Come creare i criteri di conformità per i dispositivi Windows in IntuneHow to create a device compliance policy for Windows devices in Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

I criteri di conformità vengono creati per ogni piattaforma.Compliance policies are created for each platform. È possibile creare i criteri di conformità nel portale di Azure.You can create a compliance policy in the Azure portal. Per altre informazioni sui criteri di conformità consultare l'argomento What is a device compliance(Che cos'è la conformità dei dispositivi).To learn more about what compliance policy is see What is a device compliance topic. Per altre informazioni sui prerequisiti che è necessario soddisfare prima di creare i criteri di conformità, consultare l'argomento Get started with device compliance (Introduzione alla conformità dei dispositivi).To learn about the prerequisites that you need to address before creating a compliance policy see Get started with device compliance topic.

La tabella seguente descrive il modo in cui le impostazioni di non conformità vengono gestite quando i criteri di conformità vengono usati con i criteri di accesso condizionale.The table below describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Impostazione di criteriPolicy setting Windows 8.1 e versioni successiveWindows 8.1 and later Windows Phone 8.1 e versioni successiveWindows Phone 8.1 and later
Configurazione di PIN o passwordPIN or password configuration CorrettoRemediated CorrettoRemediated
Crittografia dispositivoDevice encryption Non applicabileNot applicable CorrettoRemediated
Dispositivo jailbroken o rootedJailbroken or rooted device Non applicabileNot applicable Non applicabileNot applicable
Profilo di posta elettronicaEmail profile Non applicabileNot applicable Non applicabileNot applicable
Versione minima del sistema operativoMinimum OS version In quarantenaQuarantined In quarantenaQuarantined
Versione massima del sistema operativoMaximum OS version In quarantenaQuarantined In quarantenaQuarantined
Attestazione dell'integrità di WindowsWindows health attestation In quarantena: Windows 10 e Windows 10 MobileQuarantined: Windows 10 and Windows 10 Mobile Non applicabile: Windows 8.1Not applicable: Windows 8.1

Con correzione = il sistema operativo del dispositivo impone la conformità.Remediated = The device operating system enforces compliance. (Ad esempio, l'utente è obbligato a impostare un PIN.)+(For example, the user is forced to set a PIN.)+

In quarantena = il sistema operativo del dispositivo non impone la conformità.Quarantined = The device operating system does not enforce compliance. (Ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente.) Quando il dispositivo non è compatibile, vengono eseguite le azioni seguenti:+(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:+

  • Il dispositivo viene bloccato se un criterio di accesso condizionale si applica all'utente.The device is blocked if a conditional access policy applies to the user.
  • Il portale aziendale segnala all'utente eventuali problemi di conformità.The company portal notifies the user about any compliance problems.

Creare i criteri di conformità nel portale di AzureCreate a compliance policy in the Azure portal

  1. Dal pannello Intune scegliere Imposta la conformità dei dispositivi.From the Intune blade, choose Set Device compliance. In Gestisci scegliere All device compliance policies (Tutti i criteri di conformità dei dispositivi) e scegliere Crea.Under Manage, choose All device compliance policies and choose Create.
  2. Digitare un nome e una descrizione, quindi scegliere la piattaforma a cui si desidera applicare questi criteri.Type a name, description and choose the platform that you want this policy to apply to.
  3. Scegliere Requisiti per la conformità per aprire il relativo pannello.Choose Compliance requirements to open the compliance requirements blade. È possibile specificare le impostazioni Protezione, Integrità del dispositivo e Proprietà del dispositivo. Al termine, scegliere OK.You can specify the Security, Device health, and Device property settings here, When you are done, choose Ok.

Assegnare gruppi di utentiAssign user groups

Per assegnare agli utenti i criteri di conformità, scegliere un criterio configurato.To assign a compliance policy to users, choose a policy that you have configured. I criteri esistenti sono reperibili nel pannello Criteri di conformità.Existing policies can be found in the Compliance –policies blade.

