guida dettagliata alla configurazione del cloud Windows 10/11
Windows 10/11 nella configurazione cloud (configurazione cloud) è una configurazione del dispositivo per i dispositivi client Windows. È progettato per semplificare l'esperienza dell'utente finale. Per altre informazioni sulla configurazione del cloud, inclusi i requisiti minimi, vedere Panoramica dello scenario guidato della configurazione cloud di Windows.
Con la configurazione cloud si usano criteri di Microsoft Intune per trasformare un dispositivo client Windows in un dispositivo ottimizzato per il cloud. Windows 10/11 nella configurazione cloud:
Ottimizza i dispositivi per il cloud configurandoli per la registrazione nella gestione Intune con Microsoft Entra. I dati utente vengono archiviati automaticamente in OneDrive con lo spostamento di cartelle note configurato.
Installa Microsoft Teams e Microsoft Edge nei dispositivi.
Configura gli utenti finali in modo che siano utenti standard nei dispositivi, offrendo al personale IT un maggiore controllo sulle app installate nei dispositivi.
Rimuove le app predefinite e l'app di Microsoft Store, semplificando l'esperienza utente finale.
Applica le impostazioni di sicurezza degli endpoint e i criteri di conformità. Questi criteri consentono di proteggere i dispositivi e di monitorare l'integrità dei dispositivi.
Garantisce che i dispositivi vengano aggiornati automaticamente tramite Windows Update per le aziende.
Facoltativamente, è anche possibile:
- Aggiungere altre app di Microsoft 365, ad esempio Outlook, Word, Excel e PowerPoint.
- Aggiungere app line-of-business essenziali che gli utenti finali devono avere successo. Microsoft consiglia di mantenere queste app al minimo per semplificare la configurazione.
- Aggiungere risorse essenziali, ad esempio profili Wi-Fi, connessioni VPN, certificati e driver della stampante necessari per i flussi di lavoro degli utenti.
Consiglio
Per una panoramica su Windows 10/11 nella configurazione cloud e sui relativi usi, passare a Windows 10/11 nella configurazione cloud.
Esistono due modi per distribuire la configurazione cloud:
- Opzione 1 - Automatico: usare lo scenario guidato per creare automaticamente tutti i gruppi e i criteri con i valori configurati. Per altre informazioni su questa opzione, vedere Panoramica dello scenario guidato della configurazione cloud di Windows.
- Opzione 2 - Manuale (questo articolo): usare la procedura descritta in questo articolo per distribuire manualmente la configurazione cloud.
Questa guida consente di creare una distribuzione di configurazione cloud personalizzata. Le sezioni seguenti descrivono come usare Microsoft Intune per configurare la configurazione cloud:
- Creare un gruppo di Microsoft Entra
- Configurare la registrazione dei dispositivi
- Distribuire uno script per configurare lo spostamento di cartelle note e rimuovere le app predefinite
- Distribuire le app
- Distribuire le impostazioni di sicurezza degli endpoint
- Configurare le impostazioni di Windows Update
- Distribuire un criterio di conformità di Windows
- Configurazioni facoltative
Passaggio 1: Creare un gruppo di Microsoft Entra
Il primo passaggio consiste nel creare un gruppo di sicurezza Microsoft Entra che riceve le configurazioni distribuite.
Questo gruppo dedicato consente di organizzare i dispositivi e gestire le risorse di configurazione cloud in Intune. Microsoft consiglia di distribuire solo le configurazioni in questa guida. Quindi, se necessario, aggiungere altre app essenziali e altre configurazioni del dispositivo.
Per creare il gruppo, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Gruppi>Tutti i gruppi>Nuovo gruppo.
In Tipo di gruppo selezionare Sicurezza.
Immettere un nome di gruppo, ad esempio
Cloud config PCs
.Per Tipo di appartenenza selezionare Assegnato.
Se si desidera, è possibile aggiungere dispositivi al nuovo gruppo ora. Selezionare Nessun membro selezionato e aggiungere membri al gruppo.
È anche possibile iniziare con un gruppo vuoto e aggiungere dispositivi in un secondo momento.
Selezionare Crea.
Consiglio
Quando viene creato il gruppo, è possibile aggiungere dispositivi Windows Autopilot preregistrati a questo gruppo.
Dispositivi esistenti
Se i dispositivi esistenti sono registrati in Intune che si vuole usare con la configurazione cloud, è consigliabile iniziare da zero con questi dispositivi. In particolare:
- Rimuovere le app e i profili esistenti distribuiti in questi dispositivi.
- Reimpostare questi dispositivi.
- Registrare nuovamente il dispositivo in Intune e distribuire la configurazione cloud.
