Microsoft 365 Modern Desktop Management – Creare ADMX-backed policies in Microsoft Endpoint Manager – Intune

Già da tempo è possibile utilizzare gli Administrative Templates in Microsoft Endpoint ManagerIntune e la capacità di gestione del software di Mobile Device Management (MDM) di Microsoft è stata enormemente potenziata. Le migliaia di configurazioni già presenti, di cui ha avuto modo di parlarvi Roberto Tafuri nella guida Microsoft 365 Modern Desktop Management – Utilizzo degli Administrative Templates (preview) in Microsoft Intune, permettono una gestione granulare di Windows e di Office.

In più è anche disponibile il tool Group Policy Analytics in Microsoft Endpoint ManagerIntune con l’obiettivo di aiutare le organizzazioni a migrare dall’utilizzo delle classiche GPO ad una gestione moderna delle impostazioni e dei criteri dei dispositivi direttamente in cloud. Trovate maggiori informazioni sul funzionamento del tool visitando la pagina Microsoft Endpoint Manager – Intune – Utilizzo di Group Policy Analytics

Abbiamo già visto in una precedente guida Funzionamento delle Group Policy in Windows Server: facciamo un po’ di chiarezza che gli Administrative Templates permettono di configurare un notevole numero di parametri del sistema operativo e di alcuni applicativi e che è possibile aggiungere ulteriori administrative templates alle nostre group policy per poter configurare in ambiente enterprise prodotti come Microsoft Office, Adobe Acrobat Reader, Google Chrome, Mozilla Firefox e tanti altri.

Oggi invece voglio mostrarvi come aggiungere degli Administrative Templates a quelli già previsti da Microsoft in Endpoint Manager – Intune. Trovate un riferimento completo delle configurazioni già presenti alla pagina https://docs.microsoft.com/en-us/windows/client-management/mdm/policies-in-policy-csp-admx-backed

In particolare, vedremo come gestire Google Chrome da Microsoft Endpoint Manager utilizzando i Chrome policy templates che è possibile scaricare dalla pagina https://support.google.com/chrome/a/answer/187202?hl=en

Figura 1: Pagina di download del bundle di gestione di Google Chrome

Una volta scaricato il bundle di gestione di Google Chrome potete estrarlo e all’interno, nella cartella Configurationàadmx potrete trovare gli Administrative Templates per gestirlo. Nelle sottocartelle ci sono invece i file .adml, che rappresentano i language pack e che vengono utilizzati per descrivere le diverse configurazioni e parametri nella lingua del vostro domain controller.

Figura 2: Administrative Templates per la gestione di Google Chrome

Gli Administrative Templates sono file in formato .XML

Se li aprite con un visualizzatore XML (io ho utilizzato Notepad++) avrete la possibilità di vedere quali sono le chiavi di registro presenti nei rami del registro computer HKEY_LOCAL_MACHINE e dell’utente HKEY_CURRENT_USER che vengono modificate dalle diverse policy.

Figura 3: Contenuto del file Google.admx

Distribuzione degli Administrative Templates utilzizando i Device configuration Profiles di Microsofot Endpoint Manager

Come di può vedere dalla figura sotto, se aprite l’editor del registro di Windows Da una delle macchine che gestite tramite Microsoft Endpoint Manager , nel ramo Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager potrete vedere gli attuali ADMX che vengono distribuiti.

Figura 4: Ramo del registro di Windows dove è possibile visualizzare gli ADMX che vengono distribuiti tramite Microsoft Endpoint Manager

Scopo di questa guida è mostrarvi come creare un profilo di configurazione di Microsoft Endpoint Manager che permetta di distribuire gli administrative templates personalizzati che non sono disponibili nel portale. Dal portale di Microsoft Endpoint Manager https://endpoint.microsoft.com/ selezionate il nodo Devices e successivamente Configuration Profiles. Cliccate su + Create Profile per creare un nuovo profilo di configurazione per Windows 10 di tipo Custom, come mostrato nella figura sotto:

Figura 5: Creazione di un nuovo profilo di tipo Custom per configurare Windows 10

Date un nome al vostro profilo e fate clic su Next per proseguire.

Figura 6: Nome del profilo Custom per configurare Windows 10

Per poter distribuire gli Administrative Templates sarà necessario creare un nuovo OMA-URI Setting nella pagina Configuration Settings del wizard.

