Gestire le identità dei dispositivi usando il portale di Azure

Azure Active Directory (Azure AD) offre una posizione centrale per gestire le identità dei dispositivi e monitorare le informazioni sugli eventi correlati.

Screenshot che mostra la panoramica dei dispositivi nel portale di Azure.

È possibile accedere alla panoramica dei dispositivi completando questi passaggi:

  1. Accedere al portale di Azure.
  2. Passare a Dispositivi di Azure Active Directory>.

Nella panoramica dei dispositivi è possibile visualizzare il numero totale di dispositivi, dispositivi non aggiornati, dispositivi non conformi e dispositivi non gestiti. Sono disponibili anche collegamenti a Intune, accesso condizionale, chiavi BitLocker e monitoraggio di base.

I conteggi dei dispositivi nella pagina di panoramica non vengono aggiornati in tempo reale. Le modifiche devono essere riflesse ogni poche ore.

Da qui è possibile passare a Tutti i dispositivi per:

  • Identificare i dispositivi, tra cui:
  • Completare le attività di gestione delle identità dei dispositivi, ad esempio abilitare, disabilitare, eliminare e gestire.
    • Le opzioni di gestione per stampanti e Windows Autopilot sono limitate in Azure AD. Questi dispositivi devono essere gestiti dalle rispettive interfacce di amministrazione.
  • Configurare le impostazioni delle identità dei dispositivi.
  • Abilitare o disabilitare enterprise state roaming.
  • Esaminare i log di controllo correlati ai dispositivi.
  • Scaricare i dispositivi.

Screenshot che mostra la visualizzazione Tutti i dispositivi nel portale di Azure.

Suggerimento

  • I dispositivi aggiunti ad Azure AD ibrido Windows 10 o versioni successive non hanno un proprietario. Se si sta cercando un dispositivo in base al proprietario e non lo si trova, cercare in base all'ID dispositivo.

  • Se viene visualizzato un dispositivo aggiunto ad Azure AD ibrido con lo stato In sospeso nella colonna Registrato , il dispositivo è stato sincronizzato da Azure AD Connect ed è in attesa di completare la registrazione dal client. Vedere Come pianificare l'implementazione dell'aggiunta ad Azure AD ibrido. Per altre informazioni, vedere Domande frequenti sulla gestione dei dispositivi.

  • Per alcuni dispositivi iOS, i nomi dei dispositivi che contengono apostrofi possono usare caratteri diversi simili agli apostrofi. Quindi la ricerca di tali dispositivi è un po 'difficile. Se i risultati della ricerca non vengono visualizzati correttamente, assicurarsi che la stringa di ricerca contenga il carattere apostrofo corrispondente.

Gestire un dispositivo Intune

Se si dispone dei diritti per gestire i dispositivi in Intune, è possibile gestire i dispositivi per cui la gestione dei dispositivi mobili è elencata come Microsoft Intune. Se il dispositivo non è registrato con Microsoft Intune, l'opzione Gestisci non sarà disponibile.

Abilitare o disabilitare un dispositivo Azure AD

Esistono due modi per abilitare o disabilitare i dispositivi:

  • La barra degli strumenti nella pagina Tutti i dispositivi , dopo aver selezionato uno o più dispositivi.
  • La barra degli strumenti, dopo aver eseguito il drill-down per un dispositivo specifico.

Importante

  • Per abilitare o disabilitare un dispositivo, è necessario essere un amministratore globale, un amministratore Intune o un amministratore di dispositivi cloud in Azure AD.
  • La disabilitazione di un dispositivo impedisce l'autenticazione tramite Azure AD. Ciò impedisce l'accesso alle risorse di Azure AD protette dall'accesso condizionale basato su dispositivo e dall'uso di credenziali di Windows Hello for Business.
  • La disabilitazione di un dispositivo revoca il token di aggiornamento primario (PRT) ed eventuali token di aggiornamento nel dispositivo.
  • Le stampanti non possono essere abilitate o disabilitate in Azure AD.

