Guida alla registrazione: Registrare dispositivi iOS e iPadOS in Microsoft Intune
I dispositivi personali e di proprietà dell'organizzazione possono essere registrati in Intune. Una volta registrati, ricevono i criteri e i profili creati. Durante la registrazione dei dispositivi iOS/iPadOS sono disponibili le opzioni seguenti:
- Registrazione automatica dei dispositivi (ADE)
- Configuratore Apple
- BYOD: Registrazione di utenti e dispositivi
Questo articolo fornisce raccomandazioni per la registrazione e include una panoramica delle attività dell'amministratore e dell'utente per ogni opzione iOS/iPadOS.
È anche disponibile una guida visiva delle diverse opzioni di registrazione per ogni piattaforma:
Scaricare la versione | PDFScaricare la versione di Visio
Consiglio
Questa guida è una cosa vivente. Assicurarsi quindi di aggiungere o aggiornare suggerimenti e indicazioni esistenti che sono stati trovati utili.
Prima di iniziare
Per tutti i prerequisiti e le configurazioni specifici Intune necessari per preparare il tenant per la registrazione, vedere Guida alla registrazione: Microsoft Intune registrazione.
Registrazione automatica dei dispositivi (ADE) (con supervisione)
Precedentemente denominato Apple Device Enrollment Program (DEP). Usare nei dispositivi di proprietà dell'organizzazione. Questa opzione configura le impostazioni usando Apple Business Manager (ABM) o Apple School Manager (ASM). Registra un numero elevato di dispositivi, senza che tu abbia mai toccato i dispositivi. Questi dispositivi vengono acquistati da Apple, hanno le impostazioni preconfigurate e possono essere spediti direttamente agli utenti o alle scuole. È possibile creare un profilo di registrazione nell'interfaccia di amministrazione Intune ed eseguire il push di questo profilo nei dispositivi.
Per informazioni più specifiche su questo tipo di registrazione, vedere:
- Registrazione di Apple Business Manager
- Registrazione a Apple School Manager: per altre informazioni su Apple School Manager, passare ad Apple Education (apre il sito Web di Apple).
Funzionalità | Usare questa opzione di registrazione quando |
---|---|
Si vuole la modalità di supervisione. | ✅ La modalità supervisionata distribuisce gli aggiornamenti software, limita le funzionalità, consente e blocca le app e altro ancora. |
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. | ✅ |
Sono disponibili nuovi dispositivi. | ✅ |
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). | ✅ |
I dispositivi sono associati a un singolo utente. | ✅ |
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. | ✅ |
I dispositivi sono personali o BYOD. | ❌ Consigliamo di non farlo. Le applicazioni nei dispositivi BYOD o personali possono essere gestite tramite MAM (apre un altro articolo Microsoft) o la registrazione di utenti e dispositivi (in questo articolo). |
Si dispone di dispositivi esistenti. | ❌ I dispositivi esistenti devono essere registrati con Apple Configurator (in questo articolo). |
I dispositivi sono gestiti da un altro provider MDM. | ❌ Per essere completamente gestiti da Intune, gli utenti devono annullare la registrazione dal provider MDM corrente e quindi registrarsi a Intune. In alternativa, è possibile usare MAM per gestire le app specifiche nel dispositivo. Poiché questi dispositivi sono di proprietà dell'organizzazione, è consigliabile registrarsi in Intune. |
Si usa l'account gestione registrazione dispositivi (DEM). | ❌ L'account DEM non è supportato. |
Attività di amministratore di AdE
Questo elenco di attività offre una panoramica. Per informazioni più specifiche, passare alla registrazione di Apple Business Manager o all'iscrizione di Apple School Manager.
Assicurarsi che i dispositivi siano supportati.
È necessario accedere al portale di Apple Business Manager (ABM) o al portale di Apple School Manager (ASM).
Assicurarsi che il token Apple (con estensione p7m) sia attivo. Per informazioni più specifiche, vedere Ottenere un token Apple ADE.
Assicurarsi che il certificato push MDM Apple venga aggiunto a Intune ed sia attivo. Questo certificato è necessario per registrare i dispositivi iOS/iPadOS. Per altre informazioni, vedere Ottenere un certificato push MDM Apple.
Decidere in che modo gli utenti eseguono l'autenticazione nei propri dispositivi: l'app Portale aziendale, Assistente configurazione (legacy) o Assistente configurazione con l'autenticazione moderna. Prendere questa decisione prima di creare il profilo di registrazione. L'uso dell'app Portale aziendale o dell'Assistente configurazione con l'autenticazione moderna è considerato un'autenticazione moderna.
Selezionare l'app Portale aziendale quando:
- Si vuole cancellare il dispositivo.
- Si vuole usare l'autenticazione a più fattori (MFA).
- Si vuole richiedere agli utenti di aggiornare la password scaduta al primo accesso.
- Si vuole richiedere agli utenti di reimpostare le password scadute durante la registrazione.
