Abilitare la registrazione di dispositivi iOS con Apple School ManagerEnable iOS device enrollment with Apple School Manager

Questo argomento offre informazioni utili per abilitare la registrazione dei dispositivi iOS acquistati tramite il programma Apple School Manager.This topic helps you enable iOS device enrollment for devices purchased through the Apple School Manager program. Con Intune e Apple School Manager, è possibile registrare un numero elevato di dispositivi iOS senza interventi diretti.Using Intune with Apple School Manager, you can enroll large numbers of iOS devices without ever touching them. Quando uno studente o un insegnante accende il dispositivo, l'Assistente configurazione viene eseguito con impostazioni preconfigurate e il dispositivo viene registrato nella gestione.When a student or teacher turns on the device, Setup Assistant runs with preconfigured settings and the device enrolls into management.

Per abilitare la registrazione di Apple School Manager, si usano entrambi i portali di Intune e Apple School Manager.To enable Apple School Manager enrollment, you use both the Intune and Apple School Manager portals. È necessario un elenco di numeri di serie o un numero di ordine di acquisto per poter assegnare i dispositivi a Intune per la gestione.A list of serial numbers or a purchase order number is required so you can assign devices to Intune for management. Si creano profili di registrazione DEP contenenti le impostazioni da applicare ai dispositivi durante la registrazione.You create DEP enrollment profiles containing settings that applied to devices during enrollment.

La registrazione di Apple School Manager non può essere usata con il programma Device Enrollment Program di Apple o con il manager di registrazione dispositivi.Apple School Manager enrollment can't be used with Apple's Device Enrollment Program or the device enrollment manager.

PrerequisitiPrerequisites

Ottenere un token Apple e assegnare i dispositiviGet an Apple token and assign devices

Per registrare i dispositivi iOS di proprietà dell'azienda in Apple School Manager, è necessario un file di token (con estensione p7m) di Apple.Before you can enroll corporate-owned iOS devices with Apple School Manager, you need a token (.p7m) file from Apple. Questo token consente a Intune di sincronizzare le informazioni sui dispositivi che partecipano al programma Apple School Manager.This token lets Intune sync information about Apple School Manager-participating devices. Consente inoltre di caricare i profili di registrazione in Apple e assegnare i dispositivi a tali profili.It also permits Intune to perform enrollment profile uploads to Apple and to assign devices to those profiles. Nel portale Apple è inoltre possibile assegnare i numeri di serie dei dispositivi da gestire.While you are in the Apple portal, you can also assign device serial numbers to manage.

Passaggio 1.Step 1. Scaricare il certificato di chiave pubblica di Intune necessario per creare un token AppleDownload the Intune public key certificate required to create an Apple token

  1. In Intune scegliere Registrazione del dispositivo > Registrazione Apple > Token del programma di registrazione > Aggiungi.In Intune, choose Device enrollment > Apple enrollment > Enrollment program tokens > Add.

    Ottenere un token del programma di registrazione.

  2. Nel pannello Token DEP scegliere Scarica la chiave pubblica per scaricare e salvare il file della chiave di crittografia (con estensione pem) in locale.In the Enrollment program token blade, choose Download your public key to download and save the encryption key (.pem) file locally. Il file PEM viene usato per richiedere un certificato di relazione di trust dal portale Apple School Manager.The .pem file is used to request a trust-relationship certificate from the Apple School Manager portal. Pannello Token DEP.Enrollment Program Token blade.

Passaggio 2:Step 2. Scaricare un token e assegnare i dispositiviDownload a token and assign devices

  1. Scegliere Crea un token tramite Apple School Manager e accedere ad Apple School con l'ID Apple aziendale.Choose Create a token via Apple School Manager, and sign in to Apple School with your company Apple ID. Lo stesso ID Apple può essere usato per rinnovare il token di Apple School Manager.You can use this Apple ID to renew your Apple School Manager token.

  2. Nel portale di Apple School Manager passare a Server MDM e quindi scegliere Aggiungi server MDM (in alto a destra).In the Apple School Manager portal, go to MDM Servers, and then choose Add MDM Server (upper right).

