Impostare l'autorità di gestione dei dispositivi mobili

L'impostazione dell'autorità di gestione dei dispositivi mobili (MDM) determina la modalità di gestione dei dispositivi. Gli amministratori IT devono impostare un'autorità MDM prima che gli utenti possano registrare i dispositivi per la gestione. È anche necessario assegnare una licenza di Intune per impostare l'autorità MDM.

Le configurazioni possibili sono:

  • Intune Standalone - Gestione solo cloud, configurata usando il portale di Azure. Include il set completo di funzionalità offerte da Intune. Impostare l'autorità MDM nell'interfaccia di amministrazione di Microsoft Endpoint Manager.

  • Co-gestione di Intune: integrazione della soluzione cloud di Intune con Configuration Manager per i dispositivi Windows 10. Per configurare Intune, usare la console di Configuration Manager. Configurare la registrazione automatica dei dispositivi in Intune.

  • Mobilità e sicurezza di base per Microsoft 365: se questa configurazione è attivata, verrà visualizzata l'autorità MDM impostata su "Office 365". Se si vuole iniziare a usare Intune, è necessario acquistare licenze di Intune.

  • Mobilità e sicurezza di base per la coesistenza di Microsoft 365: è possibile aggiungere Intune al tenant se si usa già Mobilità e sicurezza di base per Microsoft 365 e impostare l'autorità di gestione su Intune o Mobilità e sicurezza di base per Microsoft 365 per ogni utente di dettare quale servizio verrà usato per gestire i dispositivi registrati MDM. L'autorità di gestione di ogni utente viene definita in base alla licenza assegnata all'utente: se l'utente ha solo una licenza per Microsoft 365 Basic o Standard, i dispositivi verranno gestiti da Mobilità e sicurezza di base per Microsoft 365. Se l'utente ha una licenza che abilita Intune, i dispositivi verranno gestiti da Intune. Se si aggiunge una licenza che abilita Intune a un utente gestito in precedenza da Mobilità e sicurezza di base per Microsoft 365, i dispositivi verranno passati alla gestione di Intune. Assicurarsi che le configurazioni di Intune siano assegnate agli utenti per sostituire Mobilità e sicurezza di base per Microsoft 365 prima di passare agli utenti a Intune, altrimenti i dispositivi perderanno Mobilità e sicurezza di base per la configurazione di Microsoft 365 e non riceveranno alcuna sostituzione da Intune.

Impostare l'autorità MDM su Intune

Per i tenant che usano la versione del servizio 1911 e versioni successive, l'autorità MDM viene impostata automaticamente su Intune.

Per i tenant di versione del servizio precedente alla 1911, se non è ancora stata impostata l'autorità MDM, seguire questa procedura.

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager selezionare il banner arancione per aprire l'impostazione Mobile Gestione dispositivi Authority. L'intestazione arancione viene visualizzata solo se l'autorità MDM non è stata ancora impostata.

  2. In Mobile Gestione dispositivi Authority scegliere l'autorità MDM tra le opzioni seguenti:

    • Autorità MDM di Intune
    • Nessuna

Screenshot della schermata dell'autorità di gestione dei dispositivi mobili impostata da Intune

Un messaggio indica che l'autorità MDM è stata impostata correttamente su Intune.

Flusso di lavoro dell'interfaccia utente di amministrazione di Intune

Quando la gestione dei dispositivi Android o Apple è abilitata, Intune invia informazioni sul dispositivo e sull'utente da integrare con questi servizi di terze parti per gestire i rispettivi dispositivi.

Gli scenari che aggiungono un consenso per condividere i dati sono inclusi quando:

  • È possibile abilitare i profili di lavoro di proprietà personale o aziendale di Android Enterprise.
  • È possibile abilitare e caricare i certificati push MDM Apple.
  • È possibile abilitare uno dei servizi Apple, ad esempio Device Enrollment Program, School Manager o Volume Purchase Program.

In ogni caso, il consenso è strettamente correlato all'esecuzione di un servizio di gestione dei dispositivi mobili. Ad esempio, confermando che un Amministrazione IT ha autorizzato la registrazione dei dispositivi Google o Apple. La documentazione per risolvere le informazioni condivise quando i nuovi flussi di lavoro diventano disponibili nelle posizioni seguenti:

Considerazioni chiave

Dopo il passaggio alla nuova autorità MDM, è probabile che ci sia un tempo di transizione (fino a otto ore) prima che il dispositivo controlli e sincronizzi con il servizio. È necessario configurare le impostazioni nella nuova autorità MDM per assicurarsi che i dispositivi registrati continuino a essere gestiti e protetti dopo la modifica.