Questi passaggi aggiuntivi sono consigliati per i dispositivi esistenti perché offrono un'esperienza utente semplificata. È quindi possibile aggiungere altre app essenziali e assicurarsi che i dispositivi abbiano solo ciò di cui gli utenti hanno bisogno.
Passaggio 2 - Configurare la registrazione del dispositivo
In questo passaggio viene abilitata la registrazione automatica MDM in Intune e viene configurata la modalità di registrazione dei dispositivi in Intune.
Se si usa già Windows Autopilot, ignorare questo passaggio e passare al passaggio 3 - Distribuire uno script per configurare lo spostamento di cartelle note e rimuovere le app predefinite (in questo articolo).
✅ 1 - Abilitare la registrazione automatica
Abilitare la registrazione automatica per gli utenti dell'organizzazione che si desidera usare la configurazione cloud. La registrazione automatica è necessaria per la configurazione cloud. Per altre informazioni sulla registrazione automatica, vedere Guida alla registrazione - Registrazione automatica di Windows.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>per piattaforma>Windows>Device onboarding>Registrazione>automatica.
In Ambito utente MDM selezionare una delle opzioni seguenti:
- Selezionare Tutto per applicare la configurazione cloud a tutti i dispositivi Windows usati dagli utenti dell'organizzazione. Nella maggior parte degli scenari di configurazione cloud è selezionata l'opzione Tutto .
- Selezionare Alcuni per applicare la configurazione cloud ai dispositivi usati da un subset di utenti nell'organizzazione. Se si vuole applicare la configurazione cloud in un approccio a fasi, Alcuni potrebbero essere una buona scelta.
Non configurare l'ambito utente MAM, le condizioni MAM dell'URL utente, l'URL di individuazione MDM e le impostazioni dell'URL di conformità MAM. Lasciare vuote queste impostazioni. Le impostazioni MAM non sono configurate per la configurazione cloud.
Seleziona Salva per salvare le modifiche.
✅ 2 - Scegliere il modo in cui i dispositivi registrano e configurano gli utenti come utenti standard nei dispositivi
Dopo aver abilitato la registrazione automatica di Windows in Intune, il passaggio successivo consiste nel determinare la modalità di registrazione dei dispositivi in Intune. Quando si registrano, sono disponibili per ricevere i criteri di configurazione cloud. È anche necessario configurare gli utenti in modo che siano utenti standard nei propri dispositivi. Gli utenti standard possono installare solo le app che l'organizzazione approva.
Per la registrazione sono disponibili tre opzioni. Selezionare un'opzione di registrazione.
- Usare Windows Autopilot (scelta consigliata)
- Registrazione in blocco tramite un pacchetto di provisioning
- Usare il Microsoft Entra ID nell'esperienza predefinita (Configurazione guidata)
Questa sezione fornisce altre informazioni su queste opzioni di registrazione e sulla configurazione degli utenti come utenti standard nei propri dispositivi.
Opzione di registrazione 1: registrazione guidata dall'utente di Windows Autopilot (scelta consigliata)
È consigliabile usare la registrazione di Windows Autopilot e la pagina dello stato della registrazione (ESP). Questo metodo di registrazione e l'ESP offrono un'esperienza utente finale coerente.
- Si preregistra i dispositivi con il servizio di distribuzione Windows Autopilot. Con Windows Autopilot, gli amministratori configurano la modalità di avvio e registrazione dei dispositivi nella gestione dei dispositivi.
- Il criterio Intune Windows Autopilot configura l'esperienza predefinita .OOBE.The Intune Windows Autopilot policy configures the out-of-box experience (OOBE). Nella Configurazione guidata selezionare gli utenti come utenti standard.
- Il criterio Intune Windows Autopilot configura la pagina dello stato della registrazione (ESP). L'ESP mostra lo stato di avanzamento della configurazione. Gli utenti rimangono sull'ESP fino a quando tutte le impostazioni di configurazione del cloud non vengono applicate al dispositivo.
Per configurare la registrazione guidata dall'utente di Windows Autopilot, seguire questa procedura:
Aggiungere dispositivi a Windows Autopilot.
Registrare i dispositivi in Windows Autopilot seguendo la procedura descritta in Passaggio 3 - Registrare i dispositivi in Windows Autopilot (apre un articolo di Windows Autopilot).
Nota
L'articolo Passaggio 3 - Registrare i dispositivi in Windows Autopilot Windows Autopilot fa parte di una serie di passaggi. Per questa configurazione cloud, seguire solo il passaggio 3 - Registrare i dispositivi in Windows Autopilot per registrare i dispositivi. Non seguire gli altri passaggi della serie. Gli altri passaggi della serie di Windows Autopilot sono relativi a uno scenario di Windows Autopilot diverso.
