Configurare la registrazione per i dispositivi macOS in Intune.

  • Articolo

Microsoft Intune supporta la registrazione su dispositivi personali e di proprietà dell'azienda. Questo articolo descrive i metodi e le funzionalità che è possibile usare per registrare i dispositivi personali, di proprietà dell'azienda e delle macchine virtuali in Intune.

Abilitare la registrazione in Microsoft Intune

Completare prima questi passaggi per abilitare la registrazione nel tenant Microsoft Intune.

  1. Verificare che i dispositivi siano idonei per la registrazione dei dispositivi Apple
  2. Configurare domini
  3. Impostare l'autorità MDM
  4. Ottenere un certificato push MDM Apple
  5. Assegnare licenze utente nel interfaccia di amministrazione di Microsoft 365
  6. Creare i gruppi
  7. Configurare l'app Portale aziendale

Registrare i dispositivi

Dopo aver abilitato la registrazione, usare uno dei metodi supportati descritti in questa sezione per registrare i dispositivi di proprietà dell'utente e di proprietà dell'azienda.

Dispositivi macOS di proprietà dell'utente (BYOD)

Intune supporta bring-your-own-device o BYOD, che consente agli utenti di registrare i propri dispositivi personali. Per completare la configurazione della registrazione per gli scenari BYOD, indicare agli utenti con licenza di usare una di queste opzioni per registrare i dispositivi:

Dispositivi macOS di proprietà dell'azienda

Intune supporta i metodi di registrazione seguenti per i dispositivi macOS di proprietà dell'azienda. Selezionare un metodo con collegamento ipertestuale per aprire i passaggi di installazione.

  • Registrazione automatica dei dispositivi Apple: usare questo metodo per automatizzare l'esperienza di registrazione nei dispositivi acquistati tramite Apple Business Manager o Apple School Manager. La registrazione automatica dei dispositivi distribuisce il profilo di registrazione in modalità over-the-air, quindi non è necessario avere accesso fisico ai dispositivi.
  • Gestione registrazione dispositivi(DEM): usare questo metodo per le distribuzioni su larga scala e quando sono presenti più persone nell'organizzazione che possono essere utili per la configurazione della registrazione. Un utente con autorizzazioni di gestione registrazione dispositivi (DEM) può registrare fino a 1.000 dispositivi con un singolo account Microsoft Entra. Questo metodo usa l'app Portale aziendale o Microsoft Intune per registrare i dispositivi. Non è possibile usare un account DEM per registrare i dispositivi tramite registrazione automatica dei dispositivi.
  • Registrazione diretta: la registrazione diretta registra i dispositivi senza affinità utente, quindi questo metodo è ideale per i dispositivi non associati a un singolo utente. Questo metodo richiede l'accesso fisico ai Mac che si stanno registrando.

Token bootstrap

Intune supporta l'uso di token bootstrap nei Mac registrati che eseguono macOS 10.15 o versioni successive. I token bootstrap concedono lo stato di proprietà del volume agli account utente e guest locali in modo che gli utenti non amministratori possano approvare operazioni importanti che un amministratore avrebbe altrimenti bisogno di eseguire. Operazioni quali:

  • Aggiornamenti software avviati dall'utente

  • Installazione dell'estensione del kernel in Apple Silicon

È possibile usare i token bootstrap nei Mac con supervisione e nei Mac registrati tramite la registrazione automatica dei dispositivi macOS.

Ottenere il token bootstrap

Il token bootstrap viene generato automaticamente quando:

  • Un Mac appena registrato esegue l'check-in con Intune e
  • Un utente protetto abilitato per i token (in genere un amministratore Intune) accede al Mac con la password non crittografato

Il token viene quindi caricato automaticamente in Microsoft Intune. È possibile usare uno strumento da riga di comando per visualizzare, generare e deposito manualmente un token di bootstrap nei dispositivi macOS supportati, se necessario. Per altre informazioni sui comandi, vedere Usare il token sicuro, il token bootstrap e la proprietà del volume nelle distribuzioni nel supporto apple.