  • I dispositivi devono connettersi al servizio dopo la modifica in modo che le impostazioni della nuova autorità MDM (Intune autonoma) sostituisca le impostazioni esistenti nel dispositivo.
  • Dopo aver modificato l'autorità MDM, alcune delle impostazioni di base (ad esempio i profili) dell'autorità MDM precedente rimarranno nel dispositivo per un massimo di sette giorni o fino a quando il dispositivo non si connette al servizio per la prima volta. È consigliabile configurare le app e le impostazioni (ad esempio criteri, profili e app) nella nuova autorità MDM il prima possibile e distribuire l'impostazione ai gruppi di utenti che contengono utenti con dispositivi registrati esistenti. Non appena un dispositivo si connette al servizio dopo la modifica nell'autorità MDM, riceverà le nuove impostazioni dalla nuova autorità MDM e impedirà lacune nella gestione e nella protezione.
  • I dispositivi che non hanno utenti associati (in genere quando si dispone di un programma di registrazione dispositivi iOS/iPadOS o di scenari di registrazione in blocco) non vengono migrati alla nuova autorità MDM. Per questi dispositivi, è necessario chiamare il supporto per ricevere assistenza per spostarli nella nuova autorità MDM.

Coesistenza

L'abilitazione della coesistenza consente di usare Intune per un nuovo set di utenti continuando a usare Mobilità e sicurezza di base per gli utenti esistenti. È possibile controllare quali dispositivi sono gestiti da Intune tramite l'utente. Se a un utente viene assegnata una licenza di Intune o si usa la co-gestione di Intune con Configuration Manager, tutti i dispositivi registrati verranno gestiti da Intune. In caso contrario, l'utente viene gestito da Mobilità e sicurezza di base.

Esistono tre passaggi principali per abilitare la coesistenza:

  1. Preparazione
  2. Aggiungere l'autorità MDM di Intune
  3. Migrazione di utenti e dispositivi (facoltativo).

Preparazione

Prima di abilitare la coesistenza con Mobilità e sicurezza di base, considerare i punti seguenti:

  • Assicurarsi di disporre di licenze di Intune sufficienti per gli utenti che si intende gestire tramite Intune.
  • Esaminare gli utenti a cui sono assegnate licenze di Intune. Dopo aver abilitato la coesistenza, qualsiasi utente a cui è già stata assegnata una licenza di Intune avrà i propri dispositivi passare a Intune. Per evitare i commutatori di dispositivo imprevisti, è consigliabile non assegnare licenze di Intune fino a quando non è stata abilitata la coesistenza.
  • Creare e distribuire criteri di Intune per sostituire i criteri di sicurezza dei dispositivi distribuiti originariamente tramite il portale di conformità della sicurezza & Office 365. Questa sostituzione deve essere eseguita per tutti gli utenti che si prevede di passare da Mobilità e sicurezza di base a Intune. Se non sono stati assegnati criteri di Intune a tali utenti, l'abilitazione della coesistenza potrebbe causare la perdita delle impostazioni di Mobilità e sicurezza di base. Queste impostazioni andranno perse senza sostituzione, ad esempio i profili di posta elettronica gestiti. Anche quando si sostituiscono i criteri di sicurezza dei dispositivi con i criteri di Intune, agli utenti potrebbe essere richiesto di autenticare nuovamente i profili di posta elettronica dopo lo spostamento del dispositivo nella gestione di Intune.
  • Non è possibile annullare il provisioning Mobilità e sicurezza di base dopo averlo configurato. Tuttavia, è possibile eseguire alcuni passaggi per disattivare i criteri. Per altre informazioni, vedere Disattivare Mobilità e sicurezza di base.

Aggiungere l'autorità MDM di Intune

Per abilitare la coesistenza, è necessario aggiungere Intune come autorità MDM per l'ambiente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager con i diritti di amministratore del servizio Azure AD Global o Intune.
  2. Passare a Dispositivi.
  3. Viene visualizzato il pannello Aggiungi autorità MDM .
  4. Per cambiare l'autorità MDM da Office 365 a Intune e abilitare la coesistenza, selezionareAggiungi autorità >MDM di Intune. Screenshot della schermata Aggiungi autorità MDM

Eseguire la migrazione di utenti e dispositivi (facoltativo)

Dopo aver abilitato l'autorità MDM di Intune, la coesistenza viene attivata ed è possibile iniziare a gestire gli utenti tramite Intune. Facoltativamente, se si desidera spostare i dispositivi gestiti in precedenza da Mobilità e sicurezza di base per essere gestiti da Intune, assegnare a tali utenti una licenza di Intune. I dispositivi degli utenti passeranno a Intune al successivo check-in MDM. Le impostazioni applicate a questi dispositivi tramite Mobilità e sicurezza di base non verranno più applicate e verranno rimosse dai dispositivi.

