• Articolo

Criteri di conformità in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Le informazioni in questo argomento si applicano a System Center 2012 Configuration Manager SP1 o versioni successive e System Center 2012 R2 Configuration Manager o versioni successive.

I criteri di conformità in Configuration Manager definiscono le regole e le impostazioni che un dispositivo deve soddisfare per essere considerato conforme ai criteri di accesso condizionale. È anche possibile usare tali criteri per monitorare e correggere i problemi di conformità con i dispositivi, indipendentemente dall'accesso condizionale.

System_CAPS_importantImportante

I criteri di conformità si applicano soltanto ai dispositivi gestiti da Microsoft Intune.

Queste regole includono:

  • PIN e password

  • Crittografia

  • Se il dispositivo è jailbroken o rooted

  • Se la posta elettronica nel dispositivo è gestita da criteri di Intune

  • Versione minima richiesta del sistema operativo. Questa regola dipende in genere dai criteri di conformità e dai requisiti di sicurezza aziendali e consente di impedire l'accesso a dispositivi con possibili vulnerabilità della sicurezza perché usano una versione precedente del sistema operativo.

  • Versione massima consentita del sistema operativo. È possibile scegliere di non supportare la versione più recente del sistema operativo prima dei test o per altri motivi. Si può scegliere di bloccare dispositivi con una versione successiva a quella specificata. Il dispositivo non potrà accedere alle risorse aziendali finché non vengono modificati i criteri.

Nota

Per usare le regole per la versione minima e massima consentita del sistema operativo, è necessario eseguire la versione più recente dell'estensione Accesso condizionale per System Center 2012 R2 Configuration Manager SP1.

Nota

In PC Windows la versione 8.1 del sistema operativo Windows verrà indicata come 6.3. Se la regola della versione del sistema operativo è impostata su Windows 8.1 per Windows, il dispositivo risulterà non conforme anche se il sistema operativo installato è Windows 8.1. Assicurarsi di impostare la versione restituita corretta per le regole della versione minima e massima del sistema operativo Windows. Il numero di versione deve corrispondere alla versione restituita dal comando winver.

Il problema non riguarda i dispositivi Windows Phone perché la versione restituita è la 8.1, come previsto.

I criteri di conformità vengono distribuiti alle raccolte dell'utente. Quando un criterio di conformità viene distribuito a un utente, la conformità viene controllata su tutti i dispositivi dell'utente.

Nella tabella seguente sono elencati i tipi di dispositivi supportati dai criteri di conformità e il modo in cui le impostazioni di non conformità vengono gestite quando i criteri vengono usati con i criteri di accesso condizionale.

Tipo di dispositivo

Configurazione di PIN o password

Crittografia dispositivo

Dispositivo jailbroken o rooted

Profilo di posta elettronica

Versione minima del sistema operativo

Versione massima del sistema operativo

Windows 8.1 e versioni successive

Corretto

N/D

N/D

N/D

In quarantena

In quarantena

Windows Phone 8.1 e versioni successive

Corretto

Corretto

N/D

N/D

In quarantena

In quarantena

iOS 6.0 e versioni successive

Corretto

Corretto (impostando il PIN)

In quarantena (non è un'impostazione)

In quarantena

In quarantena

In quarantena

Android 4.0 e versioni successive

In quarantena

In quarantena

In quarantena (non è un'impostazione)

N/D

In quarantena

In quarantena

Samsung KNOX Standard 4.0 e versioni successive

In quarantena

In quarantena

In quarantena (non è un'impostazione)

N/D

In quarantena

In quarantena

Corretto = la conformità viene forzata dal sistema operativo del dispositivo (ad esempio, l'utente è obbligato a impostare un PIN). Non riguarda casi in cui l'impostazione non è conforme.

In quarantena = il sistema operativo del dispositivo non forza la conformità (ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente). In questo caso:

  • Il dispositivo viene bloccato se l'utente è la destinazione di un criterio di accesso condizionale.

  • Il portale aziendale o il portale web informano l'utente di eventuali problemi di conformità.

Passaggio 1: Creare i criteri di conformità

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nell'area di lavoro Asset e conformità espandere Impostazioni di conformità, quindi fare clic su Criteri di conformità.

  3. Nel gruppo Crea della scheda Home fare clic su Crea criterio di conformità.

  4. Nella pagina Generale della Creazione guidata criterio di conformità, specificare le seguenti informazioni:

    Impostazioni

    Altre informazioni

    Nome

    Immettere un nome univoco per il criterio di conformità. È possibile usare un massimo di 256 caratteri.

    Descrizione

    Inserire una descrizione che offra una panoramica del profilo VPN per facilitarne l'identificazione nella console di Configuration Manager. È possibile usare un massimo di 256 caratteri.

