Condividi tramite


Impostazioni delle funzionalità del dispositivo macOS in Intune

Nota

Intune può supportare più impostazioni rispetto alle impostazioni elencate in questo articolo. Non tutte le impostazioni sono documentate e non verranno documentate. Per visualizzare le impostazioni che è possibile configurare, creare un criterio di configurazione del dispositivo e selezionare Catalogo impostazioni. Per altre informazioni, vedere Catalogo impostazioni.

Intune include impostazioni predefinite per personalizzare le funzionalità nei dispositivi macOS. Ad esempio, gli amministratori possono aggiungere stampanti AirPrint, scegliere come gli utenti accedono, configurare i controlli di alimentazione, usare l'autenticazione Single Sign-On e altro ancora.

Usare queste funzionalità per controllare i dispositivi macOS come parte della soluzione di gestione dei dispositivi mobili (MDM).

Questa funzionalità si applica a:

  • macOS

Questo articolo descrive queste impostazioni. Vengono inoltre elencati i passaggi per ottenere l'indirizzo IP, il percorso e la porta delle stampanti AirPrint usando l'app Terminale (emulatore). Per altre informazioni sulle funzionalità del dispositivo, vedere Aggiungere le impostazioni delle funzionalità del dispositivo iOS/iPadOS o macOS.

Prima di iniziare

AirPrint

Le impostazioni si applicano a: Tutti i tipi di registrazione

  • Destinazioni AirPrint: immettere una o più informazioni sulla stampante AirPrint in modo che gli utenti possano stampare dai propri dispositivi:

    • Indirizzo IP: immettere l'indirizzo IPv4 o IPv6 della stampante. Immettere ad esempio 10.0.0.1. Se si usano nomi host per identificare le stampanti, è possibile ottenere l'indirizzo IP eseguendo il ping della stampante nell'app Terminale. Ottenere l'indirizzo IP e il percorso (in questo articolo) contiene altri dettagli.
    • Percorso risorsa: immettere il percorso della risorsa della stampante. Il percorso è in genere ipp/print per le stampanti nella rete. Ottenere l'indirizzo IP e il percorso (in questo articolo) contiene altri dettagli.
    • Porta (iOS 11.0+, iPadOS 13.0+): immettere la porta di ascolto della destinazione AirPrint. Se si lascia vuota questa proprietà, AirPrint usa la porta predefinita.
    • Forza TLS (iOS 11.0+, iPadOS 13.0+): Opzioni:
      • Disabilita (impostazione predefinita): Transport Layer Security (TLS) non viene applicato durante la connessione alle stampanti AirPrint.
      • Abilita: protegge le connessioni AirPrint con Transport Layer Security (TLS).
  • Importare un file delimitato da virgole (.csv) che include un elenco di stampanti AirPrint. Inoltre, dopo aver aggiunto stampanti AirPrint in Intune, è possibile esportare questo elenco.

Ottenere l'indirizzo IP e il percorso

Per aggiungere i server AirPrinter, sono necessari l'indirizzo IP della stampante, il percorso della risorsa e la porta. I passaggi seguenti illustrano come ottenere queste informazioni.

  1. In un Mac che si connette alla stessa rete locale (subnet) delle stampanti AirPrint, aprire l'app Terminale (da /Applications/Utilities).

  2. Nell'app Terminale immettere ippfinde selezionare INVIO.

    Prendere nota delle informazioni sulla stampante. Ad esempio, può restituire qualcosa di simile ipp://myprinter.local.:631/ipp/port1a . La prima parte è il nome della stampante. L'ultima parte (ipp/port1) è il percorso della risorsa.

  3. Nell'app Terminale digitare ping myprinter.locale selezionare INVIO.

    Prendere nota dell'indirizzo IP. Ad esempio, può restituire qualcosa di simile PING myprinter.local (10.50.25.21)a .

  4. Usare i valori dell'indirizzo IP e del percorso della risorsa. In questo esempio l'indirizzo IP è 10.50.25.21e il percorso della risorsa è /ipp/port1.

Domini associati

In Intune è possibile:

  • Aggiungere molte associazioni da app a dominio.
  • Associare molti domini alla stessa app.

Questa impostazione si applica a:

  • macOS 10.15 e versioni successive

Le impostazioni si applicano a: Registrazione dei dispositivi approvata dall'utente e Registrazione automatica dei dispositivi

Queste impostazioni usano il payload AssociatedDomains.ConfigurationItem (apre il sito Web di Apple).

  • Domini associati: aggiungere un'associazione tra il dominio e un'app. Questa funzionalità condivide le credenziali di accesso tra un'app Contoso e un sito Web contoso. Immettere anche:

    • ID app: immettere l'identificatore dell'app da associare a un sito Web. L'identificatore dell'app include l'ID team e un ID bundle: TeamID.BundleID.