È anche possibile registrare manualmente i dispositivi per usare Windows Autopilot. La registrazione manuale dei dispositivi viene spesso usata per riutilizzare l'hardware esistente non configurato in precedenza con Windows Autopilot.
Creare e assegnare un profilo di distribuzione di Windows Autopilot in Intune.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>per piattaforma> Registrazionedell'onboarding dei>> dispositiviWindows> Windows Autopilot Deploymentprofili di distribuzione delprogramma>.
Selezionare Creapc Windowsprofilo>. Immettere un nome per il profilo.
Per l'impostazione Converti tutti i dispositivi di destinazione in Autopilot selezionare Sì. Seleziona Avanti.
È possibile applicare la configurazione cloud ai dispositivi registrati usando metodi di registrazione diversi da Windows Autopilot. Quando si aggiungono tali dispositivi (dispositivi non Windows Autopilot) al gruppo, i dispositivi vengono convertiti in Windows Autopilot. La prossima volta che i dispositivi vengono reimpostati e passano attraverso l'esperienza predefinita di Windows (Configurazione guidata), vengono registrati tramite Windows Autopilot.
Nella scheda Configurazione guidata immettere i valori seguenti e quindi selezionare Avanti:
Impostazione Valore Modalità di distribuzione Basato sull'utente Partecipare a Microsoft Entra ID come Microsoft Entra aggiunto Condizioni di licenza software Microsoft Nascondi Impostazioni di privacy Nascondi Nascondi le opzioni dell'account di modifica Nascondi Tipo di account utente Standard Consenti distribuzione pre-provisioning No Lingua (area geografica) Impostazione predefinita del sistema operativo Configurare automaticamente la tastiera Sì Applica modello di nome dispositivo Facoltativo. È possibile applicare un modello di nome dispositivo. Usare un prefisso di nome che consente di identificare i dispositivi di configurazione cloud, ad esempio Cloud-%SERIAL%
.Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo) e quindi selezionare Avanti.
Esaminare il nuovo profilo e quindi selezionare Crea.
Creare e assegnare una pagina stato registrazione in Intune.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare DevicesBy platformWindows>Device onboarding>Enrollment> GeneralEnrollment Status Page (Pagina> stato registrazionegenerale registrazione generale> per dispositivi per piattaforma>).
Selezionare Crea e immettere un nome per la pagina Stato registrazione.
Nella scheda Impostazioni immettere i valori seguenti e quindi selezionare Avanti:
Impostazione Valore Mostra processo di configurazione dell'app e del profilo Sì Mostra un errore quando l'installazione richiede un numero di minuti superiore a quello specificato. 60 Mostra messaggio personalizzato quando si verifica un errore relativo al limite di tempo Sì: è anche possibile modificare il messaggio predefinito. Consentire agli utenti di raccogliere i log degli errori di installazione Sì Bloccare l'utente del dispositivo finché non vengono installati tutti i profili e le app Sì Consentire agli utenti di ripristinare il dispositivo in caso di errore di installazione. Sì Consentire agli utenti di utilizzare il dispositivo in caso di errore di installazione No Bloccare l'utente del dispositivo fino a quando queste app necessarie non vengono installate se vengono assegnate all'utente/dispositivo Tutti Nota
Se si verifica un errore di installazione, è consigliabile impedire agli utenti di usare il dispositivo. Il blocco degli utenti garantisce che possano iniziare a usare il dispositivo solo dopo l'applicazione completa della configurazione cloud.
Se si verifica un errore di installazione, in base alle esigenze di distribuzione, è possibile consentire all'utente di usare il dispositivo. Se si consente l'uso del dispositivo, quando il dispositivo esegue l'accesso con Intune, Intune continua a provare ad applicare le configurazioni.
In Assegnazioni assegnare la pagina Stato registrazione al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Seleziona Avanti.
Selezionare Crea per creare e assegnare la pagina Stato registrazione.
Opzione di registrazione 2: registrazione in blocco con un pacchetto di provisioning
È possibile registrare i dispositivi usando un pacchetto di provisioning creato usando configurazione di Windows Designer o l'app Configurazione PC scolastici.
Per altre informazioni sulla registrazione in blocco, vedere Registrazione in blocco per i dispositivi Windows.
Con la registrazione in blocco:
- Dopo la registrazione dei dispositivi in Intune, aggiungerli al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo). Quando vengono aggiunti al gruppo, ricevono la configurazione cloud.
- Tutti gli utenti sono automaticamente utenti standard nel dispositivo.
- Non è presente una pagina di stato della registrazione. Gli utenti non possono visualizzare lo stato di avanzamento quando vengono applicate tutte le impostazioni di configurazione del cloud. Gli utenti possono iniziare a usare il dispositivo prima che la configurazione cloud venga applicata completamente.