Eliminare un dispositivo Azure AD

Esistono due modi per eliminare un dispositivo:

  • La barra degli strumenti nella pagina Tutti i dispositivi , dopo aver selezionato uno o più dispositivi.
  • La barra degli strumenti, dopo aver eseguito il drill-down per un dispositivo specifico.

Importante

  • Per eliminare un dispositivo, è necessario essere amministratore di dispositivi cloud, amministratore Intune, amministratore Windows 365 o amministratore globale in Azure AD.
  • Le stampanti e i dispositivi Windows Autopilot non possono essere eliminati in Azure AD.
  • L'eliminazione di un dispositivo comporta quanto segue:
    • Impedisce l'accesso alle risorse di Azure AD.
    • Rimuove tutti i dettagli collegati al dispositivo. Ad esempio, le chiavi BitLocker per i dispositivi Windows.
    • È un'attività non irreversibile. Non è consigliabile, a meno che non sia necessario.

Se un dispositivo è gestito da un'altra autorità di gestione, ad esempio Microsoft Intune, assicurarsi che sia cancellato o ritirato prima di eliminarlo. Vedere Come gestire i dispositivi non aggiornati prima di eliminare un dispositivo.

Visualizzare o copiare un ID dispositivo

È possibile usare un ID dispositivo per verificare i dettagli dell'ID dispositivo nel dispositivo o per risolvere i problemi tramite PowerShell. Per accedere all'opzione di copia, selezionare il dispositivo.

Screenshot che mostra un ID dispositivo e il pulsante copia.

Visualizzare o copiare le chiavi BitLocker

È possibile visualizzare e copiare le chiavi BitLocker per consentire agli utenti di ripristinare le unità crittografate. Queste chiavi sono disponibili solo per i dispositivi Windows crittografati e archiviano le relative chiavi in Azure AD. È possibile trovare queste chiavi quando si visualizzano i dettagli di un dispositivo selezionando Mostra chiave di ripristino. Selezionando Mostra chiave di ripristino verrà generato un log di controllo, disponibile nella KeyManagement categoria .

Screenshot che mostra come visualizzare le chiavi BitLocker.

Per visualizzare o copiare le chiavi BitLocker, è necessario essere il proprietario del dispositivo o avere uno di questi ruoli:

  • Amministratore dispositivo cloud
  • Amministratore globale
  • Amministratore del supporto tecnico
  • Amministratore del servizio Intune
  • Amministratore della protezione
  • Ruolo con autorizzazioni di lettura per la sicurezza

Impedire agli utenti di visualizzare le chiavi BitLocker (anteprima)

In questa anteprima gli amministratori possono bloccare l'accesso della chiave BitLocker self-service al proprietario registrato del dispositivo. Gli utenti predefiniti senza l'autorizzazione di lettura BitLocker non potranno visualizzare o copiare le chiavi BitLocker per i dispositivi di proprietà.

Per disabilitare/abilitare il ripristino bitLocker self-service:

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
$authPolicyUri = "https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy"
$body = @{
    defaultUserRolePermissions = @{
        allowedToReadBitlockerKeysForOwnedDevice = $false #Set this to $true to allow BitLocker self-service recovery
    }
}| ConvertTo-Json
Invoke-MgGraphRequest -Uri $authPolicyUri -Method PATCH -Body $body
# Show current policy setting
$authPolicy = Invoke-MgGraphRequest -Uri $authPolicyUri
$authPolicy.defaultUserRolePermissions

Visualizzare e filtrare i dispositivi (anteprima)

In questa anteprima è possibile scorrere all'infinito, riordinare le colonne e selezionare tutti i dispositivi. È possibile filtrare l'elenco di dispositivi in base a questi attributi del dispositivo:

  • Stato abilitato
  • Stato conforme
  • Tipo di join (aggiunto ad Azure AD, aggiunto ad Azure AD ibrido, registrato in Azure AD)
  • Timestamp dell'attività
  • Sistema operativo
  • Tipo di dispositivo (stampante, macchina virtuale sicura, dispositivo condiviso, dispositivo registrato)
  • MDM
  • Attributi di estensione
  • Unità amministrativa
  • Proprietario

Per abilitare l'anteprima nella visualizzazione Tutti i dispositivi :

  1. Accedere al portale di Azure.
  2. Passare ad Azure Active Directory>Dispositivi>Tutti i dispositivi.
  3. Selezionare il pulsante Anteprima funzionalità .
  4. Attivare l'interruttore che indica l'esperienza dell'elenco Dispositivi avanzati. Selezionare Applica.
  5. Aggiornare il browser.

È ora possibile visualizzare la visualizzazione Avanzata Tutti i dispositivi .

Scaricare i dispositivi

I lettori globali, gli amministratori di dispositivi cloud, gli amministratori Intune e gli amministratori globali possono usare l'opzione Scarica dispositivi per esportare un file CSV che elenca i dispositivi. È possibile applicare filtri per determinare quali dispositivi elencare. Se non si applicano filtri, verranno elencati tutti i dispositivi. Un'attività di esportazione può essere eseguita fino a un'ora, a seconda delle selezioni. Se l'attività di esportazione supera 1 ora, l'operazione ha esito negativo e non viene restituito alcun file.

L'elenco esportato include questi attributi di identità del dispositivo:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Configura impostazioni dispositivo

Per gestire le identità dei dispositivi usando il portale di Azure, i dispositivi devono essere registrati o aggiunti ad Azure AD. In qualità di amministratore, è possibile controllare il processo di registrazione e aggiunta dei dispositivi configurando le impostazioni del dispositivo seguenti.

È necessario assegnare uno dei ruoli seguenti per visualizzare o gestire le impostazioni del dispositivo nel portale di Azure:

  • Amministratore globale
  • Amministratore dispositivo cloud
  • Ruolo con autorizzazioni di lettura globali
  • Ruolo con autorizzazioni di lettura della directory

Screenshot che mostra le impostazioni del dispositivo correlate ad Azure AD.

  • Gli utenti possono aggiungere dispositivi ad Azure AD: questa impostazione consente di selezionare gli utenti che possono registrare i propri dispositivi come dispositivi aggiunti ad Azure AD. Il valore predefinito è All.

    Nota

    L'impostazione Utenti può aggiungere dispositivi ad Azure AD è applicabile solo all'aggiunta ad Azure AD in Windows 10 o versione successiva. Questa impostazione non si applica ai dispositivi aggiunti ad Azure AD ibrido, alle macchine virtuali aggiunte ad Azure AD in Azure o ai dispositivi aggiunti ad Azure AD che usano la modalità di distribuzione automatica di Windows Autopilot perché questi metodi funzionano in un contesto senza utente.

  • Altri amministratori locali nei dispositivi aggiunti ad Azure AD: questa impostazione consente di selezionare gli utenti a cui sono concessi diritti di amministratore locale in un dispositivo. Questi utenti vengono aggiunti al ruolo Amministratori dispositivi in Azure AD. Per impostazione predefinita, agli amministratori globali in Azure AD e ai proprietari dei dispositivi vengono concessi diritti di amministratore locale. Questa opzione è una funzionalità premium edition disponibile tramite prodotti come Azure AD Premium e Enterprise Mobility + Security.

  • Gli utenti possono registrare i propri dispositivi con Azure AD: è necessario configurare questa impostazione per consentire agli utenti di registrare Windows 10 o dispositivi personali, iOS, Android e macOS con Azure AD. Se si seleziona Nessuno, i dispositivi non sono autorizzati a registrarsi con Azure AD. La registrazione con Microsoft Intune o la gestione dei dispositivi mobili per Microsoft 365 richiede la registrazione. Se è stato configurato uno di questi servizi, viene selezionato ALL e NONE non è disponibile.