      L'ID team è una stringa alfanumerica (lettere e numeri) di 10 caratteri generata da Apple per gli sviluppatori di app, ad esempio ABCDE12345. Individuare l'ID team (apre il sito Web di Apple) con altre informazioni.

      L'ID bundle identifica in modo univoco l'app e in genere viene formattato in notazione del nome di dominio inverso. Ad esempio, l'ID bundle di Finder è com.apple.finder.

      Per ottenere l'ID bundle:

    • Domini: immettere il dominio del sito Web da associare a un'app. Il dominio include un tipo di servizio e un nome host completo, ad esempio webcredentials:www.contoso.com.

      È possibile trovare la corrispondenza con tutti i sottodomini di un dominio associato immettendo *. (un carattere jolly asterisco e un punto) prima dell'inizio del dominio. Il periodo è obbligatorio. I domini esatti hanno una priorità superiore rispetto ai domini con caratteri jolly. Di conseguenza, i modelli dei domini padre vengono confrontati se non viene trovata una corrispondenza nel sottodominio completo.

      Il tipo di servizio può essere:

      • authsrv: estensione dell'app Single Sign-On
      • applink: collegamento universale
      • credenziali web: riempimento automatico della password
    • Abilita download diretti: scarica i dati di dominio direttamente dal dispositivo, invece di passare attraverso la rete di distribuzione di contenuti (CDN) di Apple. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe scaricare i dati tramite la rete CDN di Apple dedicata ai domini associati.

      Questa impostazione si applica a:

      • macOS 11 e versioni successive

Consiglio

Per risolvere i problemi, nel dispositivo macOS aprireProfilipreferenze> di sistema. Verificare che il profilo creato sia incluso nell'elenco dei profili di dispositivo. Se è elencato, assicurarsi che la configurazione dei domini associati sia presente nel profilo e che includa l'ID app e i domini corretti.

Memorizzazione nella cache del contenuto

La memorizzazione nella cache del contenuto salva una copia locale del contenuto. Altri dispositivi Apple possono ottenere queste informazioni senza connettersi a Internet. Questa memorizzazione nella cache accelera i download salvando aggiornamenti software, app, foto e altri contenuti la prima volta che vengono scaricati. Poiché le app vengono scaricate una volta e condivise con altri dispositivi, le scuole e l'organizzazione con molti dispositivi consentono di risparmiare larghezza di banda.

Nota

Usare un solo profilo per queste impostazioni. Se si assegnano più profili con queste impostazioni, si verifica un errore.

Per altre informazioni sul monitoraggio della memorizzazione nella cache del contenuto, vedere Visualizzare i log e le statistiche di memorizzazione nella cache del contenuto (apre il sito Web di Apple).

Questa impostazione si applica a:

  • macOS 10.13.4 e versioni successive

Le impostazioni si applicano a: Tutti i tipi di registrazione

Per altre informazioni su queste impostazioni, passare a Impostazioni payload di memorizzazione nella cache del contenuto (apre il sito Web di Apple).

Abilita memorizzazione nella cache del contenuto: attiva la memorizzazione nella cache del contenuto e gli utenti non possono disabilitarla. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe disattivarlo.

  • Tipo di contenuto da memorizzare nella cache: opzioni:

    • Tutto il contenuto: memorizza nella cache il contenuto iCloud e il contenuto condiviso.
    • Solo contenuto utente: memorizza nella cache il contenuto iCloud dell'utente, incluse foto e documenti.
    • Solo contenuto condiviso: memorizza nella cache le app e gli aggiornamenti software.
  • Dimensioni massime cache: immettere la quantità massima di spazio su disco (in byte) usata per memorizzare nella cache il contenuto. Se lasciato vuoto (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe impostare questo valore su zero (0) byte, offrendo spazio su disco illimitato alla cache.

    Assicurarsi di non superare lo spazio disponibile nei dispositivi. Per altre informazioni sulla capacità di archiviazione dei dispositivi, vedere Come la capacità di archiviazione dei report di iOS e macOS (apre il sito Web di Apple).

  • Percorso cache: immettere il percorso per archiviare il contenuto memorizzato nella cache. Il percorso predefinito è /Library/Application Support/Apple/AssetCache/Data. È consigliabile non modificare questa posizione.

    Se si modifica questa impostazione, il contenuto memorizzato nella cache non viene spostato nel nuovo percorso. Per spostarlo automaticamente, gli utenti devono modificare la posizione nel dispositivo (Memorizzazione nella cache del contenutodelle>preferenze> di sistema).

  • Porta: immettere il numero di porta TCP nei dispositivi per consentire alla cache di accettare le richieste di download e caricamento, da 0 a 65535. Immettere zero (0) (impostazione predefinita) per usare la porta disponibile.

