Mostrare i dischi rigidi sul desktop del Mac con Intune

Mostrare il disco sul desktop non è una singola “spunta”

Su macOS la visualizzazione dei dischi sul desktop non dipende da un solo interruttore universale, ma da una preferenza utente che va distribuita con attenzione. Con Intune il punto non è solo “impostare il valore”, ma capire come macOS riceve quella preferenza, su quale account viene applicata e come si verifica che il profilo abbia davvero preso effetto. Se l’obiettivo è mostrare i dischi rigidi, i volumi esterni e le immagini disco sul desktop, la strada più pulita è un profilo di configurazione ben costruito, assegnato al gruppo giusto e poi validato lato sistema.

© TrgtKLS • Tech, Sicurezza e Strumenti & guide per Webmaster — https://trgtkls.it — tutti i diritti riservati.

La situazione tipica è questa: il team help desk vuole standardizzare l’esperienza del desktop sui Mac aziendali, evitando che ogni utente debba aprire Finder e attivare manualmente le opzioni. In un parco macOS gestito, questo tipo di dettaglio sembra banale, ma spesso è proprio il genere di preferenza che genera ticket inutili se non viene governata centralmente. Con Intune si può fare, ma conviene farlo con disciplina: profilo dedicato, target limitato, verifica dei risultati e rollback chiaro se qualche impostazione entra in conflitto con altre policy già presenti.

Quale impostazione va davvero distribuita

Su macOS la scelta dei dischi visibili sul desktop è legata alle preferenze di Finder. In pratica, non stai “montando” il disco né cambiando i permessi del volume: stai dicendo al sistema di mostrare o nascondere determinate categorie di oggetti sul desktop. Le categorie più comuni sono il disco interno, i dischi esterni, i CD/DVD e i server connessi. Se l’obiettivo è mostrare i dischi rigidi, di solito si intende almeno il disco interno del Mac, e spesso anche i volumi esterni collegati via USB o Thunderbolt.

Il dettaglio importante è che Finder mantiene queste preferenze a livello utente. Questo significa che il profilo deve essere pensato come impostazione utente, non come modifica di sistema generica. Se la policy viene assegnata nel contesto sbagliato, il risultato è un classico “sembra configurato, ma non cambia nulla”.

Con Intune il metodo giusto è il profilo di configurazione per macOS

La via ordinata in Intune è usare un configuration profile per macOS, assegnato a utenti o dispositivi in base al modello di gestione adottato. Nella pratica, per preferenze Finder di questo tipo, il contesto utente è spesso quello più affidabile. Se l’ambiente usa device-based enrollment ma gli utenti condividono il Mac o cambiano account frequentemente, va valutato con più attenzione perché il comportamento può variare in base a come è stata costruita la policy.

Il punto non è solo arrivare alla GUI di Intune, ma scegliere il payload corretto. Per le preferenze Finder, in molti casi si lavora con un profilo che applica impostazioni preferenze/macOS equivalenti a quelle che l’utente troverebbe nel pannello del Finder. Se la tua tenant usa template o cataloghi di impostazioni con nomi aggiornati, cerca la voce relativa a Finder o alle preferenze desktop. Se non è disponibile in forma nativa, il piano B è un profilo personalizzato con payload di preferenze, ma lì serve più precisione perché un errore di chiave o dominio può rendere il profilo inefficace.

Impostazione pratica: cosa attivare

Per ottenere il comportamento desiderato, le opzioni da attivare sono quelle che controllano la visualizzazione degli elementi sul desktop. In una configurazione standard, le caselle che interessano sono quelle per:

• dischi rigidi
• dischi esterni
• CD, DVD e iPod
• server connessi

Se il requisito è strettamente “mostrare i dischi rigidi”, puoi limitarti al disco interno. Se invece vuoi una configurazione coerente per l’help desk, spesso conviene includere anche i volumi esterni, perché per gli utenti il concetto di “disco sul desktop” è più ampio del solo disco di sistema. In ambienti con policy rigide, però, non attivare più del necessario: ogni opzione in più aumenta il rischio di conflitto con aspettative diverse del team o con script di personalizzazione già presenti.

Sequenza operativa in Intune

La procedura corretta è costruire il profilo, assegnarlo a un gruppo pilota e verificare il comportamento su un Mac reale. Non partire direttamente da tutta l’azienda: le preferenze Finder sono innocue, ma il rischio vero è creare incoerenza tra profili diversi o sovrascrivere impostazioni già governate da un altro strumento di gestione.

1. Crea un gruppo di test con 1-2 Mac gestiti e un utente rappresentativo.
2. In Intune, crea un nuovo profilo macOS e seleziona il tipo di configurazione per le preferenze utente/Finder, oppure un profilo personalizzato se nel tuo tenant non c’è la voce pronta.
3. Imposta la visualizzazione dei dischi desiderati sul desktop, includendo almeno i dischi rigidi se quello è il requisito minimo.
4. Assegna il profilo al gruppo pilota, non al gruppo produzione completo.
5. Forza la sincronizzazione dal portale o dal client MDM e attendi l’applicazione.

La verifica non va fatta “a sensazione”. Dopo la sync, apri il desktop del Mac e controlla che il disco compaia effettivamente. Se non compare, la prima domanda non è “Intune funziona?”, ma “la policy è arrivata al contesto giusto?”. Molte volte il profilo è assegnato correttamente, ma l’utente sta testando un altro account, oppure il Mac ha una preferenza locale che viene ripristinata da un altro meccanismo.

