Configurare il tenant per l'onboarding del dispositivo
Con identità e licenze configurate, è possibile preparare il tenant Microsoft Intune per la registrazione del dispositivo. Ciò comporta l'impostazione dell'autorità Mobile Gestione dispositivi (MDM), l'organizzazione dei gruppi per la destinazione dei dispositivi e la configurazione delle restrizioni di registrazione per controllare quali dispositivi possono essere registrati.
Impostare l'autorità MDM
L'autorità MDM determina quale servizio gestisce i dispositivi mobili. Prima di registrare i dispositivi, è necessario designare Microsoft Intune come autorità MDM.
Perché l'autorità MDM è importante
Una volta impostata, l'autorità MDM definisce:
- Quale servizio (Intune, Gestione configurazione o co-gestione) gestisce i dispositivi
- Posizione in cui vengono archiviati l'inventario dei dispositivi e i criteri
- Modalità di comunicazione dei dispositivi con l'infrastruttura di gestione
Impostare Intune come autorità MDM
Per i nuovi tenant, Microsoft Intune viene impostata automaticamente come autorità MDM. Non è necessaria alcuna configurazione manuale. È possibile verificare questa impostazione nell'interfaccia di amministrazione Microsoft Intune:
- Accedere all'interfaccia di amministrazione Microsoft Intune
- Passare a Dispositivi>Registrare i dispositivi
- Verificare che Microsoft Intune sia visualizzato come autorità MDM
Nota
Se si usa Gestione configurazione con la co-gestione, l'autorità MDM verrà impostata su Gestione configurazione. Questo modulo è incentrato sugli scenari di Intune nativi del cloud.
Organizzare i gruppi per la gestione dei dispositivi
I gruppi sono alla base della gestione dei dispositivi in Microsoft Intune. Consentono di indirizzare criteri, applicazioni e configurazioni a set specifici di utenti o dispositivi.
Tipi di gruppi in Microsoft Entra ID
Gruppi di sicurezza
- Usato per assegnare le autorizzazioni di accesso e distribuire i criteri di Intune
- Può contenere utenti, dispositivi o entrambi
- Può essere assegnato manualmente o dinamicamente in base agli attributi
Gruppi di Microsoft 365
- Progettato per la collaborazione (posta elettronica, SharePoint, Teams)
- Non consigliato per la gestione dei dispositivi
- Non deve essere usato per Intune assegnazioni di criteri
Creare gruppi per la registrazione dei dispositivi
È consigliabile creare gruppi che riflettano gli scenari di registrazione e la struttura organizzativa:
| Categoria gruppo | Gruppi di esempio |
|---|---|
| Proprietà del dispositivo | Dispositivi di proprietà dell'azienda Dispositivi personali (BYOD) |
| Piattaforma per i dispositivi | Dispositivi Windows Dispositivi iOS/iPadOS Dispositivi Android Dispositivi macOS |
| Reparto o località | Dispositivi del reparto finanziario Dispositivi del team di vendita Lavoratori remoti |
| Metodo di registrazione | Dispositivi Autopilot Dispositivi registrati manualmente Dispositivi di registrazione in blocco |
Gruppi dinamici per la gestione automatizzata
I gruppi dinamici aggiungono o rimuoveno automaticamente membri in base alle regole degli attributi. In questo modo si elimina la manutenzione manuale dei gruppi e si garantisce che i dispositivi siano sempre correttamente mirati.
Per creare un gruppo di dispositivi dinamico:
- Passare a Microsoft Entra ID>Gruppi>nuovo gruppo
- Impostare Tipo di gruppo su Sicurezza
- Impostare Tipo di appartenenza su Dispositivo dinamico
- Scegliere Aggiungi query dinamica
- Compilare la regola usando attributi come il tipo di sistema operativo del dispositivo, la proprietà o il profilo di registrazione
- Convalidare la query e salvare il gruppo
Consiglio
Usare i gruppi dinamici quando possibile per ridurre il sovraccarico amministrativo. Tuttavia, tenere presente che la valutazione dinamica dell'appartenenza può richiedere fino a 24 ore, quindi pianificare di conseguenza per gli scenari sensibili al tempo.
