Configurare la registrazione automatica dei dispositivi in Intune

Si applica a iOS/iPadOS

I dispositivi di proprietà dell'azienda acquistati tramite Apple Business Manager o Apple School Manager possono essere registrati in Intune tramite la registrazione automatica dei dispositivi. Questa opzione di registrazione applica le impostazioni dell'organizzazione da Apple Business Manager e Apple School Manager e registra i dispositivi senza che sia necessario toccarli. iPhone e iPad possono essere spediti direttamente a dipendenti e studenti. Quando attivano i dispositivi, Apple Setup Assistant li guida attraverso la configurazione e la registrazione.

Questo articolo descrive come preparare e configurare la registrazione automatica dei dispositivi in Microsoft Intune.

Panoramica delle funzionalità

La tabella seguente illustra le funzionalità e gli scenari supportati con la registrazione automatica dei dispositivi.

Funzionalità Usare questa opzione di registrazione quando
Si vuole la modalità di supervisione. ✔️

La modalità supervisionata distribuisce gli aggiornamenti software, limita le funzionalità, consente e blocca le app e altro ancora.
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. ✔️
Sono disponibili nuovi dispositivi. ✔️
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). ✔️
I dispositivi sono associati a un singolo utente. ✔️
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. ✔️
I dispositivi sono personali o BYOD.

Consigliamo di non farlo. Le applicazioni nei dispositivi BYOD o personali possono essere gestite tramite MAM o la registrazione di utenti e dispositivi.
I dispositivi sono gestiti da un altro provider MDM.

Per essere completamente gestiti da Intune, gli utenti devono annullare la registrazione dal provider MDM corrente e quindi registrarsi a Intune. In alternativa, è possibile usare MAM per gestire le app specifiche nel dispositivo. Poiché questi dispositivi sono di proprietà dell'organizzazione, è consigliabile registrarli in Intune.
Si usa l'account gestione registrazione dispositivi (DEM).

L'account DEM non è supportato.

Prerequisiti

Prima di creare il profilo di registrazione, è necessario disporre di:

Prima di iniziare

Leggere questi requisiti e procedure consigliate per la registrazione per prepararsi a una corretta installazione e distribuzione.

Scegliere un metodo di autenticazione

Prima di creare il profilo di registrazione, decidere come si vuole che gli utenti eseguano l'autenticazione nei propri dispositivi: tramite l'app Portale aziendale Intune, Assistente configurazione (legacy) o Assistente configurazione con l'autenticazione moderna. L'uso dell'app Portale aziendale o dell'Assistente configurazione con l'autenticazione moderna è considerato un'autenticazione moderna e include funzionalità come l'autenticazione a più fattori.

Intune supporta anche la registrazione just-in-time per Setup Assistant con l'autenticazione moderna, eliminando la necessità dell'app Portale aziendale per la registrazione e la conformità di Azure AD. Per usare la registrazione JIT, è necessario creare un criterio di configurazione del dispositivo prima di creare il profilo di registrazione Apple e configurare Assistente configurazione con l'autenticazione moderna. Per i passaggi di procedura, vedere Configurare la registrazione JITA.

Importante

La registrazione JIT è disponibile in anteprima pubblica. Per altre informazioni, vedere Anteprima pubblica in Microsoft Intune.

Importante

La registrazione JIT non è supportata per i tenant GCC High e cloud.

Assistente configurazione con autenticazione moderna è supportato nei dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive. I dispositivi iOS/iPadOS meno recenti, dato che questo profilo userà invece Assistente configurazione (legacy) per l'autenticazione.

Per altre informazioni sulle opzioni di autenticazione, vedere Metodi di autenticazione per la registrazione automatica dei dispositivi.

Che cos'è la modalità di supervisione?

La modalità di supervisione offre un maggiore controllo di gestione sui dispositivi di proprietà dell'azienda, in modo da poter eseguire operazioni come le acquisizioni dello schermo a blocchi e la limitazione di AirDrop.

I dispositivi di proprietà dell'azienda che eseguono iOS/iPadOS 11+ e registrati tramite la registrazione automatica dei dispositivi devono essere sempre in modalità di supervisione, che è possibile attivare nel profilo di registrazione. Per altre informazioni sulla modalità con supervisione, vedere Attivare la modalità con supervisione iOS/iPadOS. Microsoft Intune ignora il flag is_supervised per i dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive perché questi dispositivi vengono automaticamente inseriti in modalità di supervisione al momento della registrazione.

Distribuzione dell'app Portale aziendale

Importante

Non è consigliabile usare la versione App Store dell'app Portale aziendale perché non è compatibile con la registrazione automatica dei dispositivi e non fornisce gli aggiornamenti automatici e la disponibilità come la distribuzione.

La distribuzione dell'app Portale aziendale Intune tramite Intune è il modo migliore per fornire l'app agli utenti e l'unico modo per:

  • Assicurarsi che tutti i dispositivi ADE, inclusi quelli già registrati, ricevano l'app.
  • Abilitare gli aggiornamenti automatici delle app per Portale aziendale nei dispositivi ADE.

Distribuire l'app come app VPP obbligatoria con licenze per dispositivi. Per informazioni su come sincronizzare, assegnare e gestire un'app VPP, vedere Assegnare un'app acquistata con volume.

Per abilitare gli aggiornamenti automatici delle app per Portale aziendale, passare alle impostazioni del token dell'app nell'interfaccia di amministrazione e impostare Aggiornamenti automatici dell'app su . Per i passaggi per accedere alle impostazioni del token, vedere Caricare un token di posizione di Apple VPP o Apple Business Manager . Se non abiliti gli aggiornamenti automatici, l'utente del dispositivo dovrà verificarli manualmente.

