Gestire le identità dei dispositivi nell'interfaccia di amministrazione di Microsoft Entra

Microsoft Entra ID fornisce una posizione centrale per gestire le identità dei dispositivi e monitorare le informazioni sui relativi eventi.

È possibile accedere alla panoramica dei dispositivi completando questi passaggi:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come utente con almeno le autorizzazioni utente predefinite.
2. Passare a Entra ID DevicesOverview (Panoramica dei>>).

Nella panoramica dei dispositivi, è possibile visualizzare il numero totale di dispositivi, i dispositivi non aggiornati, i dispositivi non conformi e i dispositivi non gestiti. Sono disponibili anche collegamenti a Intune, accesso condizionale, chiavi BitLocker e monitoraggio di base. Altre funzionalità, ad esempio l'accesso condizionale e Microsoft Intune, richiedono assegnazioni di ruolo aggiuntive

I conteggi dei dispositivi nella pagina di panoramica non vengono aggiornati in tempo reale. Le modifiche dovrebbero riflettersi ogni poche ore.

Da qui è possibile passare a Tutti i dispositivi per:

• Identificare i dispositivi, tra cui:
  • Dispositivi che sono stati aggiunti o registrati in Microsoft Entra ID.
  • Dispositivi distribuiti tramite Windows Autopilot.
  • Stampanti che utilizzano stampa universale.
• Eseguire attività di gestione delle identità dei dispositivi, ad esempio abilitazione, disabilitazione, eliminazione o gestione.
  • Le opzioni di gestione per stampanti e Windows Autopilot sono limitate in Microsoft Entra ID. È necessario gestirle dalle rispettive interfacce di amministrazione.
• Configura le impostazioni di identità del dispositivo.
• Abilitare o disabilitare il roaming dello stato aziendale.
• Esaminare i log di controllo correlati ai dispositivi.
• Scaricare dispositivi.

Suggerimento

• I dispositivi Windows 10 o versioni successive uniti in modalità ibrida a Microsoft Entra non hanno un proprietario a meno che l'utente primario non venga impostato in Microsoft Intune. Quindi, se si sta cercando un dispositivo in base al proprietario e non lo si trova, eseguire la ricerca in base all'ID del dispositivo.

• Se visualizzi un dispositivo ibridamente affiliato a Microsoft Entra con lo stato In sospeso nella colonna Registrato, significa che il dispositivo è stato sincronizzato da Microsoft Entra Connect ed è in attesa di completare la registrazione dal dispositivo client. Vedere Come pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra. Per altre informazioni, vedere Domande frequenti sulla gestione dei dispositivi.

• Per alcuni dispositivi iOS, i nomi dei dispositivi contenenti apostrofi possono utilizzare caratteri diversi che sembrano apostrofi. Quindi la ricerca di tali dispositivi è un po' difficile. Se non vengono visualizzati risultati di ricerca corretti, assicurarsi che la stringa di ricerca contenga il carattere apostrofo corrispondente.

Gestire un dispositivo Intune

Se si dispone dei diritti per gestire i dispositivi in Intune, è possibile gestire i dispositivi per i quali la gestione dei dispositivi mobili è elencata come Microsoft Intune. Se il dispositivo non è registrato con Microsoft Intune, l'opzione Gestisci non è disponibile.

Abilitare o disabilitare un dispositivo Microsoft Entra

Esistono due modi per abilitare o disabilitare i dispositivi:

• La barra degli strumenti nella pagina Tutti i dispositivi dopo aver selezionato uno o più dispositivi.
• La barra degli strumenti, dopo aver eseguito il drill-down per un dispositivo specifico.

Importante

• Per abilitare o disabilitare un dispositivo, è necessario essere un amministratore di Intune o un amministratore di dispositivi cloud.
• La disabilitazione di un dispositivo impedisce l'autenticazione tramite Microsoft Entra ID. Ciò impedisce l'accesso alle risorse di Microsoft Entra protette dall'accesso condizionale basato su dispositivo e dall'uso delle credenziali di Windows Hello for Business.
• La disabilitazione di un dispositivo revoca il token di aggiornamento primario (PRT) ed eventuali token di aggiornamento nel dispositivo.
• Le stampanti non possono essere abilitate o disabilitate in Microsoft Entra ID.

