Nicola Ferrini

Microsoft Intune – Configurare le cloud policy per gestire le Microsoft 365 Apps for Enterprise

Visualizzazioni: 812

In Microsoft Intune è possibile configurare delle policy per poter gestire le Microsoft 365 Apps nel dispositivo di un utente, anche se il dispositivo non è aggiunto al dominio o non è gestito in altro modo. Quando un utente accede alle Microsoft 365 Apps sul dispositivo, le policy e le configurazioni scelte vengono applicate. È possibile configurare dispositivi che eseguono Windows, macOS, iOS e Android, anche se non tutte le impostazioni dei criteri sono disponibili per tutti i sistemi operativi. Inoltre, è possibile configurare anche Office per il Web.

Le Cloud policy sono configurabili sia da Microsoft Intune che dal Microsoft 365 Apps admin center, raggiungibile all’indirizzo https://config.office.com/

Microsoft 365 Apps Admin Center è uno strumento di amministrazione che consente agli amministratori di gestire le applicazioni Microsoft 365 all’interno dell’ambiente aziendale.

Figura 1: Microsoft 365 Apps Admin center

Una volta effettuato l’accesso sarà possibile configurare e utilizzare una serie di funzionalità molto utili per gli amministratori che gestiscono le applicazioni Microsoft 365, come ad esempio:

  • Installazione e distribuzione di applicazioni: Gli amministratori possono utilizzare questo centro per installare e distribuire le applicazioni Microsoft 365, come Word, Excel, PowerPoint e altri, su dispositivi aziendali.
  • Gestione delle licenze: Consente di monitorare e gestire le licenze delle applicazioni Microsoft 365 assegnate agli utenti nell’organizzazione.
  • Aggiornamenti delle applicazioni: Fornisce opzioni per gestire gli aggiornamenti delle applicazioni Microsoft 365, garantendo che gli utenti dispongano delle versioni più recenti e sicure.
  • Monitoraggio e reportistica: Offre strumenti per monitorare l’utilizzo delle applicazioni, generare report e ottenere informazioni sulla conformità.
  • Configurazione delle impostazioni di sicurezza: Consente di configurare le impostazioni di sicurezza per le applicazioni Microsoft 365 all’interno dell’organizzazione.

NOTA: Le Cloud policy funzionano solo per Microsoft 365 Apps for Enterprise. È possibile creare una configurazione dei criteri per Microsoft 365 Apps for Business, ma sono supportate solo le impostazioni dei criteri correlate ai controlli della privacy.

Figura 2: Home Page del Microsoft 365 apps admin center

È anche possibile configurare le Policies for Office apps dal portale di Microsoft Intune. Queste policy consentono agli amministratori di controllare e personalizzare il comportamento delle app di Office sui dispositivi gestiti.

Per implementare queste policy è necessario:

  • Creare le policy: Gli amministratori possono creare policy specifiche per le app di Office attraverso il portale di amministrazione di Microsoft Intune. Queste policy possono coprire vari aspetti, come la sicurezza, la configurazione delle app e le restrizioni di utilizzo.
  • Assegnare le policy: Dopo aver creato le policy, gli amministratori le assegnano a gruppi di utenti o dispositivi specifici. Questo consente di applicare le policy solo a una determinata categoria di utenti o dispositivi all’interno dell’organizzazione.
  • Implementare le policy sui dispositivi: Una volta assegnate, le policy vengono implementate sui dispositivi degli utenti. Questo può comportare la configurazione automatica delle app di Office in base alle specifiche della policy, l’applicazione di misure di sicurezza o la limitazione di alcune funzionalità in base alle esigenze aziendali.

Esempi di policy che più spesso vengono distribuite sono:

  • Requisiti di accesso: Ad esempio, è possibile richiedere l’autenticazione a più fattori per accedere alle app di Office su dispositivi mobili.
  • Configurazione delle impostazioni: Gli amministratori possono configurare le impostazioni delle app di Office, come ad esempio le impostazioni di condivisione o le preferenze di formattazione.
  • Requisiti di crittografia: Le politiche possono richiedere la crittografia dei dati salvati nelle app di Office per garantire la sicurezza delle informazioni aziendali.
  • Controllo delle versioni: Gli amministratori possono imporre l’uso delle versioni più recenti delle app di Office per garantire la compatibilità e la sicurezza.

Un vantaggio interessante offerto da Microsoft Intune è certamente quello del monitoraggio e della reportistica. Intune fornisce strumenti di monitoraggio e reportistica per consentire agli amministratori di valutare l’efficacia delle policy, verificare la conformità e rilevare eventuali problemi di sicurezza.

Creazione delle Policies for Office apps dal portale di Microsoft Intune

Dal portale amministrativo di Microsoft Intune scegliete Apps > Policies for Office apps e fate clic su Create per creare la vostra prima policy.