La gestione temporanea del dispositivo viene usata per eseguire la transizione di un dispositivo senza affinità utente a un dispositivo con affinità utente. Per organizzare un dispositivo, configurare la distribuzione VPP come descritto in precedenza in questa sezione. Configurare e distribuire quindi un criterio di configurazione dell'app. Assicurarsi che il criterio sia destinato solo ai dispositivi ADE senza affinità utente.

Importante

Durante la registrazione iniziale, Intune esegue automaticamente il push delle impostazioni dei criteri di configurazione dell'app per i dispositivi registrati con Assistente configurazione con l'autenticazione moderna, configurati in Configurare l'app Portale aziendale per supportare i dispositivi iOS e iPadOS registrati con registrazione automatica del dispositivo, quando l'impostazione del profilo di registrazione Installa Portale aziendale è impostato su sì. Questa configurazione non deve essere distribuita manualmente agli utenti perché causerà un conflitto con la configurazione inviata durante la registrazione iniziale. Se vengono distribuiti entrambi, Intune richiederà erroneamente agli utenti del dispositivo di accedere a Portale aziendale e scaricare un profilo di gestione già installato.

Limiti

  • Numero massimo di profili di registrazione per token: 1.000
  • Numero massimo di dispositivi di registrazione automatica del dispositivo per profilo: 200.000 (uguale al numero massimo di dispositivi per token).
  • Numero massimo di token di registrazione automatica del dispositivo per ogni account Intune: 2.000
  • Numero massimo di dispositivi di registrazione automatica dei dispositivi per token: 200.000
    • È consigliabile non superare i 200.000 dispositivi per ogni token. In caso contrario, potrebbero verificarsi problemi di sincronizzazione. Se si dispone di più di 200.000 dispositivi, suddividere i dispositivi in più token ADE.
    • Apple Business Manager e Apple School Manager sincronizzano circa 3.000 dispositivi con Intune al minuto. È consigliabile tenere premuta la sincronizzazione manuale dall'interfaccia di amministrazione finché non è trascorso il tempo sufficiente per consentire a tutti i dispositivi di completare la sincronizzazione (numero totale di dispositivi/3.000 dispositivi al minuto).

Risolvere i problemi di registrazione

Se si verificano problemi di sincronizzazione durante il processo di registrazione, è possibile cercare soluzioni in Risolvere i problemi di registrazione dei dispositivi iOS/iPadOS.

Ottenere un token di registrazione automatica del dispositivo Apple

Prima di poter registrare i dispositivi iOS/iPadOS con ADE, è necessario un token di registrazione automatica del dispositivo (file con estensione p7m) da Apple. Questo token consente Intune di sincronizzare le informazioni sui dispositivi ADE di proprietà dell'organizzazione. Consente inoltre Intune di caricare i profili di registrazione in Apple e di assegnare i dispositivi a tali profili.

Usare Apple Business Manager (ABM) o Apple School Manager (ASM) per creare un token e assegnare dispositivi a Intune per la gestione.

Nota

È possibile usare il portale ABM o il portale ASM per abilitare ADE. Il resto di questo articolo fa riferimento al portale ABM, ma i passaggi sono gli stessi per entrambi i portali.

Passaggio 1: Scaricare il certificato di chiave pubblica Intune

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Dispositivi iOS/iPadOSiOS/iPadOS enrollment:In Microsoft Endpoint Manager admin center, select Devices>iOS/iPadOS> iOS/iPadOS enrollment:

    Screenshot che mostra Microsoft'interfaccia di amministrazione di Endpoint Manager.

  2. Selezionare Enrollment Program TokensAdd (Aggiungi token > del programma di registrazione).

  3. Nella scheda Nozioni di base :

    1. Selezionare Accetto di concedere l'autorizzazione a Microsoft per inviare informazioni sull'utente e sul dispositivo ad Apple:

      Screenshot che mostra la schermata Aggiungi token del programma di registrazione.

    2. Selezionare Scarica il certificato di chiave pubblica Intune necessario per creare il token. Questo passaggio scarica e salva il file della chiave di crittografia (con estensione pem) in locale. Il file con estensione pem viene usato per richiedere un certificato di relazione di trust dal portale di Apple Business Manager.

      Questo file con estensione pem verrà caricato in Apple Business Manager nel passaggio 2: Passare al portale di Apple Business Manager (in questo articolo).

    3. Mantenere aperta la scheda e la pagina del Web browser. Se si chiude la scheda:

      • Il certificato scaricato viene invalidato.
      • È necessario ripetere i passaggi.
      • Nella scheda Rivedi e crea il pulsante Crea non è disponibile e non è possibile completare questa procedura.

Passaggio 2: Passare al portale di Apple Business Manager

Usare il portale di Apple Business Manager per creare e rinnovare il token ADE (server MDM). Questo token viene aggiunto a Intune e comunica tra Intune e Apple.

Nota

I passaggi seguenti descrivono le operazioni da eseguire in Apple Business Manager. Per i passaggi specifici, vedere la documentazione di Apple. La Guida per l'utente di Apple Business Manager (sul sito Web apple) potrebbe essere utile.

Scaricare il token Apple

  1. In Apple Business Manager accedere con l'ID Apple dell'azienda.

  2. In questo portale completare la procedura seguente.

    • Nelle impostazioni vengono visualizzati tutti i token. Aggiungere un server MDM e caricare il certificato con chiave pubblica (file con estensione pem) scaricato da Intune nel passaggio 1: Scaricare il certificato di chiave pubblica Intune (in questo articolo).

