Guida alla registrazione: Registrare i dispositivi macOS in Microsoft Intune
I dispositivi personali e di proprietà dell'organizzazione possono essere registrati in Intune. Nei dispositivi macOS, l'app Portale aziendale o Apple Setup Assistant autentica gli utenti e avvia la registrazione. Una volta registrati, ricevono i criteri creati.
Durante la registrazione dei dispositivi macOS sono disponibili le opzioni seguenti:
- BYOD: Registrazione del dispositivo
- Registrazione automatica dei dispositivi (ADE)
- Registrazione diretta
Questo articolo:
- Descrive le opzioni dell'app Portale aziendale per ogni metodo di registrazione.
- Fornisce raccomandazioni di registrazione per gli scenari di gestione dei dispositivi supportati.
- Include una panoramica delle attività dell'amministratore e dell'utente per ogni tipo di registrazione.
È anche disponibile una guida visiva delle diverse opzioni di registrazione per ogni piattaforma:
Scaricare la versione | PDFScaricare la versione di Visio
Consiglio
Questa guida è una cosa vivente. Assicurarsi quindi di aggiungere o aggiornare suggerimenti e indicazioni esistenti che sono stati trovati utili.
Prima di iniziare
Per tutti i prerequisiti e le configurazioni specifici Intune necessari per preparare il tenant per la registrazione, vedere Guida alla registrazione: Microsoft Intune registrazione.
BYOD: Registrazione del dispositivo
Usare per dispositivi personali o BYOD (Bring Your Own Devices). Questa opzione di registrazione è nota anche come registrazione approvata dall'utente.
Funzionalità | Usare questa opzione di registrazione quando |
---|---|
I dispositivi sono personali o BYOD. | ✅ |
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). | ✅ |
Si dispone di dispositivi nuovi o esistenti. | ✅ |
I dispositivi sono associati a un singolo utente. | ✅ |
Si usa l'account gestione registrazione dispositivi (DEM). | ✅ Tenere presente l'impatto e le eventuali limitazioni tramite l'account DEM. |
I dispositivi sono gestiti da un altro provider MDM. | ❌ Quando un dispositivo viene registrato, i provider MDM installano certificati e altri file. Questi file devono essere rimossi. Il modo più rapido potrebbe essere annullare la registrazione o reimpostare le impostazioni predefinite dei dispositivi. Se non si vuole reimpostare le impostazioni predefinite, contattare il provider MDM per istruzioni. |
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. | ❌ Non consigliato per i dispositivi di proprietà dell'organizzazione. I dispositivi di proprietà dell'organizzazione devono essere registrati tramite registrazione automatica dei dispositivi (in questo articolo) o Apple Configurator. È possibile aggiungere i numeri di serie di MacBook agli identificatori dei dispositivi aziendali per contrassegnare i dispositivi come aziendali. Per impostazione predefinita, tuttavia, i dispositivi sono contrassegnati come personali. |
I dispositivi sono senza utente, ad esempio chiosco multimediale, dedicato o condiviso. | ❌ Questi dispositivi sono di proprietà dell'organizzazione. I dispositivi senza utente devono essere registrati usando la registrazione automatica dei dispositivi (in questo articolo) o Apple Configurator. |
Attività di amministratore della registrazione del dispositivo
Questo elenco di attività offre una panoramica.
Assicurarsi che i dispositivi siano supportati.
Assicurarsi che il certificato push MDM Apple venga aggiunto a Intune ed sia attivo. Questo certificato è necessario per registrare i dispositivi macOS. Per altre informazioni, vedere Ottenere un certificato push MDM Apple.
Non esiste un'app Portale aziendale per dispositivi macOS nel App Store Apple o tramite VPP. Gli utenti devono scaricare ed eseguire manualmente il pacchetto di installazione dell'app Portale aziendale. Eseguono l'accesso con l'account dell'organizzazione (
user@contoso.com
) e quindi eseguono la registrazione. Dopo la registrazione, devono approvare i criteri di registrazione.Quando approvano, il dispositivo viene aggiunto all'organizzazione Microsoft Entra ID. È quindi disponibile per Intune per ricevere i criteri.
