Come analizzare i group policy objects (GPO) on premise utilizzando l’analisi di Group Policy in Microsoft Endpoint Manager

I Group policy objects (GPO) vengono usati on premise per configurare le impostazioni sui computer e su altri dispositivi. Nella gestione dei dispositivi, i GPOs aiutano a controllare la sicurezza e le funzionalità nel sistema operativo Windows, Internet Explorer, nelle app di Office e altro ancora.

Molte aziende stanno cercando soluzioni in cloud per supportare la crescente forza lavoro in remoto. L’analisi dei Criteri di gruppo (Group Policy analytics) è uno strumento e una funzionalità di Microsoft Endpoint Manager che analizza i GPOs locali. Questa, aiuta a determinare come i GPOs si traducono nel cloud. L’output mostra le impostazioni supportate nei provider MDM, incluso Microsoft Intune. Mostra anche le impostazioni obsolete o le impostazioni non disponibili per i provider MDM.

Se si utilizzano i GPOs e si desidera spostare alcuni carichi di lavoro in Microsoft Endpoint Manager e Intune, l’analisi dei criteri di gruppo risulterà molto utile.

Questa funzione si applica a:

  • Windows 10 e versioni successive

Questo articolo mostra come esportare i GPOs, importarli in Endpoint Manager e rivedere l’analisi e i risultati.

Esportare i GPOs come file XML

  • Nel computer locale aprire Group Policy Management app (GPMC.msc);
  • Espandere il dominio per vedere tutti i GPO;
  • Fare clic con il pulsante destro del mouse su qualsiasi GPO > Salva report:
  •  Salvare il file in una cartella facilmente accessibile e salvarlo come file XML. Questo file dovrà essere aggiunto in Endpoint Manager.

NOTA: Assicurarsi che il file sia inferiore a 1 MB. Se è maggiore di 1 MB, bisogna includere meno GPOs quando si salva il report.

Utilizza l’analisi dei Criteri di gruppo

  • Nell’interfaccia di amministrazione di Microsoft Endpoint Manager, selezionare Dispositivi > Analisi dei criteri di gruppo (preview);
  • Selezionare Importa, quindi selezionare il file XML salvato. Quando si seleziona, Intune analizza automaticamente i GPO in questo file. Controllare le dimensioni dei singoli file XML GPO. Un singolo GPO non può essere più grande di 1 MB. Se dovesse superare tale dimensione, l’importazione non riuscirà.
  • Al termine dell’analisi, il GPO importato viene elencato con le seguenti informazioni:
    • Group Policy name: il nome viene generato automaticamente utilizzando le informazioni del GPO;
    • Active Directory Target: il target viene generato automaticamente utilizzando le informazioni del target dell’unità organizzativa (OU) nel GPO;
    • MDM Support: mostra la percentuale di impostazioni dei criteri di gruppo nel GPO con la stessa impostazione in Intune;
    • Targeted in AD: “SI” significa che il GPO è collegato a un’unità organizzativa nei criteri di gruppo locali. “NO”, significa che il GPO non è collegato a un’unità organizzativa locale;
    • Last imported: mostra la data dell’ultima importazione.

È possibile importare più GPOs per l’analisi, aggiornare la pagina e filtrare l’output. Si può anche esportare questa visualizzazione in un .csvfile:

  •  Selezionare la percentuale di MDM SUPPORT per un GPO elencato. Vengono visualizzate informazioni più dettagliate su quest’ultimo:
    • Setting name: il nome viene generato automaticamente utilizzando le informazioni nell’impostazione GPO.
    • Group Policy Setting Category: mostra la categoria di impostazioni per ADMX, come Internet Explorer e Microsoft Edge. Non tutte le impostazioni hanno una loro categoria.
    • ADMX Support: “SI” significa che esiste un modello ADMX per questa impostazione. “NO”, significa che non esiste un modello ADMX per l’impostazione specifica. Per ulteriori informazioni sui modelli ADMX, vedere modelli amministrativi in Microsoft Intune.
    • MDM Support: “SI” significa che è disponibile un’impostazione corrispondente in Endpoint Manager. È possibile configurare questa impostazione in un profilo di configurazione del dispositivo. Le impostazioni nei profili di configurazione del dispositivo vengono mappate ai CSP di Windows. “NO” significa che non è disponibile un’impostazione corrispondente per i provider MDM, incluso Intune. Per ulteriori informazioni sui profili di configurazione del dispositivo, è presente questo articolo.
    • Value: mostra il valore importato dal GPO. Mostra valori diversi, quali true, 900, Enabled, false e così via.
    • Scope: mostra se il GPO importato è destinato agli utenti o ai dispositivi.
    • Min OS Version: mostra i numeri minimi di build della versione del sistema operativo Windows applicati dall’impostazione del GPO. Potrebbe mostrare 18362(1903), 17130(1803) e altre versioni di Windows 10. Ad esempio, se viene visualizzata un’impostazione di criterio 18362, l’impostazione supporta build 18362 e più recenti.
    • CSP Name: un provider di servizi di configurazione (CSP) mostra le impostazioni di configurazione del dispositivo in Windows 10. Questa colonna (rubrica) mostra il CSP che include l’impostazione. Ad esempio, si potrebbe vedere Policy, BitLocker, PassportforWork e così via. Per ulteriori informazioni sui CSP, vedere il riferimento CSP.
    • CSP Mapping: mostra il percorso OMA-URI per il criterio locale. È possibile utilizzare OMA-URI in un profilo di configurazione del dispositivo personalizzato. Ad esempio: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

