Passaggio 5: Registrare i dispositivi in Microsoft Intune

Nella fase finale della distribuzione, i dispositivi vengono registrati o aggiunti all'ID Microsoft Entra, registrati in Microsoft Intune e verificati la conformità.

Durante la registrazione, Microsoft Intune installa un certificato di gestione dei dispositivi mobili (MDM) nel dispositivo, che consente a Intune di applicare i profili di registrazione, le restrizioni di registrazione e i criteri e i profili creati in precedenza in questa guida.

In questo articolo viene descritto:

• Procedura per preparare la registrazione in Microsoft Intune per i dispositivi di proprietà dell'azienda e di proprietà dell'utente.
• Opzioni di registrazione per ogni piattaforma del sistema operativo.
• Monitoraggio, risoluzione dei problemi e risorse post-registrazione.

Introduzione

Se questa è la prima volta che si distribuiscono i profili di registrazione con Intune o si sta provando una nuova configurazione, iniziare in piccolo e usare un approccio a fasi. Assegnare il profilo di registrazione a un gruppo pilota o di test. Dopo il test iniziale, aggiungere altri utenti al gruppo pilota. Se tutto va bene, assegnare il profilo di registrazione a più gruppi pilota. Per altre informazioni e suggerimenti, vedere la guida alla pianificazione: Passaggio 5 - Creare un piano di implementazione.

La registrazione in Microsoft Entra ID è un passaggio necessario per la gestione di Intune. Prima che un dispositivo possa registrarsi in Intune, l'utente del dispositivo deve autenticare e stabilire un'identità del dispositivo nell'ID Microsoft Entra dell'organizzazione. Questo passaggio concede all'utente l'accesso Single Sign-On alle app di lavoro basate sul cloud e ad altre risorse. È importante sapere quale opzione di identità si sta usando perché determina i metodi di registrazione che è possibile usare e determina anche l'esperienza di accesso per l'utente del dispositivo. Le opzioni di identità includono:

• La registrazione di Microsoft Entra è l'opzione di identità del dispositivo disponibile per i dispositivi mobili personali e di proprietà dell'azienda. Gli utenti di questi dispositivi eseguono l'autenticazione accedendo alle risorse di lavoro, ad esempio app e Web browser, usando l'account di lavoro dell'ID Microsoft Entra.
• Microsoft Entra aggiunto è l'opzione di identità del dispositivo disponibile per i dispositivi Windows 10/11 di proprietà dell'azienda che usano le opzioni di co-gestione. Gli utenti su questi dispositivi eseguono l'autenticazione accedendo al dispositivo usando l'account di lavoro Microsoft Entra ID.

Configurazioni di preregistrazione

Preparare i dispositivi per la registrazione configurando le funzionalità di registrazione, ad esempio le restrizioni di registrazione, la categorizzazione dei dispositivi e i responsabili della registrazione dei dispositivi. Queste configurazioni consentono di migliorare e semplificare l'esperienza di registrazione per l'utente e gli utenti del dispositivo e consentono di rimanere organizzati nell'interfaccia di amministrazione. Configurarli prima di creare il profilo di registrazione.

L'impostazione della disponibilità varia in base alla piattaforma del sistema operativo.

Annullare la registrazione e reimpostare i dispositivi esistenti

Se i dispositivi sono attualmente registrati in un altro provider MDM, annullare la registrazione dei dispositivi dal provider MDM esistente prima di registrarli in Intune. La tabella seguente illustra i dispositivi che richiedono un ripristino delle impostazioni predefinite prima della registrazione in Intune.

Piattaforma	È necessario il ripristino delle impostazioni predefinite?
Dispositivi android enterprise di proprietà personale con un profilo di lavoro (BYOD)	No
Profilo di lavoro aziendale Android Enterprise (COPE)	Sì
Android Enterprise completamente gestito (COBO)	Sì
Dispositivi dedicati Android Enterprise (COSU)	Sì
Amministratore di dispositivi Android (DA)	No
iOS/iPadOS (BYOD)	No
iOS/iPadOS (ADE)	Sì
Linux	No
macOS (BYOD)	No
macOS (ADE)	Sì
Windows	No

---

I dispositivi che non richiedono una reimpostazione iniziano a installare i profili di Intune non appena si registrano. Le impostazioni configurate in precedenza possono rimanere nei dispositivi se non le si modifica in Intune prima della registrazione.