NOTA: Gli OMA-URI sono CASE-SENSITIVE!

La sintassi da utilizzare per distribuire gli administrative templates per i dispositivi è:

./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/{nome applicazione}/Policy/{nome configurazione}

Io utilizzerò il valore

./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/GoogleChrome/Policy/ChromeSettings

Se invece volete configurare gli utenti basterà sostituire la parte Device con User:

./User/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/{nome applicazione}/Policy/{nome configurazione}

Ad esempio:

./User/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/GoogleChrome/Policy/ChromeSettings

Scegliete con Data Type String e nel campo Value incollate TUTTO il contenuto del file chrome.admx come mostrato nella figura sotto:

Figura 7: Distribuzione dell’Administrative Templates per la gestione di Chrome

Completate il wizard di configurazione e distribuite il nuovo profilo a tutti i dispositivi, come mostrato nelle figure seguenti:

Figura 8: Confjgurazione da distribuire

Figura 9: Assegnazione del profilo di configurazione di Microsoft Endpoint Manager a tutti i dispositivi gestiti

Figura 10: Pagina ci creazione del profilo di configurazione

A questo punto potete forzare l’applicazione del nuovo profilo di configurazione andando in uno dei client Windows 10 gestiti da Microsoft Endpoint Manger e dall’app Settings andando in Accounts > Access work or school, cliccando sulla voce Connected to <Azienda> e cliccando su Info e successivamente su Sync. Assicuratevi che la sincronizzazione sia andata a buon fine..

Trick: È possibile eseguire la stessa operazione anche da PowerShell lanciando con privilegi amministrativi il comando Get-ScheduledTask -TaskName ‘PushLaunch’ | Start-ScheduledTask

Figura 11: Sincronizzazione delle ultime configurazioni distribuite tramite Microsoft Endpoint Manager

Sul client gestito da Microsoft Endpoint Manager, aprendo l’editor di registro di Windows vedrete che si sarà creato un nuovo nodo chiamato Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault (che prima non esisteva) con all’interno le diverse policy per la gestione di Google Chrome.

Figura 12: Creazione di un nuovo ramo nel registro di Windows con le policy per la gestione di Google Chrome

Dopo l’applicazione del profilo di configurazione del dispositivo potrete visualizzare nel portale di Microsoft Endpoint Manager lo status di assegnazione di ogni singolo device.

Figura 13: Status di assegnazione del profilo di configurazione

Distribuzione delle configurazioni per Google Chrome utilizzando gli Administrative Templates

Ora che abbiamo distribuito gli Administrative Templates per poter gestire Google Chrome è possibile modificare il profilo di configurazione di Microsoft Endpoint Manager per poter procedere alla distribuzione delle diverse configurazioni. In questa guida vi mostrerò come modificare la home page di Google Chrome. Procedete ad aprire le proprietà del device configuration profile e in Configuration settings fate click su Edit, come mostrato nella figura sotto:

Figura 14: Modifica delle configurazioni del profilo per la gestione di Google Chrome

Fate click per aggiungere un nuovo OMA-URI Settings e dategli il nome che preferite. Inserite in OMA-URI il valore ./Device/Vendor/MSFT/Policy/Config/GoogleChrome~Policy~googlechrome~Startup\RestoreOnStartup , scegliete come Data Type
String e in Value inserite il valore <enabled/><data id=”RestoreOnStartup” value=”4″/>

Ho ricavato l’OMA-URI da inserire nel campo richiesto prendendolo direttamente dalla chiave di registro che è stata precedentemente aggiunta tramite la distribuzione degli Administrative Templates , mentre il valore da mettere nel campo Value l’ho ricavato prendendolo direttamente dal file .ADMX . Nelle figure sotto sono evidenziati i diversi punti da cui ho prelevato i valori. La voce Enabled equivale al radio button per la selezione e il valore 4 si riferisce alla scelta di una lista di URL da aprire come Home Page.

Figura 15: Creazione di un OMA-URI setting per gestire la Home Page di Google Chrome

Figura 16: Ramo del registro di Windows dove sono state aggiunte le chiavi per gestire Google Chrome

Figura 17: Parametri del file .ADMX utilizzati per configurare la Home Page di Google Chrome

Poiché ho scelto di utilizzare per l’apertura della home page di Google Chrome una lista di URL , sarà necessario inserire un nuovo OMA-URI Settings che definisca quali sono queste pagine.

