Gestire le identità dei dispositivi usando il portale di AzureManage device identities using the Azure portal

Azure AD offre una posizione centralizzata per la gestione delle identità dei dispositivi.Azure AD provides you with a central place to manage device identities.

La pagina tutti i dispositivi consente di:The All devices page enables you to:

  • Identificare i dispositivi, tra cui:Identify devices, including:
  • Eseguire attività di gestione delle identità del dispositivo come Enable, Disable, DELETE o Manage.Perform device identity management tasks like enable, disable, delete, or manage.
    • Le stampanti e i dispositivi Windows Autopilot hanno opzioni di gestione limitate in Azure ad.Printers and Windows Autopilot devices have limited management options in Azure AD. Devono essere gestiti dalle rispettive interfacce di amministrazione.They must be managed from their respective admin interfaces.
  • Configurare le impostazioni di identità del dispositivo.Configure your device identity settings.
  • Abilitare o disabilitare Enterprise State Roaming.Enable or disable Enterprise State Roaming.
  • Esaminare i log di controllo relativi al dispositivoReview device-related audit logs
  • Scarica dispositivi (anteprima)Download devices (preview)

Visualizzazione tutti i dispositivi nella portale di AzureAll devices view in the Azure portal

È possibile accedere al portale per i dispositivi attenendosi alla procedura seguente:You can access the devices portal using the following steps:

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Azure Active Directory > dispositivi.Browse to Azure Active Directory > Devices.

Gestire dispositiviManage devices

Sono disponibili due posizioni per gestire i dispositivi in Azure AD:There are two locations to manage devices in Azure AD:

  • Portale di Azure > Azure Active Directory > DispositiviAzure portal > Azure Active Directory > Devices
  • Portale di Azure > Azure Active Directory > Utenti > selezionare un utente > dispositiviAzure portal > Azure Active Directory > Users > Select a user > Devices

Entrambe le opzioni consentono agli amministratori di:Both options allow administrators the ability to:

  • Cercare i dispositivi.Search for devices.
  • Vedere i dettagli del dispositivo, tra cui:See device details including:
    • Nome del dispositivoDevice name
    • ID dispositivoDevice ID
    • Sistema operativo e versioneOS and Version
    • Tipo di joinJoin type
    • ProprietarioOwner
    • Conformità e gestione dei dispositivi mobiliMobile device management and compliance
    • Chiave di ripristino di BitLockerBitLocker recovery key
  • Eseguire attività di gestione delle identità del dispositivo come, abilitare, disabilitare, eliminare o gestire.Perform device identity management tasks like, enable, disable, delete, or manage.
    • Le stampanti e i dispositivi Windows Autopilot hanno opzioni di gestione limitate in Azure ad.Printers and Windows Autopilot devices have limited management options in Azure AD. Devono essere gestiti dalle rispettive interfacce di amministrazione.They must be managed from their respective admin interfaces.

Suggerimento

  • I dispositivi Windows 10 aggiunti ad Azure AD ibrido non hanno un proprietario.Hybrid Azure AD Joined Windows 10 devices do not have an owner. Se si sta cercando un dispositivo in base al proprietario e non è stato trovato, eseguire una ricerca in base all'ID del dispositivo.If you are looking for a device by owner and didn't find it, search by the device ID.

  • Se viene visualizzato un dispositivo "Azure AD ibrido aggiunto" con uno stato "in sospeso" nella colonna registrata, significa che il dispositivo è stato sincronizzato da Azure AD connettersi ed è in attesa di completare la registrazione dal client.If you see a device that is "Hybrid Azure AD joined" with a state "Pending" under the REGISTERED column, it indicates that the device has been synchronized from Azure AD connect and is waiting to complete registration from the client. Ulteriori informazioni su come pianificare l'implementazione di Azure ad ibrido join.Read more on how to plan your Hybrid Azure AD join implementation. Ulteriori informazioni sono disponibili nell'articolo domande frequenti sui dispositivi.Additional information can be found in the article, Devices frequently asked questions.

  • Per alcuni dispositivi iOS, i nomi dei dispositivi contenenti apostrofi possono usare caratteri potenzialmente diversi, simili ad apostrofi.For some iOS devices, the device names containing apostrophes can potentially use different characters that look like apostrophes. Quindi, la ricerca di tali dispositivi è un po' complicata. se non vengono visualizzati correttamente i risultati della ricerca, assicurarsi che la stringa di ricerca contenga il carattere apostrofo corrispondente.So searching for such devices is a little tricky - if you are not seeing search results correctly, ensure that the search string contains matching apostrophe character.