Esempio: raggruppa automaticamente tutti i dispositivi Windows
(device.deviceOSType -eq "Windows")
Esempio: Raggruppare i dispositivi in base alla proprietà
(device.deviceOwnership -eq "Company")
Esempio: Raggruppare i dispositivi in base al profilo di registrazione
(device.enrollmentProfileName -eq "Autopilot-Profile-Finance")
Configurare le restrizioni di registrazione
Le restrizioni di registrazione controllano quali dispositivi e utenti possono registrarsi in Microsoft Intune. Fungono da gatekeeper, garantendo che solo i dispositivi autorizzati si uniscano all'ambiente gestito. Ciò supporta il principio esplicito di verifica di Zero Trust impedendo la registrazione di dispositivi non autorizzati o non conformi prima di poter accedere alle risorse aziendali.
Tipi di restrizioni di registrazione
| Tipo di restrizione | Finalità | Controlli |
|---|---|---|
| Restrizioni relative al tipo di dispositivo | Controllare quali piattaforme di dispositivi e versioni del sistema operativo possono registrare | Selezione della piattaforma (Windows, iOS, Android, macOS) Versioni minime e massime del sistema operativo Tipo di proprietà (di proprietà dell'azienda, personale/BYOD o entrambi) |
| Restrizioni relative ai limiti dei dispositivi | Impedire l'espansione dei dispositivi e gestire i costi delle licenze | Numero massimo di dispositivi che un utente può registrare |
Restrizioni di registrazione predefinite
Per impostazione predefinita, Intune include una restrizione di base adatta per il test, ma che deve essere personalizzata per l'ambiente di produzione.
| Impostazione | Valore predefinito |
|---|---|
| Piattaforme consentite | Tutti (Windows, iOS, Android, macOS) |
| Tipi di proprietà consentiti | Tutto (di proprietà dell'azienda e personale/BYOD) |
| Numero massimo di dispositivi per utente | 15 |
| Restrizioni della versione del sistema operativo | Nessuno |
Creare restrizioni di registrazione personalizzate
È possibile creare più restrizioni e assegnarle a gruppi specifici. Quando un utente appartiene a più gruppi con restrizioni diverse, Intune applica la restrizione con la priorità più alta (la priorità 1 è più alta e le restrizioni personalizzate hanno una priorità più alta rispetto a quella predefinita).
Restrizione del tipo di dispositivo
Per creare una restrizione del tipo di dispositivo:
- Passare a Restrizioni per laregistrazionedei dispositivi>
- Selezionare Crea restrizione Restrizione>del tipo di dispositivo
- Configurare piattaforme consentite (Windows, iOS, Android, macOS)
- Impostare i requisiti di versione del sistema operativo:
- Versione minima del sistema operativo
- Versione massima del sistema operativo (facoltativo)
- Scegliere i tipi di proprietà:
- Solo di proprietà dell'azienda
- Solo personale (BYOD)
- Entrambi
- Assegnare la restrizione ai gruppi di utenti
- Salvare la restrizione
Limitazione del limite di dispositivi
Per creare una restrizione del limite di dispositivi:
- Passare a Restrizioni per laregistrazionedei dispositivi>
- Selezionare Crea restrizione>Restrizione del dispositivo Limitazione del dispositivo
- Impostare il numero massimo di dispositivi per utente
- Assegnare la restrizione ai gruppi di utenti
- Salvare la restrizione
Assegnazione di priorità e destinazione
Se si applicano più restrizioni a un utente, Intune le valuta in ordine di priorità (1 è il più alto). Viene applicata la restrizione con la priorità più alta e vengono ignorate altre restrizioni.
Procedure consigliate:
- Assegnare criteri restrittivi ai gruppi pilota con priorità elevata
- Mantenere i criteri predefiniti come fallback per tutti gli utenti (l'impostazione predefinita ha sempre la priorità più bassa)
- Usare le assegnazioni di gruppo per controllare quali utenti ricevono le restrizioni
- Testare le restrizioni con un piccolo gruppo prima di implementare su larga scala
- Tenere presente: la priorità determina quali criteri si applicano, non la restrittività
Configurare le impostazioni di registrazione
Oltre alle restrizioni, Microsoft Intune fornisce impostazioni di registrazione aggiuntive che controllano l'esperienza utente e il comportamento del dispositivo durante la registrazione.