Aggiungere manager di registrazione dispositivi

È consigliabile usare i responsabili della registrazione dei dispositivi quando è necessario registrare e preparare un numero elevato di dispositivi per la distribuzione. Un account di gestione registrazione dispositivi può registrare e gestire fino a 1.000 dispositivi, mentre un account standard non amministratore può registrare solo 15 dispositivi. Un gestore di registrazione dispositivi è un utente Microsoft Entra non amministratore che può:

• Registrare fino a 1000 dispositivi di proprietà dell'azienda in Intune
• Accedere al portale aziendale di Intune per ottenere le app aziendali
• Configurare l'accesso ai dati aziendali distribuendo app specifiche del ruolo nei dispositivi

Alcuni metodi di registrazione, ad esempio la registrazione automatica dei dispositivi apple, non sono compatibili con l'account del manager di registrazione dispositivi, quindi assicurarsi che il metodo scelto sia supportato prima di iniziare la configurazione.

Per altre informazioni e limitazioni, vedere Aggiungere gestori di registrazione dispositivi.

Creare restrizioni di registrazione dei dispositivi

Usare questa funzionalità nell'interfaccia di amministrazione di Microsoft Intune per limitare la registrazione di determinati dispositivi in Intune. Esistono due tipi di restrizioni di registrazione dei dispositivi che è possibile configurare in Microsoft Intune:

• Restrizioni della piattaforma dei dispositivi: limitare i dispositivi in base alla piattaforma, alla versione, al produttore o al tipo di proprietà del dispositivo.
• Restrizioni relative ai limiti dei dispositivi: limitare il numero di dispositivi che un utente può registrare in Intune.

Le restrizioni di registrazione non sono disponibili per Linux e alcuni scenari di registrazione di Windows. Per altre informazioni, vedere Panoramica delle restrizioni di registrazione .

Creare criteri di termini e condizioni

È possibile usare un criterio di termini e condizioni di Intune per divulgare le dichiarazioni di non responsabilità legali e i requisiti di conformità agli utenti del dispositivo prima della registrazione. Questo criterio richiede all'utente dei dispositivi di accettare i termini e le condizioni dell'organizzazione prima di registrare il dispositivo o accedere alle risorse protette. I termini e le condizioni vengono visualizzati agli utenti di destinazione nell'app Portale aziendale di Intune.

Se si sta cercando un maggiore controllo, inclusa la posizione in cui vengono visualizzate le condizioni, valutare la possibilità di configurare le condizioni per l'utilizzo di Microsoft Entra. I termini di Microsoft Entra vengono visualizzati agli utenti quando accedono ad app e risorse mirate e offrono impostazioni più granulari rispetto ai termini e alle condizioni di Intune.

Per altre informazioni, vedere Termini e condizioni per l'accesso utente.

Richiedere l'autenticazione a più fattori

Richiedere agli utenti di eseguire l'autenticazione tramite multi-factor authentication (MFA) durante la registrazione. Se è necessaria l'autenticazione a più fattori, gli utenti che vogliono registrare i dispositivi devono eseguire l'autenticazione con un secondo dispositivo e due forme di credenziali prima di poter registrare il dispositivo. Si tratta di un passaggio condizionale una tantum e garantisce che la persona nel dispositivo sia quella che dichiara di essere. È possibile abilitare questo comportamento per tutte le piattaforme ad eccezione di Linux usando criteri di accesso condizionale con criteri di autenticazione a più fattori. Microsoft Entra ID P1 o P2 è obbligatorio.

Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi di Intune.

Classificare i dispositivi in gruppi

Creare una categoria di dispositivi in Intune, ad esempio infermieristica o marketing, e Intune aggiungerà automaticamente tutti i dispositivi che rientrano in tale categoria al gruppo di dispositivi corrispondente in Intune.

