Condividi tramite

Gestire le identità dei dispositivi nell'interfaccia di amministrazione di Microsoft Entra

  • Articolo

Microsoft Entra ID fornisce una posizione centrale per gestire le identità dei dispositivi e monitorare le informazioni sui relativi eventi.

Screenshot che mostra la panoramica dei dispositivi.

È possibile accedere alla panoramica dei dispositivi completando questi passaggi:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come utente con almeno le autorizzazioni utente predefinite.
  2. Passare a Identità>Dispositivi>Panoramica.

Nella panoramica dei dispositivi, è possibile visualizzare il numero totale di dispositivi, i dispositivi non aggiornati, i dispositivi non conformi e i dispositivi non gestiti. Sono disponibili anche collegamenti a Intune, accesso condizionale, chiavi BitLocker e monitoraggio di base. Altre funzionalità, ad esempio l'accesso condizionale e Microsoft Intune, richiedono assegnazioni di ruolo aggiuntive

I conteggi dei dispositivi nella pagina di panoramica non vengono aggiornati in tempo reale. Le modifiche dovrebbero riflettersi ogni poche ore.

Da qui è possibile passare a Tutti i dispositivi per:

  • Identificare i dispositivi, tra cui:
  • Eseguire attività di gestione delle identità dei dispositivi, ad esempio abilitazione, disabilitazione, eliminazione o gestione.
    • Le opzioni di gestione per Stampanti e Windows Autopilot sono limitate in Microsoft Entra ID. È necessario gestirle dalle rispettive interfacce di amministrazione.
  • Configurare le impostazioni delle identità dei dispositivi.
  • Abilitare o disabilitare Enterprise State Roaming.
  • Esaminare i log di controllo correlati ai dispositivi.
  • Scaricare dispositivi.

Screenshot che mostra la vista Tutti i dispositivi

Suggerimento

  • I dispositivi Windows 10 aggiunti in modo ibrido a Microsoft Entra o i nuovi dispositivi non hanno un proprietario a meno che l'utente primario non sia impostato in Microsoft Intune. Quindi, se si sta cercando un dispositivo in base al proprietario e non lo si trova, eseguire la ricerca in base all'ID del dispositivo.

  • Se viene visualizzato un dispositivo aggiunto in modo ibrido a Microsoft Entra con lo stato In sospeso nella colonna Registrato, il dispositivo è stato sincronizzato da Microsoft Entra Connect ed è in attesa di completare la registrazione dal client. Vedere Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra. Per altre informazioni, vedere Domande frequenti sulla gestione dei dispositivi.

  • Per alcuni dispositivi iOS, i nomi dei dispositivi contenenti apostrofi possono usare caratteri potenzialmente diversi, simili ad apostrofi. Quindi la ricerca di tali dispositivi è un po' difficile. Se non vengono visualizzati risultati di ricerca corretti, assicurarsi che la stringa di ricerca contenga il carattere apostrofo corrispondente.

Gestire un dispositivo Intune

Se si dispone dei diritti per gestire i dispositivi in Intune, è possibile gestire i dispositivi per i quali la gestione per i dispositivi mobili è elencata come Microsoft Intune. Se il dispositivo non è registrato con Microsoft Intune, l'opzione Gestisci non è disponibile.

Abilitare o disabilitare un dispositivo Microsoft Entra

Esistono due modi per abilitare o disabilitare i dispositivi:

  • La barra degli strumenti nella pagina Tutti i dispositivi dopo aver selezionato uno o più dispositivi.
  • La barra degli strumenti, dopo aver eseguito il drill-down per un dispositivo specifico.

Importante

  • Per abilitare o disabilitare un dispositivo, è necessario essere un amministratore di Intune o un amministratore di dispositivi cloud.
  • La disabilitazione di un dispositivo impedisce l'autenticazione tramite Microsoft Entra ID. Ciò impedisce l'accesso alle risorse di Microsoft Entra protette dall'accesso condizionale basato su dispositivo e dall'uso delle credenziali di Windows Hello for Business.
  • La disabilitazione di un dispositivo revoca il token di aggiornamento primario (PRT) ed eventuali token di aggiornamento nel dispositivo.
  • Le stampanti non possono essere abilitate o disabilitate in Microsoft Entra ID.

