Condividi tramite


Guida alla distribuzione: Gestire i dispositivi che eseguono Windows 10/11

Questa guida descrive come proteggere e gestire le app e gli endpoint di Windows usando Microsoft Intune e include le raccomandazioni e le risorse di configurazione, dai prerequisiti alla registrazione.

Per ogni sezione di questa guida, esaminare le attività associate. Alcune attività sono necessarie e alcune, ad esempio la configurazione Microsoft Entra l'accesso condizionale, sono facoltative. Selezionare i collegamenti forniti in ogni sezione per passare alla documentazione della Guida consigliata in Microsoft Learn, in cui è possibile trovare informazioni più dettagliate e istruzioni dettagliate.

Passo 1: Prerequisiti

Completare i prerequisiti seguenti per abilitare le funzionalità di gestione degli endpoint del tenant:

Per informazioni sui ruoli e le autorizzazioni Microsoft Intune, vedere Controllo degli accessi in base al ruolo con Microsoft Intune. I ruoli Amministratore globale Microsoft Entra e Amministratore Intune dispongono di diritti completi all'interno di Microsoft Intune. Questi ruoli hanno privilegi elevati e hanno più accesso del necessario per molte attività di gestione dei dispositivi in Microsoft Intune. È consigliabile usare il ruolo predefinito con privilegi minimi disponibile per completare le attività.

Per altri dettagli e consigli su come preparare l'organizzazione, eseguire l'onboarding o adottare Intune per la gestione dei dispositivi mobili, vedere Guida alla migrazione: Configurare o passare a Microsoft Intune.

Passaggio 2: Pianificare la distribuzione

Usare la guida alla pianificazione Microsoft Intune per definire gli obiettivi di gestione dei dispositivi, gli scenari dei casi d'uso e i requisiti. Usare la guida per pianificare l'implementazione, la comunicazione, il supporto, i test e la convalida. Ad esempio, in alcuni casi non è necessario essere presenti quando i dipendenti e gli studenti registrano i propri dispositivi. È consigliabile avere un piano di comunicazione in modo che gli utenti sappiano dove trovare informazioni sull'installazione e l'uso di Portale aziendale Intune.

Per altre informazioni, vedere Microsoft Intune guida alla pianificazione.

Passaggio 3: Creare criteri di conformità

Usare i criteri di conformità per assicurarsi che i dispositivi che accedono ai dati siano sicuri e soddisfino gli standard dell'organizzazione. La fase finale del processo di registrazione è la valutazione della conformità, che verifica che le impostazioni nel dispositivo soddisfino i criteri. Gli utenti del dispositivo devono risolvere tutti i problemi di conformità per ottenere l'accesso alle risorse protette. Intune contrassegna i dispositivi che non sono conformi ai requisiti di conformità e esegue azioni aggiuntive (ad esempio l'invio di una notifica all'utente, la limitazione dell'accesso o la cancellazione del dispositivo) in base all'azione per le configurazioni di non conformità.

È possibile usare Microsoft Entra criteri di accesso condizionale insieme ai criteri di conformità dei dispositivi per controllare l'accesso ai PC Windows, alla posta elettronica aziendale e ai servizi di Microsoft 365. Ad esempio, è possibile creare un criterio che impedisce ai dipendenti di accedere a Microsoft Teams in Edge senza prima registrare o proteggere il dispositivo.

Consiglio

Per una panoramica dei criteri di conformità dei dispositivi, vedere Panoramica della conformità.