Eliminare un dispositivo di Microsoft Entra

Esistono due modi per eliminare un dispositivo:

• La barra degli strumenti nella pagina Tutti i dispositivi dopo aver selezionato uno o più dispositivi.
• La barra degli strumenti, dopo aver eseguito il drill-down per un dispositivo specifico.

Importante

• È necessario essere un amministratore dispositivo cloud, un amministratore di Intune o un amministratore di Windows 365 per eliminare un dispositivo.
• Non è possibile eliminare le stampanti prima che vengano eliminate da Stampa universale.
• I dispositivi Windows Autopilot non possono essere eliminati prima che vengano eliminati da Intune.
• L'eliminazione di un dispositivo comporta quanto segue:
  • Impedisce l'accesso alle risorse di Microsoft Entra.
  • Rimuove tutti i dettagli collegati al dispositivo. Ad esempio, le chiavi BitLocker per i dispositivi Windows.
  • È un'attività irreversibile. Non è consigliabile a meno che non sia necessario.

Se un dispositivo è gestito in un'altra autorità di gestione, ad esempio Microsoft Intune, assicurarsi che venga cancellato o ritirato prima di eliminarlo. Vedere Come gestire i dispositivi non aggiornati prima di eliminare un dispositivo.

Visualizzare o copiare l'ID dispositivo

È possibile usare un ID dispositivo per verificare i dettagli sul dispositivo stesso o per risolvere i problemi tramite PowerShell. Per accedere all'opzione di copia,selezionare il dispositivo.

Visualizzare o copiare le chiavi BitLocker

È possibile visualizzare e copiare le chiavi BitLocker per consentire agli utenti di recuperare le unità crittografate. Queste chiavi sono disponibili solo per i dispositivi Windows crittografati e le cui chiavi sono archiviate in Microsoft Entra ID. È possibile trovare queste chiavi quando si visualizzano i dettagli di un dispositivo selezionando Mostra chiave di ripristino. Selezionando Mostra chiave di ripristino, viene generata una voce del log di controllo, che puoi trovare nella categoria KeyManagement.

Per visualizzare o copiare le chiavi BitLocker, è necessario essere il proprietario del dispositivo o avere uno di questi ruoli:

• Amministratore di dispositivi cloud
• Amministratore supporto tecnico
• Amministratore di Intune
• Amministratore della sicurezza
• Lettore di sicurezza

Nota

Quando i dispositivi che usano Windows Autopilot vengono riutilizzati e un nuovo proprietario del dispositivo deve contattare un amministratore per acquisire la chiave di ripristino di BitLocker per tale dispositivo. Gli amministratori con ambito ruolo personalizzato o unità amministrativa continueranno ad avere accesso alle chiavi di ripristino di BitLocker per i dispositivi che hanno subito modifiche alla proprietà del dispositivo, a meno che il nuovo proprietario del dispositivo non appartenga a un ruolo personalizzato o a un ambito di unità amministrativa. In un'istanza di questo tipo, l'utente dovrà contattare un altro amministratore con ambito per le chiavi di ripristino. Per altre informazioni, vedere l'articolo Trovare l'utente primario di un dispositivo Intune.

Visualizzare e filtrare i dispositivi

È possibile filtrare l'elenco di dispositivi in base a questi attributi:

• Stato abilitato
• Stato conforme
• Tipo di associazione (associato a Microsoft Entra, associato a Microsoft Entra ibrido, registrato su Microsoft Entra)
• Timestamp dell'attività
• Tipo di sistema operativo e versione del sistema operativo
  • Windows è visibile per i dispositivi Windows 11 e Windows 10 (con KB5006738).
  • Windows Server viene visualizzato per le versioni supportate gestite con Microsoft Defender per Endpoint.
• Tipo di dispositivo (stampante, VM protetta, dispositivo condiviso, dispositivo registrato)
• Gestione dei Dispositivi Mobili (MDM)
• Pilota automatico
• Attributi di estensione
• Unità amministrativa
• Proprietario

Scaricare i dispositivi

Gli amministratori di dispositivi cloud e gli amministratori di Intune possono usare l'opzione Scarica dispositivi per esportare un file CSV che elenca i dispositivi. È possibile applicare i filtri per determinare quali dispositivi inserire nell'elenco. Se non vengono applicati filtri, verranno elencati tutti i dispositivi. Un'attività di esportazione può richiedere anche un'ora, a seconda delle selezioni effettuate. Se l'attività di esportazione eccede la durata di 1 ora, non riesce e non viene fornito alcun file in output.