  • Blocca la connessione Internet e la condivisione del contenuto nella cache: nota anche come memorizzazione nella cache con tethering. impedisce la condivisione della connessione Internet e impedisce la condivisione del contenuto memorizzato nella cache con i dispositivi iOS/iPadOS connessi tramite USB al Mac. Gli utenti non possono abilitare questa funzionalità. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

  • Abilita condivisione connessione Internet: nota anche come memorizzazione nella cache con tethering. consente la condivisione delle connessioni Internet e consente la condivisione del contenuto memorizzato nella cache con i dispositivi iOS/iPadOS connessi tramite USB al Mac. Gli utenti non possono disabilitare questa funzionalità. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe disattivarlo.

    Questa impostazione si applica a:

    • macOS 10.15.4 e versioni successive
  • Abilitare la cache per registrare i dettagli del client: registra l'indirizzo IP e il numero di porta dei dispositivi che richiedono il contenuto. Se si stanno risolvendo i problemi del dispositivo, questo file di log può essere utile. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non registrare queste informazioni.

  • Mantieni sempre il contenuto dalla cache, anche quando il sistema necessita di spazio su disco per altre app: mantiene il contenuto della cache e assicura che non venga eliminato nulla, anche quando lo spazio su disco è insufficiente. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe eliminare automaticamente il contenuto dalla cache quando richiede spazio di archiviazione per altre app.

    Questa impostazione si applica a:

    • macOS 10.15 e versioni successive
  • Mostra avvisi di stato: mostra gli avvisi come notifiche di sistema. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non visualizzare questi avvisi come notifiche di sistema.

    Questa impostazione si applica a:

    • macOS 10.15 e versioni successive
  • Impedisci la sospensione del dispositivo durante l'attivazione della memorizzazione nella cache: impedisce al computer di andare in sospensione quando la memorizzazione nella cache è attiva. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire la sospensione del dispositivo.

    Questa impostazione si applica a:

    • macOS 10.15 e versioni successive
  • Dispositivi da memorizzare nella cache: scegliere i dispositivi che possono memorizzare nella cache il contenuto. Le opzioni disponibili sono:

    • Non configurato (impostazione predefinita): Intune non modifica o aggiorna questa impostazione.
    • Dispositivi che usano la stessa rete locale: la cache del contenuto offre contenuto ai dispositivi nella stessa rete locale immediata. Nessun contenuto viene offerto ai dispositivi in altre reti, inclusi i dispositivi raggiungibili dalla cache del contenuto.
    • Dispositivi che usano lo stesso indirizzo IP pubblico: la cache del contenuto offre contenuto ai dispositivi che usano lo stesso indirizzo IP pubblico. Nessun contenuto viene offerto ai dispositivi in altre reti, inclusi i dispositivi raggiungibili dalla cache del contenuto.
    • Dispositivi che usano reti locali personalizzate: la cache del contenuto fornisce contenuto ai dispositivi negli intervalli IP immessi.
      • Intervalli di ascolto client: immettere l'intervallo di indirizzi IP che possono ricevere la cache del contenuto.
    • Dispositivi che usano reti locali personalizzate con fallback: la cache del contenuto fornisce contenuto ai dispositivi negli intervalli di ascolto, negli intervalli di ascolto peer e negli indirizzi IP padre.
      • Intervalli di ascolto client: immettere l'intervallo di indirizzi IP che possono ricevere la cache del contenuto.
  • Indirizzi IP pubblici personalizzati: immettere un intervallo di indirizzi IP pubblici. I server cloud usano questo intervallo per associare i dispositivi client alle cache.

  • Condividere il contenuto con altre cache: quando la rete dispone di più cache di contenuto, le cache di contenuto in altri dispositivi diventano automaticamente peer. Questi dispositivi possono consultare e condividere il software memorizzato nella cache.

    Quando un elemento richiesto non è disponibile in una cache del contenuto, verifica la presenza dell'elemento nei peer. Se l'elemento è disponibile, viene scaricato dalla cache del contenuto nel dispositivo peer. Se non è ancora disponibile, la cache del contenuto scarica l'elemento da:

    • Indirizzo IP padre, se configurato

      O

    • Da Apple tramite Internet

    Quando è disponibile più di una cache del contenuto, i dispositivi selezionano automaticamente la cache del contenuto corretta.

    Le opzioni disponibili sono:

    • Non configurato (impostazione predefinita): Intune non modifica o aggiorna questa impostazione.

    • Cache di contenuto che usano le stesse reti locali: la cache del contenuto esegue solo peer con altre cache di contenuto nella stessa rete locale immediata.

    • Cache di contenuto con lo stesso indirizzo IP pubblico: la cache del contenuto esegue solo peer con altre cache di contenuto nello stesso indirizzo IP pubblico.

