Microsoft Intune – Gestione dinamica delle configurazioni dei dispositivi Windows
Utilizzando Microsoft Intune, potete applicare configurazioni e politiche in modo più flessibile e reattivo rispetto ai tradizionali metodi statici. Questa tecnologia vi permette di adattare rapidamente le impostazioni dei dispositivi in base alle esigenze aziendali in continua mutazione, migliorando la produttività e riducendo i tempi di inattività.
la gestione dinamica facilita l’implementazione di aggiornamenti e la risoluzione dei problemi in tempo reale, garantendo che tutti i dispositivi siano sempre conformi agli standard di sicurezza e alle best practice aziendali.
I vantaggi della funzionalità Dynamic Management CSP (Configuration Service Provider) ono molteplici. La flessibilità e l’adattabilità offerte vi consentono di rispondere tempestivamente alle esigenze operative e alle nuove sfide aziendali, mentre l’efficienza operativa si traduce in una riduzione del carico di lavoro per il vostro team IT. L’esperienza utente viene significativamente migliorata, poiché gli utenti finali dispongono sempre delle impostazioni ottimali per le loro attività quotidiane, aumentando la produttività e la soddisfazione.
Dynamic Management in Windows 10 e Windows 11
Windows 10 o Windows 11 consentono di gestire i dispositivi in modo diverso a seconda della posizione, della rete o dell’ora. i dispositivi gestiti possono avere fotocamere disabilitate quando si trovano in un luogo di lavoro, il roaming del cellulare può essere disabilitato all’esterno del paese o dell’area geografica per evitare addebiti per il roaming o la rete wireless può essere disabilitata quando il dispositivo non si trova all’interno dell’edificio o del campus aziendale.
Il Dynamic Management CSP consente la configurazione di criteri che modificano la modalità di gestione del dispositivo, oltre a impostare le condizioni in cui si verifica la modifica.
Figura 1: Principio di funzionamento del Dynamic Management
Qui di seguito vi elenco le caratteristiche del provider di servizi di configurazione DynamicManagement
- DynamicManagement Nodo radice per il provider del servizio di configurazione DynamicManagement.
- NotificationsEnabled Valore booleano per l’invio di notifiche all’utente di una modifica di contesto.
- ActiveList Stringa contenente l’elenco di tutti gli ID contesto attivi nel dispositivo.
- Contexts Nodo per informazioni sul contesto.
- ContextID Nodo creato dal server per definire un contesto.
- SignalDefinition XML di definizione del segnale.
- SettingsPack Impostazioni che vengono applicate quando il contesto è attivo.
- SettingsPackResponse Risposta dall’applicazione di un Settings Pack che contiene informazioni su ogni singola azione.
- ContextStatus Segnala lo stato del contesto. Se si è verificato un errore, è necessario verificare che settingsPackResponse non sia riuscito.
- Altitude Valore che determina come gestire la risoluzione dei conflitti dell’applicazione di più contesti nel dispositivo. Ciò è necessario e deve essere distinto da altre priorità.
- AlertsEnabled Valore booleano per l’invio di un avviso al server in caso di errore di un contesto.
Creazione di un profilo di configurazione Custom per abilitare il Dynamic Management
Dal portale di Microsoft Intune navigate in Devices > Configuration > Policies > +Create > +New Policy. Scegliete come Platform Windows 10 and later e come Profile Type Templates. Nella lista dei Template selezionate Custom.
Figura 2: Creazione di un profilo di configurazione di tipo Custom
Date un nome ed una eventuale descrizione al vostro profilo.
Figura 3: Nome e descrizione del profilo di configurazione Custom
Nella scheda Configuration settings procedete all’aggiunta degli OMA-URI Settings.
Gli OMA-URI Settings (Open Mobile Alliance Uniform Resource Identifier Settings) sono un componente fondamentale nella gestione avanzata dei dispositivi tramite soluzioni di Mobile Device Management (MDM) come Microsoft Intune. Queste impostazioni permettono agli amministratori IT di configurare in modo dettagliato e personalizzato le politiche e le configurazioni sui dispositivi gestiti, andando oltre le opzioni predefinite disponibili nelle interfacce grafiche standard.
Gli OMA-URI sono stringhe che seguono uno standard definito dall’Open Mobile Alliance (OMA) per identificare in modo univoco le impostazioni di configurazione che devono essere applicate a un dispositivo. Questi URI fungono da indirizzi specifici che puntano a determinate configurazioni o politiche all’interno del dispositivo, consentendo agli amministratori di applicare configurazioni precise e complesse che potrebbero non essere supportate direttamente dalle interfacce di configurazione standard di Intune.
Come funzionano gli OMA-URI Settings in Microsoft Intune?
In Microsoft Intune, gli OMA-URI Settings vengono utilizzati all’interno dei profili di configurazione personalizzati. Questi profili consentono di inviare configurazioni specifiche ai dispositivi gestiti utilizzando codici XML che definiscono le impostazioni desiderate. Gli OMA-URI possono gestire diversi tipi di dati, come stringhe, interi, booleani o dati complessi in formato XML. Questo permette una vasta gamma di configurazioni, dalle impostazioni semplici alle configurazioni avanzate e personalizzate.
Gli OMA-URI permettono di configurare impostazioni che non sono disponibili nelle opzioni predefinite di Intune, offrendo una maggiore flessibilità nella gestione dei dispositivi.
