Alternative moderne ai GPO: Migrare da GPO a Intune

Sebbene i GPO siano la pietra angolare dell’amministrazione di Windows, sono stati creati per le infrastrutture on-premise collegate a un dominio. Al contrario, i profili di configurazione Intune forniscono un controllo più granulare e un supporto multipiattaforma, fondamentali per la scalabilità e per una gestione efficiente degli endpoint.

Se stai cercando di integrare da GPO a Intune nel tuo framework di gestione IT, questa guida che illustra il processo di migrazione dai GPO on-premise ai profili di configurazione Intune ti sarà utile.

Migrare da GPO a Intune

Inizia a controllare i seguenti elementi necessari per completare il processo di migrazione da GPO a Intune.

📌 Prerequisiti:

• Endpoint Windows 10/11 collegati ad Azure AD o collegati in modo ibrido
• Licenze Microsoft Intune assegnate
• Accesso amministrativo a Microsoft Endpoint Manager Admin Center
• PowerShell 5.1 o versioni successive, oppure modulo Microsoft Graph (verifica la tua versione di PowerShell)
• Opzionale: Abilita gli strumenti di analisi GPO tramite lo strumento di migrazione dei criteri di gruppo

💡 Nota: Alcuni passaggi possono variare a seconda delle impostazioni predefinite o del sistema esistente.

Fase 1: Verifica dei GPO esistenti e priorità di migrazione

Per preparare o ridurre al minimo le incompatibilità, verifica se i criteri attivi sono supportati da Intune utilizzando gli strumenti di analisi dei criteri di gruppo.

1. In Microsoft Endpoint Manager Admin Center, vai su Dispositivi → Group Policy Analytics (Preview).
2. Importa il backup del GPO (file .xml).
3. Controlla lo stato di supporto (Supportato, Non supportato, Deprecato).
4. Premi la combinazione di tasti Win + R, digita gpmc.msc e clicca OK per andare su Console di gestione dei criteri di gruppo (GPMC) → Backup GPO.

💡 Nota: Identifica i GPO che si applicano alle impostazioni di sicurezza, ai criteri BitLocker, alle impostazioni di Windows Update e al controllo delle app e alla protezione degli endpoint. Questi GPO hanno in genere delle controparti dirette di Intune che possono facilitare la migrazione.

Fase 2: Creazione dei profili di configurazione Intune equivalenti

Quindi, è il momento di creare il profilo di configurazione Intune corrispondente per i criteri esistenti.

1. Vai su Dispositivi → Profili di configurazione → Crea un profilo.
2. Seleziona la piattaforma Windows 10 e versioni successive. Quindi, seleziona i tipi di profilo:
   • Catalogo delle impostazioni (consigliato)
   • Modelli (per scenari specializzati come BitLocker, Wi-Fi, VPN)
   • OMA-URI personalizzato (per impostazioni non supportate)
3. Mappa le impostazioni GPO legacy in equivalenti di catalogo o in voci OMA-URI, se necessario.

Passo 3: Convalida e monitoraggio dell’applicazione dei criteri

In questa fase è importante verificare i progressi e convalidare l’applicazione dei criteri Intune.

1. Controlla l’applicazione dei criteri Intune tramite PowerShell

1. Utilizza Cerca 🔎 per aprire Terminale → PowerShell → Eseguire come amministratore.
2. Conferma le impostazioni dei criteri attivi con il comando Get-MDMPolicyResultantSetOfPolicy | Format-List 

Nel frattempo, puoi utilizzare anche:

Get-ItemProperty -Path “HKLM:\SOFTWARE
\Microsoft\PolicyManager\current\device\Defender” 

Questo estrae il valore specifico CSP (Configuration Service Provider).

2. Monitoraggio dell’applicazione dei criteri Intune tramite Visualizzatore di eventi

1. Premi la combinazione di tasti Win + R, digita eventvwr, quindi clicca OK per aprire il Visualizzatore di eventi.
2. Vai su Log di applicazioni e servizi → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Amministrazione.

All’interno di questo log, applica il filtro corrispondente per identificare rapidamente lo stato dell’applicazione del criterio e gli eventi specifici. Puoi anche effettuare una ricerca per ID evento, per esempio 813 o 814, che di solito sono log associati ai criteri Intune.

3. Forzare l’applicazione dei criteri di Intune tramite Prompt dei comandi

Per questo passaggio, puoi anche utilizzare il Prompt dei comandi per forzare la sincronizzazione dei criteri, se necessario.

1. Premi la combinazione di tasti Win + R, digita cmd, quindi clicca OK per aprire il prompt dei comandi.
2. Esegui quindi il seguente comando:

dsregcmd /status start ms-device-enrollment:?mode=mdm

Spesso non è necessario forzare l’applicazione dei criteri, poiché i dispositivi Intune si sincronizzano automaticamente a intervalli prestabiliti. Inoltre, per eseguire questi comandi sono in genere necessari i privilegi di amministrazione.