Assicurarsi di comunicare queste informazioni con gli utenti.
Attività dell'utente finale di registrazione del dispositivo
Gli utenti devono seguire questa procedura. Per informazioni più specifiche sui passaggi dell'utente finale, vedere Registrare il dispositivo macOS usando l'app Portale aziendale.
- Scaricare ed eseguire il pacchetto del programma di installazione dell'app Portale aziendale.
- Aprire l'app Portale aziendale e accedere con l'account dell'organizzazione (
user@contoso.com
). Dopo aver eseguito l'accesso, devono approvare i criteri di registrazione (preferenze di sistema). Quando gli utenti approvano, il dispositivo viene registrato e considerato gestito. Se non approvano, non vengono registrati e non riceveranno i criteri.
L'app Portale aziendale rileva l'installazione del profilo di gestione e registra automaticamente il dispositivo, a meno che non venga chiuso manualmente dall'utente. L'utente deve riaprire l'app per completare la registrazione del dispositivo. Se si usano gruppi dinamici, che si basano sulla registrazione del dispositivo, è importante che gli utenti tornino all'app e si registrino. Pianificare la comunicazione di questi passaggi agli utenti finali. Se si usano criteri di accesso condizionale, non è necessaria alcuna azione perché gli utenti di app protette da CA tentano di accedere richiede loro di tornare a Portale aziendale per completare la registrazione del dispositivo.
Agli utenti in genere non piace registrarsi e potrebbe non avere familiarità con l'app Portale aziendale. Assicurarsi di fornire indicazioni, incluse le informazioni da immettere. Per alcune indicazioni sulla comunicazione con gli utenti, vedere Guida alla pianificazione: Passaggio 5 - Creare un piano di implementazione.
Registrazione automatica dei dispositivi (ADE) (con supervisione)
Precedentemente denominato Apple Device Enrollment Program (DEP). Usare nei dispositivi di proprietà dell'organizzazione. Questa opzione configura le impostazioni usando Apple Business Manager (ABM) o Apple School Manager (ASM). Registra un numero elevato di dispositivi, senza che tu abbia mai toccato i dispositivi. Questi dispositivi vengono acquistati da Apple, hanno le impostazioni preconfigurate e possono essere spediti direttamente agli utenti o alle scuole. Creare un profilo di registrazione nell'interfaccia di amministrazione Intune ed eseguire il push di questo criterio nei dispositivi.
Per informazioni più specifiche su questo tipo di registrazione, vedere Registrare automaticamente i dispositivi macOS con Apple Business Manager o Apple School Manager.
Funzionalità | Usare questa opzione di registrazione quando |
---|---|
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. | ✅ |
Sono disponibili nuovi dispositivi. | ✅ |
Si dispone di dispositivi esistenti. | ✅ Per registrare i dispositivi esistenti, passare a Registra Mac dopo l'Assistente configurazione (apre un altro articolo Microsoft). |
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). | ✅ |
I dispositivi sono associati a un singolo utente. | ✅ |
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. | ✅ |
I dispositivi sono personali o BYOD. | ❌ Consigliamo di non farlo. I dispositivi BYOD o personali devono essere registrati tramite la registrazione del dispositivo (in questo articolo). |
I dispositivi sono gestiti da un altro provider MDM. | ❌ Per essere completamente gestiti da Intune, gli utenti devono annullare la registrazione dal provider MDM corrente e quindi registrarsi a Intune. In alternativa, è possibile usare la registrazione del dispositivo per gestire le app specifiche nel dispositivo. Poiché questi dispositivi sono di proprietà dell'organizzazione, è consigliabile registrarsi in Intune. |
Si usa l'account gestione registrazione dispositivi (DEM). | ❌ L'account DEM non è supportato. |
Attività di amministrazione di ADE
Questo elenco di attività offre una panoramica. Per informazioni più specifiche, vedere Registrare automaticamente i dispositivi macOS con Apple Business Manager o Apple School Manager.
