Configurare Microsoft Intune

Senza gli strumenti e le risorse appropriati, la gestione di centinaia o migliaia di dispositivi in un ambiente scolastico può essere un'attività complessa e dispendiosa in termini di tempo. Microsoft Intune è una raccolta di servizi che semplifica la gestione dei dispositivi su larga scala.

Il servizio Microsoft Intune può essere gestito in modi diversi.

• Intune'interfaccia di amministrazione è l'interfaccia di Intune principale che supporta l'intero ciclo di vita del dispositivo, dalla fase di registrazione al ritiro. Gli amministratori IT possono gestire tutte le impostazioni in tutte le piattaforme supportate Intune.

• Intune per l'istruzione è una visualizzazione accurata di Intune che supporta l'intero ciclo di vita del dispositivo, dalla fase di registrazione al ritiro. Gli amministratori IT possono iniziare a gestire i dispositivi per le classi con opzioni di registrazione in blocco e una distribuzione semplificata. Alla fine dell'anno scolastico, gli amministratori IT possono reimpostare i dispositivi, assicurandosi che siano pronti per l'anno successivo.

  

  Per altre informazioni, vedere la documentazione di Intune for Education.

Consiglio

Intune e Intune for Education configurano entrambi il servizio Intune. Le modifiche apportate in una console verranno riflesse nell'altra. Tuttavia, Intune for Education supporta solo un subset di criteri e app curati per soddisfare semplici scenari K-12 in Windows e iPadOS.

---

In questa sezione si vedrà come:

• Esaminare i prerequisiti di licenza di Intune
• Configurare il servizio Intune per i dispositivi per l'istruzione

Prerequisiti

✅ Vedere i requisiti per la gestione dei dispositivi

Prima di configurare le impostazioni con Intune, considerare i prerequisiti seguenti:

• Intune sottoscrizione. Microsoft Intune è concesso in licenza in tre modi:
  • Come servizio autonomo
  • Come parte di Enterprise Mobility + Security
  • Come parte di una sottoscrizione Microsoft 365 Education
• Intune per le piattaforme di dispositivi Education. Intune per Education può gestire i dispositivi che eseguono una versione supportata di Windows 10, Windows 11, Windows 11 SE e iPadOS
• Intune piattaforme per dispositivi. Intune possono gestire i dispositivi che eseguono una versione supportata di Windows 10, Windows 11, Windows 11 SE, iOS, iPadOS, macOS, Android e Linux
• Requisiti di rete. Verificare che tutti gli endpoint di rete necessari possano accedere senza ispezione SSL o alcun tipo di filtro. Vedere Endpoint di rete per Microsoft Intune per un elenco di endpoint.

Per altre informazioni, vedere Intune licenze e questo foglio di confronto, che include una tabella che descrive in dettaglio il piano di lavoro moderno microsoft per la formazione.

Configurare il servizio Intune per i dispositivi Education

Il servizio Intune può essere configurato in modi diversi, a seconda delle esigenze dell'istituto di istruzione. In questa sezione viene configurato il servizio Intune usando le impostazioni comunemente implementate dai distretti scolastici K-12.

Configurare le restrizioni di registrazione

✅ Limitare i dispositivi che possono essere gestiti

Con le restrizioni di registrazione, è possibile controllare quali dispositivi possono essere registrati e gestiti da Intune. Ad esempio, è possibile impedire la registrazione dei dispositivi personali.

Per impedire la registrazione dei dispositivi di proprietà personale:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Dispositivi>Registra dispositivi>Restrizioni della piattaforma del dispositivo.
3. Selezionare la scheda per la piattaforma che si vuole limitare.
4. Selezionare Crea restrizione.
5. Nella pagina Informazioni di base specificare un nome per la restrizione e, facoltativamente, una descrizione >Avanti.
6. Nella pagina Impostazioni piattaforma selezionare Blocca>avanti nel campo Dispositivi di proprietà personale.
7. Facoltativamente, nella pagina Tag ambito aggiungere i tag > di ambito Avanti.
8. Nella pagina Assegnazioni selezionare Aggiungi gruppi e quindi usare la casella di ricerca per trovare e scegliere i gruppi a cui si vuole applicare la restrizione >Avanti.
9. Nella pagina Rivedi e crea selezionare Crea per salvare la restrizione.

Per altre informazioni, vedere Creare una restrizione della piattaforma del dispositivo.

