Assegnare profili utente e profili di dispositivo in Microsoft Intune

Dopo aver creato un profilo, completo di tutte le impostazioni specificate, il passaggio successivo consiste nel distribuire o "assegnare" il profilo ai gruppi di utenti o di dispositivi. Con l'assegnazione, gli utenti e i dispositivi ricevono il profilo e vengono applicate le impostazioni specificate.

Questo articolo illustra come assegnare un profilo e include alcune informazioni sull'uso dei tag di ambito nei profili.

Nota

Quando un profilo viene rimosso o non è più assegnato a un dispositivo, si possono verificare situazioni diverse, a seconda delle impostazioni presenti nel profilo. Le impostazioni si basano sui provider di servizi di configurazione (CSP) e ogni CSP può gestire la rimozione del profilo in modo diverso. Ad esempio, un'impostazione potrebbe mantenere il valore esistente e non tornare a un valore predefinito. Il comportamento è controllato da ogni CSP nel sistema operativo. Per un elenco di CSP di Windows, vedere il riferimento sui provider di servizi di configurazione (CSP).

Per modificare un'impostazione e usare un valore diverso, creare un nuovo profilo, configurare l'impostazione su Non configurato e assegnare il profilo. Dopo l'applicazione al dispositivo, gli utenti devono essere in grado di modificare l'impostazione scegliendo il valore preferito.

Quando si configurano queste impostazioni, è consigliabile distribuirle a un gruppo pilota. Per altre indicazioni sull'implementazione, vedere le istruzioni per la creazione di un piano di implementazione.

Prima di iniziare

Assicurarsi di avere il ruolo corretto per assegnare i profili. Per altre informazioni, vedere Controllo degli accessi in base al ruolo (RBAC) con Microsoft Intune.

Assegnare un profilo di dispositivo

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Selezionare Dispositivi > Profili di configurazione. Vengono elencati tutti i profili.

  3. Selezionare il profilo da assegnare > Proprietà > Assegnazioni > Modifica:

    Selezionare le assegnazioni per distribuire il profilo a utenti e gruppi in Microsoft Intune ed Endpoint Manager

  4. Selezionare Gruppi inclusi o Gruppi esclusi e quindi scegliere Selezionare i gruppi da includere. Quando si selezionano i gruppi, si sceglie un gruppo di Azure AD. Per selezionare più gruppi, tenere premuto CTRL e selezionare i gruppi.

    Includere o escludere utenti e gruppi durante l'assegnazione o la distribuzione di un profilo in Microsoft Intune ed Endpoint Manager.

  5. Selezionare Verifica e salva. Questo passaggio non assegna il profilo.

  6. Selezionare Salva. Quando si salva, il profilo viene assegnato. I gruppi riceveranno le impostazioni del profilo quando i dispositivi si connettono al servizio Intune.

Usare i tag di ambito o le regole di applicabilità

Durante la creazione o l'aggiornamento di un profilo è anche possibile aggiungere tag di ambito e regole di applicabilità.

I tag di ambito sono un ottimo modo per filtrare i profili in base a gruppi specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni, vedere Use RBAC and scope tags for distributed IT (Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito).

Nei dispositivi Windows 10 è possibile aggiungere regole di applicabilità, in modo che il profilo venga applicato solo a una versione specifica del sistema operativo o a un'edizione specifica di Windows. Per altre informazioni, vedere Regole di applicabilità.

Gruppi di utenti e gruppi di dispositivi

Molti utenti vogliono sapere quando usare i gruppi di utenti e quando usare i gruppi di dispositivi. La risposta dipende dall'obiettivo dell'utente. Ecco alcune indicazioni per iniziare.

Gruppi di dispositivi

Se si vogliono applicare impostazioni in un dispositivo, indipendentemente dall'utente che esegue l'accesso, assegnare i profili a un gruppo di dispositivi. Le impostazioni applicate ai gruppi di dispositivi si riferiscono sempre al dispositivo e non all'utente.

Ad esempio:

  • I gruppi di dispositivi sono utili per gestire i dispositivi che non hanno un utente dedicato. Si hanno ad esempio dispositivi che stampano ticket, analizzano l'inventario, vengono condivisi da dipendenti che lavorano a turni, sono assegnati a un magazzino specifico e così via. Inserire questi dispositivi in un gruppo di dispositivi e assegnare i profili a questo gruppo di dispositivi.

  • Si crea un profilo di Intune DFCI (Device Firmware Configuration Interface, Interfaccia di configurazione del firmware del dispositivo) che aggiorna le impostazioni nel BIOS. Si configura ad esempio questo profilo per disabilitare la fotocamera del dispositivo o bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo. Questo profilo è uno scenario valido da assegnare a un gruppo di dispositivi.

