Configurare la registrazione dei dispositivi iOS/iPadOS con Apple School Manager

  • Articolo

È possibile configurare Intune per registrare i dispositivi iOS/iPadOS acquistati tramite il programma Apple School Manager. Usando Intune con Apple School Manager, è possibile registrare un numero elevato di dispositivi iOS/iPadOS senza toccarli mai. Quando uno studente o un insegnante attiva il dispositivo, Assistente configurazione viene eseguito con impostazioni preconfigurate e il dispositivo si registra nella gestione.

Per abilitare la registrazione di Apple School Manager, è possibile usare i portali Intune e Apple School Manager. È necessario un elenco di numeri di serie o un numero di ordine di acquisto per poter assegnare i dispositivi a Intune per la gestione. È possibile creare profili di registrazione della registrazione automatica dei dispositivi (ADE) contenenti le impostazioni applicate ai dispositivi durante la registrazione.

La registrazione di Apple School Manager non può essere usata con il gestore di registrazione dispositivi.

Prerequisiti

Ottenere un token Apple e assegnare dispositivi

Prima di poter registrare i dispositivi iOS/iPadOS di proprietà dell'azienda con Apple School Manager, è necessario un file token (con estensione p7m) da Apple. Questo token consente Intune di sincronizzare le informazioni sui dispositivi che partecipano ad Apple School Manager. Consente inoltre Intune di eseguire il caricamento del profilo di registrazione in Apple e di assegnare dispositivi a tali profili. Mentre si è nel portale Apple, è anche possibile assegnare i numeri di serie del dispositivo da gestire.

Passaggio 1: Scaricare il certificato di chiave pubblica Intune necessario per creare un token Apple

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Registrazione dispositivi>.
  2. Selezionare la scheda Apple .
  3. Scegliere Token del programma di registrazione.
  4. Selezionare Aggiungi.
  5. Selezionare Scarica la chiave pubblica per scaricare e salvare il file della chiave di crittografia (con estensione pem) in locale. Il file con estensione pem viene usato per richiedere un certificato di relazione di trust dal portale di Apple School Manager.

Passaggio 2: Scaricare un token e assegnare dispositivi

  1. Scegliere Create un token tramite Apple School Manager e accedere ad Apple School con l'ID Apple aziendale. È possibile usare questo ID Apple per rinnovare il token apple school manager.
  2. Nel portale di Apple School Manager passare a Server MDM e quindi scegliere Aggiungi server MDM (in alto a destra).
  3. Immettere il nome del server MDM. Il nome del server viene immesso come riferimento per identificare il server di gestione dei dispositivi mobili (MDM). Non è il nome o l'URL del server Microsoft Intune.
  4. Scegliere Carica file nel portale Apple, passare al file con estensione pem e scegliere Salva server MDM (in basso a destra).
  5. Scegliere Recupera token e quindi scaricare il file del token del server (con estensione p7m) nel computer.
  6. Passare a Assegnazioni del dispositivo. Scegliere i dispositivi immettendo manualmente i numeri di serie o il numero di ordine.
  7. Scegliere l'azione Assegna al server e scegliere il server MDM creato.
  8. Specificare come scegliere i dispositivi, quindi specificare informazioni e dettagli sul dispositivo.
  9. Scegliere Assegna al server, scegliere il <NomeServer> specificato per Microsoft Intune e quindi scegliere OK.

Passaggio 3: Salvare l'ID Apple usato per creare questo token

Tornare all'interfaccia di amministrazione e immettere l'ID Apple.

Screenshot in cui viene specificato l'ID Apple usato per creare il token del programma di registrazione e passare al token del programma di registrazione.

Passaggio 4: Caricare il token

Nella casella Token Apple passare al file del certificato (.pem), scegliere Apri, quindi scegliere Crea. Con il certificato push, Intune possono registrare e gestire i dispositivi iOS/iPadOS eseguendo il push dei criteri nei dispositivi mobili registrati. Intune sincronizza automaticamente i dispositivi Apple School Manager da Apple.

Creare un profilo di registrazione Apple

Dopo aver installato il token, è possibile creare un profilo di registrazione per i dispositivi Apple School. Un profilo di registrazione del dispositivo definisce le impostazioni applicate a un gruppo di dispositivi durante la registrazione.

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Registrazione dispositivi>.

  2. Selezionare la scheda Apple .

  3. In Metodi di registrazione in blocco scegliere Token del programma di registrazione.

  4. Selezionare un token.

  5. Selezionare Profili>Create profilo>iOS/iPadOS.

  6. In Create Profilo immettere un nome e una descrizione per il profilo a scopo amministrativo. Gli utenti non visualizzano questi dettagli. È possibile utilizzare questo campo Nome per creare un gruppo dinamico in Microsoft Entra ID. Usare il nome del profilo per definire il parametro enrollmentProfileName per assegnare i dispositivi con questo profilo di registrazione. Altre informazioni sui gruppi dinamici Microsoft Entra.