Assicurarsi che i dispositivi siano supportati.
È necessario accedere al portale di Apple Business Manager (ABM) o al portale di Apple School Manager (ASM).
Assicurarsi che il token Apple (
.p7m
) sia attivo. Per informazioni più specifiche, vedere Creare un token del programma di registrazione.Assicurarsi che il certificato push MDM Apple venga aggiunto a Intune ed sia attivo. Questo certificato è necessario per registrare i dispositivi macOS. Per altre informazioni, vedere Ottenere un certificato push MDM Apple.
Decidere come gli utenti eseguono l'autenticazione nei propri dispositivi: Assistente configurazione (legacy) o Assistente configurazione con l'autenticazione moderna. Prendere questa decisione prima di creare i criteri di registrazione. L'uso di Setup Assistant con l'autenticazione moderna è considerato un'autenticazione moderna. Microsoft consiglia di usare Assistente configurazione con l'autenticazione moderna.
Per tutti i dispositivi macOS di proprietà dell'organizzazione, Assistente configurazione (legacy) viene sempre usato automaticamente, anche se non viene visualizzato il testo "Assistente configurazione" in Intune. Assistente configurazione (legacy) autentica l'utente e registra il dispositivo.
Selezionare Assistente configurazione (legacy) quando:
Si vuole cancellare il dispositivo.
Non si vogliono usare funzionalità di autenticazione moderne, ad esempio MFA.
Non si vuole registrare i dispositivi in Microsoft Entra ID. Assistente configurazione (legacy) autentica l'utente con il token Apple
.p7m
. Se è accettabile non registrare i dispositivi in Microsoft Entra ID, non è necessario installare l'app Portale aziendale. Continuare a usare Assistente configurazione (legacy).Se si vuole usare l'app Portale aziendale per l'autenticazione anziché l'Assistente configurazione o se si desidera che i dispositivi vengano registrati in Microsoft Entra ID, seguire questa procedura:
- Per installare l'app Portale aziendale nei dispositivi, passare ad aggiungere l'app Portale aziendale. Impostare l'app Portale aziendale come app obbligatoria.
- Dopo aver registrato il dispositivo, installare l'app Portale aziendale.
- Dopo l'installazione, gli utenti aprono l'app Portale aziendale e accedono con l'organizzazione Microsoft Entra account (
user@contoso.com
). Quando accedono, vengono autenticati e pronti per ricevere i criteri.
Selezionare Assistente configurazione con l'autenticazione moderna quando:
- Si vuole cancellare il dispositivo.
- Si vuole usare l'autenticazione a più fattori (MFA).
- Si vuole richiedere agli utenti di aggiornare la password scaduta al primo accesso.
- Si vuole richiedere agli utenti di reimpostare le password scadute durante la registrazione.
- Si desidera che i dispositivi vengano registrati in Microsoft Entra ID. Quando vengono registrati, è possibile usare le funzionalità disponibili con Microsoft Entra ID, ad esempio l'accesso condizionale.
Nota
Durante l'Assistente configurazione, gli utenti devono immettere le credenziali dell'organizzazione Microsoft Entra (
user@contoso.com
). Quando immettono le credenziali, viene avviata la registrazione. Se vuoi, gli utenti possono anche immettere il proprio ID Apple per accedere alle funzionalità specifiche di Apple, ad esempio Apple Pay.Al termine dell'Installazione guidata, gli utenti possono usare il dispositivo. Quando viene visualizzata la schermata iniziale, la registrazione è completa e viene stabilita l'affinità utente. Il dispositivo non è completamente registrato con Microsoft Entra ID e non viene visualizzato nell'elenco dei dispositivi di un utente in Microsoft Entra ID.
