Microsoft 365 Modern Desktop Management – Utilizzare Microsoft Endpoint Manager Policy Sets

I Policy Sets (set di criteri) consentono di raggruppare le app, i criteri e le configurazioni da assegnare ad utenti e dispositivi gestiti da Microsoft Endpoint Manager, semplificando di fatto la gestione della nostra infrastruttura.

È possibile usare i policy sets per:

  • Raggruppare gli oggetti che devono essere assegnati insieme
  • Assegnare i requisiti minimi di configurazione dell’organizzazione in tutti i dispositivi gestiti
  • Assegnare app di uso comune o pertinenti a tutti gli utenti

ed è possibile includere tutte le configurazioni riguardanti:

  • App
  • Criteri di configurazione dell’app
  • Criteri di protezione delle app
  • Profili di configurazione dispositivo
  • Criteri di conformità dei dispositivi
  • Limitazioni del tipo di dispositivo
  • Profili di distribuzione di Windows Autopilot

Davvero interessante che si possano aggiungere le impostazioni di Windows, Android, macOS e iOS/iPadOS nello stesso policy set e che possano essere assegnati tra piattaforme diverse. Queste impostazioni, che devono essere già presenti in Microsoft Endpoint Manager, vengono solo raggruppate dai policy sets. Tutte le modifiche alle configurazioni dovranno essere effettuate sui singoli oggetti creati.

Creazione di un Policy Set

Dal portale di amministrazione di Microsoft Endpoint Manager https://endpoint.microsoft.com/ selezionate Devices à Policy Sets

Figura 1: Creazione di un nuovo policy set in Microsoft Endpoint Manager

Figura 2: Schermata di Overview di Policy Sets in Microsoft Endpoint Manager

Cliccate sul pulsante + Create per creare un nuovo set di criteri.

Figura 3: Creazione di un nuovo set di criteri

Specificate un nome e specificate facoltativamente una descrizione per il policy set.

Figura 4: Nome del set di criteri

Nella pagina Gestione delle applicazioni è possibile aggiungere facoltativamente app, criteri di configurazione delle app e criteri di protezione delle app al policy set. Cliccate su + Select Apps per aggiungere una o più applicazioni che state già distribuendo con Microsoft Endpoint Manager. Per sapere come creare delle applicazioni gestite da Microsoft Endpoint Manager vi rimando alla lettura della guida Microsoft 365 Modern Desktop Management – Distribuire e gestire le applicazioni sui dispositivi aziendali con Microsoft Intune

Figura 5: Aggiunta delle applicazioni al policy set

Come è possibile vedere dalla figura sotto, le applicazioni sono configurabili. Potete ad esempio scegliere il tipo di assegnazione delle applicazioni oppure potete scegliere, se è previsto dall’applicazione, il tipo di modalità di installazione, se per utente o per dispositivo.

Figura 6: Configurazione della modalità di installazione dell’applicazione

Figura 7: Configurazione dell’applicazione gestita da Microsoft Endpoint Manager

I criteri di configurazione delle app consentono di evitare i problemi di configurazione delle app, permettendo di assegnare le impostazioni di configurazione a criteri assegnati agli utenti finali prima dell’esecuzione dell’app. Le impostazioni vengono quindi fornite automaticamente quando l’app viene configurata nel dispositivo degli utenti finali e gli utenti finali non devono eseguire alcuna azione. Le impostazioni di configurazione sono univoche per ogni app. Cliccate su + Select app configuration policies per aggiungere al vostro policy set le configurazioni che ritenete opportune.

Per approfondimenti sulla gestione delle applicazioni e sulle configurazioni potete leggere la guida Microsoft 365 Modern Desktop Management – Utilizzo degli Administrative Templates (preview) in Microsoft Intune

Figura 8: Aggiunta di una app configuration policy al nostro policy set

I criteri di protezione delle app sono regole che assicurano che i dati di un’organizzazione rimangano sicuri o contenuti in un’app gestita. Un criterio può essere una regola che viene applicata quando l’utente tenta di accedere o spostare dati “aziendali” o un set di azioni vietate o monitorate quando l’utente è all’interno dell’app. Cliccate su + Select app protection policies per aggiungere al vostro policy set le configurazioni che ritenete opportune.