      Usare il nome del server per identificare il server di gestione dei dispositivi mobili (MDM). Non è il nome o l'URL del servizio Microsoft Intune.

    • Dopo aver salvato il server MDM, selezionarlo e quindi scaricare il token (file con estensione p7m). Questo token con estensione p7m verrà caricato in Intune nel passaggio 4: Caricare il token e completare (in questo articolo).

Assegnare dispositivi al token Apple (server MDM)

  1. In Dispositivi Apple Business Manager> selezionare i dispositivi da assegnare a questo token. È possibile ordinare in base a varie proprietà del dispositivo, ad esempio il numero di serie. È anche possibile selezionare più dispositivi contemporaneamente.
  2. Modificare la gestione dei dispositivi e selezionare il server MDM appena aggiunto. Questo passaggio assegna i dispositivi al token.

Passaggio 3: Salvare l'ID Apple

  1. Nel Web browser tornare alla pagina Aggiungi token del programma di registrazione in Intune. Questa pagina dovrebbe essere stata aperta, come indicato nel passaggio 1: Scaricare il certificato di chiave pubblica Intune (in questo articolo).

  2. In ID Apple immettere l'ID. Questo passaggio salva l'ID. L'ID può essere usato in futuro.

    Sreenshot che mostra la casella ID Apple nella scheda Informazioni di base.

Passaggio 4: Caricare il token e completare

  1. In Token Apple passare al file del certificato con estensione p7m e quindi selezionare Apri.

    Questo token con estensione p7m è stato scaricato nel passaggio 2: Passare al portale di Apple Business Manager.

  2. Selezionare Avanti.

  3. (Facoltativo). Se si vogliono applicare tag di ambito a questo token ADE, fare clic su Seleziona tag di ambito e quindi selezionare i tag di ambito esistenti. I tag di ambito applicati a un token vengono ereditati dai profili e dai dispositivi registrati di Active Directory aggiunti al token. I dispositivi a cui si fa riferimento sono i dispositivi sincronizzati da ABM/ASM e registrati tramite registrazione automatica del dispositivo e visualizzati all'interno del token specifico.

    Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

    Selezionare Avanti.

  4. Nella pagina Rivedi e crea selezionare Crea.

Con il certificato push, Intune possono registrare e gestire i dispositivi iOS/iPadOS eseguendo il push dei criteri nei dispositivi mobili registrati. Intune si sincronizza automaticamente con Apple per accedere all'account del programma di registrazione.

Creare un profilo di registrazione Apple

Dopo aver installato il token, è possibile creare un profilo di registrazione per i dispositivi ADE. Un profilo di registrazione del dispositivo definisce le impostazioni applicate a un gruppo di dispositivi durante la registrazione. È previsto un limite di 1.000 profili di registrazione per ogni token ADE.

Nota

I dispositivi verranno bloccati se non sono presenti licenze di Portale aziendale sufficienti per un token VPP o se il token è scaduto. Intune avvisi quando un token sta per scadere o le licenze sono in esaurimento.

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Dispositivi>iOS/iPadOSiOS/iPadOSEnrollment program tokens (Token del programma di registrazione >iOS/iPadOS>).
  2. Selezionare un token e quindi selezionare Profili.
  3. Selezionare Crea profilo>iOS/iPadOS.
  4. Per Informazioni di base, assegnare al profilo un nome e una descrizione per scopi amministrativi. Gli utenti non visualizzano questi dettagli.
  5. Selezionare Avanti.

Importante

Se si apportano modifiche alle impostazioni del profilo di registrazione esistenti, le nuove modifiche non saranno effettive sui dispositivi assegnati fino a quando i dispositivi non vengono reimpostati alle impostazioni di fabbrica e riattivati. La riattivazione si verifica quando il payload di gestione remota viene ricevuto nei dispositivi ADE. La ridenominazione del modello di nome del dispositivo è l'unica modifica che è possibile apportare che non richiede un ripristino delle impostazioni predefinite.

  1. Nell'elenco Affinità utente selezionare un'opzione che determina se i dispositivi con questo profilo devono essere registrati con o senza un utente assegnato.

    • Eseguire la registrazione con affinità utente. Selezionare questa opzione per i dispositivi appartenenti agli utenti che vogliono usare Portale aziendale per servizi come l'installazione di app.

    • Registrare senza affinità utente. Selezionare questa opzione per i dispositivi non associati a un singolo utente. Usare questa opzione per i dispositivi che non accedono ai dati utente locali. Questa opzione viene in genere usata per i dispositivi in modalità tutto schermo, pos (POS) o con utilità condivisa.

      In alcune situazioni, è possibile associare un utente primario ai dispositivi registrati senza affinità utente. Per eseguire questa attività, è possibile inviare la IntuneUDAUserlessDevice chiave all'app Portale aziendale in un criterio di configurazione dell'app per i dispositivi gestiti. Il primo utente che accede all'app Portale aziendale viene stabilito come utente primario. Se il primo utente si disconnette e un secondo utente accede, il primo utente rimane l'utente primario del dispositivo. Per altre informazioni, vedere Configurare l'app Portale aziendale per supportare dispositivi iOS e iPadOS ADE.

  2. Se è stato selezionato Registra con affinità utente per il campo Affinità utente , è ora possibile scegliere il metodo di autenticazione che i dipendenti devono usare. Per altre informazioni su ogni metodo di autenticazione, vedere Metodi di autenticazione per la registrazione automatica dei dispositivi.

    Screenshot delle opzioni del metodo di autenticazione.