  1. Scegliere il criterio da assegnare agli utenti, quindi selezionare Assegnazioni.Choose the policy you want to assign to users and choose Assignments. Si apre il pannello da cui è possibile selezionare i Gruppi di sicurezza Azure Active Directory e assegnarli ai criteri.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Scegliere Seleziona gruppi per aprire il pannello che consente di visualizzare i gruppi di sicurezza di Azure AD.Choose Select groups to open the blade that displays the Azure AD security groups. Se si sceglie Seleziona il criterio verrà distribuito agli utenti.Choosing Select deploys the policy to users.

Il criterio è stato applicato agli utenti.You have applied the policy to users. I dispositivi usati dagli utenti a cui è destinato il criterio vengono valutati per la conformità.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Impostazioni di sicurezza del sistemaSystem security settings

PasswordPassword

  • Richiedi una password per sbloccare i dispositivi mobili: impostare l'opzione su per richiedere agli utenti di immettere una password per poter accedere al dispositivo.Require a password to unlock mobile devices: Set this to Yes to require users to enter a password before they can access their device.
  • Consenti password semplici: impostare l'opzione su per consentire agli utenti di creare password semplici come "1234" o "1111".Allow simple passwords: Set this to Yes to let users create simple passwords such as ' '1234'; or ' 1111'.
  • Lunghezza minima password: specificare il numero minimo di cifre o caratteri che la password dell'utente deve contenere.Minimum password length: Specify the minimum number of digits or characters that the user's password must contain.
  • Tipo di password richiesto: specificare se gli utenti devono creare una password alfanumerica o numerica.Required password type: Specify whether users must create an Alphanumeric , or a Numeric password.

Per i dispositivi che eseguono Windows e prevedono l'accesso con un account Microsoft, i criteri di conformità non eseguono correttamente la convalida se la lunghezza minima della password è maggiore di otto caratteri e il numero minimo di set di caratteri è maggiore di due.For devices that run Windows and accessed with a Microsoft account, the compliance policy will fail to evaluate correctly if minimum password length is greater than eight characters or if minimum number of character sets is more than two.

  • Numero minimo di set di caratteri: se Tipo di password richiesto è impostato su Alfanumerico, questa impostazione specifica il numero minimo di set di caratteri che la password deve contenere.Minimum number of character sets: If Required password type is set to Alphanumeric , this setting specifies the minimum number of character sets that the password must contain. I quattro set di caratteri sono:The four character sets are:
    • Lettere minuscoleLowercase letters
    • Lettere maiuscoleUppercase letters
    • SimboliSymbols
    • NumeriNumbers

Se per questa impostazione viene usato un numero più alto, gli utenti dovranno creare password più complesse.Setting a higher number for this setting will require users to create passwords that are more complex. Per i dispositivi che eseguono Windows e prevedono l'accesso con un account Microsoft, i criteri di conformità non eseguono correttamente la convalida se la lunghezza minima della password è maggiore di otto caratteri e il numero minimo di set di caratteri è maggiore di due.For devices that run Windows and accessed with a Microsoft account, the compliance policy will fail to evaluate correctly if minimum password length is greater than eight characters or if minimum number of character sets is more than two.

  • Minuti di inattività prima che venga richiesta la password: specifica il tempo di inattività prima che l'utente debba immettere nuovamente la password.Minutes of inactivity before password is required: Specifies the idle time before the user must re-enter their password.
  • Scadenza password (giorni): selezionare la durata in giorni della password. Dopo questo periodo di tempo, gli utenti devono crearne una nuova.Password expiration (days): Select the number of days before the user's password expires and they must create a new one.
  • Ricorda cronologia password: usare questa impostazione insieme a Impedisci riutilizzo delle password precedenti per impedire all'utente di creare password già usate in precedenza.Remember password history: Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Impedisci riutilizzo delle password precedenti: se l'opzione Ricorda cronologia password è selezionata, specificare il numero di password usate in precedenza che non è possibile riutilizzare.Prevent reuse of previous passwords: If Remember password history is selected, specify the number of previously used passwords that cannot be re-used.
  • Richiedi una password quando il dispositivo torna attivo dopo uno stato di inattività: questa impostazione deve essere usata insieme all'impostazione Minuti di inattività prima che venga richiesta la password.Require a password when the device returns from an idle state: This setting should be used together with the Minutes of inactivity before password is required setting. Agli utenti finali viene richiesto di immettere una password per accedere a un dispositivo che è rimasto inattivo per il tempo specificato nell'impostazione Minuti di inattività prima che venga richiesta la password.The end users are prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

