Condividi tramite

Distribuire OMA-URI per specificare come destinazione un provider di servizi di configurazione tramite Intune e un confronto con quello locale

  • Articolo

Questo articolo descrive l'importanza dei provider di servizi di configurazione di Windows ( CSP), Open Mobile Alliance - Uniform Resources (OMA-UR) e il modo in cui i criteri personalizzati vengono distribuiti a un dispositivo basato su Windows 10 con Microsoft Intune.

Intune offre un'interfaccia pratica e facile da usare per configurare questi criteri. Tuttavia, non tutte le impostazioni sono necessariamente disponibili nell'interfaccia di amministrazione di Microsoft Intune. Anche se molte impostazioni possono essere potenzialmente configurate in un dispositivo Windows, non è possibile avere tutte queste impostazioni nell'interfaccia di amministrazione. Inoltre, man mano che vengono apportati progressi, non è insolito avere un certo grado di ritardo prima che venga aggiunta una nuova impostazione. In questi scenari, la distribuzione di un profilo OMA-URI personalizzato che usa un provider di servizi di configurazione Windows è la risposta.

Ambito CSP

I CSP sono un'interfaccia usata dai provider di gestione di dispositivi mobili (MDM) per leggere, impostare, modificare ed eliminare le impostazioni di configurazione nel dispositivo. In genere, viene eseguita tramite chiavi e valori nel Registro di sistema di Windows. I criteri CSP hanno un ambito che definisce il livello in cui è possibile configurare un criterio. È simile ai criteri disponibili nell'interfaccia di amministrazione di Microsoft Intune. Alcuni criteri possono essere configurati solo a livello di dispositivo. Questi criteri si applicano indipendentemente dall'utente connesso al dispositivo. È possibile configurare altri criteri a livello di utente. Questi criteri si applicano solo all'utente. Il livello di configurazione è determinato dalla piattaforma, non dal provider MDM. Quando si distribuisce un criterio personalizzato, è possibile cercare qui l'ambito del provider di servizi di configurazione che si vuole usare.

L'ambito del provider di servizi di configurazione è importante perché determina la sintassi della stringa OMA-URI da usare. Ad esempio:

Ambito user

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName per configurare il criterio. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName per ottenere il risultato.

Ambito del dispositivo

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName per configurare il criterio. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName per ottenere il risultato.

URI OMA

L'URI OMA è un percorso di un'impostazione di configurazione specifica supportata da un provider di servizi di configurazione.

URI OMA: è una stringa che rappresenta la configurazione personalizzata per un dispositivo basato su Windows 10. La sintassi è determinata dai CSP nel client. Per informazioni dettagliate su ogni provider di servizi di configurazione, vedere qui.

Un criterio personalizzato: contiene gli URI OMA da distribuire. È configurato in Intune.

Intune: dopo la creazione e l'assegnazione di criteri personalizzati ai dispositivi client, Intune diventa il meccanismo di recapito che invia gli URI OMA a tali client Windows. A tale scopo, Intune usa il protocollo Open Mobile Alliance Gestione dispositivi (OMA-DM). Si tratta di uno standard predefinito che usa SyncML basato su XML per eseguire il push delle informazioni nel client.

CSP: dopo che gli URI OMA raggiungono il client, il CSP le legge e configura la piattaforma Windows di conseguenza. In genere, questa operazione viene eseguita aggiungendo, leggendo o modificando i valori del Registro di sistema.

Per riepilogare: OMA-URI è il payload, il criterio personalizzato è il contenitore, Intune è il meccanismo di recapito per tale contenitore, OMA-DM è il protocollo usato per il recapito e il CSP di Windows legge e applica le impostazioni configurate nel payload OMA-URI.

Diagramma che mostra che Windows CSP applica le impostazioni OMA-URI.

Si tratta dello stesso processo usato da Intune per distribuire i criteri di configurazione standard dei dispositivi già integrati nell'interfaccia utente. Quando gli URI OMA usano l'interfaccia utente di Intune, sono nascosti dietro interfacce di configurazione descrittive. Rende il processo più semplice e più intuitivo per l'amministratore. Usare le impostazioni predefinite dei criteri quando possibile e usare criteri OMA-URI personalizzati solo per le opzioni altrimenti non disponibili.

Per illustrare questo processo, è possibile usare un criterio predefinito per impostare l'immagine della schermata di blocco in un dispositivo. È anche possibile distribuire un URI OMA e specificare come destinazione il provider di servizi di configurazione pertinente. Entrambi i metodi ottengono lo stesso risultato.

URI OMA dall'interfaccia di amministrazione di Microsoft Intune

Screenshot che mostra le restrizioni del dispositivo.

Usare un criterio personalizzato

La stessa impostazione può essere impostata direttamente usando l'URI OMA seguente:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

È documentato nelle informazioni di riferimento su CSP di Windows. Dopo aver determinato l'URI OMA, creare un criterio personalizzato.