  • In alcuni dispositivi Windows specifici è sempre necessario controllare alcune impostazioni Microsoft Edge, indipendentemente dall'utente che usa il dispositivo. Si vuole ad esempio bloccare tutti i download, limitare tutti i cookie alla sessione di esplorazione corrente ed eliminare la cronologia esplorazioni. Per questo scenario, inserire questi dispositivi Windows specifici in un gruppo di dispositivi. Creare quindi un modello amministrativo in Intune, aggiungere queste impostazioni dispositivo e assegnare questo profilo al gruppo di dispositivi.

Per riepilogare, usare i gruppi di dispositivi quando non è importante chi ha eseguito l'accesso o se qualcuno accede al dispositivo. Si vuole che le impostazioni accompagnino sempre il dispositivo.

Gruppi di utenti

Le impostazioni del profilo applicate ai gruppi di utenti si abbinano all'utente e lo accompagnano quando esegue l'accesso ai diversi dispositivi. È normale che gli utenti abbiano molti dispositivi, ad esempio un dispositivo Surface Pro per il lavoro e un dispositivo iOS/iPadOS per uso personale. È normale che un utente acceda alla posta elettronica e ad altre risorse dell'organizzazione da questi dispositivi.

Se un utente ha più dispositivi nella stessa piattaforma, è possibile usare filtri per l'assegnazione del gruppo. Ad esempio, un utente ha un dispositivo iOS/iPadOS personale e un dispositivo iOS/iPadOS di proprietà dell'organizzazione. Quando si assegna un criterio per l'utente, è possibile filtrare gli utenti in modo che la destinazione sia solo il dispositivo di proprietà dell'organizzazione.

Seguire questa regola generale: se una funzionalità appartiene a un utente, ad esempio la posta elettronica o i certificati utente, assegnare a gruppi di utenti.

Ad esempio:

  • Si vuole inserire un'icona Help Desk in tutti i dispositivi di tutti gli utenti. In questo scenario inserire questi utenti in un gruppo di utenti e assegnare il profilo dell'icona Help Desk a questo gruppo di utenti.

  • Un utente riceve un nuovo dispositivo di proprietà dell'organizzazione. L'utente accede al dispositivo usando il proprio account di dominio. Il dispositivo viene registrato automaticamente in Azure AD e gestito automaticamente da Intune. Questo profilo è uno scenario valido da assegnare a un gruppo di utenti.

  • Ogni volta che un utente accede a un dispositivo, si vogliono controllare le funzionalità nelle app, ad esempio OneDrive oppure Office. In questo scenario assegnare le impostazioni del profilo di OneDrive o Office a un gruppo di utenti.

    Si vuole ad esempio bloccare i controlli ActiveX non attendibili nelle app di Office. È possibile creare un modello amministrativo in Intune, configurare questa impostazione e assegnare questo profilo al gruppo di utenti.

Per riepilogare, usare i gruppi di utenti quando si vuole che le impostazioni siano applicate sempre all'utente, indipendentemente dal dispositivo usato.

Escludere gruppi da un'assegnazione di profilo

I profili di configurazione dei dispositivi Intune consentono di includere ed escludere gruppi dall'assegnazione del profilo.

Procedura consigliata:

  • Creare e assegnare profili in modo specifico per i gruppi di utenti. Usare i filtri per includere o escludere i dispositivi di tali utenti.
  • Creare e assegnare profili diversi in modo specifico per i gruppi di dispositivi.

Per altre informazioni sui gruppi, vedere Aggiungere gruppi per organizzare utenti e dispositivi.

Fundamentals

Quando si assegnano i criteri e i profili, applicare i principi generali seguenti:

  • Si pensi ai gruppi inclusi o ai gruppi esclusi come un punto di partenza per gli utenti e i dispositivi che riceveranno i criteri. Il Azure AD è il gruppo limitante, quindi usare l'ambito del gruppo più piccolo possibile. Usare i filtri per limitare o perfezionare l'assegnazione dei criteri.

  • I Azure AD assegnati, noti anche come gruppi statici, possono essere aggiunti a Gruppi inclusi o Gruppi esclusi.

    In genere, i dispositivi vengono assegnati in modo statico a un gruppo di Azure AD se sono pre-registrati in Azure AD, ad esempio con Windows Autopilot. In caso contrario, se si vogliono combinare i dispositivi per una distribuzione ad hoc una sola volta. In caso contrario, potrebbe non essere pratico assegnare in modo statico i dispositivi a un Azure AD gruppo.

  • I gruppi Azure AD utenti possono essere aggiunti a Gruppi inclusi o Gruppi esclusi.

  • È Azure AD gruppi di dispositivi dinamici a Gruppi inclusi. Tuttavia, può esserci latenza durante il popolamento dell'appartenenza dinamica al gruppo. Negli scenari con distinzione della latenza usare i filtri per selezionare dispositivi specifici e assegnare i criteri ai gruppi di utenti.

    Ad esempio, si vuole che i criteri siano assegnati ai dispositivi non appena vengono registrati. In questa situazione sensibile alla latenza creare un filtro per i dispositivi desiderati e assegnare i criteri con questo filtro ai gruppi di utenti. Non assegnarlo ai gruppi di dispositivi.

