Gestire le identità dei dispositivi usando il portale di AzureManage device identities using the Azure portal

Con la gestione delle identità del dispositivo in Azure Active Directory (Azure AD), è possibile assicurarsi che gli utenti accedano alle risorse da dispositivi che soddisfano gli standard di sicurezza e conformità.With device identity management in Azure Active Directory (Azure AD), you can ensure that your users are accessing your resources from devices that meet your standards for security and compliance.

Questo articolo:This article:

Gestire le identità dei dispositiviManage device identities

Il portale di Azure AD offre una posizione centralizzata per la gestione delle identità dei dispositivi.The Azure AD portal provides you with a central place to manage your device identities. È possibile accedere a questa posizione usando un collegamento diretto o eseguendo la procedura manuale seguente:You can get to this place by either using a direct link or by following these manual steps:

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as administrator.

  2. Sulla barra di spostamento a sinistra fare clic su Active Directory.On the left navbar, click Active Directory.

    Configura impostazioni dispositivo

  3. Nella sezione Gestisci fare clic su Dispositivi.In the Manage section, click Devices.

    Configura impostazioni dispositivo

La pagina Dispositivi consente di:The Devices page enables you to:

  • Configurare le impostazioni dei dispositiviConfigure your device settings
  • Individuare i dispositiviLocate devices
  • Eseguire attività di gestione delle identità del dispositivoPerform device identity management tasks
  • Esaminare i log di controllo relativi al dispositivoReview device-related audit logs

Configura impostazioni dispositivoConfigure device settings

Per gestire le identità del dispositivo tramite il portale di Azure AD, è necessario che i dispositivi siano registrati o aggiunti a Azure ad.To manage your device identities using the Azure AD portal, your devices need to be either registered or joined to Azure AD. Un amministratore può ottimizzare il processo di registrazione e aggiunta dei dispositivi configurando le relative impostazioni.As an administrator, you can fine-tune the process of registering and joining devices by configuring the device settings.

Configura impostazioni dispositivo

La pagina delle impostazioni dei dispositivi consente di configurare:The device settings page enables you to configure:

Gestire un dispositivo Intune

  • Gli utenti possono aggiungere dispositivi a Azure ad . questa impostazione consente di selezionare gli utenti che possono registrare i propri dispositivi come Azure ad dispositivi aggiunti.Users may join devices to Azure AD - This setting enables you to select the users who can register their devices as Azure AD joined devices. L'impostazione predefinita è Tutti.The default is All.

Nota

Gli utenti possono aggiungere dispositivi a Azure ad impostazione è applicabile solo a Azure ad join in Windows 10.Users may join devices to Azure AD setting is only applicable to Azure AD join on Windows 10.

  • Amministratori locali aggiuntivi su dispositivi aggiunti ad Azure AD: è possibile selezionare gli utenti a cui vengono concessi i diritti di amministratore locale per un dispositivo.Additional local administrators on Azure AD joined devices - You can select the users that are granted local administrator rights on a device. Gli utenti aggiunti in questa posizione vengono aggiunti al ruolo Amministratori di dispositivi in Azure AD.Users added here are added to the Device Administrators role in Azure AD. Agli amministratori globali di Azure AD e ai proprietari dei dispositivi vengono concessi i diritti di amministratore locale per impostazione predefinita.Global administrators in Azure AD and device owners are granted local administrator rights by default. Questa opzione è una funzionalità dell'edizione Premium disponibile tramite prodotti come Azure AD Premium o Enterprise Mobility Suite (EMS).This option is a premium edition capability available through products such as Azure AD Premium or the Enterprise Mobility Suite (EMS).
  • Gli utenti possono registrare i propri dispositivi con Azure ad : è necessario configurare questa impostazione per consentire la registrazione dei dispositivi Windows 10 Personal, iOS, Android e macOs con Azure ad.Users may register their devices with Azure AD - You need to configure this setting to allow Windows 10 personal, iOS, Android, and macOs devices to be registered with Azure AD. Se si seleziona nessuno, i dispositivi non possono eseguire la registrazione con Azure ad.If you select None, devices are not allowed to register with Azure AD. L'iscrizione a Microsoft Intune o Gestione dispositivi mobili per Office 365 richiede la registrazione.Enrollment with Microsoft Intune or Mobile Device Management (MDM) for Office 365 requires registration. Se è stato configurato uno di questi servizi, è selezionata l'opzione TUTTI e l'opzione NESSUNO non è disponibile.If you have configured either of these services, ALL is selected and NONE is not available.
  • Richiedi autenticazione a più fattori per aggiungere dispositivi : è possibile scegliere se gli utenti devono fornire un ulteriore fattore di autenticazione per aggiungere il dispositivo a Azure ad.Require Multi-Factor Auth to join devices - You can choose whether users are required to provide an additional authentication factor to join their device to Azure AD. Il valore predefinito è No.The default is No. Si consiglia di richiedere l'autenticazione a più fattori quando si registra un dispositivo.We recommend requiring multi-factor authentication when registering a device. Per abilitare l'autenticazione a più fattori per questo servizio, è necessario verificare che tale tipo di autenticazione sia configurato per gli utenti che registrano i dispositivi.Before you enable multi-factor authentication for this service, you must ensure that multi-factor authentication is configured for the users that register their devices. Per altre informazioni sui diversi servizi di autenticazione a più fattori di Azure, vedere Introduzione ad Azure Multi-Factor Authentication.For more information on different Azure multi-factor authentication services, see getting started with Azure multi-factor authentication.

