Informazioni sulla gestione dei dispositivi in Azure Active DirectoryWhat is device management in Azure Active Directory?

In un mondo in cui i dispositivi mobili e il cloud hanno sempre più importanza, Azure Active Directory (Azure AD) consente ovunque l'accesso Single Sign-On a dispositivi, app e servizi.In a mobile-first, cloud-first world, Azure Active Directory (Azure AD) enables single sign-on to devices, apps, and services from anywhere. Con il proliferare dei dispositivi, inclusi i dispositivi Bring Your Own Device (BYOD), i professionisti IT hanno due obiettivi opposti:With the proliferation of devices - including Bring Your Own Device (BYOD), IT professionals are faced with two opposing goals:

  • Fare in modo che gli utenti finali siano produttivi sempre e ovunqueEmpower the end users to be productive wherever and whenever
  • Proteggere gli asset aziendali in qualsiasi momentoProtect the corporate assets at any time

Tramite i dispositivi gli utenti hanno accesso alle risorse aziendali.Through devices, your users are getting access to your corporate assets. Per proteggere le risorse aziendali, gli amministratori IT vogliono avere il controllo su questi dispositivi.To protect your corporate assets, as an IT administrator, you want to have control over these devices. Ciò consente di verificare che gli utenti accedano alle risorse da dispositivi che soddisfano gli standard per sicurezza e conformità.This enables you to make sure that your users are accessing your resources from devices that meet your standards for security and compliance.

La gestione dei dispositivi rappresenta anche il fondamento per l'accesso condizionale basato su dispositivo.Device management is also the foundation for device-based conditional access. Con l'accesso condizionale basato su dispositivo, è possibile assicurarsi che l'accesso alle risorse nell'ambiente sia possibile solo con dispositivi gestiti.With device-based conditional access, you can ensure that access to resources in your environment is only possible with managed devices.

Questo articolo illustra il funzionamento della gestione dei dispositivi in Azure Active Directory.This article explains how device management in Azure Active Directory works.

Controllo dei dispositivi tramite Azure ADGetting devices under the control of Azure AD

Per controllare un dispositivo tramite Azure AD, sono disponibili due opzioni:To get a device under the control of Azure AD, you have two options:

  • RegistrazioneRegistering
  • AggiuntaJoining

La registrazione di un dispositivo in Azure AD consente di gestire l'identità di un dispositivo.Registering a device to Azure AD enables you to manage a device’s identity. Quando un dispositivo viene registrato, Registrazione dispositivo Azure AD fornisce al dispositivo un'identità che viene usata per autenticare il dispositivo quando un utente accede ad Azure AD.When a device is registered, Azure AD device registration provides the device with an identity that is used to authenticate the device when a user signs-in to Azure AD. È possibile usare l'identità per abilitare o disabilitare un dispositivo.You can use the identity to enable or disable a device.

Con una soluzione di gestione di dispositivi mobili (MDM), ad esempio Microsoft Intune, gli attributi del dispositivo in Azure AD vengono aggiornati con informazioni aggiuntive sul dispositivo.When combined with a mobile device management(MDM) solution such as Microsoft Intune, the device attributes in Azure AD are updated with additional information about the device. Ciò permette di creare regole di accesso condizionale che subordinano l'accesso dai dispositivi al rispetto dei propri standard di sicurezza e conformità.This allows you to create conditional access rules that enforce access from devices to meet your standards for security and compliance. Per altre informazioni sulla registrazione dei dispositivi in Microsoft Intune, vedere Informazioni sulla registrazione dei dispositivi.For more information on enrolling devices in Microsoft Intune, see What is device enrollment?

L'aggiunta di un dispositivo è un'estensione della registrazione di un dispositivo.Joining a device is an extension to registering a device. Offre infatti tutti i vantaggi della registrazione di un dispositivo, oltre a modificarne lo stato locale.This means, it provides you with all the benefits of registering a device and in addition to this, it also changes the local state of a device. Modificando lo stato locale, gli utenti possono accedere a un dispositivo usando un account aziendale o dell'istituto di istruzione invece di un account personale.Changing the local state enables your users to sign-in to a device using an organizational work or school account instead of a personal account.

Dispositivi registrati in Azure ADAzure AD registered devices

L'obiettivo dei dispositivi registrati in Azure AD è di fornire supporto per lo scenario Bring Your Own Device (BYOD).The goal of Azure AD registered devices is to provide you with support for the Bring Your Own Device (BYOD) scenario. In questo scenario un utente può accedere alle risorse dell'organizzazione controllate da Azure Active Directory usando un dispositivo personale.In this scenario, a user can access your organization’s Azure Active Directory controlled resources using a personal device.

