Come risolvere il problema della schermata nera su QuickAssist o Teamviewer grazie ad Intune

Quick Assist è un’applicazione Windows 10 che consente a due persone di condividere un dispositivo tramite una connessione remota. Consentendo a un amico fidato, un familiare o una persona del supporto Microsoft di accedere al computer, è possibile diagnosticare e risolvere problemi tecnologici e ricevere istruzioni sul computer. Puoi trovare maggiori informazioni qui.

Molti utenti hanno riscontrato un problema con Quick Assist: quando si utilizza quest’ultimo o TeamViewer, mentre si esegue un’applicazione o un comando come amministratore in una sessione remota, il prompt UAC si presenta sul computer, ma la sessione remota dà una schermata nera. Ciò è dovuto alla funzionalità UAC Secure Desktop che si attiva.

NB: Tieni presente che questa soluzione per Quick Assist consiste nel disattivare questa funzionalità desktop sicuro, abbassando leggermente la sicurezza.

1. CREARE UN PROFILO DI CONFIGURAZIONE IN INTUNE PER DISTRIBUIRE UNA CORREZIONE DELL’UAC PER QUICK ASSIST

Accedi alla console di Microsoft Endpoint Manager. Fai clic su “Devices” à “Configuration profiles” à “Create profile”.

Nella nuova procedura guidata del profilo, scegli un nome. Come piattaforma seleziona ” Windows 10 and later”. Il tipo di profilo è “Endpoint Protection”. Nelle impostazioni, scegli “Local device security options”.

Nel pannello successivo, scegli “User account control” e abilita le ” Route elevation prompts to user’s interactive desktop”. Fai clic tre volte su “OK” e quindi su “Create” per creare il nuovo profilo.

2. ASSEGNA IL NUOVO PROFILO

Nel tuo nuovo profilo, fai clic su “Assignments”. Quindi clicca su “Select groups to include” e scegli il gruppo corretto a cui desideri assegnare questo profilo. (Usa prima un gruppo di test!). Fai clic su “Select” e quindi su “Save”.

Verifica che sia stato distribuito correttamente:

3. SESSIONE REMOTA CON QUICK ASSIST DI PROVA

Fai una prova e prendi il controllo di un dispositivo con Quick Assist, esegui qualcosa con i privilegi di amministratore e vedrai che il prompt UAC viene reindirizzato correttamente alla tua sessione.

In TeamViewer, però, questo dà ancora problemi e non funziona correttamente.

4. SOLUZIONE PER TEAMVIEWER

Per evitare problemi di controllo dell’account utente durante le connessioni a un Service Case (codice sessione), connettiti ad esso utilizzando l’autenticazione di Windows invece della password.

4.1 UAC PER CONNESSIONI A TEAMVIEWER HOST O VERSIONE COMPLETA

Per evitare problemi di UAC durante le connessioni tramite un ID TeamViewer quando ci si connette a TeamViewer Host o alla versione completa (quando il computer remoto è connesso con un account non amministratore), esegui una delle seguenti operazioni:

  • Se non è già stato fatto in anticipo, installa la versione completa di TeamViewer o Host sul computer remoto.
  • Esegui il software TeamViewer sul dispositivo remoto con diritti di amministratore.
  • Connettiti al dispositivo remoto utilizzando l’ID TeamViewer e l’autenticazione di Windows invece della password. Ciò richiede le credenziali dell’account Windows di un account amministratore sul dispositivo remoto.
  • Connettiti ad un dispositivo Windows con le credenziali di accesso di Windows.

4.2 UAC PER LE CONNESSIONI A UN TEAMVIEWER SERVICE CASE

Per evitare problemi di controllo dell’account utente durante le connessioni a un service case (codice sessione), connettiti ad esso utilizzando l’autenticazione di Windows invece della password.

Ciò richiede le credenziali dell’account Windows di un account amministratore sul dispositivo che ha creato il service case.