Questa funzionalità è disponibile per tutte le piattaforme ad eccezione di Linux. Per altre informazioni, vedere Categorizzare i dispositivi in gruppi.

Registrazione per dispositivi Android

È possibile registrare dispositivi Android personali o di proprietà dell'azienda in Intune. È consigliabile usare soluzioni di registrazione Android Enterprise per dispositivi personali e aziendali che usano Google Mobile Services. Per i dispositivi di proprietà dell'azienda che non dispongono di Google Mobile Services e sono compilati da Android Open Source Project (AOSP), usare i metodi di registrazione AOSP.

Prerequisiti

Connettere Intune all'account Google Play gestito. La connessione è necessaria per tutte le opzioni di gestione di Android Enterprise, tra cui:

• Profilo di lavoro di proprietà personale di Android Enterprise
• Profilo di lavoro di proprietà dell'azienda Android Enterprise
• Android Enterprise completamente gestito
• Android Enterprise dedicato

Metodi di registrazione Android

Le schede seguenti descrivono le opzioni di registrazione Android e AOSP supportate da Intune.

Di proprietà dell'azienda

• Dispositivi di proprietà dell'azienda con un profilo di lavoro: registrare i dispositivi di proprietà dell'azienda approvati anche per uso personale. Questo metodo crea un profilo di lavoro separato nel dispositivo in modo che l'utente possa passare dalle app personali alle app di lavoro in modo semplice e sicuro. L'utente del dispositivo registra il dispositivo tramite l'app Microsoft Intune. Gli amministratori possono gestire le app e i dati nel profilo di lavoro. Questo metodo è allineato alla soluzione di gestione dei profili di lavoro di proprietà dell'azienda Android Enterprise .

• Completamente gestito: registrare i dispositivi di proprietà dell'azienda esclusivamente per lavoro e non per uso personale. Al dispositivo registrato è associato un utente. È possibile gestire l'intero dispositivo e applicare controlli dei criteri non disponibili con il metodo del profilo di lavoro Android Enterprise. Questo metodo è allineato alla soluzione di gestione completamente gestita di Android Enterprise .

• Dispositivo dedicato: registrare i dispositivi di proprietà dell'azienda, a uso singolo o in modalità tutto schermo usati per elementi come l'segnaletica digitale, la stampa dei biglietti o la gestione dell'inventario. Con questo metodo, è possibile limitare le app e i collegamenti Web disponibili nel dispositivo e impedire agli utenti di usare il dispositivo all'esterno dell'ambito previsto. Questo metodo è allineato alla soluzione di gestione dei dispositivi dedicati Android Enterprise .

• Dispositivi senza utente di proprietà dell'azienda: registrare i dispositivi creati dal progetto Open Source Android (AOSP) e assenti dai servizi Google Mobile come dispositivi di proprietà dell'azienda e senza utente. Questi dispositivi non hanno un utente associato e devono essere condivisi, ad esempio in una libreria o in un lab.

• Dispositivi associati all'utente di proprietà dell'azienda: registrare i dispositivi creati da AOSP e assenti dai servizi Google Mobile come dispositivi di proprietà dell'azienda associati all'utente. Questi dispositivi sono associati a un singolo utente e destinati esclusivamente all'uso aziendale.

• Registrazione zero-touch: è consigliabile usare la registrazione zero-touch per le registrazioni in blocco e semplificare la registrazione per i lavoratori remoti. Questo metodo consente di preparare in anticipo i dispositivi di proprietà dell'azienda in modo che esechino automaticamente il provisioning e la registrazione come dispositivi completamente gestiti quando gli utenti li attivano.

Di proprietà dell'utente

Dispositivi di proprietà personale con un profilo di lavoro: supporto della registrazione per i dispositivi personali in scenari BYOD. Durante la registrazione, viene creato un profilo di lavoro separato nel dispositivo in modo che gli utenti possano passare dalle app personali alle app di lavoro in modo semplice e sicuro. Il proprietario del dispositivo registra il dispositivo tramite l'app Portale aziendale di Intune. Gli amministratori possono gestire le app e i dati nel profilo di lavoro. Questo metodo è allineato al profilo di lavoro Android Enterprise per la soluzione di gestione dei dispositivi di proprietà personale .

