Group Policy Analytics: migrazione delle GPO su Intune

Davide SalsiEnterprise Mobility, Microsoft Intune

I nuovi sistemi operativi di casa Microsoft Windows 10 e Windows 11 sono caratterizzati da una forte impronta cloud; il concetto di Modern Management si basa appunto sull’utilizzo di soluzioni cloud-based per la gestione delle identità e dei dispositivi presenti in azienda.

Il new normal è caratterizzato dalla necessità di lavorare anche fuori dall’ufficio e questo ha richiesto cambiamenti nelle modalità di erogazione, gestione e configurazione dei device; a tal proposito, come è possibile veicolare le medesime configurazioni che vengono applicate in azienda attraverso Group Policy a dispositivi che saltuariamente si collegano direttamente alla rete aziendale?

La soluzione Group Policy Analytics offre, con pochi e semplici step, la possibilità di sostituire le attuali GPO con configurazioni erogate attraverso Microsoft Intune.

Panoramica

Group Policy Analytics è un tool disponibile all’interno della console Microsoft Endpoint Manager admin center che offre le seguenti funzionalità:

  • Analizzare le proprie GPO presenti nella propria infrastruttura on-premise;
  • Visualizzare le configurazioni (Configuration Service Provider) supportate dall’autority MDM cloud;
  • Visualizzare le impostazioni obsolete o non disponibili sulla soluzione cloud;
  • Migrare le GPO importate in configurazioni via Settings Catalog;

Nei prossimi paragrafi andremo a trattare quest’ultimo punto e vedremo come migrare le GPO importate in configurazioni veicolate attraverso Microsoft Intune; la procedura prevede:

Figura 1 – Processo di migrazione delle GPO

Export Group Policy

Il primo passo consiste nell’export delle Group Policy interessate in formato XML; il file generato in tale formato sarà poi leggibile e potrà essere elaborato dal motore di Group Policy Analytics.

Per esportare le GPO in tale formato, è necessario seguire gli step sotto riportati:

  • Aprire lo snap-in Group Policy Management;
  • Espandere il ramo relativo al proprio dominio Active Directory;
  • Espandere la folder Group Policy Object in modo tale che tutte le GPO presenti vengano correttamente visualizzate;
  • Selezionare la policy interessata e, eseguendo tasto destro su questa, premere sull’opzione Save Report;
Figura 2 – Salvataggio GPO da snap-in Group Policy Management
  • Nella nuova finestra che verrà visualizzata, selezionare il formato XML dal menù a tendina Save as type e premere sul pulsante Save;
Figura 3 – Salvataggio in formato XML

Import su Group Policy Analytics e analisi dei dati

Una volta completato il processo di esportazione, è necessario procedere con l’importazione della policy sul motore di Group Policy Analytics in modo tale che tutti i settings vengano processati; questa fase ha lo scopo di convertire i vari settings presenti nella GPO importata in configurazioni CSP (Configuration Service Provider). Il processo prevede di:

  • Accedere alla console Microsoft Endpoint Manager admin center con un account amministrativo;
  • Selezionare la voce Devices presente nel ribbon di sinistra;
  • All’interno della sezione Policy, selezionare la voce Group Policy Analytics (preview);
  • Attraverso il pulsante Import, è possibile eseguire l’upload del file XML precedentemente generato;
Figura 4 – Import GPO su Group Policy Analytics
  • Verificare che il processo di upload/importazione si completi correttamente;
Figura 5 – Import completato con esito positivo

A questo punto, tornando alla schermata di Overview, sarà possibile verificare quanti e quali settings risultano essere compatibili/supportati dalla piattaforma Microsoft Intune; premendo sulla percentuale di configurazioni supportate (MDM support), sarà possibile avere una visione di dettaglio dei settings:

Figura 6/7 – Stato di compatibilità della GPO importata

Una delle novità più interessanti introdotte nelle ultime release di Microsoft Intune risulta essere il pulsante Migrate. A partire dalla Service Release di aprile (2204), è possibile convertire automaticamente la GPO importata in un Configuration Profile basato su Settings Catalog; in precedenza, era necessario creare manualmente le policy lato Intune basandosi sull’output generato da Group Policy Analytics.

Una volta premuto il pulsante Migrate (disponibile all’interno della GPO stessa oppure selezionando la GPO interessata nella sezione Overview), sarà possibile avviare il processo di migrazione che prevede i seguenti step:

  • Selezionare i settings che si vogliono migrare sulla nuova piattaforma (è possibile eseguire un’azione selettiva oppure selezionarli tutti attraverso il pulsante Select all on this page);
Figura 8 – Selezione configurazioni compatibili
  • Premere sul pulsante Next per procedere con il wizard;
  • Verrà visualizzata una schermata di riepilogo dei settings che verranno migrati e, una volta verificata la corretta selezione, sarà possibile procedere attraverso il pulsante Next;
  • Indicare un nome e una eventuale descrizione alla policy che verrà creata;
  • Premere nuovamente sul pulsante Next;
  • Assegnare la policy ad un gruppo Azure AD dedicato oppure a tutti gli utenti/device e procedere con il pulsante Next;
  • Verificare quanto sopra predisposto e confermare la creazione della policy attraverso il pulsante Deploy;

Una volta terminato il processo di migrazione, la policy sarà disponibile tra i Configuration profiles presenti all’interno della sezione Devices.

Reporting

Nelle ultime release di Microsoft Intune, sono stati resi disponibili due nuovi report che permettono rispettivamente di avere una visione di insieme e di dettaglio delle configurazioni analizzate da Group Policy Analytics.

La vista Summary permette di visualizzare il numero di policy che sono state caricate e quanti settings risultano essere supportati, non supportati o deprecati.

Figura 9 – Group Policy Analytics overview report

Il report Group Policy migration readiness permette di visualizzare nel dettaglio la compatibilità o meno dei settings caricati con le configurazioni disponibili su Intune; la colonna Migration readiness consente di determinare se la configurazione è supportata dalle policy CSP.

Figura 10 – Group Policy Analytics migration readiness report

Questi report sono disponibili all’interno della sezione Reports > Group Policy Analytics (preview).

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

Conclusioni

In questo articolo, sono stati riportati i vari step necessari per convertire le Group Policy presenti nella propria infrastruttura Active Directory in configurazioni moderne veicolate attraverso la soluzione cloud di Microsoft.

L’adozione di questo approccio consente agli IT Admin di applicare configurazioni ai propri device ovunque essi si trovino senza la necessità che siano collegati alla rete aziendale.