Creare un profilo di configurazione del dispositivo in Microsoft Intune

I profili di configurazione dei dispositivi consentono di aggiungere e configurare le impostazioni del dispositivo e quindi di eseguirne il push nei dispositivi dell'organizzazione. Durante la creazione dei criteri sono disponibili alcune opzioni:

• Baseline: nei dispositivi Windows queste baseline includono impostazioni di sicurezza preconfigurate. Se si vogliono creare criteri di sicurezza usando le raccomandazioni dei team di sicurezza Microsoft, usare le baseline di sicurezza.

  Per altre informazioni, vedere Baseline di sicurezza.

• Catalogo delle impostazioni: nei dispositivi Apple, Android e Windows è possibile usare il catalogo delle impostazioni per configurare le funzionalità e le impostazioni dei dispositivi. Il catalogo delle impostazioni include tutte le impostazioni disponibili e in un'unica posizione. Ad esempio, è possibile visualizzare tutte le impostazioni applicabili a BitLocker e creare un criterio incentrato solo su BitLocker. Nei dispositivi macOS usare il catalogo delle impostazioni per configurare Microsoft Edge versione 77 e le impostazioni.

  Altre impostazioni vengono aggiunte continuamente al catalogo delle impostazioni. Per altre informazioni, vedere Catalogo impostazioni.

• Modelli: nei dispositivi è possibile usare i modelli predefiniti. Ogni modello include un raggruppamento logico di impostazioni che configurano una funzionalità o un concetto, ad esempio VPN, posta elettronica, dispositivi in modalità tutto schermo e altro ancora. Se hai familiarità con la creazione di criteri di configurazione dei dispositivi in Microsoft Intune, allora stai già utilizzando questi modelli.

  Per altre informazioni, inclusi i modelli disponibili, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili di dispositivo.

Questo articolo:

• Elenca i passaggi per creare un profilo.
• Illustra come aggiungere un tag di ambito per "filtrare" i criteri.
• Descrive le regole di applicabilità nei dispositivi client Windows e illustra come creare una regola.
• Contiene altre informazioni sui tempi di ciclo di aggiornamento dell'archiviazione quando i dispositivi ricevono profili ed eventuali aggiornamenti del profilo.

Questa funzionalità si applica a:

• Android
• iOS/iPadOS
• macOS
• Windows

Prerequisiti

• Accedere almeno all'interfaccia di amministrazione di Microsoft Intune con il ruolo Gestione criteri e profili . Per informazioni sui ruoli predefiniti in Intune e sulle operazioni che possono eseguire, passare a Controllo degli accessi in base al ruolo con Microsoft Intune.

• Registrare i dispositivi in Intune. Per altre informazioni sulle opzioni di registrazione, vedere La guida alla registrazione di Microsoft Intune.

Creare il profilo

Nell'interfaccia di amministrazione di Intune selezionare Dispositivi. Sono disponibili le opzioni seguenti:

• Panoramica: Elenchi lo stato di alcuni profili e fornisce altri dettagli sui profili assegnati a utenti e dispositivi.

• Monitoraggio: Elenchi tutti i report di monitoraggio dei dispositivi. Usare questi report per controllare gli errori di assegnazione dei criteri di configurazione, le registrazioni utente incomplete, i dispositivi non conformi, gli errori di installazione degli aggiornamenti e altro ancora.

• Per piattaforma: espandere questa opzione per ottenere un elenco di piattaforme supportate, ad esempio Android e Linux. Quando si seleziona una piattaforma, è possibile creare e visualizzare criteri e profili per la piattaforma scelta.

  Questa visualizzazione può anche mostrare funzionalità specifiche della piattaforma. Ad esempio, selezionare Windows. Vengono visualizzate funzionalità specifiche di Windows, ad esempio script e correzioni e analisi dei criteri di gruppo.

• Gestisci dispositivi: espandere questa opzione per visualizzare i criteri che è possibile creare, ad esempio i criteri di conformità e configurazione.