Attività Dettagli
Creare i criteri di conformità Istruzioni dettagliate su come creare e assegnare criteri di conformità a gruppi di utenti e dispositivi.
Aggiungere azioni per la mancata conformità Scegliere cosa accade quando i dispositivi non soddisfano più le condizioni dei criteri di conformità. Esempi di azioni includono l'invio di avvisi, il blocco remoto dei dispositivi o il ritiro dei dispositivi. È possibile aggiungere azioni per la non conformità quando si configurano un criterio di conformità dei dispositivi o in un secondo momento modificando il criterio.
Creare un criterio di accesso condizionale basato su dispositivo o su app Selezionare le app o i servizi da proteggere e definire le condizioni per l'accesso.
Bloccare l'accesso alle app che non usano l'autenticazione moderna Creare criteri di accesso condizionale basati su app per bloccare le app che usano metodi di autenticazione diversi da OAuth2, ad esempio le app che usano l'autenticazione di base e basata su modulo. Prima di bloccare l'accesso, tuttavia, accedere a Microsoft Entra ID ed esaminare il report attività sui metodi di autenticazione per verificare se gli utenti usano l'autenticazione di base per accedere agli elementi essenziali di cui si è dimenticato o che non sono a conoscenza. Ad esempio, elementi come i chioschi del calendario della sala riunioni usano l'autenticazione di base.
Aggiungere impostazioni di conformità personalizzate Con le impostazioni di conformità personalizzate, è possibile scrivere script Bash personalizzati per risolvere gli scenari di conformità non ancora inclusi nelle opzioni di conformità dei dispositivi integrate in Microsoft Intune. Questo articolo descrive come creare, monitorare e risolvere i criteri di conformità personalizzati per i dispositivi Windows. Le impostazioni di conformità personalizzate richiedono la creazione di uno script personalizzato che identifichi le impostazioni e le coppie di valori.

Passaggio 4: Configurare la sicurezza degli endpoint

Usare Intune funzionalità di sicurezza degli endpoint per configurare la sicurezza dei dispositivi e gestire le attività di sicurezza per i dispositivi a rischio.

Attività Dettagli
Gestire i dispositivi con le funzionalità di sicurezza degli endpoint Usare le impostazioni di sicurezza degli endpoint in Intune per gestire in modo efficace la sicurezza dei dispositivi e correggere i problemi per i dispositivi.
Aggiungere le impostazioni di Endpoint Protection Configurare le funzionalità di sicurezza comuni di Endpoint Protection, ad esempio firewall, BitLocker e Microsoft Defender. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni di Endpoint Protection.
Configurare Microsoft Defender per endpoint in Intune Integrando Intune con Microsoft Defender per endpoint, non solo si contribuisce a prevenire le violazioni della sicurezza, ma è possibile sfruttare Microsoft Defender per Gestione vulnerabilità (TVM, Endpoints Threat & Vulnerability Management) e usare Intune per correggere la debolezza degli endpoint identificata da TVM.
Gestire i criteri di BitLocker Assicurarsi che i dispositivi vengano crittografati al momento della registrazione creando un criterio che configura BitLocker nei dispositivi gestiti.
Gestire i profili di baseline di sicurezza Usare le baseline di sicurezza in Intune per proteggere e proteggere utenti e dispositivi. Una baseline di sicurezza include le procedure consigliate e le raccomandazioni per le impostazioni che influiscono sulla sicurezza.
Usare Windows Update per le aziende per gli aggiornamenti software Configurare una strategia di implementazione Windows Update con Windows Update for Business. Questo articolo illustra i tipi di criteri che è possibile usare per gestire gli aggiornamenti software Windows 10/11 e come passare dai rinvii degli anelli di aggiornamento ai criteri di aggiornamento delle funzionalità.

Passaggio 5: Configurare le impostazioni del dispositivo

Usare Microsoft Intune per abilitare o disabilitare le impostazioni e le funzionalità di Windows nei dispositivi. Per configurare e applicare queste impostazioni, creare un profilo di configurazione del dispositivo e quindi assegnare il profilo ai gruppi dell'organizzazione. I dispositivi ricevono il profilo dopo la registrazione.