  3. Immettere il nome del server MDM.Enter the MDM Server Name. Il nome del server viene immesso come riferimento per identificare il server MDM (Mobile Device Management, Gestione dei dispositivi mobili).The server name is for your reference to identify the mobile device management (MDM) server. Non è il nome o l'URL del server di Microsoft Intune.It is not the name or URL of the Microsoft Intune server. Screenshot del portale di Apple School Manager con l'opzione del numero di serie selezionataScreenshot of Apple School Manager portal with Serial Number option selected

  4. Scegliere Carica file nel portale Apple, selezionare il file con estensione pem e quindi scegliere Salva server MDM (in basso a destra).Choose Upload File... in the Apple portal, browse to the .pem file, and choose Save MDM Server (lower right).

  5. Scegliere Ottieni token e quindi scaricare il file token del server (con estensione p7m) nel computer.Choose Get Token and then download the server token (.p7m) file to your computer.

  6. Passare ad Assegnazioni di dispositivi e scegliere il dispositivo inserendo manualmente i numeri di serie, il numero di ordine o caricando un file CSV.Go to Device Assignments, and Choose Device by manual entry of Serial Numbers, Order Number, or Upload CSV File. Screenshot del portale di Apple School Manager con l'opzione del numero di serie selezionataScreenshot of Apple School Manager portal with Serial Number option selected

  7. Scegliere l'azione Assegna al server e scegliere il server MDM creato.Choose the action Assign to Server, and choose the MDM Server you created.

  8. Specificare come scegliere i dispositivi e quindi fornire dettagli e informazioni sul dispositivo.Specify how to Choose Devices, then provide device information and details.

  9. Scegliere Assegna al server, selezionare il <nome del server> specificato per Microsoft Intune e fare clic su OK.Choose Assign to Server and choose the <ServerName> specified for Microsoft Intune, and then choose OK.

Passaggio 3.Step 3. Salvare l'ID Apple usato per creare questo tokenSave the Apple ID used to create this token

Nel portale di Azure in Intune specificare l'ID Apple per riferimenti futuri.In Intune in the Azure portal, provide the Apple ID for future reference.

Screenshot della specifica dell'ID Apple usato per creare il token DEP e passare al token DEP.

Passaggio 4.Step 4. Caricare il tokenUpload your token

Nella casella Token Apple passare al file (con estensione pem) del certificato, scegliere Apri e quindi scegliere Crea.In the Apple token box, browse to the certificate (.pem) file, choose Open, and then choose Create. Con il certificato push, Intune può registrare e gestire i dispositivi iOS eseguendo il push dei criteri nei dispositivi mobili registrati.With the push certificate, Intune can enroll and manage iOS devices by pushing policy to enrolled mobile devices. Intune sincronizza automaticamente i dispositivi Apple School Manager da Apple.Intune automatically synchronizes your Apple School Manager devices from Apple.

Creare un profilo di registrazione di AppleCreate an Apple enrollment profile

Ora che è stato installato il token, è possibile creare un profilo di registrazione per i dispositivi Apple School.Now that you've installed your token, you can create an enrollment profile for Apple School devices. Un profilo di registrazione dispositivi consente di definire le impostazioni applicate a un gruppo di dispositivi durante la registrazione.A device enrollment profile defines the settings applied to a group of devices during enrollment.

  1. In Intune scegliere Registrazione del dispositivo > Registrazione Apple > Token del programma di registrazione.In Intune, choose Device enrollment > Apple Enrollment > Enrollment program tokens.

  2. Selezionare un token, scegliere Profili e quindi scegliere Crea profilo.Select a token, choose Profiles, and then choose Create profile.