- Si desidera che i dispositivi vengano registrati in Microsoft Entra ID. Quando vengono registrati, è possibile usare le funzionalità disponibili con Microsoft Entra ID, ad esempio l'accesso condizionale.
- Si vuole installare automaticamente l'app Portale aziendale durante la registrazione. Se l'azienda usa il Volume Purchase Program (VPP), è possibile installare automaticamente l'app Portale aziendale durante la registrazione senza ID Apple utente.
- Si vuole bloccare il dispositivo fino all'installazione dell'app Portale aziendale. Dopo l'installazione, gli utenti accedono all'app Portale aziendale con l'account Microsoft Entra dell'organizzazione. Il dispositivo viene quindi sbloccato e gli utenti possono usarlo.
Selezionare Assistente configurazione (legacy) quando:
Si vuole cancellare il dispositivo.
Non si vogliono usare le funzionalità di autenticazione moderne, ad esempio MFA.
Non si vuole registrare i dispositivi in Microsoft Entra ID. Assistente configurazione (legacy) autentica l'utente con il token Apple
.p7m
. Se è accettabile non registrare i dispositivi in Microsoft Entra ID, non è necessario installare l'app Portale aziendale. Continuare a usare Assistente configurazione (legacy).Se si desidera che i dispositivi vengano registrati in Microsoft Entra ID, installare l'app Portale aziendale. Quando si crea il profilo di registrazione e si seleziona Assistente configurazione (legacy), è possibile installare l'app Portale aziendale. È consigliabile installare l'app Portale aziendale durante la registrazione.
Selezionare Assistente configurazione con l'autenticazione moderna quando:
- Si vuole cancellare il dispositivo.
- Si vuole usare l'autenticazione a più fattori (MFA).
- Si vuole richiedere agli utenti di aggiornare la password scaduta al primo accesso.
- Si vuole richiedere agli utenti di reimpostare le password scadute durante la registrazione.
- Si desidera che i dispositivi vengano registrati in Microsoft Entra ID. Quando vengono registrati, è possibile usare le funzionalità disponibili con Microsoft Entra ID, ad esempio l'accesso condizionale.
- Si vuole installare automaticamente l'app Portale aziendale durante la registrazione. Se l'azienda usa il Volume Purchase Program (VPP), è possibile installare automaticamente l'app Portale aziendale durante la registrazione senza ID Apple utente.
- Si vuole che gli utenti usno il dispositivo, anche quando l'app Portale aziendale non è installata.
Nota
Per autenticare gli utenti, Microsoft consiglia di usare l'app Portale aziendale o Assistente configurazione con l'autenticazione moderna.
Quale opzione è consigliabile usare? Dipende.
Se si vuole usare il dispositivo prima dell'installazione dell'app Portale aziendale, usare Assistente configurazione con l'autenticazione moderna.
Durante l'Assistente configurazione, gli utenti devono immettere le credenziali dell'organizzazione Microsoft Entra (
user@contoso.com
). Quando immettono le credenziali, viene avviata la registrazione e viene installata l'app Portale aziendale. Se vuoi, gli utenti possono anche immettere il proprio ID Apple per accedere alle funzionalità specifiche di Apple, ad esempio Apple Pay.Al termine dell'Installazione guidata, gli utenti possono usare il dispositivo. Quando viene visualizzata la schermata iniziale, la registrazione è completa e viene stabilita l'affinità utente. Il dispositivo non è completamente registrato con Microsoft Entra ID e viene visualizzato come non conforme nell'elenco di dispositivi di un utente in Microsoft Entra ID. Il dispositivo viene visualizzato come conforme nell'interfaccia di amministrazione Microsoft Intune.
Dopo l'installazione dell'app Portale aziendale, che richiede del tempo, gli utenti aprono l'app Portale aziendale e accedono con l'organizzazione Microsoft Entra account (
user@contoso.com
) di nuovo. Durante questo secondo accesso, vengono valutati tutti i criteri di accesso condizionale e Microsoft Entra registrazione è completata. Gli utenti possono installare e usare le risorse dell'organizzazione, incluse le app LOB. Il dispositivo viene visualizzato come conforme in Microsoft Entra ID.Se non si vuole usare il dispositivo prima dell'installazione dell'app Portale aziendale, usare l'opzione Portale aziendale app. L'opzione dell'app Portale aziendale blocca il dispositivo fino all'installazione dell'app Portale aziendale. Al termine dell'installazione, l'app Portale aziendale si apre automaticamente. Gli utenti accedono con l'account dell'organizzazione Microsoft Entra (
user@contoso.com
) e possono usare il dispositivo.
Se si usa l'app Portale aziendale, decidere come installare l'app Portale aziendale nei dispositivi. Prendere questa decisione prima di creare il profilo di registrazione.
Nota
Microsoft consiglia di usare il Volume Purchase Program (VPP) quando si usa l'app Portale aziendale per l'autenticazione. Si tratta di un'esperienza utente finale migliore.