Eliminare un dispositivo di Microsoft Entra

Esistono due modi per eliminare un dispositivo:

  • La barra degli strumenti nella pagina Tutti i dispositivi dopo aver selezionato uno o più dispositivi.
  • La barra degli strumenti, dopo aver eseguito il drill-down per un dispositivo specifico.

Importante

  • È necessario essere un amministratore dispositivo cloud, un amministratore di Intune o un amministratore di Windows 365 per eliminare un dispositivo.
  • Non è possibile eliminare le stampanti prima che vengano eliminate da Stampa universale.
  • I dispositivi Windows Autopilot non possono essere eliminati prima che vengano eliminati da Intune.
  • L'eliminazione di un dispositivo comporta quanto segue:
    • Impedisce l'accesso alle risorse di Microsoft Entra.
    • Rimuove tutti i dettagli collegati al dispositivo. Ad esempio, le chiavi BitLocker per i dispositivi Windows.
    • È un'attività irreversibile. Non è consigliabile a meno che non sia necessario.

Se un dispositivo è gestito in un'altra autorità di gestione, ad esempio Microsoft Intune, assicurarsi che venga cancellato o ritirato prima di eliminarlo. Vedere Come gestire i dispositivi non aggiornati prima di eliminare un dispositivo.

Visualizzare o copiare l'ID dispositivo

È possibile usare l'ID dispositivo per verificare i relativi dettagli nell'ID dispositivo sul dispositivo o per risolvere i problemi tramite PowerShell. Per accedere all'opzione di copia,selezionare il dispositivo.

Screenshot che mostra un ID dispositivo e il pulsante copia.

Visualizzare o copiare le chiavi BitLocker

È possibile visualizzare e copiare le chiavi BitLocker per consentire agli utenti di recuperare le unità crittografate. Queste chiavi sono disponibili solo per i dispositivi Windows crittografati e le cui chiavi sono archiviate in Microsoft Entra ID. È possibile trovare queste chiavi quando si visualizzano i dettagli di un dispositivo selezionando Mostra chiave di ripristino. Selezionando Mostra chiave di ripristino viene generata una voce di log di controllo, disponibile nella categoria KeyManagement.

Screenshot che mostra come visualizzare le chiavi BitLocker.

Per visualizzare o copiare le chiavi BitLocker, è necessario essere il proprietario del dispositivo o avere uno di questi ruoli:

Nota

Quando i dispositivi che usano Windows Autopilot vengono riutilizzati e c'è un nuovo proprietario del dispositivo, quel nuovo proprietario di dispositivo deve contattare un amministratore per acquisire la chiave di ripristino di BitLocker per tale dispositivo. Gli amministratori con ambito di ruolo personalizzato o unità amministrativa perderanno l'accesso alle chiavi di ripristino di BitLocker per i dispositivi che hanno subito modifiche alla proprietà del dispositivo. Questi amministratori con ambito dovranno contattare un amministratore privo di ambito per le chiavi di ripristino. Per altre informazioni, vedere l'articolo Trovare l'utente primario di un dispositivo Intune.

Visualizzare e filtrare i dispositivi

È possibile filtrare l'elenco di dispositivi in base a questi attributi:

  • Stato abilitato
  • Stato conforme
  • Tipo di join (aggiunto a Microsoft Entra, aggiunto a Microsoft Entra ibrido, Microsoft Entra registrato)
  • Timestamp dell'attività
  • Tipo di sistema operativo e versione del sistema operativo
  • Tipo di dispositivo (stampante, VM protetta, dispositivo condiviso, dispositivo registrato)
  • MDM
  • Autopilot
  • Attributi di estensione
  • Unità amministrativa
  • Proprietario

Scaricare i dispositivi

Gli amministratori di dispositivi cloud e gli amministratori Intune possono usare l'opzione Scarica dispositivi per esportare un file CSV con un elenco di dispositivi. È possibile applicare i filtri per determinare quali dispositivi inserire nell'elenco. Se non vengono applicati filtri, verranno elencati tutti i dispositivi. Un'attività di esportazione può richiedere anche un'ora, a seconda delle selezioni effettuate. Se l'attività di esportazione eccede la durata di 1 ora, non riesce e non viene fornito alcun file in output.