  3. In Crea profilo immettere un nome e una descrizione per il profilo per scopi amministrativi.Under Create Profile, enter a Name and Description for the profile for administrative purposes. Questi dettagli non vengono visualizzati agli utenti.Users do not see these details. È possibile usare questo campo Nome per creare un gruppo dinamico in Azure Active Directory.You can use this Name field to create a dynamic group in Azure Active Directory. Usare il nome del profilo per definire il parametro enrollmentProfileName per assegnare i dispositivi con questo profilo di registrazione.Use the profile name to define the enrollmentProfileName parameter to assign devices with this enrollment profile. Altre informazioni sui gruppi dinamici di Azure Active Directory.Learn more about Azure Active Directory dynamic groups. Nome e descrizione del profilo.Profile name and description.

  4. In Affinità utente scegliere se i dispositivi con questo profilo devono essere registrati con o senza un utente assegnato.For User Affinity, choose whether devices with this profile must enroll with or without an assigned user.

    • Registra con affinità utente: scegliere questa opzione per i dispositivi che appartengono a utenti e che vogliono usare il portale aziendale per servizi come l'installazione di app.Enroll with User Affinity - Choose this option for devices that belong to users and that want to use the company portal for services like installing apps. Questa opzione consente anche agli utenti di autenticare i dispositivi tramite il portale aziendale.This option also lets users authenticate their devices by using the company portal. Per l'affinità utente è richiesto endpoint misto/nome utente WS-Trust 1.3.User affinity requires WS-Trust 1.3 Username/Mixed endpoint. Altre informazioni.Learn more. La modalità iPad condiviso di Apple School Manager richiede la registrazione dell'utente senza affinità utente.Apple School Manager's Shared iPad mode requires user enroll without user affinity.

    • Registra senza affinità utente: scegliere questa opzione per i dispositivi non associati a un singolo utente, come un dispositivo condiviso.Enroll without User Affinity - Choose this option for devices unaffiliated with a single user, such as a shared device. Usare questa opzione per i dispositivi che eseguono attività senza accedere ai dati utente locali.Use this for devices that perform tasks without accessing local user data. Le app come l'app Portale aziendale non funzionano.Apps like the Company Portal app don’t work.

  5. Se si sceglie Registra con affinità utente, è possibile consentire agli utenti di eseguire l'autenticazione con il portale aziendale invece di Assistente configurazione Apple.If you chose Enroll with User Affinity, you have the option to let users authenticate with Company Portal instead of the Apple Setup Assistant.

    Autenticazione con il portale aziendale.

    Nota

    L'autenticazione a più fattori (MFA) non funziona durante la registrazione nei dispositivi Apple School Manager in presenza di proprietà del profilo impostate su Registra con affinità utente e se non si usa un portale aziendale.Multifactor authentication (MFA) doesn't work during enrollment on Apple School Manager devices if you have profile properties set to Use with User Affinity and you aren't using a Company Portal. Dopo la registrazione, l'autenticazione a più fattori funziona come previsto in questi dispositivi.After enrollment, MFA works as expected on these devices. I dispositivi non possono richiedere agli utenti di modificare la password al primo accesso.Devices can't prompt users who need to change their password when they first sign in. Inoltre, agli utenti con password scadute non viene richiesto di reimpostare la password durante la registrazioneAdditionally, users with expired passwords aren't prompted to reset their password during enrollment. e devono reimpostarla da un altro dispositivo.Users must use a different device to reset the password.

  6. Scegliere Impostazioni di gestione dei dispositivi e specificare se si vogliono includere i dispositivi con questo profilo nella supervisione.Choose Device Management Settings and select whether or not you want devices using this profile to be supervised. I dispositivi con supervisione offrono più opzioni di gestione e il blocco attivazione viene disabilitato per impostazione predefinita.Supervised devices give you more management options and disabled Activation Lock by default. È consigliabile usare il programma DEP come meccanismo per l'abilitazione della modalità con supervisione, soprattutto per le organizzazioni che distribuiscono un numero elevato di dispositivi iOS.Microsoft recommends using DEP as the mechanism for enabling supervised mode, especially for organizations that are deploying large numbers of iOS devices.

    Gli utenti vengono informati che i dispositivi sono inclusi nella supervisione in due modi:Users are notified that their devices are supervised in two ways:

    • Nella schermata di blocco viene visualizzata l'indicazione: "This iPhone is managed by Contoso." (Questo iPhone è gestito da Contoso)The lock screen says: "This iPhone is managed by Contoso."