4.3 UAC PER I COLLEGAMENTI AL MODULO QUICKSUPPORT

Se ti stai connettendo a un cliente che esegue un modulo QuickSupport, sono necessari alcuni passaggi aggiuntivi per interagire con i prompt UAC remoti:

  1. Avvia TeamViewer sul tuo computer
    1. Chiedi al cliente di avviare TeamViewer QuickSupport sul proprio dispositivo
    1. Chiedi al cliente il suo ID TeamViewer mostrato in TeamViewer QuickSupport
    1. Seleziona l’opzione Remote Support e inserisci l’ID TeamViewer dell’utente nel campo ID partner
    1. Fare clic su Connect to partner

Suggerimento: se stai utilizzando QuickSupport con codici di sessione (Service Cases), dopo che l’utente remoto ha avviato TeamViewer QuickSupport sul proprio dispositivo, seleziona Remote Control using Windows authentication a destra del service case nella finestra Computer e contatti.

Si aprirà la finestra di dialogo di TeamViewer e verrà visualizzato anche un nuovo messaggio.

Seleziona Click here for more information per procedere. Verrà visualizzata una nuova finestra di dialogo:

Seleziona Switch to Windows authentification e inserisci le credenziali di amministratore locale del computer remoto e fai clic su Log On.

Suggerimento: quando fai clic su Log On, tieni presente che non sarai connesso automaticamente. Vedrai apparire un nuovo messaggio nella parte inferiore della finestra dell’applicazione TeamViewer:

Al computer remoto verrà richiesto un prompt UAC da TeamViewer. Chiedi all’utente remoto di selezionare SÌ per consentire a TeamViewer di apportare le modifiche richieste.

Una volta che l’utente accetta il prompt UAC, il suo TeamViewer QuickSupport verrà riavviato. Riconnettiti all’ID e reinserisci le credenziali di amministratore locale. Ora sei connesso al computer dell’utente remoto e puoi controllare l’UAC come desideri.


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.cloud-boy.be/blog/run-as-admin-gives-black-screen-in-quick-assist-teamviewer-intune-fix/

Come configurare automaticamente la sincronizzazione dei contatti di Outlook grazie a Microsoft Intune

Per proteggere i dati aziendali all’interno delle e-mail, molte aziende costringono i propri utenti a utilizzare Microsoft Outlook mobile, applicando criteri di accesso condizionale e criteri di protezione delle app (App Protection Policies). Una delle cose che non funziona immediatamente con Outlook, rispetto all’utilizzo del client di posta nativo, è che i contatti non sono direttamente disponibili nell’applicazione e quindi gli utenti non vedono chi li sta chiamando.

Per semplificare l’esperienza dell’utente finale, è possibile preconfigurare Outlook per salvare i contatti nell’app nativa. Questa operazione può essere eseguita distribuendo un criterio di configurazione dell’applicazione con Microsoft Intune sui devices degli utenti finali. Con questa policy, è possibile anche controllare quali elementi vengono salvati sul dispositivo locale e quali invece non possono essere salvati. Ad esempio, si potrebbe voler consentire il salvataggio del nome e dei numeri di telefono di un contatto e bloccare tutto il resto.

Se hai effettivamente applicato l’App Protection Policy ai device degli utenti e desideri consentire il salvataggio dei contatti sul dispositivo locale, assicurati che la seguente impostazione sia attiva prima di procedere con gli altri passaggi:

Imposta Sync app with native contacts app su Sì.

Se questa impostazione è attiva, puoi procedere con la configurazione dell’App Configuration Policy per Outlook Mobile.

Creare un criterio di configurazione dell’app

In questo esempio, verrà creata la policy per Outlook Mobile in esecuzione su Android e iOS. Verrà consentita solo la sincronizzazione dei campi relativi al nome e alcuni relativi ai numeri di telefono.

  • Assegna un nome al profilo
  • Immetti una descrizione (facoltativa)
  • Fai clic su Select public apps
  • Cerca per Outlook
  • Seleziona Outlook (due volte)
  • Fai clic su Select

Torna alla schermata precedente e fai clic su Next.

  • Apri Outlook configuration settings
  • Imposta Save Contacts su Yes
  • Scegli l’impostazione preferita per Allow user to change setting
  • Scorri verso il basso fino a Sync contacts fields to native contacts app configuration
  • Per ogni campo imposta l’opzione preferita di tua scelta
  • Fai clic su Next

Completa la procedura guidata di configurazione assegnando il criterio a un gruppo di sicurezza.