  • Richiedere a Multi-Factor Authentication di registrare o aggiungere dispositivi con Azure AD:

    • È consigliabile che le organizzazioni usino l'azione Registra o aggiungi utente ai dispositivi nell'accesso condizionale per applicare l'autenticazione a più fattori. È necessario configurare questa opzione su No se si usano criteri di accesso condizionale per richiedere l'autenticazione a più fattori.
    • Questa impostazione consente di specificare se gli utenti devono fornire un altro fattore di autenticazione per aggiungere o registrare i propri dispositivi in Azure AD. Il valore predefinito è No. È consigliabile richiedere l'autenticazione a più fattori quando un dispositivo viene registrato o aggiunto. Prima di abilitare l'autenticazione a più fattori per questo servizio, è necessario assicurarsi che l'autenticazione a più fattori sia configurata per gli utenti che registrano i propri dispositivi. Per altre informazioni sui servizi Azure AD Multi-Factor Authentication, vedere Introduzione ad Azure AD Multi-Factor Authentication. Questa impostazione potrebbe non funzionare con provider di identità di terze parti.

    Nota

    L'impostazione Richiedi autenticazione a più fattori per registrare o aggiungere dispositivi con Azure AD si applica ai dispositivi aggiunti ad Azure AD (con alcune eccezioni) o registrati in Azure AD. Questa impostazione non si applica ai dispositivi aggiunti ad Azure AD ibrido, alle macchine virtuali aggiunte ad Azure AD in Azure o ai dispositivi aggiunti ad Azure AD che usano la modalità di distribuzione automatica di Windows Autopilot.

  • Numero massimo di dispositivi: questa impostazione consente di selezionare il numero massimo di dispositivi registrati aggiunti ad Azure AD o Azure AD che un utente può avere in Azure AD. Se gli utenti raggiungono questo limite, non possono aggiungere altri dispositivi fino a quando non vengono rimossi uno o più dispositivi esistenti. Il valore predefinito è 50. È possibile aumentare il valore fino a 100. Se si immette un valore superiore a 100, Azure AD lo imposterà su 100. È anche possibile usare Unlimited per applicare nessun limite diverso dai limiti di quota esistenti.

    Nota

    L'impostazione Numero massimo di dispositivi si applica ai dispositivi aggiunti ad Azure AD o registrati in Azure AD. L'impostazione non si applica invece ai dispositivi ibridi aggiunti ad Azure AD.

  • Enterprise State Roaming: per informazioni su questa impostazione, vedere l'articolo panoramica.

Log di controllo

Le attività del dispositivo sono visibili nei log attività. Questi log includono le attività attivate dal servizio di registrazione del dispositivo e dagli utenti:

  • Creazione di un dispositivo e aggiunta di proprietari/utenti nel dispositivo
  • Modifiche alle impostazioni del dispositivo
  • Operazioni del dispositivo come l'eliminazione o l'aggiornamento di un dispositivo

Il punto di ingresso ai dati di controllo è Log di controllo nella sezione Attività della pagina Dispositivi .

Il log di controllo ha una visualizzazione elenco predefinita che mostra:

  • Data e ora dell'occorrenza.
  • Destinazioni.
  • Iniziatore/attore di un'attività.
  • Attività.

Screenshot che mostra una tabella nella sezione Attività della pagina Dispositivi. La tabella mostra la data, la destinazione, l'attore e l'attività per quattro log di controllo.

È possibile personalizzare la visualizzazione elenco selezionando Colonne sulla barra degli strumenti:

Screenshot che mostra la barra degli strumenti della pagina Dispositivi.

Per ridurre i dati segnalati a un livello appropriato, è possibile filtrarli usando questi campi:

  • Categoria
  • Tipo di risorsa di attività
  • Attività
  • Intervallo di date
  • Destinazione
  • Avviato da (attore)

È anche possibile cercare voci specifiche.

Screenshot che mostra i controlli di filtro dei dati di controllo.

Passaggi successivi