L'elenco esportato include questi attributi di identità del dispositivo:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

È possibile applicare i seguenti filtri per l'attività di esportazione:

• Stato abilitato
• Stato conforme
• Tipo di join
• Timestamp dell'attività
• Tipo di sistema operativo
• Tipo di dispositivo

Configurare le impostazioni del dispositivo

Per gestire le identità dei dispositivi tramite l'interfaccia di amministrazione di Microsoft Entra, i dispositivi devono essere registrati o aggiunti a Microsoft Entra ID. In qualità di amministratore, è possibile controllare il processo di registrazione e aggiunta dei dispositivi configurando le seguenti impostazioni del dispositivo.

Per leggere o modificare le impostazioni del dispositivo è necessario disporre di uno dei seguenti ruoli:

• Amministratore di dispositivi cloud (lettura e modifica)
• Amministratore di Intune (sola lettura)
• Amministratore di Windows 365 (sola lettura)

• Gli utenti possono aggiungere dispositivi a Microsoft Entra ID: questa impostazione consente di selezionare gli utenti che possono registrare i propri dispositivi come dispositivi aggiunti a Microsoft Entra. Il valore predefinito è All.

  Nota

  L'impostazione Users may join devices to Microsoft Entra ID è applicabile solo al collegamento a Microsoft Entra su Windows 10 o versioni successive. Questa impostazione non si applica ai dispositivi aggiunti a Microsoft Entra ibrido, alle macchine virtuali aggiunte a Microsoft Entra in Azure o ai dispositivi aggiunti a Microsoft Entra che usano la modalità di distribuzione automatica di Windows Autopilot perché questi metodi funzionano in un contesto senza utente.

• Gli utenti possono registrare i propri dispositivi con Microsoft Entra ID: è necessario configurare questa impostazione per consentire agli utenti di registrare i dispositivi personali Windows 10 o versioni successive, iOS, Android e macOS con Microsoft Entra ID. Se si seleziona Nessuno, i dispositivi non sono autorizzati a registrarsi con Microsoft Entra ID. L'iscrizione a Microsoft Intune o alla gestione dei dispositivi mobili per Microsoft 365 richiede la registrazione. Se è stato configurato uno di questi servizi, viene selezionato ALL e NONE non è disponibile.

• Richiedere l'autenticazione a più fattori per registrare o aggiungere dispositivi con Microsoft Entra ID:

  • Per applicare l'autenticazione a più fattori, è consigliabile che le organizzazioni utilizzino l'azione utente Registrare o aggiungere dispositivi in Accesso Condizionale. È necessario configurare questa opzione su No se si usa un criterio di accesso condizionale per richiedere l'autenticazione a più fattori.
  • Questa impostazione consente di specificare se gli utenti devono fornire un altro fattore di autenticazione per aggiungere o registrare dispositivi in Microsoft Entra ID. Il valore predefinito è No. È consigliabile richiedere l'autenticazione a più fattori quando viene registrato o aggiunto un dispositivo. Prima di abilitare l'autenticazione a più fattori per questo servizio, è necessario assicurarsi che l'autenticazione a più fattori sia configurata per gli utenti che registrano i propri dispositivi. Per altre informazioni sui servizi di autenticazione a più fattori Di Microsoft Entra, vedere Introduzione all'autenticazione a più fattori di Microsoft Entra. Questa impostazione potrebbe non funzionare con i fornitori di identità di terze parti.

  Nota

  L'impostazione Richiedi autenticazione a più fattori per registrare o aggiungere dispositivi con l'ID Microsoft Entra si applica ai dispositivi aggiunti a Microsoft Entra (con alcune eccezioni) o registrati da Microsoft Entra. Questa impostazione non si applica ai dispositivi aggiunti a Microsoft Entra ibridi, alle macchine virtuali aggiunte a Microsoft Entra in Azure o ai dispositivi aggiunti a Microsoft Entra che usano la modalità di distribuzione automatica di Windows Autopilot.

