Guida alla distribuzione: gestire i dispositivi iOS/iPadOS in Microsoft Intune
Intune supporta la gestione di dispositivi mobili (MDM, Mobile Device Management) di iPad e iPhone per offrire agli utenti accesso sicuro a posta elettronica, dati e app aziendali. Questa guida fornisce indicazioni specifiche per iOS che consentono di configurare la registrazione e distribuire app e criteri a utenti e dispositivi.
Prerequisiti
Prima di iniziare, completare questi prerequisiti per abilitare la gestione dei dispositivi iOS/iPadOS in Intune. Per informazioni più dettagliate su come configurare, eseguire l'onboarding o passare a Intune, vedere la guida alla distribuzione della configurazione di Intune.
- Aggiungere utenti e gruppi
- Assegnare licenze agli utenti
- Impostare l'autorità di gestione dei dispositivi mobili
- configurare il certificato push MDM (APN) Apple
Per informazioni sui ruoli e sulle autorizzazioni di Microsoft Intune, vedere Controllo degli accessi in base al ruolo con Microsoft Intune. I ruoli Amministratore globale di Microsoft Entra e Amministratore di Intune hanno diritti completi all'interno di Microsoft Intune. L'amministratore globale dispone di più autorizzazioni del necessario per molte attività di gestione dei dispositivi in Microsoft Intune. È consigliabile usare il ruolo con privilegi minimi necessario per completare le attività. Ad esempio, il ruolo con privilegi minimi che può completare le attività di registrazione dei dispositivi è Policy and Profile Manager, un ruolo predefinito di Intune.
Pianificare la distribuzione
La guida alla pianificazione Microsoft Intune fornisce indicazioni e consigli utili per determinare gli obiettivi, gli scenari dei casi d'uso e i requisiti. Descrive anche come creare piani per implementazione, comunicazione, supporto, test e convalida.
Creare regole di conformità
Usare i criteri di conformità per definire le regole e le condizioni che gli utenti e i dispositivi devono soddisfare per accedere alle risorse protette. Se si usa l'accesso condizionale, i criteri di accesso condizionale possono usare i risultati della conformità del dispositivo per bloccare l'accesso alle risorse dai dispositivi non conformi. Per una spiegazione dettagliata sui criteri di conformità e su come iniziare, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.
| Attività | Dettagli |
|---|---|
| Creare i criteri di conformità | Istruzioni dettagliate su come creare e assegnare criteri di conformità a gruppi di utenti e dispositivi. |
| Aggiungere azioni per la mancata conformità | Scegliere cosa accade quando i dispositivi non soddisfano più le condizioni dei criteri di conformità. È possibile aggiungere azioni per la non conformità quando si configurano un criterio di conformità dei dispositivi o in un secondo momento modificando il criterio. |
| Creare un criterio di accesso condizionale basato su dispositivo o su app | Specificare l'app o i servizi da proteggere e definire le condizioni per l'accesso. |
| Bloccare l'accesso alle app che non usano l'autenticazione moderna | Creare criteri di accesso condizionale basati su app per bloccare le app che usano metodi di autenticazione diversi da OAuth2, ad esempio le app che usano l'autenticazione di base e basata su modulo. Prima di bloccare l'accesso, tuttavia, accedere a Microsoft Entra ID ed esaminare il report attività sui metodi di autenticazione per verificare se gli utenti usano l'autenticazione di base per accedere agli elementi essenziali di cui si è dimenticato o che non sono a conoscenza. Ad esempio, elementi come i chioschi del calendario della sala riunioni usano l'autenticazione di base. |
Configurare la sicurezza degli endpoint
Usare le funzionalità di sicurezza degli endpoint di Intune per configurare la sicurezza dei dispositivi e gestire le attività di sicurezza per i dispositivi a rischio.