Passo 4: Utilizzare OMA-URI per le impostazioni non supportate o avanzate

Per le impostazioni non coperte dal catalogo delle impostazioni (per esempio criteri legacy o criteri avanzati), puoi utilizzare profili personalizzati:

1. Crea un profilo personalizzato in Intune.
2. Utilizza la documentazione nota del CSP per applicare i criteri. Per esempio, per disabilitare Gestione attività:
   • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/TaskManager/AllowTaskManager
   • Tipo di dati: Numero intero
   • Valore: 0

Questo può essere ulteriormente verificato controllando il percorso del registro di sistema corrispondente: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\TaskManager.

Passo 5: Applicare le linee di base della sicurezza, ove possibile

Le linee di base della sicurezza aiutano a sostituire le comuni configurazioni GPO, e Intune ne ha alcune integrate per Microsoft Defender, Windows 10/11 e Microsoft Edge. Per applicare:

1. Vai su Sicurezza degli endpoint → Linee di base di sicurezza.
2. Scegli una linea di base e assegnala al gruppo appropriato.

Questi passaggi sono consigliati per integrare i Profili di configurazione e sostituire alcuni GPO comunemente utilizzati.

Passo 6: Gestire i conflitti di criterio e le precedenze

Per quanto riguarda la precedenza dei criteri, i criteri di Intune prevalgono sui GPO sui dispositivi collegati ad Azure AD.

• Sui dispositivi Azure AD-joined , i criteri Intune hanno la precedenza.
• Sui dispositivi collegati in modo ibrido , possono verificarsi conflitti se sia GPO che Intune gestiscono la stessa impostazione. In questi casi, vince l’ultimo criterio impostato.

Per evitare questi inconvenienti, ti consigliamo di non duplicare le impostazioni tra GPO e Intune. Puoi utilizzare Intune Reporting → Sicurezza degli endpoint → Per stato impostazione per identificare in modo proattivo i conflitti.

Passo 7: Disattivare i GPO dopo una migrazione riuscita da GPO a Intune

Dopo la convalida della migrazione e dei criteri, ovvero dopo aver verificato che il flusso di lavoro e le risorse funzionino come previsto nel nuovo ambiente, è possibile iniziare a rimuovere i GPO.

1. Disconnetti gradualmente i GPO nella GPMC.
2. Monitora gli endpoint per verificare deviazioni della configurazione.
3. Assicurati che tutte le impostazioni siano applicate tramite Intune o script PowerShell
4. Segui i protocolli di backup e ripristino dei GPO .

NinjaOne aiuta a migrare da GPO a Intune

Per gli ambienti IT, questi servizi e funzionalità NinjaOne possono aiutare nella transizione da GPO a Intune:

• Rilevamento delle impostazioni non conformi ancora applicate da GPO legacy.
• Monitoraggio delle chiavi di registro e conferma dell’applicazione dei criteri Intune.
• Distribuzione di script basati su PowerShell per l’applicazione di configurazioni personalizzate.
• Tagging degli endpoint in base al profilo del criterio (gestito da GPO o gestito da Intune).
• Avvisi in tempo reale quando le impostazioni deviano dai comportamenti attesi o non si applicano correttamente.

Per i team IT e gli MSP, NinjaOne può fungere da hub di controllo per convalidare e rafforzare le migrazioni dei criteri basati sul cloud. In questo modo, anche su vasta scala, NinjaOne può rappresentare un’alternativa diretta a Intune, fornendo al tempo stesso un’ampia suite di servizi di gestione degli endpoint di livello enterprise nella stessa dashboard centrale.

⚠️ Cose da tenere d’occhio durante la migrazione da GPO a Intune

Hai controllato tutto? Considera questi scenari e suggerimenti per gestire gli errori, prevenire i problemi di sistema e rafforzare i criteri.

Strumenti integrati come PowerShell, gpresult, Visualizzatore eventi e Registro di sistema possono aiutare a individuare gli errori di distribuzione dei criteri di Intune. Assicurati di avere i privilegi di accesso e la necessaria familiarità con gli strumenti per diagnosticare e risolvere i problemi in modo efficiente.

Best practice per la migrazione da GPO a Intune

La migrazione da GPO a Intune rappresenta un grande passo avanti per la gestione degli endpoint. Permette di ottenere funzionalità di applicazione dei criteri e opzioni di personalizzazione più affidabili, perfette per organizzare i flussi di lavoro moderni.

In quest’ottica, i team IT e gli MSP che gestiscono ambienti cloud e ibridi potrebbero volere una copertura maggiore rispetto a quella offerta dalla soluzione proprietaria di Microsoft. In questo caso, un RMM come NinjaOne può fornire una gestione scalabile e flessibile degli endpoint che può integrare o addirittura sostituire Intune.

In definitiva, la sostituzione di uno strumento con un altro non è certo la soluzione definitiva per la gestione degli endpoint. Spesso si tratta di costruire uno stack che supporti in modo efficiente l’ambiente attuale e che getti le basi per la crescita e l’adattabilità.

Argomenti correlati:

• NinjaOne e alternative a Microsoft Intune a confronto
• Scegliere il giusto strumento di distribuzione del software: Intune e NinjaOne a confronto – Il punto di vista dell’utente
• Intune e SCCM: Un confronto tra le soluzioni Microsoft
• Come distribuire le applicazioni utilizzando il centro di amministrazione Microsoft Intune