Questa impostazione si applica solo ai dispositivi Windows 10 Mobile.This setting only applies to Windows 10 Mobile devices.

CrittografiaEncryption

  • Richiedi crittografia sul dispositivo mobile: impostare questa opzione su per richiedere che il dispositivo sia crittografato per la connessione alle risorse.Require encryption on mobile device: Set this to Yes to require the device to be encrypted in order to connect to resources.

Impostazioni dell'integrità dei dispositiviDevice health settings

  • Richiedi che i dispositivi siano segnalati come integri: è possibile impostare una regola per richiedere che i dispositivi Windows 10 Mobile vengano segnalati come integri nei criteri di conformità nuovi o esistenti.Require devices to be reported as healthy: You can set a rule to require that Windows 10 Mobile devices must be reported as healthy in new or existing Compliance Policies. Se questa impostazione è abilitata, i dispositivi Windows 10 vengono valutati tramite il servizio di attestazione dell'integrità in base ai punti dati seguenti:If this setting is enabled, Windows 10 devices are evaluated via the Health Attestation Service (HAS) for the following data points:
    • Abilitazione della funzionalità BitLocker: se la funzionalità BitLocker è attiva, il dispositivo è in grado di proteggere i dati archiviati nell'unità da accessi non autorizzati, quando il sistema è spento o passa allo stato di ibernazione.BitLocker is enabled: When BitLocker is on, the device is able to protect data that is stored on the drive from unauthorized access, when the system is turned off or goes to hibernation. Crittografia unità BitLocker di Windows crittografa tutti i dati archiviati nel volume del sistema operativo Windows.Windows BitLocker Drive Encryption encrypts all data stored on the Windows operating system volume. BitLocker usa il TPM per proteggere il sistema operativo Windows e i dati utente e consente di garantire che un computer non venga manomesso anche se viene perso, rubato o lasciato incustodito.BitLocker uses the TPM to help protect the Windows operating system and user data and helps to ensure that a computer is not tampered with, even if it is left unattended, lost, or stolen. Se il computer è dotato di un TPM compatibile, BitLocker usa il TPM per bloccare le chiavi di crittografia che proteggono i dati.If the computer is equipped with a compatible TPM, BitLocker uses the TPM to lock the encryption keys that protect the data. Di conseguenza, non è possibile accedere alle chiavi finché il TPM non ha verificato lo stato del computer.As a result, the keys cannot be accessed until the TPM has verified the state of the computer
    • Abilitazione della funzionalità Integrità del codice: l'integrità del codice è una funzionalità che verifica l'integrità di un driver o di un file di sistema ogni volta che viene caricato in memoria.Code integrity is enabled: Code integrity is a feature that validates the integrity of a driver or system file each time it is loaded into memory. L'integrità del codice rileva se un driver o un file di sistema non firmato viene caricato nel kernel o se un file di sistema è stato modificato da software dannoso eseguito da un account utente con privilegi di amministratore.Code integrity detects whether an unsigned driver or system file is being loaded into the kernel, or whether a system file has been modified by malicious software that is being run by a user account with administrator privileges.
    • Abilitazione della funzionalità Avvio protetto: quando è abilitato l'avvio protetto, il sistema viene forzato a eseguire l'avvio in uno stato attendibile predefinito.Secure Boot is enabled: When Secure Boot is enabled, the system is forced to boot to a factory trusted state. Inoltre, quando è abilitato l'avvio protetto, i componenti di base usati per avviare il computer devono avere le firme di crittografia corrette considerate attendibili dall'organizzazione che ha prodotto il dispositivo.Also, when Secure Boot is enabled, the core components used to boot the machine must have correct cryptographic signatures that are trusted by the organization that manufactured the device. Il firmware UEFI effettua questa verifica prima dell'avvio del computer.The UEFI firmware verifies this before it lets the machine start. Se un file è stato manomesso modificandone la firma, il sistema non verrà avviato.If any files have been tampered with, breaking their signature, the system will not boot.

