• Cloud, Guide, Microsoft 365
• 1 Febbraio 2020

Sempre più spesso si sente parlare di Modern Desktop e di Microsoft 365. Avere un Modern Desktop (cioè un’installazione di Windows 10 e Office 365, mantenuta costantemente aggiornata) significa sfruttare al massimo le funzionalità offerte sia dal sistema operativo che dalla suite di collaborazione Office 365, avendo la possibilità di migliorare la produttività, il lavoro di gruppo e la collaborazione all’interno dell’azienda. In più, avendo sempre un sistema aggiornato, possiamo assicurare un livello di efficienza ma soprattutto di sicurezza notevole, che ci permette di difenderci dai continui attacchi che ci arrivano dall’esterno (e molto spesso anche dall’interno) dell’azienda.

Nell’articolo Microsoft 365 Modern Desktop Management – Enroll di Windows 10 in Microsoft Intune ho già parlato dell’enrollment di Windows 10 in Microsoft Intune, il componente della suite Enterprise Mobility + Security (EMS) di Microsoft che gestisce dispositivi e app per dispositivi mobili. In quel caso però l’enrollment veniva fatto direttamente dall’utente finale e veniva fatto da una macchina in workgroup.

In questa guida voglio mostrarvi come sia possibile effettuare l’enroll automatico di Windows 10 in Microsoft Intune utilizzando le Group Policy, quando i dispositivi sono già joinati ad Active Directory on-premises e devono essere gestiti tramite Microsoft Intune.

A partire da Windows 10, versione 1709, è possibile usare i criteri di gruppo (group policy) per attivare l’autoregistrazione a Microsoft Intune per i dispositivi joinati ad un dominio di Active Directory (AD). In questo modo non sarà necessaria nessuna interazione da parte dell’utente e I dispositivi aziendali potranno essere registrati automaticamente in Microsoft Intune con un processo di registrazione che gira in background.

Prerequisiti

I prerequisiti per effettuare questo tipo di registrazione automatica sono:

• Windows 10, versione 1709 o versione successiva, joinato ad AD locale
• Servizio di mobile device management (MDM) già configurato (Intune)
• Registrazione del dominio locale con Azure Active Directory (Azure AD) con Azure AD Connect
• I dispositivi non devono essere già registrati in Microsoft Intune
• La versione minima di Windows Server deve essere Windows Server 2016

Per assicurarsi che la funzionalità di registrazione automatica funzioni come previsto, è necessario verificare che i vari requisiti e le impostazioni siano configurati correttamente.

Verificate che l’utente che sta per iscrivere il dispositivo a Microsoft Intune disponga di una licenza valida.

Figura 1: Verifica delle licenze in Azure Active Directory

Verificate che la registrazione automatica sia attivata per gli utenti che vogliono registrare i dispositivi in Intune.

Figura 2: Attivazione della registrazione dei dispositivi per gli utenti di Azure AD

L’Auto-enrollment in Microsoft Intune via Group Policy è valido solo per i dispositivi che sono Hybrid Azure AD joined. Pertanto, assicuratevi che i dispositivi siano stati sincronizzati utilizzando il tool Azure AD Connect e che abbiate configurato l’Hybrid Azure AD join. Vi rimando alla lettura dell’articolo https://docs.microsoft.com/en-us/azure/active-directory/devices/concept-azure-ad-join-hybrid per approfondimenti sulla procedura di configurazione dell’Hybrid Azure AD join.

Figura 3: Sincronizzazione dei dispositivi con Azure AD

Figura 4: Configurazione di Azure AD Hybrid Join

Figura 5: Creazione del service connection point (SCP) per rilevare i dispositivi presenti in dominio

Per verificare che I vostri dispositivi siano stati correttamente aggiunti anche ad Azure AD (siano cioè Hybrid Azure AD joined) potete lanciare da prompt dei comandi il comando dsregcmd /status e verificare che nella sezione Device State sia AzureAdJoined che DomainJoined siano a YES. Verificate anche che nella sezione SSO State la voce AzureAdPrt sia YES

Figura 6: Verifica dello stato del dispositivo

Figura 7: Verifica dello stato del Single Sign-on (SSO)

I dispositivi sincronizzati sono visibili nella console di Microsoft Intune e riportano il join type a Hybrid Azure AD Joined

Figura 8: I dispositivi sincronizzati sono disponibili in Azure AD

Attualmente in Microsoft Intune non ci sono dispositivi registrati, come si può vedere dalla figura sotto:

Figura 9: Attualmente in Microsoft Intune non ci sono dispositivi registrati

Configurazione della Group Policy

Per attivare l’autoregistrazione a Microsoft Intune per i dispositivi joinati ad un dominio di Active Directory (AD) è sufficiente modificare la policy Computer Configuration > Policies > Administrative Templates > Windows Components > MDM > Enable automatic MDM enrollment using default Azure AD credentials.

Nel caso non vediate questa policy sarà necessario installare gli ADMX più recenti per poter gestire Windows 10. Nel caso di Windows 10, versione 1909 trovate gli ADMX al link Administrative Templates (.admx) for Windows 10 November 2019 Update (1909). Inoltre vi consiglio di utilizzare il Group Policy Central Store per avere gli ADMX a disposizione su tutti i domain controller del dominio.

Figura 10: Configurazione della policy per attivare l’autoregistrazione a Microsoft Intune per i dispositivi joinati ad un dominio di Active Directory (AD)

Ovviamente decidete voi a quale OU collegare la GPO oppure utilizzate i Security Groups per filtrare i gruppi di macchine a cui applicare la policy.

Dopo il Group Policy Refresh (che avviene in background ogni 90 minuti + 30) le macchine saranno agganciate a Microsoft Intune e potranno essere gestite. Potete anche forzare un GPupdate per velocizzare le operazioni.

Dal portale di Microsoft Intune sarà possibile visualizzare le macchine che sono state iscritte.

Figura 11: I dispositivi sono stati aggiunti a Microsoft Intune e possono essere gestiti

Figura 12: In Azure AD i dispositivi vengono visti come gestiti da Microsoft Intune

Sui disposiviti potrete notare che dall’app Settings andando in Account e poi in Access work or school sarà apparso il nuovo pulsante Info, che potrete utilizzare per verificare la connessione a Microsoft Intune

Figura 13: Pulsante Info nell’app Settings

Cliccando sul pulsante Info potrete recuperare informazioni relative alla gestione e potrete anche forzare una sincronizzazione delle policy di Microsoft
Intune utilizzando il pulsante Sync.

Figura 14: Informazioni relative alla gestione del dispositivo da parte di Microsoft Intune

Conclusioni

Grazie alle Group Policy è possibile aggiungere facilmente i nostri dispositivi a Microsoft Intune, dopo aver abilitato l’Hybrid Azure AD Join. In questo modo nel giro di pochi minuti tutti i dispositivi che decidiamo di sincronizzare e di aggiungere ad Intune potranno essere gestiti senza che ci sia nessun intervento da parte degli utenti finali.