Nicola FerriniMicrosoft Intune – Migrare le Group Policy con Group Policy Analitycs
Microsoft Intune Group Policy Analitycs è uno strumento che ha l’obiettivo di aiutare le aziende a migrare dall’utilizzo delle classiche Group Policy (GPO) in ambiente on-premiese ad una gestione moderna delle impostazioni e dei criteri dei dispositivi sfruttando tutta la potenza del cloud.
Se spostiamo la gestione delle nostre macchine nel cloud e se decidiamo di passare ad un approccio che sia di tipo cloud only, senza dover più utilizzare Active Directory, allora dovremo fare i conti con questo tipo di migrazione. Se non abbiamo applicazioni che utilizzando Kerberos per l’autenticazione, allora potremmo decidere di joinare tutte le macchine ad Azure AD e farle gestire a Microsot Intune.
Per poter riutilizzare le GPO che abbiamo già distribuito ci viene in aiuto uno strumento molto valido: Group Policy Analitycs. Tramite questo strumento possiamo importare in Microsoft Intune le GPO del nostro dominio.
Lo strumento Group Policy Analitycs è in grado di:
- Analizzare le Group Policy
- Mostrare le configurazioni che sono supportate da Microsft Intune
- Mostrare le configurazioni deprecate o non disponibili in Intune
- Migrare le GPO e trasformarle in un configuration profile basato sul Settings Catalog
Esportazione della Group Policy
Dalla Group Policy Management console fate clic col tasto destro sulla GPo da esportare e cliccare su Save Report. Nella finestra di salvataggio ricordatevi di salvare il file in formato XML.
Figura 1: salvataggio ed esportazione della Group Policy
Figura 2: Il formato di esportazione della Group Policy deve essere XML
Figura 3: Group Policy esportata in XML
Importazione della Group Policy in Group Policy analytics (preview)
Accedete al portale di Microsoft Intune e nella sezione Devices à Group Policy analytics (preview) fate clic su Import per caricare il file XML che avete salvato in precedenza.
Figura 4: Importazione del file XML nel portale di Microsoft Intune
Dopo il caricamento del file XML, Microsoft Intune analizzerà la configurazioni contenute nella Group Policy e vi indicherà se potranno essere gestite tramite MDM. Come si può vedere dalla figura sotto, non tutti i settings sono gestibili tramite MDM. Cliccate sulla percentuale di compatibilità per visualizzare un dettaglio dell’analisi effettuata da Microsoft Intune sulla vostra GPO.
Figura 5: Importazione e analisi della GPO effettuata
Per ogni policy verrà mostrato il supporto alla gestione MDM e verrà mostrato il relativo Configuration Service Provider (CSP). Per approfondimenti vi rimando alla lettura della pagina Policy CSP – Windows Client Management | Microsoft Learn
Figura 6: Dettaglio delle configurazioni e della possibilità di gestirle tramite MDM
Migrazione delle GPO a Configuration Profiles in Microsoft Intune
Migrare le Group Policy dopo averle importate ed analizzate è davvero facile, perché vi basterà fare clic sul pulsante Migrate.
Figura 7: Pulsante di migrazione della GPO importata
Nel wizard Migrate Group Policy settings to the cloud decidete quali configurazioni migrare, selezionandole e successivamente facendo clic su Next
Figura 8: Selezione delle configurazioni della GPO da migrare
Nella scheda Configuration controllate i settings che sono stati individuati e nel caso modificateli.
Figura 9: Dettaglio delle configurazioni contenute nella GPO che sono state individuate
Inserite il nome del profilo di configurazione che volete creare.
Figura 10: Nome del profilo di configurazione
Procedete quindi all’assegnazione del profilo di configurazione ad un gruppo di Azure AD che verrà quindi configurato.
Figura 11: Assegnazione del profilo di configurazione ad un gruppo di Azure AD
Figura 12: Schermata di riepilogo del wizard di migrazione della GPO
Terminato il deployment vedrete che sarà stato creato un nuovo Configuration Profile con le configurazioni contenute nella GPO.
Figura 13: Nuovo configuration profile creato a seguito della migrazione
Cliccando sul profilo avrete la possibilità di verificare le configurazioni ed eventualmente apportare delle modifiche.
Figura 14: Modifica delle configurazioni del profilo creato dal wizard di migrazione
Come si può vedere dalla figura sotto, per le configurazioni è stata utilizzata la funzionalità del Setting Catalog. Il Settings catalog (catalogo delle impostazioni) semplifica la creazione di un criterio di configurazione in Microsoft Intune e la visualizzazione di tutte le impostazioni disponibili. Se si preferisce configurare le impostazioni a livello granulare, analogamente alle Group Policy, il catalogo delle impostazioni è una transizione naturale. Queste impostazioni vengono generate direttamente dai provider di servizi di configurazione (CSP) di Windows.
Figura 15: Modifica delle configurazioni del profilo
Group Policy migration readiness report
Microsoft Intune offre anche uno strumento di reportistica capace di mostrarci se le Group policy sono idonee alla migrazione.
Dal portale di Microsoft intune selezionate Reports à Group policy analytics (preview) e nella scheda Reports fate clic su Group policy migration readiness.
Figura 16: Report sull’idoneità della Group Policy ad essere migrata
Figura 17: Generazione del report
Il report creato vi mostrerà lo stato delle policy nella GPO che avete importato in Microsoft Intune:
- Ready for migration: il criterio ha un’impostazione corrispondente in Intune ed è pronto per la migrazione a Intune.
- Not supported: il criterio non ha un’impostazione corrispondente. In genere, le impostazioni dei criteri che mostrano questo stato non sono esposte ai provider MDM, tra cui Intune.
- Deprecated: i criteri possono essere applicati alle versioni precedenti di Windows, alle versioni precedenti di Microsoft Edge e a altri criteri che non vengono più usati.
Figura 18: Risultato del report e relativa idoneità alla migrazione dei singoli criteri della policy
Conclusioni
La migrazione delle GPO a configuration profile di Microsoft Intune è un’operazione semplicissima e molto veloce, che di fatto permette di semplificare il passaggio verso la gestione cloud delle nostre macchine Windows 10 e Windows 11.