Esperienza dell’utente finale

Dai ora un’occhiata a come viene visualizzato da parte dell’utente finale.

Come puoi vedere per questo contatto, sono state inserite alcune informazioni aggiuntive oltre al nome e al numero di cellulare. Se il criterio è impostato correttamente, i campi Email e note non vengono sincronizzati con il dispositivo Android.

Non appena il criterio viene applicato correttamente, verrà visualizzato un popup per avvisare che Outlook deve accedere ai contatti per sincronizzarli. Fai clic sul popup per concedere le autorizzazioni richieste.

Se dai uno sguardo alle impostazioni in Outlook, anche qui viene mostrato lo stesso messaggio.

A seconda che tu consenta o meno all’utente di modificare le impostazioni di sincronizzazione dei contatti, a quest’ultimo è consentito di disattivare questa sincronizzazione.

Se non consenti la modifica delle impostazioni di sincronizzazione dei contatti, il messaggio informativo non viene visualizzato e il pulsante è disattivato come di seguito.

Per concludere, se dai un’occhiata al contatto sincronizzato sul dispositivo (immagine qui sotto), si vede chiaramente che solo il nome e il numero di telefono sono stati sincronizzati, mentre tutte le altre informazioni non vengono visualizzate.


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.inthecloud247.com/automatically-configure-outlook-contact-sync-to-the-native-contacts-app-with-microsoft-intune/

NOVITÀ DI INTUNE NELLA RELEASE 2006

In questo articolo, scopriremo insieme quali sono le novità più importanti della versione 2006 di Microsoft Intune:

1. CONSEGNA UNIFICATA DELLE APPLICAZIONI AZURE AD ENTERPRISE E OFFICE ONLINE NEL PORTALE AZIENDALE

Sul riquadro di personalizzazione di Intune, puoi scegliere di nascondere o mostrare sia le applicazioni Azure AD Enterprise sia le applicazioni di Office Online nel Portale aziendale. Ogni utente finale vedrà l’intero catalogo app dal servizio Microsoft scelto. Di default, ogni fonte aggiuntiva di app sarà impostata su “Hide” (Nascondi). Questa funzione sarà attiva dapprima sul sito web del Portale Aziendale, a cui dovrebbe seguire il supporto sul Portale Aziendale di Windows.
Nel Microsoft Endpoint Manager admin center, selezionare Tenant administration Customization per trovare questa impostazione di configurazione.

2. UTILIZZO DI CERTIFICATI PKCS CON PROFILI WI-FI SU WINDOWS 10 E DISPOSITIVI PIÙ RECENTI

Puoi autenticare i profili Wi-Fi di Windows con i certificati SCEP (Device configuration>Profiles>Create profile>Windows 10 and later for platform >Wi-Fi for profile type >Enterprise>EAP type). Da ora puoi utilizzare i certificati PKCS (nuovi o esistenti nel tenant).

3. I DISPOSITIVI PERSONALI POSSONO UTILIZZARE LA VPN PER LA DISTRIBUZIONE

Il nuovo profilo autopilot “Skip Domain Connectivity Check” consente di implementare dispositivi Hybrid Azure AD Join senza accedere alla rete aziendale usando il proprio client VPN Win32 di terze parti. Per vedere il nuovo “bottone”, passa a Microsoft Endpoint Manager admin center Devices > Windows > Windows enrollment > Deployment profiles > Create profile > Out-of-box experience (OOBE).

4. I PROFILI DELLA PAGINA RELATIVA ALLO STATO DI REGISTRAZIONE POSSONO ESSERE IMPOSTATI SU DEVICE GROUPS

In precedenza, i profili della pagina di registrazione (ESP) potevano essere indirizzati solo a gruppi di utenti. Ora, puoi anche impostarli su gruppi di dispositivi target. Per ulteriori informazioni, vedi {Set up an Enrollment Status Page] (../enrollment/windows-enrollment-status.md).

5. CAMBIARE UTENTE PRIMARIO SU DISPOSITIVI CO-GESTITI

Puoi modificare l’utente principale per dispositivi Windows co-gestiti.