CSP supportati

L’analisi dei criteri di gruppo può analizzare i seguenti CSP:

Report sulla disponibilità alla migrazione di Criteri di gruppo

  • Nella scheda Riepilogo viene visualizzato un riepilogo dei GPOs e dei relativi criteri. Con queste informazioni si può determinare lo stato dei criteri nel GPO:
    • Ready for migration: il criterio ha un’impostazione corrispondente in Intune ed è pronto per essere migrato in Intune.
    • Not supported: il criterio non ha un’impostazione corrispondente. In genere, le impostazioni dei criteri che mostrano questo stato non sono esposte ai provider MDM, incluso Intune.
    • Deprecated: il criterio può essere applicato alle versioni precedenti di Windows e non è più utilizzato in Windows 10 e versioni successive.
  • Selezionare la scheda Reports > Group policy migration readiness. In questo report è possibile:
    • Visualizzare il numero di impostazioni nel GPO disponibili in un profilo di configurazione del dispositivo, se possono essere in un profilo personalizzato, se non sono supportate o se sono deprecate.
    • Filtrare l’output del report utilizzando i filtri Disponibilità della migrazione, Tipo di profilo e Nome CSP.
    • Selezionare Genera report o Genera di nuovo per ottenere i dati correnti.
    • Visualizzare l’elenco delle impostazioni nel proprio GPO.
    • Usare la barra di ricerca per trovare impostazioni specifiche.
    • Ottenere un time stamp di quando è stato generato l’ultimo report.

NOTA: Dopo aver aggiunto o rimosso i GPO importati, possono essere necessari circa 20 minuti per aggiornare i dati del report di idoneità alla migrazione.

Privacy e sicurezza

Qualsiasi utilizzo dei dati dei clienti, ad esempio quali GPO vengono utilizzati nell’azienda non viene venduto a terzi. Questi dati potrebbero essere utilizzati per prendere decisioni aziendali all’interno di Microsoft. I dati dei clienti vengono archiviati in modo sicuro.

In qualsiasi momento, è possibile eliminare i GPO importati:

  • Su Dispositivi > Analisi dei criteri di gruppo (preview);
  • Selezionare il menu contestuale> Elimina:

Le informazioni presenti in questo post, sono prese dall’articolo: https://docs.microsoft.com/en-us/mem/intune/configuration/group-policy-analytics

Annunciati nuovi report di Endpoint Security Antivirus!

Il colosso di Redmond sta introducendo nuovi report di Microsoft Defender Antivirus nell’interfaccia di amministrazione di Microsoft Endpoint Manager per monitorare lo stato dei tuoi dispositivi riguardo malware e antivirus. Potrai utilizzare due nuovi report operativi per vedere quali dispositivi richiedono la tua attenzione e due report organizzativi per visualizzare le informazioni AV generali.

Nuovi report operativi in Endpoint Security

Nel nodo “Endpoint Security“, è possibile accedere alla sezione “Antivirus” per visualizzare riepiloghi e nuovi report operativi per monitorare i dispositivi che richiedono attenzione.

Nella scheda “Summary” potrai visualizzare le informazioni riunite a seconda del conteggio dei dispositivi con un determinato stato dell’agent di minaccia e una categoria di malware attiva. Entrambi mostrano le prime otto categorie e corrispondono ai report operativi delle altre schede. Se non ci sono dispositivi in nessuno degli stati, sarai informato che non ci sono risultati da visualizzare.

Nella scheda “Windows 10 Unhealthy Endpoints” è possibile visualizzare il report operativo per lo stato dell’agent di minaccia sui dispositivi, per delineare quali di questi richiedono la tua attenzione. Ogni record ti dirà se la protezione da malware, in tempo reale e della rete sono abilitate o disabilitate. Puoi anche controllare lo stato del dispositivo così come altre informazioni (presenti nelle colonne aggiuntive) per identificare i passaggi successivi utili alla risoluzione dei problemi.

Come con tutti i report, avrai la possibilità di:

  • utilizzare i controlli aggiornati per cercare tra i record;
  • ordinare su ogni colonna;
  • visualizzare il numero di record nel rapporto;
  • utilizzare i controlli di paging per grandi set di record;
  • esportare l’elenco di record in un file .csv per salvarli localmente.

Nota: i dati verranno aggiornati in circa 20 minuti.