Pulizia del dispositivo mobile dopo la scadenza del certificato MDM

Il certificato MDM viene rinnovato automaticamente quando i dispositivi mobili comunicano con il servizio Intune. Se i dispositivi mobili vengono cancellati o non riescono a comunicare con il servizio Intune per un certo periodo di tempo, il certificato MDM non verrà rinnovato. Il dispositivo viene rimosso dal portale di Azure 180 giorni dopo la scadenza del certificato MDM.

Rimuovere l'autorità MDM

Non è possibile modificare nuovamente l'autorità MDM in Sconosciuto. L'autorità MDM viene usata dal servizio per determinare a quali dispositivi registrati del portale viene segnalato (Microsoft Intune o Mobilità e sicurezza di base per Microsoft 365).

Cosa aspettarsi dopo aver modificato l'autorità MDM

  • Quando il servizio Intune rileva che l'autorità MDM di un tenant è stata modificata, invia un messaggio di notifica a tutti i dispositivi registrati per l'archiviazione e la sincronizzazione con il servizio (questa notifica non rientra nell'archiviazione pianificata regolarmente). Pertanto, dopo che l'autorità MDM per il tenant è stata modificata da Intune autonoma, tutti i dispositivi attivati e online si connetteranno al servizio, riceveranno la nuova autorità MDM e saranno gestiti dalla nuova autorità MDM. La gestione e la protezione di questi dispositivi non vengono interrotte.
  • Anche per i dispositivi che sono attivati e online durante (o poco dopo) la modifica nell'autorità MDM, ci sarà un ritardo fino a otto ore (a seconda della tempistica del successivo check-in regolare pianificato) prima che i dispositivi vengano registrati con il servizio sotto la nuova autorità MDM.

Importante

Tra il momento in cui si modifica l'autorità MDM e il caricamento del certificato APN rinnovato nella nuova autorità, le nuove registrazioni dei dispositivi e l'archiviazione dei dispositivi per i dispositivi iOS/iPadOS hanno esito negativo. È quindi importante esaminare e caricare il certificato APN nella nuova autorità il prima possibile dopo la modifica nell'autorità MDM.

  • Gli utenti possono passare rapidamente alla nuova autorità MDM avviando manualmente un'archiviazione dal dispositivo al servizio. Gli utenti possono apportare facilmente questa modifica usando l'app Portale aziendale e avviando un controllo di conformità del dispositivo.
  • Per verificare che le operazioni funzionino correttamente dopo l'archiviazione e la sincronizzazione dei dispositivi con il servizio dopo la modifica dell'autorità MDM, cercare i dispositivi nella nuova autorità MDM.
  • C'è un periodo provvisorio in cui un dispositivo è offline durante la modifica dell'autorità MDM e quando il dispositivo esegue l'accesso al servizio. Per garantire che il dispositivo rimanga protetto e funzionante durante questo periodo provvisorio, i profili seguenti rimangono nel dispositivo per un massimo di sette giorni (o fino a quando il dispositivo non si connette con la nuova autorità MDM e riceve nuove impostazioni che sovrascrivono quelle esistenti):
    • Profilo di posta elettronica
    • Profilo VPN
    • Profilo certificato
    • profilo Wi-Fi
    • Profili di configurazione
  • Dopo aver modificato la nuova autorità MDM, i dati di conformità nell'interfaccia di amministrazione di Microsoft Endpoint Manager possono richiedere fino a una settimana per segnalare con precisione. Tuttavia, gli stati di conformità in Azure Active Directory e nel dispositivo saranno accurati in modo che il dispositivo sia ancora protetto.
  • Assicurarsi che le nuove impostazioni destinate a sovrascrivere le impostazioni esistenti abbiano lo stesso nome di quelle precedenti per assicurarsi che le impostazioni precedenti vengano sovrascritte. In caso contrario, i dispositivi potrebbero avere profili e criteri ridondanti.

Consiglio

Come procedura consigliata, è consigliabile creare tutte le impostazioni e le configurazioni di gestione, nonché le distribuzioni, poco dopo il completamento della modifica all'autorità MDM. Ciò consente di garantire che i dispositivi siano protetti e gestiti attivamente durante il periodo provvisorio.

  • Dopo aver modificato l'autorità MDM, seguire questa procedura per verificare che i nuovi dispositivi siano registrati correttamente nella nuova autorità:
    • Registrare un nuovo dispositivo
    • Assicurarsi che il dispositivo appena registrato venga visualizzato nella nuova autorità MDM.
    • Eseguire un'azione, ad esempio Blocco remoto, dall'interfaccia di amministrazione di Microsoft Endpoint Manager al dispositivo. Se ha esito positivo, il dispositivo viene gestito dalla nuova autorità MDM.
  • In caso di problemi con dispositivi specifici, è possibile annullare la registrazione e registrare nuovamente i dispositivi per connetterli alla nuova autorità e gestirli il più rapidamente possibile.

Passaggi successivi

Con l'autorità MDM impostata, è possibile iniziare a registrare i dispositivi.