- Prima di distribuire i dispositivi agli utenti, Microsoft consiglia di verificare che le impostazioni e le app siano presenti nei dispositivi.
Opzione di registrazione 3: eseguire la registrazione usando Microsoft Entra ID nell'esperienza predefinita (Configurazione guidata)
Con la registrazione automatica MDM abilitata in Intune, durante la Configurazione guidata, gli utenti accedono con i propri account Microsoft Entra. Quando accedono, la registrazione viene avviata automaticamente.
Con questa opzione di registrazione, è possibile:
Configurare un profilo personalizzato Microsoft Intune per limitare gli amministratori locali nei dispositivi. Il provider di servizi di configurazione criteri include un codice XML di definizione dei criteri di esempio che è possibile usare nel profilo personalizzato.
Consiglio
In questo profilo personalizzato è presente un'altra impostazione che aggiunge un gruppo che può essere amministratore locale nel dispositivo. Questo gruppo di amministratori locali deve includere solo gli amministratori IT nell'ambiente.
Assegnare il profilo personalizzato al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Passaggio 3: Configurare lo spostamento di cartelle note di OneDrive e distribuire uno script per rimuovere le app predefinite
Quando si configura Lo spostamento di cartelle note di OneDrive, i file utente e i dati vengono salvati automaticamente in OneDrive. Quando rimuovi le app di Windows predefinite e Microsoft Store, il menu Start e l'esperienza del dispositivo sono semplificati.
Questo passaggio consente di semplificare l'esperienza utente di Windows.
✅ 1 - Configurare lo spostamento di cartelle note di OneDrive con un modello amministrativo
Con lo spostamento di cartelle note, i dati degli utenti (file e cartelle) vengono salvati in OneDrive. Quando gli utenti accedono a un altro dispositivo, OneDrive sincronizza automaticamente i dati con il nuovo dispositivo. Gli utenti non devono spostare manualmente i file.
Nota
A causa di un problema di sincronizzazione con lo spostamento di cartelle note di OneDrive e la configurazione SharedPC, Microsoft non consiglia l'uso di Windows nella configurazione cloud con un dispositivo con più utenti che eseguono l'accesso e l'uscita.
Per configurare lo spostamento di cartelle note, usare un modello ADMX in Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.
Selezionare Windows 10 e versioni successive per la piattaforma e selezionare Modelli per il tipo di profilo.
Selezionare Modelli amministrativi e quindi Crea.
Immettere un nome per il profilo e selezionare Avanti.
In Impostazioni di configurazione cercare le impostazioni nella tabella seguente e selezionare i valori consigliati:
Nome dell'impostazione Valore Spostare automaticamente le cartelle note di Windows nell'ID tenant abilitato per OneDrive Immettere l'ID tenant dell'organizzazione.
L'ID tenant viene visualizzato nella pagina> Proprietà Interfaccia di amministrazione di Microsoft Entra >ID tenant.Visualizzare la notifica agli utenti dopo il reindirizzamento delle cartelle Sì. È anche possibile scegliere di nascondere la notifica. Consenti l'accesso automatico degli utenti alll'app sincronizzazione di OneDrive con le proprie credenziali di Windows Abilitato Impedisci agli utenti di spostare le proprie cartelle note di Windows in OneDrive Abilitato Impedisci agli utenti di reindirizzare le proprie cartelle note di Windows al proprio PC Abilitato Usa File di OneDrive su richiesta Abilitato Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
✅ 2 - Distribuire uno script per rimuovere le app predefinite
Microsoft ha creato uno script Windows PowerShell che:
- Rimuove le app predefinite dai dispositivi.
- Rimuove l'app di Microsoft Store dai dispositivi.
Lo script viene distribuito nei dispositivi usando in Intune. Per aggiungere e distribuire lo script, seguire questa procedura:
Scaricare lo script di rimozione dell'app PowerShell della finestra di configurazione del cloud. Questo script rimuove l'app di Microsoft Store e le app predefinite.
Nota
Se vuoi mantenere l'app di Microsoft Store nei dispositivi, puoi usare lo script che rimuove le app predefinite ma mantiene invece Microsoft Store . Per usare questo script, scaricarlo e seguire la stessa procedura. Questo script tenta di rimuovere le app predefinite, ma potrebbe non rimuoverle tutte. Potrebbe essere necessario modificare lo script per rimuovere tutte le app predefinite nei dispositivi.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Script e correzioni> Scheda>Script della piattaforma Aggiungi.
In Nozioni di base immettere un nome per i criteri di script e selezionare Avanti.