Dispositivi registrati in Azure AD

L'accesso si basa su un account aziendale o dell'istituto di istruzione immesso nel dispositivo.The access is based on a work or school account that has been entered on the device.
Windows 10, ad esempio, consente agli utenti di aggiungere un account aziendale o dell'istituto di istruzione a un computer, un tablet o un telefono personale.For example, Windows 10 enables users to add a work or school account to a personal computer, tablet, or phone.
Dopo l'aggiunta dell'account aziendale o dell'istituto di istruzione il dispositivo viene registrato in Azure AD e, facoltativamente, anche nel sistema di gestione di dispositivi mobili (MDM) configurato dall'organizzazione.When a user has added a work or school account, the device is registered with Azure AD and optionally enrolled in the mobile device management (MDM) system that your organization has configured. Gli utenti dell'organizzazione possono aggiungere un account aziendale o dell'istituto di istruzione a un dispositivo personale in modo pratico:Your organization’s users can add a work or school account to a personal device conveniently:

  • Durante il primo accesso a un'applicazione di lavoroWhen accessing a work application for the first time
  • Manualmente tramite il menu Impostazioni nel caso di Windows 10Manually via the Settings menu in the case of Windows 10

È possibile configurare dispositivi registrati in Azure AD per Windows 10, iOS, Android e macOS.You can configure Azure AD registered devices for Windows 10, iOS, Android and macOS.

Dispositivi aggiunti ad Azure ADAzure AD joined devices

L'obiettivo dei dispositivi aggiunti ad Azure AD è di semplificare:The goal of Azure AD joined devices is to simplify:

  • Distribuzioni Windows di dispositivi di proprietà dell'aziendaWindows deployments of work-owned devices
  • Accesso ad app e risorse aziendali da qualsiasi dispositivo WindowsAccess to organizational apps and resources from any Windows device
  • Gestione basata su cloud di dispositivi di proprietà dell'aziendaCloud-based management of work-owned devices

Dispositivi registrati in Azure AD

È possibile distribuire Aggiunta ad Azure AD usando uno dei metodi seguenti:Azure AD Join can be deployed by using any of the following methods:

L'aggiunta ad Azure AD è destinata alle organizzazioni che mirano a usare prima di tutto il cloud, vale a dire che usano principalmente servizi cloud con lo scopo di ridurre l'uso di un'infrastruttura locale, o a usare esclusivamente il cloud, ovvero senza un'infrastruttura locale.Azure AD Join is intended for organizations that want to be cloud-first (that is, primarily use cloud services, with a goal to reduce use of an on-premises infrastructure) or cloud-only (no on-premises infrastructure). Non vi è alcuna restrizione sulle dimensioni o sul tipo di organizzazioni che possono distribuire l'aggiunta ad Azure AD.There are no restrictions on the size or type of organizations that can deploy Azure AD Join. L'aggiunta ad Azure AD funziona correttamente anche in un ambiente ibrido e può consentire l'accesso alle app e alle risorse sia su cloud sia locali.Azure AD Join works well even in a hybrid environment, enabling access to both cloud and on-premises apps and resources.

L'implementazione di dispositivi aggiunti ad Azure AD offre i vantaggi seguenti:Implementing Azure AD joined devices provides you with the following benefits:

  • Single Sign-On (SSO) alle app e ai servizi SaaS gestiti da Azure.Single-Sign-On (SSO) to your Azure managed SaaS apps and services. Gli utenti non visualizzano richieste di autenticazione aggiuntive quando accedono alle risorse.Your users don’t see additional authentication prompts when accessing work resources. La funzionalità SSO è disponibile anche quando non sono connessi utenti alla rete di dominio.The SSO functionality is available, even when your users are not connected to the domain network.

  • Roaming conforme ai criteri dell'organizzazione per le impostazioni utente tra dispositivi aggiunti.Enterprise compliant roaming of user settings across joined devices. Non è necessario che gli utenti connettano un account Microsoft (ad esempio, Hotmail) per visualizzare le impostazioni tra dispositivi.Users don’t need to connect a Microsoft account (for example, Hotmail) to see settings across devices.

  • Accesso a Windows Store per le aziende tramite l'account Azure AD.Access to Windows Store for Business using an Azure AD account. Gli utenti possono scegliere da un inventario di applicazioni preselezionate dall'organizzazione.Your users can choose from an inventory of applications pre-selected by the organization.

  • Supporto di Windows Hello per un accesso sicuro e agevole alle risorse aziendali.Windows Hello support for secure and convenient access to work resources.

  • Limitazione dell'accesso alle app solo dai dispositivi che soddisfano i criteri di conformità.Restriction of access to apps from only devices that meet compliance policy.

  • Accesso ottimizzato alle risorse locali quando il dispositivo dispone della visibilità per il controller di dominio locale.Seamless access to on-premises resources when the device has line of sight to the on-premises domain controller.

Anche se l'aggiunta ad Azure AD è destinata soprattutto alle organizzazioni prive di un'infrastruttura Active Directory di Windows Server locale, è ovviamente possibile usarla in scenari in cui:While Azure AD join is primarily intended for organizations that do not have an on-premises Windows Server Active Directory infrastructure, you can certainly use it in scenarios where:

  • Si vuole passare all'infrastruttura basata su cloud mediante Azure AD e MDM come Intune.You want to transition to cloud-based infrastructure using Azure AD and MDM like Intune.

  • Non è possibile usare un'aggiunta a un dominio locale, ad esempio se è necessario avere il controllo di dispositivi mobili come tablet e telefoni.You can’t use an on-premises domain join, for example, if you need to get mobile devices such as tablets and phones under control.