Figura 3: Creazione delle Policies for Office apps dal portale di Microsoft Intune

Nella pagina Start with the basics immettere un nome (obbligatorio) e una descrizione (facoltativo), quindi selezionare Next.

Figura 4: Nome e descrizione della cloud policy

Nella pgina Choose the scope scegliete se la configurazione dei criteri si applica a un gruppo specifico o agli utenti che accedono ai documenti in modo anonimo usando Office per il web. Se la configurazione dei criteri si applica a un gruppo specifico, selezionare il gruppo. Ogni configurazione dei criteri può essere assegnata a un solo gruppo e a ogni gruppo può essere assegnata una sola configurazione dei criteri. Ma il gruppo selezionato può contenere altri gruppi (annidati).

Figura 5: Scelta della scope della cloud policy

Nella pagina Configure Settings selezionare le policy da includere nella configurazione dei criteri. È possibile cercare i criteri per nome oppure creare un filtro personalizzato. È possibile filtrare in base alla piattaforma, all’applicazione, se i criteri sono stati configurati e se il criterio è una baseline di sicurezza consigliata.

Al momento della scrittura di questa guida ci sono 2215 configurazioni diverse che è possibile applicare. Sono disponibili solo le impostazioni dei criteri basate sull’utente. Le impostazioni dei criteri basate su computer non sono disponibili. Man mano che le nuove impostazioni dei criteri basate sull’utente vengono rese disponibili per Office, i criteri cloud le aggiungeranno automaticamente.

Figura 6: Criteri che è possibile configurare tramite la cloud policy

Solo a titolo di esempio, tra le tante configurazioni disponibili, ho scelto di modificare e di disabilitare il pannello di lettura laterale delle mail in Microsoft Outlook.

Figura 7: Configurazione della cloud policy

Terminate le configurazioni richieste e fate clic su Next per procedere con il wizard.

Figura 8: Scelta delle configurazioni della cloud policy

Dopo aver effettuato le selezioni, selezionare Next per esaminare le selezioni. Selezionare quindi Create per creare la configurazione dei criteri.

Figura 9: Schermata di riepilogo della creazione della cloud policy

Figura 10: Creazione della cloud policy completata

Figura 11: La policy per le Microsoft 365 apps for enterprise è visibile nel portale di Microsoft Intune

La stessa policy sarà visibile nel portale del Microsoft 365 Apps admin center.

Figura 12: La policy per le Microsoft 365 apps for enterprise è visibile nel portale di Microsoft 365 Apps admin center

Modalità di applicazione della cloud policy

Il servizio Click-to-Run usato da Microsoft 365 Apps for enterprise verifica regolarmente i criteri cloud (cloud policy) per verificare se sono presenti configurazioni di criteri relative all’utente. In caso affermativo, le impostazioni dei criteri appropriate vengono applicate e diventano effettive alla successiva apertura dell’app di Office da parte dell’utente, ad esempio Word, Excel, Outlook, ecc.

Ecco un riepilogo di ciò che accade:

  • Quando un utente accede a Office in un dispositivo per la prima volta, viene immediatamente eseguito un controllo per verificare se è presente una configurazione dei criteri relativa all’utente.
  • Se l’utente non è membro di un gruppo di Microsoft Entra a cui è assegnata una configurazione dei criteri, verrà eseguito di nuovo un altro controllo in 24 ore.
  • Se l’utente è un membro di un gruppo di Microsoft Entra a cui è assegnata una configurazione dei criteri, vengono applicate le impostazioni dei criteri appropriate. Un controllo viene effettuato di nuovo in 90 minuti.
  • Se sono state apportate modifiche alla configurazione dei criteri dopo l’ultimo controllo, vengono applicate le impostazioni dei criteri appropriate e un altro controllo viene eseguito di nuovo in 90 minuti.
  • Se non sono state apportate modifiche alla configurazione dei criteri dopo l’ultimo controllo, verrà eseguito di nuovo un altro controllo tra 24 ore.
  • Se si verifica un errore, viene eseguito un controllo quando l’utente apre un’app di Office, ad esempio Word o Excel.
  • Se non sono in esecuzione app di Office al momento della pianificazione del controllo successivo, il controllo verrà eseguito la volta successiva in cui l’utente apre un’app di Office.

NOTA: I criteri di Cloud policy vengono applicati solo quando l’app di Office viene riavviata. Il comportamento è lo stesso delle Group Policy. Per i dispositivi Windows, i criteri vengono applicati in base all’utente primario che ha eseguito l’accesso a Microsoft 365 Apps for enterprise. Se sono presenti più account connessi, vengono applicati solo i criteri per l’account primario.

Se l’utente è membro di più gruppi di Microsoft Entra con impostazioni dei criteri in conflitto, viene usata la priorità per determinare l’impostazione dei criteri applicata. Viene applicata la priorità più alta, con “0” come priorità più alta che è possibile assegnare. È possibile impostare la priorità scegliendo Reorder priority nella pagina Policy configurations.