In Impostazioni script caricare lo script scaricato. Lasciare invariate le altre impostazioni e selezionare Avanti.
Assegnare lo script al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
App di Microsoft Store
Se l'app di Microsoft Store è stata rimossa in precedenza, è possibile ridistribuirla usando Microsoft Intune. Per aggiungere nuovamente l'app di Microsoft Store (o qualsiasi altra app da aggiungere di nuovo), aggiungere l'app di Microsoft Store al repository di app dell'organizzazione privata. Distribuire quindi l'app nei dispositivi usando Intune. L'app di Microsoft Store consente di mantenere aggiornate le app. Per informazioni su come configurare l'accesso all'app di Microsoft Store, vedere Gestire l'accesso allo store privato.
Il repository di app dell'organizzazione privata può essere l'app o il sito Web Portale aziendale Intune.
Usando Intune, nei dispositivi Windows 10/11 Enterprise ed Education è possibile impedire agli utenti finali di installare app di Microsoft Store all'esterno del repository di app privato dell'organizzazione.
Per evitare queste app esterne, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.
Selezionare Windows 10 e versioni successive per la piattaforma e selezionare Catalogo impostazioni per il tipo di profilo. Selezionare Crea.
In Informazioni di base immettere un nome per il profilo.
In Impostazioni di configurazione selezionare Aggiungi impostazioni. In seguito:
- Nella selezione impostazioni cercare
private store
. Nei risultati della ricerca nella categoria Microsoft App Store selezionare Richiedi solo archivio privato. - Impostare l'impostazione Richiedi solo archivio privato su Solo archivio privato abilitato.
- Seleziona Avanti.
- Nella selezione impostazioni cercare
In Assegnazioni assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
In Rivedi e crea rivedere il profilo e selezionare Crea.
Passaggio 4- Distribuire le app
Questo passaggio distribuisce Microsoft Edge e Microsoft Teams. È possibile distribuire altre app essenziali in questo passaggio. Tenere presente che distribuire solo ciò di cui gli utenti hanno bisogno.
✅ 1 - Distribuire Microsoft Edge
- Aggiungere Microsoft Edge a Intune.
- Per Impostazioni app selezionare Canale stabile.
- Assegnare l'app Microsoft Edge al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
✅ 2- Distribuire Microsoft Teams
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare App>di Windows.
Selezionare Aggiungi per creare una nuova app.
Per Microsoft 365 Apps selezionare Windows 10 e quindi>Selezionare.
Per Nome suite immettere un nome o usare il nome suggerito. Seleziona Avanti.
Per Configura suite di app selezionare solo Teams.
Se si vogliono distribuire altre app di Microsoft 365, selezionarle da questo elenco. Tenere presente che distribuire solo ciò di cui gli utenti hanno bisogno.
Consiglio
Non è necessario scegliere OneDrive. OneDrive è integrato in Windows 10/11 Pro, Enterprise ed Education.
Per informazioni sulla suite di app, configurare le impostazioni seguenti:
Impostazione Valore Architettura 64 bit
La configurazione cloud funziona anche con 32 bit. Microsoft consiglia di scegliere a 64 bit.Canale di aggiornamento Canale corrente Rimuovere altre versioni Sì Versione da installare Ultima versione Per Proprietà configurare le impostazioni seguenti:
Impostazione Valore Usare l'attivazione del computer condiviso Sì Accettare le condizioni di licenza software Microsoft per conto degli utenti Sì Seleziona Avanti.
Assegnare la suite al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Passaggio 5 - Distribuire le impostazioni di sicurezza degli endpoint
Questo passaggio configura le impostazioni di sicurezza degli endpoint per proteggere i dispositivi, incluse le impostazioni predefinite di sicurezza di Windows e BitLocker.
✅1 - Distribuire la baseline di sicurezza MDM Windows 10/11
Per Windows nella configurazione cloud, è consigliabile usare la baseline di sicurezza Windows 10/11. Esistono alcuni valori di impostazione che è possibile modificare in base alle preferenze dell'organizzazione.
Configurare la baseline di sicurezza in Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Baseline di sicurezza>> degli endpoint Baselinedi sicurezza per Windows 10 e versioni successive.
Selezionare Crea profilo per creare una nuova baseline di sicurezza.
Immettere un nome per la baseline di sicurezza e selezionare Avanti.
