Metodi di autenticazione per la registrazione automatica dei dispositivi in Intune

Si applica a iOS/iPadOS

Questo articolo descrive i metodi di autenticazione disponibili per i dispositivi iOS/iPadOS registrati in Intune tramite la registrazione automatica dei dispositivi. I metodi di autenticazione disponibili includono:

• Portale aziendale Intune app
• Assistente configurazione con autenticazione moderna
• Registrazione JIT (Just in Time) per Setup Assistant con l'autenticazione moderna
• Assistente configurazione (legacy)

Tutti i metodi sono disponibili per i dispositivi di proprietà dell'azienda con affinità utente e acquistati tramite Apple Business Manager o Apple School Manager.

Opzione 1: Portale aziendale Intune app

Usare l'app Portale aziendale Intune come metodo di autenticazione se si vuole:

• Usare l'autenticazione a più fattori (MFA).
• Richiedere agli utenti di modificare le password al primo accesso.
• Richiedere agli utenti di reimpostare le password scadute durante la registrazione.
• Registrare i dispositivi in Microsoft Entra ID e usare le funzionalità disponibili con Microsoft Entra ID, ad esempio l'accesso condizionale.
• Installare automaticamente l'app Portale aziendale durante la registrazione. Se l'azienda usa il Volume Purchase Program (VPP), è possibile installare automaticamente Portale aziendale'app durante la registrazione senza ID Apple utente.
• Si vuole bloccare il dispositivo fino all'installazione dell'app Portale aziendale.

Attenzione

Intune bloccherà una registrazione che usa questo metodo di autenticazione se l'utente del dispositivo è destinato a un tipo di profilo di registrazione utente Apple basato su account. Questo comportamento è previsto. L'utente riceve un messaggio di errore che indica che l'account non supporta la registrazione tramite l'app Portale aziendale e che deve eseguire la registrazione tramite il sito Web Portale aziendale. Per garantire l'esito positivo delle registrazioni tramite la registrazione automatica dei dispositivi, usare Opzione 2: Assistente configurazione con l'autenticazione moderna come metodo di autenticazione quando si usano i tipi di profilo di registrazione utente Apple basati sull'account.

Opzione 2: Assistente configurazione con autenticazione moderna

Questa opzione offre la stessa sicurezza dell'autenticazione Portale aziendale Intune, ma è diversa perché consente all'utente del dispositivo di accedere a parti del dispositivo anche se il Portale aziendale non è stato installato. Usare questa opzione per l'autenticazione quando si vuole:

• Cancellare il dispositivo.
• Usare l'autenticazione a più fattori (MFA).
• Richiedere agli utenti di modificare le password al primo accesso.
• Richiedere agli utenti di reimpostare le password scadute durante la registrazione.
• Registrare i dispositivi in Microsoft Entra ID e usare le funzionalità disponibili con Microsoft Entra ID, ad esempio l'accesso condizionale.
• Installare automaticamente l'app Portale aziendale durante la registrazione. Se l'azienda usa il Volume Purchase Program (VPP), è possibile installare automaticamente Portale aziendale'app durante la registrazione senza ID Apple utente.
• Consenti agli utenti di usare il dispositivo anche quando l'app Portale aziendale non è installata.

Assistente configurazione con autenticazione moderna è supportato nei dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive. I dispositivi iOS/iPadOS meno recenti a cui viene assegnato questo tipo di profilo rientreranno nell'autenticazione di Assistente configurazione (legacy).

Installare automaticamente Portale aziendale'app

Se l'azienda usa il Volume Purchase Program (VPP), è possibile installare automaticamente l'app Portale aziendale durante la registrazione senza ID Apple utente. Per abilitare l'installazione automatica nel profilo di registrazione, selezionare Sì per Installa Portale aziendale con VPP. È consigliabile usare questa opzione.

Se non si usa l'opzione VPP, l'utente del dispositivo deve immettere il proprio ID Apple durante l'Installazione guidata o quando Intune tenta di installare Portale aziendale.