Configurazione facoltativa

✅ Configurare la configurazione del tenant facoltativa

• Personalizzare la personalizzazione in base ai criteri dell'organizzazione. Per altre informazioni, vedere Come configurare le app Portale aziendale Intune, il sito Web Portale aziendale e l'app Intune.
• Creare termini e condizioni in base ai criteri dell'organizzazione. Per altre informazioni, vedere Termini e condizioni per l'accesso utente.

Configurare la registrazione di Windows

✅ Configurare gli utenti che possono registrare i dispositivi Windows

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Dispositivi>Registra dispositivi>Registrazione automatica.
3. Impostare l'ambito utente MDM su Tutti o Alcuni e selezionare un gruppo se si vuole limitare la registrazione a determinati utenti.

   Importante

   L'ambito utente MDM deve essere impostato su Tutti se vengono usati i pacakges di provisioning per registrare i dispositivi.

4. Impostare l'ambito utente MAM su Nessuno.
5. Seleziona Salva.

Per altre informazioni, vedere Abilitare la registrazione automatica di Windows.

Disabilitare Windows Hello for Business

✅ Disabilitare la funzionalità in genere inaccessibile agli studenti

Windows Hello for Business è una funzionalità di autenticazione biometrica che consente agli utenti di accedere ai propri dispositivi usando un PIN, una password o un'impronta digitale. Windows Hello for Business è abilitato per impostazione predefinita nei dispositivi Windows e per configurarlo, gli utenti devono eseguire l'autenticazione a più fattori . Di conseguenza, questa funzionalità potrebbe non essere ideale per gli studenti che potrebbero non avere abilitato l'autenticazione a più fattori.

È comune disabilitare Windows Hello for Business a livello di tenant. Un criterio può quindi essere targted agli utenti o ai dispositivi che ne hanno bisogno. Ad esempio, personale e insegnanti.

Per disabilitare Windows Hello for Business a livello di tenant:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Dispositivi>per piattaforma> Registrazioneonboarding dei> dispositiviWindows>.
3. Selezionare Windows Hello for Business.
4. Assicurarsi che Configura Windows Hello for Business sia impostato su disabilitato.
5. Seleziona Salva.

Per altre informazioni su come abilitare Windows Hello for Business in dispositivi specifici, vedere Creare un criterio di Windows Hello for Business.

Configurare i criteri di raccolta dati Intune

✅ Configurare l'analisi degli endpoint

Intune necessita dell'autorizzazione per raccogliere dati per l'analisi degli endpoint nei dispositivi Windows.

Per abilitare la raccolta dati:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Report>Impostazioni di Analisi endpoint>.
3. In Intune criterio di raccolta dati selezionare Intune criteri di raccolta dati.
4. Selezionare Proprietà.
5. In Impostazioni di configurazione selezionare Modifica.
6. Impostare Monitoraggio integrità su Abilita.
7. Selezionare Ambito e selezionare Analisi endpoint.
8. Selezionare Rivedi e salva.
9. Seleziona Salva.

Per altre informazioni sulla raccolta dati, vedere Raccolta dati di Analisi degli endpoint.

Configurare i dati di Windows

✅ Configurare le impostazioni dei dati di Windows del tenant

Intune necessita dell'autorizzazione per raccogliere determinati dati per i report di Windows Update nei dispositivi Windows.

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. SelezionareConnettori e token> di amministrazione> tenantDati di Windows
3. In Dati di Windows selezionare Sì.
4. Esaminare la sezione Verifica della licenza di Windows e configurare in base alle licenze.
5. Fare clic su Salva.

Per altre informazioni, vedere Abilitare l'uso dei dati di diagnostica di Windows per Intune.

Configurare la diagnostica dei dispositivi Windows

✅ Consentire il recupero remoto delle informazioni di diagnostica

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
2. Selezionare Amministrazione> tenantDiagnostica del dispositivo.
3. Configurare le impostazioni in base ai requisiti.

Questa tabella fornisce le impostazioni più comunemente impostate dai clienti, ma può essere personalizzata in base alle esigenze dell'istituto di istruzione.

Impostazione	Configurazione comune
La diagnostica dei dispositivi è disponibile per i dispositivi gestiti dall'azienda che eseguono Windows 10, versione 1909 e successive o Windows 11. La diagnostica può includere informazioni identificabili dall'utente, ad esempio nome utente o dispositivo.	Abilitato
Acquisire automaticamente la diagnostica quando i dispositivi riscontrano un errore durante il processo Autopilot Windows 10 versione 1909 o successiva e Windows 11. La diagnostica può includere informazioni identificabili dall'utente, ad esempio nome utente o dispositivo.	Abilitato

Per altre informazioni, vedere Raccogliere la diagnostica da un dispositivo Windows.