Accettare le impostazioni di configurazione predefinite. In alternativa, è possibile modificare le impostazioni seguenti in base alle esigenze dell'organizzazione:
Impostazione della categoria Impostazione Motivo della modifica Browser Blocca Gestione password Se si vuole consentire agli utenti finali di usare le gestioni password, disabilitare questa impostazione. Assistenza remota Assistenza remota richiesta Questa impostazione consente al personale di supporto di connettersi in remoto ai dispositivi. Microsoft consiglia di disabilitare questa impostazione a meno che non sia necessaria. Firewall Tutte le impostazioni del firewall Se è necessario consentire determinate connessioni ai dispositivi in base alle esigenze dell'organizzazione, modificare le impostazioni predefinite del firewall. Seleziona Avanti.
In Assegnazioni selezionare il gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Selezionare Crea per creare e assegnare la baseline.
✅ 2 - Distribuire altre impostazioni di BitLocker con un profilo di sicurezza dell'endpoint di crittografia dell'unità
Sono disponibili altre impostazioni di BitLocker che consentono di proteggere i dispositivi. Configurare queste impostazioni di BitLocker in Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Endpoint security> Disk encryptionCreate Policy (Crea criteri dicrittografia> dei dischi).
In Piattaforma selezionare Windows 10 e versioni successive.
In Profilo selezionare Crea BitLocker>.
In Informazioni di base immettere un nome per il profilo.
In Impostazioni di configurazione selezionare le impostazioni seguenti:
Impostazione della categoria Impostazione Valore BitLocker - Impostazioni di base Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse Sì BitLocker - Impostazioni fisse dell'unità Criteri di unità fissa BitLocker Configurazione Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker Sì Configurare il metodo di crittografia per le unità dati fisse AES XTS a 128 bit BitLocker - Impostazioni unità del sistema operativo Criteri unità di sistema BitLocker Configurazione Autenticazione di avvio necessaria Sì Avvio TPM compatibile Consentito PIN di avvio TPM compatibile Consentito Chiave di avvio TPM compatibile Obbligatorio Chiave di avvio E PIN TPM compatibili Consentito Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile Sì Configurare il metodo di crittografia per le unità del sistema operativo AES XTS a 128 bit BitLocker - Impostazioni unità rimovibili Criteri unità rimovibili BitLocker Configurazione Configurare il metodo di crittografia per le unità dati rimovibili AES CBC a 128 bit Bloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker Sì In Assegnazioni assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Selezionare Crea per creare e assegnare il profilo.
Passaggio 6: Configurare le impostazioni di Windows Update
Questo passaggio usa un anello di Windows Update per mantenere i dispositivi aggiornati automaticamente. Le impostazioni in questa guida sono allineate alle impostazioni consigliate nella baseline di Windows Update.
Configurare l'anello Update in Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Gestisci aggiornamenti>Windows 10 e aggiornamenti successiviScheda Anelli di aggiornamento> Scheda >Crea profilo.
In Nozioni di base immettere un nome per l'anello di aggiornamento.
In Aggiorna impostazioni anello configurare i valori seguenti e selezionare Avanti:
Impostazione Valore Canale di servizio Canale semestrale Aggiornamenti dei prodotti Microsoft Consenti driver Windows Consenti Periodo di differimento degli aggiornamenti qualitativi (giorni) 0 Periodo di differimento dell'aggiornamento delle funzionalità (giorni) 0 Impostare il periodo di disinstallazione degli aggiornamenti delle funzionalità 10 Comportamento dell'aggiornamento automatico Reimpostare l'impostazione predefinita Controlli di riavvio Consenti Opzione per sospendere gli aggiornamenti di Windows Attivazione Opzione per verificare la disponibilità di aggiornamenti di Windows Attivazione Richiedere l'approvazione dell'utente per ignorare la notifica di riavvio No Ricorda all'utente prima del riavvio automatico richiesto con promemoria ignorabile (ore) Lasciare questa impostazione non configurata Ricorda all'utente prima del riavvio automatico richiesto con un promemoria permanente (minuti) Lasciare questa impostazione non configurata Modificare il livello di aggiornamento delle notifiche Usare le notifiche di Windows Update predefinite Usare le impostazioni di scadenza Consenti Scadenza per gli aggiornamenti delle funzionalità 7 Scadenza per gli aggiornamenti qualitativi 2 Periodo di tolleranza 2 Riavvio automatico prima della scadenza Sì Assegnare l'anello Update al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Passaggio 7: Distribuire criteri di conformità di Windows
Configurare criteri di conformità per monitorare la conformità e l'integrità dei dispositivi. I criteri segnalano la non conformità e consentono comunque agli utenti di usare i dispositivi. È possibile scegliere come risolvere la non conformità con altre azioni in base ai processi dell'organizzazione.
Creare i criteri di conformità in Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Devices ComplianceCreate Policy (Crea criteri diconformità>dei dispositivi>).
In Piattaforma selezionare Windows 10 e successivamente>Crea.
In Nozioni di base immettere un nome per i criteri di conformità. Seleziona Avanti.
