Panoramica del servizio Criteri cloud per Microsoft 365
Nota
"Servizio criteri cloud di Office" è stato rinominato "Servizio Criteri cloud per Microsoft 365". Nella maggior parte dei casi, ci si limiterà a farvi riferimento come Criteri cloud.
Il servizio Criteri cloud per Microsoft 365 consente di applicare le impostazioni dei criteri per Microsoft 365 Apps for enterprise nel dispositivo di un utente, anche se il dispositivo non è aggiunto al dominio o non è gestito in altro modo. Quando un utente accede a Microsoft 365 Apps for enterprise su un dispositivo, le impostazioni dei criteri vengono trasferite a quel dispositivo. Le impostazioni dei criteri sono disponibili per i dispositivi che eseguono Windows, macOS, iOS e Android, anche se non tutte le impostazioni dei criteri sono disponibili per tutti i sistemi operativi. È anche possibile applicare alcune impostazioni dei criteri per Office per il web e Loop, sia per gli utenti guest che hanno eseguito l'accesso che per gli utenti che accedono ai documenti in modo anonimo.
Criteri cloud fa parte dell'interfaccia di amministrazione Microsoft 365 Apps. Il servizio include molte delle stesse impostazioni dei criteri basate sull'utente disponibili in Criteri di gruppo. È anche possibile usare Criteri cloud direttamente nell'interfaccia di amministrazione Microsoft Intune, in Criteridei criteri> per le>app di Office.
Requisiti
Ruoli di amministratore predefiniti supportati
È possibile usare i ruoli predefiniti di Microsoft Entra seguenti per accedere e gestire la funzionalità:
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Ruolo | Descrizione |
---|---|
Amministratore delle app di Office (scelta consigliata) | Questo ruolo può gestire i servizi cloud delle app di Office, inclusa la gestione dei criteri e delle impostazioni, e gestire la possibilità di selezionare, deselezionare e pubblicare il contenuto delle funzionalità "Novità" nei dispositivi degli utenti finali. |
Amministratore della sicurezza | Questo ruolo può leggere le informazioni di sicurezza e i report e gestire la configurazione in Microsoft Entra ID e Office 365. |
Amministratore globale | Questo ruolo può gestire tutti gli aspetti dell'ID Microsoft Entra e dei servizi Microsoft che usano le identità di Microsoft Entra. |
Nota
Lettore globale è un altro ruolo predefinito supportato dall'interfaccia di amministrazione di Microsoft 365 Apps, ma non supporta alcune funzionalità come l'aggiornamento cloud o la pagina Impostazioni app moderne.
Requisiti di licenza
L'utente deve essere assegnato a uno dei piani di sottoscrizione seguenti:
Tipo | Piano di sottoscrizione |
---|---|
Education | |
Business | |
Enterprise | |
Government |
Importante
I piani seguenti non sono supportati:
- Microsoft 365 gestito da 21Vianet
- Microsoft 365 GCC High e DoD
Nota
- Non è possibile applicare una configurazione dei criteri alle versioni con contratti multiuso di Office che usano a portata di clic, ad esempio Office LTSC Professional Plus 2021 o Office Standard 2019.
- È possibile creare una configurazione dei criteri per Microsoft 365 Apps for business, ma sono supportate solo le impostazioni dei criteri correlate ai controlli della privacy. Per maggiori informazioni, vedere Usare le impostazioni dei criteri per gestire i controlli della privacy per Microsoft 365 Apps for enterprise.
Requisiti per la versione del prodotto
È possibile gestire Microsoft 365 Apps in Windows con i requisiti di versione seguenti:
- Versione supportata di Microsoft 365 Apps
- Versione supportata di Microsoft Windows 10/11
- Versione supportata di Windows Server che supporta Microsoft 365 Apps
Nota
Per i clienti GCC, la versione client di Office minima supportata per i criteri da recapitare a Microsoft 365 Apps in esecuzione in Windows è la versione 2410 o successiva.