6. L’IMPOSTAZIONE DELL’UTENTE PRINCIPALE DI INTUNE IMPOSTA ANCHE LA FUNZIONE DI PROPRIETARIO DI AZURE AD

Questa nuova funzionalità imposta automaticamente la proprietà del titolare sui dispositivi Hybrid Azure AD Joined appena registrati, nello stesso momento in cui viene impostato l’utente primario Intune.

Questa è una modifica al processo di registrazione e si applica solo ai dispositivi appena registrati. Per i dispositivi Hybrid Azure AD Joined esistenti, è necessario aggiornarla manualmente.
Per fare ciò, puoi utilizzare la funzione Change primary user feature o uno script.

Quando i dispositivi Windows 10 si agganciano in Join a Hybrid Azure Azure Directory , il primo utente del dispositivo diventa l’utente principale in Endpoint Manager. Attualmente, l’utente non è impostato sul corrispondente dispositivo Azure AD. Ciò causa un’incoerenza quando si confronta la proprietà di owner dal portale di Azure AD con la proprietà di primary user nell’interfaccia di amministrazione di Microsoft Endpoint Manager. La proprietà non viene popolata sui dispositivi agganciati ad Hybrid Azure AD. Questa limitazione impedisce la configurazione del self-service recovery di BitLocker da Azure AD. La nuova feature risolve la seguente limitazione.

7. GLI AMMINISTRATORI NON HANNO PIÙ BISOGNO DI UNA LICENZA INTUNE PER ACCEDERE ALLA CONSOLE DI AMMINISTRAZIONE DI MICROSOFT ENDPOINT MANAGER

Ora puoi impostare un interruttore a livello di tenant per rimuovere il requisito di licenza Intune per gli amministratori che vogliono accedere alla console di amministrazione MEM ed interrogare graph APIs.
ATTENZIONE: Una volta rimosso il requisito di licenza, non è più possibile ripristinarlo.

8. UTILIZZO DELL’ANALISI DEGLI ENDPOINT PER MIGLIORARE LA PRODUTTIVITÀ DEGLI UTENTI E RIDURRE I COSTI DI SUPPORTO IT

L’analisi degli endpoint ha l’obiettivo di migliorare la produttività e ridurre i costi di supporto IT fornendo informazioni sull’esperienza utente.
Gli insights consentono all’IT di ottimizzare l’esperienza con supporto proattivo e di rilevare eventuali regressioni, valutando l’impatto da parte dell’utente sulle modifiche alla configurazione.
Per ulteriori informazioni, consulta il seguente link: https://docs.microsoft.com/it-it/mem/analytics/overview.

9. RISOLUZIONE PROATTIVA DEI PROBLEMI SUI DISPOSITIVI DEGLI UTENTI FINALI UTILIZZANDO I PACCHETTI DI SCRIPT

Puoi creare ed eseguire pacchetti di script sui dispositivi degli utenti finali per trovare e risolvere in modo proattivo i principali problemi di supporto. La distribuzione di questi ti aiuterà a ridurre le chiamate di supporto. Intune ti consente di visualizzare lo stato dei pacchetti distribuiti e di monitorare i risultati di rilevamento e correzione.

Per maggiori informazioni consulta i seguenti link:


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.cloud-boy.be/blog/whats-new-in-intune-release-2006/

Impostare la lingua dell’Interfaccia Utente su Edge

Impostare la lingua dell'Interfaccia Utente su Edge

In questo articolo, riportiamo procedura guidata per impostare la lingua della User Interface di Edge una volta distribuito agli utenti/dispositivi con Intune.
Quando Edge viene distribuito ai device degli utenti finali o nel caso in cui gli utenti finali se lo installino in autonomia, in qualità di IT admn potreste voler impostare la lingua della UI in maniera globale.

Con un profilo di template amministrativo da Intune è possibile impostare il linguaggio dell’interfaccia utente ed il controllo ortografico.
Le due opzioni possono essere combinate o configurate separatamente.
In questo post, vedremo come configurare entrambe le impostazioni per lo stesso gruppo di dispositivi.

