Condividi tramite


Impostazioni di conformità del dispositivo per Windows 10/11 in Intune

Questo articolo elenca e descrive le diverse impostazioni di conformità che è possibile configurare nei dispositivi Windows in Intune. Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per richiedere BitLocker, impostare un sistema operativo minimo e massimo, impostare un livello di rischio usando Microsoft Defender per endpoint e altro ancora.

Questa funzionalità si applica a:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

In qualità di amministratore Intune, usare queste impostazioni di conformità per proteggere le risorse dell'organizzazione. Per altre informazioni sui criteri di conformità e sulle relative operazioni, vedere Introduzione alla conformità dei dispositivi.

Prima di iniziare

Creare criteri di conformità. In Piattaforma selezionare Windows 10 e versioni successive.

Integrità del dispositivo

Per garantire che i dispositivi vengano avviati in uno stato attendibile, Intune utilizza i servizi di attestazione dei dispositivi Microsoft. I dispositivi in Intune servizi commerciali, us government GCC High e DoD in esecuzione Windows 10 usano il servizio DHA (Device Health Attestation).

Per altre informazioni, vedere:

Regole di valutazione del servizio di attestazione dell'integrità di Windows

  • Richiedi BitLocker:
    Crittografia unità BitLocker di Windows crittografa tutti i dati archiviati nel volume del sistema operativo Windows. BitLocker usa il modulo TPM (Trusted Platform Module) per proteggere il sistema operativo Windows e i dati utente. Consente inoltre di verificare che un computer non sia manomesso, anche se il computer è rimasto incustodito, perso o rubato. Se il computer è dotato di un TPM compatibile, BitLocker usa il TPM per bloccare le chiavi di crittografia che proteggono i dati. Di conseguenza, non è possibile accedere alle chiavi finché il TPM non verifica lo stato del computer.

    • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
    • Richiedi : il dispositivo può proteggere i dati archiviati nell'unità da accessi non autorizzati quando il sistema è spento o ibernazione.

    Device HealthAttestation CSP - BitLockerStatus

    Nota

    Se si usano criteri di conformità del dispositivo in Intune, tenere presente che lo stato di questa impostazione viene misurato solo in fase di avvio. Pertanto, anche se la crittografia BitLocker potrebbe essere stata completata, sarà necessario un riavvio per consentire al dispositivo di rilevarlo e di diventare conforme. Per altre informazioni, vedere il blog del supporto tecnico Microsoft seguente su Attestazione dell'integrità dei dispositivi.

  • Richiedi l'abilitazione dell'avvio protetto nel dispositivo:

    • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
    • Richiedi : il sistema viene forzato ad avviare uno stato attendibile della factory. I componenti principali usati per avviare il computer devono avere firme crittografiche corrette attendibili dall'organizzazione che ha prodotto il dispositivo. Il firmware UEFI verifica la firma prima che consenta l'avvio del computer. Se i file vengono manomessi, il che interrompe la firma, il sistema non viene avviato.

    Nota

    L'impostazione Richiedi l'abilitazione dell'avvio protetto nel dispositivo è supportata in alcuni dispositivi TPM 1.2 e 2.0. Per i dispositivi che non supportano TPM 2.0 o versioni successive, lo stato dei criteri in Intune viene visualizzato come Non conforme. Per altre informazioni sulle versioni supportate, vedere Attestazione dell'integrità dei dispositivi.

  • Richiedere l'integrità del codice:
    L'integrità del codice è una funzionalità che convalida l'integrità di un driver o di un file di sistema ogni volta che viene caricato in memoria.

    • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
    • Richiedi : richiede l'integrità del codice, che rileva se un driver o un file di sistema non firmato viene caricato nel kernel. Rileva anche se un file di sistema viene modificato da software dannoso o eseguito da un account utente con privilegi di amministratore.

Per altre informazioni, vedere:

Proprietà dispositivo

Versione del sistema operativo

Per individuare le versioni di compilazione per tutte le Aggiornamenti di funzionalità Windows 10/11 e i Aggiornamenti cumulativi (da usare in alcuni dei campi seguenti), vedi Informazioni sulla versione di Windows. Assicurarsi di includere il prefisso di versione appropriato prima dei numeri di compilazione, ad esempio 10.0 per Windows 10 come illustrato negli esempi seguenti.