L'elenco esportato include questi attributi di identità del dispositivo:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

È possibile applicare i seguenti filtri per l'attività di esportazione:

  • Stato abilitato
  • Stato conforme
  • Tipo di join
  • Timestamp dell'attività
  • Tipo di sistema operativo
  • Tipo di dispositivo

Configurare le impostazioni del dispositivo

Se si desidera gestire le identità dei dispositivi usando l'Interfaccia di amministrazione di Microsoft Entra, i dispositivi devono essere registrati o aggiunti a Microsoft Entra ID. In qualità di amministratore, è possibile controllare il processo di registrazione e aggiunta dei dispositivi configurando le seguenti impostazioni del dispositivo.

Per leggere o modificare le impostazioni del dispositivo è necessario disporre di uno dei seguenti ruoli:

Screenshot che mostra le impostazioni del dispositivo relative a Microsoft Entra ID.

  • Gli utenti possono aggiungere dispositivi a Microsoft Entra ID: questa impostazione consente di selezionare gli utenti che possono registrare i propri dispositivi come dispositivi aggiunti a Microsoft Entra. Il valore predefinito è All.

    Nota

    L'impostazione Gli utenti possono aggiungere dispositivi a Microsoft Entra ID è applicabile solo all'aggiunta a Microsoft Entra su Windows 10 o più recente. Questa impostazione non si applica ai dispositivi ibridi aggiunti a Microsoft Entra, alle macchine virtuali aggiunte a Microsoft Entra in Azure o ai dispositivi aggiunti a Microsoft Entra che usano la modalità di distribuzione automatica Windows Autopilot poiché tali metodi operano in un contesto privo di interazione utente.

  • Gli utenti possono registrare i propri dispositivi con Microsoft Entra ID: è necessario configurare questa impostazione per permettere agli utenti di registrare dispositivi Windows 10 o versioni successive, iOS, Android e macOS con Microsoft Entra ID. Se viene selezionata l'opzione Nessuno, i dispositivi non potranno essere registrati con Microsoft Entra ID. L'iscrizione a Microsoft Intune o alla gestione dei dispositivi mobili per Microsoft 365 richiede la registrazione dei dispositivi. Se è stato configurato uno di questi servizi, verrà selezionata l'opzione TUTTI e non l'opzione NESSUNO non sarà disponibile.

  • Richiedere l'autenticazione a più fattori per registrare o aggiungere dispositivi a Microsoft Entra ID:

    • È consigliabile che le organizzazioni usino l'azione utente Registra o aggiungi dispositivi in Accesso condizionale per applicare l'autenticazione a più fattori. È necessario configurare questa opzione su No se si usa un criterio di accesso condizionale per richiedere l'autenticazione a più fattori.
    • Questa impostazione consente di specificare se gli utenti devono fornire un altro fattore di autenticazione per aggiungere o registrare dispositivi in Microsoft Entra ID. Il valore predefinito è No. È consigliabile richiedere l'autenticazione a più fattori quando viene registrato o aggiunto un dispositivo. Prima di abilitare l'autenticazione a più fattori per questo servizio, è necessario assicurarsi che l'autenticazione a più fattori sia configurata per gli utenti che registrano i propri dispositivi. Per ulteriori informazioni sui servizi di autenticazione a più fattori di Microsoft Entra, consultare Introduzione all'autenticazione a più fattori di Microsoft Entra. Questa impostazione potrebbe non funzionare con i fornitori di identità di terze parti.

    Nota

    L'impostazione Richiedi l'autenticazione a più fattori per registrare o aggiungere dispositivi con Microsoft Entra ID si applica ai dispositivi che aggiunti a Microsoft Entra (con alcune eccezioni) o registrati da Microsoft Entra. Questa impostazione non si applica ai dispositivi ibridi aggiunti a Microsoft Entra, alle macchine virtuali aggiunte a Microsoft Entra in Azure o ai dispositivi aggiunti a Microsoft Entra che usano la modalità di distribuzione automatica di Windows Autopilot.