| Attività | Dettagli |
|---|---|
| Gestire i dispositivi con le funzionalità di sicurezza degli endpoint | Usare le impostazioni di sicurezza degli endpoint in Intune per gestire in modo efficace la sicurezza dei dispositivi e correggere i problemi per i dispositivi. |
| abilitare il connettore MTD (Mobile Threat Defense) per i dispositivi non registrati | Abilitare la connessione MTD in Intune in modo che le app dei partner MTD possano usare Intune e i criteri. Se non si usa Microsoft Defender per endpoint, è consigliabile abilitare il connettore in modo da poter usare un'altra soluzione mobile di difesa dalle minacce. |
| Creare criterio di protezione delle app MTD | Creare criteri di protezione delle app di Intune che valutano i rischi e limitano l'accesso aziendale di un dispositivo in base al livello di minaccia. |
| Aggiungere app MTD ai dispositivi non registrati | Rendere disponibili le app MTD agli utenti dell'organizzazione e configurare Microsoft Authenticator per iOS/iPadOS. |
| Usare Accesso condizionale per limitare l'accesso a Microsoft Tunnel | Usare i criteri di accesso condizionale per controllare l'accesso del dispositivo al gateway VPN di Microsoft Tunnel. |
Configurare le impostazioni del dispositivo
Usare Microsoft Intune per abilitare o disabilitare le impostazioni e le funzionalità nei dispositivi iOS/iPadOS. Per configurare e applicare queste impostazioni, creare un profilo di configurazione del dispositivo e quindi assegnare il profilo ai gruppi dell'organizzazione. I dispositivi ricevono il profilo dopo la registrazione.
| Attività | Dettagli |
|---|---|
| Creare un profilo di dispositivo in Microsoft Intune | Informazioni sui diversi tipi di profili di dispositivo che è possibile creare per l'organizzazione. |
| Configurare le funzionalità del dispositivo | Configurare caratteristiche e funzionalità comuni di iOS/iPadOS per un contesto aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle funzionalità del dispositivo . |
| Configurare il profilo Wi-Fi | Questo profilo consente alle persone di trovare e connettersi alla rete Wi-Fi dell'organizzazione. Per una descrizione delle impostazioni in quest'area, vedi la guida di riferimento alle impostazioni Wi-Fi. |
| Configurare il profilo VPN | Configurare un'opzione VPN sicura, ad esempio Microsoft Tunnel, per le persone che si connettono alla rete dell'organizzazione. È anche possibile creare un criterio VPN per app per richiedere agli utenti di accedere a determinate app tramite una connessione VPN. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni VPN. |
| Configurare il profilo di posta elettronica | Configurare le impostazioni di posta elettronica in modo che gli utenti possano connettersi a un server di posta elettronica e accedere alla posta elettronica aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni di posta elettronica. |
| Limitare le funzionalità del dispositivo | Proteggi gli utenti da accessi non autorizzati e distrazioni limitando le funzionalità dei dispositivi che possono usare al lavoro o a scuola. Per una descrizione delle impostazioni in quest'area, vedi il riferimento alle restrizioni del dispositivo. |
| Configurare profili personalizzati | Aggiungere e assegnare le impostazioni e le funzionalità del dispositivo che non sono integrate in Intune. |
| Personalizzare l'esperienza di personalizzazione e registrazione | Personalizza l'esperienza dell'app Portale aziendale Intune e Microsoft Intune con le parole, la personalizzazione, le preferenze dello schermo e le informazioni di contatto dell'organizzazione. |
| Configurare i criteri di aggiornamento software | Pianificare gli aggiornamenti automatici del sistema operativo e le installazioni per i dispositivi iOS/iPadOS con supervisione. |
Configurare metodi di autenticazione sicuri
Configurare i metodi di autenticazione in Intune per assicurarsi che solo gli utenti autorizzati accedano alle risorse interne. Intune supporta l'autenticazione a più fattori, i certificati e le credenziali derivate. I certificati possono essere usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.