  • Versione minima del sistema operativo:
    Immettere la versione minima consentita nel formato major.minor.build.revision . Per ottenere il valore corretto, aprire un prompt dei comandi e digitare ver. Il ver comando restituisce la versione nel formato seguente:

    Microsoft Windows [Version 10.0.17134.1]

    Quando un dispositivo ha una versione precedente alla versione del sistema operativo immessa, viene segnalato come non conforme. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento. L'utente finale può scegliere di aggiornare il dispositivo. Dopo l'aggiornamento, possono accedere alle risorse aziendali.

  • Versione massima del sistema operativo:
    Immettere la versione massima consentita nel formato major.minor.build.revision . Per ottenere il valore corretto, aprire un prompt dei comandi e digitare ver. Il ver comando restituisce la versione nel formato seguente:

    Microsoft Windows [Version 10.0.17134.1]

    Quando un dispositivo usa una versione del sistema operativo successiva alla versione immessa, l'accesso alle risorse dell'organizzazione viene bloccato. All'utente finale viene chiesto di contattare l'amministratore IT. Il dispositivo non può accedere alle risorse dell'organizzazione fino a quando la regola non viene modificata per consentire la versione del sistema operativo.

  • Sistema operativo minimo necessario per i dispositivi mobili:
    Immettere la versione minima consentita nel formato del numero major.minor.build.

    Quando un dispositivo ha una versione precedente immessa dal sistema operativo, viene segnalato come non conforme. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento. L'utente finale può scegliere di aggiornare il dispositivo. Dopo l'aggiornamento, possono accedere alle risorse aziendali.

  • Numero massimo di sistema operativo necessari per i dispositivi mobili:
    Immettere la versione massima consentita nel numero major.minor.build.

    Quando un dispositivo usa una versione del sistema operativo successiva alla versione immessa, l'accesso alle risorse dell'organizzazione viene bloccato. All'utente finale viene chiesto di contattare l'amministratore IT. Il dispositivo non può accedere alle risorse dell'organizzazione fino a quando la regola non viene modificata per consentire la versione del sistema operativo.

  • Compilazioni valide del sistema operativo:
    Specificare un elenco di build del sistema operativo minime e massime. Le build valide del sistema operativo offrono maggiore flessibilità rispetto alle versioni minime e massime del sistema operativo. Si consideri uno scenario in cui la versione minima del sistema operativo è impostata su 10.0.18362.xxx (Windows 10 1903) e la versione massima del sistema operativo è impostata su 10.0.18363.xxx (Windows 10 1909). Questa configurazione può consentire a un dispositivo Windows 10 1903 che non dispone di aggiornamenti cumulativi recenti installati di essere identificato come conforme. Le versioni minime e massime del sistema operativo possono essere adatte se si è standardizzati in una singola versione Windows 10, ma potrebbero non soddisfare i requisiti se è necessario usare più build, ognuna con livelli di patch specifici. In questo caso, è consigliabile sfruttare invece le compilazioni valide del sistema operativo, che consente di specificare più compilazioni in base all'esempio seguente.

    Il valore supportato più grande per ogni campo versione, principale, secondaria e di compilazione è 65535. Ad esempio, il valore più grande che è possibile immettere è 65535.65535.65535.65535.

    Esempio:
    La tabella seguente è un esempio di un intervallo per le versioni di sistemi operativi accettabili per versioni di Windows 10 diverse. In questo esempio sono stati consentiti tre diversi Aggiornamenti di funzionalità (1809, 1909 e 2004). In particolare, solo le versioni di Windows che hanno applicato gli aggiornamenti cumulativi da giugno a settembre 2020 verranno considerate conformi. Si tratta solo di dati di esempio. La tabella include una prima colonna che include qualsiasi testo che si desidera descrivere la voce, seguita dalla versione minima e massima del sistema operativo per tale voce. La seconda e la terza colonna devono rispettare le versioni di compilazione del sistema operativo valide nel formato del numero major.minor.build.revision . Dopo aver definito una o più voci, è possibile esportare l'elenco come file con valori delimitati da virgole (CSV).