Nota

Richiedi autenticazione a più fattori per aggiungere l'impostazione dispositivi non si applica ai dispositivi ibridi Azure ad aggiunti.Require Multi-Factor Auth to join devices setting does not apply to hybrid Azure AD joined devices.

  • Numero massimo di dispositivi per utente: questa impostazione consente di selezionare il numero massimo di dispositivi che un utente può avere in Azure AD.Maximum number of devices - This setting enables you to select the maximum number of devices that a user can have in Azure AD. Se un utente raggiunge la quota specificata, non potrà aggiungere altri dispositivi fino a quando non vengono rimossi uno o più dispositivi esistenti.If a user reaches this quota, they are not be able to add additional devices until one or more of the existing devices are removed. La quota del dispositivo viene conteggiata per tutti i dispositivi Azure AD aggiunti o Azure AD registrati oggi.The device quota is counted for all devices that are either Azure AD joined or Azure AD registered today. Il valore predefinito è 20.The default value is 20.

Nota

L'impostazione numero massimo di dispositivi non si applica ai dispositivi ibridi Azure ad aggiunti.Maximum number of devices setting does not apply to hybrid Azure AD joined devices.

  • Gli utenti possono sincronizzare le impostazioni e i dati delle app su tutti i dispositivi: per impostazione predefinita, il valore di questa opzione è Nessuno.Users may sync settings and app data across devices - By default, this setting is set to NONE. Se si selezionano utenti o gruppi specifici oppure l'opzione TUTTI, si consente la sincronizzazione delle impostazioni dell'utente e dei dati delle app tra i dispositivi Windows 10.Selecting specific users or groups or ALL allows the user’s settings and app data to sync across their Windows 10 devices. Leggere altre informazioni sul funzionamento della sincronizzazione in Windows 10.Learn more on how sync works in Windows 10. Questa opzione è una funzionalità Premium disponibile tramite prodotti come Azure AD Premium o Enterprise Mobility Suite (EMS).This option is a premium capability available through products such as Azure AD Premium or the Enterprise Mobility Suite (EMS).

Individuare i dispositiviLocate devices

Sono disponibili due opzioni per individuare i dispositivi registrati e aggiunti:You have two options to locate registered and joined devices:

  • Tutti i dispositivi nella sezione Gestisci della pagina DispositiviAll devices in the Manage section of the Devices page

    Tutti i dispositivi

  • Dispositivi nella sezione Gestisci di una pagina UtenteDevices in the Manage section of a User page

    Tutti i dispositivi

Con entrambe le opzioni, è possibile ottenere una vista che:With both options, you can get to a view that:

  • Consente di cercare i dispositivi usando il nome visualizzato o l'ID dispositivo come filtro.Enables you to search for devices using the display name or device ID as filter.
  • Fornisce una panoramica dettagliata dei dispositivi registrati e aggiuntiProvides you with detailed overview of registered and joined devices
  • Consente di eseguire attività comuni di gestione dei dispositiviEnables you to perform common device management tasks

Tutti i dispositivi

Suggerimento

  • Se viene visualizzato un dispositivo "Azure AD ibrido aggiunto" con uno stato "in sospeso" nella colonna registrata, significa che il dispositivo è stato sincronizzato da Azure AD connettersi ed è in attesa di completare la registrazione dal client.If you see a device that is "Hybrid Azure AD joined" with a state "Pending" under the REGISTERED column, it indicates that the device has been synchronized from Azure AD connect and is waiting to complete registration from the client. Ulteriori informazioni su come pianificare l'implementazione di Azure ad ibrido join.Read more on how to plan your Hybrid Azure AD join implementation. Ulteriori informazioni sono disponibili nell'articolo domande frequenti sui dispositivi.Additional information can be found in the article, Devices frequently asked questions.

