Modificare le impostazioni dopo la registrazione
Dopo aver completato la registrazione in Microsoft Managed Desktop, potrebbe essere necessario modificare alcune impostazioni di gestione. Per controllare e modificare se necessario, seguire questa procedura:
- Esaminare le impostazioni Microsoft Intune e Microsoft Entra descritte nella sezione successiva.
- Se uno degli elementi si applica all'ambiente, apportare le modifiche come descritto.
Nota
Man mano che le operazioni continuano nei mesi successivi, se si apportano modifiche dopo la registrazione ai criteri in Microsoft Intune, Microsoft Entra ID o Microsoft 365 che interessano Desktop gestito da Microsoft, è possibile che Desktop gestito da Microsoft non funzioni correttamente. Per evitare problemi con il servizio, controllare le impostazioni specifiche descritte in Risolvere i problemi rilevati dallo strumento di valutazione dell'idoneità prima di modificare i criteri elencati.
Impostazioni di Microsoft Intune
| Impostazione | Descrizione |
|---|---|
| Profilo di distribuzione di Autopilot | Se si usano criteri autopilot, aggiornarne ognuno per escludere il gruppo Modern Workplace Devices -All Microsoft Entra. Per aggiornare i criteri di Autopilot: In Assegnazioniselezionare il gruppo Dispositivi moderni dell'area di lavoro - Tutti Microsoft Entra creato durante la registrazione di Microsoft Managed Desktop. Microsoft Managed Desktop avrà anche creato un profilo Autopilot, che avrà "Modern Workplace" nel nome (il profilo Modern Workplace Autopilot ). Quando si aggiornano i propri profili Autopilot, assicurarsi di non escludere il gruppo Modern Workplace Devices -All Microsoft Entra dal profilo Autopilot modern workplace creato da Microsoft Managed Desktop. |
| Criteri di accesso condizionale | Se si creano nuovi criteri di accesso condizionale correlati a ID Microsoft Entra, Microsoft Intune o Microsoft Defender XDR per endpoint dopo la registrazione di Microsoft Managed Desktop, escludere il gruppo modern workplace service accounts Microsoft Entra .if you create any new conditional access policies related to Microsoft Entra ID, Microsoft Intune, or Microsoft Defender XDR for Endpoint after Microsoft Managed Desktop enrollment, exclude the Modern Workplace Service Accounts Microsoft Entra group from them. Per altre informazioni, vedere Accesso condizionale: utenti e gruppi. Microsoft Managed Desktop gestisce criteri di accesso condizionale separati per limitare l'accesso a questi account. Per esaminare i criteri di accesso condizionale Microsoft Managed Desktop (Modern Workplace - Stazione di lavoro sicura): Passare all'interfaccia di amministrazione Microsoft Intune e passare all'accesso condizionale in Endpoint Security. Non modificare i criteri di accesso condizionale Microsoft Entra creati da Microsoft Managed Desktop con "Modern Workplace" nel nome. |
| Autenticazione a più fattori | Se si creano nuovi requisiti di autenticazione a più fattori nei criteri di accesso condizionale correlati a ID Microsoft Entra, Intune o Microsoft Defender XDR per endpoint dopo la registrazione di Microsoft Managed Desktop, escludere il gruppo Di Microsoft Entra account del servizio Modern Workplace. Per altre informazioni, vedere Accesso condizionale: utenti e gruppi. Microsoft Managed Desktop gestisce criteri di accesso condizionale separati per limitare l'accesso ai membri di questo gruppo. Per esaminare i criteri di accesso condizionale Microsoft Managed Desktop (Modern Workplace -): Passare all'interfaccia di amministrazione Microsoft Intune e passare all'accesso condizionale in Endpoint Security. |
| Anello di aggiornamento di Windows 10 | Per qualsiasi Windows 10 criteri anello di aggiornamento creati, escludere il gruppo Modern Workplace Devices -All Microsoft Entra da ogni criterio. Per altre informazioni, vedere Creare e assegnare anelli di aggiornamento. Microsoft Managed Desktop avrà anche creato alcuni criteri di anello di aggiornamento, che avranno tutti "Modern Workplace" nel nome. Ad esempio:
Quando si aggiornano i criteri personalizzati, assicurarsi di non escludere il gruppo Modern Workplace Devices -All Microsoft Entra da quelli creati da Microsoft Managed Desktop. |
impostazioni Microsoft Entra
Reimpostazione della password self-service: se si usa la reimpostazione della password self-service per tutti gli utenti, modificare l'assegnazione in modo da escludere l’account del servizio Microsoft Managed Desktop.
Per modificare l'assegnazione:
- Creare un gruppo dinamico Microsoft Entra per tutti gli utenti ad eccezione degli account del servizio Desktop gestito Microsoft
- Usare tale gruppo per l'assegnazione anziché "tutti gli utenti".
Per individuare ed escludere gli account del servizio, di seguito è riportato un esempio di query dinamica che è possibile usare:
(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")
In questa query sostituire @TENANT con il nome di dominio tenant.