Attività Dettagli
Creare un profilo del dispositivo Creare un profilo di dispositivo in Microsoft Intune e trovare risorse su tutti i tipi di profilo del dispositivo. È anche possibile usare il catalogo delle impostazioni per creare un criterio da zero.
Configurare le impostazioni di Criteri di gruppo Usare Windows 10 modelli per configurare le impostazioni di Criteri di gruppo in Microsoft Intune. I modelli amministrativi includono centinaia di impostazioni che è possibile configurare per Internet Explorer, Microsoft Edge, OneDrive, desktop remoto, Word, Excel e altre applicazioni di Office. Questi modelli offrono agli amministratori una visione semplificata delle impostazioni, simile a quella dei criteri di gruppo, e sono basati al 100% sul cloud.
Configurare il profilo Wi-Fi Questo profilo consente alle persone di trovare e connettersi alla rete Wi-Fi dell'organizzazione. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni Wi-Fi per Windows 10 e versioni successive.
Configurare il profilo VPN Configurare un'opzione VPN sicura, ad esempio Microsoft Tunnel, per le persone che si connettono alla rete dell'organizzazione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni VPN.
Configurare il profilo di posta elettronica Configurare le impostazioni di posta elettronica in modo che gli utenti possano connettersi a un server di posta elettronica e accedere alla posta elettronica aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni di posta elettronica.
Limitare le funzionalità del dispositivo Proteggi gli utenti da accessi non autorizzati e distrazioni limitando le funzionalità dei dispositivi che possono usare al lavoro o a scuola. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle restrizioni dei dispositivi per Windows 10/11 e Windows 10 Teams.
Configurare profili personalizzati Aggiungere e assegnare le impostazioni e le funzionalità del dispositivo che non sono integrate in Intune. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni personalizzate.
Configurare le impostazioni del BIOS Configurare Intune in modo da poter controllare le impostazioni UEFI (BIOS) nei dispositivi registrati, usando Device Firmware Configuration Interface (DFCI)
Configurare l'aggiunta al dominio Se si prevede di registrare Microsoft Entra dispositivi aggiunti, assicurarsi di creare un profilo di aggiunta a un dominio in modo che Intune sappia quale dominio locale aggiungere.
Configurare le impostazioni di ottimizzazione del recapito Usare queste impostazioni per ridurre il consumo di larghezza di banda nei dispositivi che scaricano app e aggiornamenti.
Personalizzare l'esperienza di personalizzazione e registrazione Personalizza l'esperienza dell'app Portale aziendale Intune e Microsoft Intune con le parole, la personalizzazione, le preferenze dello schermo e le informazioni di contatto dell'organizzazione.
Configurare chioschi e dispositivi dedicati Creare un profilo tutto schermo per gestire i dispositivi in esecuzione in modalità tutto schermo.
Personalizzare i dispositivi condivisi Controllare l'accesso, gli account e le funzionalità di alimentazione nei dispositivi condivisi o multiutetti.
Configurare il limite di rete Creare un profilo di limite di rete per proteggere l'ambiente da siti non attendibili.
Configurare il monitoraggio dell'integrità di Windows Creare un profilo di monitoraggio dell'integrità di Windows per consentire a Microsoft di raccogliere dati sulle prestazioni e fornire raccomandazioni per i miglioramenti. La creazione di un profilo abilita la funzionalità di analisi degli endpoint in Microsoft Intune, che analizza i dati raccolti, consiglia il software, consente di migliorare le prestazioni di avvio e corregge i problemi di supporto comuni.
Configurare l'app Test per gli studenti Configurare l'app Test per gli studenti che eserci vano test o esami nei dispositivi registrati.
Configurare il profilo cellulare eSim È possibile configurare eSIM per i dispositivi con supporto per ESIM, ad esempio Surface LTE Pro, per connettersi a Internet tramite una connessione dati cellulare. Questa configurazione è ideale per i viaggiatori globali che devono rimanere connessi e flessibili durante il viaggio ed elimina la necessità di una scheda SIM.

Passaggio 6: Configurare metodi di autenticazione sicuri

Configurare i metodi di autenticazione in Intune per assicurarsi che solo gli utenti autorizzati accedano alle risorse interne. Intune supporta l'autenticazione a più fattori, i certificati e le credenziali derivate. I certificati possono essere usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.