La lingua è stato spesso un problema con cui molte aziende internazionali si sono trovate a combattere e l’impostazione della stessa nel browser non fa eccezione.
Di seguito una guida dettagliata.

Creare il profilo in Intune

Avviate il Microsoft Endpoint Manager admin center:

1. Cliccate Devices
2. Cliccate Windows

Impostare la lingua dell'Interfaccia Utente su Edge

1. Cliccate Configuration profiles
2. Cliccate Create profile

Impostare la lingua dell'Interfaccia Utente su Edge

1. Immettete un nome per il profilo: “Edge UI Language IT”.
2. Selezionate la piattaforma: Windows 10 o sucessivi.
3. Selezionate il tipo di profilo: Administrative Templates.
4. Create il profilo.

Impostare la lingua dell'Interfaccia Utente su Edge

1. Cliccate su Settings.
2. Selezionate Edge versione 77 o successive dall’elenco a cascata.
3. Cercate “Specifica le impostazioni locali dell’applicazione”..
4. Selezionate application locale

A seconda del vostro scenario, potrete scegliere il dispositivo o l’utente che deve ricevere queste impostazioni.
In questo caso, l’impostazione è a livello di dispositivo, quindi tutti gli utenti finali se la troveranno sul loro device.

Impostare la lingua dell'Interfaccia Utente su Edge

1. Selezionate Enable
2. Cliccate Application locale = it

Le lingue supportate sono: af, bg, ca, cs, cy, da, de, el, en-AU, en-CA, en-GB, en-US, es, es-419, es-AR, es-ES, es-MX, es-US, et, fa, fo, fr, he, hi, hr, hu, id, it, ko, lt, lv, nb, nl, pl, pt-BR, pt-PT, ro, ru, sh, sk, sl, sq, sr, sv, ta, tg, tr, uk, vi.

Impostare la lingua dell'Interfaccia Utente su Edge

1. Cercate Enable spe.
2. Selezionate Enable specific spellcheck languages.
3. Selezionate Enable spellcheck.

Impostare la lingua dell'Interfaccia Utente su Edge

1. Selezionate Enable.
2. Inserite la lingua desiderata, in questo esempio ITALIANO “it”.

Impostare la lingua dell'Interfaccia Utente su Edge

1. Selezionate Enable

Impostare la lingua dell'Interfaccia Utente su Edge

A questo punto, è tutto è pronto per distribuire il profilo sui dispositivi.

Una volta applicata la policy al dispositivo, ne avrete disponibilità all’interno del registro, al percorso HKLM\SOFTWARE\Policies\Microsoft\Edge.

ApplicationLocaleValue = it

L’ impostazione sull’ortografia la trovate invece qui: HKLM\SOFTWARE\Policies\Microsoft\Edge\SpellCheckLanguage.

Impostare la lingua dell'Interfaccia Utente su Edge

Prospettiva dell’utente finale
A questo punto, la lingua dell’interfaccia utente di Edge cambia e diventa italiano.
Ne troverete riscontro nelle impostazioni di Edge.

Impostare la lingua dell'Interfaccia Utente su Edge

L’utente finale può anche digitare nella barra degli indirizzi – edge;//policy – per verificare quali siano le policy applicate al browser.


Le informazioni presenti in questo post, sono prese dall’articolo: How to set UI language on Edge with Intune.

Gestire le Meeting Rooms di Teams con Intune

Recentemente, Microsoft ha ricevuto alcune domande da parte dei clienti, in cerca di una guida su come controllare i dispositivi di Microsoft Teams Rooms con Intune.
In questo articolo, scopriamo assieme i dubbi frequenti degli utenti e vi diamo una guida generale.

Gestire le Meeting Rooms di Teams con Intune

I dispositivi delle meeting room di Teams possono essere registrati e gestiti da Intune per offrire molte delle funzionalità di gestione e sicurezza dei dispositivi disponibili per altri endpoint normalmente gestiti da Intune. Poiché questi dispositivi utilizzano Windows 10, troverete disponibili alcune delle funzionalità facenti parte del sistema operativo, ma molte di queste non saranno applicabili o consigliate.