Importante

Microsoft Intune sta terminando il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.

Registrazione per dispositivi Apple

Questa sezione descrive le opzioni di registrazione disponibili per i dispositivi iOS/iPadOS e Mac in Intune.

Prerequisiti

Completare i prerequisiti seguenti prima di creare il profilo di registrazione per i dispositivi Apple:

• Caricare un certificato push MDM Apple in Intune. Per altre informazioni, vedere Ottenere il certificato push MDM.
• Ottenere un token del programma di registrazione Apple se si prevede di registrare i dispositivi tramite la registrazione automatica dei dispositivi Apple. Per altre informazioni, vedere:
  • Ottenere il token del programma di registrazione Apple per iOS/iPadOS
  • Ottenere il token del programma di registrazione Apple per macOS

Soluzioni di registrazione Apple

Nella tabella seguente vengono descritte le soluzioni di registrazione per i dispositivi che eseguono iOS/iPadOS e macOS.

Di proprietà dell'azienda

• Registrazione automatica dei dispositivi per iOS/iPadOS e per i dispositivi Mac: registrare i dispositivi nuovi o cancellati acquistati da Apple Business Manager o Apple School Manager con la registrazione automatica dei dispositivi. Questo metodo di registrazione automatizzato per i dispositivi di proprietà dell'azienda applica le impostazioni dell'organizzazione da Apple Business Manager e Apple School Manager, supporta la modalità di supervisione e registra i dispositivi senza che sia necessario toccarli. Quando gli utenti attivano i dispositivi, Apple Setup Assistant li guida attraverso la configurazione e la registrazione.

• Apple Configurator per iOS/iPadOS e per i dispositivi Mac: registrare manualmente i dispositivi di proprietà dell'azienda nuovi o esistenti tramite Apple Configurator. Questa opzione è ideale per le registrazioni in blocco e quando non si ha accesso ad Apple School Manager, Apple Business Manager o quando è necessaria una connessione di rete cablata. È necessario avere accesso fisico ai dispositivi perché è necessario connettersi e configurare i dispositivi in un Mac. Esistono due percorsi diversi che è possibile seguire:

  • Registrazione assistente configurazione: questo metodo cancella il dispositivo e lo prepara per la registrazione in Apple Configurator. Quando gli utenti attivano i dispositivi, viene avviato Assistente configurazione e quindi i dispositivi si registrano in Intune. È necessario avere accesso ai numeri di serie del dispositivo, perché è necessario immetterli nell'interfaccia di amministrazione.
  • Registrazione diretta: questo metodo consente di registrare il dispositivo prima della distribuzione e di non cancellare il dispositivo. I dispositivi registrati in questo modo non sono associati a un utente, pertanto è consigliabile usare questa opzione per i dispositivi condivisi o in modalità tutto schermo. Le istruzioni sono diverse per i dispositivi macOS e iOS, quindi assicurarsi di usare la documentazione di procedura corretta per i dispositivi.

Di proprietà dell'utente

• Registrazione BYOD per Mac: abilitare la registrazione in Intune per i Mac di proprietà personale in scenari BYOD (Bring Your Own Device). Gli utenti del dispositivo con licenza di Intune inizializzano la registrazione accedendo all'app Portale aziendale nel dispositivo.

• Registrazione utente Apple: abilitare la registrazione utente Apple per i dispositivi iOS/iPadOS di proprietà personale in scenari BYOD. Questa opzione offre ai proprietari dei dispositivi la possibilità di proteggere l'intero dispositivo o solo le app e i dati correlati al lavoro e mantiene i dati gestiti e le app in un volume separato dai dati personali dell'utente. La registrazione avviene nell'app Portale aziendale.

• Registrazione dei dispositivi Apple: abilitare la registrazione dei dispositivi Apple per i dispositivi iOS/iPadOS di proprietà personale in scenari BYOD. Questo metodo offre un maggiore controllo sulle impostazioni di configurazione del dispositivo rispetto alla registrazione utente. Ad esempio, è possibile applicare requisiti più granulari per i passcode.

