1 19/04/2026 8 min

Se devi disattivare la diagnostica dispositivo in Microsoft Intune Admin Portal, la prima cosa da chiarire è quale telemetria o raccolta dati stai realmente spegnendo. In Intune, infatti, la voce “diagnostica” può riferirsi a funzionalità diverse a seconda del contesto: raccolta di dati di device health, report avanzati, impostazioni di privacy/telemetria lato Windows, oppure opzioni di supporto e troubleshooting esposte nel portale. La procedura corretta cambia in base a dove è stato abilitato il comportamento.

Il punto operativo è semplice: non cercare un unico interruttore universale. Prima identifica la sorgente della diagnostica, poi disattivala nel punto giusto, infine verifica che il cambiamento si sia propagato ai dispositivi o ai report. Se il requisito è di compliance o privacy, considera anche l’impatto su supporto e visibilità operativa: spegnere troppa diagnostica può togliere segnali utili durante un incidente.

Capire dove agisce la diagnostica

In Intune e nell’ecosistema Microsoft Endpoint Manager, la raccolta diagnostica può arrivare da più livelli:

  • impostazioni di Windows diagnostic data gestite da policy di configurazione;
  • funzioni di Endpoint analytics o report di salute dispositivo;
  • opzioni di troubleshooting e raccolta log per supporto amministrativo;
  • policy MDM che impongono privacy e telemetria a livello di sistema operativo;
  • impostazioni di tenant o licenza che abilitano specifici report.

    • Se non distingui questi livelli, rischi di cambiare un’impostazione e non vedere alcun effetto, oppure di disattivare una funzione che serviva per il supporto. La verifica iniziale va fatta nel portale, non sul device, perché spesso il sintomo è “vedo ancora dati” ma la causa è una policy diversa da quella che stai modificando.

    Percorso pratico nel portale Intune

    Il percorso esatto dipende dalla funzionalità coinvolta, ma il flusso di lavoro è quasi sempre questo: apri Intune admin center, individua la sezione della policy o del report, controlla lo stato dell’assegnazione e poi modifica la configurazione con criterio. Se l’obiettivo è impedire la raccolta diagnostica lato Windows, di solito lavori in Devices > Configuration profiles oppure in profili di amministrazione dedicati, non in un menu generico del tenant.

    Quando la diagnostica è legata ai report o ai dati di analytics, cerca invece le aree di Reports o Endpoint analytics. Qui la disattivazione può significare rimuovere l’assegnazione di una policy, limitare la raccolta o cambiare il livello di telemetria richiesto dal tenant.

    Disattivazione della diagnostica tramite configuration profile

    Se la diagnostica è controllata da una policy di configurazione, la logica è: trova la policy, verifica il targeting, modifica il parametro, salva, poi attendi la sincronizzazione. Questo è il caso più comune quando si parla di telemetria Windows gestita via MDM.

  • Apri Intune admin center e vai su Devices > Configuration profiles.
  • Individua il profilo che controlla privacy, telemetria o diagnostica.
  • Apri la scheda del profilo e controlla Assignments per capire quali gruppi sono interessati.
  • Modifica l’impostazione relativa alla diagnostica, portandola al valore richiesto dalla tua policy.
  • Salva la modifica e annota il nome del profilo, così puoi fare rollback rapido se serve.

    • Se il profilo è creato da un template, non dare per scontato che il valore sia immediatamente intuitivo. In alcuni casi la UI mostra nomi sintetici, mentre il reale effetto sul device dipende dalla combinazione di più impostazioni. Per questo conviene controllare anche la vista Properties del profilo e non limitarsi al singolo campo editato.

    Verifica minima: dal device interessato, controlla che la policy sia stata applicata e che il valore atteso sia presente nel registro o nello stato MDM. Su Windows puoi partire da questo comando per vedere lo stato generale della registrazione MDM:

    dsregcmd /status

    Non è il comando che conferma la diagnostica in sé, ma ti dice se il device è correttamente enrolato e raggiungibile da Intune. Se il dispositivo non è in stato coerente, la modifica nel portale può essere corretta ma non ancora applicata.

    Se la diagnostica passa da Endpoint analytics

    Quando il problema è nei dati di analytics, la disattivazione va letta come riduzione o sospensione della raccolta, non solo come “toggle off”. Qui è importante distinguere tra il dato che il tenant produce e il dato che il device invia: puoi spegnere una vista reportistica e continuare ad avere telemetria attiva, oppure il contrario.

  • Vai in Reports o Endpoint analytics nel portale.
  • Controlla se la raccolta dipende da licenze, policy o onboarding del tenant.
  • Verifica se esiste un’impostazione di opt-in o di abilitazione per la raccolta dati.
  • Disabilita solo il componente richiesto, evitando di rimuovere licenze o assegnazioni se il problema è limitato alla diagnostica.
  • Attendi il refresh dei report e controlla che i nuovi dati non vengano più popolati.

    • Qui il controllo finale non è “il menu è spento”, ma i report smettono di aggiornarsi per il gruppo interessato. Se i dati continuano a comparire, il più delle volte la fonte è un’altra policy o un altro workspace collegato al tenant.