    Descrizione Versione minima del sistema operativo Versione massima del sistema operativo
    Win 10 2004 (Giugno-Settembre 2020) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (Giugno-Settembre 2020) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (Giugno-Settembre 2020) 10.0.17763.1282 10.0.17763.1490

    Nota

    Se si specificano più intervalli di build della versione del sistema operativo nei criteri e un dispositivo ha una compilazione esterna agli intervalli conformi, Portale aziendale informerà l'utente del dispositivo che il dispositivo non è conforme a questa impostazione. Tuttavia, tenere presente che, a causa di limitazioni tecniche, il messaggio di correzione della conformità mostra solo il primo intervallo di versione del sistema operativo specificato nei criteri. È consigliabile documentare gli intervalli di versioni del sistema operativo accettabili per i dispositivi gestiti nell'organizzazione.

conformità Configuration Manager

Si applica solo ai dispositivi co-gestiti che eseguono Windows 10/11. Intune solo i dispositivi restituiscono uno stato non disponibile.

  • Richiedere la conformità del dispositivo da Configuration Manager:
    • Non configurato (impostazione predefinita): Intune non verifica la conformità delle impostazioni di Configuration Manager.
    • Richiedi: richiedi la conformità di tutte le impostazioni (elementi di configurazione) in Configuration Manager.

Sicurezza del sistema

Password

  • Richiedere una password per sbloccare i dispositivi mobili:

    • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
    • Richiedi : gli utenti devono immettere una password prima di poter accedere al dispositivo.
  • Password semplici:

    • Non configurato (impostazione predefinita): gli utenti possono creare password semplici, ad esempio 1234 o 1111.
    • Blocca : gli utenti non possono creare password semplici, ad esempio 1234 o 1111.
  • Tipo di password:
    Scegliere il tipo di password o PIN necessario. Le opzioni disponibili sono:

    • Impostazione predefinita del dispositivo (impostazione predefinita) - Richiedere una password, un PIN numerico o un PIN alfanumerico
    • Numeric - Richiedere una password o un PIN numerico
    • Alfanumerico : richiede una password o un PIN alfanumerico.

    Se impostato su Alfanumerico, sono disponibili le impostazioni seguenti:

  • Lunghezza minima password:
    Immettere il numero minimo di cifre o caratteri che la password deve avere.

  • Numero massimo di minuti di inattività prima che sia necessaria la password:
    Immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password.

  • Scadenza password (giorni):
    Immettere il numero di giorni prima della scadenza della password e crearne uno nuovo, da 1 a 730.

  • Numero di password precedenti per impedire il riutilizzo:
    Immettere il numero di password usate in precedenza che non è possibile usare.

  • Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic):Require password when device returns from idle state (Mobile and Holographic):

    • Non configurato (impostazione predefinita)
    • Richiedi : richiedere agli utenti del dispositivo di immettere la password ogni volta che il dispositivo torna da uno stato di inattività.

    Importante

    Quando il requisito della password viene modificato in un desktop di Windows, gli utenti vengono interessati al successivo accesso, in quanto il dispositivo passa da inattivo a attivo. Agli utenti con password che soddisfano i requisiti viene comunque richiesto di modificare le password.

Crittografia

  • Crittografia dell'archiviazione dati in un dispositivo:
    Questa impostazione si applica a tutte le unità in un dispositivo.

    • Non configurato (impostazione predefinita)
    • Richiedi : usare Richiedi per crittografare l'archiviazione dati nei dispositivi.

    Provider di servizi di configurazione DeviceStatus - DeviceStatus/Compliance/EncryptionCompliance

    Nota

    L'impostazione Crittografia dell'archiviazione dati in un dispositivo controlla in modo generico la presenza di crittografia nel dispositivo, in modo più specifico a livello di unità del sistema operativo. Attualmente, Intune supporta solo il controllo della crittografia con BitLocker. Per un'impostazione di crittografia più affidabile, è consigliabile usare Require BitLocker, che sfrutta l'attestazione dell'integrità dei dispositivi Windows per convalidare lo stato di BitLocker a livello di TPM. Tuttavia, quando si sfrutta questa impostazione, tenere presente che potrebbe essere necessario un riavvio prima che il dispositivo rispecchi come conforme.

Sicurezza dei dispositivi

  • Firewall:

    • Non configurato (impostazione predefinita): Intune non controlla Windows Firewall né modifica le impostazioni esistenti.
    • Richiedi : attiva Windows Firewall e impedisci agli utenti di disattivarlo.

    Provider di servizi di configurazione del firewall

    Nota

    • Se il dispositivo viene sincronizzato immediatamente dopo un riavvio o sincronizza immediatamente la riattivazione dalla sospensione, questa impostazione può essere segnalata come errore. Questo scenario potrebbe non influire sullo stato complessivo di conformità del dispositivo. Per rivalutare lo stato di conformità, sincronizzare manualmente il dispositivo.