Screenshot delle impostazioni URI OMA nella schermata Modifica riga.

Indipendentemente dal metodo usato, il risultato finale è identico.

Screenshot della schermata di accesso.

Ecco un altro esempio che usa BitLocker.

Usare un criterio personalizzato dall'interfaccia di amministrazione di Microsoft Intune

Screenshot della schermata Endpoint Protection.

Uso di criteri personalizzati

Screenshot del percorso OMA-URI del provider di servizi di configurazione.

Correlare gli URI OMA personalizzati al mondo locale

È possibile usare le impostazioni di Criteri di gruppo esistenti come riferimento durante la compilazione della configurazione dei criteri MDM. Se l'organizzazione vuole passare a MDM per gestire i dispositivi, ti consigliamo di prepararti analizzando le impostazioni correnti di Criteri di gruppo per vedere cosa è necessario per passare alla gestione MDM.

Mdm Migration Analysis Tool (MMAT) determina quali criteri di gruppo sono stati impostati per un utente o un computer di destinazione. Genera quindi un report che elenca il livello di supporto per ogni impostazione di criteri negli equivalenti MDM.

Aspetti dei Criteri di gruppo prima e dopo la migrazione al cloud

La tabella seguente illustra i diversi aspetti dei Criteri di gruppo sia prima che dopo la migrazione al cloud usando MMAT.

Locale Cloud
Criteri di gruppo MDM
Controller di dominio Server MDM (servizio Intune)
Cartella Sysvol Database/MSU di Intune
Estensione lato client per elaborare l'oggetto Criteri di gruppo CSP per elaborare i criteri MDM
Protocollo SMB usato per la comunicazione Protocollo HTTPS usato per la comunicazione
.pol | .ini file (in genere è l'input) SyncML è l'input per i dispositivi

Note importanti sul comportamento dei criteri

Se i criteri cambiano nel server MDM, i criteri aggiornati vengono inseriti nel dispositivo e l'impostazione viene configurata per il nuovo valore. Tuttavia, la rimozione dell'assegnazione dei criteri dall'utente o dal dispositivo potrebbe non ripristinare l'impostazione sul valore predefinito. Alcuni profili vengono rimossi dopo la rimozione dell'assegnazione o l'eliminazione del profilo, ad esempio profili Wi-Fi, profili VPN, profili certificato e profili di posta elettronica. Poiché questo comportamento è controllato da ogni provider di servizi di configurazione, è consigliabile provare a comprendere il comportamento del provider di servizi di configurazione per gestire correttamente le impostazioni. Per altre informazioni, vedere Informazioni di riferimento su Windows CSP.

Combinare tutti gli elementi

Per distribuire un URI OMA personalizzato per specificare come destinazione un CSP in un dispositivo Windows, creare un criterio personalizzato. I criteri devono contenere il percorso del percorso OMA-URI insieme al valore che si vuole modificare nel provider di servizi di configurazione (abilitare, disabilitare, modificare o eliminare).

Screenshot della pagina Crea un profilo. L'elemento personalizzato è evidenziato.

Screenshot che mostra i campi della descrizione del nome per creare un criterio personalizzato.

Screenshot delle impostazioni di configurazione e delle pagine Aggiungi riga.

Dopo aver creato i criteri, assegnarlo a un gruppo di sicurezza in modo che venga applicato.

Risoluzione dei problemi

Quando si risolvono i criteri personalizzati, la maggior parte dei problemi rientra nelle categorie seguenti:

  • I criteri personalizzati non hanno raggiunto il dispositivo client.
  • I criteri personalizzati hanno raggiunto il dispositivo client, ma il comportamento previsto non viene osservato.

Se si dispone di un criterio che non funziona come previsto, verificare se il criterio ha raggiunto anche il client. Sono disponibili due log da controllare per verificarne il recapito.

Log di diagnostica MDM

Screenshot dei log di diagnostica MDM.

Registro eventi di Windows

Screenshot del registro eventi di Windows.

Entrambi i log devono contenere un riferimento al criterio personalizzato o all'impostazione URI OMA che si sta tentando di distribuire. Se questo riferimento non viene visualizzato, è probabile che il criterio non sia stato recapitato al dispositivo. Verificare che il criterio sia configurato correttamente e che sia destinato al gruppo corretto.

Se si verifica che il criterio raggiunga il client, controllare DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log nel client la presenza di errori. È possibile che venga visualizzata una voce di errore contenente informazioni aggiuntive sul motivo per cui il criterio non è stato applicato. Le cause variano, ma spesso si verifica un problema nella sintassi della stringa OMA-URI configurata nei criteri personalizzati. Controllare il riferimento al provider di servizi di configurazione e verificare che la sintassi sia corretta.