    Disattivare la diagnostica con una policy di privacy Windows

    Se l’obiettivo reale è ridurre la diagnostica Windows inviata al cloud, il livello corretto è spesso una policy che imposta il diagnostic data level. In ambiente enterprise questa è la strada più pulita, perché centralizza il controllo e ti permette di documentare il cambio.

    Un approccio tipico è creare o modificare un profilo che imponga il livello minimo consentito dalla tua edizione di Windows e dalla tua policy interna. In questo scenario il problema non è solo “disattivare”, ma capire il minimo livello supportato dal sistema e dal tenant. Non tutte le edizioni consentono lo stesso controllo.

  • Apri il profilo di configurazione che gestisce la privacy.
  • Individua l’impostazione relativa ai dati diagnostici.
  • Imposta il valore richiesto dalla policy di sicurezza o compliance.
  • Salva il profilo con un nome esplicito, ad esempio legato a data e gruppo target.
  • Verifica che il gruppo assegnato sia quello corretto e non un gruppo più ampio del necessario.

    • Se devi fare un change controllato, usa un gruppo pilota. È il modo più rapido per evitare un blast radius inutile: pochi device, verifica del comportamento, poi estensione graduale. In Intune questo approccio riduce anche il rischio di conflitti con altre policy già assegnate allo stesso parco macchine.

    Verifiche dal device: cosa guardare davvero

    La verifica lato device deve rispondere a una domanda precisa: la policy è arrivata e ha cambiato il comportamento atteso? Non basta vedere il device “online” nel portale. Serve un riscontro più concreto.

  • Controlla in Settings > Accounts > Access work or school che il device sia connesso all’organizzazione.
  • Apri lo stato di sincronizzazione del profilo e conferma l’ultimo check-in.
  • Se usi Event Viewer, cerca eventi MDM relativi alla ricezione o applicazione della policy.
  • Se la policy impatta la privacy, verifica che il valore sia coerente con la configurazione imposta.
  • Se la diagnostica era un report, controlla che la dashboard non riceva più nuovi dati nel tempo previsto.

    • Un controllo utile, quando hai accesso al device, è forzare una sincronizzazione manuale e leggere il risultato nel portale. Questo non sostituisce la verifica finale, ma accelera il ciclo di conferma. In caso di problema, il dettaglio che ti serve è il codice di errore MDM o l’evento di fallimento, non una semplice dicitura generica.

    mdmdiagreport

    Il report diagnostico locale, dove disponibile, aiuta a capire se una policy è stata ricevuta, rifiutata o conflittuale. Se non trovi il file o il comando non è supportato nella tua build, il gap si chiude leggendo i log MDM nel Visualizzatore eventi e nella sezione di troubleshooting del device.

    Conflitti di policy: il motivo più comune dei falsi negativi

    Molti casi in cui “ho disattivato la diagnostica ma continua a funzionare” dipendono da policy sovrapposte. In Intune una configurazione può essere ereditata da più profili, da baseline di sicurezza, da compliance policy o da impostazioni specifiche del sistema operativo.

    Il sintomo classico è questo: nel portale la modifica risulta salvata, ma il device mostra ancora il comportamento precedente. Le cause più probabili sono tre:

  • un altro profilo assegna lo stesso parametro con priorità equivalente o superiore;
  • il device non ha ancora ricevuto la sincronizzazione;
  • la funzionalità non si governa dal punto in cui hai fatto il change.

    • Per falsificare rapidamente queste ipotesi, controlla in ordine: Assignments del profilo, stato di check-in del device, e presenza di altre policy che toccano lo stesso ambito. Se il portale mostra conflitto, non forzare subito altri cambi: prima rimuovi il duplicato o restringi il targeting.

    Rollback pulito e blast radius

    Ogni modifica alla diagnostica va trattata come un change con rollback. Il rollback minimo è quasi sempre uno di questi:

  • ripristino del valore precedente nel profilo;
  • rimozione dell’assegnazione al gruppo pilota;
  • disattivazione temporanea del profilo solo sui device coinvolti;
  • reintroduzione della raccolta dati se il supporto operativo ne ha bisogno.

    • Se lavori in un tenant con change management formale, annota anche il timestamp del cambio e il motivo. Quando la diagnostica serve per il troubleshooting, sapere quando è stata disattivata ti evita di inseguire falsi positivi nei log successivi.

    Procedura sintetica consigliata

  • Identifica se la diagnostica è una policy di Windows, un report di analytics o una funzione di supporto Intune.
  • Apri il profilo o la sezione corretta nel portale e verifica gli Assignments.
  • Modifica solo il parametro necessario, senza toccare componenti non correlati.
  • Salva il change e usa un gruppo pilota se il rischio operativo è alto.
  • Forza la sincronizzazione o attendi il check-in e verifica il comportamento lato device.
  • Se il dato continua a comparire, cerca conflitti di policy o una seconda sorgente di telemetria.

    • Assunzione: il tenant è già correttamente licenziato e il device è enrolato in Intune; se uno di questi due punti manca, la verifica va spostata prima su registrazione, licenze e assegnazioni.