Requisiti di rete
I dispositivi che eseguono Microsoft 365 Apps richiedono l'accesso agli endpoint seguenti:
Servizio Microsoft | URL necessari per l'elenco di indirizzi consentiti |
---|---|
Interfaccia di amministrazione di Microsoft 365 Apps | |
Rete per la distribuzione di contenuti (CDN) di Office |
Origine: URL e intervalli di indirizzi IP per Microsoft 365
Requisiti dei gruppi di Microsoft Entra
Il servizio Criteri cloud supporta l'uso di gruppi di Microsoft Entra con i requisiti seguenti:
- I criteri si applicano solo agli oggetti utente.
- Gli oggetti utente devono essere presenti in Microsoft Entra ID e avere una licenza supportata assegnata.
- I gruppi annidati supportano fino a tre livelli di profondità.
- Un gruppo può contenere sia oggetti dispositivo che oggetti utente, ma gli oggetti dispositivo vengono ignorati.
Passaggi per la creazione di una configurazione dei criteri
Di seguito sono riportati i passaggi di base per la creazione di una configurazione dei criteri.
- Accedere all'interfaccia di amministrazione Microsoft 365 Apps. Se si usa l'interfaccia di amministrazione per la prima volta, esaminare i termini. Selezionare quindi Accetta.
- In Personalizzazione selezionare Gestione criteri.
- Nella pagina Configurazioni dei criteri selezionare Crea.
- Nella pagina Inizia con le nozioni di base immettere un nome (obbligatorio) e una descrizione (facoltativo), quindi selezionare Avanti.
- Nella pagina Scegliere l'ambito determinare se la configurazione dei criteri si applica a tutti gli utenti, gruppi specifici o agli utenti che accedono ai documenti in modo anonimo tramite Office per il web.
- Se la configurazione dei criteri si applica a gruppi specifici, è ora possibile aggiungere più gruppi a una singola configurazione dei criteri per una destinazione più flessibile. Per aggiungere gruppi, selezionare Aggiungi Gruppi e scegliere i gruppi pertinenti. L'aggiunta di più gruppi a una singola configurazione dei criteri consente di includere lo stesso gruppo in più configurazioni di criteri, facilitando un processo di gestione dei criteri più semplificato ed efficiente.
- Dopo aver effettuato la selezione, scegliere Avanti.
- Nella pagina Configura impostazioni selezionare i criteri da includere nella configurazione dei criteri. È possibile cercare i criteri per nome oppure creare un filtro personalizzato. È possibile filtrare in base alla piattaforma, all'applicazione, se i criteri sono configurati e se il criterio è una baseline di sicurezza consigliata.
- Dopo aver effettuato le selezioni, selezionare Avanti per esaminare le selezioni. Selezionare quindi Crea per creare la configurazione dei criteri.
Gestione delle configurazioni dei criteri
Per modificare una configurazione dei criteri:
- Passare alla pagina Configurazioni dei criteri .
- Aprire i dettagli di configurazione dei criteri da modificare selezionandolo.
- Apportare le modifiche appropriate alla configurazione dei criteri.
- Passare alla pagina Rivedi e pubblica .
- Selezionare Aggiorna per salvare e applicare le modifiche.
Se si vuole creare una nuova configurazione dei criteri simile a una configurazione di criteri esistente, selezionare la configurazione dei criteri esistente nella pagina Configurazioni dei criteri e quindi selezionare Copia. Apportare le modifiche appropriate e quindi selezionare Crea.
Per visualizzare i criteri configurati durante la modifica di una configurazione dei criteri, passare alla sezione Criteri e filtrare in base alla colonna Stato oppure selezionare il filtro dei dati Configurato nella parte superiore della tabella dei criteri. È anche possibile filtrare in base all'applicazione e alla piattaforma.
Per modificare l'ordine di priorità per le configurazioni dei criteri, selezionare Riordina priorità nella pagina Configurazioni dei criteri.
Se si vuole esportare una configurazione dei criteri, selezionare la configurazione dei criteri esistente nella pagina Configurazioni dei criteri e quindi selezionare Esporta. Questa azione genera un file CSV per il download.