    • Nella schermata Impostazioni > Generale > Informazioni su viene visualizzata l'indicazione: "This iPhone is supervised.The Settings > General > About screen says: "This iPhone is supervised. Contoso can monitor your Internet traffic and locate this device." (Questo iPhone è soggetto a supervisione. Contoso può monitorare il traffico Internet e individuare il dispositivo)Contoso can monitor your Internet traffic and locate this device."

      Nota

      Per reimpostare un dispositivo registrato senza supervisione in modo da includerlo nella supervisione, è possibile usare solo Apple Configurator.A device enrolled without supervision can only be reset to supervised by using the Apple Configurator. Per reimpostare il dispositivo in questo modo, è necessario connettere un dispositivo iOS a un computer Mac con un cavo USB.Resetting the device in this manner requires connecting an iOS device to a Mac with a USB cable. Per altre informazioni vedere la documentazione di Apple Configurator.Learn more about this on Apple Configurator docs.

  7. Scegliere se usare o meno la registrazione bloccata per i dispositivi con questo profilo.Choose whether or not you want locked enrollment for devices using this profile. La registrazione bloccata disabilita le impostazioni di iOS che consentono la rimozione del profilo di gestione dal menu Impostazioni.Locked enrollment disables iOS settings that allow the management profile to be removed from the Settings menu. Dopo la registrazione del dispositivo, non è possibile modificare questa impostazione senza ripristinare le impostazioni predefinite del dispositivo.After device enrollment, you cannot change this setting without factory resetting the device. Per tali dispositivi, la modalità di gestione Supervisione eseguita deve essere impostata su .Such devices must have the Supervised Management Mode set to Yes.

  8. Se si vuole consentire a più utenti di accedere agli iPad registrati tramite un ID Apple gestito, scegliere in iPad condiviso.If you want to let multiple users sign on to enrolled iPads by using a managed Apple Id, choose Yes under Shared iPad. Questa impostazione richiede l'opzione Registra senza affinità utente e la modalità Supervisione eseguita impostata su . Gli ID Apple gestiti sono creati nel portale Apple School Manager.This requires Enroll without User Affinity and Supervised mode set to Yes.) Managed Apple IDs are created in the Apple School Manager portal. Altre informazioni sull'iPad condiviso.Learn more about shared iPad. Vedere anche i requisiti per usare l'iPad condiviso di Apple.You should also review Apple's shared iPad requirements.

  9. Scegliere se si vuole o meno che i dispositivi con questo profilo possano eseguire la sincronizzazione con i computer.Choose whether or not you want the devices using this profile to be able to Sync with computers. Se si sceglie Consenti Apple Configurator per certificato, è necessario selezionare un certificato in Certificati di Apple Configurator.If you choose Allow Apple Configurator by certificate, you must choose a certificate under Apple Configurator Certificates.

  10. Se si sceglie Consenti Apple Configurator per certificato nel passaggio precedente, scegliere un certificato di Apple Configurator da importare.If you chose Allow Apple Configurator by certificate in the previous step, choose an Apple Configurator Certificate to import.

  11. Scegliere OK.Choose OK.

  12. Scegliere Impostazioni dell'Assistente configurazione per configurare le impostazioni di profilo seguenti: Personalizzazione dell'Assistente configurazione.Choose Setup Assistant Settings to configure the following profile settings: Setup Assistant Customization.