Per informazioni su come funziona il servizio di attestazione dell'integrità, vedere l'articolo relativo al CSP per l'attestazione dell'integrità.For information on how the HAS service works, see Health Attestation CSP.

Impostazioni delle proprietà dei dispositiviDevice property settings

  • Minimum OS required (Versione minima richiesta del sistema operativo): quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, verrà segnalato come non conforme.Minimum OS required: When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information on how to upgrade is displayed. L'utente finale può scegliere di aggiornare il dispositivo e dopo l'aggiornamento potrà accedere alle risorse aziendali.The end user can choose to upgrade their device after which they can access company resources.
  • Maximum OS version allowed (Versione massima consentita del sistema operativo): quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali risulterà bloccato e l'utente dovrà contattare l'amministratore IT. Fino a quando la regola non viene modificata in modo da consentire la versione del sistema operativo, non è possibile usare questo dispositivo per accedere alle risorse aziendali.Maximum OS version allowed: When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.

Impostazioni di sicurezza del sistemaSystem security settings

PasswordPassword

  • Lunghezza minima password: supportata in Windows 8.1.Minimum password length: - Supported on Windows 8.1.

Specificare il numero minimo di cifre o caratteri che la password dell'utente deve contenere.Specify the minimum number of digits or characters that the user's password must contain.

Per i dispositivi che prevedono l'accesso con un account Microsoft, i criteri di conformità non eseguono correttamente la convalida se Lunghezza minima password è maggiore di 8 caratteri e Numero minimo di set di caratteri è maggiore di 2 caratteri.For devices that are accessed with a Microsoft Account, the compliance policy will fail to evaluate correctly if Minimum password length is greater than 8 characters or if Minimum number of character sets is more than two characters.

  • Tipo di password richiesto: supportata in Windows RT, Windows RT 8.1 e Windows 8.1.Required password type: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1

Specificare se gli utenti devono creare una password alfanumerica o numerica.Specify whether users must create an Alphanumeric , or a Numeric password.

  • Numero minimo di set di caratteri: supportata in Windows RT, Windows RT 8.1 e Windows 8.1.Minimum number of character sets: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1. Se Tipo di password richiesto è impostato su Alfanumerico, questa impostazione specifica il numero minimo di set di caratteri che la password deve contenere.If Required password type is set to Alphanumeric , this setting specifies the minimum number of character sets that the password must contain. I quattro set di caratteri sono:The four character sets are:
    • Lettere minuscoleLowercase letters
    • Lettere maiuscoleUppercase letters
    • SimboliSymbols
    • Numeri: se per questa impostazione viene usato un numero più alto, gli utenti dovranno creare password più complesse.Numbers: Setting a higher number for this setting will require users to create passwords that are more complex.

Per i dispositivi che prevedono l'accesso con un account Microsoft, i criteri di conformità non eseguono correttamente la convalida se Lunghezza minima password è maggiore di 8 caratteri e Numero minimo di set di caratteri è maggiore di 2 caratteri.For devices that are accessed with a Microsoft Account, the compliance policy will fail to evaluate correctly if Minimum password length is greater than 8 characters or if Minimum number of character sets is more than 2 characters.