Gestire un dispositivo IntuneManage an Intune device

Se si è un amministratore di Intune, è possibile gestire i dispositivi in cui MDM è contrassegnato come Microsoft Intune.If you are an Intune administrator, you can manage devices where MDM is marked Microsoft Intune. Se il dispositivo non è registrato con Microsoft Intune, l'opzione "Gestisci" sarà disattivata.If the device is not enrolled with Microsoft Intune, the "Manage" option will be greyed out.

Abilitare o disabilitare un dispositivo Azure ADEnable or disable an Azure AD device

Per abilitare o disabilitare i dispositivi, sono disponibili due opzioni:To enable or disable devices, you have two options:

  • Barra degli strumenti nella pagina tutti i dispositivi dopo aver selezionato uno o più dispositivi.The toolbar on the All devices page after selecting one or more devices.
  • Barra degli strumenti dopo il drill-down in un dispositivo specifico.The toolbar after drilling down into a specific device.

Importante

  • Per abilitare o disabilitare un dispositivo, è necessario essere un amministratore globale o un amministratore di dispositivi cloud in Azure AD.You must be a global administrator or cloud device administrator in Azure AD to enable or disable a device.
  • La disabilitazione di un dispositivo impedisce l'autenticazione del dispositivo con Azure AD, impedendo così al dispositivo di accedere alle risorse Azure AD protette dall'accesso condizionale basato su dispositivo o usando le credenziali di Windows Hello for business.Disabling a device prevents a device from successfully authenticating with Azure AD, thereby preventing the device from accessing your Azure AD resources that are protected by device-based Conditional Access or using Windows Hello for Business credentials.
  • La disabilitazione di un dispositivo revoca sia il token di aggiornamento primario (PRT) sia i token di aggiornamento (RT) nel dispositivo.Disabling a device will revoke both the Primary Refresh Token (PRT) and any Refresh Tokens (RT) on the device.
  • Non è possibile abilitare o disabilitare le stampanti in Azure AD.Printers cannot be enabled or disabled in Azure AD.

Eliminare un dispositivo Azure ADDelete an Azure AD device

Per eliminare un dispositivo, le opzioni disponibili sono due:To delete a device, you have two options:

  • Barra degli strumenti nella pagina tutti i dispositivi dopo aver selezionato uno o più dispositivi.The toolbar on the All devices page after selecting one or more devices.
  • Barra degli strumenti dopo il drill-down in un dispositivo specifico.The toolbar after drilling down into a specific device.

Importante

  • Per eliminare un dispositivo, è necessario disporre dell'amministratore del dispositivo cloud, dell'amministratore di Intune o del ruolo di amministratore globale in Azure AD.You must be assigned the cloud device administrator, Intune administrator, or global administrator role in Azure AD to delete a device.
  • Non è possibile eliminare le stampanti e i dispositivi di Windows Autopilot in Azure ADPrinters and Windows Autopilot devices cannot be deleted in Azure AD
  • L'eliminazione di un dispositivo comporta quanto segue:Deleting a device:
    • Impedisce l'accesso del dispositivo alle risorse di Azure AD.Prevents a device from accessing your Azure AD resources.
    • Rimuove tutti i dettagli collegati al dispositivo, ad esempio, le chiavi BitLocker per i dispositivi Windows.Removes all details that are attached to the device, for example, BitLocker keys for Windows devices.
    • È un'attività non reversibile e non è consigliata, a meno che non sia necessaria.Represents a non-recoverable activity and is not recommended unless it is required.

Se un dispositivo è gestito da un'altra autorità di gestione (ad esempio, Microsoft Intune), assicurarsi che il dispositivo sia stato cancellato/ritirato prima di eliminare il dispositivo Azure AD.If a device is managed by another management authority (for example, Microsoft Intune), make sure that the device has been wiped / retired before deleting the device in Azure AD. Vedere come gestire i dispositivi non aggiornati prima di eliminare i dispositivi.Review how to manage stale devices before deleting any devices.

Visualizzare o copiare l'ID dispositivoView or copy device ID

È possibile usare l'ID di un dispositivo per verificare i relativi dettagli nel dispositivo o per l'uso in PowerShell in fase di risoluzione dei problemi.You can use a device ID to verify the device ID details on the device or using PowerShell during troubleshooting. Per accedere all'opzione di copia, fare clic sul dispositivo.To access the copy option, click the device.