| Attività | Dettagli |
|---|---|
| Richiedere l'autenticazione a più fattori (MFA) | Richiedere agli utenti di fornire due forme di credenziali al momento della registrazione. |
| Creare un profilo certificato attendibile | Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. Il profilo certificato attendibile distribuisce il certificato radice attendibile ai dispositivi e agli utenti usando certificati importati SCEP, PKCS e PKCS. |
| usare certificati SCEP con in Intune | Informazioni su cosa è necessario per usare i certificati SCEP con Intune e configurare l'infrastruttura necessaria. Successivamente, è possibile creare un profilo certificato SCEP o configurare un'autorità di certificazione di terze parti con SCEP. |
| Usare certificati PKCS con Intune | Configurare l'infrastruttura necessaria (ad esempio i connettori di certificato locali), esportare un certificato PKCS e aggiungere il certificato a un profilo di configurazione del dispositivo Intune. |
| Usare i certificati PKCS importati con Intune | Configurare i certificati PKCS importati, che consentono di configurare e usare S/MIME per crittografare la posta elettronica. |
| Configurare un’emittente di credenziali derivate | Effettuare il provisioning di dispositivi iOS/iPadOS con certificati derivati dalle smart card utente. |
Distribuire le app
Quando si configurano le app e i criteri delle app, considerare i requisiti dell'organizzazione, ad esempio le piattaforme che supporterai, le attività che gli utenti devono eseguire, il tipo di app necessario per completare tali attività e infine i gruppi che necessitano di tali app. È possibile usare Intune per gestire l'intero dispositivo (incluse le app) o usare Intune solo per gestire le app.
| Attività | Dettagli |
|---|---|
| Aggiungere app dello Store | Aggiungere app iOS/iPadOS dal App Store a Intune e assegnarle ai gruppi. |
| Aggiungere app Web | Aggiungere app Web a Intune e assegnarle ai gruppi. |
| Aggiungere app predefinite | Aggiungere app predefinite a Intune e assegnarle ai gruppi. |
| Aggiungere app line-of-business | Aggiungere app line-of-business (LOB) iOS/iPadOS a Intune e assegnarle ai gruppi. |
| Assegnare app ai gruppi | Assegnare app a utenti e dispositivi. |
| Includere ed escludere assegnazioni di app | Controllare l'accesso e la disponibilità a un'app includendo ed escludendo i gruppi selezionati dall'assegnazione. |
| Gestire le app iOS/iPadOS acquistate tramite Apple Business Manager | Sincronizzare, gestire e assegnare le app acquistate tramite Apple Business Manager. |
| Gestire eBook iOS/iPadOS acquistati tramite Apple Business Manager | Sincronizzare, gestire e assegnare i libri acquistati tramite Apple Business Manager. |
| Creare criterio di protezione delle app iOS/iPadOS | Mantenere i dati dell'organizzazione contenuti all'interno di app gestite come Outlook e Word. Per informazioni dettagliate su ogni impostazione, vedere impostazioni dei criteri di protezione delle app iOS/iPadOS. |
| Creare un profilo di provisioning dell'app | Impedire la scadenza dei certificati delle app assegnando in modo proattivo nuovi profili di provisioning ai dispositivi con app prossime alla scadenza. |
| Creare criteri di configurazione delle app | Applicare le impostazioni di configurazione personalizzate alle app iOS/iPadOS nei dispositivi registrati. È anche possibile applicare questi tipi di criteri alle app gestite senza registrazione del dispositivo. |
| Configurare Microsoft Edge | Usare i criteri di protezione e di configurazione delle app di Intune con Microsoft Edge per iOS/iPadOS per garantire che l'accesso ai siti Web aziendali venga eseguito con misure di sicurezza applicate. |
| Configurare le app Microsoft Office | Usare i criteri di configurazione e di protezione delle app di Intune con le app di Office per garantire l'accesso ai file aziendali con misure di sicurezza. |
| Configurare Microsoft Teams | Usare i criteri di configurazione e protezione delle app di Intune con Teams per garantire l'accesso alle esperienze del team di collaborazione con misure di sicurezza. |
| Configurare Microsoft Outlook | Usare i criteri di configurazione e protezione delle app di Intune con Outlook per garantire l'accesso alla posta elettronica e ai calendari aziendali con misure di sicurezza. |
Registrare i dispositivi
La registrazione dei dispositivi consente loro di ricevere i criteri creati, in modo che i gruppi di utenti e i gruppi di dispositivi di Microsoft Entra siano pronti.