Nella scheda “Windows 10 Detected Malware” potrai controllare il report operativo per visualizzare l’elenco dei dispositivi e degli utenti con malware rilevati (verranno indicati anche i dettagli della categoria a cui appartengono). Questo mostrerà lo stato del malware e il conteggio dei virus rilevati sul device. Da qui potrai eseguire delle azioni remote, inclusi riavvio, scansione rapida, scansione completa o aggiornamento delle firme per riparare i dispositivi.

Report organizzativi

Nel nodo “Reports“, puoi accedere alla pagina “Windows Defender Antivirus Reports (preview)” per visualizzare i collegamenti a due nuovi report organizzativi.

Il primo report, “Antivirus agent status” consente di visualizzare l’elenco di dispositivi, di utenti e le informazioni sullo stato dell’agent antivirus. È possibile iniziare selezionando il filtro per lo stato del device (pulito, critico, riavvio in sospeso, ecc.) e le colonne che si desidera visualizzare. Una volta generato il report, un timestamp mostra quanto sono aggiornati i dati.

Sarà possibile:

  • cercare tra i risultati e ordinarli;
  • utilizzare i controlli di paging;
  • vedere il numero di record;
  • esportare in un file .csv.

I dati all’interno del rapporto rimarranno nella tua console fino a 3 giorni prima di richiedere la nuova generazione.

Il secondo report organizzativo, “Detected malware“, funziona allo stesso modo del precedente, in quanto è possibile selezionare i filtri per gravità e stato di esecuzione. Questo mostrerà l’elenco dei device e degli utenti con il numero dei rilevamenti trovati, lo stato di esecuzione, il tempo di rilevamento e la categoria del malware.

Threat Agent Status Report

I nuovi report hanno lo scopo di sostituire quello già esistente, nominato “Threat Agent Status“, che si trova nella sezione Devices > Monitor > Threat Agent Status della console. I nuovi prospetti forniscono più informazioni, una migliore organizzazione, dati più aggiornati e una migliore usabilità di questi ultimi. Microsoft manterrà i report esistenti per darti il tempo di abituarti a quelli nuovi, aggiornare qualsiasi training dell’helpdesk e migrare tutte le automazioni esistenti.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/y2roxyc6

È ora disponibile la guida per Microsoft Endpoint Manager Proof of Concept (PoC)

Siamo entusiasti di annunciare la nuova guida Microsoft Endpoint Manager Proof of Concept (PoC) per partner e vendor Microsoft.
Si tratta di un’ottima notizia per organizzazioni e membri della community IT, ansiosi di utilizzare il Microsoft Endpoint Manager, annunciato al Microsoft Ignite 2019.

Ora disponibile la guida per Microsoft Endpoint Manager Proof of Concept (PoC)

Di cosa si tratta?
La guida Microsoft Endpoint PoC è un insieme di risorse tecniche e di engagement pensata per partner e venditori Microsoft che ha l’obiettivo di fornire ai clienti una Proof of Concepts basata su scenari di successo. Consiste in un’attività di engagement di cinque giorni atti a dimostrare come le soluzioni Microsoft Endpoint Manager combinino la configurazione, il provisioning, la protezione e la compliance in modo olistico su dispositivi Windows, iOS, Android, macOS e dispositivi dei first line worker.

Perché utilizzarla?
Negli ultimi anni, si è visto un gran numero di clienti spostarsi da fornitori di MDM di terze parti a Microsoft Endpoint Manager. La scelta è stata dettata non sono dalla volontà di accelerare l’adozione di Windows 10 e Office Pro Plus, ma anche dal voler semplificare l’approccio globale alla gestione dei dispositivi desktop e mobile nelle loro organizzazioni.
Il risultato? Il numero di Endpoint Manager PoC è aumentato significativamente negli ultimi mesi ed è emersa la necessità di avere una guida normativa su come i clienti possano gestire un Microsoft Endpoint Manager PoC di successo all’interno delle proprie organizzazioni.

Ecco come funziona la guida Microsoft Endpoint Manager PoC.

• Template Standard Statement of Work (SoW) per i principali scenari Endpoint Manager PoC:
– Configuration Manager con cloud-attach e co-management;
– Modern provisioning grazie a Windows Autopilot;
– Windows 10 management;
– Gestione per dispositivi iOS, Android e macOS;
– Gestione di diversi casi d’uso, tra cui dispositivi personali, bring-your-own device, dispositivi di proprietà dell’azienda e dispositivi dei first line worker.

Engagement/workshop delivery framework:
– Il materiale di consegna PoC include la guida tecnica e di engagement per aiutare i partner Microsoft a fornire ai clienti ciò che è stato concordato all’interno dello Statement of Work (SoW).

Come iniziare?
Vi sono diversi programmi partner disponibili per finanziare e consegnare un Endpoint Manager PoC.
É sufficiente visitare il portale dei partner per conoscerli.
Potete scaricare il materiale Endpoint Manager PoC da qui: http://aka.ms/MEMPOC.


Le informazioni presenti in questo post, sono prese dall’articolo: Now Available: Microsoft Endpoint Manager Proof of Concept (PoC) Guidance.