Condividi tramite


Usare gruppi riutilizzabili di impostazioni con criteri di Intune

Questa funzionalità è disponibile in anteprima pubblica.

Intune supporta gruppi di impostazioni riutilizzabili che è possibile aggiungere a criteri e profili di configurazione per semplificare la gestione delle impostazioni comuni. Un buon momento per usare i gruppi riutilizzabili è quando è necessario usare le impostazioni con la stessa configurazione in più di un singolo profilo.

Quando si modificano le impostazioni in un gruppo riutilizzabile, le modifiche apportate si applicano automaticamente a ogni profilo che include il gruppo. Quando si salvano le modifiche nel gruppo di impostazioni riutilizzabili, Intune aggiorna i profili con tali nuove configurazioni e distribuisce il profilo aggiornato ai dispositivi in base alle assegnazioni del profilo.

I profili seguenti supportano i gruppi riutilizzabili:

Panoramica dei gruppi di impostazioni riutilizzabili

Ogni gruppo di impostazioni riutilizzabili è un singolo oggetto che può includere più impostazioni. Dopo aver configurato uno o più gruppi riutilizzabili da usare con un tipo di profilo specifico, creare o modificare un profilo per aggiungere i gruppi. I profili possono supportare più gruppi.

Per gestire gruppi di impostazioni riutilizzabili, nell'interfaccia di amministrazione Microsoft Intune si usa la scheda Impostazioni riutilizzabili associata ai criteri e ai profili con cui si vuole usare un gruppo. Nella scheda è possibile creare un gruppo, modificare le impostazioni in un gruppo e visualizzare il conteggio dei criteri che ereditano le impostazioni da ogni gruppo. Ogni gruppo di impostazioni riutilizzabili viene usato solo con il tipo di profilo correlato.

Ad esempio, l'immagine seguente mostra la scheda Impostazioni riutilizzabili da usare per gestire i gruppi riutilizzabili per il profilo Regole firewall di Windows Firewall:

Screenshot che mostra la scheda Impostazioni riutilizzabili per i criteri del firewall nell'interfaccia di amministrazione Microsoft Intune.

Dopo aver creato gruppi riutilizzabili, è possibile usare un'opzione in una pagina impostazioni di configurazione dei profili per aggiungere gruppi a tale profilo. I profili che includono uno o più gruppi riutilizzabili usano ogni impostazione di ogni gruppo incluso come se le impostazioni fossero state configurate direttamente nel profilo.

Prerequisiti

I profili seguenti supportano l'uso di gruppi di impostazioni riutilizzabili:

Criteri di sicurezza degli endpoint

  • Firewall>Regole di Windows Firewall:

    • Piattaforme: Windows
    • Versioni di Windows: i dispositivi devono essere eseguiti Windows 10 20H2 o versioni successive o Windows 11
  • Riduzione >della superficie di attaccoControllo del dispositivo:

    • Piattaforme: Windows

Gestione dei privilegi degli endpoint

  • Criteri delle regole di elevazione di Windows

Nota

I gruppi di impostazioni riutilizzabili non sono attualmente supportati per l'uso con Gestione sicurezza per Microsoft Defender per endpoint.

Creare un gruppo riutilizzabile

Ogni gruppo di impostazioni riutilizzabili include un subset di impostazioni dal profilo completo per cui si sta creando il gruppo. Usare i collegamenti seguenti per visualizzare le impostazioni che è possibile configurare in un gruppo di impostazioni per ogni profilo:

Per creare un gruppo di impostazioni riutilizzabili:

  1. Aprire l'interfaccia di amministrazione Microsoft Intune, passare ai criteri per i quali si vuole creare un gruppo riutilizzabile e quindi selezionare la scheda Impostazioni riutilizzabili (anteprima).

  2. Selezionare Aggiungi per aprire il flusso di lavoro Configura impostazioni riutilizzabili (anteprima).

  3. Nella pagina Informazioni di base configurare un nome. La descrizione è facoltativa.

  4. Nella pagina Impostazioni di configurazione selezionare Aggiungi e quindi configurare le impostazioni per questo gruppo come se si configurassero direttamente nel profilo supportato.

    Per Controllo dispositivo, quando si seleziona Aggiungi , è necessario scegliere il tipo di impostazioni di gruppo da configurare e quindi selezionare Modifica istanza per continuare. Se si aggiungono più istanze, esaminare la configurazione del tipo di corrispondenza per il gruppo.

