Condividi tramite


Configurare la registrazione utente Apple guidata dall'account

Configurare la registrazione utente Apple guidata dall'account per i dispositivi personali registrati in Microsoft Intune. La registrazione degli utenti basata su account offre un'esperienza di registrazione più veloce e intuitiva rispetto alla registrazione utente con Portale aziendale. L'utente del dispositivo avvia la registrazione accedendo al proprio account aziendale nell'app Impostazioni. Dopo che l'utente approva la gestione dei dispositivi, il profilo di registrazione installa in modo invisibile all'utente e Intune criteri vengono applicati. Intune usa la registrazione JIT e l'app Microsoft Authenticator per l'autenticazione per ridurre il numero di volte in cui gli utenti devono accedere durante la registrazione e quando accedono alle app di lavoro.

Questo articolo descrive come configurare la registrazione utente Apple guidata dall'account in Microsoft Intune. Sarà necessario:

  • Configurare la registrazione JIT.
  • Creare un profilo di registrazione.
  • Preparare i dipendenti e gli studenti per l'iscrizione.

Prerequisiti

Microsoft Intune supporta la registrazione utente Apple basata su account nei dispositivi che eseguono iOS/iPadOS versione 15 o successiva. Se si assegna un profilo di registrazione utente basato su account agli utenti del dispositivo che eseguono iOS/iPadOS 14.9 o versioni precedenti, Microsoft Intune li registrerà automaticamente tramite la registrazione utente con Portale aziendale.

Prima di iniziare l'installazione, completare le attività seguenti:

È anche necessario configurare l'individuazione del servizio in modo che Apple possa raggiungere il servizio Intune e recuperare le informazioni di registrazione. A tale scopo, configurare e pubblicare un file di risorse HTTP noto nello stesso dominio a cui i dipendenti accedono. Apple recupera il file tramite una richiesta HTTP GET a “https://contoso.com/.well-known/com.apple.remotemanagement”, con il dominio dell'organizzazione al posto di contoso.com. Pubblicare il file in un dominio in grado di gestire le richieste HTTP GET.

Creare il file in formato JSON, con il tipo di contenuto impostato su application/json. Sono stati forniti gli esempi JSON seguenti che è possibile copiare e incollare nel file. Usare quello allineato all'ambiente. Sostituire la variabile YourAADTenantID nell'URL di base con l'ID tenant Microsoft Entra dell'organizzazione.

ambienti Microsoft Intune:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune per gli ambienti us government:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune gestito da 21 Vianet negli ambienti cinesi:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Il resto dell'esempio JSON viene popolato con tutte le informazioni necessarie, tra cui:

  • Versione: la versione del server è mdm-byod.
  • BaseURL: questo URL è il percorso in cui risiede il servizio Intune.

Procedure consigliate

È consigliabile usare configurazioni aggiuntive per migliorare l'esperienza di registrazione per gli utenti del dispositivo. In questa sezione vengono fornite altre informazioni su ogni raccomandazione.

Distribuire Portale aziendale'app Web

Distribuire la versione dell'app Web del sito Web Portale aziendale Intune in modo che gli utenti abbiano accesso rapido allo stato del dispositivo, alle azioni del dispositivo e alle informazioni sulla conformità. L'app Web viene visualizzata nella schermata iniziale e funziona come collegamento al sito Web Portale aziendale. Senza l'app Web, gli utenti dei dispositivi possono comunque accedere al sito Web Portale aziendale, ma devono aprire il browser e digitare l'indirizzo nel campo di ricerca. Per altre informazioni su come aggiungere un'app Web, vedere Aggiungere app Web a Microsoft Intune.

Abilitare l'autenticazione federata

Registrazione utenti Apple richiede di creare e fornire ID Apple gestiti per la registrazione degli utenti. Se si abilita l'autenticazione federata, che consiste nel collegare Apple Business Manager a Microsoft Entra ID, non è necessario creare e fornire ID Apple univoci a ogni utente. Un utente del dispositivo può invece accedere alle proprie app con le stesse credenziali usate per il proprio account aziendale. Per altre informazioni, vedere Introduzione all'autenticazione federata con Apple Business Manager nella Guida dell'utente di Apple Business Manager.

Passaggio 1: Configurare la registrazione just-in-time e assegnare Microsoft Authenticator

Configurare la registrazione ji-in-time e assegnare Microsoft Authenticator come app obbligatoria. Per i passaggi, vedere Configurare la registrazione JIT in Intune. Tornare a questo articolo al termine, in modo da poter continuare con il passaggio successivo.