Voglio fare in modo che la webcam sia disabilitata quando il dispositivo Windows 10 o Windows 11 si trovi all’interno della rete aziendale, ma torni ad essere abilitata quando invece il dispositivo si trova in un’altra rete. La prima configurazione OMA-URI che ho creato disabilita la webcam. Inserite il valore ./Vendor/MSFT/DynamicManagement/Contexts/NetworkBased/SettingsPack (il valore è case-sensitive e ha un punto all’inizio) nel campo OMA-URI, scegliete String come Data type e incollate il seguente valore:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
<SyncML> <SyncBody> <Replace> <CmdID>1331</CmdID> <Item> <Target> <LocURI>./Vendor/MSFT/Policy/Config/Camera/AllowCamera</LocURI> </Target> <Meta> <Format xmlns="syncml:metinf">int</Format> </Meta> <Data>0</Data> </Item> </Replace> <Final/> </SyncBody> </SyncML> |
Figura 4: Inserimento della configurazione OMA-URI per definire la disabilitazione della webcam
Aggiungete un nuovo Custom OMA-URI Setting e nel campo OMA-URI inserite ./Vendor/MSFT/DynamicManagement/Contexts/NetworkBased/SignalDefinition (il valore è case-sensitive e ha un punto all’inizio). In Data type scegliete String e incollate il valore riportato sotto:
1 2 3 4 5 |
<rule schemaVersion="1.0"> <signal type="ipConfig"> <ipv4Gateway>10.0.0.254</ipv4Gateway> </signal> </rule> |
Con questa regola abbiamo definito quale sarà la rete aziendale, indicando di fatto che, se il dispositivo Windows 10 o Windows 11 è configurato per avere l’indirizzo IP del gateway 10.0.0.254, allora si troverà nella rete aziendale. Modificate ovviamente il parametro in base alle vostre necessità.
Altri tipi di segnali che potreste inserire sono anche riferiti alla posizione geografica, ad esempio il dispositivo si trova nel raggio di 100 metri dalla latitudine/longitudine specificata:
1 |
<signal type="geoloc" latitude="41.9028" longitude="12.4964" radiusInMeters="100"/> |
oppure riferiti all’ora:
1 2 3 |
<signal type="time"> <daily startTime="09:00:00" endTime="17:00:00"/> </signal> |
Figura 5: Inserimento della configurazione OMA-URI per definire il gateway aziendale ed individuare la rete
L’ultima regola da aggiungere serve ad abilitare le notifiche. Aggiungete un nuovo Custom OMA-URI Setting e nel campo OMA-URI inserite ./Vendor/MSFT/DynamicManagement/NotificationsEnabled (il valore è case-sensitive e ha un punto all’inizio). Nel campo Data type scegliete Boolean e in Value selezionate True.
Figura 6: Inserimento della configurazione OMA-URI per abilitare le notifiche
Figura 7: Configurazioni del profilo
Proseguite nel wizard inserendo gli eventuali Scope tags.
Figura 8: Scope tags del profilo di configurazione
Assegnate il profilo ad un gruppo di utenti e/o di dispositivi.
Figura 9: Assegnazione del profilo ad un gruppo di utenti e/o di dispositivi
Aggiungete eventuali Applicability rules per il vostro profilo. Le Applicability Rules sono un insieme di criteri o condizioni che determinano quando e come le politiche, i profili di configurazione o le applicazioni vengono applicati ai dispositivi gestiti tramite Microsoft Intune. Io ho deciso di applicare il profilo solo ai sistemi operativi Windows 10/11 Pro ed Enterprise.
Figura 10: Assegnazione del profilo solo ai computer Windows 10 e Windows 11 Pro ed Enterprise
Controllate le informazioni inserite e completate il wizard facendo clic su Create.
Figura 11: Schermata riepilogativa del wizard per la creazione del profilo di configurazione
Figura 12: Profilo di configurazione creato correttamente
Test di funzionamento
Attendete che la policy venga applicata (il refresh delle policy avviene ogni 8 ore) oppure forzate la sincronizzazione per verificare che il profilo sia stato applicato correttamente.
Quando il dispositivo si connetterà alla rete aziendale e riceverà come default gateway quello stabilito dalla policy, la webcam verrà disattivata e apparirà una notifica di avvenuto cambio di configurazione.
Figura 13: All’interno della rete aziendale la webcam è disabilitata e una notifica appare quando avviene il cambio di rete
Conclusioni
La gestione dinamica tramite il Dynamic Management CSP si configura come una risorsa indispensabile per le aziende moderne che desiderano ottimizzare l’amministrazione dei propri dispositivi Windows. Integrata perfettamente con Microsoft Intune, questa funzionalità offre un livello di flessibilità e reattività senza precedenti, permettendo agli amministratori IT di adattare rapidamente le configurazioni in base alle esigenze aziendali in continua evoluzione.
I vantaggi principali, quali l’efficienza operativa, la sicurezza potenziata, la scalabilità e l’esperienza utente migliorata, dimostrano come il Dynamic Management CSP possa trasformare la gestione dei dispositivi, rendendola più intelligente e proattiva. Inoltre, l’uso degli OMA-URI Settings e delle Applicability Rules consente una personalizzazione avanzata, garantendo che le politiche siano applicate in modo mirato e coerente su vasta scala.