    Esiste un limite di 100 istanze per gruppo. Usare il testo informativo nell'interfaccia di amministrazione per ogni impostazione nel gruppo di impostazioni riutilizzabili come linee guida. Seguire il collegamento Altre informazioni per un'impostazione per visualizzare i dettagli sull'impostazione da tale origine di contenuto delle impostazioni.

    Consiglio

    Assegnare un nome a ogni gruppo riutilizzabile creato per assicurarsi di poterlo identificare in un secondo momento. Ciò è importante perché ogni gruppo riutilizzabile creato, per qualsiasi tipo di criterio, è visibile quando si aggiungono gruppi riutilizzabili a un criterio, anche se il gruppo contiene impostazioni che normalmente non si applicano ai criteri che si stanno configurando. Ad esempio, se si dispone di un gruppo riutilizzabile creato per le regole di Windows Firewall, tale gruppo sarà visibile e può essere selezionato quando si aggiungono gruppi riutilizzabili ai criteri di Controllo dispositivo.

  5. Nella pagina Rivedi e aggiungi selezionare Aggiungi per salvare il gruppo di impostazioni riutilizzabili.

Modificare un gruppo riutilizzabile

Quando si modifica la configurazione di un gruppo riutilizzabile, ogni profilo che usa tale gruppo viene aggiornato automaticamente per applicare la nuova configurazione ai dispositivi.

  1. Aprire l'interfaccia di amministrazione Microsoft Intune, passare ai criteri per i quali si vuole creare un gruppo riutilizzabile e quindi selezionare la scheda Impostazioni riutilizzabili (anteprima).

  2. Selezionare il gruppo di impostazioni riutilizzabili da modificare. Verrà aperto il flusso di lavoro di configurazione simile al flusso di lavoro per la creazione di un nuovo gruppo riutilizzabile.

  3. Nella pagina Informazioni di base è possibile rinominare il gruppo e nella pagina Impostazioni di configurazione è possibile riconfigurare le impostazioni. Nell'ultima pagina selezionare Salva per salvare la configurazione e aggiornare i profili che usano il gruppo di impostazioni.

Aggiungere gruppi riutilizzabili a un profilo di regola di Windows Firewall

Aggiungere gruppi di impostazioni riutilizzabili ai profili durante la modifica o la creazione del profilo. Nella pagina Impostazioni di configurazione dei profili usare un'opzione che supporta l'aggiunta di uno o più gruppi creati in precedenza.

Nota

Le regole FQDN in ingresso non sono supportate in modo nativo. Tuttavia, è possibile usare script di pre-idratazione per generare voci IP in ingresso per la regola. Per altre informazioni, vedere Parole chiave dinamiche di Windows Firewall nella documentazione di Windows Firewall.

  1. Nell'interfaccia di amministrazione Microsoft Intune creare un nuovo profilo o selezionare e modificare un profilo esistente.

  2. Nella pagina Impostazioni di configurazione selezionare Aggiungi per aggiungere una nuova regola oppure Modifica regola per gestire una regola creata in precedenza.

  3. Nel riquadro Configura istanza per la regola configurare Action per determinare come questa regola gestisce le impostazioni, ad esempio indirizzi IP o FQDN. Ad esempio, è possibile impostare Azione per consentire o bloccare. Questa configurazione si applica sia alle impostazioni aggiunte direttamente a questa regola che alle impostazioni che si trovano in ogni gruppo riutilizzabile aggiunto a questa regola.

    Salvare la configurazione della regola.

  4. Per la regola salvata, selezionare Imposta impostazioni riutilizzabili per aprire il riquadro Seleziona impostazioni riutilizzabili .

    Screenshot del flusso di lavoro Impostazioni di configurazione per la configurazione di un gruppo riutilizzabile.

  5. Selezionare uno o più gruppi disponibili per aggiungerli a questa regola e quindi salvare le selezioni.

    Screenshot che mostra il riquadro Seleziona impostazioni riutilizzabili.

  6. Dopo aver aggiunto gruppi riutilizzabili a un profilo, salvare la configurazione. Al momento del salvataggio, Intune include le impostazioni dei gruppi riutilizzabili e distribuisce il profilo nei dispositivi in base alle assegnazioni del profilo.

Aggiungere gruppi riutilizzabili a un profilo di controllo del dispositivo

Aggiungere gruppi di impostazioni riutilizzabili ai profili durante la modifica o la creazione del profilo. I gruppi riutilizzabili per i profili di Controllo dispositivi supportano i tipi di impostazioni seguenti:

  • Dispositivo stampante
  • Archivi rimovibili

Nella pagina Impostazioni di configurazione dei profili usare un'opzione che supporta l'aggiunta di uno o più gruppi creati in precedenza.