  • Gli utenti hanno soprattutto necessità di accedere a Office 365 o ad altre app SaaS integrate con Azure AD.Your users primarily need to access Office 365 or other SaaS apps integrated with Azure AD.

  • Si vuole gestire un gruppo di utenti in Azure AD invece che in Active Directory,You want to manage a group of users in Azure AD instead of in Active Directory. ad esempio lavoratori stagionali, terzisti o studenti.This can apply, for example, to seasonal workers, contractors, or students.

  • Si vogliono fornire funzionalità di join ai lavoratori in succursali remote con un'infrastruttura locale limitata.You want to provide joining capabilities to workers in remote branch offices with limited on-premises infrastructure.

È possibile configurare dispositivi aggiunti ad Azure AD per dispositivi Windows 10.You can configure Azure AD joined devices for Windows 10 devices.

Dispositivi aggiunti all'identità ibrida di Azure ADHybrid Azure AD joined devices

Per oltre un decennio, molte organizzazioni hanno usato l'aggiunta a un dominio ad Active Directory locale per consentire:For more than a decade, many organizations have used the domain join to their on-premises Active Directory to enable:

  • Ai reparti IT di gestire i dispositivi di proprietà dell'azienda da una posizione centrale.IT departments to manage work-owned devices from a central location.

  • Agli utenti di accedere ai dispositivi con il proprio account aziendale o dell'istituto di istruzione di Active Directory.Users to sign in to their devices with their Active Directory work or school accounts.

In genere le aziende con un footprint locale si basano su metodi di creazione dell'immagine per effettuare il provisioning dei dispositivi e, per gestirli, usano System Center Configuration Manager (SCCM) o Criteri di gruppo.Typically, organizations with an on-premises footprint rely on imaging methods to provision devices, and they often use System Center Configuration Manager (SCCM) or group policy (GP) to manage them.

Se l'ambiente ha un footprint AD locale e si vogliono anche sfruttare le funzionalità offerte da Azure Active Directory, è possibile implementare dispositivi aggiunti all'identità ibrida di Azure AD.If your environment has an on-premises AD footprint and you also want benefit from the capabilities provided by Azure Active Directory, you can implement hybrid Azure AD joined devices. Questi dispositivi vengono aggiunti all'istanza di Active Directory locale e registrati in Azure Active Directory.These are devices that are joined to your on-premises Active Directory and registered with your Azure Active Directory.

Dispositivi registrati in Azure AD

È consigliabile usare dispositivi aggiunti all'identità ibrida di Azure AD se:You should use Azure AD hybrid joined devices if:

  • Sono state distribuite app Win32 in questi dispositivi che fanno affidamento sull'autenticazione di computer Active Directory.You have Win32 apps deployed to these devices that rely on Active Directory machine authentication.

  • Sono necessari criteri di gruppo per gestire i dispositivi.You require GP to manage devices.

  • Si vuole continuare a usare soluzioni di creazione dell'immagine per configurare i dispositivi per i dipendenti.You want to continue to use imaging solutions to configure devices for your employees.

È possibile configurare dispositivi aggiunti all'identità ibrida di Azure AD per Windows 10 e dispositivi di livello inferiore, ad esempio Windows 8 e Windows 7.You can configure Hybrid Azure AD joined devices for Windows 10 and down-level devices such as Windows 8 and Windows 7.

SummarySummary

Con la gestione dei dispositivi in Azure AD, è possibile:With device management in Azure AD, you can:

  • Semplificare il processo per mettere i dispositivi sotto il controllo di Azure ADSimplify the process of bringing devices under the control of Azure AD

  • Fornire agli utenti un accesso facile da usare alle risorse basate sul cloud dell'organizzazioneProvide your users with an easy to use access to your organization’s cloud-based resources

Come regola generale, è consigliabile usare:As a rule of a thumb, you should use:

  • Dispositivi registrati in Azure AD:Azure AD registered devices:

    • Per i dispositivi personaliFor personal devices

    • Per registrare manualmente i dispositivi con Azure ADTo manually register devices with Azure AD

  • Dispositivi aggiunti ad Azure AD:Azure AD joined devices:

    • Per i dispositivi di proprietà dell'aziendaFor devices that are owned by your organization

    • Per i dispositivi non aggiunti ad AD localeFor devices that are not joined to an on-premises AD

    • Per registrare manualmente i dispositivi con Azure ADTo manually register devices with Azure AD

    • Per modificare lo stato locale di un dispositivoTo change the local state of a device

  • Dispositivi aggiunti all'identità ibrida di Azure AD per i dispositivi aggiunti ad AD localeHybrid Azure AD joined devices for devices that are joined to an on-premises AD

    • Per i dispositivi di proprietà dell'aziendaFor devices that are owned by your organization

    • Per i dispositivi aggiunti ad AD localeFor devices that are joined to an on-premises AD

    • Per registrare automaticamente i dispositivi con Azure ADTo automatically register devices with Azure AD

    • Per modificare lo stato locale di un dispositivoTo change the local state of a device

Passaggi successiviNext steps