    • Se viene applicata una configurazione (ad esempio, tramite criteri di gruppo) a un dispositivo che configura Windows Firewall per consentire tutto il traffico in ingresso o disattiva il firewall, l'impostazione firewall su Richiedi restituirà Non conforme, anche se Intune criterio di configurazione del dispositivo attiva Firewall. Questo perché l'oggetto Criteri di gruppo esegue l'override dei criteri di Intune. Per risolvere questo problema, è consigliabile rimuovere eventuali impostazioni di Criteri di gruppo in conflitto o eseguire la migrazione delle impostazioni dei criteri di gruppo correlate al firewall ai criteri di configurazione del dispositivo Intune. In generale, è consigliabile mantenere le impostazioni predefinite, incluso il blocco delle connessioni in ingresso. Per altre informazioni, vedere Procedure consigliate per la configurazione di Windows Firewall.

  • Trusted Platform Module (TPM):

    • Non configurato (impostazione predefinita): Intune non controlla la versione del chip TPM nel dispositivo.
    • Richiedi: Intune verifica la conformità della versione del chip TPM. Il dispositivo è conforme se la versione del chip TPM è maggiore di 0 (zero). Il dispositivo non è conforme se non è presente una versione TPM nel dispositivo.

    Provider di servizi di configurazione DeviceStatus - DeviceStatus/TPM/SpecificationVersion

  • Antivirus:

    • Non configurato (impostazione predefinita): Intune non verifica la presenza di soluzioni antivirus installate nel dispositivo.
    • Richiedi: verificare la conformità usando soluzioni antivirus registrate con Sicurezza di Windows Center, ad esempio Symantec e Microsoft Defender. Se impostato su Richiedi, un dispositivo con software antivirus disabilitato o non aggiornato non è conforme.

    Provider di servizi di configurazione DeviceStatus - DeviceStatus/Antivirus/Status

  • Antispyware:

    • Non configurato (impostazione predefinita): Intune non verifica la presenza di soluzioni antispyware installate nel dispositivo.
    • Richiedi: verificare la conformità usando soluzioni antispyware registrate con Sicurezza di Windows Center, ad esempio Symantec e Microsoft Defender. Se impostato su Richiedi, un dispositivo con software antimalware disabilitato o non aggiornato non è conforme.

    Provider di servizi di configurazione DeviceStatus - DeviceStatus/Antispyware/Status

Defender

Con Windows 10/11 Desktop sono supportate le impostazioni di conformità seguenti.

  • Microsoft Defender Antimalware:

    • Non configurato (impostazione predefinita): Intune non controlla il servizio né modifica le impostazioni esistenti.
    • Richiedi: attivare il servizio antimalware Microsoft Defender e impedire agli utenti di disattivarlo.
  • Microsoft Defender versione minima antimalware:
    Immettere la versione minima consentita di Microsoft Defender servizio antimalware. Immettere ad esempio 4.11.0.0. Se lasciato vuoto, è possibile usare qualsiasi versione del servizio antimalware Microsoft Defender.

    Per impostazione predefinita, non è configurata alcuna versione.

  • Microsoft Defender l'intelligence di sicurezza antimalware aggiornata:
    Controlla la Sicurezza di Windows aggiornamenti della protezione da virus e minacce nei dispositivi.

    • Non configurato (impostazione predefinita): Intune non applica alcun requisito.
    • Richiedi: forzare l'aggiornamento dell'intelligence di sicurezza Microsoft Defender.

    Defender CSP - Defender/Health/SignatureOutOfDate CSP

    Per altre informazioni, vedere Aggiornamenti dell'intelligence per la sicurezza per Microsoft Defender Antivirus e altri antimalware Microsoft.

  • Protezione in tempo reale:

    • Non configurato (impostazione predefinita): Intune non controlla questa funzionalità né modifica le impostazioni esistenti.
    • Richiedi : attiva la protezione in tempo reale, che analizza la ricerca di malware, spyware e altro software indesiderato.

    Provider di servizi di configurazione dei criteri - CSP Defender/AllowRealtimeMonitoring

Microsoft Defender per endpoint

regole Microsoft Defender per endpoint

Per altre informazioni sull'integrazione Microsoft Defender per endpoint negli scenari di accesso condizionale, vedere Configurare l'accesso condizionale in Microsoft Defender per endpoint.