• Numero massimo di dispositivi: questa impostazione consente di selezionare il numero massimo di dispositivi aggiunti a Microsoft Entra o registrati da Microsoft Entra che un utente può avere in Microsoft Entra ID. Se gli utenti raggiungono questo limite, non possono aggiungere altri dispositivi finché uno o più dispositivi esistenti non vengono rimossi. Il valore predefinito è 50. È possibile aumentare il valore fino a 100. Se viene immesso un valore superiore a 100, Microsoft Entra ID lo imposta su 100. È anche possibile usare Unlimited per applicare limiti diversi dai limiti di quota esistenti.

  Nota

  L'impostazione Numero massimo di dispositivi si applica ai dispositivi che sono aggiunti a Microsoft Entra o Microsoft Entra registrati. Questa impostazione non si applica ai dispositivi ibridi aggiunti a Microsoft Entra.

• Gestisci amministratori locali aggiuntivi nei dispositivi aggiunti a Microsoft Entra: questa impostazione consente di selezionare gli utenti a cui sono concessi diritti di amministratore locale in un dispositivo. Questi utenti vengono aggiunti al ruolo Amministratori dispositivo in Microsoft Entra ID.

• Enable Microsoft Entra Local Administrator Password Solution (LAPS) (anteprima): LAPS è la gestione delle password degli account locali nei dispositivi Windows. LAPS offre una soluzione per gestire e recuperare in modo sicuro la password di amministratore locale predefinita. Con la versione cloud di LAPS, i clienti possono abilitare l'archiviazione e la rotazione delle password di amministratore locale per i dispositivi Microsoft Entra ID e i dispositivi aggiunti ibridi Microsoft Entra. Per informazioni su come gestire LAPS in Microsoft Entra ID, vedere l'articolo panoramica.

• Limitare gli utenti non amministratori dal ripristino delle chiavi BitLocker per i dispositivi di proprietà: gli amministratori possono bloccare l'accesso della chiave BitLocker self-service al proprietario registrato del dispositivo. Gli utenti predefiniti senza l'autorizzazione di lettura BitLocker non sono in grado di visualizzare o copiare le chiavi BitLocker per i propri dispositivi di proprietà. Per aggiornare questa impostazione, è necessario essere almeno un amministratore del ruolo con privilegi .

• Enterprise State Roaming: per informazioni su questa impostazione, vedere l'articolo panoramica.

Registri di audit

Le attività del dispositivo sono visibili nei log attività. I log includono le attività avviate dal servizio di registrazione del dispositivo e dagli utenti:

• Creazione di un dispositivo e aggiunta di proprietari/utenti nel dispositivo
• Modifiche alle impostazioni del dispositivo
• Le operazioni del dispositivo, ad esempio eliminazione o aggiornamento del dispositivo
• Operazioni in blocco, come scaricare i dati da tutti i dispositivi

Nota

Quando si eseguono operazioni bulk, ad esempio l'importazione o la creazione, è possibile riscontrare un problema se l'operazione bulk non viene completata entro l'ora. Per risolvere questo problema, è consigliabile suddividere il numero di record elaborati per batch. Ad esempio, prima di avviare un'esportazione, è possibile limitare il set di risultati filtrando in base a un tipo di gruppo o a un nome utente per ridurre le dimensioni dei risultati. Perfezionando i vostri filtri, essenzialmente limitate i dati restituiti dall'operazione in blocco. Per ulteriori informazioni, vedere Limitazioni del servizio operazioni in blocco.

Il punto di ingresso ai dati di controllo è Log di controllo nella sezione Attività della pagina Dispositivi .

Il log di audit ha una visualizzazione elenco predefinita che mostra:

• Data e ora dell'occorrenza.
• Obiettivi.
• Iniziatore/attore di un'attività.
• L'attività.

È possibile personalizzare la visualizzazione elenco selezionando Colonne sulla barra degli strumenti:

Per ridurre i dati segnalati a un livello appropriato, è possibile filtrarli usando questi campi:

• Categoria
• Tipo di risorsa dell'attività
• Attività
• Intervallo di date
• Destinazione
• Avviato da (attore)

È inoltre possibile cercare voci specifiche.

Passaggi successivi

• Come gestire i dispositivi non aggiornati in Microsoft Entra ID
• Risolvere i problemi relativi allo stato del dispositivo in sospeso