    • Cache di contenuto che usano reti locali personalizzate: la cache del contenuto esegue solo peer con altre cache di contenuto nell'intervallo di ascolto degli indirizzi IP immesso:

      • Intervalli di ascolto peer: immettere gli indirizzi IP iniziale e finale IPv4 o IPv6 per l'intervallo. La cache del contenuto risponde solo alle richieste di peer cache dalle cache di contenuto negli intervalli di indirizzi IP immessi.
      • Intervalli di filtri peer: immettere gli indirizzi IP iniziale e finale IPv4 o IPv6 per l'intervallo. La cache del contenuto filtra l'elenco di peer usando gli intervalli di indirizzi IP immessi.
  • Indirizzi IP padre: immettere l'indirizzo IP locale di un'altra cache del contenuto da aggiungere come cache padre. La cache carica e scarica il contenuto in queste cache, invece di caricare/scaricare direttamente con Apple. Aggiungere un indirizzo IP padre solo una volta.

  • Criteri di selezione padre: quando sono presenti molte cache padre, selezionare il modo in cui viene scelto l'indirizzo IP padre. Le opzioni disponibili sono:

    • Non configurato (impostazione predefinita): Intune non modifica o aggiorna questa impostazione.
    • Round robin: usare gli indirizzi IP padre nell'ordine indicato. Questa opzione è utile per gli scenari di bilanciamento del carico.
    • Primo disponibile: usare sempre il primo indirizzo IP disponibile nell'elenco.
    • Hash: crea un valore hash per la parte relativa al percorso dell'URL richiesto. Questa opzione garantisce che lo stesso indirizzo IP padre venga sempre usato per lo stesso URL.
    • Casuale: usare in modo casuale un indirizzo IP nell'elenco. Questa opzione è utile per gli scenari di bilanciamento del carico.
    • Disponibilità permanente: usare sempre il primo indirizzo IP nell'elenco. Se non è disponibile, usare il secondo indirizzo IP nell'elenco. Continuare a usare il secondo indirizzo IP fino a quando non è disponibile e così via.

Elementi di accesso

Le impostazioni si applicano a: Tutti i tipi di registrazione

  • Aggiungere i file, le cartelle e le app personalizzate che verranno avviate all'accesso: aggiungere il percorso di un file, una cartella, un'app personalizzata o un'app di sistema che si apre quando gli utenti accedono ai propri dispositivi. Immettere anche:

    • Percorso dell'elemento: immettere il percorso del file, della cartella o dell'app. Le app di sistema o le app compilate o personalizzate per l'organizzazione si trovano in genere nella Applications cartella , con un percorso simile a /Applications/AppName.app.

      È possibile aggiungere molti file, cartelle e app. Ad esempio, immettere:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      Quando si aggiunge un'app, una cartella o un file, assicurarsi di immettere il percorso corretto. Non tutti gli elementi si trovano nella Applications cartella . Se gli utenti spostano un elemento da una posizione a un'altra, il percorso cambia. Questo elemento spostato non viene aperto quando l'utente accede.

    • Nascondi: scegliere di visualizzare o nascondere l'app. Le opzioni disponibili sono:

      • Non configurato (impostazione predefinita): Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare gli elementi nell'elenco Elementi di accesso utenti & Gruppi con l'opzione Nascondi deselezionata.
      • : nasconde l'app nell'elenco elementi di accesso Utenti & Gruppi.

Finestra di accesso

Le impostazioni si applicano a: Tutti i tipi di registrazione

Windows Layout

  • Mostra altre informazioni nella barra dei menu: quando l'area temporale sulla barra dei menu è selezionata, mostra il nome host e la versione di macOS. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non visualizzare queste informazioni sulla barra dei menu.

  • Banner: immettere un messaggio visualizzato nella schermata di accesso nei dispositivi. Ad esempio, immettere le informazioni dell'organizzazione, un messaggio di benvenuto, informazioni perse e trovate e così via.

  • Richiedi campi di testo nome utente e password: scegliere come gli utenti accedono ai dispositivi. richiede agli utenti di immettere un nome utente e una password. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe richiedere agli utenti di selezionare il proprio nome utente da un elenco e quindi digitare la password.

    Se impostato su Non configurato, immettere anche:

    • Nascondi utenti locali: nasconde gli account utente locali nell'elenco utenti, che possono includere gli account standard e amministratori. Vengono visualizzati solo gli account utente di rete e di sistema. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare gli account utente locali nell'elenco utenti.
    • Nascondi account per dispositivi mobili: nasconde gli account per dispositivi mobili nell'elenco utenti. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare gli account per dispositivi mobili nell'elenco utenti. Alcuni account per dispositivi mobili possono essere visualizzati come utenti di rete.
    • Mostra utenti di rete: selezionare per elencare gli utenti di rete nell'elenco utenti. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non visualizzare gli account utente di rete nell'elenco utenti.
    • Nascondi gli amministratori del computer: nasconde gli account utente amministratore nell'elenco utenti. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare gli account utente amministratore nell'elenco utenti.
    • Mostra altri utenti: selezionare per elencare Altri utenti nell'elenco utenti. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non visualizzare gli altri account utente nell'elenco utenti.

