Impostazioni di Endpoint Protection per Windows 10 e versioni successive in Microsoft IntuneEndpoint protection settings for Windows 10 and later in Microsoft Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

Il profilo di Endpoint Protection consente di controllare le funzionalità di sicurezza dei dispositivi Windows 10, ad esempio BitLocker e Windows Defender.The endpoint protection profile let you control security features on Windows 10 devices, like BitLocker, and Windows Defender.

Usare le informazioni in questo argomento per apprendere come creare profili di Endpoint Protection.Use the information in this topic to learn how to create endpoint protection profiles.

Nota

Queste impostazioni non sono supportate nelle edizioni di Windows 10 Home e Professional.These settings are not supported on the Home and Professional editions of Windows 10.

Creare un profilo di Endpoint ProtectionCreate an endpoint protection profile

  1. Accedere al portale Azure.Sign into the Azure portal.
  2. Scegliere Altri servizi > Monitoraggio e gestione > Intune.Choose More Services > Monitoring + Management > Intune.
  3. Nel pannello Intune scegliere Configurazione del dispositivo.On the Intune blade, choose Device configuration.
  4. Nel pannello Configurazione del dispositivo scegliere Gestisci > Profili.On the Device Configuration blade, choose Manage > Profiles.
  5. Nel pannello dei profili scegliere Crea profilo.On the profiles blade, choose Create Profile.
  6. Nel pannello Crea profilo immettere i valori di Nome e Descrizione per il profilo delle funzionalità dei dispositivi.On the Create Profile blade, enter a Name and Description for the device features profile.
  7. Dall'elenco a discesa Piattaforma selezionare Windows 10 e versioni successive.From the Platform drop-down list, select Windows 10 and later.
  8. Dall'elenco a discesa Tipo di profilo scegliere Endpoint Protection.From the Profile type drop-down list, choose Endpoint protection.
  9. Nel pannello Crittografia di Windows configurare le impostazioni volute.On the Windows encryption blade, configure the settings you want. I dettagli in questo argomento consentono di comprendere la funzione di ogni impostazione.Use the details in this topic to help you understand what each setting does. Al termine, scegliere OK.When you are finished, choose OK.
  10. Tornare al pannello Crea profilo e scegliere Crea.Go back to the Create Profile blade, and choose Create.

Il profilo viene creato e visualizzato nel pannello dell'elenco dei profili.The profile is created and appears on the profiles list blade.

Impostazioni di Windows Defender SmartScreenWindows Defender SmartScreen settings

  • SmartScreen per app e file: consente di abilitare Windows SmartScreen per l'esecuzione di file e per le app in esecuzione.SmartScreen for apps and files - Enable Windows SmartScreen for file execution, and running apps.
  • Esecuzione di file non verificati: consente di impedire all'utente finale di eseguire file non verificati da Windows SmartScreen.Unverified files execution - Block the end user from running files that have not been verified by Windows SmartScreen.

Impostazioni della crittografia di WindowsWindows encryption settings

Impostazioni WindowsWindows Settings

  • Richiedi la crittografia dei dispositivi (solo desktop): se questa impostazione è abilitata, viene richiesto di abilitare la crittografia dei dispositiviRequire devices to be encrypted (Desktop only) - If enabled, users are prompted to enable device encryption. e di confermare che non è abilitata la crittografia di alcun altro provider.Additionally, they are asked to confirm that encryption from another provider has not been enabled. Se la crittografia di Windows è attivata mentre è attivo un altro metodo di crittografia, il dispositivo potrebbe diventare instabile.If Windows encryption is turned on while another encryption method is active, the device might become unstable.
  • Richiedi la crittografia della scheda di memoria (solo dispositivi mobili): abilitare questa impostazione per crittografare le eventuali schede di memoria rimovibile usate dal dispositivo.Require Storage Card to be encrypted (mobile only) - Enable this setting to encrypt any removable storage cards used by the device.

Impostazioni di base di BitLockerBitLocker base settings

  • Configura i metodi di crittografia: abilitare questa impostazione per configurare gli algoritmi di crittografia per il sistema operativo, i dati e le unità rimovibili.Configure encryption methods - Enable this setting to configure encryption algorithms for operating system, data, and removable drives.
    • Crittografia per le unità del sistema operativo: scegliere il metodo di crittografia per le unità del sistema operativo.Encryption for operating system drives - Choose the encryption method for operating system drives. È consigliabile usare l'algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.
    • Crittografia per unità dati fisse: scegliere il metodo di crittografia per le unità dati fisse (predefinite).Encryption for fixed data-drives - Choose the encryption method for fixed (built-in) data drives. È consigliabile usare l'algoritmo XTS-AES.We recommend you use the XTS-AES algorithm.
    • Crittografia per unità dati rimovibili: scegliere il metodo di crittografia per le unità dati rimovibili (predefinite).Encryption for removable data-drives - Choose the encryption method for removable data drives. Se l'unità rimovibile viene usata con dispositivi che non eseguono Windows 10, è consigliabile usare l'algoritmo AES-CBC.If the removable drive is used with devices that are not running Windows 10, we recommend you use the AES-CBC algorithm.