    Le opzioni disponibili sono:

    • Portale aziendale
    • Assistente configurazione (legacy)
    • Assistente configurazione con autenticazione moderna
  3. Se è stato selezionato Assistente configurazione (legacy) per il metodo di autenticazione, ma si vuole anche usare l'accesso condizionale o distribuire app aziendali nei dispositivi, è necessario installare Portale aziendale nei dispositivi e accedere per completare la registrazione di Azure AD. A tale scopo, selezionare per Installa Portale aziendale. Se si vuole che gli utenti ricevano Portale aziendale senza dover eseguire l'autenticazione nel App Store, in Installa Portale aziendale con VPP selezionare un token VPP. Assicurarsi che il token non scada e che siano disponibili licenze per dispositivi sufficienti per la distribuzione corretta dell'app Portale aziendale.

  4. Se si seleziona un token per Installa Portale aziendale con VPP, è possibile bloccare il dispositivo in modalità app singola (in particolare, l'app Portale aziendale) subito dopo il completamento dell'Assistente configurazione. Selezionare per Esegui Portale aziendale in modalità app singola fino all'autenticazione per impostare questa opzione. Per usare il dispositivo, l'utente deve prima eseguire l'autenticazione accedendo con Portale aziendale.

    Nota

    L'autenticazione a più fattori non è supportata in un singolo dispositivo bloccato in modalità app singola. Questa limitazione esiste perché il dispositivo non può passare a un'app diversa per completare il secondo fattore di autenticazione. Se si vuole l'autenticazione a più fattori in un dispositivo in modalità app singola, il secondo fattore deve trovarsi in un dispositivo diverso.

    Questa funzionalità è supportata solo per iOS/iPadOS 11.3.1 e versioni successive.

    Screenshot che mostra l'opzione Esegui Portale aziendale in modalità app singola.

  5. Se si vuole che i dispositivi che usano questo profilo siano supervisionati, selezionare nell'elenco Supervisionato :

    Screenshot che mostra l'opzione Supervisionato.

    I dispositivi con supervisione offrono più opzioni di gestione e disabilitato Blocco attivazione per impostazione predefinita. Microsoft consiglia di usare ADE come meccanismo per abilitare la modalità di supervisione, soprattutto se si distribuisce un numero elevato di dispositivi iOS/iPadOS. I dispositivi Apple Shared iPad for Business devono essere supervisionati.

    Gli utenti ricevono una notifica che informa che i dispositivi sono supervisionati in due modi:

    • La schermata di blocco dice: Questo iPhone è gestito dal nome della società.
    • La schermata Impostazioni>generali>su dice: Questo iPhone è supervisionato. Il nome della società può monitorare il traffico Internet e individuare il dispositivo.

    Nota

    Se un dispositivo viene registrato senza supervisione, è necessario usare Apple Configurator se si vuole impostarlo su supervisionato. Per ripristinare il dispositivo in questo modo, è necessario collegarlo a un Mac con un cavo USB. Per altre informazioni, vedere La Guida di Apple Configurator.

  6. Nell'elenco Registrazione bloccata selezionare o No. La registrazione bloccata disabilita le impostazioni di iOS/iPadOS che consentono la rimozione del profilo di gestione. Se si abilita la registrazione bloccata, il pulsante nell'app Impostazioni che consente agli utenti di rimuovere un profilo di gestione verrà nascosto e gli utenti non potranno annullare la registrazione del dispositivo.

    La registrazione bloccata funziona in modo leggermente diverso, in un primo momento nei dispositivi non acquistati originariamente tramite Apple Business Manager, ma successivamente aggiunti come parte della registrazione automatica dei dispositivi: gli utenti di questi dispositivi visualizzeranno il pulsante Rimuovi gestione nell'app Impostazioni per i primi 30 giorni dopo l'attivazione del dispositivo. Dopo tale periodo provvisorio, l'opzione sarà nascosta. Per altre informazioni, vedere Preparare i dispositivi manualmente (apre la documentazione della Guida di Apple Configurator).

    Importante

    Questa impostazione è diversa dalle opzioni di rimozione e reimpostazione nell'app Portale aziendale. Indipendentemente dalla modalità di configurazione della registrazione bloccata, le opzioni Rimuovi dispositivo o Ripristino delle impostazioni predefinite nell'app Portale aziendale rimangono non disponibili nei dispositivi registrati tramite la registrazione automatica del dispositivo. Gli utenti non saranno in grado di rimuovere il dispositivo nel sito Web Portale aziendale. Per altre informazioni sulle azioni self-service disponibili nei dispositivi registrati, vedere Azioni self-service.

  7. Se nei passaggi precedenti è stato selezionato Registra senza affinità utente e supervisionato , è necessario decidere se configurare i dispositivi in modo che siano dispositivi Apple Shared iPad for Business. Selezionare per iPad condiviso per consentire a più utenti di accedere a un singolo dispositivo. Gli utenti eseguono l'autenticazione usando gli ID Apple gestiti e gli account di autenticazione federata o una sessione temporanea, ad esempio l'account Guest. Questa opzione richiede iOS/iPadOS 13.4 o versione successiva. Con iPad condiviso, tutti i riquadri assistente configurazione dopo l'attivazione vengono ignorati automaticamente.

    Nota

    • Una cancellazione del dispositivo sarà necessaria se un profilo di registrazione iOS/iPadOS con l'iPad condiviso abilitato viene inviato a un dispositivo non supportato. I dispositivi non supportati includono qualsiasi modello di iPhone e iPad che eseguono iPadOS/iOS 13.3 e versioni precedenti. I dispositivi supportati includono iPad che eseguono iPadOS 13.3 e versioni successive.
    • Per configurare Apple Shared iPad for Business, configurare queste impostazioni:
      • Nell'elenco Affinità utente selezionare Registra senza affinità utente.
      • Nell'elenco Supervisionato selezionare .
      • Nell'elenco iPad condiviso selezionare .