Impostazioni di alimentazione della schermata di accesso

  • Nascondi pulsante di arresto: nasconde il pulsante di arresto nella schermata di accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare il pulsante di arresto.
  • Pulsante Nascondi riavvio: nasconde il pulsante di riavvio nella schermata di accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare il pulsante di riavvio.
  • Pulsante Nascondi sospensione: nasconde il pulsante di sospensione nella schermata di accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe visualizzare il pulsante di sospensione.
  • Disabilitare l'accesso utente dalla console: nasconde la riga di comando macOS usata per accedere. Per gli utenti tipici, impostare questa impostazione su . Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti esperti di accedere usando la riga di comando macOS. Per accedere alla modalità console, gli utenti immettono >console nel campo Nome utente e devono eseguire l'autenticazione nella finestra della console.

Apple Menu

  • Disabilita arresto durante l'accesso: impedisce agli utenti di selezionare l'opzione Arresta dopo l'accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti di selezionare la voce di menu Arresta nei dispositivi.
  • Disabilita riavvio durante l'accesso: impedisce agli utenti di selezionare l'opzione Riavvia dopo l'accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti di selezionare la voce di menu Riavvia nei dispositivi.
  • Disabilita spegnimento durante l'accesso: impedisce agli utenti di selezionare l'opzione Spegni dopo l'accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti di selezionare la voce di menu Spegni nei dispositivi.
  • Disabilita disconnessione durante l'accesso (macOS 10.13 e versioni successive): impedisce agli utenti di selezionare l'opzione Disconnetti dopo l'accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti di selezionare la voce di menu Disconnetti nei dispositivi.
  • Disabilita schermata di blocco durante l'accesso (macOS 10.13 e versioni successive): impedisce agli utenti di selezionare l'opzione Schermata di blocco dopo l'accesso. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire agli utenti di selezionare la voce di menu Schermata di blocco nei dispositivi.

Estensione dell'app Single Sign-On

Questa impostazione si applica a:

  • macOS 10.15 e versioni successive

Nota

Nei dispositivi macOS è possibile usare l'accesso Single Sign-On della piattaforma per abilitare l'accesso Single Sign-On (SSO). Per altre informazioni, vedere Configurare l'accesso SSO della piattaforma per i dispositivi macOS in Microsoft Intune.

Le impostazioni si applicano a: Registrazione dei dispositivi approvata dall'utente e Registrazione automatica dei dispositivi

  • Tipo di estensione dell'app SSO: scegliere il tipo di estensione dell'app SSO. Le opzioni disponibili sono:

    • Non configurata: le estensioni dell'app non vengono usate. Per disabilitare un'estensione dell'app, impostare il tipo di estensione dell'app SSO su Non configurato.

    • Microsoft Entra ID: usa il plug-in Microsoft Entra ID Enterprise SSO, che è un'estensione dell'app SSO di tipo reindirizzamento. Questo plug-in fornisce l'accesso Single Sign-On per gli account Active Directory locali in tutte le applicazioni macOS che supportano la funzionalità Enterprise Single Sign-On di Apple . Usare questo tipo di estensione dell'app SSO per abilitare l'accesso SSO nelle app Microsoft, nelle app dell'organizzazione e nei siti Web che eseguono l'autenticazione usando l'ID Microsoft Entra. Per altre informazioni, vedere Usare il plug-in SSO di Microsoft Enterprise nei dispositivi macOSOS.

      Il plug-in SSO funge da broker di autenticazione avanzato che offre miglioramenti della sicurezza e dell'esperienza utente.

      Importante

      Per ottenere l'accesso SSO con il tipo di estensione dell'app Microsoft Entra SSO, installare l'app Portale aziendale macOS nei dispositivi. L'app Portale aziendale fornisce il plug-in Microsoft Enterprise SSO ai dispositivi. Le impostazioni dell'estensione dell'app SSO MDM attivano il plug-in. Dopo aver installato l'app Portale aziendale e il profilo di estensione dell'app SSO nei dispositivi, gli utenti accedono con le proprie credenziali e creano una sessione nei dispositivi. Questa sessione viene usata in applicazioni diverse senza richiedere agli utenti di eseguire di nuovo l'autenticazione.

      Per altre informazioni sull'app Portale aziendale, vedere Cosa accade se si installa l'app Portale aziendale e si registra il dispositivo macOS in Intune.

      È anche possibile scaricare l'app Portale aziendale.