Registrazione per Linux

I dipendenti e gli studenti in scenari BYOD possono registrare dispositivi Linux personali in Microsoft Intune. La registrazione consente loro di accedere alle risorse di lavoro in Microsoft Edge.

Gli amministratori di Intune non devono eseguire alcuna operazione per abilitare la registrazione di Linux nell'interfaccia di amministrazione. Viene abilitato automaticamente. Quando gli utenti registrano i propri dispositivi Linux, verranno visualizzati nell'interfaccia di amministrazione. Per altre informazioni, vedere Registrare i dispositivi desktop Linux in Microsoft Intune.

Registrazione per Windows

Questa sezione descrive le soluzioni di registrazione disponibili per i dispositivi personali e di proprietà dell'azienda che eseguono Windows 10 o Windows 11.

Nota

La registrazione di Microsoft Intune è supportata nei dispositivi negli ambienti cloud. La co-gestione con Configuration Manager è supportata negli ambienti locali.

Metodi di registrazione di Windows

La tabella seguente descrive i metodi di registrazione supportati per i dispositivi che eseguono Windows 10 e Windows 11.

Registrazione automatica

Semplificare la registrazione in Intune per dipendenti e studenti abilitando la registrazione automatica per Windows. Per altre informazioni, vedere Abilitare la registrazione automatica.

• Partecipare a Microsoft Entra con la registrazione automatica: questa opzione è supportata nei dispositivi acquistati dall'utente o dall'utente del dispositivo per l'uso aziendale. La registrazione viene eseguita durante l'esperienza predefinita, dopo che l'utente ha eseguito l'accesso con il proprio account aziendale e ha aggiunto l'ID Microsoft Entra o scegliendo di aggiungere il dispositivo all'ID Microsoft Entra quando si connette un account aziendale o dell'istituto di istruzione dall'app Impostazioni (come descritto nella guida alla registrazione dei dispositivi Windows - Attività dell'utente finale). Questa soluzione è ideale quando non si ha accesso al dispositivo, ad esempio in ambienti di lavoro remoti. Quando questi dispositivi vengono registrati, la proprietà del dispositivo cambia in proprietà dell'azienda e si ottiene l'accesso alle funzionalità di gestione non disponibili nei dispositivi contrassegnati come di proprietà personale.

• Modalità di distribuzione automatica o guidata dall'utente di Windows Autopilot: la registrazione automatica è supportata con i profili basati sull'utente di Windows Autopilot (sia per gli scenari di aggiunta ibrida di Microsoft Entra che per gli scenari di aggiunta a Microsoft Entra) o auto-distribuzione (solo microsoft entra join) e può essere usata per desktop, portatili e chioschi multimediali di proprietà dell'azienda. Gli utenti del dispositivo ottengono l'accesso desktop dopo l'installazione del software e dei criteri necessari. È necessaria una licenza Microsoft Entra ID P1 o P2. È consigliabile usare solo l'aggiunta a Microsoft Entra, che offre la migliore esperienza utente ed è più facile da configurare. Negli scenari in cui Active Directory locale è ancora necessario, è possibile usare l'aggiunta ibrida di Microsoft Entra, ma è necessario installare il connettore Intune per Active Directory e i dispositivi devono essere in grado di connettersi a un controller di dominio tramite una rete locale o una connessione VPN.

• Co-gestione con Configuration Manager: la co-gestione è ideale per gli ambienti che gestiscono già i dispositivi con Configuration Manager e vogliono integrare i carichi di lavoro di Microsoft Intune. La co-gestione è l'atto di spostare i carichi di lavoro da Configuration Manager a Intune e di indicare al client Windows chi è l'autorità di gestione per quel particolare carico di lavoro. Ad esempio, è possibile gestire i dispositivi con criteri di conformità e carichi di lavoro di configurazione dei dispositivi in Intune e usare Configuration Manager per tutte le altre funzionalità, ad esempio i criteri di distribuzione e sicurezza delle app.