Monitorare lo stato del deposito bootstrap

È possibile monitorare lo stato del deposito per qualsiasi Mac registrato nell'interfaccia di amministrazione. La proprietà hardware con deposito del token Bootstrap indica se il token bootstrap è stato incluso o meno in Intune. Intune segnala quando il token è stato escrowed correttamente e No quando il token non è stato escrowed.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.
  2. Passare a Dispositivi>macOS.
  3. Selezionare un dispositivo dall'elenco di dispositivi macOS.
  4. Selezionare Hardware.
  5. Nei dettagli dell'hardware scorrere verso il basso fino al token Bootstrap di accesso> condizionaleescrowed.

Gestire le estensioni del kernel e gli aggiornamenti software

Un token bootstrap può essere usato per approvare l'installazione sia delle estensioni del kernel che degli aggiornamenti software in un Mac con silicio Apple.

Gli aggiornamenti software avviati dall'utente possono essere eseguiti con un token bootstrap nei Mac che eseguono macOS versione 11.1 e registrati tramite la registrazione automatica dei dispositivi. Per autorizzare gli aggiornamenti software avviati dall'utente in un dispositivo non registrato tramite la registrazione automatica del dispositivo, è necessario riavviare il Mac in modalità di ripristino e effettuare il downgrade delle impostazioni di sicurezza. È anche possibile usare il token bootstrap per gli aggiornamenti software in Mac che eseguono macOS 11.2 e versioni successive, con l'unico requisito che il dispositivo debba essere supervisionato.

La gestione delle estensioni del kernel è automaticamente disponibile nei Mac che eseguono macOS 11 o versioni successive e viene registrata tramite la registrazione automatica dei dispositivi. Per autorizzare la gestione remota delle estensioni del kernel in un dispositivo non registrato tramite la registrazione automatica del dispositivo, è necessario riavviare il Mac in modalità di ripristino e effettuare il downgrade delle impostazioni di sicurezza.

Per altre informazioni sulla modifica delle impostazioni di sicurezza, vedere Modificare le impostazioni di sicurezza nel disco di avvio di un Mac con silicio Apple nel supporto Apple.

Bloccare la registrazione macOS

Per impostazione predefinita, Intune consente la registrazione dei dispositivi macOS. Per bloccare la registrazione dei dispositivi macOS, vedere Impostare restrizioni relative al tipo di dispositivo.

Registrare macchine macOS virtuali per il test

Nota

Intune supporta macchine virtuali macOS solo a scopo di test. Non usare macchine virtuali macOS come dispositivi ufficiali per dipendenti o studenti.

Intune supporta le macchine virtuali in esecuzione:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune deve conoscere il modello hardware e il numero di serie della macchina virtuale per riconoscerlo e registrarlo come dispositivo. Se si tenta di registrare una macchina virtuale senza fornire tali dettagli, la registrazione non riesce. Questa sezione fornisce altre informazioni su come soddisfare questo requisito prima della registrazione.

Parallels Desktop

Modificare le impostazioni di configurazione della macchina virtuale per aggiungere o modificare un numero di serie della macchina virtuale e un identificatore del modello hardware. Immettere qualsiasi stringa di caratteri alfanumerici per il numero di serie. Per il modello hardware, è consigliabile usare il modello del dispositivo che esegue la macchina virtuale. Per trovare il modello hardware del Mac, selezionare il menu Apple e passare a About This MacSystem ReportModel Identifier (Informazionisull'identificatore del modello di report > del sistema Mac>).