    • Reindirizzamento: usare un'estensione dell'app di reindirizzamento generica e personalizzabile per usare l'accesso SSO con i flussi di autenticazione moderni. Assicurarsi di conoscere l'estensione e l'ID del team per l'estensione dell'app dell'organizzazione.

    • Credenziali: usare un'estensione dell'app per le credenziali generica e personalizzabile per usare l'accesso SSO con i flussi di autenticazione challenge-and-response. Assicurarsi di conoscere l'ID estensione e l'ID del team per l'estensione dell'app SSO dell'organizzazione.

    • Kerberos: usare l'estensione Kerberos predefinita di Apple, inclusa in macOS Catalina 10.15 e versioni successive. Questa opzione è una versione specifica di Kerberos dell'estensione dell'app Credential .

    Consiglio

    Con i tipi Redirect e Credential si aggiungono valori di configurazione personalizzati per passare attraverso l'estensione. Se si usano le credenziali, provare a usare le impostazioni di configurazione predefinite fornite da Apple nel tipo Kerberos .

  • ID estensione (Redirect, Credential): immettere l'identificatore del bundle che identifica l'estensione dell'app SSO, ad esempio com.apple.ssoexample.

  • ID team (reindirizzamento, credenziali): immettere l'identificatore del team dell'estensione dell'app SSO. Un identificatore del team è una stringa alfanumerica di 10 caratteri (numeri e lettere) generata da Apple, ad esempio ABCDE12345.

    Individua il tuo ID team (apre il sito Web di Apple) contiene altre informazioni.

  • Area di autenticazione (credenziali, Kerberos): immettere il nome dell'area di autenticazione. Il nome dell'area di autenticazione deve essere in maiuscolo, ad esempio CONTOSO.COM. In genere, il nome dell'area di autenticazione è lo stesso del nome di dominio DNS, ma in tutte le lettere maiuscole.

  • Domini (credenziali, Kerberos): immettere i nomi di dominio o host dei siti che possono eseguire l'autenticazione tramite SSO. Ad esempio, se il sito Web è mysite.contoso.com, mysite è il nome host e .contoso.com è il nome di dominio. Quando gli utenti si connettono a uno di questi siti, l'estensione dell'app gestisce la richiesta di autenticazione. Questa autenticazione consente agli utenti di usare Face ID, Touch ID o apple pincode/passcode per accedere.

    • Tutti i domini nei profili di Intune dell'estensione dell'app Single Sign-On devono essere univoci. Non è possibile ripetere un dominio in alcun profilo di estensione dell'app di accesso, anche se si usano tipi diversi di estensioni dell'app SSO.
    • Questi domini non fanno distinzione tra maiuscole e minuscole.
    • Il dominio deve iniziare con un punto (.).
  • URL (solo reindirizzamento): immettere i prefissi URL dei provider di identità per conto dei quali l'estensione dell'app di reindirizzamento usa l'accesso SSO. Quando gli utenti vengono reindirizzati a questi URL, l'estensione dell'app SSO interviene e richiede l'accesso SSO.

    • Tutti gli URL nei profili di estensione dell'app Single Sign-On di Intune devono essere univoci. Non è possibile ripetere un dominio in alcun profilo di estensione dell'app SSO, anche se si usano tipi diversi di estensioni dell'app SSO.
    • Gli URL devono iniziare con http:// o https://.
  • Configurazione aggiuntiva (ID Microsoft Entra, Reindirizzamento, Credenziali): immettere dati più specifici dell'estensione da passare all'estensione dell'app SSO:

    • Chiave: immettere il nome dell'elemento da aggiungere, ad esempio user name.

    • Tipo: immettere il tipo di dati. Le opzioni disponibili sono:

      • Stringa
      • Boolean: in Valore di configurazione immettere True o False.
      • Integer: in Valore di configurazione immettere un numero.
    • Valore: immettere i dati.

  • Blocca l'utilizzo del keychain (solo Kerberos): impedisce il salvataggio e l'archiviazione delle password nel keychain. Inoltre, agli utenti non viene richiesto di salvare la password e deve immettere di nuovo la password alla scadenza del ticket Kerberos. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire il salvataggio e l'archiviazione delle password nel keychain. Agli utenti non viene richiesto di immettere di nuovo la password alla scadenza del ticket.

  • Richiedi Face ID, Touch ID o passcode (solo Kerberos): impone agli utenti di immettere il proprio Face ID, Touch ID o passcode del dispositivo quando le credenziali sono necessarie per aggiornare il ticket Kerberos. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non richiedere agli utenti di usare la biometria o il passcode del dispositivo per aggiornare il ticket Kerberos. Se l'opzione Blocca utilizzo portachiava è impostata su , questa impostazione non si applica.