  • Minuti di inattività prima che venga richiesta la password: supportata in Windows RT, Windows RT 8.1 e Windows 8.1Minutes of inactivity before password is required: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1

Specificare il tempo di inattività prima che l'utente debba immettere nuovamente la password.Specify the idle time before the user must re-enter their password.

  • Scadenza password (giorni): supportata in Windows RT, Windows RT 8.1 e Windows 8.1.Password expiration (days): -Supported on Windows RT, Windows RT 8.1, and Windows 8.1.

Selezionare il numero di giorni che mancano alla scadenza della password attuale, quando l'utente deve creare una nuova password.Select the number of days before the user's password expires and they must create a new one.

  • Ricorda cronologia password: supportata in Windows RT, Windows RT e Windows 8.1.Remember password history: - Supported on Windows RT, Windows RT, and Windows 8.1.

Usare questa impostazione insieme a Impedisci riutilizzo delle password precedenti per impedire all'utente di creare password già usate precedentemente.Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.

  • Impedisci riutilizzo delle password precedenti: supportata in Windows RT, Windows RT 8.1 e Windows 8.1Prevent reuse of previous passwords: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1

Se l'opzione Ricorda cronologia password è selezionata, specificare il numero di password usate in precedenza che non è possibile riutilizzare.If Remember password history: is selected, specify the number of previously used passwords that cannot be re-used.

Impostazioni dello stato dei dispositiviDevice health settings

  • Richiedi che i dispositivi siano segnalati come integri: supportata nei dispositivi Windows 10.Require devices to be reported as healthy: - Supported on Windows 10 devices. È possibile impostare una regola per richiedere che i dispositivi Windows 10 vengano riportati come integri nei criteri di conformità nuovi o esistenti.You can set a rule to require that Windows 10 devices must be reported as healthy in new or existing Compliance Policies. Se questa impostazione è abilitata, i dispositivi Windows 10 vengono valutati tramite il servizio di attestazione dell'integrità in base ai punti dati seguenti:If this setting is enabled, Windows 10 devices are evaluated via the Health Attestation Service (HAS) for the following data points:
    • Abilitazione della funzionalità BitLocker: se la funzionalità BitLocker è attiva, il dispositivo è in grado di proteggere i dati archiviati nell'unità da accessi non autorizzati, quando il sistema è spento o passa allo stato di ibernazione.BitLocker is enabled: When BitLocker is on, the device is able to protect data that is stored on the drive from unauthorized access, when the system is turned off or goes to hibernation. Crittografia unità BitLocker di Windows crittografa tutti i dati archiviati nel volume del sistema operativo Windows.Windows BitLocker Drive Encryption encrypts all data stored on the Windows operating system volume. BitLocker usa il TPM per proteggere il sistema operativo Windows e i dati utente e consente di garantire che un computer non venga manomesso anche se viene perso, rubato o lasciato incustodito.BitLocker uses the TPM to help protect the Windows operating system and user data and helps to ensure that a computer is not tampered with, even if it is left unattended, lost, or stolen. Se il computer è dotato di un TPM compatibile, BitLocker usa il TPM per bloccare le chiavi di crittografia che proteggono i dati.If the computer is equipped with a compatible TPM, BitLocker uses the TPM to lock the encryption keys that protect the data. Di conseguenza, non è possibile accedere alle chiavi finché il TPM non ha verificato lo stato del computer.As a result, the keys cannot be accessed until the TPM has verified the state of the computer
    • Abilitazione della funzionalità Integrità del codice: l'integrità del codice è una funzionalità che verifica l'integrità di un driver o di un file di sistema ogni volta che viene caricato in memoria.Code integrity is enabled: Code integrity is a feature that validates the integrity of a driver or system file each time it is loaded into memory. L'integrità del codice rileva se un driver o un file di sistema non firmato viene caricato nel kernel o se un file di sistema è stato modificato da software dannoso eseguito da un account utente con privilegi di amministratore.Code integrity detects whether an unsigned driver or system file is being loaded into the kernel, or whether a system file has been modified by malicious software that is being run by a user account with administrator privileges.
    • Abilitazione della funzionalità Avvio protetto: quando è abilitato l'avvio protetto, il sistema viene forzato a eseguire l'avvio in uno stato attendibile predefinito.Secure Boot is enabled: When Secure Boot is enabled, the system is forced to boot to a factory trusted state. Inoltre, quando è abilitato l'avvio protetto, i componenti di base usati per avviare il computer devono avere le firme di crittografia corrette considerate attendibili dall'organizzazione che ha prodotto il dispositivo.Also, when Secure Boot is enabled, the core components used to boot the machine must have correct cryptographic signatures that are trusted by the organization that manufactured the device. Il firmware UEFI effettua questa verifica prima dell'avvio del computer.The UEFI firmware verifies this before it lets the machine start. Se un file è stato manomesso modificandone la firma, il sistema non verrà avviato.If any files have been tampered with, breaking their signature, the system will not boot.
    • Abilitazione della funzionalità Antimalware ad esecuzione anticipata: la funzionalità Antimalware ad esecuzione anticipata fornisce protezione per i computer della rete all'avvio e prima dell'inizializzazione di driver di terze parti.Early-launch antimalware is enabled: Early launch anti-malware (ELAM) provides protection for the computers in your network when they start up and before third party drivers initialize.