Per altre informazioni, vedere gli argomenti seguenti in Parallels knowledge base:

VMware Fusion

Aggiungere le righe seguenti al file con estensione vmx per impostare il modello hardware e il numero di serie della macchina virtuale. I valori mostrati in questo esempio sono esempi.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"

Immettere qualsiasi stringa di caratteri alfanumerici per il numero di serie. Per il modello hardware, è consigliabile usare il modello del dispositivo che esegue la macchina virtuale. Per trovare il modello hardware del Mac, selezionare il menu Apple e passare a About This MacSystem ReportModel Identifier (Informazionisull'identificatore del modello di report > del sistema Mac>).

VMware Fusion è supportato solo in Intel Mac. Per altre informazioni sulla modifica del file con estensione vmx per la macchina virtuale VMware Fusion, vedere il sito Web di VMware Customer Connect.

Apple Silicon

Non sono necessarie modifiche per le macchine virtuali in esecuzione nell'hardware Apple Silicon. Parallels Desktop è supportato in Mac con Apple Silicon, quindi se si configura una macchina virtuale in questo modo, non è necessario modificare l'ID o il numero di serie del modello hardware.

Registrazione approvata dall'utente

Tutte le registrazioni Mac in Intune sono considerate approvate dall'utente. La registrazione approvata dall'utente consente di gestire i dispositivi macOS che non fanno parte di Apple School Manager o Apple Business Manager. Offre lo stesso livello di controllo dei dispositivi macOS con supervisione registrati tramite registrazione automatica del dispositivo o Apple Configurator.

Intune attiva automaticamente la supervisione per i dispositivi approvati dall'utente che eseguono macOS 11 e versioni successive. Questa operazione viene eseguita anche per i dispositivi registrati che in seguito vengono aggiornati a macOS 11 o versioni successive.

Nota

Intune annunciato il supporto per la registrazione approvata dall'utente a giugno 2020. Le registrazioni BYOD che si sono verificate prima di tale ora potrebbero non essere approvate dall'utente. Per altre informazioni sui dispositivi Apple che diventano approvati dall'utente, vedere Registrazione MDM approvata dall'utente nel sito Web del supporto Apple.

Esperienza utente

L'utente del dispositivo accede all'app Portale aziendale per avviare la registrazione. Portale aziendale apre quindi le preferenze di sistema del dispositivo e chiede all'utente di installare il profilo di gestione. Portale aziendale fornisce istruzioni in-app per aiutare gli utenti a trovare il profilo. Gli utenti passano aProfilipreferenze> di sistema per approvare l'installazione del profilo di gestione. Gli utenti del dispositivo che non forniscono l'approvazione durante la registrazione possono tornare alle preferenze di sistema in un secondo momento per concedere l'approvazione.

Scoprire se il dispositivo è approvato dall'utente

  1. Nell'interfaccia di amministrazione selezionare Dispositivi>Tutti i dispositivi.
  2. Scegliere un dispositivo macOS.
  3. Nel menu laterale selezionare Hardware.
  4. Controllare il valore accanto alla registrazione approvata dall'utente.

Eseguire il backup e il ripristino con Apple Migration Assistant

Usare Apple Migration Assistant per eseguire il backup e il ripristino di un dispositivo macOS. È possibile usare lo strumento per eseguire il backup di un Mac e ripristinare i dati dell'app in un nuovo dispositivo. È importante sapere:

  • Il backup del profilo di gestione nel Mac originale non viene eseguito. Al dispositivo viene inviato un nuovo profilo di gestione quando il nuovo Mac viene registrato di nuovo. Questo accade nei Mac che passano attraverso la registrazione automatica dei dispositivi Apple e i Mac che non passano attraverso la registrazione automatica dei dispositivi.
  • Portale aziendale credenziali dell'app potrebbero essere ripristinate nel nuovo Mac dopo l'esecuzione di Migration Assistant e la registrazione. In questo caso, è consigliabile che l'utente o l'utente del dispositivo completi la procedura seguente per cancellare i dati dell'app:
    1. Disconnettersi dall'app Portale aziendale.
    2. Accedere all'app o Portale aziendale sito Web.

Passaggi successivi