    Nome e descrizione del profilo.

  7. Per Affinità utente, scegliere se i dispositivi con questo profilo devono essere registrati con o senza un utente assegnato.

    • Registra con affinità utente : scegliere questa opzione per i dispositivi che appartengono agli utenti e che vogliono usare il portale aziendale per servizi come l'installazione di app. Questa opzione consente inoltre agli utenti di autenticare i propri dispositivi usando il portale aziendale. Se si usa ADFS, l'affinità utente richiede un nome utente/endpoint misto WS-Trust 1.3. Altre informazioni. La modalità iPad condiviso di Apple School Manager richiede la registrazione dell'utente senza affinità utente.

    • Registra senza affinità utente : scegliere questa opzione per i dispositivi non associati a un singolo utente, ad esempio un dispositivo condiviso. Usare questa opzione per i dispositivi che eseguono attività senza accedere ai dati utente locali. Le app come l’app Portale aziendale non funzionano.

  8. Se si sceglie Registra con affinità utente, è possibile consentire agli utenti di eseguire l'autenticazione con Portale aziendale, Assistente configurazione (legacy) e Assistente configurazione con l'autenticazione moderna. Selezionare l'opzione . Per altre informazioni sui metodi di autenticazione, vedere Metodi di autenticazione per la registrazione automatica dei dispositivi in Intune.

    Nota

    Se si vuole eseguire una delle operazioni seguenti, impostare Authenticate with Portale aziendale anziché Apple Setup Assistant su .

    • usare l'autenticazione a più fattori
    • richiedere agli utenti che devono modificare la password al primo accesso
    • richiedere agli utenti di reimpostare le password scadute durante la registrazione

    Questi non sono supportati durante l'autenticazione con Apple Setup Assistant.

  9. Scegliere Gestione dispositivi Impostazioni e scegliere se si vuole che i dispositivi che usano questo profilo siano supervisionati. I dispositivi con supervisione offrono più opzioni di gestione e disabilitato Blocco attivazione per impostazione predefinita. Microsoft consiglia di usare ADE come meccanismo per abilitare la modalità di supervisione di Intune, in particolare per le organizzazioni che distribuiscono un numero elevato di dispositivi iOS/iPadOS.

    Gli utenti ricevono una notifica che informa che i dispositivi sono supervisionati in due modi:

    • La schermata di blocco dice: "Questo iPhone è gestito da Contoso."

    • La schermata Impostazioni>generali>su dice: "Questo iPhone è supervisionato. Contoso può monitorare il traffico Internet e individuare questo dispositivo."

      Nota

      Un dispositivo registrato senza supervisione può essere ripristinato solo con la supervisione tramite Apple Configurator. La reimpostazione del dispositivo in questo modo richiede la connessione di un dispositivo iOS/iPadOS a un Mac con un cavo USB. Altre informazioni su questo argomento sono disponibili nella documentazione di Apple Configurator.

  10. Scegliere se si vuole bloccare la registrazione per i dispositivi che usano questo profilo. La registrazione bloccata disabilita le impostazioni di iOS/iPadOS che consentono la rimozione del profilo di gestione dal menu Impostazioni . Dopo la registrazione del dispositivo, non è possibile modificare questa impostazione senza cancellare il dispositivo. Per tali dispositivi la modalità di gestione supervisionata deve essere impostata su .

  11. È possibile consentire a più utenti di accedere agli iPad registrati usando un ID Apple gestito. A tale scopo, scegliere in iPad condiviso (questa opzione richiede La registrazione senza affinità utente e la modalità supervisionata è impostata su ). Gli ID Apple gestiti vengono creati nel portale apple school manager. Altre informazioni sui requisiti condivisi di iPad e iPad condivisi di Apple.

  12. Scegliere se si desidera che i dispositivi che usano questo profilo siano in grado di eseguire la sincronizzazione con i computer. Nega tutto significa che tutti i dispositivi che usano questo profilo non saranno in grado di eseguire la sincronizzazione con i dati in alcun computer. Se si sceglie Consenti Apple Configurator per certificato, è necessario scegliere un certificato in Certificati di Apple Configurator.

  13. Se nel passaggio precedente è stato scelto Consenti Apple Configurator per certificato , scegliere un certificato di Apple Configurator da importare.

