Condividi tramite


Domande comuni, risposte e scenari relativi ai criteri e profili in Microsoft Intune

Importante

Il 22 ottobre 2022, Microsoft Intune ha terminato il supporto per i dispositivi con Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici non sono quindi più disponibili per questi dispositivi.

Se si sta attualmente usando Windows 8.1, passare a dispositivi con Windows 10/11. Microsoft Intune offre funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

Ottenere risposte alle domande comuni sull’uso dei criteri in Intune. Questo articolo elenca anche gli intervalli di tempo per il check-in, fornisce più dettagli sui conflitti e altro ancora.

Questo articolo si applica ai criteri seguenti:

  • Criteri di protezione delle app
  • Criteri di configurazione delle app
  • Criteri di conformità
  • Criteri di accesso condizionale
  • Profili di configurazione del dispositivo
  • Criteri di registrazione

Intervalli di aggiornamento dei criteri

Intune notifica al dispositivo quando è necessario eseguire il check-in con il servizio di Intune. I tempi di notifica variano e possono essere immediati o richiedere alcune ore.. I tempi di notifica variano anche in base alle piattaforme. Nei dispositivi Android, Google Mobile Services (GMS) può influire sugli intervalli di aggiornamento dei criteri.

Intune effettua altri tre tentativi se un dispositivo non esegue il check-in per ottenere il criterio o il profilo dopo la prima notifica. È possibile ad esempio che un dispositivo offline, ossia disattivato o non connesso a una rete, non riceva le notifiche. In questo caso, il dispositivo ottiene il criterio o il profilo al successivo check-in pianificato con il servizio Intune. Lo stesso vale per i check-in relativi alla mancata conformità, compresi i dispositivi che passano da uno stato conforme a uno non conforme.

Frequenze stimate:

Piattaforma Ciclo di aggiornamento
Android Circa ogni 8 ore
iOS/iPadOS Circa ogni 8 ore
macOS Circa ogni 8 ore
PC Windows 10/11 registrati come dispositivi Circa ogni 8 ore
Windows 8.1 Circa ogni 8 ore

Il check-in relativo a conformità, non conformità e configurazione viene eseguito più frequentemente per i dispositivi che sono stati registrati di recente. I check-in sono previsti:

Piattaforma Frequenza
Android Ogni 3 minuti per 15 minuti, successivamente ogni 15 minuti per 2 ore e quindi circa ogni 8 ore
iOS/iPadOS Ogni 15 minuti per 1 ora e quindi circa ogni 8 ore
macOS Ogni 15 minuti per 1 ora e quindi circa ogni 8 ore
PC Windows 10/11 registrati come dispositivi Ogni 3 minuti per 15 minuti, successivamente ogni 15 minuti per 2 ore e quindi circa ogni 8 ore
Windows 8.1 Ogni 5 minuti per 15 minuti, successivamente ogni 15 minuti per 2 ore e quindi circa ogni 8 ore

Per gli intervalli di aggiornamento dei criteri di protezione delle app, fare riferimento Tempi di recapito dei criteri di protezione delle app.

Gli utenti possono aprire in qualsiasi momento l'app Portale aziendale e selezionare Dispositivi>Controlla lo stato o Impostazioni>Sincronizza per controllare immediatamente se ci sono aggiornamenti disponibili per i criteri o il profilo. Per informazioni correlate sull'agente dell'estensione di gestione di Intune o sulle app Win32, vedere Gestione delle app Win32 in Microsoft Intune.

Azioni di Intune che provocano l’invio immediato di una notifica a un dispositivo

Diverse azioni attivano una notifica. Ad esempio, quando un criterio, un profilo o un'app vengono assegnati, aggiornati, eliminati e così via. Questi tempi di azione variano a seconda delle piattaforme.

I dispositivi eseguono il check-in con Intune quando ricevono la relativa notifica o al momento del check-in pianificato. Quando si imposta come destinazione un dispositivo o un utente con un'azione, Intune notifica immediatamente al dispositivo di eseguire il check.in per ricevere gli aggiornamenti. Ad esempio, viene generata una notifica quando viene eseguita un'azione di blocco, reimpostazione del passcode, app o di assegnazione di criteri.

Altre modifiche non causano l’invio di una notifica immediata ai dispositivi, ad esempio la revisione delle informazioni di contatto nell'app Portale aziendale o l’applicazione di aggiornamenti a un file .ipa.