Visualizzare l'ID dispositivo

Visualizzare o copiare le chiavi BitLockerView or copy BitLocker keys

È possibile visualizzare e copiare le chiavi BitLocker per consentire agli utenti di ripristinare le unità crittografate.You can view and copy the BitLocker keys to allow users to recover encrypted drives. Queste chiavi sono disponibili solo per i dispositivi Windows crittografati e le cui chiavi sono archiviate in Azure AD.These keys are only available for Windows devices that are encrypted and have their keys stored in Azure AD. È possibile trovare queste chiavi quando si accede ai dettagli di un dispositivo selezionando Mostra chiave di ripristino.You can find these keys when accessing details of a device by selecting Show Recovery Key. Selezionando Mostra chiave di ripristino , viene generato un log di controllo, che è possibile trovare nella KeyManagement categoria.Selecting Show Recovery Key will generate an audit log, which you can find in the KeyManagement category.

Visualizzare le chiavi BitLocker

Per visualizzare o copiare le chiavi BitLocker, è necessario essere il proprietario del dispositivo o un utente con almeno uno dei ruoli seguenti assegnati:To view or copy the BitLocker keys, you need to be either the owner of the device, or a user that has at least one of the following roles assigned:

  • Amministratore dispositivo cloudCloud Device Administrator
  • Amministratore globaleGlobal Administrator
  • Amministratore del supporto tecnicoHelpdesk Administrator
  • Amministratore del servizio IntuneIntune Service Administrator
  • Amministratore della protezioneSecurity Administrator
  • Ruolo con autorizzazioni di lettura per la sicurezzaSecurity Reader

Filtro elenco dispositivi (anteprima)Device list filtering (preview)

In precedenza era possibile filtrare l'elenco dei dispositivi solo per attività e stato abilitato.Previously, you could only filter the devices list by activity and enabled state. Questa anteprima consente ora di filtrare l'elenco di dispositivi in base ai seguenti attributi in un dispositivo:This preview now allows you to filter the devices list by the following attributes on a device:

  • Stato abilitatoEnabled state
  • Stato conformeCompliant state
  • Tipo di join (Azure AD aggiunto, Azure AD ibrido aggiunto, Azure AD registrato)Join type (Azure AD joined, Hybrid Azure AD joined, Azure AD registered)
  • Timestamp dell'attivitàActivity timestamp
  • OSOS
  • Tipo di dispositivo (stampanti, VM sicure, dispositivi condivisi, dispositivi registrati)Device type (Printers, Secure VMs, Shared devices, Registered devices)

Per abilitare la funzionalità di filtro anteprima nella visualizzazione tutti i dispositivi :To enable the preview filtering functionality in the All devices view:

Abilitare la funzionalità di anteprima del filtro

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Azure Active Directory > dispositivi.Browse to Azure Active Directory > Devices.
  3. Selezionare il banner che afferma, provare i nuovi miglioramenti del filtro dei dispositivi. Fare clic per abilitare l'anteprima.Select the banner that says, Try out the new devices filtering improvements. Click to enable the preview.

Sarà ora possibile aggiungere filtri alla visualizzazione tutti i dispositivi .You will now have the ability to Add filters to your All devices view.

Scarica dispositivi (anteprima)Download devices (preview)

Gli amministratori di dispositivi cloud, gli amministratori di Intune e gli amministratori globali possono usare l'opzione Scarica dispositivi (anteprima) per esportare un file CSV di dispositivi in base a qualsiasi filtro applicato.Cloud device administrators, Intune administrators, and Global administrators can use the Download devices (preview) option to export a CSV file of devices based on any applied filters. Se all'elenco non viene applicato alcun filtro, tutti i dispositivi verranno esportati.If no filters are applied to the list then all devices will be exported. Un'esportazione può essere eseguita per un periodo di tempo massimo di un'ora a seconda delAn export may run for a period of up to one hour depending on the

L'elenco esportato include gli attributi di identità dei dispositivi seguenti:The exported list includes the following device identity attributes:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Configura impostazioni dispositivoConfigure device settings

Per gestire le identità dei dispositivi tramite il portale di Azure AD, è necessario che i dispositivi siano registrati o aggiunti a Azure ad.To manage device identities using the Azure AD portal, those devices need to be either registered or joined to Azure AD. In qualità di amministratore, è possibile controllare il processo di registrazione e aggiunta dei dispositivi configurando le seguenti impostazioni del dispositivo.As an administrator, you can control the process of registering and joining devices by configuring the following device settings.