  • Imposta come area di autenticazione predefinita (solo Kerberos): scegliere per impostare il valore dell'area di autenticazione immesso come area di autenticazione predefinita. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non impostare un'area di autenticazione predefinita.

    • Se si configurano più estensioni dell'app Kerberos SSO nell'organizzazione, selezionare .
    • Se si usano più aree di autenticazione, selezionare . Imposta il valore realm immesso come area di autenticazione predefinita.
    • Se si ha solo un'area di autenticazione, lasciarla non configurata (impostazione predefinita).
  • Blocca individuazione automatica (solo Kerberos): se impostata su , l'estensione Kerberos non usa automaticamente LDAP e DNS per determinare il nome del sito di Active Directory. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire all'estensione di trovare automaticamente il nome del sito di Active Directory.

  • Consenti solo app gestite (solo Kerberos): se impostata su , l'estensione Kerberos consente solo alle app gestite e alle app immesse con l'ID bundle dell'app di accedere alle credenziali. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire alle app non gestite di accedere alle credenziali.

    Questa funzionalità si applica a:

    • macOS 12 e versioni successive
  • Blocca le modifiche delle password (solo Kerberos): impedisce agli utenti di modificare le password usate per accedere ai domini immessi. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire la modifica della password.

  • Abilita sincronizzazione password locale (solo Kerberos): scegliere per sincronizzare le password locali degli utenti con l'ID Microsoft Entra. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe disabilitare la sincronizzazione delle password con l'ID Microsoft Entra.

    Usare questa impostazione come alternativa o eseguire il backup in SSO. Questa impostazione non funziona se gli utenti hanno eseguito l'accesso con un account Apple per dispositivi mobili.

  • Ritardare l'installazione dell'estensione Kerberos (solo Kerberos): se impostato su , all'utente non viene richiesto di configurare l'estensione Kerberos fino a quando l'estensione non viene abilitata dall'amministratore o non viene ricevuta una richiesta Kerberos. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe richiedere immediatamente all'utente di configurare l'estensione Kerberos.

    Questa funzionalità si applica a:

    • macOS 11 e versioni successive
  • Consenti utilità Kerberos standard (solo Kerberos): se impostata su , l'estensione Kerberos consente alle app immesse con l'ID bundle dell'app, le app gestite e le utilità Kerberos standard, ad esempio TicketViewer e klist, di accedere e usare le credenziali. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non consentire alle app elencate di accedere e usare le credenziali.

    Questa funzionalità si applica a:

    • macOS 12 e versioni successive
  • Richiedi credenziali (solo Kerberos): se impostato su , le credenziali vengono richieste alla successiva verifica Kerberos corrispondente o alla modifica dello stato di rete. Quando le credenziali sono scadute o mancanti, viene creata una nuova credenziale. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non richiedere una nuova credenziale.

    Questa funzionalità si applica a:

    • macOS 12 e versioni successive
  • Richiedi connessioni LDAP per TLS (solo Kerberos): se impostato su , le connessioni LDAP sono necessarie per usare Transport Layer Security (TLS). Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non richiedere connessioni LDAP per l'uso di TLS.

    Questa funzionalità si applica a:

    • macOS 11 e versioni successive
  • Richiedi complessità delle password di Active Directory (solo Kerberos): scegliere per forzare le password utente a soddisfare i requisiti di complessità delle password di Active Directory. Nei dispositivi questa impostazione mostra una finestra popup con caselle di controllo in modo che gli utenti vedano che stanno completando i requisiti della password. Consente agli utenti di sapere cosa devono immettere per la password. Per altre informazioni, vedere Password che deve soddisfare i requisiti di complessità. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non richiedere agli utenti di soddisfare il requisito della password di Active Directory.

  • Lunghezza minima password (solo Kerberos): immettere il numero minimo di caratteri che possono creare le password degli utenti. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non applicare una lunghezza minima della password agli utenti.

  • Limite di riutilizzo delle password (solo Kerberos): immettere il numero di nuove password, da 1 a 24, usate fino a quando non è possibile riutilizzare una password precedente nel dominio. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non applicare un limite di riutilizzo delle password.

  • Età minima della password (giorni) (solo Kerberos): immettere il numero di giorni in cui una password viene usata nel dominio prima che gli utenti possano modificarla. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non applicare una validità minima delle password prima che possano essere modificate.

  • Notifica di scadenza password (giorni) (solo Kerberos): immettere il numero di giorni prima della scadenza di una password in cui gli utenti ricevono una notifica che informa che la password scadrà. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe usare 15 giorni.

  • Scadenza password (giorni) (solo Kerberos): immettere il numero di giorni prima che la password del dispositivo debba cambiare. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe non scadere mai le password.

  • URL di modifica della password (solo Kerberos): immettere l'URL che si apre quando gli utenti avviano una modifica della password Kerberos.