Quando si crea un profilo (dispositivi>Gestisci dispositivi>Configurazione Crea>>nuovo criterio), scegliere la piattaforma:

• Amministratore del dispositivo Android
• Android (AOSP)
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 e versioni successive
• Windows 8.1 e versioni successive

Scegliere quindi il tipo di profilo. A seconda della piattaforma scelta, i tipi di profilo sono diversi. Gli articoli seguenti descrivono i diversi profili:

Ad esempio, se si seleziona Windows per la piattaforma, le opzioni sono simili al profilo seguente:

Tag di ambito

Dopo aver aggiunto le impostazioni, è anche possibile aggiungere un tag di ambito al profilo. I tag di ambito filtrano i profili a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Inoltre, vengono usati nell'IT distribuito.

Per ulteriori informazioni sui tag di ambito e su ciò che è possibile fare, vedere Utilizzo di RBAC e tag di ambito per l'IT distribuito.

Regole di applicabilità

Si applica a:

• Windows

I criteri di applicabilità consentono agli amministratori di indirizzare i dispositivi di un gruppo che soddisfano criteri specifici. Ad esempio, si crea un profilo di restrizioni del dispositivo che si applica al gruppo Tutti i dispositivi Windows . Inoltre, si vuole assegnare solo il profilo ai dispositivi che eseguono Windows Enterprise.

Per eseguire questa attività, creare una regola di applicabilità. Queste regole sono ideali per gli scenari seguenti:

• In Bellows College vuoi scegliere come destinazione tutti i dispositivi Windows che eseguono Windows 11 versione 24H2.
• Si vuole scegliere come destinazione tutti gli utenti in Risorse umane in Contoso, ma solo i dispositivi Windows Professional o Enterprise.

Per affrontare questi scenari, è necessario:

• Creare un gruppo di dispositivi che include tutti i dispositivi in Bellows College. Nel profilo aggiungere una regola di applicabilità in modo che venga applicata se la versione minima del sistema operativo è 10.0.26100 e la versione massima è 10.0.26200. Assegnare questo profilo al gruppo di dispositivi Bellows College.

  Quando il profilo viene assegnato, si applica ai dispositivi tra le versioni minime e massime immesse. Per i dispositivi che non sono compresi tra le versioni minime e massime immesse, il relativo stato viene visualizzato come Non applicabile.

• Creare un gruppo di utenti che includa tutti gli utenti in Risorse umane (HR) in Contoso. Nel profilo aggiungere una regola di applicabilità in modo che si applichi ai dispositivi che eseguono Windows Professional o Enterprise. Assegnare questo profilo al gruppo di utenti HR.

  Quando viene assegnato, il profilo si applica ai dispositivi che eseguono Windows Professional o Enterprise. Per i dispositivi che non eseguono queste edizioni, il relativo stato viene visualizzato come Non applicabile.

• Se sono presenti due profili con esattamente le stesse impostazioni, viene applicato il profilo senza una regola di applicabilità.

  Ad esempio, ProfileA è destinato al gruppo di dispositivi Windows, abilita BitLocker e non ha una regola di applicabilità. ProfileB è destinato allo stesso gruppo di dispositivi Windows, abilita BitLocker e ha una regola di applicabilità per applicare il profilo solo all'edizione Windows Enterprise.

  Quando vengono assegnati entrambi i profili, ProfileA viene applicato perché non ha una regola di applicabilità.

Quando si assegna il profilo ai gruppi, le regole di applicabilità fungono da filtro e hanno come destinazione solo i dispositivi che soddisfano i criteri.

Aggiungi una regola

Per creare una regola di applicabilità, seguire questa procedura.

1. Nel criterio selezionare Regole di applicabilità. È possibile scegliere la Regola e la Proprietà:

   

2. In Regola scegliere se includere o escludere utenti o gruppi. Le opzioni disponibili sono:

   • Assegnare profilo se: include utenti o gruppi che soddisfano i criteri immessi.
   • Non assegnare il profilo se: esclude gli utenti o i gruppi che soddisfano i criteri immessi.

3. In Proprietà scegliere il filtro. Le opzioni disponibili sono:

   • Edizione del sistema operativo: nell'elenco controllare le edizioni client Windows che si desidera includere (o escludere) nella regola.

