di Tommaso Cornelli
Gli scope tag di Intune rappresentano uno strumento fondamentale per la gestione dei dispositivi all’interno di un’organizzazione, permettendo di assegnare configurazioni specifiche a gruppi di dispositivi o utenti definiti.
Questa funzionalità è particolarmente utile in ambienti IT distribuiti, dove è necessario garantire che gli amministratori abbiano accesso e visibilità corretti sugli oggetti di Intune necessari.
Attraverso l’uso degli scope tag, è possibile determinare quali oggetti sono visibili a determinati amministratori, basandosi sui ruoli assegnati.
Ad esempio, se un amministratore ha il ruolo di “Policy and Profile Manager” per l’ufficio di Milano, con gli scope tag si può configurare l’accesso in modo che questo amministratore possa visualizzare e gestire solo i profili e le politiche applicabili ai dispositivi di Milano.
Per fare ciò, si deve creare un tag di ambito chiamato “Milano”, assegnare questo tag agli oggetti di Intune pertinenti e aggiungerlo ai dispositivi che si desidera siano visibili a tale amministratore.
È importante notare che il tag di ambito predefinito viene aggiunto automaticamente a tutti gli oggetti senza tag che supportano gli scope tag, una funzionalità simile agli ambiti di sicurezza in Microsoft Configuration Manager.
Quando si configurano o si modificano i criteri di Intune, alcuni tipi di criteri potrebbero non visualizzare la pagina di configurazione degli scope tag se non sono presenti tag di ambito personalizzati definiti per il tenant. Pertanto, è essenziale assicurarsi che sia stato definito almeno un tag di ambito personalizzato oltre al tag predefinito.
I tag di ambito di Intune offrono numerosi vantaggi che vanno oltre la semplice assegnazione di ruoli e permessi. Essi permettono una gestione più granulare e specifica delle risorse di Intune, come profili, applicazioni e criteri, facilitando l’amministrazione delegata.
Questo significa che gli amministratori possono classificare le risorse per dipartimento, funzione o ubicazione, migliorando l’organizzazione e la gestione delle risorse. Inoltre, i tag di ambito consentono di ridurre il rischio di errori di configurazione, poiché gli amministratori vedranno solo gli oggetti pertinenti ai loro ruoli e responsabilità.
Un altro vantaggio significativo è la possibilità di implementare politiche di sicurezza più mirate, poiché i tag di ambito possono essere utilizzati per applicare criteri specifici a gruppi di dispositivi o utenti, garantendo che le misure di sicurezza siano adatte al contesto specifico.
Infine, i tag di ambito migliorano la trasparenza e la tracciabilità delle azioni amministrative, poiché ogni modifica o assegnazione di risorse può essere monitorata e associata a un tag di ambito specifico, facilitando l’audit e il rispetto delle normative.
Per creare un tag di ambito personalizzato in Intune, è necessario accedere all’interfaccia di amministrazione di Microsoft Intune e seguire alcuni passaggi. Inizialmente, si deve selezionare “Ambito ruoli” dall’area di amministrazione del tenant, e poi scegliere l’opzione “Crea” per iniziare il processo. Nella pagina “Informazioni di base”, si specifica un nome per il tag di ambito e, se desiderato, si può aggiungere una descrizione facoltativa. Dopo aver inserito queste informazioni, si procede alla pagina “Assegnazioni”, dove si selezionano i gruppi che contengono i dispositivi ai quali si vuole assegnare il tag di ambito creato. Una volta completata questa selezione, si passa alla pagina “Rivedi e crea”, dove si ha la possibilità di rivedere tutte le informazioni e le selezioni effettuate prima di finalizzare la creazione del tag di ambito con il pulsante “Crea”.
È importante notare che un tag di ambito può essere assegnato a un massimo di 100 oggetti e che gli utenti dei gruppi di amministrazione avranno accesso agli oggetti di Intune che condividono lo stesso tag di ambito.
di Tommaso Cornelli