Se gli utenti devono accedere alle risorse protette dall'accesso condizionale o devono essere completamente registrati con Microsoft Entra ID, installare l'app Portale aziendale. Dopo l'installazione, gli utenti aprono l'app Portale aziendale e accedono con l'organizzazione Microsoft Entra account (
user@contoso.com
). Durante questo secondo accesso, vengono valutati tutti i criteri di accesso condizionale e Microsoft Entra registrazione è completata. Gli utenti possono installare e usare le risorse dell'organizzazione, incluse le app LOB.
Nell'interfaccia di amministrazione Intune passare alla registrazione di Apple Configurator e creare un profilo di registrazione. Scegliere Registra con affinità utente (associare un utente al dispositivo) o Registra senza affinità utente (dispositivi senza utente o dispositivi condivisi).
Registra con affinità utente: Assistente configurazione autentica l'utente e registra il dispositivo in Intune. Scegliere anche se gli utenti possono eliminare il profilo di gestione, denominato Registrazione bloccata.
Registra senza affinità utente: Assistente configurazione autentica l'utente e registra l'utente in Intune. Scegliere anche se gli utenti possono eliminare il profilo di gestione, denominato Registrazione bloccata. L'app Portale aziendale non viene usata, necessaria o supportata nelle registrazioni senza affinità utente.
Attività dell'utente finale DIE
Queste attività dipendono dal modo in cui gli amministratori indicano agli utenti di installare l'app Portale aziendale. In genere, minore è il numero di passaggi che gli utenti finali devono eseguire per la registrazione, maggiore è la probabilità che vogliano eseguire la registrazione.
Per informazioni più specifiche sui passaggi dell'utente finale, vedere Registrare il dispositivo macOS usando l'app Portale aziendale.
Registrare con affinità utente + Assistente configurazione (legacy):Enroll with user affinity + Setup Assistant (legacy):
Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
).Assistente configurazione richiede informazioni all'utente e registra il dispositivo in Intune. Il dispositivo non è registrato in Microsoft Entra ID.
Se si usa Assistente configurazione per l'autenticazione, arrestarsi qui.
Facoltativo. Se si usa l'app Portale aziendale per l'autenticazione (anziché Assistente configurazione), l'app Portale aziendale viene installata usando l'opzione configurata.
Gli utenti aprono l'app Portale aziendale e accedono con le credenziali dell'organizzazione (
user@contoso.com
). Dopo l'accesso, gli utenti vengono autenticati e possono accedere alle risorse dell'organizzazione.Tenere presente che l'installazione dell'app Portale aziendale è facoltativa. Se si vuole che gli utenti eseguano l'autenticazione usando Portale aziendale'app, anziché l'Assistente configurazione, aggiungere l'app Portale aziendale.
Registrare con affinità utente + Assistente configurazione con l'autenticazione moderna:
Quando il dispositivo è attivato, viene eseguito l'Assistente configurazione Apple. Gli utenti immettono l'ID Apple (
user@iCloud.com
ouser@gmail.com
) e l'organizzazione Microsoft Entra le credenziali (user@contoso.com
).Quando gli utenti immettono le credenziali di Microsoft Entra, viene avviata la registrazione.
Assistente configurazione può richiedere all'utente ulteriori informazioni. Al termine, gli utenti possono usare il dispositivo. Quando viene visualizzata la schermata iniziale, la registrazione è completa e viene stabilita l'affinità utente-dispositivo. Gli utenti visualizzeranno le app e i criteri nel dispositivo.
Gli utenti aprono l'app Portale aziendale installata e accedono di nuovo con le credenziali dell'organizzazione (
user@contoso.com
).
Registra senza affinità utente: nessuna azione. Assicurarsi che gli utenti non installino l'app Portale aziendale.
Agli utenti in genere non piace registrarsi e potrebbe non avere familiarità con l'app Portale aziendale. Assicurarsi di fornire indicazioni, incluse le informazioni da immettere. Per alcune indicazioni sulla comunicazione con gli utenti, vedere Guida alla pianificazione: Passaggio 5 - Creare un piano di implementazione.
Registrazione diretta
Usare nei dispositivi di proprietà dell'organizzazione che non richiedono affinità utente-dispositivo.