   • Versione del sistema operativo: immettere i numeri di versione minima e massima del client Windows da includere (o escludere) nella regola. Entrambi i valori sono obbligatori.

     Ad esempio, è possibile immettere 10.0.16299.0 (RS3 o 1709) per la versione minima e 10.0.17134.0 (RS4 o 1803) per la versione massima. In alternativa, è possibile essere più granulari e immettere 10.0.16299.001 per la versione minima e 10.0.17134.319 per la versione massima.

     Per altri numeri di versione, passare a Informazioni sulla versione del client Windows.

4. Selezionare Aggiungi per salvare le modifiche.

Tempi del ciclo di aggiornamento dei criteri

Intune utilizza diversi cicli di aggiornamento per verificare gli aggiornamenti dei profili di configurazione. Se il dispositivo è stato registrato di recente, il check-in viene eseguito più frequentemente. Cicli di aggiornamento dei criteri e dei profili elenca i tempi di aggiornamento stimati.

In qualsiasi momento, gli utenti possono aprire l'app Company Portal e sincronizzare il dispositivo per controllare immediatamente gli aggiornamenti del profilo.

Consigli

Quando si creano elenchi di indirizzi, è consigliabile prendere in considerazione le raccomandazioni seguenti:

• Assegnare un nome ai criteri in modo da sapere cosa sono e cosa fanno. Tutti i criteri di conformità e i profili di configurazione hanno una proprietà Description facoltativa. In Description, occorre essere specifici e includere informazioni che consentano agli altri di sapere cosa fa il criterio.

  Alcuni esempi di profilo includono:

  Nome profilo: profilo di configurazione di OneDrive per tutti gli utenti di Windows
  Descrizione del profilo: profilo di OneDrive che include le impostazioni minime e di base per tutti gli utenti di Windows. Creato da [email protected] per impedire agli utenti di condividere i dati dell'organizzazione con account OneDrive personali.

  Nome profilo: profilo VPN per tutti gli utenti iOS/iPadOS
  Descrizione profilo: profilo VPN che include le impostazioni minime e di base per tutti gli utenti iOS/iPadOS per connettersi alla VPN Contoso. Creato da [email protected] in modo che gli utenti eseguano automaticamente l'autenticazione alla VPN, anziché richiedere agli utenti il nome utente e la password.

• Creare il profilo in base alla relativa attività, ad esempio configurare le impostazioni di Microsoft Edge, abilitare le impostazioni antivirus di Microsoft Defender, bloccare i dispositivi jailbroken iOS/iPadOS e così via.

• Creare profili che si applicano a gruppi specifici, ad esempio Marketing, Vendite, Amministratori IT o in base alla posizione o al sistema dell'istituto di istruzione. Usare le funzionalità predefinite, tra cui:

  • Utilizzare il controllo degli accessi basato sui ruoli (RBAC) e i tag di ambito per l'IT distribuito in Intune
  • IT distribuito con molti amministratori nello stesso tenant di Intune
  • Usare i filtri durante l'assegnazione di app, criteri e profili in Intune

• Separare i criteri utente dai criteri dei dispositivi.

  Ad esempio, il catalogo delle impostazioni di Intune include migliaia di impostazioni. Queste impostazioni mostrano se un'impostazione si applica a utenti o dispositivi. Quando si creano i criteri, assegnare le impostazioni utente a un gruppo di utenti e assegnare le impostazioni del dispositivo a un gruppo di dispositivi.

  L'immagine seguente mostra un esempio di alcune impostazioni che possono essere applicate agli utenti, applicate ai dispositivi o applicate a entrambi:

  

• Usare Microsoft Copilot in Intune per valutare i criteri, altre informazioni su un'impostazione dei criteri & il relativo effetto sugli utenti & la sicurezza e confrontare i criteri tra due dispositivi.

  Per altre informazioni, vedere Microsoft Copilot in Intune.

• Ogni volta che si crea un criterio restrittivo, comunicare questa modifica agli utenti. Ad esempio, se si intende modificare il requisito del codice di accesso da quattro (4) caratteri a sei (6) caratteri, è necessario informare gli utenti prima di assegnare il criterio.

Contenuto correlato

• Assegnare il profilo.
• Monitorarne lo stato.