L’articolo sarà suddiviso nelle seguenti sezioni:
• Enrollment
• Profili di configurazione di Windows 10
• Policy di compliance
• Conditional Access
• App Management
• Raggruppamento e Targeting

Enrollment
Raccomandazione: Azure AD si collega al dispositivo dalle Impostazioni, utilizzando un account Intune DEM.

I dispositivi Teams basati su Windows 10 arrivano dai fornitori già con un’immagine OS, account utente e profili pre-configurati.
Accedere a Windows con il profilo di amministratore ed eseguire l’Azure AD Join dalle impostazioni consente una “Registrazione MDM automatica” su Intune.
La raccomandazione di utilizzare un account Intune Device Enrollment Manager (DEM) è dovuta al fatto che questi dispositivi di meeting room sono dispositivi condivisi e non dispositivi che hanno l’associazione User-Device in Intune. Gli account DEM vengono utilizzati per scenari con dispositivi condivisi.
Ulteriori informazioni qui: account DEM.

NOTE: la registrazione automatica richiede una licenza di Azure AD Premium. Se non avete a disposizione questa feature, dovrete eseguire due passaggi per registrare i dispositivi Teams Windows 10.
Primo, il join ad Azure AD Domain.
Secondo, effettuare l’enrollment manuale dalle impostazioni Windows.
Ulteriori informazioni qui: registrazione automatica di Windows 10.

Un ulteriore suggerimento è quello di rinominare i dispositivi di meeting room con un prefisso che permetta di raggruppare i device dinamicamente. Per esempio, usare “MTR” per meeting room.
È possibile rinominare i dispositivi sia con un criterio di configurazione di Windows 10 o manualmente per device in Intune. Ulteriori approfondimenti nella sezione Raggruppamento e targeting.

A seconda del vostro attuale scenario, avete diverse opzioni di registrazione disponibili:
• Usare Windows Configuration Designer per creare un Windows 10 Provisioning Package che esegue Azure AD Join in blocco. Ulteriori dettagli.
• I clienti a cui alcuni domini di dispositivi sono stati joinati e/o gestiti da Configuration Manager possono scegliere di abilitare il Co-management o avviare una registrazione Intune tramite l’impostazione di Group Policy “Enable Automatic MDM enrollment using default Azure AD credentials”.

Maggiori dettagli a questo articolo: Metodi di registrazione di Intune per dispositivi Windows

Profili di configurazione di Windows 10
Raccomandazione: usate Windows Configuration profiles per configurare le impostazioni del dispositivo che è necessario modificare oltre i valori di default.

I seguenti tipi di criteri di configurazione di Windows 10 possono essere utilizzati con i dispositivi di meeting room basati su Windows 10:

Profile type Can you use the profile?
Administrative Templates Yes
Certificates Yes
Delivery Optimization Yes
Device Firmware Configuration Interface Harware supportato
Device restrictions Yes
Edition Upgrade Not supported
Email Not recommended
Endpoint Protection Yes
eSim Not supported
Identity Protection Not supported
Kiosk Not supported
Powershell Scriptss Yes (i device devono essere joinati con AADJ o HAADJ)
Shared multi-user device Not supported
VPN Not recommended
Wi-Fi Not recommended
Windows Information Protection Not recommended

NOTE: per quanto riguarda la voce “Not recommended”, è dovuta al fatto che questo tipo di policy di Windows 10 non è adatto per gli scenari delle meeting room. Ad esempio, i dispositivi delle meeting room non sono abilitati per il Wi-Fi, pertanto non è consigliabile (o necessario) configurare un profilo Wi-Fi. Ulteriori informazioni sulle policy di configurazione disponibili qui: Creare un profilo di dispositivo in Microsoft Intune.

Policy di compliance
Raccomandazione: utilizzare le policy di compliance per raggiungere il livello di sicurezza desiderato nei dispositivi Teams.