    Gravità della non conformità per i report

    Specificare il livello di gravità che viene segnalato se il criterio di conformità viene valutato come non conforme. I livelli di gravità disponibili sono i seguenti:

    • Nessuno: i dispositivi che non soddisfano questa regola di conformità non segnalano una gravità dell'errore per i report di Configuration Manager.

    • Informazioni: i dispositivi che non soddisfano questa regola di conformità segnalano una gravità dell'errore del tipo Informazioni per i report di Configuration Manager.

    • Avviso: i dispositivi che non soddisfano questa regola di conformità segnalano una gravità dell'errore del tipo Avviso per i report di Configuration Manager.

    • Errore critico: i dispositivi che non soddisfano questa regola di conformità segnalano una gravità dell'errore del tipo Errore critico per i report di Configuration Manager.

    • Errore critico con evento: i dispositivi che non soddisfano questa regola di conformità segnalano una gravità dell'errore del tipo Errore critico per i report di Configuration Manager. Il livello di gravità viene anche registrato come un evento Windows nel log eventi dell'applicazione.

  5. Nella pagina Piattaforme supportate selezionare le piattaforme del dispositivo che verranno valutate dal criterio di conformità oppure selezionare Seleziona tutto per selezionare tutte le piattaforme del dispositivo.

  6. Nella pagina Regole, indicare una o più regole che definiscono la configurazione che i dispositivi devono possedere per essere ritenuti conformi. Nella tabella seguente vengono illustrate le regole disponibili. Quando si crea un criterio di conformità, alcune regole vengono attivate per impostazione predefinita. Tuttavia, è possibile modificarle o eliminarle.

    Nome regola

    Altre informazioni

    Piattaforme supportate

    Richiedi impostazioni password nei dispositivi mobili

    Richiedere agli utenti di immettere una password per poter accedere al dispositivo.

    (abilitata per impostazione predefinita)

    • Windows Phone 8 e versioni successive

    • iOS 6 e versioni successive

    • Android 4.0 e versioni successive

    • Samsung KNOX Standard 4.0 e versioni successive

    Consenti password semplici

    Consente agli utenti di creare password semplici come '1234' o '1111'.

    (disattivata per impostazione predefinita)

    • Windows Phone 8 e versioni successive

    • iOS 6 e versioni successive

    Lunghezza minima password1

    Specifica il numero minimo di cifre o caratteri che la password dell'utente deve contenere.

    (6 per impostazione predefinita)

    • Windows Phone 8 e versioni successive

    • Windows 8.1

    • iOS 6 e versioni successive

    • Android 4.0 e versioni successive

    • Samsung KNOX Standard 4.0 e versioni successive

    Crittografia file nel dispositivo mobile

    Richiede la crittografia del dispositivo per la connessione alle risorse.

    I dispositivi che eseguono Windows Phone 8 vengono crittografati automaticamente.

    System_CAPS_importantImportante

    I dispositivi che eseguono iOS vengono crittografati quando si configura l'impostazione Richiedi impostazioni password nei dispositivi mobili.

    (abilitata per impostazione predefinita)

    • Windows Phone 8 e versioni successive

    • Android 4.0 e versioni successive

    • Samsung KNOX Standard 4.0 e versioni successive

    Il dispositivo non deve essere jailbroken o rooted

    Se abilitato, i dispositivi jailbroken (iOS) o rooted (Android) non risultano conformi.

    (disattivata per impostazione predefinita)

    • iOS 6 e versioni successive

    • Android 4.0 e versioni successive

    • Samsung KNOX Standard 4.0 e versioni successive

    Il profilo di posta elettronica deve essere gestito da Intune

    Quando quest'opzione è selezionata, il dispositivo viene segnalato come non conforme se l'utente ha configurato un account di posta elettronica nel dispositivo che corrisponde a un profilo di posta elettronica distribuito nel dispositivo da un amministratore IT.Configuration Manager non può sovrascrivere il profilo con provisioning dell'utente, quindi non può gestirlo.

    Per garantire la conformità è necessario rimuovere le impostazioni di posta elettronica esistenti, quindi Configuration Manager può installare il profilo di posta elettronica gestito.

    Per consultare dettagli sui profili di posta elettronica, vedere Consentire l'accesso alla posta elettronica aziendale usando profili di posta elettronica con Microsoft Intune.

    (disattivata per impostazione predefinita)

    • iOS 6 e versioni successive

    Profilo di posta elettronica

    Se L'account di posta elettronica deve essere gestito da Intune è selezionato, fare clic su Seleziona per scegliere il profilo di posta elettronica da cui gestire i dispositivi. Il profilo di posta elettronica deve essere presente nel dispositivo.

    • iOS 6 e versioni successive

    Versione minima richiesta del sistema operativo

    Quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, verrà segnalato come non conforme e verrà visualizzato un collegamento con informazioni su come eseguire l'aggiornamento. L'utente finale può scegliere di aggiornare il dispositivo e dopo l'aggiornamento potrà accedere alle risorse aziendali.