È necessario disporre di uno dei ruoli seguenti per visualizzare o gestire le impostazioni del dispositivo nel portale di Azure:You must be assigned one of the following roles to view or manage device settings in the Azure portal:

  • Amministratore globaleGlobal administrator
  • Amministratore dispositivo cloudCloud device administrator
  • Ruolo con autorizzazioni di lettura globaliGlobal reader
  • Lettore di directoryDirectory reader

Impostazioni del dispositivo correlate all'Azure AD

  • Gli utenti possono aggiungere dispositivi a Azure ad . questa impostazione consente di selezionare gli utenti che possono registrare i propri dispositivi come Azure ad dispositivi aggiunti.Users may join devices to Azure AD - This setting enables you to select the users who can register their devices as Azure AD joined devices. Il valore predefinito è All.The default is All.

Nota

Gli utenti possono aggiungere dispositivi a Azure ad impostazione è applicabile solo a Azure ad join in Windows 10.Users may join devices to Azure AD setting is only applicable to Azure AD join on Windows 10. Questa impostazione non si applica ai dispositivi ibridi Azure AD aggiunti, Azure ad macchine virtuali Unite in join in Azure e Azure ad dispositivi aggiunti con la modalità di distribuzione automatica di Windows Autopilot perché funzionano in un contesto senza utente.This setting does not apply to hybrid Azure AD joined devices, Azure AD joined VMs in Azure and Azure AD joined devices using Windows Autopilot self-deployment mode as these methods work in a userless context.

  • Amministratori locali aggiuntivi su dispositivi aggiunti ad Azure AD: è possibile selezionare gli utenti a cui vengono concessi i diritti di amministratore locale per un dispositivo.Additional local administrators on Azure AD joined devices - You can select the users that are granted local administrator rights on a device. Questi utenti vengono aggiunti al ruolo di amministratore del dispositivo in Azure ad.These users are added to the Device Administrators role in Azure AD. Agli amministratori globali di Azure AD e ai proprietari dei dispositivi vengono concessi i diritti di amministratore locale per impostazione predefinita.Global administrators in Azure AD and device owners are granted local administrator rights by default. Questa opzione è una funzionalità dell'edizione Premium disponibile tramite prodotti come Azure AD Premium o Enterprise Mobility Suite (EMS).This option is a premium edition capability available through products such as Azure AD Premium or the Enterprise Mobility Suite (EMS).
  • Gli utenti possono registrare i propri dispositivi con Azure ad : è necessario configurare questa impostazione per consentire la registrazione dei dispositivi Windows 10 Personal, iOS, Android e macOS con Azure ad.Users may register their devices with Azure AD - You need to configure this setting to allow Windows 10 personal, iOS, Android, and macOS devices to be registered with Azure AD. Se si seleziona nessuno, i dispositivi non possono eseguire la registrazione con Azure ad.If you select None, devices are not allowed to register with Azure AD. La registrazione con Microsoft Intune o la gestione di dispositivi mobili (MDM) per Microsoft 365 richiede la registrazione.Enrollment with Microsoft Intune or Mobile Device Management (MDM) for Microsoft 365 requires registration. Se è stato configurato uno di questi servizi, è selezionata l'opzione TUTTI e l'opzione NESSUNO non è disponibile.If you have configured either of these services, ALL is selected and NONE is not available.
  • I dispositivi da Azure ad aggiunti o Azure ad registrati richiedono multi-factor authentication : è possibile scegliere se gli utenti devono fornire un fattore di autenticazione aggiuntivo per aggiungere o registrare il dispositivo per Azure ad.Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication - You can choose whether users are required to provide an additional authentication factor to join or register their device to Azure AD. Il valore predefinito è No.The default is No. È consigliabile richiedere l'autenticazione a più fattori durante la registrazione o l'aggiunta a un dispositivo.We recommend requiring multi-factor authentication when registering or joining a device. Per abilitare l'autenticazione a più fattori per questo servizio, è necessario verificare che tale tipo di autenticazione sia configurato per gli utenti che registrano i dispositivi.Before you enable multi-factor authentication for this service, you must ensure that multi-factor authentication is configured for the users that register their devices. Per ulteriori informazioni sui diversi servizi di Azure AD Multi-Factor Authentication, vedere la pagina relativa all' Introduzione a Azure AD multi-factor authentication.For more information on different Azure AD Multi-Factor Authentication services, see getting started with Azure AD Multi-Factor Authentication.

Nota

I dispositivi che devono essere Azure ad aggiunti o Azure ad registrati richiedono che l'impostazione multi-factor authentication venga applicata ai dispositivi Azure ad aggiunti (con alcune eccezioni) o Azure ad registrati.Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication setting applies to devices that are either Azure AD joined (with some exceptions) or Azure AD registered. Questa impostazione non si applica ai dispositivi ibridi Azure AD aggiunti, Azure ad VM Unite in join in Azure e Azure ad dispositivi aggiunti con la modalità di distribuzione automatica di Windows Autopilot.This setting does not apply to hybrid Azure AD joined devices, Azure AD joined VMs in Azure and Azure AD joined devices using Windows Autopilot self-deployment mode.