Non installare l'app Portale aziendale dall'App Store direttamente nei dispositivi registrati da ADE. Installare invece l'app Portale aziendale usando le opzioni seguenti:
Token VPP + Registrazione di nuovi dispositivi: se si dispone del volume purchase program (VPP) e si stanno registrando nuovi dispositivi, l'app Portale aziendale è inclusa. Quando si crea il profilo di registrazione nell'interfaccia di amministrazione Intune, selezionare Installa Portale aziendale con VPP, impostarlo come app necessaria e abilitare gli aggiornamenti automatici delle app.
Opzione:
- Include la versione corretta dell'app Portale aziendale.
- È un'installazione occasionale dell'app Portale aziendale.
- Usa la funzionalità Aggiornamenti automatici delle app in modo che Intune possano eseguire il push degli aggiornamenti delle app. Per altre informazioni, vedere Distribuzione dell'app Portale aziendale - ADE.
Nessun token VPP + Registrazione di nuovi dispositivi: nessuna attività di amministratore. Assicurarsi che gli utenti immettano l'ID Apple in Assistente configurazione.
Al termine dell'Installazione guidata, l'app Portale aziendale tenta di eseguire l'installazione automatica. Se gli utenti non immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
), viene continuamente richiesto di immettere l'ID Apple. Gli utenti devono immettere l'ID Apple per ottenere l'app Portale aziendale nei dispositivi. Quando l'app Portale aziendale viene installata, gli utenti la aprono e immettono le credenziali dell'organizzazione (user@contoso.com
). Quando eseguono l'autenticazione, gli utenti possono installare e usare le app usate dall'organizzazione, incluse le app line-of-business.Dispositivi già registrati: se i dispositivi sono già registrati, in caso di VPP o meno, usare un criterio di configurazione dell'app:
- Nell'interfaccia di amministrazione Intune aggiungere l'app Portale aziendale come app obbligatoria e come app con licenza per dispositivo.
- Creare un criterio di configurazione dell'app che includa l'app Portale aziendale come app con licenza del dispositivo. Per informazioni più specifiche, vedere Configurare l'app Portale aziendale per supportare i dispositivi DEP iOS e iPadOS.
- Distribuire i criteri di configurazione dell'app nello stesso gruppo di dispositivi del profilo di registrazione.
- Quando i dispositivi esezionano l'accesso con il servizio Intune, riceve il profilo e l'app Portale aziendale viene installata.
Opzione:
- Include la versione corretta dell'app Portale aziendale.
- È necessario creare un profilo di registrazione e creare un criterio di configurazione dell'app. Nei criteri di configurazione dell'app, impostarla come app necessaria in modo da sapere che l'app viene distribuita in tutti i dispositivi.
- L'app Portale aziendale può essere aggiornata automaticamente modificando i criteri di configurazione dell'app esistenti.
Nell'interfaccia di amministrazione Intune creare un profilo di registrazione:
- Scegliere Registra con affinità utente (associare un utente al dispositivo) o Registra senza affinità utente (dispositivi senza utente o dispositivi condivisi).
- Scegliere dove gli utenti eseguono l'autenticazione: l'app Portale aziendale, Assistente configurazione (legacy) o Assistente configurazione con l'autenticazione moderna.
Per informazioni e suggerimenti più specifici, passare alla registrazione automatica dei dispositivi di Apple.
Attività dell'utente finale DIE
Quando si crea un profilo di registrazione nell'interfaccia di amministrazione Intune, si sceglie di associare un utente al dispositivo (Registra con affinità utente) o di avere dispositivi condivisi (Registra senza affinità utente). I passaggi specifici dipendono dalla modalità di configurazione del profilo di registrazione. Con l'iPad condiviso, dopo l'attivazione, tutti i riquadri assistente configurazione vengono ignorati automaticamente.
Eseguire la registrazione con affinità utente + app Portale aziendale:
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
). Una volta immessa, l'app Portale aziendale viene installata automaticamente dal profilo di registrazione. L'installazione automatica dell'app Portale aziendale può richiedere del tempo. - Gli utenti aprono l'app Portale aziendale e accedono con le credenziali dell'organizzazione (
user@contoso.com
). Quando accedono, viene avviata la registrazione. Al termine della registrazione, gli utenti possono installare e usare le app usate dall'organizzazione, incluse le app line-of-business.
Gli utenti potrebbero dover immettere altre informazioni. Per passaggi più specifici per l'utente finale, vedere Registrare il dispositivo iOS fornito dall'organizzazione.
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
Registrare con affinità utente + Assistente configurazione (legacy) + app Portale aziendale:
Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
).Assistente configurazione richiede informazioni all'utente.
L'app Portale aziendale si apre automaticamente e deve bloccare il dispositivo in modalità tutto schermo. L'apertura dell'app Portale aziendale può richiedere del tempo. Gli utenti accedono con le credenziali dell'organizzazione (
user@contoso.com
) e il dispositivo viene registrato in Intune.Questo passaggio registra il dispositivo in Microsoft Entra ID. Gli utenti possono installare e usare le app usate dall'organizzazione, incluse le app lob.
