Esercitazione: Configurare la registrazione Microsoft Intune per dispositivi iOS/iPadOS in Apple Business

Usare Apple Business con Microsoft Intune per semplificare e automatizzare la registrazione dei dispositivi per i dispositivi iOS/iPadOS acquistati tramite Apple Business. La registrazione automatica dei dispositivi, che verrà configurata in questa esercitazione, consente la registrazione automatica sicura la prima volta che l'utente accende il dispositivo distribuendo i criteri di registrazione nel dispositivo in modalità over-the-air.

In questa esercitazione si apprenderà come:

• Ottenere un token di registrazione del dispositivo Apple
• Sincronizzare i dispositivi gestiti con Intune
• Creare un criterio di registrazione
• Assegnare i criteri di registrazione ai dispositivi

Al termine di questa esercitazione, i dispositivi saranno pronti per la distribuzione per la registrazione.

Prerequisiti

• Impostare l'autorità di gestione dei dispositivi mobili (MDM).
• Ottenere il certificato Apple MDM Push.
• Acquistare dispositivi nuovi o cancellati da Apple Business.
• Aggiungere informazioni sull'acquisto nelle impostazioni di gestione dei dispositivi in Apple Business.

Se non si dispone di una sottoscrizione Intune, è possibile iscriversi per ottenere un account di prova gratuito.

Passaggio 1: Aggiungere il server MDM

Creare un profilo server MDM per Microsoft Intune in Apple Business. Il token scaricato in questo passaggio abiliterà la connessione tra Microsoft Intune e Apple Business in un passaggio successivo.

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Passare a Dispositivi.

3. Espandere Onboarding del dispositivo e quindi selezionare Registrazione.

4. Selezionare Apple mobile.

5. Selezionare Token del programma di registrazione.

6. Selezionare Crea.

7. Selezionare Accetto di concedere a Microsoft l'autorizzazione per l'invio di informazioni utente e dispositivo ad Apple.

8. Selezionare Scarica la chiave pubblica per scaricare il certificato della chiave pubblica del server (un file con estensione pem) nell'unità locale.

9. Selezionare Crea un token tramite Apple Business e accedere ad Apple Business con l'ID Apple aziendale.

   Importante

   Mentre sei in Apple Business, non chiudere la scheda del browser con Microsoft Intune. Verrà visualizzata in un secondo momento.

10. Aggiungere un server MDM denominato TestMDMServer e scaricare il token del server in Apple Business. Per informazioni dettagliate e istruzioni, vedere Collegamento a un server MDM di terze parti .opens Apple Business User Guide(Guida per l'utente di Apple Business). Salvare il token del server in locale come file P7M (con estensione p7m). Passare quindi al passaggio 2: Assegnare i dispositivi.

Passaggio 2: Assegnare dispositivi

Mentre si è in Apple Business, assegnare i dispositivi al nuovo server MDM (TestMDMServer o qualsiasi altro nome). Per informazioni dettagliate e istruzioni, vedere Assegnare, riassegnare o annullare l'assegnazione di dispositivi in Apple Business.Per informazioni dettagliate e istruzioni, vedere Assegnare, riassegnare o annullare l'assegnazione di dispositivi in Apple Business.For details and instructions, see Assign, reassign, or unssign devices in Apple Business(opens Apple Business User Guide). Al termine dell'assegnazione dei dispositivi, passare al passaggio 3: Caricare il token del server MDM.

Passaggio 3: Caricare il token del server MDM

Tornare all'interfaccia di amministrazione di Microsoft Intune per caricare il token del server MDM in Intune. Dopo aver caricato il token, Microsoft Intune possibile sincronizzare e registrare i dispositivi iOS/iPadOS assegnati a TestMDMServer.