Questi dispositivi sono di proprietà dell'organizzazione e usano Apple Configurator. L'unico scopo è quello di essere un dispositivo in stile chiosco multimediale. Non sono associati a un singolo utente o a un utente specifico. Questi dispositivi vengono comunemente usati per analizzare gli elementi, stampare ticket, ottenere firme digitali, gestire l'inventario e altro ancora.
Per informazioni più specifiche su questo tipo di registrazione, vedere Usare la registrazione diretta per i dispositivi macOS.
Funzionalità | Usare questa opzione di registrazione quando |
---|---|
È necessaria una connessione cablata o si verifica un problema di rete. | ✅ |
L'organizzazione non vuole che gli amministratori usno i portali ABM o ASM o non voglia configurare tutti i requisiti. | ✅ L'idea di non usare i portali ABM o ASM consiste nel concedere agli amministratori meno controllo. |
Un paese/area geografica non supporta Apple Business Manager (ABM) o Apple School Manager (ASM). | ✅ Se il paese/area geografica supporta ABS o ASM, i dispositivi devono essere registrati usando la registrazione automatica dei dispositivi (in questo articolo). |
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. | ✅ |
Si dispone di dispositivi nuovi o esistenti. | ✅ |
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). | ✅ Se si dispone di un numero elevato di dispositivi, questo metodo richiede del tempo. |
I dispositivi sono associati a un singolo utente. | ❌ Consigliamo di non farlo. I dispositivi che necessitano di affinità utente devono essere registrati usando la registrazione automatica dei dispositivi (ADE). |
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. | ✅ |
I dispositivi sono personali o BYOD. | ❌ Consigliamo di non farlo. I dispositivi BYOD o personali devono essere registrati tramite MAM (apre un altro articolo Microsoft) o BYOD: Registrazione dei dispositivi (in questo articolo). |
I dispositivi sono gestiti da un altro provider MDM. | ❌ Per essere completamente gestiti da Intune, gli utenti devono annullare la registrazione dal provider MDM corrente e quindi registrarsi a Intune. In alternativa, è possibile usare MAM per gestire le app specifiche nel dispositivo. Poiché questi dispositivi sono di proprietà dell'organizzazione, è consigliabile registrarsi in Intune. |
Si usa l'account gestione registrazione dispositivi (DEM). | ❌ L'account DEM non è supportato. |
Attività di amministratore della registrazione diretta
Questo elenco di attività offre una panoramica. Per informazioni più specifiche, passare a registrazione diretta macOS.
Assicurarsi che i dispositivi siano supportati.
Assicurarsi che il certificato push MDM Apple venga aggiunto a Intune ed sia attivo. Questo certificato è necessario per registrare i dispositivi macOS. Per altre informazioni, vedere Ottenere un certificato push MDM Apple.
Nell'interfaccia di amministrazione Intune creare un profilo di registrazione. Selezionare Registra senza affinità utente (dispositivi senza utente o dispositivi condivisi). Con dispositivi senza utente:
- Gli utenti non possono usare app che richiedono un utente, inclusa l'app Portale aziendale. L'app Portale aziendale non viene usata, necessaria o supportata nelle registrazioni senza affinità utente. Assicurarsi che gli utenti non installino l'app Portale aziendale dall'App Store apple.
- La registrazione con affinità utente è disponibile nell'interfaccia utente, ma non funzionerà. Non selezionare questa opzione. Se è necessaria l'affinità utente, usare registrazione automatica dei dispositivi (in questo articolo).
Quando il profilo di registrazione è pronto, esportare i criteri e copiare il file nel dispositivo macOS. Fare doppio clic sul file per installare i criteri di registrazione.
Per altre informazioni su questa opzione di registrazione e sui relativi prerequisiti, passare a registrazione diretta macOS.
Attività dell'utente finale di registrazione diretta
Registra senza affinità utente: nessuna azione. Assicurarsi che non installino l'app Portale aziendale dall'App Store di Apple.