    Dispositivi in sospeso

  • Per alcuni dispositivi iOS, i nomi dei dispositivi contenenti apostrofi possono usare caratteri potenzialmente diversi, simili ad apostrofi.For some iOS devices, the device names containing apostrophes can potentially use different characters that look like apostrophes. Quindi, la ricerca di tali dispositivi è un po' complicata. se non vengono visualizzati correttamente i risultati della ricerca, assicurarsi che la stringa di ricerca contenga il carattere apostrofo corrispondente.So searching for such devices is a little tricky - if you are not seeing search results correctly, ensure that the search string contains matching apostrophe character.

Attività di gestione delle identità dei dispositiviDevice identity management tasks

In qualità di amministratore globale o amministratore di dispositivi cloud, è possibile gestire i dispositivi registrati o aggiunti.As a global administrator or cloud device administrator, you can manage the registered or joined devices. Gli amministratori del servizio Intune possono:Intune Service administrators can:

  • Aggiornare i dispositivi: esempi sono operazioni quotidiane, quali abilitazione/disabilitazione di dispositiviUpdate devices - Examples are daily operations such as enabling/disabling devices
  • Eliminare i dispositivi: quando un dispositivo viene ritirato e deve essere eliminato in Azure ADDelete devices – When a device is retired and should be deleted in Azure AD

Questa sezione fornisce informazioni sulle attività comuni di gestione delle identità dei dispositivi.This section provides you with information about common device identity management tasks.

Gestire un dispositivo IntuneManage an Intune device

Un amministratore di Intune può gestire i dispositivi contrassegnati come Microsoft Intune.If you are an Intune administrator, you can manage devices marked as Microsoft Intune. Se il dispositivo non è registrato con Microsoft Intune l'opzione "Gestisci" sarà disattivata.If the device is not enrolled with Microsoft Intune the "Manage" option will be greyed out.

Gestire un dispositivo Intune

Abilitare o disabilitare un dispositivo Azure ADEnable / disable an Azure AD device

Per abilitare o disabilitare un dispositivo, le opzioni disponibili sono due:To enable / disable a device, you have two options:

  • Il menu Attività ("...") nella pagina Tutti i dispositiviThe tasks menu ("...") on the All devices page

    Gestire un dispositivo Intune

  • La barra degli strumenti nella pagina DispositiviThe toolbar on the Devices page

    Gestire un dispositivo Intune

Osservazioni:Remarks:

  • Per abilitare o disabilitare un dispositivo, è necessario essere un amministratore globale o un amministratore di dispositivi cloud in Azure AD.You need to be a global administrator or cloud device administrator in Azure AD to enable / disable a device.
  • La disabilitazione di un dispositivo impedisce l'autenticazione del dispositivo con Azure AD, impedendo così al dispositivo di accedere alle risorse Azure AD sorvegliate dalla CA del dispositivo o usando le credenziali di WH4B.Disabling a device prevents a device from successfully authenticating with Azure AD, thereby preventing the device from accessing your Azure AD resources that are guarded by device CA or using your WH4B credentials.

Eliminare un dispositivo Azure ADDelete an Azure AD device

Per eliminare un dispositivo, le opzioni disponibili sono due:To delete a device, you have two options:

  • Il menu Attività ("...") nella pagina Tutti i dispositiviThe tasks menu ("...") on the All devices page

    Gestire un dispositivo Intune

  • La barra degli strumenti nella pagina DispositiviThe toolbar on the Devices page

    Eliminare un dispositivo

Osservazioni:Remarks:

  • Per eliminare un dispositivo, è necessario essere un amministratore globale o un amministratore di Intune in Azure AD.You need to be a global administrator or an Intune administrator in Azure AD to delete a device.
  • L'eliminazione di un dispositivo comporta quanto segue:Deleting a device:
    • Impedisce l'accesso del dispositivo alle risorse di Azure AD.Prevents a device from accessing your Azure AD resources.
    • Rimuove tutti i dettagli collegati al dispositivo, ad esempio, le chiavi BitLocker per i dispositivi Windows.Removes all details that are attached to the device, for example, BitLocker keys for Windows devices.
    • È un'attività non reversibile e non è consigliata, a meno che non sia necessaria.Represents a non-recoverable activity and is not recommended unless it is required.