  • Richiedere al dispositivo di trovarsi al o sotto il punteggio di rischio del computer:
    Usare questa impostazione per considerare la valutazione dei rischi dei servizi di minaccia della difesa come condizione per la conformità. Scegliere il livello massimo di minaccia consentito:

    • Non configurato (impostazione predefinita)
    • Cancella : questa opzione è la più sicura, in quanto il dispositivo non può avere minacce. Se il dispositivo viene rilevato come con qualsiasi livello di minacce, viene valutato come non conforme.
    • Basso : il dispositivo viene valutato come conforme se sono presenti solo minacce di basso livello. Qualsiasi valore superiore inserisce il dispositivo in uno stato non conforme.
    • Medio : il dispositivo viene valutato come conforme se le minacce esistenti nel dispositivo sono di livello basso o medio. Se viene rilevato che il dispositivo presenta minacce di alto livello, è determinato che non è conforme.
    • Alto : questa opzione è la meno sicura e consente tutti i livelli di minaccia. Può essere utile se si usa questa soluzione solo a scopo di creazione di report.

    Per configurare Microsoft Defender per endpoint come servizio di difesa dalle minacce, vedere Abilitare Microsoft Defender per endpoint con l'accesso condizionale.

sottosistema Windows per Linux

Le impostazioni in questa sezione richiedono il plug-in sottosistema Windows per Linux (WSL). Per altre informazioni, vedere Valutare la conformità per sottosistema Windows per Linux.

Per Distribuzioni e versioni di Linux consentite immettere almeno un nome di distribuzione Linux. Facoltativamente, immettere una versione minima o massima del sistema operativo.

Nota

I nomi di distribuzione e le versioni immesse influiscono sui criteri di conformità nei modi seguenti:

  • Se non viene fornita alcuna distribuzione, tutte le distribuzioni sono consentite. Questo è il comportamento predefinito.
  • Se vengono forniti solo nomi di distribuzione, sono consentite tutte le versioni installate di tale distribuzione.
  • Se vengono forniti un nome di distribuzione e una versione minima del sistema operativo, sono consentite tutte le distribuzioni installate con il nome specificato e la versione minima o successiva.
  • Se vengono forniti un nome di distribuzione e una versione massima del sistema operativo, sono consentite tutte le distribuzioni installate con il nome specificato e la versione massima o precedenti.
  • Se vengono forniti un nome di distribuzione, una versione minima del sistema operativo e una versione massima del sistema operativo, sono consentite tutte le distribuzioni installate e le versioni del sistema operativo all'interno dell'intervallo specificato.

Windows Holographic for Business

Windows Holographic for Business usa la piattaforma Windows 10 e successiva. Windows Holographic for Business supporta l'impostazione seguente:

  • Sicurezza del> sistemaCodifica>Crittografia dell'archiviazione dati nel dispositivo.

Per verificare la crittografia del dispositivo nel Microsoft HoloLens, vedere Verificare la crittografia del dispositivo.

Surface Hub

Surface Hub usa la piattaforma Windows 10 e successiva. I surface hub sono supportati sia per la conformità che per l'accesso condizionale. Per abilitare queste funzionalità in Surface Hub, ti consigliamo di abilitare la registrazione automatica di Windows in Intune (richiede Microsoft Entra ID) e di usare i dispositivi Surface Hub come gruppi di dispositivi. Per il funzionamento della conformità e dell'accesso condizionale, è necessario che surface hub siano Microsoft Entra uniti.

Per indicazioni, vedere Configurare la registrazione per i dispositivi Windows.

Particolare considerazione per surface hub che eseguono Windows 10/11 Team OS:
I surface hub che eseguono Windows 10/11 Team OS non supportano attualmente i criteri di conformità Microsoft Defender per endpoint e password. Pertanto, per Surface Hub che eseguono Windows 10/11 Team OS impostare le due impostazioni seguenti sul valore predefinito Non configurato:

  • Nella categoria Password impostare Richiedi una password per sbloccare i dispositivi mobili sul valore predefinito Non configurato.

  • Nella categoria Microsoft Defender per endpoint impostare Richiedi che il dispositivo sia in corrispondenza o sotto il punteggio di rischio del computer sul valore predefinito Non configurato.

Passaggi successivi