Per informazioni su come funziona il servizio di attestazione dell'integrità, vedere l'articolo relativo al CSP per l'attestazione dell'integrità.For information on how the HAS service works, see Health Attestation CSP.

Impostazioni delle proprietà dei dispositiviDevice property settings

  • Versione minima richiesta del sistema operativo: supportata in Windows 8.1 e Windows 10.Minimum OS required: - Supported on Windows 8.1, and Windows 10.

Qui è necessario specificare il numero major.minor.build.Specify the major.minor.build number here. Il numero di versione deve corrispondere alla versione restituita dal comando winver.The version number must correspond to the version returned by the winver command.

Quando un dispositivo ha una versione precedente rispetto alla versione del sistema operativo specificata, viene segnalato come non conforme.When a device has a earlier version that the specified OS version, it is reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information on how to upgrade is displayed. L'utente finale può scegliere di aggiornare il dispositivo e dopo l'aggiornamento potrà accedere alle risorse aziendali.The end user can choose to upgrade their device after which they can access company resources.

  • Versione massima consentita del sistema operativo: supportata in Windows 8.1 e Windows 10.Maximum OS version allowed: - Supported on Windows 8.1, and Windows 10.

Quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali risulterà bloccato e l'utente dovrà contattare l'amministratore IT. Fino a quando la regola non viene modificata in modo da consentire la versione del sistema operativo, non è possibile usare questo dispositivo per accedere alle risorse aziendali.When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.

Per trovare la versione del sistema operativo da usare per le impostazioni Versione minima richiesta del sistema operativo e Versione massima consentita del sistema operativo, eseguire il comando winver dal prompt dei comandi.To find the OS version to use for the Minimum OS required , and Maximum OS version allowed settings, run the winver command from the command prompt. Il comando winver restituisce la versione segnalata del sistema operativo.The winver command returns the reported version of the OS.+

  • I PC Windows 8.1 restituiscono la versione 3.Windows 8.1 PCs return a version of 3. Se la regola della versione del sistema operativo è impostata su Windows 8.1 per Windows, il dispositivo risulta non conforme anche se il sistema operativo installato è Windows 8.1.If the OS version rule is set to Windows 8.1 for Windows, then the device is reported as noncompliant even if the device has Windows 8.1.
  • Per i PC che eseguono Windows 10, la versione deve essere impostata come "10.0" più il numero di build del sistema operativo restituito dal comando winver.PCs running Windows 10, the version should be set as "10.0"+ the OS Build number returned by the winver command.