• Registrazione tramite Criteri di gruppo: è possibile usare Criteri di gruppo per attivare la registrazione automatica dei dispositivi aggiunti ibridi di Microsoft Entra senza alcuna interazione dell'utente. Il processo di registrazione viene avviato in background (tramite un'attività pianificata) dopo l'accesso di un utente sincronizzato con ID Microsoft Entra nel dispositivo. È consigliabile usare questo metodo negli ambienti in cui i dispositivi sono aggiunti a Microsoft Entra ibrido e non gestiti tramite Configuration Manager.

Registrazione BYOD

Queste opzioni possono essere usate dagli utenti in scenari BYOD che vogliono registrare i propri dispositivi personali senza aggiungerli a un dominio.

• Connettere un account aziendale o dell'istituto di istruzione: gli utenti accedono all'app Impostazioni nel dispositivo e aggiungono l'account aziendale o dell'istituto di istruzione. Aggiungono il proprio indirizzo di posta elettronica aziendale senza selezionare un'opzione di aggiunta a un dominio.
• Registrazione tramite l'app Portale aziendale di Intune: gli utenti accedono all'app Portale aziendale di Intune con il proprio account aziendale per registrare i dispositivi. Possono installare portale aziendale da Microsoft Store.
• Registrazione tramite un accesso all'app Microsoft 365: gli utenti accedono a un'app o a un servizio Microsoft 365, ad esempio Exchange Online, da un dispositivo non gestito e non registrato con il proprio account aziendale. Nel prompt di accesso seleziona Consenti all'organizzazione di gestire il dispositivo.

In tutti questi scenari BYOD, i dispositivi sono registrati e gestiti da Intune. Se entrambi gli ambiti utente MDM e MAM sono abilitati per un utente nella configurazione della registrazione automatica di Intune, l'ambito utente MAM avrà la precedenza e il dispositivo non verrà registrato e gestito da Intune.

Registrazione in blocco tramite pacchetto di provisioning

Workplace aggiunge e registra un numero elevato di dispositivi di proprietà dell'azienda in Microsoft Entra ID e Intune senza dover ricreare l'immagine. Questo processo richiede la creazione di un pacchetto di provisioning tramite l'app Progettazione configurazione di Windows. È possibile applicare il pacchetto durante la configurazione guidata del dispositivo o caricarlo nel dispositivo nell'app Impostazioni.

Altre funzionalità di registrazione di Windows

Sono disponibili altre opzioni di registrazione di Windows in Intune per migliorare o semplificare l'esperienza di gestione dei dispositivi per l'utente e i dipendenti:

• Impostazioni di co-gestione: abilitare le impostazioni di co-gestione per integrare i carichi di lavoro di Configuration Manager con Intune. La co-gestione consente di usare le funzionalità di Intune e Configuration Manager per gestire i dispositivi.
• Convalida CNAME: convalidare un alias DNS (Domain Name Server) (tipo di record CNAME) creato per reindirizzare le richieste di registrazione ai server di Intune. L'alias semplifica la registrazione per gli utenti in assenza dell'ID Microsoft Entra P1 o P2 e della registrazione automatica.
• Pagina stato registrazione: abilitare la pagina Stato registrazione in modo che gli utenti che eseguono la configurazione del dispositivo possano visualizzare e tenere traccia dello stato di avanzamento dell'installazione.

Report e risoluzione dei problemi

Tenere traccia delle registrazioni utente incomplete e abbandonate. Questo report di Microsoft Intune indica dove gli utenti del portale aziendale non sono riusciti a completare il processo di registrazione.

Per la documentazione sulla risoluzione dei problemi, vedere Risolvere i problemi di registrazione dei dispositivi.

Risorse

Altre guide alla registrazione sono disponibili nella documentazione di Microsoft Intune. Queste guide includono confronti visivi, procedure pratiche, suggerimenti e procedure consigliate per la registrazione per ogni piattaforma supportata.

• Guida di registrazione Android
• Guida di registrazione iOS/iPadOS
• Guida alla registrazione di Linux
• Guida alla registrazione macOS
• Guida di registrazione Windows

Passaggi successivi

1. Configurare Microsoft Intune
2. Aggiungere, configurare e proteggere le app
3. Pianificare i criteri di conformità
4. Creare i profili di configurazione dei dispositivi
5. 🡺 Registrare i dispositivi (si è qui)