Attività Dettagli
Richiedere l'autenticazione a più fattori (MFA) Richiedere agli utenti di fornire due forme di credenziali al momento della registrazione del dispositivo. Questo criterio funziona in combinazione con Microsoft Entra criteri di accesso condizionale.
Creare un profilo certificato attendibile Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. Il profilo certificato attendibile distribuisce il certificato radice attendibile ai dispositivi e agli utenti usando certificati importati SCEP, PKCS e PKCS.
usare certificati SCEP con in Intune Informazioni su cosa è necessario per usare i certificati SCEP con Intune e configurare l'infrastruttura necessaria. È quindi possibile creare un profilo certificato SCEP o configurare un'autorità di certificazione di terze parti con SCEP.
Usare certificati PKCS con Intune Configurare l'infrastruttura necessaria (ad esempio i connettori di certificato locali), esportare un certificato PKCS e aggiungere il certificato a un profilo di configurazione del dispositivo Intune.
Usare i certificati PKCS importati con Intune Configurare i certificati PKCS importati, che consentono di configurare e usare S/MIME per crittografare la posta elettronica.
Configurare un’emittente di credenziali derivate Effettuare il provisioning di dispositivi Windows con certificati derivati da smart card utente.
Integrare Windows Hello for Business con Microsoft Intune Creare un criterio di Windows Hello for Business per abilitare o disabilitare Windows Hello for Business durante la registrazione del dispositivo. Hello for Business è un metodo di accesso alternativo che usa Active Directory o un account Microsoft Entra per sostituire una password, una smart card o una smart card virtuale.

Passaggio 7: Distribuire le app

Quando si configurano app e criteri per le app, considerare i requisiti dell'organizzazione, ad esempio le piattaforme supportate, le attività eseguite dagli utenti, il tipo di app necessarie per completare tali attività e chi ne ha bisogno. È possibile usare Intune per gestire l'intero dispositivo (incluse le app) o usare Intune solo per gestire le app.

Attività Dettagli
Aggiungere app line-of-business Aggiungere app line-of-business (LOB) macOS per Intune e assegnare ai gruppi.
Aggiungere Microsoft Edge Aggiungere e assegnare Microsoft Edge per Windows.
Aggiungere Portale aziendale Intune'app da Microsoft Store Aggiungere e assegnare manualmente l'app Portale aziendale Intune come app obbligatoria.
Aggiungere Portale aziendale Intune'app per Autopilot Aggiungere l'app Portale aziendale ai dispositivi di cui è stato effettuato il provisioning da Windows Autopilot.
Aggiungere app di Microsoft 365 Aggiungere Microsoft 365 Apps for enterprise.
Assegnare app ai gruppi Dopo aver aggiunto app a Intune, assegnarle a utenti e dispositivi.
Includere ed escludere assegnazioni di app Controllare l'accesso e la disponibilità a un'app includendo ed escludendo i gruppi selezionati dall'assegnazione.
Usare gli script di PowerShell Caricare script di PowerShell per estendere le funzionalità di gestione dei dispositivi Windows in Intune e semplificare il passaggio alla gestione moderna.

Passaggio 8: Registrare i dispositivi

Durante la registrazione, il dispositivo viene registrato con Microsoft Entra ID e valutato per la conformità. Per informazioni su ogni metodo di registrazione e su come sceglierne uno appropriato per l'organizzazione, vedere La guida alla registrazione dei dispositivi Windows per Microsoft Intune.