Figura 9: Aggiunta di una app protection policy al nostro policy set

Terminate le configurazioni relative alla app potete proseguire con il wizard cliccando su Next: Device Management.

Figura 10: Configurazione delle app completata

La pagina Gestione dei dispositivi consente di aggiungere oggetti di gestione dei dispositivi al set di criteri, ad esempio profili di configurazione dei dispositivi e criteri di conformità dei dispositivi. Assicuratevi di includere tutti gli oggetti associati, ad esempio altri criteri, certificati e profili di baseline di sicurezza. Vi ricordo che tramite Microsoft Endpoint Manager possibile creare profili per dispositivi diversi e piattaforme diverse, tra cui iOS/iPadOS, Amministratore di dispositivi Android, Android Enterprise e Windows.

Trovate maggiori informazioni sulla gestione dei dispositivi leggendo le guide Microsoft 365 Modern Desktop Management – Gestione di Windows 10 con Microsoft Intune utilizzando i device profiles e Microsoft Intune – Gestione dei dispositivi Android Enterprise

Figura 11: Assegnazione di un profilo di configurazione al set di criteri

Le soluzioni di gestione di dispositivi mobili (MDM, Mobile Device Management) come Microsoft Endpoint Manager consentono di proteggere i dati dell’organizzazione richiedendo agli utenti e ai dispositivi di soddisfare alcuni requisiti. Questa funzionalità è definita criteri di conformità. Cliccate su + Select device compliance polices per aggiungere i criteri di conformità che avete già creato e che volete assegnare tramite il policy set.

Figura 12: Aggiunta dei criteri di conformità al nostro set di criteri

Terminate le configurazioni relative alla gestione dei dispositivi fate clic sul pulsante Next: Device Enrollment

Figura 13: Configurazione della gestione dei dispositivi completata

La pagina Registrazione del dispositivo consente di aggiungere oggetti di registrazione del dispositivo al set di criteri, ad esempio limitazioni del tipo di dispositivo, profili di distribuzione di Windows Autopilot e profili delle pagine di stato della registrazione. Nel mio caso ho aggiunto un profilo di distribuzione di Windows Autopilot. Con Windows Autopilot è possibile assegnare nuovi dispositivi agli utenti finali senza dover creare, gestire e applicare immagini del sistema operativo personalizzate ai dispositivi. Trovate maggiori informazioni alla pagina Microsoft 365 Modern Desktop Management – Windows AutoPilot

Figura 14: Assegnazione di un profilo di Windows Autopilot al set di criteri

Dopo aver completato le configurazioni relative al Device Enrollement cliccate su Next: Assignments per proseguire il wizard di configurazione del policy set.

Figura 15: Configurazione della registrazione del dispositivo completata

La pagina Assegnazioni consente di assegnare il set di criteri a utenti e dispositivi. Nel mio caso ho scelto un gruppo di Azure AD chiamato Research. Ovviamente nel gruppo possono esserci sia utenti che dispositivi.

Figura 16: Assegnazione del policy set ad un gruppo di Azure AD

Fate clic su Next: Review + create per continuare il wizard.

Figura 17: Assegnazione del policy set completata

Verificare i valori immessi per il profilo e al termine fate clic su Create per creare il policy set.

Figura 18: Pagina finale del wizard di creazione del policy set

Il nuovo policy set sarà visibile nella schermata di Microsoft Endpoint Manager.

Figura 19: Policy set creato

Problemi noti con i policy set

Attualmente la funzionalità è in preview. Quindi vi rimando alla lettura della pagina https://docs.microsoft.com/it-it/mem/intune/fundamentals/policy-sets#policy-sets-known-issues per rimanere sempre aggiornati sui limiti/ problemi relativi alla funzionalità.