Registrare con affinità utente + Assistente configurazione (legacy) - Portale aziendale'app:
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
). - Assistente configurazione richiede informazioni all'utente e registra il dispositivo in Intune. Il dispositivo non è registrato in Microsoft Entra ID.
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
Registrare con affinità utente + Assistente configurazione con l'autenticazione moderna:
Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
) e l'organizzazione Microsoft Entra le credenziali (user@contoso.com
).Quando gli utenti immettono le credenziali di Microsoft Entra, viene avviata la registrazione.
Assistente configurazione richiede all'utente ulteriori informazioni. Quando viene visualizzata la schermata iniziale, l'installazione è completata. Il dispositivo è completamente registrato e viene stabilita l'affinità utente-dispositivo. Gli utenti possono usare i propri dispositivi e visualizzare le app e i criteri nei propri dispositivi.
A questo punto, il dispositivo non è completamente registrato con Microsoft Entra ID e viene visualizzato come non conforme in Microsoft Entra ID. Il dispositivo mostra che è conforme nell'interfaccia di amministrazione Microsoft Intune.
Se si installa Portale aziendale'app con VPP (scelta consigliata), l'app Portale aziendale viene installata automaticamente. Gli utenti aprono l'app Portale aziendale e accedono di nuovo con l'account aziendale o dell'istituto di istruzione (
user@contoso.com
). Completano Microsoft Entra registrazione nell'app Portale aziendale, che registra completamente il dispositivo con Microsoft Entra ID. Gli utenti ottengono quindi l'accesso alle risorse aziendali protette dai criteri di accesso condizionale e il dispositivo risulta conforme in Microsoft Entra ID.Se non si installa Portale aziendale'app con VPP e si vuole usare l'app Portale aziendale, seguire questa procedura:
Gli utenti accedono ad Apple App Store con l'ID Apple (
user@iCloud.com
ouser@gmail.com
). Quando accedono, l'app Portale aziendale viene installata automaticamente.Questo passaggio di accesso aggiuntivo rallenta la registrazione, soprattutto se gli utenti non accedono immediatamente.
Se non accedono all'App Store, l'app Portale aziendale non viene installata. Se l'app non è installata, gli utenti non possono registrare il dispositivo in Microsoft Entra ID. Poiché il dispositivo non ha completato la registrazione, il dispositivo viene visualizzato come non conforme in Microsoft Entra ID. Tutte le risorse a seconda dell'accesso condizionale non sono disponibili.
Gli utenti aprono l'app Portale aziendale e accedono di nuovo con l'account aziendale o dell'istituto di istruzione (
user@contoso.com
). Completano Microsoft Entra registrazione nell'app Portale aziendale, che registra completamente il dispositivo con Microsoft Entra ID. Al successivo check-in, gli utenti ottengono l'accesso alle risorse aziendali protette dai criteri di accesso condizionale.
Registra senza affinità utente: nessuna azione. Assicurarsi che non installino l'app Portale aziendale da Apple App Store.
Agli utenti in genere non piace registrarsi e potrebbe non avere familiarità con l'app Portale aziendale. Assicurarsi di fornire indicazioni, incluse le informazioni da immettere. Per alcune indicazioni sulla comunicazione con gli utenti, vedere Guida alla pianificazione: Passaggio 5 - Creare un piano di implementazione.
Registrazione di Apple Configurator
Usare nei dispositivi di proprietà dell'organizzazione e include la registrazione diretta. Questa opzione richiede la connessione fisica dei dispositivi iOS/iPadOS a un computer Mac tramite la porta USB.
Per informazioni più specifiche su questo tipo di registrazione, passare alla registrazione di Apple Configurator.
Funzionalità | Usare questa opzione di registrazione quando |
---|---|
È necessaria una connessione cablata o si verifica un problema di rete. | ✅ |
L'organizzazione non vuole che gli amministratori usno i portali ABM o ASM o non voglia configurare tutti i requisiti. | ✅ L'idea di non usare i portali ABM o ASM consiste nel concedere agli amministratori meno controllo. |
Un paese/area geografica non supporta Apple Business Manager (ABM) o Apple School Manager (ASM). | ✅ Se il paese/area geografica supporta ABS o ASM, i dispositivi devono essere registrati usando la registrazione automatica dei dispositivi (in questo articolo). |
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. | ✅ |
Si dispone di dispositivi nuovi o esistenti. | ✅ |
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). | ✅ Se si dispone di un numero elevato di dispositivi, questo metodo richiede del tempo. |
I dispositivi sono associati a un singolo utente. | ✅ |
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. | ✅ |
I dispositivi sono personali o BYOD. | ❌ Consigliamo di non farlo. Le applicazioni nei dispositivi BYOD o personali possono essere gestite tramite MAM (apre un altro articolo Microsoft) o la registrazione di utenti e dispositivi (in questo articolo). |
I dispositivi sono gestiti da un altro provider MDM. | ❌ Per essere completamente gestiti da Intune, gli utenti devono annullare la registrazione dal provider MDM corrente e quindi registrarsi a Intune. In alternativa, è possibile usare MAM per gestire le app specifiche nel dispositivo. Poiché questi dispositivi sono di proprietà dell'organizzazione, è consigliabile registrarsi in Intune. |
Si usa l'account gestione registrazione dispositivi (DEM). | ❌ L'account DEM non è supportato. |
Attività di amministratore di Apple Configurator
Questo elenco di attività offre una panoramica. Per informazioni più specifiche, passare alla registrazione di Apple Configurator.