    • Windows Phone 8 e versioni successive

    • Windows 8.1

    • iOS 6 e versioni successive

    • Android 4.0 e versioni successive

    • Samsung KNOX Standard 4.0 e versioni successive

    Versione massima consentita del sistema operativo

    Quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali risulterà bloccato e l'utente dovrà contattare l'amministratore IT. Fino a quando la regola non viene modificata in modo da consentire la versione del sistema operativo, non è possibile usare questo dispositivo per accedere alle risorse aziendali.

    • Windows Phone 8 e versioni successive

    • Windows 8.1

    • iOS 6 e versioni successive

    • Android 4.0 e versioni successive

    • Samsung KNOX Standard 4.0 e versioni successive

    1 Per i dispositivi che eseguono Windows e sono protetti con un account Microsoft, i criteri di conformità non eseguono correttamente la convalida se Lunghezza minima password contiene più di otto caratteri e Numero minimo di set di caratteri più di due.

  7. Nella pagina Riepilogo della procedura guidata, rivedere le impostazione regolate, quindi completare la procedura.

Il nuovo criterio viene visualizzato nel nodo Criteri di conformità dell'area di lavoro Asset e conformità.

Distribuire i criteri di conformità

  1. Nella console di Configuration Manager fare clic su Asset e conformità.

  2. Nell'area di lavoro Asset e conformità espandere Impostazioni di conformità, quindi fare clic su Criteri di conformità.

  3. Nella scheda Home, nel gruppo Distribuzione, fare clic su Distribuisci.

  4. Nella finestra di dialogo Distribuisci criteri di conformità, fare clic su Sfoglia per selezionare la raccolta utente a cui distribuire il criterio.

    È anche possibile selezionare le opzioni per creare avvisi da inviare quando il criterio non è conforme. È anche possibile configurare la pianificazione in base alla quale verrà valutata la conformità del criterio.

  5. Al termine, fare clic su OK.

Monitorare i criteri di conformità

Per visualizzare i risultati di conformità nella console di Configuration Manager

  1. Nella console di Configuration Manager fare clic su Monitoraggio.

  2. Nell'area di lavoro Monitoraggio fare clic su Distribuzioni.

  3. Nell'elenco Distribuzioni selezionare la distribuzione del criterio di conformità di cui si vogliono esaminare le informazioni sulla conformità.

  4. È possibile esaminare le informazioni di riepilogo sulla conformità della distribuzione del criterio nella pagina principale. Per visualizzare informazioni più dettagliate, selezionare la distribuzione e quindi nella scheda Home, nel gruppo Distribuzione, fare clic su Visualizza stato per aprire il riquadro Stato distribuzione.

    La pagina Stato distribuzione contiene le seguenti schede:

    - **Conforme**: visualizza la conformità del criterio in base al numero degli asset interessati. È possibile fare clic su una regola per creare un nodo temporaneo nel nodo **Utenti** o **Dispositivi** dell'area di lavoro **Asset e conformità** che contiene tutti gli utenti o i dispositivi conformi a questa regola. Il riquadro **Dettagli asset** visualizza utenti o dispositivi che sono conformi al criterio. Fare doppio clic su un dispositivo o su un utente presente nell'elenco per visualizzare informazioni aggiuntive.

- **Errore**: visualizza un elenco di tutti gli errori relativi alla distribuzione del criterio, in base al numero di asset interessati. È possibile fare clic su una regola per creare un nodo temporaneo nel nodo **Utenti** o **Dispositivi** dell'area di lavoro **Asset e conformità** che contiene tutti gli utenti o tutti i dispositivi che hanno generato errori con questa regola. Quando si seleziona un utente o un dispositivo, il riquadro **Dettagli asset** visualizza gli utenti o i dispositivi interessati dal problema selezionato. Fare doppio clic su un dispositivo o su un utente presente nell'elenco per visualizzare informazioni aggiuntive sul problema.

- **Non conforme**: visualizza un elenco di tutte le regole non conformi all'interno di un criterio, in base al numero di asset interessati. È possibile fare clic su una regola per creare un nodo temporaneo nel nodo **Utenti** o **Dispositivi** dell'area di lavoro **Asset e conformità** che contiene tutti gli utenti o i dispositivi non conformi a questa regola. Quando si seleziona un utente o un dispositivo, il riquadro **Dettagli asset** visualizza gli utenti o i dispositivi interessati dal problema selezionato. Fare doppio clic su un utente o su un dispositivo presente nell'elenco per visualizzare informazioni aggiuntive sul problema.

- **Sconosciuto**: visualizza un elenco di tutti gli utenti o di tutti i dispositivi che non sono conformi alla distribuzione del criterio selezionata e lo stato del client dei dispositivi.

Passaggi successivi

È ora possibile usare i criteri di conformità con i criteri di accesso condizionale per controllare l'accesso ai servizi nell'organizzazione.