  • Nome utente personalizzato (solo Kerberos): immettere il testo che sostituisce il nome utente visualizzato nell'estensione Kerberos. È possibile immettere un nome corrispondente al nome della società o dell'organizzazione. Ad esempio, è possibile immettere Contoso.

    Questa funzionalità si applica a:

    • macOS 11 e versioni successive
  • Uso dell'estensione Kerberos (solo Kerberos): selezionare il modo in cui altri processi usano le credenziali dell'estensione Kerberos. Le opzioni disponibili sono:

    • Sempre: le credenziali di estensione vengono sempre usate se il nome SPN è elencato in Domini. Non viene usato se l'app chiamante non è elencata negli ID bundle dell'app.
    • Se non specificato: le credenziali di estensione vengono usate solo quando il chiamante non immette un'altra credenziale e il nome SPN è elencato in Domini. Non viene usato se l'app chiamante non è elencata negli ID bundle dell'app.
    • Impostazione predefinita kerberos: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo usa i processi Kerberos predefiniti per la selezione delle credenziali. Questa opzione equivale a non configurare questa impostazione.

    Questa funzionalità si applica a:

    • macOS 11 e versioni successive
  • Nome entità (solo Kerberos): immettere il nome utente dell'entità Kerberos. Non è necessario includere il nome dell'area di autenticazione. Ad esempio, in user@contoso.comè user il nome dell'entità e contoso.com è il nome dell'area di autenticazione.

    • È anche possibile usare le variabili nel nome dell'entità immettendo parentesi {{ }}graffe. Ad esempio, per visualizzare il nome utente, immettere Username: {{username}}.
    • Prestare attenzione alla sostituzione delle variabili perché le variabili non vengono convalidate nell'interfaccia utente e fanno distinzione tra maiuscole e minuscole. Assicurarsi di immettere le informazioni corrette.
  • Codice del sito di Active Directory (solo Kerberos): immettere il nome del sito di Active Directory che deve essere usato dall'estensione Kerberos. Potrebbe non essere necessario modificare questo valore, perché l'estensione Kerberos può trovare automaticamente il codice del sito di Active Directory.

  • Nome cache (solo Kerberos): immettere il nome GSS (Generic Security Services) della cache Kerberos. È molto probabile che non sia necessario impostare questo valore.

  • Testo della finestra di accesso (solo Kerberos): immettere il testo visualizzato agli utenti nella finestra di accesso Kerberos.

    Questa funzionalità si applica a:

    • macOS 11 e versioni successive
  • Messaggio requisiti password (solo Kerberos): immettere una versione testuale dei requisiti della password dell'organizzazione mostrata agli utenti. Il messaggio mostra se non sono necessari i requisiti di complessità delle password di Active Directory o se non si immette una lunghezza minima della password.

    Se impostato su , tutti gli account utente esistenti vengono cancellati dai dispositivi. Per evitare la perdita di dati o impedire un ripristino delle impostazioni predefinite, assicurarsi di comprendere in che modo questa impostazione modifica i dispositivi.

    Per altre informazioni sulla modalità dispositivo condiviso, vedere Panoramica della modalità dispositivo condiviso.

  • ID bundle dell'app (Microsoft Entra ID, Kerberos): immettere gli identificatori del bundle dell'app che devono usare l'accesso Single Sign-On nei dispositivi. A queste app viene concesso l'accesso al ticket di concessione del ticket Kerberos e al ticket di autenticazione. Le app autenticano anche gli utenti ai servizi a cui sono autorizzati ad accedere.

    Per ottenere l'ID bundle di un'app aggiunta a Intune, è possibile usare l'interfaccia di amministrazione di Intune.

  • Mapping dell'area di autenticazione del dominio (solo Kerberos): immettere i suffissi DNS di dominio che devono essere mappati all'area di autenticazione. Usare questa impostazione quando i nomi DNS degli host non corrispondono al nome dell'area di autenticazione. È molto probabile che non sia necessario creare questo mapping personalizzato da dominio a area di autenticazione.

  • Certificato PKINIT (solo Kerberos): selezionare il certificato PKINIT (Public Key Cryptography for Initial Authentication) che può essere usato per l'autenticazione Kerberos. È possibile scegliere tra certificati PKCS o SCEP aggiunti in Intune. Per altre informazioni sui certificati, vedere Usare i certificati per l'autenticazione in Microsoft Intune.

  • KDC preferiti (solo Kerberos): immettere i centri di distribuzione chiavi (KDC) da usare per il traffico Kerberos in ordine di preferenza. Questo elenco viene usato quando i server non sono individuabili tramite DNS. Quando i server sono individuabili, l'elenco viene usato sia per i controlli di connettività che per il traffico Kerberos. Se i server non rispondono, il dispositivo usa l'individuazione DNS.

    Questa funzionalità si applica a:

    • macOS 12 e versioni successive