In Impostazioni di conformità configurare i valori seguenti e selezionare Avanti:
Impostazione della categoria Impostazione Valore Integrità del dispositivo Richiedi BitLocker Richiedere Richiedere l'abilitazione dell'avvio protetto nel dispositivo Richiedere Richiedere l'integrità del codice Richiedere Sicurezza del sistema Firewall Richiedere Antivirus Richiedere Antispyware Richiedere Richiedere una password per sbloccare i dispositivi mobili Richiedere Password semplici Blocca Tipo di password Alfanumerico Lunghezza minima password 8 Numero massimo di minuti di inattività prima che sia necessaria la password 1 minuto Scadenza password (giorni) 41 Numero di password precedenti per impedire il riutilizzo 5 Defender Microsoft Defender Antimalware Richiedere Microsoft Defender l'intelligence di sicurezza antimalware aggiornata Richiedere Protezione in tempo reale Richiedere In Azioni per la non conformità, per l'azione Contrassegno del dispositivo non conforme configurare pianificazione (giorni dopo la non conformità) al
1
giorno. È possibile configurare un periodo di tolleranza diverso in base alle preferenze dell'organizzazione.Se si usano criteri di accesso condizionale nell'organizzazione, è consigliabile configurare un periodo di tolleranza. I periodi di tolleranza impediscono ai dispositivi non conformi di perdere immediatamente l'accesso alle risorse dell'organizzazione.
È possibile aggiungere un'azione agli utenti di posta elettronica che informano di non conformità con i passaggi per ottenere la conformità.
Assegnare i criteri di conformità al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Passaggio 8 - Configurazioni facoltative
Esistono criteri facoltativi che è possibile creare e distribuire con la configurazione cloud. Questa sezione descrive questi criteri facoltativi.
✅ Configurare un nome di dominio tenant
Configurare i dispositivi per l'uso automatico del nome di dominio del tenant per gli accessi utente. Quando si aggiunge un nome di dominio, gli utenti non devono digitare l'UPN completo per accedere.
Aggiungere il nome di dominio tenant in Intune:
- Accedere all'Interfaccia di amministrazione di Microsoft Intune.
- Selezionare Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.
- Per la piattaforma selezionare Windows 10 e versioni successive.
- Per Tipo di profilo selezionare Modelli> Restrizioni >del dispositivoCrea.
- Immettere un nome per il profilo e selezionare Avanti.
- In Impostazioni di configurazione, per Password, configurare il dominio tenant preferred Microsoft Entra. Immettere il nome di dominio Microsoft Entra che gli utenti devono usare per accedere ai dispositivi.
- Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
✅ Distribuire altre app line-of-business (LOB) essenziali per la produttività
È possibile che siano presenti alcune app lob essenziali necessarie per tutti i dispositivi. Scegliere un numero minimo di queste app da distribuire. Se si distribuiscono app usando una soluzione di virtualizzazione, distribuire anche l'app client di virtualizzazione nei dispositivi.
Non sono previste restrizioni sul numero o sulle dimensioni di altre app che possono essere distribuite con le app aggiunte alla configurazione cloud. Tuttavia, Microsoft consiglia di mantenere al minimo queste altre app in base alle esigenze degli utenti per i propri ruoli. Assegnare queste app essenziali al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Potrebbero essere necessarie app LOB specifiche in alcuni dispositivi. In alternativa, potrebbero essere presenti alcune app con requisiti di creazione di pacchetti o procedure complessi. Per questi scenari, valutare la possibilità di spostare queste app dalla distribuzione di configurazione cloud. In alternativa, mantenere i dispositivi che necessitano di queste app nel modello di gestione windows esistente.
La configurazione cloud è consigliata per i dispositivi che richiedono solo alcune app chiave, oltre alla collaborazione e all'esplorazione.
✅ Distribuire le risorse necessarie agli utenti per l'accesso all'organizzazione
Configurare le risorse essenziali di cui gli utenti potrebbero aver bisogno, a seconda dei processi dell'organizzazione. Le risorse essenziali possono includere certificati, stampanti, connessioni VPN e profili di Wi-Fi.
In Intune assegnare queste risorse al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
✅ Configurare le impostazioni consigliate per lo spostamento di cartelle note di OneDrive
Sono disponibili altre impostazioni che migliorano l'esperienza utente per lo spostamento di cartelle note di OneDrive. Le impostazioni non sono necessarie per il funzionamento di Spostamento cartelle note , ma sono utili.
Per altre informazioni su queste impostazioni, passare a Impostazioni di OneDrive consigliate per lo spostamento di cartelle note.