Importante

  • Si consiglia di usare l' azione utente "registrazione o aggiunta dispositivi" nell'accesso condizionale per l'applicazione dell'autenticazione a più fattori per l'aggiunta o la registrazione di un dispositivo.We recommend using "Register or join devices" user action in Conditional Access for enforcing multi-factor authentication for joining or registering a device.
  • È necessario impostare questa impostazione su No se si usano i criteri di accesso condizionale per richiedere la autenticazione a più fattori.You must set this setting to No if you are using Conditional Access policy to require multi-factor authencation.
  • Numero massimo di dispositivi : questa impostazione consente di selezionare il numero massimo di dispositivi Azure ad aggiunti o Azure ad registrati che un utente può avere in Azure ad.Maximum number of devices - This setting enables you to select the maximum number of Azure AD joined or Azure AD registered devices that a user can have in Azure AD. Se un utente raggiunge la quota specificata, non potrà aggiungere altri dispositivi fino a quando non vengono rimossi uno o più dispositivi esistenti.If a user reaches this quota, they are not be able to add additional devices until one or more of the existing devices are removed. Il valore predefinito è 50.The default value is 50. È possibile aumentare il valore fino a 100 e se si immette un valore superiore a 100, Azure AD lo imposterà su 100.You can increase the value up to 100 and if you enter a value above 100, Azure AD will set it to 100. È anche possibile usare un valore illimitato per applicare nessun limite oltre ai limiti di quota esistenti.You can also use Unlimited value to enforce no limit other than existing quota limits.

Nota

L'impostazione numero massimo di dispositivi si applica ai dispositivi Azure ad aggiunti o Azure ad registrati.Maximum number of devices setting applies to devices that are either Azure AD joined or Azure AD registered. Questa impostazione non si applica ai dispositivi ibridi Azure AD aggiunti.This setting does not apply to hybrid Azure AD joined devices.

Log di controlloAudit logs

Le attività del dispositivo sono disponibili tramite i log attività.Device activities are available through the activity logs. Questi log includono le attività avviate dal servizio di registrazione dei dispositivi e dagli utenti:These logs include activities triggered by the device registration service and by users:

  • Creazione di un dispositivo e aggiunta di proprietari/utenti nel dispositivoDevice creation and adding owners / users on the device
  • Modifiche alle impostazioni del dispositivoChanges to device settings
  • Funzionamento del dispositivo, ad esempio eliminazione o aggiornamentoDevice operations such as deleting or updating a device

Il punto di ingresso ai dati di controllo è Log di controllo nella sezione Attività della pagina Dispositivi.Your entry point to the auditing data is Audit logs in the Activity section of the Devices page.

Il log di controllo ha una visualizzazione elenco predefinita che mostra:The audit log has a default list view that shows:

  • Data e ora dell'occorrenzaThe date and time of the occurrence
  • DestinazioniThe targets
  • Iniziatore/attore di un'attività (chi)The initiator / actor (who) of an activity
  • Attività (cosa)The activity (what)

Screenshot di una tabella nella sezione Activity della pagina Devices (dispositivi) che elenca la data, la destinazione, l'attore e l'attività per quattro log di controllo.

È possibile personalizzare la visualizzazione elenco facendo clic su colonne nella barra degli strumenti.You can customize the list view by clicking Columns in the toolbar.

Screenshot che mostra la barra degli strumenti della pagina dispositivi. L'elemento Columns è evidenziato.

Per limitare i dati segnalati in base alle esigenze, è possibile filtrare i dati di controllo usando i campi seguenti:To narrow down the reported data to a level that works for you, you can filter the audit data using the following fields:

  • CategoryCategory
  • Activity resource type (Tipo di risorsa dell'attività)Activity resource type
  • AttivitàActivity
  • Intervallo di dateDate range
  • DestinazioneTarget
  • Azione avviata da (attore)Initiated By (Actor)

Oltre a usare i filtri, è possibile cercare voci specifiche.In addition to the filters, you can search for specific entries.

Screenshot dei controlli filtro dei dati di controllo, con categoria, tipo di risorsa attività, attività, intervallo di date, destinazione e campi attore e un campo di ricerca.

Passaggi successiviNext steps

Come gestire i dispositivi non aggiornati in Azure ADHow to manage stale devices in Azure AD

Enterprise State RoamingEnterprise State Roaming