Impostazioni delle unità del sistema operativo di BitLockerBitLocker OS drive settings

  • Richiedi l'autenticazione aggiuntiva all'avvio -Require additional authentication at startup -
    • BitLocker con chip TPM non compatibile -BitLocker with non-compatible TPM chip -
    • Avvio TPM: consente di configurare se il chip TPM è consentito, non consentito o obbligatorio.TPM startup - Configure whether the TPM chip is allowed, not allowed, or required.
    • PIN di avvio TPM: consente di configurare se l'uso di un PIN di avvio con il chip TPM è consentito, non consentito o obbligatorio.TPM startup PIN - Configure whether using a startup PIN with the TPM chip is allowed, not allowed, or required.
    • Chiave di avvio TPM: consente di configurare se l'uso di una chiave di avvio con il chip TPM è consentito, non consentito o obbligatorio.TPM startup key - Configure whether using a startup key with the TPM chip is allowed, not allowed, or required.
    • Chiave di avvio e PIN TPM: consente di configurare se l'uso di una chiave e di un PIN di avvio con il chip TPM è consentito, non consentito o obbligatorio.TPM startup key and PIN - Configure whether using a startup key and PIN with the TPM chip is allowed, not allowed, or required.
  • Lunghezza minima del PIN: abilitare questa impostazione per configurare la lunghezza minima del PIN di avvio del chip TPM.Minimum PIN Length - Enable this setting to configure a minimum length for the TPM startup PIN.
    • Numero minimo di caratteri: immettere il numero di caratteri obbligatorio per il PIN di avvio, 4-20.Minimum characters - Enter the number of characters required for the startup PIN from 4-20.
  • Abilita il ripristino delle unità del sistema operativo: abilitare questa impostazione per controllare la modalità di ripristino delle unità del sistema operativo protette da BitLocker se le informazioni necessarie all'avvio non sono disponibili.Enable OS drive recovery - Enable this setting to control how BitLocker-protected operating system drives are recovered when the required start-up information is not available.
    • Agente di recupero dati basato su certificati: abilitare questa impostazione se si vuole che sia possibile usare gli agenti di recupero dati con unità del sistema operativo protette da BitLocker.Certificate-based data recovery agent - Enable this setting if you want data recovery agents to be able to be used with BitLocker-protected operating system drives.
    • Creazione della password di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una password di ripristino di 48 cifre.User creation of recovery password - Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Creazione della chiave di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una chiave di ripristino a 256 bit.User creation of recovery key - Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Nascondi le opzioni di ripristino nell'installazione guidata di BitLocker : abilitare questa impostazione per impedire agli utenti di visualizzare o modificare le opzioni di ripristino se BitLocker è attivato.Hide recovery options in the BitLocker setup wizard - Enable this setting to prevent users from seeing, or changing recovery options when they turn on BitLocker.
    • Salva le informazioni di ripristino di BitLocker in AD DS: consente l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory.Save BitLocker recovery information to AD DS - Enables the storage of BitLocker recovery information in Active Directory.
    • Configura l'archiviazione delle informazioni di ripristino di BitLocker in AD DS: consente di configurare quali parti delle informazioni di ripristino di BitLocker devono essere archiviate in Active Directory.Configure storage of BitLocker recovery Information to AD DS - Configure what parts of BitLocker recovery information are stored in Active Directory. È possibile scegliere tra:Choose from:
      • Backup delle password di ripristino e dei pacchetti di chiaviBackup recovery passwords and key packages
      • Backup solo delle password di ripristinoBackup recovery passwords only
    • Richiedi l'archiviazione delle informazioni di ripristino in AD DS prima di abilitare BitLocker: abilitare questa impostazione per consentire agli utenti di attivare BitLocker solo se il dispositivo è stato aggiunto al dominio e le informazioni di ripristino di BitLocker sono state archiviate in Active Directory.Require recovery information to be stored in AD DS before enabling BitLocker - Enable this setting to stop users from turning on BitLocker unless the device is domain-joined, and BitLocker recovery information is successfully stored in Active Directory.
  • Abilita l'URL e il messaggio di ripristino prima dell'avvio: abilitare questa impostazione per configurare il messaggio e l'URL visualizzati nella schermata di recupero della chiave prima dell'avvio.Enable pre-boot recovery message and URL - Enable this setting to configure the message and URL that are displayed on the pre-boot key recovery screen.
    • Messaggio di ripristino prima dell'avvio: consente di configurare la modalità di visualizzazione del messaggio di ripristino.Pre-boot recovery message - Configure how the pre-boot recovery message displays to users. È possibile scegliere tra:Choose from:
      • Usa URL e messaggio di ripristino predefinitiUse default recovery message and URL
      • Usa un messaggio di ripristino e un URL vuotiUse empty recovery message and URL
      • Usa messaggio di ripristino personalizzatoUse custom recovery message
      • Usa URL di ripristino personalizzatoUse custom recovery URL