Attività Dettagli
Abilitare la registrazione automatica MDM Semplificare la registrazione abilitando la registrazione automatica, che registra automaticamente i dispositivi in Intune che si uniscono o si registrano con il Microsoft Entra ID. La registrazione automatica semplifica la distribuzione di Windows Autopilot, la registrazione BYOD, la registrazione tramite Criteri di gruppo e la registrazione in blocco tramite un pacchetto di provisioning.
Abilitare l'individuazione automatica del server MDM Se non si dispone di Microsoft Entra ID P1 o P2, è consigliabile creare un tipo di record CNAME per Intune server di registrazione. Il record CNAME reindirizza le richieste di registrazione al server corretto in modo che gli utenti che registrano non devono digitare manualmente il nome del server.
Scenari di Windows Autopilot Semplificare la configurazione guidata dall'utente o la distribuzione automatica di Configurazione guidata dall'utente per l'utente e gli utenti configurando Microsoft Intune registrazione del dispositivo in modo che si verifichi automaticamente durante Windows Autopilot.
Registrare Microsoft Entra dispositivi aggiunti ibridi con Windows Autopilot Il connettore Intune per Active Directory consente ai dispositivi in Active Directory Domain Services di partecipare a Microsoft Entra ID e quindi di registrarsi automaticamente a Intune. È consigliabile usare questa opzione di registrazione per gli ambienti locali che usano Active Directory Domain Services e non possono attualmente spostare le identità in Microsoft Entra ID.
Registrare i dispositivi usando Criteri di gruppo Attivare la registrazione automatica in Intune usando criteri di gruppo.
Dispositivi di registrazione in blocco Creare un pacchetto di provisioning in Configurazione di Windows Designer che unisce un numero elevato di nuovi dispositivi Windows per Microsoft Entra ID e li registra in Intune.
Configurare la pagina dello stato della registrazione (ESP) Creare un profilo della pagina di stato della registrazione con impostazioni personalizzate per guidare gli utenti attraverso la configurazione e la registrazione dei dispositivi.
Modificare l'etichetta di proprietà del dispositivo Dopo aver registrato un dispositivo, è possibile modificarne l'etichetta di proprietà in Intune in proprietà aziendale o personale. Questa regolazione modifica il modo in cui si gestisce il dispositivo e può abilitare più funzionalità di gestione e identificazione in Intune o limitarle.
Configurare il proxy per Intune Connettore Active Directory Configurare il connettore Intune per Active Directory in modo che funzioni con i server proxy in uscita esistenti.
Risolvere i problemi di registrazione Risolvere e trovare le soluzioni ai problemi che si verificano durante la registrazione.

Passaggio 9: Eseguire azioni remote

Dopo aver configurato i dispositivi, è possibile usare le azioni remote supportate per gestire e risolvere i problemi dei dispositivi da lontano. Gli articoli seguenti illustrano le azioni remote per Windows. Se un'azione è assente o disabilitata nel portale, non è supportata per Windows.

Attività Dettagli
Eseguire un'azione remota nei dispositivi Informazioni su come eseguire il drill-down e gestire e risolvere i problemi dei singoli dispositivi in Intune in remoto. Questo articolo elenca tutte le azioni remote disponibili in Intune e i collegamenti a tali procedure.
Usare TeamViewer per gestire da remoto i dispositivi Intune Configurare TeamViewer in Intune e informazioni su come amministrare in remoto un dispositivo.
Usare le attività di sicurezza per visualizzare minacce e vulnerabilità Usare Intune per correggere la debolezza dell'endpoint identificata da Microsoft Defender per endpoint. Prima di poter usare le attività di sicurezza, è necessario integrare Microsoft Defender per endpoint con Intune.

Passaggio 10: Aiutare dipendenti e studenti

Le risorse in questa sezione si trovano nella documentazione della Guida dell'utente Microsoft Intune. Questa documentazione è destinata a dipendenti, studenti e altri utenti di dispositivi con licenza Intune che registrano un dispositivo personale o fornito dall'azienda. I collegamenti alla documentazione sono disponibili in tutta l'app Portale aziendale Intune e puntano a informazioni su:

  • Metodi di registrazione, con procedure dettagliate su come registrare
  • Portale aziendale impostazioni e funzionalità
  • Come annullare la registrazione e rimuovere i dati archiviati
  • Aggiornamento delle impostazioni del dispositivo per i requisiti di conformità
  • Come segnalare i problemi delle app

Consiglio

Rendere i requisiti del sistema operativo dell'organizzazione e i requisiti delle password del dispositivo facili da trovare nel sito Web o in un messaggio di posta elettronica di onboarding in modo che i dipendenti non devono ritardare la registrazione per cercare tali informazioni.

Attività Dettagli
Installare Portale aziendale Intune'app per Windows Informazioni su dove ottenere l'app Portale aziendale e su come accedere.
Aggiornare Portale aziendale'app Questo articolo descrive come installare la versione più recente di Portale aziendale e come attivare gli aggiornamenti automatici delle app.
Registrare un dispositivo Questo articolo descrive come registrare i dispositivi personali che eseguono Windows 10 o Windows 11.
Annullare la registrazione di un dispositivo Questo articolo descrive come annullare la registrazione di un dispositivo da Intune ed eliminare la cache archiviata e i log per Portale aziendale.

Passaggi successivi