Richiede l'accesso a un computer Mac con una porta USB.
Assicurarsi che i dispositivi siano supportati.
Assicurarsi che il certificato push MDM Apple venga aggiunto a Intune ed sia attivo. Questo certificato è necessario per registrare i dispositivi iOS/iPadOS. Per altre informazioni, vedere Ottenere un certificato push MDM Apple.
Decidere in che modo gli utenti eseguono l'autenticazione nei propri dispositivi: l'app Portale aziendale o Assistente configurazione. Prendere questa decisione prima di creare il profilo di registrazione. L'uso dell'app Portale aziendale è considerato un'autenticazione moderna. È consigliabile usare l'app Portale aziendale.
Selezionare l'app Portale aziendale quando:
- Si vuole usare l'autenticazione a più fattori (MFA).
- Si vuole richiedere agli utenti di aggiornare la password scaduta al primo accesso.
- Si vuole richiedere agli utenti di reimpostare le password scadute durante la registrazione.
- Si desidera che i dispositivi vengano registrati in Microsoft Entra ID. Quando vengono registrati, è possibile usare le funzionalità disponibili con Microsoft Entra ID, ad esempio l'accesso condizionale.
- Si vuole installare automaticamente Portale aziendale'app durante la registrazione. Se l'azienda usa volume purchase program (VPP), è possibile installare automaticamente Portale aziendale'app durante la registrazione.
Selezionare Assistente configurazione quando:
Non si vogliono usare le funzionalità di autenticazione moderne, ad esempio MFA.
Si vuole cancellare il dispositivo.
Si desidera importare i numeri di serie.
Non si vuole registrare i dispositivi in Microsoft Entra ID. Assistente configurazione autentica l'utente con il profilo di registrazione esportato copiato nel dispositivo. Se è accettabile non registrare i dispositivi in Microsoft Entra ID, non è necessario installare l'app Portale aziendale. Continuare a usare l'Assistente configurazione.
Se si desidera che i dispositivi vengano registrati in Microsoft Entra ID, installare l'app Portale aziendale. Quando si crea il profilo di registrazione e si seleziona Assistente configurazione, è possibile installare l'app Portale aziendale. È consigliabile installare l'app Portale aziendale durante la registrazione.
Se si usa l'app Portale aziendale, l'app Portale aziendale deve essere installata nei dispositivi usando un criterio di configurazione dell'app. È consigliabile creare questo criterio prima di creare il profilo di registrazione.
Non installare l'app Portale aziendale dall'App Store direttamente nei dispositivi registrati da Apple Configurator. Installare invece l'app Portale aziendale usando le opzioni seguenti:
Registrare nuovi dispositivi: nessuna attività di amministratore. Assicurarsi che gli utenti immettano l'ID Apple in Assistente configurazione.
Al termine dell'Installazione guidata, l'app Portale aziendale tenta di eseguire l'installazione automatica. Se gli utenti non immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
), viene continuamente richiesto di immettere l'ID Apple. Gli utenti devono immettere l'ID Apple per ottenere l'app Portale aziendale nei dispositivi. Quando l'app Portale aziendale viene installata, gli utenti la aprono e immettono le credenziali dell'organizzazione (user@contoso.com
). Quando eseguono l'autenticazione, gli utenti possono installare e usare le app usate dall'organizzazione, incluse le app line-of-business.Dispositivi già registrati: se i dispositivi sono già registrati, usare un criterio di configurazione dell'app:
- Nell'interfaccia di amministrazione Intune aggiungere l'app Portale aziendale come app obbligatoria e come app con licenza per dispositivo.
- Creare un criterio di configurazione dell'app che includa l'app Portale aziendale come app con licenza del dispositivo. Per informazioni più specifiche, vedere Configurare l'app Portale aziendale per supportare i dispositivi DEP iOS e iPadOS.
- Distribuire i criteri di configurazione dell'app nello stesso gruppo di dispositivi del profilo di registrazione.
- Quando i dispositivi esezionano l'accesso con il servizio Intune, riceve il profilo e l'app Portale aziendale viene installata.
Opzione:
- Include la versione corretta dell'app Portale aziendale.