Se non funziona, il problema di solito è in uno di questi tre punti

Quando la configurazione non produce l’effetto atteso, le ipotesi più probabili sono poche e si falsificano in fretta. La prima è il target errato: il profilo è assegnato a un gruppo che non include davvero il dispositivo o l’utente. La seconda è il contesto sbagliato: la preferenza è stata distribuita come device policy ma il comportamento atteso è utente, o viceversa. La terza è un conflitto di preferenze: un altro profilo, uno script di post-enrollment o una configurazione preesistente sta riscrivendo il valore.

Per falsificare rapidamente queste ipotesi, controlla prima l’assegnazione nel portale Intune, poi la presenza del profilo sul Mac e infine i log di applicazione MDM. Se usi il portale aziendale o Company Portal, verifica che il device risulti effettivamente conforme e sincronizzato. Sul Mac, i log di sistema relativi a MDM e profili sono il modo più rapido per capire se il payload è arrivato e se è stato accettato.

Verifica lato Mac: cosa guardare davvero

La verifica utile non è solo “vedo il disco sul desktop”, ma anche “so spiegare perché lo vedo”. Se vuoi un controllo tecnico minimale, puoi confermare che il profilo sia stato applicato e che non ci siano errori di parsing o di conflitto. In ambiente macOS, i punti di osservazione pratici sono i profili installati, lo stato della sync MDM e i log del sottosistema di gestione.

profiles status -type enrollment

Questo comando ti dice se il Mac è effettivamente iscritto e gestito. Se l’enrollment non è attivo o è incompleto, il profilo non può essere considerato affidabile. Per una verifica più concreta dei profili presenti, puoi anche ispezionare quelli installati sul sistema e cercare il payload relativo alle preferenze Finder. Se il profilo non compare, il problema è a monte: assegnazione, sync o enrollment.

Se vuoi un controllo più vicino al comportamento utente, osserva direttamente la sessione del desktop dopo logout/login. Alcune preferenze vengono lette al caricamento della sessione o di Finder, quindi un semplice refresh non basta. In questi casi il cambio utente o un riavvio di Finder è spesso il test più pulito per distinguere tra “policy applicata” e “preferenza già cacheata”.

Quando serve un profilo personalizzato

Non sempre la GUI di Intune espone il controllo che ti serve con il livello di dettaglio corretto. Se la tua tenant non offre un template affidabile per Finder, puoi ricorrere a un profilo personalizzato con le chiavi di preferenza appropriate. È una strada valida, ma va trattata come configurazione sensibile: un dominio preferenze scritto male o un valore non coerente con il tipo atteso può portare a un profilo ignorato senza messaggi evidenti all’utente.

Qui la regola è semplice: prima verifica la forma della configurazione in un ambiente di test, poi portala in produzione. Se hai già uno standard interno per i plist o per i profili custom, riutilizzalo. Se non ce l’hai, crea almeno una copia di backup del profilo e conserva il JSON o il file sorgente in versioning. Non serve complicare il processo, serve evitare di inseguire problemi nati da una virgola o da una chiave sbagliata.

Interferenze comuni con altre policy

Il caso più frequente in ambienti maturi è la sovrapposizione tra più strumenti. Un profilo Intune può convivere con script MDM, strumenti di gestione endpoint, policy legacy o tool di personalizzazione del desktop. Quando due meccanismi controllano la stessa preferenza, vince quello che applica per ultimo o quello che viene rinfrescato alla sessione successiva. È per questo che la semplice distribuzione non basta: devi sapere se esiste già una policy che tocca Finder o il desktop.

Un esempio concreto: se un team ha già usato uno script di onboarding che nasconde i dischi sul desktop per pulizia visiva, il tuo profilo Intune potrebbe sembrare “non funzionante” quando in realtà viene sovrascritto dopo il login. In quel caso la soluzione non è aumentare aggressività o forzare un reboot a caso; la soluzione è identificare il secondo punto di scrittura e consolidare la fonte di verità.

Rollback pulito se il risultato non è quello atteso

Se il profilo introduce effetti collaterali o non si comporta come previsto, il rollback più pulito è rimuovere l’assegnazione dal gruppo pilota e attendere la successiva sincronizzazione MDM. In molti casi basta questo per tornare allo stato precedente, sempre che non ci siano script o profili concorrenti. Se hai applicato un profilo personalizzato, conserva il file sorgente e la versione precedente: il rollback reale passa da lì, non da una modifica manuale fatta al volo sul Mac dell’utente.

Prima di estendere il change, valuta il blast radius: un profilo che cambia la visibilità dei dischi non è distruttivo, ma può creare confusione operativa in reparti che hanno procedure documentate sul layout del desktop. Per questo il rollout va sempre fatto per cerchi concentrici: test, gruppo pilota, poi produzione. Se il requisito cambia in corso d’opera, aggiorna il profilo invece di aggiungerne uno nuovo che faccia la stessa cosa con un’altra logica.

Una configurazione sana è quella che si misura

Il modo corretto di chiudere il lavoro non è dire “funziona”, ma definire un criterio di verifica. Per questa policy il criterio è semplice: dopo sync e login, il disco interno deve essere visibile sul desktop dell’account target, senza intervento manuale dell’utente. Se il requisito include anche i dischi esterni, prova un volume USB reale e verifica che compaia solo quando è montato, non in modo fittizio o persistente.

In sintesi, Intune è uno strumento adeguato per standardizzare questo comportamento, a patto di rispettare tre cose: contesto corretto, assegnazione corretta e verifica reale. È una modifica piccola solo in apparenza; in ambienti gestiti, le piccole preferenze diventano affidabili solo quando sono trattate come una policy a tutti gli effetti, non come un trucco da terminale copiato al volo.