    Se si configurano dispositivi Apple Shared iPad for Business, configurare anche:

    • Numero massimo di utenti memorizzati nella cache: immettere il numero di utenti che si prevede di usare l'iPad condiviso. È possibile memorizzare nella cache fino a 24 utenti in un dispositivo da 32 GB o 64 GB. Se si sceglie un numero basso, potrebbero essere necessari alcuni minuti prima che i dati degli utenti vengano visualizzati nei dispositivi dopo l'accesso. Se si sceglie un numero elevato, gli utenti potrebbero esaurire lo spazio su disco.

    • Numero massimo di secondi dopo il blocco dello schermo prima che sia necessaria la password: immettere il numero di secondi compreso tra 0 e 14.400. Se il blocco dello schermo supera questa quantità di tempo, per sbloccare il dispositivo sarà necessaria una password del dispositivo. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 13.0 e versioni successive.

    • Numero massimo di secondi di inattività fino alla disconnessione della sessione utente: il valore minimo consentito per questa impostazione è 30. Se non è presente alcuna attività dopo il periodo definito, la sessione utente termina e l'utente viene disconnetteto. Se si lascia vuota la voce o la si imposta su zero (0), la sessione non terminerà a causa dell'inattività. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 14.5 e versioni successive.

    • Richiedi solo sessione temporanea per iPad condiviso: configura il dispositivo in modo che gli utenti visualizzino solo la versione guest dell'esperienza di accesso e debbano accedere come guest. Non possono accedere con un ID Apple gestito. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 14.5 e versioni successive.

      Se impostata su , questa impostazione annulla le impostazioni condivise dell'iPad seguenti, perché non sono applicabili nelle sessioni temporanee:

      • Numero massimo di utenti memorizzati nella cache
      • Numero massimo di secondi dopo il blocco dello schermo prima che sia necessaria la password
      • Numero massimo di secondi di inattività fino alla disconnessione della sessione utente
    • Numero massimo di secondi di inattività fino alla disconnessione della sessione temporanea: il valore minimo consentito per questa impostazione è 30. Se non è presente alcuna attività dopo il periodo definito, la sessione temporanea termina e disconnette l'utente. Se si lascia vuota la voce o la si imposta su zero (0), la sessione non terminerà a causa dell'inattività. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 14.5 e versioni successive.

      Questa impostazione è disponibile quando Richiedi solo sessione temporanea iPad condivisa è impostata su .

    Nota

    • Se le sessioni temporanee sono abilitate, tutti i dati dell'utente vengono eliminati quando si disconnettono dalla sessione. Ciò significa che tutti i criteri e le app di destinazione verranno assegnati all'utente al momento dell'accesso e verranno cancellati quando l'utente si disconnette.
    • Per modificare una configurazione di iPad condivisi per non avere sessioni temporanee, il dispositivo dovrà essere completamente reimpostato e un nuovo profilo di registrazione con le configurazioni aggiornate dovrà essere inviato all'iPad.
  8. Nell'elenco Sincronizza con computer selezionare un'opzione per i dispositivi che usano questo profilo. Se si seleziona Consenti Apple Configurator per certificato, è necessario scegliere un certificato in Certificati di Apple Configurator.

    Nota

    Se si imposta Sincronizza con i computer su Nega tutto, la porta sarà limitata nei dispositivi iOS e iPadOS. La porta sarà limitata solo alla ricarica. Verrà bloccato l'uso di iTunes o Apple Configurator 2.

    Se si imposta Sincronizza con i computer su Consenti Apple Configurator per certificato, assicurarsi di avere una copia locale del certificato che sarà possibile usare in un secondo momento. Non sarà possibile apportare modifiche alla copia caricata ed è importante conservare una copia del certificato. Se si vuole connettersi al dispositivo iOS/iPadOS da un dispositivo macOS o un PC, lo stesso certificato deve essere installato nel dispositivo che effettua la connessione al dispositivo iOS/iPadOS.

  9. Se nel passaggio precedente è stato selezionato Consenti Apple Configurator per certificato , scegliere un certificato di Apple Configurator da importare.

  10. È possibile specificare un formato di denominazione per i dispositivi che vengono applicati automaticamente quando vengono registrati e a ogni check-in successivo. Per creare un modello di denominazione, selezionare in Applica modello di nome dispositivo. Quindi, nella casella Modello nome dispositivo immettere il modello da usare per i nomi che usano questo profilo. È possibile specificare un formato modello che includa il tipo di dispositivo e il numero di serie. Questa funzionalità supporta iPhone, iPad e iPod Touch. La voce del modello del nome del dispositivo non può superare la lunghezza di 63 caratteri, incluse le variabili.

  11. È possibile attivare un piano dati cellulare. Questa impostazione si applica ai dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive. La configurazione di questa opzione invierà un comando per attivare i piani dati della rete cellulare per i dispositivi cellulari abilitati per eSim. Il gestore deve effettuare il provisioning delle attivazioni per i dispositivi prima di poter attivare i piani dati usando questo comando. Per attivare il piano dati cellulare, fare clic su e quindi immettere l'URL del server di attivazione del gestore telefonico.

  12. Selezionare Avanti.

  13. Nella scheda Assistente configurazione configurare le impostazioni del profilo seguenti:

    Impostazione reparto Descrizione
    Department Viene visualizzata quando gli utenti toccano Informazioni configurazione durante l'attivazione.
    Telefono del reparto Viene visualizzato quando gli utenti toccano il pulsante Serve aiuto durante l'attivazione.