- È necessario creare un profilo di registrazione e creare un criterio di configurazione dell'app. Nei criteri di configurazione dell'app, impostarla come app necessaria in modo da sapere che l'app viene distribuita in tutti i dispositivi.
- L'app Portale aziendale può essere aggiornata automaticamente modificando i criteri di configurazione dell'app esistenti.
Nell'interfaccia di amministrazione Intune creare un profilo di registrazione:
Scegliere Registra con affinità utente (associare un utente al dispositivo) o Registra senza affinità utente (dispositivi senza utente o dispositivi condivisi).
Se si sceglie Registra senza affinità utente, si usa automaticamente la registrazione diretta. Attenzione:
- Si usano le impostazioni di un profilo di registrazione macOS esistente.
- Gli utenti non possono usare app che richiedono un utente, inclusa l'app Portale aziendale. L'app Portale aziendale non viene usata, necessaria o supportata nelle registrazioni senza affinità utente. Assicurarsi che gli utenti non installino l'app Portale aziendale da Apple App Store.
Quando il profilo di registrazione è pronto, USB connette i dispositivi al Mac e apre l'app Apple Configurator . Quando si apre, l'app rileva il dispositivo connesso USB e distribuisce il profilo di registrazione Intune creato.
Per altre informazioni su questa opzione di registrazione e sui relativi prerequisiti, passare alla registrazione di Apple Configurator.
Attività dell'utente finale di Apple Configurator
Le attività dipendono dall'opzione configurata nel profilo di registrazione.
Eseguire la registrazione con affinità utente + app Portale aziendale:
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
). Una volta immessa, l'app Portale aziendale viene installata automaticamente dall'App Store. L'installazione automatica dell'app Portale aziendale può richiedere del tempo. - Aprire l'app Portale aziendale e accedere con le credenziali dell'organizzazione (
user@contoso.com
). Quando gli utenti accedono, viene avviata la registrazione. Al termine della registrazione, gli utenti possono installare e usare le app usate dall'organizzazione, incluse le app line-of-business.
Gli utenti potrebbero dover immettere altre informazioni. Per passaggi più specifici, vedere Registrare il dispositivo iOS fornito dall'organizzazione.
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
Registrare con affinità utente + Assistente configurazione + app Portale aziendale:
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono le credenziali dell'organizzazione (
user@contoso.com
). Questo passaggio registra il dispositivo in Intune. - Assistente configurazione richiede all'utente informazioni, incluso l'ID Apple (
user@iCloud.com
ouser@gmail.com
). - L'app Portale aziendale viene installata automaticamente dall'App Store. Gli utenti aprono l'app Portale aziendale e accedono con le credenziali dell'organizzazione (
user@contoso.com
). Questo passaggio registra il dispositivo in Microsoft Entra ID. Gli utenti possono installare e usare le app usate dall'organizzazione, incluse le app lob.
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono le credenziali dell'organizzazione (
Registrare con affinità utente + Assistente configurazione - Portale aziendale'app:
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono le credenziali dell'organizzazione (
user@contoso.com
). Questo passaggio registra il dispositivo in Intune. - Assistente configurazione richiede all'utente informazioni, incluso l'ID Apple (
user@iCloud.com
ouser@gmail.com
). Questo passaggio esegue il push del profilo di gestione Intune nel dispositivo. - Gli utenti installano il profilo di gestione. Il profilo esegue il check-in con il servizio Intune e registra il dispositivo. Il dispositivo non è registrato in Microsoft Entra ID.
- Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono le credenziali dell'organizzazione (
Registra senza affinità utente: si usa la registrazione diretta. Nessuna azione. Assicurarsi che non installino l'app Portale aziendale da Apple App Store.
Agli utenti in genere non piace registrarsi e potrebbe non avere familiarità con l'app Portale aziendale. Assicurarsi di fornire indicazioni, incluse le informazioni da immettere. Per alcune indicazioni sulla comunicazione con gli utenti, vedere Guida alla pianificazione: Passaggio 5 - Creare un piano di implementazione.
BYOD: Registrazione di utenti e dispositivi
Questi dispositivi iOS/iPadOS sono dispositivi personali o BYOD (bring your own device) che possono accedere alla posta elettronica dell'organizzazione, alle app e ad altri dati. A partire da iOS 13 e versioni successive, questa opzione di registrazione è destinata agli utenti o ai dispositivi di destinazione. Non richiede la reimpostazione dei dispositivi.
Quando si crea il profilo di registrazione, viene chiesto di scegliere Registrazione del dispositivo con Portale aziendale, Registrazione utente guidata dall'account o Determinare in base alla scelta dell'utente.
Per i passaggi di registrazione specifici e i relativi prerequisiti, vedere Configurare la registrazione utente guidata dall'account e Configurare la registrazione del dispositivo iOS/iPadOS.
