personalizzata per un dispositivo basato su Windows 10. La sintassi è determinata dai CSP nel client. È possibile trovare i dettagli su ogni CSP qui.

Un criterio personalizzato: contiene il OMA-URIs da distribuire. È configurato in Intune.

Intune: dopo aver creato e assegnato un criterio personalizzato ai dispositivi client, Intune diventa il meccanismo di recapito che invia il OMA-URIs a tali client Windows. Intune usa il protocollo Open Mobile Alliance Gestione dispositivi (OMA-DM) per eseguire questa operazione. Si tratta di uno standard predefinito che usa SyncML basato su XML per eseguire il push delle informazioni nel client.

CSP: dopo che il OMA-URIs raggiunto il client, il CSP le legge e configura la piattaforma Windows di conseguenza. Questa operazione viene in genere eseguita aggiungendo, leggendo o modificando i valori del Registro di sistema.

Riepilogo: l'URI OMA è il payload, il criterio personalizzato è il contenitore, Intune è il meccanismo di recapito per tale contenitore, OMA-DM è il protocollo usato per il recapito e Windows CSP legge e applica le impostazioni configurate nel payload uri OMA.

Il diagramma mostra che windows CSP applica le impostazioni URI OMA.

Questo è lo stesso processo usato da Intune per distribuire i criteri di configurazione dei dispositivi standard già integrati nell'interfaccia utente. Quando OMA-URIs usare l'interfaccia utente Intune, sono nascoste dietro interfacce di configurazione di facile utilizzo. Rende il processo più semplice e intuitivo per l'amministratore. Usare le impostazioni predefinite dei criteri quando possibile e i criteri URI OMA personalizzati solo per le opzioni altrimenti non disponibili.

Per illustrare questo processo, è possibile usare un criterio predefinito per impostare l'immagine della schermata di blocco in un dispositivo. È anche possibile distribuire un URI OMA e impostare come destinazione il provider di servizi di configurazione pertinente. Entrambi i metodi ottengono lo stesso risultato.

OMA-URIs dall'interfaccia di amministrazione Microsoft Intune

Screenshot che mostra le restrizioni del dispositivo.

Usare un criterio personalizzato

La stessa impostazione può essere impostata direttamente usando l'URI OMA seguente:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

È documentato nel riferimento di Windows CSP. Dopo aver determinato l'URI OMA, creare un criterio personalizzato.

Screenshot delle impostazioni URI OMA nella schermata Modifica riga.

Indipendentemente dal metodo usato, il risultato finale è identico.

Screenshot della schermata di accesso.

Ecco un altro esempio che usa BitLocker.

Usare criteri personalizzati dall'interfaccia di amministrazione Microsoft Intune

Screenshot della schermata Endpoint Protection.

Uso di criteri personalizzati

Screenshot del percorso URI OMA del provider di servizi di configurazione.

Correlare OMA-URIs personalizzate al mondo locale

È possibile usare le impostazioni di Criteri di gruppo esistenti come riferimento durante la compilazione della configurazione dei criteri MDM. Se l'organizzazione vuole passare a MDM per gestire i dispositivi, è consigliabile prepararsi analizzando le impostazioni di Criteri di gruppo correnti per vedere cosa è necessario per passare alla gestione MDM.

MMAT (MDM Migration Analysis Tool) determina quali criteri di gruppo sono stati impostati per un utente o un computer di destinazione. Genera quindi un report che elenca il livello di supporto per ogni impostazione di criteri negli equivalenti MDM.

Aspetti del Criteri di gruppo prima e dopo la migrazione al cloud

La tabella seguente illustra i diversi aspetti del Criteri di gruppo sia prima che dopo la migrazione al cloud tramite MMAT.

Locale Cloud
Criteri di gruppo MDM
Controller di dominio Server MDM (servizio Intune)
Cartella Sysvol Intune database/MSU
Estensione lato client per elaborare l'oggetto Criteri di gruppo CSP per elaborare i criteri MDM
Protocollo SMB usato per la comunicazione Protocollo HTTPS usato per la comunicazione
.pol | .ini file (in genere è l'input) SyncML è l'input per i dispositivi

Note importanti sul comportamento dei criteri

Se i criteri vengono modificati nel server MDM, il criterio aggiornato viene inserito nel dispositivo e l'impostazione viene configurata sul nuovo valore. Tuttavia, la rimozione dell'assegnazione dei criteri dall'utente o dal dispositivo potrebbe non ripristinare l'impostazione al valore predefinito. Dopo la rimozione dell'assegnazione o l'eliminazione del profilo sono stati rimossi alcuni profili, ad esempio profili di Wi-Fi, profili VPN, profili certificato e profili di posta elettronica. Poiché questo comportamento è controllato da ogni CSP, è consigliabile provare a comprendere il comportamento del CSP per gestire correttamente le impostazioni. Per altre informazioni, vedere Informazioni di riferimento su Windows CSP.

Mettere tutto insieme

Per distribuire un URI OMA personalizzato per un CSP in un dispositivo Windows, creare un criterio personalizzato. I criteri devono contenere il percorso del percorso URI OMA insieme al valore che si desidera modificare nel CSP (abilitare, disabilitare, modificare o eliminare).

Screenshot della pagina Crea un profilo. L'elemento Personalizzato è evidenziato.

Screenshot che mostra i campi di descrizione del nome per creare un criterio personalizzato.

Screenshot delle impostazioni di configurazione e delle pagine Aggiungi riga.

Dopo aver creato il criterio, assegnarlo a un gruppo di sicurezza in modo che sia effettivo.

Risoluzione dei problemi

Durante la risoluzione dei problemi relativi ai criteri personalizzati, si noterà che la maggior parte dei problemi rientra nelle categorie seguenti:

  • I criteri personalizzati non hanno raggiunto il dispositivo client.
  • I criteri personalizzati hanno raggiunto il dispositivo client, ma il comportamento previsto non viene osservato.

Se si dispone di un criterio che non funziona come previsto, verificare se il criterio ha raggiunto anche il client. Sono disponibili due log da controllare per verificarne il recapito.

Log di diagnostica MDM

Screenshot dei log di diagnostica MDM.

Registro eventi di Windows

Screenshot del registro eventi di Windows.

Entrambi i log devono contenere un riferimento ai criteri personalizzati o all'impostazione URI OMA che si sta tentando di distribuire. Se questo riferimento non viene visualizzato, è probabile che il criterio non sia stato recapitato al dispositivo. Verificare che il criterio sia configurato correttamente e che sia destinato al gruppo corretto.

Se si verifica che i criteri raggiungano il client, verificare la DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log presenza di errori nel client. È possibile che venga visualizzata una voce di errore che contiene informazioni aggiuntive sul motivo per cui i criteri non sono stati applicati. Le cause variano, ma spesso si verifica un problema nella sintassi della stringa URI OMA configurata nei criteri personalizzati. Controllare il riferimento CSP e assicurarsi che la sintassi sia corretta.