Per informazioni su ogni metodo di registrazione e su come sceglierne uno adatto all'organizzazione, vedere la guida alla registrazione dei dispositivi iOS/iPadOS per Microsoft Intune.
| Attività | Dettagli |
|---|---|
| Configurare la registrazione automatica dei dispositivi (ADE) di Apple in Intune | Configurare un'esperienza di registrazione predefinita per i dispositivi di proprietà dell'azienda acquistati tramite Apple School Manager o Apple Business Manager. Per una procedura dettagliata di questo processo, vedere Esercitazione: Usare le funzionalità Corporate Device Enrollment di Apple in Apple Business Manager (ABM) per registrare i dispositivi iOS/iPadOS |
| Configurare Apple School Manager in Intune | Configurare Intune per registrare i dispositivi acquistati tramite il programma Apple School Manager. |
| Configurare la registrazione di dispositivi iOS con Apple Configurator | Creare un profilo di Apple Configurator per registrare i dispositivi di proprietà dell'azienda (senza affinità utente) tramite la registrazione diretta; o per registrare dispositivi cancellati o nuovi (con affinità utente) tramite Assistente configurazione. Sarà necessario esportare il profilo di Apple Configurator da Intune, che richiede una connessione USB a un computer Mac che esegue Apple Configurator. |
| Identificare i dispositivi di proprietà dell'azienda | Assegnare lo stato di proprietà dell'azienda ai dispositivi per abilitare più funzionalità di gestione e identificazione in Intune. Lo stato di proprietà dell'azienda non può essere assegnato ai dispositivi registrati tramite Apple Business Manager. |
| Configurare la registrazione utente apple | Creare un profilo di registrazione utente per distribuire l'esperienza di registrazione utente Apple ai dispositivi usando un ID Apple gestito. |
| Configurare dispositivi iPad condivisi | Configurare i dispositivi in modo che possano essere usati da più persone (il tipo di configurazione visualizzato in una raccolta o in un ambiente didattico). |
| Dispositivi di backup e ripristino | Eseguire il backup e il ripristino di un dispositivo per prepararlo per la registrazione o la migrazione in Intune, ad esempio durante la configurazione della registrazione automatica dei dispositivi. |
| Modificare la proprietà del dispositivo | Dopo aver registrato un dispositivo, è possibile modificarne l'etichetta di proprietà in Intune in proprietà aziendale o personale. Questa modifica il modo in cui è possibile gestire il dispositivo. |
| Risolvere i problemi di registrazione | Risolvere e trovare le soluzioni ai problemi che si verificano durante la registrazione. |
Eseguire azioni remote
Dopo aver configurato i dispositivi, è possibile usare le azioni remote in Intune per gestire e risolvere i problemi dei dispositivi a distanza. La disponibilità varia in base alla piattaforma del dispositivo. Se un'azione è assente o disabilitata nel portale, non è supportata nel dispositivo.
| Attività | Dettagli |
|---|---|
| Eseguire un'azione remota nei dispositivi | Informazioni su come eseguire il drill-down e gestire e risolvere i problemi dei singoli dispositivi in Intune in remoto. Questo articolo elenca tutte le azioni remote disponibili in Intune e i collegamenti a tali procedure. |
| Usare TeamViewer per gestire da remoto i dispositivi Intune | Configurare TeamViewer in Intune e informazioni su come amministrare in remoto un dispositivo. |
| Correggere le vulnerabilità identificate da Microsoft Defender per endpoint | Integrare Intune con Microsoft Defender per endpoint per sfruttare la gestione delle minacce e delle vulnerabilità di Defender per endpoint e usare Intune per correggere le vulnerabilità degli endpoint identificate dalla funzionalità di gestione delle vulnerabilità di Defender. |
Passaggi successivi
Vedere queste esercitazioni sulla registrazione per informazioni su come eseguire alcune delle attività principali in Intune. Le esercitazioni sono un contenuto di 100 – 200 livelli per gli utenti che non hanno esperienza in Intune o uno scenario specifico.
- Esplorare l'interfaccia di amministrazione di Intune
- Usare le funzionalità Corporate Device Enrollment di Apple in Apple Business Manager (ABM) per registrare i dispositivi iOS/iPadOS in Intune
- Proteggere la posta elettronica di Exchange Online nei dispositivi gestiti
- Proteggere la posta elettronica di Exchange Online nei dispositivi non gestiti
- Configurare Slack per l'uso di Intune per EMM e la configurazione delle app
Per la versione Android di questa guida, vedere Guida alla distribuzione: gestire i dispositivi Android in Microsoft Intune.