Come analizzare i group policy objects (GPO) on premise utilizzando l’analisi di Group Policy in Microsoft Endpoint Manager

I Group policy objects (GPO) vengono usati on premise per configurare le impostazioni sui computer e su altri dispositivi. Nella gestione dei dispositivi, i GPOs aiutano a controllare la sicurezza e le funzionalità nel sistema operativo Windows, Internet Explorer, nelle app di Office e altro ancora.

Molte aziende stanno cercando soluzioni in cloud per supportare la crescente forza lavoro in remoto. L’analisi dei Criteri di gruppo (Group Policy analytics) è uno strumento e una funzionalità di Microsoft Endpoint Manager che analizza i GPOs locali. Questa, aiuta a determinare come i GPOs si traducono nel cloud. L’output mostra le impostazioni supportate nei provider MDM, incluso Microsoft Intune. Mostra anche le impostazioni obsolete o le impostazioni non disponibili per i provider MDM.

Se si utilizzano i GPOs e si desidera spostare alcuni carichi di lavoro in Microsoft Endpoint Manager e Intune, l’analisi dei criteri di gruppo risulterà molto utile.

Questa funzione si applica a:

  • Windows 10 e versioni successive

Questo articolo mostra come esportare i GPOs, importarli in Endpoint Manager e rivedere l’analisi e i risultati.

Esportare i GPOs come file XML

  • Nel computer locale aprire Group Policy Management app (GPMC.msc);
  • Espandere il dominio per vedere tutti i GPO;
  • Fare clic con il pulsante destro del mouse su qualsiasi GPO > Salva report:
  •  Salvare il file in una cartella facilmente accessibile e salvarlo come file XML. Questo file dovrà essere aggiunto in Endpoint Manager.

NOTA: Assicurarsi che il file sia inferiore a 1 MB. Se è maggiore di 1 MB, bisogna includere meno GPOs quando si salva il report.

Utilizza l’analisi dei Criteri di gruppo

  • Nell’interfaccia di amministrazione di Microsoft Endpoint Manager, selezionare Dispositivi > Analisi dei criteri di gruppo (preview);
  • Selezionare Importa, quindi selezionare il file XML salvato. Quando si seleziona, Intune analizza automaticamente i GPO in questo file. Controllare le dimensioni dei singoli file XML GPO. Un singolo GPO non può essere più grande di 1 MB. Se dovesse superare tale dimensione, l’importazione non riuscirà.
  • Al termine dell’analisi, il GPO importato viene elencato con le seguenti informazioni:
    • Group Policy name: il nome viene generato automaticamente utilizzando le informazioni del GPO;
    • Active Directory Target: il target viene generato automaticamente utilizzando le informazioni del target dell’unità organizzativa (OU) nel GPO;
    • MDM Support: mostra la percentuale di impostazioni dei criteri di gruppo nel GPO con la stessa impostazione in Intune;
    • Targeted in AD: “SI” significa che il GPO è collegato a un’unità organizzativa nei criteri di gruppo locali. “NO”, significa che il GPO non è collegato a un’unità organizzativa locale;
    • Last imported: mostra la data dell’ultima importazione.

È possibile importare più GPOs per l’analisi, aggiornare la pagina e filtrare l’output. Si può anche esportare questa visualizzazione in un .csvfile:

  •  Selezionare la percentuale di MDM SUPPORT per un GPO elencato. Vengono visualizzate informazioni più dettagliate su quest’ultimo:
    • Setting name: il nome viene generato automaticamente utilizzando le informazioni nell’impostazione GPO.
    • Group Policy Setting Category: mostra la categoria di impostazioni per ADMX, come Internet Explorer e Microsoft Edge. Non tutte le impostazioni hanno una loro categoria.
    • ADMX Support: “SI” significa che esiste un modello ADMX per questa impostazione. “NO”, significa che non esiste un modello ADMX per l’impostazione specifica. Per ulteriori informazioni sui modelli ADMX, vedere modelli amministrativi in Microsoft Intune.
    • MDM Support: “SI” significa che è disponibile un’impostazione corrispondente in Endpoint Manager. È possibile configurare questa impostazione in un profilo di configurazione del dispositivo. Le impostazioni nei profili di configurazione del dispositivo vengono mappate ai CSP di Windows. “NO” significa che non è disponibile un’impostazione corrispondente per i provider MDM, incluso Intune. Per ulteriori informazioni sui profili di configurazione del dispositivo, è presente questo articolo.
    • Value: mostra il valore importato dal GPO. Mostra valori diversi, quali true, 900, Enabled, false e così via.
    • Scope: mostra se il GPO importato è destinato agli utenti o ai dispositivi.
    • Min OS Version: mostra i numeri minimi di build della versione del sistema operativo Windows applicati dall’impostazione del GPO. Potrebbe mostrare 18362(1903), 17130(1803) e altre versioni di Windows 10. Ad esempio, se viene visualizzata un’impostazione di criterio 18362, l’impostazione supporta build 18362 e più recenti.
    • CSP Name: un provider di servizi di configurazione (CSP) mostra le impostazioni di configurazione del dispositivo in Windows 10. Questa colonna (rubrica) mostra il CSP che include l’impostazione. Ad esempio, si potrebbe vedere Policy, BitLocker, PassportforWork e così via. Per ulteriori informazioni sui CSP, vedere il riferimento CSP.
    • CSP Mapping: mostra il percorso OMA-URI per il criterio locale. È possibile utilizzare OMA-URI in un profilo di configurazione del dispositivo personalizzato. Ad esempio: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption.

CSP supportati

L’analisi dei criteri di gruppo può analizzare i seguenti CSP:

Report sulla disponibilità alla migrazione di Criteri di gruppo

  • Nella scheda Riepilogo viene visualizzato un riepilogo dei GPOs e dei relativi criteri. Con queste informazioni si può determinare lo stato dei criteri nel GPO:
    • Ready for migration: il criterio ha un’impostazione corrispondente in Intune ed è pronto per essere migrato in Intune.
    • Not supported: il criterio non ha un’impostazione corrispondente. In genere, le impostazioni dei criteri che mostrano questo stato non sono esposte ai provider MDM, incluso Intune.
    • Deprecated: il criterio può essere applicato alle versioni precedenti di Windows e non è più utilizzato in Windows 10 e versioni successive.
  • Selezionare la scheda Reports > Group policy migration readiness. In questo report è possibile:
    • Visualizzare il numero di impostazioni nel GPO disponibili in un profilo di configurazione del dispositivo, se possono essere in un profilo personalizzato, se non sono supportate o se sono deprecate.
    • Filtrare l’output del report utilizzando i filtri Disponibilità della migrazione, Tipo di profilo e Nome CSP.
    • Selezionare Genera report o Genera di nuovo per ottenere i dati correnti.
    • Visualizzare l’elenco delle impostazioni nel proprio GPO.
    • Usare la barra di ricerca per trovare impostazioni specifiche.
    • Ottenere un time stamp di quando è stato generato l’ultimo report.

NOTA: Dopo aver aggiunto o rimosso i GPO importati, possono essere necessari circa 20 minuti per aggiornare i dati del report di idoneità alla migrazione.

Privacy e sicurezza

Qualsiasi utilizzo dei dati dei clienti, ad esempio quali GPO vengono utilizzati nell’azienda non viene venduto a terzi. Questi dati potrebbero essere utilizzati per prendere decisioni aziendali all’interno di Microsoft. I dati dei clienti vengono archiviati in modo sicuro.

In qualsiasi momento, è possibile eliminare i GPO importati:

  • Su Dispositivi > Analisi dei criteri di gruppo (preview);
  • Selezionare il menu contestuale> Elimina:

Le informazioni presenti in questo post, sono prese dall’articolo: https://docs.microsoft.com/en-us/mem/intune/configuration/group-policy-analytics