Funzionalità | Usare questa opzione di registrazione quando |
---|---|
I dispositivi sono personali o BYOD. | ✅ |
Si vuole proteggere una funzionalità specifica nel dispositivo, ad esempio la VPN per app. | ✅ |
Si dispone di dispositivi nuovi o esistenti. | ✅ |
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). | ✅ |
I dispositivi sono associati a un singolo utente. | ✅ |
I dispositivi sono gestiti da un altro provider MDM. | ❌ Quando un dispositivo viene registrato, i provider MDM installano certificati e altri file. Questi file devono essere rimossi. Il modo più rapido potrebbe essere annullare la registrazione o reimpostare le impostazioni predefinite dei dispositivi. Se non si vuole reimpostare le impostazioni predefinite, contattare il provider MDM. |
Si usa l'account gestione registrazione dispositivi (DEM). | ✅ |
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. | ❌ Consigliamo di non farlo. I dispositivi di proprietà dell'organizzazione devono essere registrati tramite registrazione automatica dei dispositivi (in questo articolo) o Apple Configurator (in questo articolo). |
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. | ❌ In genere, i dispositivi senza utente o condivisi sono di proprietà dell'organizzazione. Questi dispositivi devono essere registrati usando la registrazione automatica dei dispositivi (in questo articolo) o Apple Configurator (in questo articolo). |
Attività di amministratore registrazione utenti e dispositivi
Questo elenco offre una panoramica delle attività necessarie per gli amministratori.
Assicurarsi che i dispositivi siano supportati.
Assicurarsi che il certificato push MDM Apple venga aggiunto a Intune ed sia attivo. Questo certificato è necessario per registrare i dispositivi iOS/iPadOS. Per altre informazioni, vedere Ottenere un certificato push MDM Apple.
Nell'interfaccia di amministrazione Intune creare il profilo di registrazione. Quando si crea il profilo di registrazione, sono disponibili le opzioni seguenti:
Registrazione del dispositivo con Portale aziendale: questa opzione è una registrazione tipica nell'app Portale aziendale per i dispositivi personali. Il dispositivo è gestito, non solo le app o le funzionalità specifiche. Con questa opzione, prendere in considerazione le informazioni seguenti:
- È possibile distribuire certificati che si applicano all'intero dispositivo.
- Gli utenti devono installare gli aggiornamenti. Solo i dispositivi registrati tramite registrazione automatica dei dispositivi (ADE) possono ricevere aggiornamenti usando i criteri o i profili MDM.
- Un utente deve essere associato al dispositivo. Questo utente può essere un account di gestione registrazione dispositivi (DEM).
Registrazione dei dispositivi basata sul Web: a partire da iOS 15 e versioni successive. Questa opzione è simile alla registrazione del dispositivo con Portale aziendale, ma la registrazione avviene nella versione Web di Portale aziendale Intune, eliminando la necessità dell'app. Inoltre, questa opzione consente a dipendenti e studenti senza ID Apple gestiti di registrare i dispositivi e accedere alle app acquistate con volume.
Determinare in base alla scelta dell'utente: offre agli utenti finali una scelta quando si registrano. A seconda della selezione, viene usata la registrazione utente o la registrazione del dispositivo .
Registrazione utente guidata dall'account: a partire da iOS 13 e versioni successive. Questa opzione configura un set specifico di funzionalità e app dell'organizzazione, ad esempio password, VPN per app, Wi-Fi e Siri. Se si usa questo metodo e per proteggere le app e i relativi dati, è consigliabile usare anche i criteri di protezione delle app.
Per l'elenco completo delle operazioni che è possibile e non è possibile eseguire, vedere Panoramica della registrazione utenti Apple in Microsoft Intune.
Nota
BYOD può diventare dispositivi di proprietà dell'organizzazione. Per rendere questi dispositivi aziendali, passare a Identificare i dispositivi come di proprietà dell'azienda.
La registrazione utente guidata dall'account è considerata più amichevole per gli utenti finali. Tuttavia, potrebbe non fornire il set di funzionalità e le funzionalità di sicurezza necessarie agli amministratori. In alcuni scenari, la registrazione utente guidata dall'account potrebbe non essere l'opzione migliore. Si considerino gli scenari seguenti:
La registrazione utente guidata dall'account crea una partizione di lavoro nei dispositivi. Le funzionalità e la sicurezza configurate nel profilo di registrazione utente esistono solo nella partizione di lavoro. Non esistono nella partizione utente. Gli utenti non possono reimpostare le impostazioni predefinite della partizione di lavoro. gli amministratori possono. Gli utenti possono reimpostare la partizione personale; gli amministratori non possono.
Se gli utenti usano principalmente app Microsoft o le app create con Intune App SDK, gli utenti devono scaricare queste app dal App Store Apple. Usare quindi i criteri di protezione delle app per proteggere queste app. In questo scenario non è necessaria la registrazione utente guidata dall'account.
Per le app line-of-business,la registrazione utente guidata dall'account potrebbe essere un'opzione, perché distribuisce queste app nella partizione di lavoro. La gestione delle applicazioni (MAM) non supporta le app LOB. Quindi, se sono necessarie app LOB, usare la registrazione utente guidata dall'account.