    È possibile scegliere di nascondere le schermate dell'Assistente configurazione nel dispositivo durante l'installazione dell'utente.

    • Se si seleziona Nascondi, la schermata non verrà visualizzata durante l'installazione. Dopo aver configurato il dispositivo, l'utente può comunque passare al menu Impostazioni per configurare la funzionalità.
    • Se si seleziona Mostra, la schermata verrà visualizzata durante l'installazione, ma solo se sono presenti passaggi da completare dopo il ripristino o dopo l'aggiornamento software. Gli utenti possono talvolta ignorare lo schermo senza intervenire. Possono quindi passare successivamente al menu Impostazioni del dispositivo per configurare la funzionalità.
    • Con l'iPad condiviso, tutti i riquadri assistente configurazione dopo l'attivazione vengono ignorati automaticamente indipendentemente dalla configurazione.
    Funzionalità di Assistente configurazione Cosa accade quando è visibile
    Passcode Richiedere all'utente un passcode. È sempre necessario un passcode per i dispositivi non protetti, a meno che l'accesso non sia controllato in altro modo. Ad esempio, una configurazione in modalità tutto schermo che limita il dispositivo a un'app. Per iOS/iPadOS 7.0 e versioni successive.
    Servizi di posizione Chiedere all'utente la sua posizione. Per macOS 10.11 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    Eseguire il ripristino Visualizzare la schermata Dati app & . Questa schermata offre agli utenti la possibilità di ripristinare o trasferire dati da Backup iCloud quando configurano il dispositivo. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    ID Apple Concedere all'utente le opzioni per accedere con il proprio ID Apple e usare iCloud. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    Termini e condizioni Richiedere all'utente di accettare i termini e le condizioni di Apple. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    Touch ID e Face ID Concedere all'utente la possibilità di configurare l'impronta digitale o l'identificazione facciale nel dispositivo. Per macOS 10.12.4 e versioni successive e iOS/iPadOS 8.1 e versioni successive. In iOS/iPadOS 14.5 e versioni successive, le schermate Passcode e Touch ID Setup Assistant durante la configurazione del dispositivo non funzionano. Se si usa la versione 14.5+, non configurare le schermate Passcode o Touch ID Setup Assistant. Se è necessario un passcode nei dispositivi, usare un criterio di configurazione del dispositivo o un criterio di conformità. Dopo che l'utente si è registrato e ha ricevuto i criteri, viene richiesto un passcode.
    Apple Pay Concedere all'utente l'opzione per configurare Apple Pay nel dispositivo. Per macOS 10.12.4 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    Zoom Concedere all'utente l'opzione per ingrandire lo schermo quando configura il dispositivo. Per iOS/iPadOS 8.3 e versioni successive.
    Siri Concedere all'utente l'opzione per configurare Siri nel dispositivo. Per macOS 10.12 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    Dati di diagnostica Visualizzare la schermata Diagnostica. Questa schermata offre all'utente l'opzione per inviare dati diagnostici ad Apple. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
    Visualizza tonalità Offrire all'utente l'opzione per attivare l'opzione Tonalità di visualizzazione. Per macOS 10.13.6 e versioni successive e iOS/iPadOS 9.3.2 e versioni successive.
    Privacy Visualizzare la schermata Privacy. Per macOS 10.13.4 e versioni successive e iOS/iPadOS 11.3 e versioni successive.
    Migrazione Android Offrire all'utente la possibilità di eseguire la migrazione dei dati da un dispositivo Android. Per iOS/iPadOS 9.0 e versioni successive.
    FaceTime di iMessage & Concedere all'utente l'opzione per configurare iMessage e FaceTime. Per iOS/iPadOS 9.0 e versioni successive.
    Onboarding Visualizza le schermate informative di onboarding per la formazione degli utenti, ad esempio Cover Sheet e Multitasking e Control Center. Per iOS/iPadOS 11.0 e versioni successive.
    Tempo davanti allo schermo Visualizzare la schermata Tempo davanti allo schermo. Per macOS 10.15 e versioni successive e iOS/iPadOS 12.0 e versioni successive.
    Configurazione SIM Offrire all'utente la possibilità di aggiungere un piano per cellulare. Per iOS/iPadOS 12.0 e versioni successive.
    Aggiornamento software Visualizzare la schermata di aggiornamento software obbligatorio. Per iOS/iPadOS 12.0 e versioni successive.
    Migrazione watch Offrire all'utente la possibilità di eseguire la migrazione dei dati da un watch. Per iOS/iPadOS 11.0 e versioni successive.
    Aspetto Visualizzare la schermata Aspetto. Per macOS 10.14 e versioni successive e iOS/iPadOS 13.0 e versioni successive.
    Migrazione da un dispositivo a un altro Concedere all'utente la possibilità di eseguire la migrazione dei dati da un dispositivo precedente a questo dispositivo. Questa funzionalità non è disponibile per i dispositivi ADE che eseguono iOS 13 e versioni successive, quindi questa schermata non verrà visualizzata in tali dispositivi.
    Ripristino completato Mostra agli utenti la schermata Ripristina completato dopo l'esecuzione di un backup e un ripristino durante l'Assistente configurazione.
    Aggiornamento software completato Mostra all'utente tutti gli aggiornamenti software che si verificano durante l'Assistente configurazione.
    Per iniziare Mostra agli utenti la schermata iniziale di Introduzione.
  14. Selezionare Avanti.