Le impostazioni nel criterio o nel profilo vengono applicate a ogni check-in. Un post del blog del cliente relativo all'aggiornamento dei criteri MDM di Windows 10 potrebbe essere una buona risorsa.

Conflitti

I conflitti possono verificarsi quando criteri diversi aggiornano la stessa impostazione a valori diversi. Si supponga ad esempio che ci siano due criteri che aggiornano l'impostazione copia/incolla a valori diversi. Il conflitto viene gestito in modo diverso a seconda del tipo di criterio.

Se si usa Microsoft Copilot in Intune, Copilot può essere di aiuto nella risoluzione dei conflitti. Per altre informazioni, vedere Gestione dei criteri e delle impostazioni in Copilot in Intune.

È anche possibile usare Microsoft Copilot in Intune per ottenere altre informazioni sui criteri e sulle impostazioni configurate nei criteri.

Criteri di protezione delle app in conflitto

I valori in conflitto rappresentano impostazioni più restrittive disponibili in un criterio di protezione dell’app. L'eccezione è indicata da campi di immissione numerici, ad esempio il numero di tentativi di ripristino del PIN prima della reimpostazione. I campi di immissione numerici vengono configurati come i valori, come se fosse stato creato un criterio MAM con l'opzione delle impostazioni consigliate.

I conflitti si verificano quando due impostazioni del profilo sono uguali. Ad esempio, supponiamo che siano stati configurati due criteri MAM identici, tranne che per l’impostazione copia/incolla. In questo scenario, l'impostazione copia/incolla è impostata sul valore più restrittivo. Le altre impostazioni vengono applicate in base alla configurazione.

Un criterio viene distribuito nell'app e acquista efficacia. Viene distribuito un secondo criterio. In questo scenario, il primo criterio ha la precedenza e continua a essere applicato. Il secondo criterio presenta un conflitto. Se entrambi vengono applicati contemporaneamente, ovvero non sono presenti criteri precedenti, entrambi sono in conflitto. Tutte le impostazioni in conflitto vengono impostate sui valori più restrittivi.

Criteri di conformità e configurazione dei dispositivi in conflitto

Quando due o più criteri vengono assegnati allo stesso utente o dispositivo, l'impostazione viene applicata a livello di singola impostazione:

  • Se si usano criteri di conformità per valutare le impostazioni del dispositivo, le impostazioni nei criteri di conformità hanno la precedenza sulla stessa impostazione nei criteri di configurazione del dispositivo. Le impostazioni dei criteri di conformità hanno sempre la precedenza sulle impostazioni del profilo di configurazione.

  • Se un criterio di conformità viene valutato in base alla stessa impostazione in un altro criterio di conformità, viene applicata l'impostazione del criterio di conformità più restrittivo..

  • Se l'impostazione in un criterio di configurazione è in conflitto con un'impostazione in un altro criterio di configurazione, tale conflitto viene visualizzato in Intune. Risolvere manualmente i conflitti.

Nell'interfaccia di amministrazione di Intune è possibile creare criteri di configurazione in alcune posizioni, ad esempio analisi di Criteri di gruppo, sicurezza degli endpoint, baseline di sicurezza e altro ancora. Se si verifica un conflitto e sono presenti più criteri, controllare tutte le posizioni in cui sono stati configurati i criteri. È inoltre possibile usare le funzionalità di creazione di report predefinite per risolvere i conflitti. Per altre informazioni sui report disponibili, vedere Report di Intune.

Criteri iOS/iPadOS o macOS personalizzati in conflitto

Intune non valuta il payload dei file di configurazione Apple o un criterio personalizzato Open Mobile Alliance Uniform Resource Identifier (OMA-URI). Serve semplicemente come meccanismo di recapito.

Quando si assegna un criterio personalizzato, verificare che le impostazioni configurate non siano in conflitto con la conformità, la configurazione o altri criteri personalizzati. Se un criterio personalizzato e le relative impostazioni sono in conflitto, Apple applica le impostazioni in modo casuale.

Le funzionalità di creazione di report predefinite possono essere utili per risolvere i conflitti. Per altre informazioni sui report disponibili, vedere Report di Intune.

Un profilo è stato eliminato o non è più applicabile

Quando si elimina un profilo o si rimuove un dispositivo da un gruppo a cui è assegnato il profilo, il profilo e le relative impostazioni vengono rimossi dal dispositivo. Nello specifico, la rimozione viene effettuata come descritto di seguito:

  • Profili Wi-Fi, VPN, certificato e posta elettronica: questi profili vengono rimossi da tutti i dispositivi registrati supportati.