1. Per ID Apple immettere l'ID Apple usato per creare il token.
2. Per il token Apple, caricare il token del server salvato in precedenza. Il file deve essere in formato P7M.
3. Seleziona Avanti.
4. Facoltativamente, applicare tag di ambito al token di registrazione per limitare ad altri amministratori l'accesso o l'applicazione di modifiche. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
5. Seleziona Avanti.
6. In Rivedi e crea selezionare Crea per completare il collegamento Microsoft Intune e Apple Business.

Microsoft Intune si sincronizza automaticamente con Apple Business. La visualizzazione dei dispositivi nell'interfaccia di amministrazione può richiedere fino a 12 ore. È possibile attendere la sincronizzazione di questi dispositivi o avviare manualmente la sincronizzazione. Per avviare la sincronizzazione manualmente, selezionare il token dall'elenco nell'interfaccia di amministrazione e quindi scegliereSincronizzazionedispositivi>.

Passaggio 4: Creare un criterio di registrazione Apple

Creare un criterio di registrazione per i dispositivi iOS/iPadOS di proprietà dell'azienda. Un criterio di registrazione dei dispositivi definisce le impostazioni applicate a un gruppo di dispositivi durante la registrazione.

1. Selezionare il token nell'interfaccia di amministrazione e quindi scegliere Criteri di registrazione.

2. Selezionare Crea criterio>iOS/iPadOS.

3. Nella pagina Informazioni di base immettere TestPolicy for Name e Testing ADE for iOS/iPadOS devices for Description (TestPolicy for Name and Testing ADE for iOS/iPadOS devices for Description). Gli utenti non visualizzano questi dettagli.

4. Seleziona Avanti.

5. Decidere se si desidera che i dispositivi vengano registrati con o senza affinità utente. L'affinità utente è progettata per i dispositivi che verranno usati da utenti specifici. Se gli utenti vogliono usare il Portale aziendale per servizi come l'installazione di app, scegliere Registra con affinità utente. Se gli utenti non hanno bisogno del Portale aziendale o si vuole effettuare il provisioning del dispositivo per molti utenti, scegliere Registra senza affinità utente.

   • Se si è scelto di eseguire la registrazione con Affinità utente, viene visualizzata l'opzione Seleziona dove gli utenti devono eseguire l'autenticazione . Decidere se si vuole eseguire l'autenticazione con Portale aziendale o Apple Setup Assistant (legacy) o Setup Assistant con l'autenticazione moderna. Per altre informazioni sui metodi di autenticazione, vedere Metodi di autenticazione per la registrazione automatica dei dispositivi in Intune.

6. Se si è scelto di eseguire la registrazione con Affinità utente e Eseguire l'autenticazione con Portale aziendale, viene visualizzata l'opzione Installa Portale aziendale con VPP. Se si installa il Portale aziendale con un token VPP, l'utente non dovrà immettere un ID Apple e una password per scaricare il Portale aziendale dall'App Store durante la registrazione. Scegliere Usa token: in Installa Portale aziendale con VPP per selezionare un token VPP con licenze gratuite del Portale aziendale disponibili. Se non si vuole usare VPP per distribuire il Portale aziendale, scegliere Non usare VPP.

   • Se si è scelto di eseguire la registrazione con Affinità utente, Eseguire l'autenticazione con Portale aziendale e Installare Portale aziendale con VPP, decidere se eseguire il Portale aziendale in modalità app singola fino all'autenticazione. Con questa impostazione, è possibile assicurarsi che l'utente non abbia accesso ad altre app fino a quando non completa la registrazione aziendale. Se si vuole limitare l'utente a questo flusso fino al completamento della registrazione, scegliere Sì in Esegui Portale aziendale in modalità app singola fino all'autenticazione.

7. In Impostazioni Gestione dispositivi scegliere Sì per Supervisione. La supervisione offre più opzioni di gestione e disabilita il blocco attivazione Apple per impostazione predefinita. Microsoft consiglia di usare la registrazione automatica dei dispositivi come meccanismo per abilitare la modalità di supervisione di Intune, in particolare per le organizzazioni che distribuiscono un numero elevato di dispositivi iOS/iPadOS.