Impostazioni di registrazione specifiche della piattaforma
| Piattaforma | Impostazione | Finalità | Percorso di configurazione |
|---|---|---|---|
| Windows | Registrazione automatica | Consente agli utenti di registrare i dispositivi Windows unendoli a Microsoft Entra ID | > Microsoft Entra ID Mobility (MDM e MAM) |
| iOS/iPadOS/macOS | Certificato apple push notification service (APN) | Abilita la comunicazione tra Intune e dispositivi Apple | Microsoft Intune'interfaccia > di amministrazione Dispositivi>Registrazione>Apple |
| Android | Google Play gestito | Connette Intune alla registrazione di Google Play per Android Enterprise | Microsoft Intune'interfaccia > di amministrazione Dispositivi>Registrazione>Android |
Nota
Per i passaggi di configurazione dettagliati per la registrazione di Apple e Android, vedere la documentazione Microsoft Intune per la registrazione di iOS/iPadOS e Android.
Configurare Intune personalizzazione e notifiche
La personalizzazione del Portale aziendale e dei messaggi rivolti agli utenti consente agli utenti di comprendere che si stanno connettendo alle risorse dell'organizzazione. È possibile configurare l'app Portale aziendale per visualizzare l'identità dell'organizzazione:
- Nome dell'azienda
- Logo dell'azienda
- URL dell'informativa sulla privacy
- Informazioni di contatto del supporto tecnico
- Colore del tema
Gli utenti visualizzeranno questa personalizzazione quando registrano i dispositivi o accedono all'app Portale aziendale.
Messaggi di notifica
È possibile personalizzare i messaggi visualizzati dall'utente durante la registrazione:
- Termini e condizioni che devono accettare prima della registrazione
- Informativa sulla privacy che spiega la raccolta dei dati
- Informazioni di supporto per i problemi di registrazione
Per configurare termini e condizioni:
- Passare aTermini e condizioni di amministrazione> del tenant
- Creare nuovi criteri di termini e condizioni
- Fornire un documento di titolo, descrizione e termini
- Assegnare i criteri ai gruppi di utenti
- Pubblicare i criteri
Gli utenti devono accettare le condizioni prima di completare la registrazione.
Configurazione del tenant in Contoso
In Contoso Corporation, il team IT ha configurato il tenant Intune per supportare la registrazione sicura dei dispositivi in più piattaforme.
| Area di configurazione | Cosa è stato implementato da Contoso |
|---|---|
| Autorità MDM | Impostare su Microsoft Intune (gestione nativa del cloud) |
| Gruppi organizzativi | Gruppi dinamici creati: "Windows-Devices", "iOS-Devices", "Android-Devices"; gruppi di assegnazione creati: "Finance-Dept", "Sales-Team", "Remote-Workers" |
| Restrizioni di registrazione | I criteri predefiniti consentono a tutte le piattaforme con un limite di 5 dispositivi; creazione della restrizione "Solo Windows aziendale" (priorità 1) per finance che richiede Windows 10 19041+ e blocca i dispositivi personali |
| Certificati della piattaforma | Certificato APN configurato per la gestione di iOS/iPadOS; Android Enterprise connesso a Google Play gestito |
| Portale aziendale | Personalizzato con il logo Contoso, l'indirizzo di posta elettronica di supporto e l'URL dell'informativa sulla privacy |
| Termini e condizioni | Criteri di utilizzo dei dispositivi pubblicati che richiedono l'accettazione prima della registrazione |
Queste configurazioni stabiliscono i guardrail e l'esperienza utente per il processo di registrazione dei dispositivi di Contoso, garantendo che solo i dispositivi autorizzati possano partecipare all'ambiente gestito, fornendo al tempo stesso una chiara personalizzazione dell'organizzazione. Nell'unità successiva vengono illustrati i metodi di registrazione specifici disponibili per piattaforme e scenari di dispositivi diversi.