Verifica della corretta applicazione della Cloud policy

Le configurazioni impostate tramite le Cloud policy vengono scritte nel registro di sistema di Windows nella chiave HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Questa chiave viene sovrascritta ogni volta che viene recuperato un nuovo set di criteri durante il processo di check-in.

Figura 13: Applicazione della cloud policy avvenuta con successo

Come si può vedere dalla figura sotto, le configurazioni sono state applicate correttamente e il riquadro di lettura di Outlook è disabilitato.

Figura 14: Il riquadro di lettura di Outlook è disabilitato

Maggiori informazioni sono disponibili alla pagina Overview of Cloud Policy service for Microsoft 365 – Deploy Office | Microsoft Learn

 

Che differenza c’è tra le Cloud Policy, i profili di configurazione di Microsoft Intune e le Group policy per poter gestire le Microsoft 365 Apps for Enterprise?

Le Cloud Policy, i profili di configurazione di Microsoft Intune e le Group Policy sono strumenti di gestione e configurazione che possono essere utilizzati per gestire le Microsoft 365 Apps for Enterprise ambienti aziendali. Vediamo le differenze tra questi tre approcci:

  • Group Policy:
    • Tipo: Le Group Policy sono una funzionalità di gestione di Microsoft Windows Server.
    • Ambito di Applicazione: Le Group Policy sono applicate a dispositivi Windows che sono membri di un dominio Active Directory.
    • Configurazione: Consentono di configurare le impostazioni su dispositivi Windows utilizzando un approccio basato su criteri di gruppo, con impostazioni definite centralmente dal server Active Directory.
    • Limitazioni: Sono limitate ai dispositivi Windows e richiedono un’infrastruttura di dominio Active Directory.
    • Utilizzo di Internet: Poiché le Group Policy si basano su un’infrastruttura di rete interna, potrebbero non essere così efficaci per dispositivi che operano al di fuori della rete aziendale, come i dispositivi mobili.
  • Microsoft Intune Configuration Profiles:
    • Tipo: Microsoft Intune è una soluzione di gestione della mobilità aziendale (EMM) basata su cloud.
    • Ambito di Applicazione: I profili di configurazione di Intune possono essere applicati a una vasta gamma di dispositivi, inclusi dispositivi Windows, macOS, Android e iOS.
    • Configurazione: Consentono di configurare le impostazioni su dispositivi gestiti tramite Intune. Gli amministratori possono definire profili specifici per dispositivi e assegnarli a gruppi di utenti o dispositivi.
    • Limitazioni: Possono richiedere che i dispositivi siano registrati o gestiti a Intune.
    • Utilizzo di Internet: Poiché Intune è basato sul cloud, i dispositivi possono essere gestiti ovunque si trovino, rendendolo adatto per la gestione di dispositivi mobili e remoti.
  • Cloud Policies:
    • Tipo: Le Cloud Policies sono specifiche per le Microsoft 365 Apps for Enterprise e sono gestite tramite il Microsoft 365 Apps admin center (o tramite Microsoft Intune).
    • Ambito di Applicazione: Possono essere applicate alle Microsoft 365 Apps for Enterprise su dispositivi Windows.
    • Configurazione: Consentono di configurare le impostazioni delle applicazioni Microsoft 365 direttamente dal cloud, senza la necessità di un’infrastruttura di Active Directory e senza che il dispositivo sia gestito da Microsoft Intune.
    • Limitazioni: Sono specifiche per le Microsoft 365 Apps e non possono essere utilizzate per configurare altri aspetti del sistema operativo o di altre applicazioni.
    • Utilizzo di Internet: Poiché sono gestite dal cloud, le Cloud Policies sono adatte per dispositivi che operano in ambienti remoti o su reti non aziendali.

Riassumendo, mentre le Group Policy offrono un approccio più tradizionale e sono limitate all’ambiente on-premises, Microsoft Intune e le Cloud Policies offrono soluzioni più moderne e flessibili, specialmente quando si tratta di gestire dispositivi mobili o di supportare la mobilità aziendale. La scelta tra questi dipenderà dalle esigenze specifiche dell’organizzazione e dalla sua infrastruttura IT.

 

Conclusioni

L’utilizzo di Microsoft Intune per implementare policy per le app di Office offre diversi vantaggi per le organizzazioni, specialmente in contesti aziendali e di gestione della mobilità, come ad esempio la gestione centralizzata, l’implementazione di configurazioni relative alla sicurezza e alle protezione dei dati aziendali, la conformità alle politiche aziendali e alle normative regolamentari e indubbiamente il supporto ad una vasta gamma di dispositivi e piattaforme, consentendo agli amministratori di estendere le policy per le Microsoft 365 Apps for Enterprise a dispositivi basati su Windows, macOS, Android e iOS.