È possibile utilizzare criteri di conformità sui vostri dispositivi delle meeting room. Si consiglia di creare le esclusioni appropriate per eventuali criteri di conformità di Windows 10 attualmente distribuiti nell’organizzazione su “Tutti i dispositivi”. Ad esempio, potreste aver configurato l’impostazione “Maximum minutes of inactivity before password is required” all’interno di una policy per tutti i dispositivi desktop Windows 10, ma ciò comporterebbe una scarsa esperienza nella meeting room se applicato ai dispositivi Teams. Se al momento si dispone di criteri di conformità di Windows 10 distribuiti su grandi gruppi di dispositivi, bisogna assicurarsi di utilizzare la funzione “Exclude group” in modo da poter scegliere come target una compliance policy più specifica per i dispositivi di meeting room.

A questo link, trovate informazioni più dettagliate.

Conditional Access
È possibile utilizzare le policy di Conditional Access con i dispositivi Teams meeting room. Teams si connette sia sui servizi cloud di SharePoint online che di Exchange online.
Se avete già impostato una regola di conditional access che protegge gli accessi ad Exchange online e SharePoint online per gli utenti aziendali, dovrete escludere l’account della risorsa Teams (che viene utilizzata per accedere all’app Teams) o creare un gruppo contenente tutti gli account delle risorse e scegliere come target una politica conditional access più specifica. Ad esempio, poiché i dispositivi di meeting room si connettono sempre a questi servizi dalla stessa posizione, allora potrebbe essere più appropriato creare una regola CA basata sulla location combinata con una regola di compliance dei dispositivi. È possibile anche utilizzare la compliance dei device nei criteri di accesso condizionale, ma fate attenzione che i dispositivi Teams non siano targettizzati in modo generale nelle policy di compliance creati per i dispositivi desktop Windows 10 all’interno dell’organizzazione.

NOTE: piccolo promemoria, il conditional access è una funzionalità di Azure Active Directory Premium (P1).

App Management
Raccomandazione: utilizzate l’app Win32 per installare eventuali agenti aggiuntivi richiesti dall’azienda.

I dispositivi di meeting room basati su Windows 10 arrivano solitamente con determinate applicazioni già preinstallate.
Ciò nonostante, possono esserci dei casi in cui gli amministratori IT debbano installare un pacchetto di app o distribuirne gli aggiornamenti.
Tutte le app da distribuire, devono essere distribuite come “Required”. Le app “Available” richiedono l’installazione ulteriore dell’app Company Portal che non è consigliata nel caso di dispositivi meeting room di Teams. Vi consigliamo inoltre di assicurarvi che ogni app si installi nel contesto del dispositivo (in modo che sia accessibile a tutti i profili Windows).

App Type Can you use this app type on a teams device?
Win32 App Yes (fintanto che il dispositivo è joinato con Azure AD o Hybrid Azure AD)
LOB App Yes
Microsoft Store for Business App Yes
Web App Not Supported
Store App Not Supported

Raggruppamento e Targeting
Un’ottima idea è quella di utilizzare i gruppi dinamici di Azure AD per raggruppare efficacemente tutti i dispositivi meeting room.
Per farlo, potete utilizzare uno standard di denominazione durante le fasi di deployment/enrollment. Per esempio, come detto precedentemente, se nominate tutti i dispositivi facendoli iniziare con MTR, potete rinominarli con “MTR-%SER%”, dando così a tutti i dispositivi un prefisso MTR ed un numero di serie. In seguito, sarà possibile usare la funzionalità dei gruppi dinamici per raggruppare tutti i dispositivi che iniziano con MTR. Da ricordare che i gruppi dinamici di Azure AD sono una funzionalità di AAD P1.

Gestire le Meeting Rooms di Teams con Intune

NOTE: il renaming dei device tramite Intune device management è supportata nei dispositivi Azure AD Join ma non nei dispositivi ibridi Azure AD Join.

Quando si parla di policy di Grouping e Targetinge di App, è consigliabile targettizzare un gruppo contenente dispositivi piuttosto che utenti.
Il motivo per cui scegliere un assignment di tipo device-group è che i dispositivi di meeting room di Teams accedono a Windows con un account utente locale (e non con un account utente di Azure AD) e durante la sincronizzazione con Intune non richiedono alcun criterio assegnato dall’utente.


Le informazioni presenti in questo post, sono prese dall’articolo: Managing Teams Meeting Rooms with Intune.