Passaggio 2: Creare un profilo di registrazione

Creare un profilo di registrazione per i dispositivi registrati tramite la registrazione utente guidata dall'account. Il profilo di registrazione attiva l'esperienza di registrazione dell'utente del dispositivo e consente di avviare la registrazione dall'app Impostazioni.

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Registrazione dispositivi>.
  2. Selezionare la scheda Apple .
  3. In Opzioni di registrazione scegliere Tipi di registrazione.
  4. Selezionare Crea profilo>iOS/iPadOS.
  5. Nella pagina Informazioni di base immettere un nome e una descrizione per il profilo in modo che sia possibile distinguerlo dagli altri profili nell'interfaccia di amministrazione. Gli utenti del dispositivo non visualizzano questi dettagli.
  6. Seleziona Avanti.
  7. Nella pagina Impostazioni selezionare Registrazione utente guidata dall'account per Tipo di registrazione.
  8. Seleziona Avanti.
  9. Nella pagina Assegnazioni assegnare il profilo a tutti gli utenti o selezionare gruppi specifici. I gruppi di dispositivi non sono supportati negli scenari di registrazione utente perché la registrazione utente richiede identità utente.
  10. Seleziona Avanti.
  11. Nella pagina Rivedi e crea esaminare le scelte e quindi selezionare Crea per completare la creazione del profilo.

Passaggio 3: Preparare i dipendenti per l'iscrizione

Per avviare la registrazione del dispositivo in un dispositivo personale, il proprietario del dispositivo deve passare all'app Impostazioni e accedere con il proprio account aziendale o dell'istituto di istruzione. Se tentano di accedere a un'app con il proprio account aziendale o dell'istituto di istruzione, l'app li avvisa del requisito di registrazione e indica loro come procedere.

Questa sezione descrive i passaggi di registrazione per gli utenti del dispositivo. È consigliabile usare queste informazioni nella documentazione di onboarding dei dispositivi dell'organizzazione o per la risoluzione dei problemi e il supporto.

  1. Aprire l'app Impostazioni nel dispositivo.
  2. Selezionare Generale.
  3. Selezionare & GESTIONE DISPOSITIVI VPN.
  4. Accedere con l'account aziendale o dell'istituto di istruzione o con l'ID Apple fornito dall'organizzazione.
  5. Selezionare Accedi a iCloud.
  6. Immettere la password per il nome utente visualizzato sullo schermo. Selezionare quindi Continua.
  7. Selezionare Consenti gestione remota.
  8. Attendere alcuni minuti durante la configurazione del dispositivo e l'installazione del profilo di gestione.
  9. Per verificare che il dispositivo sia pronto per l'uso, passare a VPN & Gestione dispositivi. Verificare che l'account aziendale sia elencato in ACCOUNT GESTITO.
  10. Microsoft Authenticator è necessario per accedere alle app di lavoro. Attendere alcuni minuti dopo la registrazione per l'installazione di Authenticator nel dispositivo. Se si tenta di accedere a un'app di lavoro senza Authenticator, viene visualizzato un messaggio di errore.
  11. Potrebbero essere visualizzate altre richieste che richiedono l'approvazione per installare le app di lavoro. Selezionare Installa per approvare l'installazione.

Priorità del profilo

Intune applica i profili di registrazione nell'ordine in cui li si assegna la priorità. Per modificare l'ordine in cui vengono applicati:

  1. Indietro ai tipi di registrazione per visualizzare i profili.
  2. Trascinare e rilasciare i profili nell'elenco per riordinarne la priorità.

Se si verifica un conflitto perché a un utente sono assegnati più profili, Intune applica il profilo con la priorità più alta.

Rimozione del dispositivo dalla gestione

Il volume e le chiavi di crittografia create per gestire i dati di lavoro nel dispositivo vengono cancellati quando il dispositivo annulla la registrazione da Intune.

Problemi noti

Questa sezione descrive i problemi noti correnti relativi alla registrazione e alla Microsoft Intune degli utenti Apple basati sull'account.

La registrazione non riesce a causa dell'applicazione SSO di registrazione

Se l'app Microsoft Authenticator si trova nel dispositivo prima dell'inizio della registrazione, la registrazione avrà esito negativo quando l'utente del dispositivo prova ad accedere con il proprio account aziendale o dell'istituto di istruzione nell'app Impostazioni. Il messaggio ricevuto indica:

  • Titolo: Accesso non riuscito
  • Descrizione: l'applicazione SSO di registrazione è stata installata nel dispositivo.

Per risolvere questo problema, l'utente del dispositivo deve disinstallare l'app Microsoft Authenticator e riavviare la registrazione.

Passaggi successivi