  14. È possibile specificare un formato di denominazione per i dispositivi che viene applicato automaticamente al momento della registrazione. A tale scopo, selezionare in Applica modello di nome dispositivo. Quindi, nella casella Modello nome dispositivo immettere il modello da usare per i nomi che usano questo profilo. È possibile specificare un formato modello che includa il tipo di dispositivo e il numero di serie.

  15. Scegliere OK.

  16. Scegliere Impostazioni assistente configurazione per configurare le impostazioni del profilo seguenti:

    Impostazione Descrizione
    Nome reparto Viene visualizzata quando gli utenti toccano Informazioni configurazione durante l'attivazione.
    Telefono del reparto Viene visualizzata quando l'utente fa clic sul pulsante Richiesta di assistenza durante l'attivazione.
    Opzioni dell'Assistente configurazione Le impostazioni facoltative seguenti possono essere configurate più avanti nel menu Impostazioni iOS/iPadOS.
    Passcode Richiedere il passcode durante l'attivazione. È sempre necessario un passcode per i dispositivi non sicuri, a meno che l'accesso non venga controllato in altro modo, ad esempio in modalità chiosco che limita il dispositivo a un'app.
    Servizi di posizione Se abilitato, Assistente configurazione richiede il servizio durante l'attivazione.
    Eseguire il ripristino Se abilitato, Assistente configurazione richiede il backup di iCloud durante l'attivazione.
    iCloud e ID Apple Se abilitato, Assistente configurazione richiede all'utente di accedere a un ID Apple e la schermata App & Dati consentirà il ripristino del dispositivo dal backup di iCloud.
    Termini e condizioni Se abilitato, Assistente configurazione richiede agli utenti di accettare i termini e le condizioni di Apple durante l'attivazione.
    Touch ID Se abilitato, Assistente configurazione richiede questo servizio durante l'attivazione.
    Apple Pay Se abilitato, Assistente configurazione richiede questo servizio durante l'attivazione.
    Zoom Se abilitato, Assistente configurazione richiede questo servizio durante l'attivazione.
    Siri Se abilitato, Assistente configurazione richiede questo servizio durante l'attivazione.
    Dati di diagnostica Se abilitato, Assistente configurazione richiede questo servizio durante l'attivazione.

  17. Scegliere OK.

  18. Per salvare il profilo, scegliere Crea.

Sincronizzare i dispositivi gestiti

Dopo che a Intune è stata assegnata l'autorizzazione per gestire i dispositivi Apple School Manager, sincronizzare Intune con il servizio Apple per visualizzare i dispositivi gestiti in Intune.

  1. Tornare ai token del programma di registrazione.
  2. Selezionare un token nell'elenco.
  3. SelezionareSincronizzazionedispositivi>.
    Screenshot del nodo Dispositivi del programma di registrazione e del collegamento Sincronizza.

Per seguire le condizioni di Apple per il traffico accettabile del programma di registrazione, Intune impone le restrizioni seguenti:

  • La sincronizzazione completa può essere eseguita solo una volta ogni sette giorni. Durante una sincronizzazione completa, Intune aggiorna ogni numero di serie Apple assegnato a Intune. Se viene tentata una sincronizzazione completa entro sette giorni dalla sincronizzazione completa precedente, Intune aggiorna solo i numeri di serie non già elencati in Intune.
  • Per completare qualsiasi richiesta di sincronizzazione vengono assegnati 15 minuti. Durante questo periodo di tempo o fino al completamento della richiesta, il pulsante Sincronizza viene disabilitato.
  • Intune sincronizza i dispositivi nuovi e rimossi con Apple ogni 24 ore.

Nota

È anche possibile assegnare i numeri di serie di Apple School Manager ai profili dal pannello Dispositivi del programma di registrazione .

Assegnare un profilo ai dispositivi

Ai dispositivi Apple School Manager gestiti da Intune deve essere assegnato un profilo di registrazione prima di essere registrati.

  1. Tornare ai token del programma di registrazione.
  2. Selezionare un token nell'elenco.
  3. Selezionare Dispositivi e scegliere i dispositivi.
  4. Selezionare Assegna profilo. Selezionare quindi un profilo per i dispositivi.
  5. Selezionare Assegna.

Distribuire dispositivi agli utenti

È stata abilitata la gestione e la sincronizzazione tra Apple e Intune e è stato assegnato un profilo per consentire la registrazione dei dispositivi Apple School. È ora possibile distribuire i dispositivi agli utenti. Quando un dispositivo Apple School Manager iOS/iPadOS è attivato, viene registrato per la gestione da Intune. I profili non possono essere applicati ai dispositivi attivati attualmente in uso fino a quando il dispositivo non viene cancellato.