  15. Per salvare il profilo, selezionare Crea.

Nota

Se è necessario registrare nuovamente il dispositivo registrazione automatica del dispositivo, è necessario prima cancellare il dispositivo dalla console di amministrazione Intune. Per ripetere la registrazione:

  1. Cancellare il dispositivo dalla console Intune.
    • In alternativa, ritirare il dispositivo dalla console di Intune e ripristinare le impostazioni predefinite del dispositivo usando l'app Impostazioni, Apple Configurator 2 o iTunes.
  2. Attivare di nuovo il dispositivo ed eseguire l'Assistente configurazione per ricevere il profilo di gestione remota.

Gruppi dinamici in Azure Active Directory

È possibile usare il campo Nome registrazione per creare un gruppo dinamico in Azure Active Directory (Azure AD). Per altre informazioni, vedere Gruppi dinamici di Azure Active Directory.

È possibile usare il nome del profilo per definire il parametro enrollmentProfileName per assegnare i dispositivi con questo profilo di registrazione.

Per il recapito dei criteri più veloce nei dispositivi ADE con affinità utente, assicurarsi che l'utente che esegue la registrazione sia un membro, prima della configurazione del dispositivo, di un gruppo di utenti di Azure AD.

Se si assegnano gruppi dinamici ai profili di registrazione, potrebbe verificarsi un ritardo nella distribuzione di applicazioni e criteri ai dispositivi dopo la registrazione.

Sincronizzare i dispositivi gestiti

Ora che Intune ha le autorizzazioni per gestire i dispositivi, è possibile sincronizzare Intune con Apple per visualizzare i dispositivi gestiti in Intune nel portale di Azure.

  1. In Microsoft'interfaccia di amministrazione di Endpoint Manager selezionare Dispositivi>iOS/iPadOSiOS/iPadOSEnrollment Program Tokens (Token del programma diregistrazione> iOS/iPadOS>).

  2. Selezionare un token nell'elenco e quindi selezionareSincronizzazionedispositivi>:

    Screenshot che mostra come sincronizzare i dispositivi iOS e iPadOS con un token del programma di registrazione.

    Per seguire le condizioni di Apple per il traffico accettabile del programma di registrazione, Intune impone le restrizioni seguenti:

    • La sincronizzazione completa può essere eseguita solo una volta ogni sette giorni. Durante la sincronizzazione completa, Intune recupera l'elenco completo e aggiornato dei numeri di serie assegnati al server MDM di Apple connesso a Intune.

      Importante

      Se un dispositivo viene eliminato da Intune, ma rimane assegnato al token di registrazione ADE nel portale ASM/ABM, verrà nuovamente visualizzato in Intune alla successiva sincronizzazione completa. Se non si vuole che il dispositivo venga riassegnato in Intune, annullarne l'assegnazione dal server MDM Apple nel portale ABM/ASM.

    • Se un dispositivo viene rilasciato da ABM/ASM, potrebbero essere necessari fino a 45 giorni affinché venga automaticamente eliminato dalla pagina dei dispositivi in Intune. Se necessario, è possibile eliminare manualmente uno alla volta i dispositivi rilasciati da Intune. I dispositivi rilasciati verranno segnalati accuratamente come rimossi da ABM/ASM in Intune fino a quando non vengono eliminati automaticamente entro 30-45 giorni.
    • Una sincronizzazione differenziale viene eseguita automaticamente ogni 12 ore. È anche possibile attivare una sincronizzazione differenziale selezionando il pulsante Sincronizza (non più di una volta ogni 15 minuti). Il tempo concesso per il completamento di una richiesta di sincronizzazione è pari a 15 minuti. Il pulsante Sincronizza rimane disabilitato finché non viene completata la sincronizzazione. Questa sincronizzazione aggiornerà lo stato del dispositivo esistente e importerà nuovi dispositivi assegnati al server MDM Apple. Se una sincronizzazione differenziale ha esito negativo per qualsiasi motivo, la sincronizzazione successiva sarà una sincronizzazione completa per risolvere eventuali problemi.

Assegnare un profilo di registrazione ai dispositivi

Prima che i dispositivi possano essere registrati, è necessario assegnare loro un profilo del programma di registrazione.

Nota

È anche possibile assegnare numeri di serie ai profili nel riquadro Numeri di serie Apple .

  1. In Microsoft'interfaccia di amministrazione di Endpoint Manager selezionare Dispositivi>iOS/iPadOSiOS/iPadOSEnrollment Program Tokens (Token del programma diregistrazione> iOS/iPadOS>). Selezionare un token nell'elenco.
  2. Selezionare Dispositivi. Selezionare dispositivi nell'elenco e quindi selezionare Assegna profilo.
  3. In Assegna profilo scegliere un profilo per i dispositivi e quindi selezionare Assegna.

Assegnare un profilo predefinito

È possibile selezionare un profilo predefinito da applicare a tutti i dispositivi registrati con un token specifico.

  1. In Microsoft'interfaccia di amministrazione di Endpoint Manager selezionare Dispositivi>iOS/iPadOSiOS/iPadOSEnrollment Program Tokens (Token del programma diregistrazione> iOS/iPadOS>). Selezionare un token nell'elenco.
  2. Selezionare Imposta profilo predefinito, selezionare un profilo nell'elenco e quindi selezionare Salva. Il profilo verrà applicato a tutti i dispositivi che si registrano con il token.

Nota

Assicurarsi che le restrizioni relative al tipo di dispositivo in Restrizioni di registrazione non abbiano i criteri predefiniti Tutti gli utenti impostati per bloccare la piattaforma iOS/iPadOS. Questa impostazione causerà l'esito negativo della registrazione automatica e il dispositivo verrà visualizzato come Profilo non valido, indipendentemente dall'attestazione dell'utente. Per consentire la registrazione solo da dispositivi gestiti dall'azienda, bloccare solo i dispositivi di proprietà personale, che consentiranno la registrazione dei dispositivi aziendali. Microsoft definisce un dispositivo aziendale come dispositivo registrato tramite un programma di registrazione dispositivi o un dispositivo immesso manualmente in Identificatori di dispositivo aziendali.