8. Scegliere Sì in Registrazione bloccata per assicurarsi che gli utenti non possano rimuovere la gestione dei dispositivi dal dispositivo aziendale.

9. Per impostazione predefinita, Apple assegna al dispositivo il nome con il tipo di dispositivo, ad esempio iPad. Se si vuole fornire un modello di nome diverso, scegliere Sì in Applica modello di nome dispositivo. Immettere il nome da applicare ai dispositivi, dove le stringhe {{SERIAL}} e {{DEVICETYPE}} sostituiscono il numero di serie e il tipo di dispositivo di ogni dispositivo. In caso contrario, scegliere No in Applica modello di nome dispositivo.

10. Scegliere Avanti.

11. Nella pagina Assistente configurazione immettere Reparto esercitazione per Nome reparto. Questa stringa è ciò che gli utenti vedono quando toccaNo Informazioni sulla configurazione durante l'attivazione del dispositivo.

12. In Telefono del reparto immettere un numero di telefono. Questo numero viene visualizzato quando gli utenti toccano il pulsante Bisogno di assistenza durante l'attivazione.

13. È possibile visualizzare o nascondere varie schermate durante l'attivazione del dispositivo. Per un'esperienza di registrazione più semplice, impostare tutte le schermate su Nascondi.

14. Scegliere Avanti.

15. Esaminare le impostazioni dei criteri. Per salvare il criterio, selezionare Crea

Passaggio 5: Assegnare un criterio di registrazione ai dispositivi iOS/iPadOS

È necessario assegnare un criterio di registrazione automatica dei dispositivi ai dispositivi prima che possano eseguire la registrazione. Questi dispositivi vengono sincronizzati con Intune da Apple e devono essere assegnati al token del server MDM appropriato in Apple Business o Apple School Manager.

1. Nell'interfaccia di amministrazione tornare ai token del programma di registrazione. Scegliere il token dall'elenco.
2. Selezionare Dispositivi e quindi scegliere i dispositivi da assegnare.
3. Selezionare Assegna criterio. Selezionare quindi un criterio per i dispositivi.
4. Selezionare Assegna.

Nota

Assicurarsi che le restrizioni relative al tipo di dispositivo, presenti all'interno delle restrizioni di registrazione del tenant, non abbiano i criteri predefiniti Tutti gli utenti impostati per bloccare la piattaforma iOS/iPadOS. Questa impostazione causerà l'esito negativo della registrazione automatica e il dispositivo verrà visualizzato come profilo non valido, indipendentemente dall'attestazione dell'utente. Per consentire la registrazione solo da dispositivi gestiti dall'azienda, bloccare solo i dispositivi di proprietà personale, che consentiranno la registrazione dei dispositivi aziendali. Microsoft definisce un dispositivo aziendale come un dispositivo registrato tramite un programma di registrazione del dispositivo o un dispositivo immesso manualmente nell'interfaccia di amministrazione in Identificatori di dispositivo aziendali.

Passaggio 6: Distribuire i dispositivi agli utenti

È stata configurata la gestione e la sincronizzazione tra Apple e Intune e sono stati assegnati criteri per consentire la registrazione dei dispositivi ADE. È ora possibile distribuire i dispositivi agli utenti. I dispositivi con affinità utente richiedono che a ogni utente sia assegnata una licenza di Intune.

Configurazioni correlate

Oltre ad assegnare dispositivi al server MDM e a creare criteri di registrazione, è possibile usare facoltativamente le impostazioni di gestione degli accessi Apple in Apple Business (o Apple School Manager) per configurare l'accesso al servizio per gli account Apple nei dispositivi di proprietà dell'organizzazione. Microsoft Intune applica queste impostazioni dopo la registrazione. Per altre informazioni, vedere Configurare l'accesso al servizio per gli account Apple.