Se un dispositivo è gestito da un'altra autorità di gestione (ad esempio, Microsoft Intune), assicurarsi che il dispositivo sia stato cancellato/ritirato prima di eliminare il dispositivo Azure AD.If a device is managed by another management authority (for example, Microsoft Intune), make sure that the device has been wiped / retired before deleting the device in Azure AD. Vedere come gestire i dispositivi non aggiornati prima di eliminare i dispositivi.Review how to manage stale devices before deleting any devices.

Visualizzare o copiare l'ID dispositivoView or copy device ID

È possibile usare l'ID di un dispositivo per verificare i relativi dettagli nel dispositivo o per l'uso in PowerShell in fase di risoluzione dei problemi.You can use a device ID to verify the device ID details on the device or using PowerShell during troubleshooting. Per accedere all'opzione di copia, fare clic sul dispositivo.To access the copy option, click the device.

Visualizzare l'ID dispositivo

Visualizzare o copiare le chiavi BitLockerView or copy BitLocker keys

È possibile visualizzare e copiare le chiavi BitLocker per aiutare gli utenti a recuperare l'unità crittografata.You can view and copy the BitLocker keys to help users to recover their encrypted drive. Queste chiavi sono disponibili solo per i dispositivi Windows crittografati e le cui chiavi sono archiviate in Azure AD.These keys are only available for Windows devices that are encrypted and have their keys stored in Azure AD. È possibile copiare queste chiavi quando si accede ai dettagli del dispositivo.You can copy these keys when accessing details of the device.

Visualizzare le chiavi BitLocker

Per visualizzare o copiare le chiavi BitLocker, è necessario essere il proprietario del dispositivo o un utente con almeno uno dei ruoli seguenti assegnati:To view or copy the BitLocker keys, you need to be either the owner of the device, or a user that has at least one of the following roles assigned:

  • Amministratore dispositivo cloudCloud Device Administrator
  • Amministratore globaleGlobal Administrator
  • Amministratore supporto tecnicoHelpdesk Administrator
  • Amministratore del servizio IntuneIntune Service Administrator
  • Amministratore della protezioneSecurity Administrator
  • Ruolo con autorizzazioni di lettura per la sicurezzaSecurity Reader

Nota

I dispositivi Windows 10 aggiunti ad Azure AD ibrido non hanno un proprietario.Hybrid Azure AD Joined Windows 10 devices do not have an owner. Quindi, se si sta cercando un dispositivo in base al proprietario e non lo si trova, eseguire la ricerca in base all'ID del dispositivo.So, if you are looking for a device by owner and didn't find it, search by the device ID.

Log di controlloAudit logs

Le attività del dispositivo sono disponibili tramite i log attività.Device activities are available through the activity logs. Questi log includono le attività avviate dal servizio di registrazione dei dispositivi e dagli utenti:These logs include activities triggered by the device registration service and by users:

  • Creazione di un dispositivo e aggiunta di proprietari/utenti nel dispositivoDevice creation and adding owners / users on the device
  • Modifiche alle impostazioni del dispositivoChanges to device settings
  • Funzionamento del dispositivo, ad esempio eliminazione o aggiornamentoDevice operations such as deleting or updating a device

Il punto di ingresso ai dati di controllo è Log di controllo nella sezione Attività della pagina Dispositivi.Your entry point to the auditing data is Audit logs in the Activity section of the Devices page.

Log di controllo

Un log di controllo è una visualizzazione elenco predefinita che include:An audit log has a default list view that shows:

  • Data e ora dell'occorrenzaThe date and time of the occurrence
  • DestinazioniThe targets
  • Iniziatore/attore di un'attività (chi)The initiator / actor (who) of an activity
  • Attività (cosa)The activity (what)

Log di controllo

Per personalizzare la visualizzazione elenco, fare clic su Colonne nella barra degli strumenti.You can customize the list view by clicking Columns in the toolbar.

Log di controllo

Per limitare i dati segnalati in base alle esigenze, è possibile filtrare i dati di controllo usando i campi seguenti:To narrow down the reported data to a level that works for you, you can filter the audit data using the following fields:

  • CategoryCategory
  • Activity resource type (Tipo di risorsa dell'attività)Activity resource type
  • AttivitàActivity
  • Intervallo di dateDate range
  • DestinazioneTarget
  • Azione avviata da (attore)Initiated By (Actor)

Oltre a usare i filtri, è possibile cercare voci specifiche.In addition to the filters, you can search for specific entries.

Log di controllo

Passaggi successiviNext steps

Come gestire i dispositivi non aggiornati in Azure ADHow to manage stale devices in Azure AD