In entrambi gli scenari, l'opzione di installazione Portale aziendale è nascosta all'utente del dispositivo e il Portale aziendale diventa un'app obbligatoria nel dispositivo. Quando l'utente raggiunge la schermata iniziale, Intune applica automaticamente i criteri di configurazione dell'app corretti al dispositivo.

Attenzione

Non inviare un criterio di configurazione dell'app separato al Portale aziendale per i dispositivi iOS/iPadOS dopo la registrazione con Assistente configurazione con l'autenticazione moderna. In questo modo si verificherà un errore.

Autenticazione a più fattori

L'autenticazione a più fattori (MFA) sarà necessaria se un criterio di accesso condizionale che lo richiede viene applicato durante la registrazione o durante Portale aziendale'accesso. Tuttavia, l'autenticazione a più fattori è facoltativa, in base alle impostazioni di Microsoft Entra nei criteri di accesso condizionale di destinazione.

L'autenticazione a più fattori non funziona per Setup Assistant con l'autenticazione moderna se si usa un provider MFA di terze parti per presentare la schermata MFA durante la registrazione. Durante la registrazione funziona solo la schermata di autenticazione a più fattori Microsoft Entra.

Portale aziendale azione necessaria

Dopo aver esaminato le schermate di Assistente configurazione, l'utente del dispositivo accede alla home page. A questo punto, viene stabilita l'affinità utente. Tuttavia, fino a quando l'utente non accede al Portale aziendale usando le credenziali Microsoft Entra e seleziona Inizia, il dispositivo:

• Non verrà registrata completamente con Microsoft Entra ID.
• Non verrà visualizzato nell'elenco dei dispositivi dell'utente in Microsoft Entra ID.
• Non avrà accesso alle risorse protette dall'accesso condizionale.
• Non sarà valutato per la conformità dei dispositivi.
• Verrà reindirizzato al Portale aziendale da altre app se l'utente tenta di aprire le applicazioni gestite che risultano protette dall'accesso condizionale.

Opzione 3: Registrazione just-in-time per Setup Assistant con l'autenticazione moderna

Questa opzione è identica a Assistente configurazione con autenticazione moderna, ad eccezione del fatto che non è necessario Portale aziendale per la registrazione o la conformità Microsoft Entra. Al contrario, Microsoft Entra controlli di registrazione e conformità sono completamente integrati in un'app Microsoft o non Microsoft designata configurata con l'estensione dell'app Apple Single Sign-On (SSO). L'estensione riduce le richieste di autenticazione e stabilisce l'accesso SSO nell'intero dispositivo. Registrazione JIT richiede agli utenti di eseguire l'autenticazione due volte:

• Un'autenticazione gestisce la registrazione e l'affinità utente-dispositivo e si verifica quando l'utente del dispositivo attiva il dispositivo e accede a Assistente configurazione.
• Un'altra autenticazione gestisce Microsoft Entra registrazione e si verifica quando l'utente accede all'app designata. I controlli di conformità vengono eseguiti anche in questa app.

Nota

Se l'organizzazione usa Microsoft Defender per endpoint, affinché la registrazione JIT e la correzione della conformità funzionino come previsto, assicurarsi che l'app Microsoft Defender per endpoint non sia la prima app aperta dagli utenti.

Quando l'utente del dispositivo raggiunge la schermata iniziale, può accedere a qualsiasi app aziendale o dell'istituto di istruzione configurata con l'estensione SSO per completare Microsoft Entra i controlli di registrazione e conformità. L'accesso SSO consente all'utente di accedere a tutte le app che fanno parte dei criteri di estensione SSO. A quel punto, possono anche accedere manualmente a qualsiasi app non configurata per l'uso dell'estensione SSO.

Per configurare la registrazione JIT con la registrazione automatica dei dispositivi:

1. Creare un criterio di configurazione del dispositivo e configurare le impostazioni nella categoria di estensione dell'app Single Sign-On . Per i passaggi, vedere Configurare la registrazione just-in-time.