Modalità di applicazione della configurazione dei criteri
Il servizio A portata di clic usato da Microsoft 365 Apps for enterprise esegue regolarmente l'accesso con il servizio Criteri cloud per verificare se sono presenti criteri relativi all'utente connesso. In caso affermativo, i criteri appropriati vengono applicati e diventano effettivi alla successiva apertura di un'app di Office da parte dell'utente, ad esempio Word o Excel.
- Quando un'app di Office viene avviata o l'utente connesso cambia, il servizio A portata di clic determina se è il momento di recuperare i criteri per l'utente connesso.
- Se si tratta del primo accesso dell'utente, viene effettuata la chiamata di archiviazione per recuperare i criteri per l'utente connesso.
- Se l'utente ha eseguito l'accesso in precedenza, la chiamata di archiviazione viene eseguita solo se l'intervallo di archiviazione è scaduto.
- Quando il servizio riceve la chiamata di archiviazione, viene determinata Microsoft Entra appartenenza al gruppo per l'utente.
- Se l'utente non è membro di un gruppo di Microsoft Entra a cui è assegnata una configurazione dei criteri, il servizio informa a portata di clic di eseguire il check-in in 24 ore per l'utente.
- Se l'utente è un membro di un gruppo di Microsoft Entra a cui è assegnata una configurazione dei criteri, il servizio restituisce le impostazioni dei criteri appropriate per l'utente e informa a portata di clic di eseguire il controllo tra 90 minuti.
- Se si verifica un errore, viene effettuata un'altra chiamata di archiviazione alla successiva apertura di un'app di Office da parte dell'utente, ad esempio Word o Excel.
- Se non sono in esecuzione app di Office quando è pianificata la successiva chiamata di archiviazione, il controllo verrà eseguito la volta successiva in cui l'utente apre un'app di Office, ad esempio Word o Excel.
Nota
I criteri di Criteri cloud vengono applicati solo quando l'app di Office viene riavviata. Il comportamento è lo stesso di con Criteri di gruppo. Per i dispositivi Windows, i criteri vengono applicati in base all'utente primario che ha eseguito l'accesso a Microsoft 365 Apps for enterprise. Se sono presenti più account connessi, vengono applicati solo i criteri per l'account primario. Se l'account primario viene cambiato, la maggior parte dei criteri assegnati a tale account non verrà applicata fino al riavvio delle app di Office. Alcuni criteri relativi ai controlli della privacy verranno applicati senza riavviare le app di Office.
Se gli utenti si trovano in gruppi annidati e il gruppo padre è destinato ai criteri, gli utenti nei gruppi annidati riceveranno i criteri. I gruppi annidati e gli utenti in tali gruppi annidati devono essere creati in o sincronizzati con Microsoft Entra ID.
L'intervallo di archiviazione viene controllato dal servizio Criteri cloud e comunicato a Click-to-Run durante ogni chiamata di archiviazione.
Se l'utente è membro di più gruppi di Microsoft Entra con impostazioni dei criteri in conflitto, viene usata la priorità per determinare l'impostazione dei criteri applicata. Viene applicata la priorità più alta, con "0" come priorità più alta che è possibile assegnare. È possibile impostare la priorità scegliendo Riordina priorità nella pagina Configurazioni dei criteri.
Inoltre, le impostazioni dei criteri implementate tramite Criteri cloud hanno la precedenza sulle impostazioni dei criteri implementate tramite Criteri di gruppo in Windows Server e hanno la precedenza sulle impostazioni delle preferenze o sulle impostazioni dei criteri applicate localmente.
Previsioni
Microsoft si impegna a innovare e ridurre il carico di lavoro degli amministratori IT con la creazione di strumenti di gestione moderni. Detto questo, le baseline in Criteri cloud sono un altro modo per risparmiare tempo durante la distribuzione dei criteri per l'organizzazione. Le baseline di sicurezza e accessibilità offrono un filtro univoco sulle Criteri di gruppo necessarie per proteggere l'organizzazione e consentire agli utenti finali di creare contenuti accessibili.