  • Tutti gli altri tipi di profilo:

    • Dispositivi Android: le impostazioni non vengono rimosse dal dispositivo.

    • iOS/iPadOS: tutte le impostazioni vengono rimosse, ad eccezione di:

      • Consenti roaming vocale
      • Consenti roaming dati
      • Consenti la sincronizzazione automatica durante il roaming
    • Dispositivi Windows: dopo aver rimosso o annullato l'assegnazione del profilo, verificare che l'utente di Microsoft Entra acceda al dispositivo ed esegua la sincronizzazione con il servizio Intune.

      Le impostazioni di Intune si basano sul provider del servizio di configurazione (CSP) di Windows. Il comportamento dipende dal provider del servizio di configurazione. Alcuni provider di servizi di configurazione rimuovono l'impostazione mentre altri la mantengono,ossia la “marchiano”.

  • Un profilo si applica a un gruppo di utenti. In seguito, un utente viene rimosso dal gruppo. Possono essere necessarie fino a 7 ore o più per rimuovere le impostazioni da tale utente e in particolare perché:

È stato modificato un profilo di restrizione del dispositivo, ma le modifiche non sono state applicate

Per applicare un profilo meno restrittivo, è talvolta necessario ritirare alcuni dispositivi e registrarli di nuovo in Intune. Ad esempio, può essere necessario ritirare e registrare nuovamente i dispositivi Android, iOS/iPadOS e i dispositivi client Windows.

Alcune impostazioni in un profilo di Windows 10/11 restituiscono "Non applicabile"

Alcune impostazioni nei dispositivi client Windows vengono talvolta visualizzate come Non applicabili. Quando si verifica questa situazione, significa che tale impostazione specifica non è supportata nella versione o nell'edizione di Windows in esecuzione nel dispositivo. Ciò può verificarsi per i motivi seguenti:

  • L'impostazione è disponibile solo per le versioni più recenti di Windows e non per la versione corrente del sistema operativo nel dispositivo.
  • L'impostazione è disponibile solo per edizioni di Windows specifiche o SKU specifici, ad esempio Home, Professional, Enterprise ed Education.

Per altre informazioni sui requisiti relativi alle versioni ed edizioni per le diverse impostazioni, vedere le informazioni di riferimento sui provider di servizi di configurazione (CSP).

Al momento della registrazione dei dispositivi, le app e i criteri vengono assegnati con un certo ritardo ai gruppi di dispositivi dinamici

Durante la registrazione, è possibile usare i gruppi di dispositivi dinamici di Microsoft Entra. Ad esempio, è possibile creare un gruppo di dispositivi dinamico in base al nome o al profilo di registrazione di un dispositivo.

Il profilo di registrazione viene applicato al record del dispositivo durante la sua configurazione iniziale. Il raggruppamento dinamico di Microsoft Entra non è immediato. Il dispositivo potrebbe non essere presente nel gruppo dinamico per un determinato periodo di tempo, probabilmente per un intervallo di tempo che spazia da alcuni minuti a ore, a seconda delle altre modifiche apportate nel tenant.

Se il dispositivo non viene aggiunto al gruppo, le app e i criteri non vengono assegnati al dispositivo durante il check-in iniziale di Intune. È possibile che i criteri vengano applicati solo al momento del check-in pianificato successivo.

Se il recapito rapido di app e criteri è importante per il proprio scenario di configurazione/registrazione, assegnare le app e i criteri ai gruppi di utenti, non ai gruppi di dispositivi dinamici. I gruppi di utenti sono pre-popolati con i membri prima della configurazione del dispositivo e non presentano questi problemi di ritardi.

Per altre informazioni sui gruppi dinamici, vedere:

Errore "Impossibile avviare la sincronizzazione (0x80072f9a)"

Nei dispositivi Windows, quando si tenta di eseguire la sincronizzazione nell'app ImpostazioniAccount>accesso aziendale o dell'istituto> di istruzione, potrebbe essere visualizzato un The sync could not be initiated (0x80072f9a) errore.

Se il modulo TPM (Trusted Platform Module) è stato reimpostato sulle impostazioni predefinite, è necessario ripetere la registrazione del dispositivo per riprendere la sincronizzazione. L'identità Microsoft Entra del dispositivo viene archiviata nel TPM. Pertanto, se l'ID viene rimosso, la ripetizione della registrazione è l'unico modo per ristabilire l'identità Microsoft Entra.