Quando i dispositivi vengono registrati usando la registrazione utente basata su account, non è possibile passare alla registrazione del dispositivo. Con la registrazione utente basata su account, non è possibile spostare un'app da non gestita a gestita. Gli utenti devono annullare la registrazione dalla registrazione utente e quindi ripetere la registrazione alla registrazione del dispositivo.
Se si installano le app prima dell'applicazione del profilo di registrazione utente, queste app non vengono protette o gestite dal profilo di registrazione utente.
Ad esempio, un utente scarica l'app Outlook dalla App Store Apple. L'app viene installata automaticamente nella partizione utente nel dispositivo. L'utente configura Outlook per la posta elettronica personale. Quando gli utenti configurano la posta elettronica dell'organizzazione, vengono bloccati dall'accesso condizionale e viene chiesto di registrarsi. Si registrano e viene distribuito un profilo di registrazione utente.
Poiché l'app Outlook è stata installata prima del profilo di registrazione utente, il profilo di registrazione utente ha esito negativo. L'app Outlook non può essere gestita perché è installata e configurata nella partizione utente, non nella partizione di lavoro. Gli utenti devono disinstallare manualmente l'app Outlook.
Dopo la disinstallazione, gli utenti possono sincronizzare il dispositivo manualmente ed eventualmente riapplicare il profilo di registrazione utente. In alternativa, potrebbe essere necessario creare un criterio di configurazione dell'app per distribuire Outlook e renderlo un'app necessaria. Distribuire quindi un criterio di protezione delle app per proteggere l'app e i relativi dati.
Assegnare il profilo di registrazione ai gruppi di utenti. Non assegnare ai gruppi di dispositivi.
Attività dell'utente finale di registrazione del dispositivo
Gli utenti devono seguire questa procedura.
Passare alla App Store Apple e installare l'app Portale aziendale Intune.
Aprire l'app Portale aziendale e accedere con l'account aziendale o dell'istituto di istruzione (
user@contoso.com
). Dopo l'accesso, il profilo di registrazione si applica al dispositivo.Gli utenti potrebbero dover immettere altre informazioni. Per passaggi più specifici, passare alla registrazione del dispositivo.
Gli utenti con notifiche dell'app abilitata ricevono una richiesta per tornare all'app Portale aziendale per completare la registrazione del dispositivo richiesta. Gli utenti con notifiche delle app disabilitate non vengono avvisati di questo requisito. Se si usano gruppi dinamici, che si basano sulla registrazione del dispositivo per funzionare, è importante che gli utenti completino la registrazione del dispositivo. Pianificare la comunicazione di questi passaggi agli utenti finali. Se si usano criteri di accesso condizionale, non è necessaria alcuna azione perché gli utenti di app protette da CA tentano di accedere richiede loro di tornare a Portale aziendale per completare la registrazione del dispositivo.
Al termine della registrazione, Intune installa automaticamente un certificato di firma del profilo nel dispositivo. Questo certificato è valido per un anno. Alla fine dell'anno in cui il certificato è in scadenza, Intune rinnova il certificato. Se il rinnovo non riesce, viene visualizzato uno stato Non verificato all'interno della VPN &impostazioni delprofilo di gestione> dei dispositivi nel dispositivo. Con questo stato, gli utenti finali non sono interessati e i dispositivi continuano a eseguire l'archiviazione con Intune e ricevere gli aggiornamenti dei criteri.
Agli utenti in genere non piace registrarsi e potrebbe non avere familiarità con l'app Portale aziendale. Assicurarsi di fornire indicazioni, incluse le informazioni da immettere. Per alcune indicazioni sulla comunicazione con gli utenti, vedere Guida alla pianificazione: Passaggio 5 - Creare un piano di implementazione.
Consiglio
È disponibile un breve video dettagliato che consente agli utenti di registrare i dispositivi in Intune:
Attività dell'utente per l'utente finale di registrazione
Gli utenti devono completare i passaggi seguenti durante la registrazione degli utenti guidata dall'account.
- Aprire l'app Impostazioni e passare a & Gestione dispositiviVPNgenerale>.
- Accedere all'account aziendale o dell'istituto di istruzione.
- Seguire le istruzioni visualizzate e consentire la gestione remota.
- Immettere il passcode del dispositivo per configurare la gestione remota.
Al termine della registrazione, Intune installa automaticamente un certificato di firma del profilo nel dispositivo. Questo certificato è valido per un anno. Alla fine dell'anno in cui il certificato è in scadenza, Intune rinnova il certificato. Se il rinnovo non riesce, viene visualizzato uno stato Non verificato all'interno della VPN &impostazioni delprofilo di gestione> dei dispositivi nel dispositivo. Con questo stato, gli utenti finali non sono interessati e i dispositivi continuano a archiviare con Intune e ricevere gli aggiornamenti dei criteri.
Per altre informazioni sull'esperienza utente, vedere Preparare i dipendenti per la registrazione.