Baseline di sicurezza
Per identificare facilmente i criteri di base di sicurezza, alla tabella dei criteri è stata aggiunta una nuova colonna denominata Raccomandazione. I criteri consigliati per la baseline di sicurezza vengono attivati in questa colonna. È anche possibile usare il filtro di colonna per limitare la visualizzazione solo ai criteri contrassegnati come baseline di sicurezza.
Per altre informazioni, vedere Baseline di sicurezza per Microsoft 365 Apps for enterprise.
Baseline di accessibilità
La maggior parte dei nostri clienti sta facendo passi da gigante per diventare più accessibile come organizzazione. La baseline di accessibilità consente ai professionisti IT di configurare i criteri di accessibilità per consentire agli utenti finali di creare contenuti accessibili e limitare la possibilità di rimuovere le impostazioni di Verifica accessibilità dalla disabilitazione.
Supporto di Microsoft Purview
Il servizio Criteri cloud supporta le soluzioni di controllo di Microsoft Purview. Quando il controllo è abilitato, vengono registrati eventi come la creazione, l'eliminazione, la modifica delle configurazioni dei criteri, le modifiche alle impostazioni dei criteri configurate e le modifiche all'ordine di priorità. È possibile usare il portale o PowerShell per cercare tali modifiche nel log di controllo . Per altre informazioni sulle operazioni acquisite e sul formato dei dati, vedere la documentazione dell'attività e le informazioni di riferimento sullo schema.
Informazioni aggiuntive sui criteri cloud
- Sono disponibili solo le impostazioni dei criteri basate sull'utente. Le impostazioni dei criteri basate su computer non sono disponibili.
- Quando le nuove impostazioni dei criteri basate sull'utente vengono rese disponibili per Office, i criteri cloud le aggiungono automaticamente. Non è necessario scaricare file di modelli amministrativi aggiornati (ADMX/ADML).
- È anche possibile creare configurazioni di criteri per applicare le impostazioni dei criteri per le versioni supportate delle app desktop incluse nei piani di sottoscrizione di Project e Visio.
- La funzionalità stato di integrità è stata ritirata nella seconda metà di marzo 2022. In futuro (nessuna data nota in questo momento), si prevede di fornire funzionalità avanzate di report sull'integrità e monitoraggio della conformità per i criteri cloud.
Suggerimenti per la risoluzione dei problemi
Se i criteri previsti non sono applicati correttamente al dispositivo di un utente, provare le azioni seguenti:
Assicurarsi che l'utente abbia eseguito l'accesso a Microsoft 365 Apps for enterprise, l'abbia attivato e abbia una licenza valida.
Assicurarsi che l'utente faccia parte del gruppo di sicurezza appropriato.
Verificare di non usare un proxy autenticato.
Controllare la priorità delle configurazioni dei criteri. Se l'utente si trova in più gruppi di sicurezza a cui sono assegnate configurazioni dei criteri, la priorità delle configurazioni dei criteri determina quali criteri diventano effettivi.
In alcuni casi, i criteri potrebbero non essere applicati correttamente se due utenti con criteri diversi accedono a Office nello stesso dispositivo durante la stessa sessione di Windows.
Le impostazioni dei criteri recuperate da Criteri cloud vengono archiviate nel Registro di sistema di Windows in HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Questa chiave viene sovrascritta ogni volta che viene recuperato un nuovo set di criteri dal servizio criteri durante il processo di archiviazione.
L'attività di archiviazione del servizio criteri viene archiviata nel Registro di sistema di Windows in HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. L'eliminazione di questa chiave e il riavvio delle app di Office attiveranno il servizio criteri per il check-in alla successiva avvio di un'app di Office.
Se si vuole visualizzare la prossima volta che un dispositivo che esegue Windows è pianificato per il controllo con Criteri cloud, esaminare FetchInterval in HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. Il valore è espresso in minuti. Ad esempio, 1440, che equivale a 24 ore.
È possibile che si verifichi un valore FetchInterval pari a 0. Se questo valore esiste, il client attende 24 ore dall'ultimo check-in prima di provare a controllare nuovamente i criteri cloud.