(Facoltativo) Configurare la pagina Stato registrazione

Valutare la possibilità di abilitare la pagina stato registrazione se si prevede di usare Windows Autopilot per registrare i dispositivi Windows in Intune.

Nella pagina dello stato di registrazione (ESP) viene visualizzato lo stato di provisioning per gli utenti che registrano i dispositivi Windows e effettuano l'accesso per la prima volta. È possibile configurare esp per bloccare l'uso del dispositivo fino a quando non vengono installati tutti i criteri e le applicazioni necessari. Gli utenti del dispositivo possono esaminare l'ESP per tenere traccia della distanza del dispositivo nel processo di installazione.

Informazioni aggiuntive:

• Pagina di stato della registrazione di Windows Autopilot
• Configurare la pagina Stato registrazione

Questa tabella fornisce le impostazioni più comunemente impostate dai clienti, ma può essere personalizzata in base alle esigenze dell'istituto di istruzione.

Lama	Gruppo di configurazione	Impostazione	Valore
Registrazione di Windows	Pagina Generale\Stato registrazione	Default\Show app and profile configuration progress	Sì
Registrazione di Windows	Pagina Generale\Stato registrazione	Default\Mostra un errore quando l'installazione richiede più tempo del numero di minuti specificato	120
Registrazione di Windows	Pagina Generale\Stato registrazione	Default\Show custom message when time limit or error occurs	Sì
Registrazione di Windows	Pagina Generale\Stato registrazione	Pagina Predefinita\Attiva raccolta log e diagnostica per gli utenti finali	Sì
Registrazione di Windows	Pagina Generale\Stato registrazione	Predefinito\Mostra solo la pagina ai dispositivi di cui è stato effettuato il provisioning in base all'esperienza predefinita (Configurazione guidata)	Sì
Registrazione di Windows	Pagina Generale\Stato registrazione	Pagina stato registrazione\Default\Blocca l'uso del dispositivo fino a quando non vengono installate le app necessarie se vengono assegnate all'utente/dispositivo	Tutti o Selezionati con le app minime necessarie. Ad esempio, app di Microsoft 365 o contenuto Web che filtrano softtware

Configurare il certificato MDM Apple

Intune

Per configurare un certificato MDM Apple, vedere Ottenere un certificato push MDM Apple.

Intune per l'istruzione

Per configurare un certificato MDM Apple in Intune per Education, vedere Aggiungere un certificato push MDM

Importante

Il certificato MDM Apple deve essere rinnovato ogni anno. Prendere nota nel calendario per rinnovare il certificato in poco meno di un anno da quando si aggiunge il certificato. È possibile visualizzare la data di scadenza nella console in qualsiasi momento.

Configurare volume purchase program (VPP)

Intune

Per configurare un VPP Apple, vedere Come gestire le app iOS e macOS acquistate tramite Apple Business Manager con Microsoft Intune.

Intune per l'istruzione

Per configurare un VPP Apple in Intune per Education, vedere Configurare i token VPP.

Importante

Il token VPP Apple deve essere rinnovato ogni anno. Prendere nota nel calendario per rinnovare il token in poco meno di un anno da quando si aggiunge il token. È possibile visualizzare la data di scadenza nella console in qualsiasi momento.

Configurare la registrazione automatica dei dispositivi (ADE)

Se si prevede di integrare Apple School Manager e usare la registrazione automatica dei dispositivi, seguire questa procedura.

Intune

Per configurare un certificato MDM Apple, vedere Configurare la registrazione automatica dei dispositivi in Intune.

Intune per l'istruzione

Per configurare un'istanza di Apple ADE in Intune for Education, vedere Configurare il token del programma di registrazione.

Importante

Il token Apple ADE deve essere rinnovato ogni anno. Prendere nota nel calendario per rinnovare il token in poco meno di un anno da quando si aggiunge il token. È possibile visualizzare la data di scadenza nella console in qualsiasi momento.

---

Passaggi successivi

Con il servizio Intune configurato, è possibile configurare criteri e applicazioni in preparazione alla distribuzione dei dispositivi degli studenti e degli insegnanti.

Successivo: Configurare i dispositivi >