Distribuire i dispositivi

È stata abilitata la gestione e la sincronizzazione tra Apple e Intune e è stato assegnato un profilo in modo che i dispositivi ADE possano essere registrati. A questo momento si è pronti per distribuire i dispositivi agli utenti. Alcune cose da sapere:

  • I dispositivi registrati con affinità utente richiedono che a ogni utente venga assegnata una licenza Intune.

  • I dispositivi registrati senza affinità utente in genere non hanno utenti associati. Questi dispositivi devono avere una licenza del dispositivo Intune. Se i dispositivi registrati senza affinità utente verranno usati da un utente con licenza Intune, non è necessaria una licenza del dispositivo.

    Per riepilogare, se un dispositivo ha un utente, all'utente deve essere assegnata una licenza Intune. Se il dispositivo non dispone di un utente con licenza Intune, il dispositivo deve avere una licenza del dispositivo Intune.

    Per altre informazioni sulle licenze Intune, vedere Microsoft Intune licenze e la guida alla pianificazione Intune.

  • Un dispositivo attivato deve essere cancellato prima che possa essere registrato correttamente usando ADE in Intune. Dopo che è stato cancellato, ma prima di attivarlo di nuovo, è possibile applicare il profilo di registrazione. Vedere Configurare un iPhone, un iPad o un iPod touch esistente

  • Se si esegue la registrazione con ADE e affinità utente, durante l'installazione può verificarsi l'errore seguente:

    The SCEP server returned an invalid response.

    È possibile risolvere questo errore provando a scaricare nuovamente la gestione entro 15 minuti. Se sono stati più di 15 minuti, per risolvere questo errore è necessario reimpostare le impostazioni predefinite del dispositivo. Questo errore si verifica a causa di un limite di tempo di 15 minuti per i certificati SCEP, applicato per la sicurezza.

Per informazioni sull'esperienza utente finale, vedere Registrare il dispositivo iOS/iPadOS in Intune usando ADE.

Rinnovare un token di registrazione automatica del dispositivo

A volte è necessario rinnovare i token:

  • Rinnovare il token ADE ogni anno. L'interfaccia di amministrazione di Endpoint Manager mostra la data di scadenza.
  • Se la password dell'ID Apple cambia per l'utente che ha configurato il token in Apple Business Manager, rinnovare il token del programma di registrazione in Intune e Apple Business Manager.
  • Se l'utente che ha configurato il token in Apple Business Manager lascia l'organizzazione, rinnovare il token del programma di registrazione in Intune e Apple Business Manager.
  • Se si modifica l'ID Apple usato per creare il token ADE, la modifica non influirà sui dispositivi attualmente registrati.

Rinnovare i token

  1. Passare a business.apple.com e accedere con un account con un ruolo Amministratore o Gestione registrazione dispositivi.

  2. Selezionare Impostazioni. In Server MDM selezionare il server MDM associato al file di token da rinnovare. Selezionare Scarica token:

    Screenshot che mostra come rinnovare e scaricare un token Apple in Apple Business Manager.

  3. Selezionare Scarica token server.

    Nota

    Come indicato nel prompt, non selezionare Scarica token server se non si intende rinnovare il token. In questo modo, il token usato da Intune o da qualsiasi altra soluzione MDM verrà invalidato. Se il token è già stato scaricato, assicurarsi di continuare con i passaggi successivi fino al rinnovo del token.

  4. Dopo aver scaricato il token, passare a Microsoft'interfaccia di amministrazione di Endpoint Manager. Selezionare Dispositivi>iOS/iPadOSiOS/iPadOSenrollment program tokens (Token del programma di registrazione>iOS/iPadOS>). Selezionare il token.

  5. Selezionare Rinnova token. Immettere l'ID Apple usato per creare il token originale (se non viene popolato automaticamente):

    Screenshot che mostra la pagina Rinnova token.

  6. Caricare il token appena scaricato.

  7. Selezionare Avanti per passare alla pagina Tag ambito . Assegnare i tag di ambito, se si vuole.

  8. Selezionare Rinnova token. Verrà visualizzata una conferma del rinnovo del token:

    Screenshot che mostra il messaggio di conferma.

Eliminare un token di registrazione automatica del dispositivo da Intune

È possibile eliminare un token del profilo di registrazione da Intune purché:

  • Al token non sono assegnati dispositivi.
  • Nessun dispositivo assegnato al profilo predefinito.
  • Non sono presenti profili di registrazione in tale token.

Per eliminare un token del profilo di registrazione:

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare Dispositivi>iOS/macOSiOS/macOSEnrollment Program Tokens (Token del programma di registrazione>iOS/macOS>). Selezionare il token e quindi Dispositivi.
  2. Eliminare tutti i dispositivi assegnati al token.
  3. Passare a Dispositivi>iOS/macOSiOS/macOS EnrollmentProgram Tokens (Token del programma di registrazione> iOS/macOS>). Selezionare il token e quindi selezionare Profili.
  4. Se è presente un profilo predefinito o un altro profilo di registrazione, è necessario eliminarli tutti.
  5. Passare a Dispositivi>iOS/macOSiOS/macOS EnrollmentProgram Tokens (Token del programma di registrazione> iOS/macOS>). Selezionare il token e quindi selezionare Elimina.

Passaggi successivi

Scenari di backup e ripristino per iOS/iPadOS

Panoramica della registrazione di iOS/iPadOS