Impostazioni delle unità dati fisse BitLockerBitLocker fixed data-drive settings

  • Nega l'accesso in scrittura alle unità dati fisse non protette da BitLocker: se questa impostazione è abilitata, è necessario abilitare la protezione BitLocker per tutte le unità dati fisse o predefinite perché sia possibile scrivere all'interno di esse.Deny write access to fixed data-drive not protected by BitLocker - If enabled, BitLocker protection must be enabled on all fixed, or built-in data drives to be able to write to them.
  • Abilita il ripristino delle unità fisse: abilitare questa impostazione per controllare la modalità di ripristino delle unità fisse protette da BitLocker se le informazioni necessarie all'avvio non sono disponibili.Enable fixed drive recovery - Enable this setting to control how BitLocker-protected fixed drives are recovered when the required start-up information is not available.
    • Agente di recupero dati: abilitare questa impostazione se si vogliono usare gli agenti di recupero dati con unità fisse protette da BitLocker.Data recovery agent - Enable this setting if you want data recovery agents to be used with BitLocker-protected fixed drives.
    • Creazione della password di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una password di ripristino di 48 cifre.User creation of recovery password - Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Creazione della chiave di ripristino da parte dell'utente: configurare se per gli utenti è consentito, obbligatorio o non consentito generare una chiave di ripristino a 256 bit.User creation of recovery key - Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Nascondi le opzioni di ripristino nell'installazione guidata di BitLocker : abilitare questa impostazione per impedire agli utenti di visualizzare o modificare le opzioni di ripristino se BitLocker è attivato.Hide recovery options in the BitLocker setup wizard - Enable this setting to prevent users from seeing, or changing recovery options when they turn on BitLocker.
    • Salva le informazioni di ripristino di BitLocker in AD DS: consente l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory.Save BitLocker recovery information to AD DS - Enables the storage of BitLocker recovery information in Active Directory.
    • Configura l'archiviazione delle informazioni di ripristino di BitLocker in AD DS: consente di configurare quali parti delle informazioni di ripristino di BitLocker devono essere archiviate in Active Directory.Configure storage of BitLocker recovery Information to AD DS - Configure what parts of BitLocker recovery information are stored in Active Directory. È possibile scegliere tra:Choose from:
      • Backup delle password di ripristino e dei pacchetti di chiaviBackup recovery passwords and key packages
      • Backup solo delle password di ripristinoBackup recovery passwords only
    • Richiedi l'archiviazione delle informazioni di ripristino in AD DS prima di abilitare BitLocker: abilitare questa impostazione per consentire agli utenti di attivare BitLocker solo se il dispositivo è stato aggiunto al dominio e le informazioni di ripristino di BitLocker sono state archiviate in Active Directory.Require recovery information to be stored in AD DS before enabling BitLocker - Enable this setting to stop users from turning on BitLocker unless the device is domain-joined, and BitLocker recovery information has been successfully stored in Active Directory.

Impostazioni delle unità dati rimovibili BitLockerBitLocker removable data-drive settings

  • Nega l'accesso in scrittura alle unità dati rimovibili non protette da BitLocker: specificare se la crittografia BitLocker è obbligatoria per le unità di archiviazione rimovibili.Deny write access to removable data-drive not protected by BitLocker - Specify whether BitLocker encryption is required for removable storage drives.
    • Blocca l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione: specificare se è possibile scrivere nelle unità dati rimovibili che appartengono a un'altra organizzazione.Block write access to devices configured in another organization - Specify whether removable data drives that belong to another organization can be written to.

Passaggi successiviNext steps

Se si desidera proseguire e assegnare il profilo ai gruppi, vedere Come assegnare i profili di dispositivo.If you want to go ahead and assign this profile to groups, see How to assign device profiles.