  1. Nell'interfaccia di amministrazione Microsoft Intune creare un nuovo profilo o selezionare e modificare un profilo esistente.

  2. Nella pagina Impostazioni di configurazione espandere la categoria Controllo dispositivo e selezionare Aggiungi per aggiungere una nuova regola oppure Modifica voce per gestire una regola creata in precedenza.

    • Selezionare Aggiungi per aggiungere altre regole.
    • Selezionare Modifica voce per aprire il riquadro Configura voce per configurare ulteriormente l'uso del gruppo.
  3. Nel riquadro Configura voce assegnare alla voce un nome, quindi configurare quanto segue e quindi selezionare OK per salvare la regola:

    • Tipo: definisce l'azione per i gruppi di archiviazione rimovibili. In caso di conflitti per Type per lo stesso supporto, viene applicato il primo tipo definito nel criterio.
    • Opzioni: definisce se visualizzare una notifica all'utente del dispositivo. Le opzioni disponibili dipendono dal tipo selezionato.
    • Maschera di accesso: scegliere uno o più valori tra Lettura, Scrittura, Esecuzione.
    • Sid: l'utente locale Sid o il gruppo sid utente o il Sid dell'oggetto AD, definisce se applicare questo criterio a un utente o a un gruppo di utenti specifico; una voce può avere un massimo di un Sid e una voce senza Sid significa che applica il criterio sul computer.
    • Sid computer: sid computer locale o gruppo sid computer o il Sid dell'oggetto AD, definisce se applicare questo criterio su un computer o un gruppo di computer specifico; una voce può avere un massimo di un ComputerSid e una voce senza ComputerSid significa che applica i criteri sul computer. Se si vuole applicare una voce a un utente specifico e a un computer specifico, aggiungere sia Sid che ComputerSid nella stessa voce.

    Per altre informazioni su queste opzioni, vedere gli articoli seguenti nella documentazione di Microsoft Defender per endpoint:

  4. Per la regola salvata, selezionare Imposta impostazioni riutilizzabili per ID incluso ed ID escluso per soddisfare le proprie esigenze. Entrambe le selezioni aprono un riquadro Seleziona impostazioni riutilizzabili .

    Screenshot che mostra il riquadro Seleziona impostazioni riutilizzabili per i profili di controllo del dispositivo.

  5. Selezionare uno o più gruppi disponibili per aggiungerli a questa regola e quindi salvare le selezioni. Di seguito viene illustrata una configurazione con un solo gruppo selezionato per l'ID escluso:

    Screenshot che mostra il risultato della selezione di un gruppo solo per un ID escluso.

  6. Dopo aver aggiunto gruppi riutilizzabili a un profilo, completare la configurazione dei criteri. Al momento del salvataggio, Intune include le impostazioni dei gruppi riutilizzabili e distribuisce il profilo nei dispositivi in base alle assegnazioni del profilo. È possibile aggiungere al massimo 100 gruppi riutilizzabili per ogni profilo.

Se si dispone di una licenza E5, è possibile usare Microsoft Defender per endpoint per visualizzare gli eventi di controllo del dispositivo nel report Controllo dispositivo e ricerca avanzata. Vedere Proteggere i dati dell'organizzazione con il controllo del dispositivo | Microsoft Docs nella documentazione di Defender per endpoint.

Usare gruppi riutilizzabili per Endpoint Privilege Manager

Per informazioni sul supporto per l'uso di gruppi riutilizzabili per Endpoint Privilege Manager, vedere Criteri per Endpoint Privilege Manager

Informazioni sui conflitti di criteri

Le impostazioni del dispositivo che è possibile gestire tramite gruppi di impostazioni riutilizzabili vengono applicate da Intune le stesse impostazioni configurate direttamente in un profilo. Se le impostazioni dei gruppi riutilizzabili introducono conflitti o sovrapposizioni, è possibile usare lo stesso processo di risoluzione dei problemi per identificare e risolvere tali conflitti.

Per altre informazioni, vedere le indicazioni che potrebbero essere specifiche dei tipi di profilo usati. Per indicazioni generali, vedere Risolvere i problemi relativi a criteri e profili in Microsoft Intune e Domande e risposte comuni con i criteri e i profili dei dispositivi in Microsoft Intune.

Passaggi successivi

Panoramica sulla configurazione del dispositivo