Fate click per aggiungere un nuovo OMA-URI Settings e dategli il nome che preferite. Inserite in OMA-URI il valore  ./Device/Vendor/MSFT/Policy/Config/GoogleChrome~Policy~googlechrome~Startup\RestoreOnStartupURLs , scegliete come Data Type
String e in Value inserite il valore <enabled/><data id=”RestoreOnStartupURLsDesc” value=”1&#xF000;https://www.ictpower.it”/>

Ho ricavato l’OMA-URI da inserire prendendolo direttamente dalla chiave di registro che è stata aggiunta tramite la distribuzione degli Administrative Templates, mentre il valore da mettere nel campo Value l’ho ricavato dalla documentazione. Nelle figure sotto sono evidenziati i diversi punti da cui ho prelevato i valori. La voce Enabled equivale al radio button per la selezione del parametro e il valore si riferisce al numero di siti da aggiungere alla lista (nel mio caso 1), separati dal carattere unicode &#xF000; e seguito dall’URL da aprire come Home Page.

Maggiori informazioni sono disponibili alla pagina https://docs.microsoft.com/it-it/windows/client-management/mdm/understanding-admx-backed-policies

Figura 18: Aggiunta di un OMA-URI setting per dichiarare quali pagine aprire all’avvio di Google Chrome

Figura 19: Ramo del registro di Windows dove sono state aggiunte le chiavi per gestire Google Chrome

Figura 20: Parametri del file .ADMX utilizzati per definire gli URL da utilizzare come Home Page di Google Chrome

Verificate di aver aggiunto in maniera corretta tutti gli OMA-URI che intendete distribuire con il profilo di configurazione e fate click su Save.

Figura 21: Salvataggio dei nuovi parametri aggiunti al profilo di configurazione

Figura 22: Device configuration Profile aggiornato con i nuovi Settings

Verifica di funzionamento

Per verificare che i nuovi settings del profilo di configurazione del dispositivo siano state applicate correttamente sarà necessario prima effettuare un aggiornamento delle policy dall’ app Settings di Windows 10.

Figura 23: Aggiornamento delle configurazioni distribuite tramite Microsoft Endpoint Manager

Come si può vedere dalla figura sotto, dopo la sincronizzazione e l’applicazione del profilo di configurazione distribuito da Microsoft Endpoint Manager nel ramo di registro Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager è stata aggiunta una nuova voce chiamata AdmxInstalled con le configurazioni che abbiamo deciso di distribuire per Google Chrome.

Figura 24: Configurazioni distribuite per la gestione di Google Chrome

La configurazione che abbiamo deciso di utilizzare ha modificato il ramo di registro Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\RestoreOnStartupURLs ed ha inserito l’URL che vogliamo utilizzare come home page.

Figura 25: Modifica del registro applicata dalla policy e dall’Administrative Template di Google Chrome

Dal browser Google Chrome possiamo digitare chrome://policy nella Omnibox (altro nome con cui è conosciuta la barra degli indirizzi di Chrome) e verificare che siano state applicate correttamente tutte le policy che abbiamo deciso di distribuire.

Figura 26: Policy distribuite a Chrome tramite Microsoft Endpoint Manager

Se digitiamo chrome://settings nella omnibox noteremo in alto che ci viene notificato che il browser è gestito dall’organizzazione tramite le policy.

Figura 27: Il browser è gestito dall’organizzazione tramite le policy

Spostandoci nel nodo On startup sarà possibile verificare graficamente quello che abbiamo visto prima nel registro di Windows, cioè che all’avvio del browser deve essere aperto l’URL che abbiamo specificato tramite la console di Microsoft Endpoint Manager.

Figura 28: All’avvio del browser vengono aperti gli URL che abbiamo configurato tramite Microsoft Endpoint Manager

Conclusioni

Con la possibilità di poter distribuire attraverso Microsoft Endpoint Manager gli Administrative Templates per poter gestire applicazioni anche non Microsoft, abbiamo davvero la possibilità di poter amministrare tutte le nostre postazioni di lavoro Windows 10 direttamente dal cloud, riuscendo ad ottenere gli stessi risultati che possiamo avere utilizzando le Group Policy on-premises. Il lavoro che è stato fatto nell’ultimo anno su Intune è davvero notevole e rende il prodotto completo.