  • Numero massimo di dispositivi: questa impostazione consente di selezionare il numero massimo di dispositivi Microsoft Entra aggiunti o Microsoft Entra registrati che un utente può avere in Microsoft Entra ID. Se gli utenti raggiungono questo limite, non possono aggiungere altri dispositivi finché uno o più dispositivi esistenti non vengono rimossi. Il valore predefinito è 50. È possibile aumentare il valore fino a 100. Se viene immesso un valore superiore a 100, Microsoft Entra ID lo imposta su 100. È anche possibile usare il valore Senza limiti per non applicare alcun limite oltre ai limiti di quota esistenti.

    Nota

    L'impostazione Numero massimo di dispositivi si applica ai dispositivi che sono aggiunti a Microsoft Entra o Microsoft Entra registrati. Questa impostazione non si applica ai dispositivi ibridi aggiunti a Microsoft Entra.

  • Gestisci amministratori locali aggiuntivi nei dispositivi aggiunti a Microsoft Entra: questa impostazione consente di selezionare gli utenti a cui sono concessi i diritti di amministratore locale in un dispositivo. Questi utenti vengono aggiunti al ruolo Amministratori dispositivo in Microsoft Entra ID.

  • Abilita la soluzione di password di amministratore locale (LAPS) di Microsoft Entra (anteprima): LAPS è la gestione delle password degli account locali nei dispositivi Windows. LAPS offre una soluzione per gestire e recuperare in modo sicuro la password di amministratore locale predefinita. Con la versione cloud di LAPS, i clienti possono abilitare l'archiviazione e la rotazione delle password di amministratore locale per i dispositivi Microsoft Entra ID e i dispositivi aggiunti ibridi Microsoft Entra. Per informazioni su come gestire LAPS in Microsoft Entra ID, vedere l'articolo panoramica.

  • Limita gli utenti non amministratori dal ripristino delle chiavi BitLocker per i dispositivi di proprietà: gli amministratori possono bloccare l'accesso della chiave BitLocker self-service al proprietario registrato del dispositivo. Gli utenti predefiniti senza l'autorizzazione di lettura BitLocker non sono in grado di visualizzare o copiare le chiavi BitLocker per i propri dispositivi di proprietà. Per aggiornare questa impostazione, è necessario essere almeno un amministratore ruolo con privilegi.

  • Enterprise State Roaming: per informazioni su questa impostazione, vedere l'articolo panoramica.

Log di controllo

Le attività del dispositivo sono visibili nei log attività. I log includono le attività avviate dal servizio di registrazione del dispositivo e dagli utenti:

  • Creazione di un dispositivo e aggiunta di proprietari/utenti nel dispositivo
  • Modifiche alle impostazioni del dispositivo
  • Le operazioni del dispositivo, ad esempio eliminazione o aggiornamento del dispositivo
  • Operazioni in blocco, ad esempio il download di tutti i dispositivi

Nota

Quando si eseguono operazioni in blocco, ad esempio l'importazione o la creazione, è possibile che si verifichi un problema se l'operazione in blocco non viene completata entro l'ora. Per risolvere questo problema, è consigliabile suddividere il numero di record elaborati per batch. Ad esempio, prima di avviare un'esportazione, è possibile limitare il set di risultati filtrando in base a un tipo di gruppo o a un nome utente per ridurre le dimensioni dei risultati. Affinando i filtri, essenzialmente si limitano i dati restituiti dall'operazione in blocco. Per altre informazioni, vedere Limitazioni del servizio delle operazioni in blocco.

Il punto di ingresso ai dati di controllo è Log di audit nella sezione Attività della pagina Dispositivi.

Un log audit ha una visualizzazione elenco predefinita che mostra:

  • Data e ora dell'occorrenza.
  • Destinazioni.
  • Iniziatore/attore di un'attività.
  • Attività .

Screenshot che mostra una tabella nella sezione Attività della pagina Dispositivi. La tabella mostra la data, la destinazione, l'attore e l'attività per quattro log di audit.

È possibile personalizzare la visualizzazione elenco, selezionare Colonne nella barra degli strumenti:

Schermata che mostra la barra degli strumenti della pagina Dispositivi.

Per ridurre i dati segnalati a un livello appropriato, è possibile filtrarli usando questi campi:

  • Categoria
  • Tipo di risorsa attività
  • Attività
  • Date Range (Intervallo di date)
  • Destinazione
  • Avviata da (attore)

È inoltre possibile cercare voci specifiche.

Screenshot che mostra i dati di controllo che filtrano i controlli.

Passaggi successivi