✅ Configurare le impostazioni consigliate di Microsoft Edge
Alcune impostazioni dell'app Microsoft Edge possono essere configurate per un'esperienza utente migliore. È possibile configurare queste impostazioni in base ai requisiti o alle preferenze per l'esperienza utente finale.
Per configurare queste impostazioni consigliate, usare Intune:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>per piattaforma>Windows>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.
Selezionare Windows 10 e versioni successive per Piattaforma e Modelli per il tipo di profilo.
Selezionare Modelli amministrativi e quindi Crea.
Immettere un nome per il profilo e selezionare Avanti.
In Impostazioni di configurazione cercare le impostazioni seguenti e configurarle in base ai valori consigliati:
Impostazione della categoria Impostazione Valore/i Configurare l'integrazione di Internet Explorer Abilitato, modalità Internet Explorer Impostazioni di SmartScreen Configurare Microsoft Defender SmartScreen Abilitato Forzare Microsoft Defender controlli SmartScreen sui download da origini attendibili Abilitato Configurare Microsoft Defender SmartScreen per bloccare le app potenzialmente indesiderate Abilitato Nota
Le impostazioni di SmartScreen vengono applicate anche da Microsoft Defender. Quando si configurano le impostazioni di SmartScreen tramite l'app Microsoft Edge, Microsoft Edge applica direttamente le impostazioni.
Assegnare il profilo al gruppo creato nel passaggio 1 - Creare un gruppo di Microsoft Entra (in questo articolo).
Monitorare lo stato della configurazione cloud
Quando si applica la configurazione cloud ai dispositivi, è possibile usare Intune per monitorare lo stato delle app e delle configurazioni dei dispositivi.
Stato dello script
È possibile monitorare lo stato di installazione degli script distribuiti:
- Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>per piattaforma>Script di Windows> escript della piattaformadi correzione>.
- Selezionare lo script distribuito.
- Nella pagina dei dettagli dello script selezionare Stato dispositivo. Vengono visualizzati i dettagli di installazione dello script.
Installazioni di app
È possibile monitorare lo stato di installazione delle app distribuite:
- Nell'interfaccia di amministrazione Microsoft Intune passare ad App app> diWindows>.
- Selezionare un'app distribuita, ad esempio Microsoft 365 App Suite.
- Selezionare Stato installazione dispositivo o Stato installazione utente. Vengono visualizzati i dettagli di installazione dell'app.
Per informazioni sulla risoluzione dei problemi delle app nei singoli dispositivi, vedere Risoluzione dei problemi di installazione delle app Intune.
Baseline di sicurezza
È possibile monitorare lo stato di installazione della baseline di sicurezza distribuita. Per altre informazioni, vedere Monitorare le baseline e i profili di sicurezza in Intune.
Profilo di crittografia del disco
Nel passaggio 5 - Distribuire le impostazioni di sicurezza degli endpoint (in questo articolo) è possibile che siano state configurate e distribuite le impostazioni di BitLocker.
È possibile monitorare lo stato del profilo BitLocker:
- Nell'interfaccia di amministrazione Microsoft Intune passare aCrittografia dischidi sicurezza> degli endpoint.
- Selezionare il profilo di crittografia del disco distribuito nella configurazione cloud.
- Selezionare Stato installazione dispositivo o Stato installazione utente. Vengono visualizzati i dettagli del profilo.
Impostazioni di Windows Update
È possibile monitorare lo stato dei criteri anello Windows Update:
- Nell'interfaccia di amministrazione Microsoft Intune passare alla scheda Dispositivi>Gestisci aggiornamenti>Windows 10 e aggiornamenti successiviAnelli di aggiornamento>.
- Selezionare l'anello di aggiornamento distribuito come parte della configurazione cloud.
- Selezionare Stato dispositivo, Stato utente o Stato aggiornamento utente finale. Vengono visualizzati i dettagli delle impostazioni dell'anello di aggiornamento.
Per altre informazioni sulla creazione di report per gli anelli di Windows Update, vedere Report per gli anelli di aggiornamento per Windows 10 e criteri successivi.
Criteri di conformità
È possibile monitorare lo stato dei criteri di conformità:
- Nell'interfaccia di amministrazione Microsoft Intune passare aConformitàdei dispositivi>.
- Selezionare i criteri di conformità distribuiti come parte della configurazione cloud.
La visualizzazione di monitoraggio della conformità dei dispositivi contiene informazioni dettagliate sullo stato di assegnazione e sugli errori di assegnazione dei criteri di conformità. Ha anche visualizzazioni per trovare rapidamente i dispositivi non conformi e intervenire.
Per informazioni più approfondite sul monitoraggio dei criteri di conformità in Intune, vedere Monitorare i risultati dei criteri di conformità del dispositivo Intune.