    In uno scenario senza utente creare un filtro per i dispositivi desiderati e assegnare il criterio con il filtro al gruppo "Tutti i dispositivi".

  • Evitare di aggiungere gruppi Azure AD dispositivi dinamici a Gruppi esclusi. La latenza nel calcolo dinamico del gruppo di dispositivi durante la registrazione può causare risultati indesiderati. Ad esempio, le app e i criteri indesiderati potrebbero essere distribuiti prima che venga popolata l'appartenenza al gruppo escluso.

Matrice di supporto

Usare la matrice seguente per comprendere il supporto per l'esclusione di gruppi:

  • ✔️: supportato
  • ❌: non supportato
  • ❕ : Parzialmente supportato

Opzioni supportate per includere o escludere gruppi da un'assegnazione di profilo

Scenario Supporto
1 ❕ parzialmente supportato

È supportata l'assegnazione di criteri a un gruppo di dispositivi dinamico escludendo un altro gruppo di dispositivi dinamici. Tuttavia, non è consigliabile negli scenari sensibili alla latenza. Qualsiasi ritardo nel calcolo dell'appartenenza ai gruppi di esclusione può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi.

Ad esempio, si dispone di un criterio del dispositivo assegnato a Tutti i dispositivi. Successivamente, è necessario che i nuovi dispositivi di marketing non ricevano questo criterio. Si creerà quindi un gruppo di dispositivi dinamico denominato Dispositivi di marketing in base alla proprietà ( enrollmentProfilename device.enrollmentProfileName -eq "Marketing_devices" ). Nei criteri si aggiunge il gruppo dinamico Dispositivi di marketing come gruppo escluso.

Un nuovo dispositivo di marketing viene registrato in Intune per la prima volta e viene creato Azure AD nuovo oggetto dispositivo. Il processo di raggruppamento dinamico inserisce il dispositivo nel gruppo Dispositivi di marketing con un possibile calcolo ritardato. Allo stesso tempo, il dispositivo viene registrato in Intune e inizia a ricevere tutti i criteri applicabili. I criteri di Intune possono essere distribuiti prima che il dispositivo venga inserito nel gruppo di esclusione. Questo comportamento comporta la distribuzione di criteri indesiderati (o app) nel gruppo Dispositivi di marketing.

Di conseguenza, non è consigliabile usare gruppi di dispositivi dinamici per le esclusioni in scenari sensibili alla latenza. Usare invece i filtri.
2 ✔️ supportato

È supportata l'assegnazione di un criterio a un gruppo di dispositivi dinamico escludendo un gruppo di dispositivi statici.
3 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi dinamico escludendo i gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non verranno esclusi.
4 ❌ Non supportato

L'assegnazione di un criterio a un gruppo di dispositivi dinamico e l'esclusione di gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non verranno esclusi.
5 ❌ Non supportato

È supportata l'assegnazione di un criterio a un gruppo di dispositivi statici escludendo un gruppo di dispositivi dinamici. Tuttavia, non è consigliabile negli scenari sensibili alla latenza. Qualsiasi ritardo nel calcolo dell'appartenenza ai gruppi di esclusione può causare l'offerta di criteri ai dispositivi. In questo scenario è consigliabile usare filtri anziché gruppi di dispositivi dinamici per escludere i dispositivi.
6 ✔️ supportato

È supportata l'assegnazione di un criterio a un gruppo di dispositivi statici e l'esclusione di un gruppo di dispositivi statici diverso.
7 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non verranno esclusi.
8 ❌ Non supportato

L'assegnazione di criteri a un gruppo di dispositivi statici e l'esclusione di gruppi di utenti (sia dinamici che statici) non è supportata. Intune non valuta le relazioni tra gruppi da utente a dispositivo e i dispositivi degli utenti inclusi non verranno esclusi.
9 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non è supportata.
10 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti dinamico e l'esclusione dei gruppi di dispositivi (sia dinamici che statici) non è supportata.
11 ✔️ supportato

È supportata l'assegnazione di criteri a un gruppo di utenti dinamico escludendo altri gruppi di utenti (sia dinamici che statici).
12 ✔️ supportato

È supportata l'assegnazione di criteri a un gruppo di utenti dinamico escludendo altri gruppi di utenti (sia dinamici che statici).
13 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti statico escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata.
14 ❌ Non supportato

L'assegnazione di criteri a un gruppo di utenti statico escludendo i gruppi di dispositivi (sia dinamici che statici) non è supportata.
15 ✔️ supportato

È supportata l'assegnazione di criteri a un gruppo di utenti statico escludendo altri gruppi di utenti (sia dinamici che statici).
16 ✔️ supportato

È supportata l'assegnazione di criteri a un gruppo di utenti statico escludendo altri gruppi di utenti (sia dinamici che statici).

Passaggi successivi

Per indicazioni sul monitoraggio dei profili e dei dispositivi in cui sono in esecuzione i profili, vedere Monitorare i profili di dispositivo.