2. Creare un profilo di registrazione Apple e selezionare Assistente configurazione con autenticazione moderna come metodo di autenticazione. Per completare questo passaggio, è necessario che in Intune sia presente un token di registrazione automatica dei dispositivi attivo di Apple Business Manager o Apple School Manager.

3. Quando si arriva alla pagina Assegnazioni nel profilo di registrazione, assegnare il profilo ai dispositivi sincronizzati da Apple Business Manager e Apple School Manager. Dopo aver assegnato il profilo, i dipendenti e gli studenti possono completare la configurazione e l'autenticazione nei propri dispositivi.

   Nota

   Il Portale aziendale viene comunque inviato ai dispositivi come app obbligatoria, anche se non è necessario per la registrazione o la conformità Microsoft Entra. Gli utenti del dispositivo possono usare l'app Portale aziendale per raccogliere e caricare i log in caso di problemi nell'app.

Esempio di autenticazione riuscita

La sequenza di eventi seguente descrive un esempio dell'aspetto di un'autenticazione riuscita con REGISTRAZIONE JIT per Assistente configurazione con l'autenticazione moderna. L'esperienza dell'organizzazione può essere diversa a seconda delle configurazioni di registrazione automatica dei dispositivi.

1. L'utente del dispositivo attiva il dispositivo.

2. L'Assistente configurazione inizia. L'utente del dispositivo esegue l'autenticazione con le credenziali di Microsoft Entra in Assistente configurazione.

3. L'utente del dispositivo completa l'autenticazione a più fattori se è necessaria nei criteri di accesso condizionale.

4. Il dispositivo termina la registrazione in Intune e viene stabilita l'affinità utente-dispositivo.

5. L'utente del dispositivo viene visualizzato nella schermata iniziale e apre Microsoft Teams o un'altra app di Office e accede con il proprio account aziendale. Se il dispositivo soddisfa tutti i requisiti di conformità, l'utente del dispositivo avrà immediatamente accesso ai messaggi e al calendario.

   Nota

   Durante Microsoft Entra registrazione, l'utente del dispositivo potrebbe visualizzare un breve spinner mentre Intune completa i controlli di conformità. Si tratta di un comportamento previsto.

6. L'estensione SSO stabilisce l'accesso Single Sign-On in tutte le altre app di destinazione e in tutte le app Microsoft.

7. Il dispositivo è registrato con Microsoft Entra ID e conforme. È possibile visualizzare lo stato del dispositivo nell'interfaccia di amministrazione e Microsoft Entra ID. L'utente del dispositivo può visualizzare lo stato in Portale aziendale Intune e usare Portale aziendale per la conformità, l'inventario delle app, le sincronizzazioni dei dispositivi e la condivisione dei log.

8. L'utente del dispositivo apre Teams e viene eseguito automaticamente l'accesso.

Opzione 4: Assistente configurazione (legacy)

Usare l'Assistente configurazione legacy se si vuole che gli utenti sperimentino la tipica esperienza predefinita per i prodotti Apple. Questa opzione installa le impostazioni preconfigurate standard quando il dispositivo si registra in Intune. Usare questa opzione per l'autenticazione quando:

• Si vuole cancellare un dispositivo.
• Non si vogliono funzionalità di autenticazione moderne, ad esempio l'autenticazione a più fattori.
• Non si vuole registrare i dispositivi in Microsoft Entra ID. Assistente configurazione (legacy) autentica l'utente con il token Apple p7m.

Quando si utilizza Active Directory Federation Services e si usa l’Assistente installazione per l'autenticazione è richiesto un nome utente/endpoint misto WS-Trust 1.3. Per altre informazioni, vedere Get-AdfsEndpoint nella guida di riferimento Windows PowerShell.

Passaggi successivi

Ora che si conosce il metodo di autenticazione in uso, creare un profilo di registrazione Apple e selezionare il metodo di autenticazione quando richiesto. Per completare questo passaggio, è necessario che in Intune sia presente un token di registrazione automatica dei dispositivi attivo di Apple Business Manager o Apple School Manager.