    ImpostazioneSetting DescrizioneDescription
    Nome repartoDepartment Name Viene visualizzata quando gli utenti toccano Informazioni configurazione durante l'attivazione.Appears when users tap About Configuration during activation.
    Telefono del repartoDepartment Phone Viene visualizzata quando l'utente fa clic sul pulsante Richiesta di assistenza durante l'attivazione.Appears when the user clicks the Need Help button during activation.
    Opzioni di Assistente configurazioneSetup Assistant Options Le impostazioni facoltative seguenti possono essere configurate in un secondo momento nel menu Impostazioni di iOS.The following optional settings can be set up later in the iOS Settings menu.
    PasscodePasscode Richiedere un passcode durante l'attivazione.Prompt for passcode during activation. Richiedere sempre un passcode, a meno che il dispositivo non sia protetto o l'accesso al dispositivo non venga controllato in un altro modo, ad esempio con la modalità tutto schermo, che limita l'uso del dispositivo a una sola app.Always require a passcode unless the device is secured or has access controlled in some other manner (that is, kiosk mode that restricts the device to one app).
    Servizi di posizioneLocation Services Se l'opzione è abilitata, Assistente configurazione richiede questo servizio durante l'attivazione.If enabled, Setup Assistant prompts for the service during activation.
    RecuperaRestore Se l'opzione è abilitata, Assistente configurazione richiede il backup in iCloud durante l'attivazione.If enabled, Setup Assistant prompts for iCloud backup during activation.
    ID iCloud e AppleiCloud and Apple ID Se l'opzione è abilitata, Assistente configurazione richiede all'utente di accedere a un ID Apple e la schermata App e dati consentirà il ripristino del dispositivo dal backup in iCloud.If enabled, Setup Assistant prompts the user to sign in an Apple ID and the Apps & Data screen will allow the device to be restored from iCloud backup.
    Termini e condizioniTerms and Conditions Se l'opzione è abilitata, Assistente configurazione richiede di accettare i termini e condizioni Apple durante l'attivazione.If enabled, Setup Assistant prompts users to accept Apple's terms and conditions during activation.
    Touch IDTouch ID Se l'opzione è abilitata, Assistente configurazione richiede questo servizio durante l'attivazione.If enabled, Setup Assistant prompts for this service during activation.
    Apple PayApple Pay Se l'opzione è abilitata, Assistente configurazione richiede questo servizio durante l'attivazione.If enabled, Setup Assistant prompts for this service during activation.
    ZoomZoom Se l'opzione è abilitata, Assistente configurazione richiede questo servizio durante l'attivazione.If enabled, Setup Assistant prompts for this service during activation.
    SiriSiri Se l'opzione è abilitata, Assistente configurazione richiede questo servizio durante l'attivazione.If enabled, Setup Assistant prompts for this service during activation.
    Dati di diagnosticaDiagnostic Data Se l'opzione è abilitata, Assistente configurazione richiede questo servizio durante l'attivazione.If enabled, Setup Assistant prompts for this service during activation.
  13. Scegliere OK.Choose OK.

  14. Per salvare il profilo, scegliere Crea.To save the profile, choose Create.

Connettere School Data SyncConnect School Data Sync

(Facoltativo) Apple School Manager supporta la sincronizzazione dei dati dell'elenco di classi in Azure Active Directory (AD) tramite Microsoft School Data Sync (SDS).(Optional) Apple School Manager supports synchronizing class roster data to the Azure Active Directory (AD) using Microsoft School Data Sync (SDS). È possibile sincronizzare solo un token con SDS.You can only sync one token with SDS. Se si configura un altro token con School Data Sync, SDS verrà rimosso dal token assegnato in precedenza.If you set up another token with School Data Sync, SDS will be removed from the token that previously had it. Una nuova connessione sostituirà il token corrente.A new connection will replace the current token. Completare i passaggi seguenti per usare SDS per sincronizzare i dati dell'istituto di istruzione.Complete the following steps to use SDS to sync school data.

  1. In Intune scegliere Registrazione del dispositivo > Registrazione Apple > Token del programma di registrazione.In Intune, choose Device enrollment > Apple Enrollment > Enrollment program tokens.
  2. Selezionare un token di Apple School Manager e quindi scegliere School Data Sync.Select an Apple School Manager token and then choose School Data Sync.
  3. In School Data Sync scegliere Consenti.Under School Data Sync, choose Allow. Questa impostazione consente a Intune di connettersi con SDS in Office 365.This setting allows Intune to connect with SDS in Office 365.
  4. Per abilitare una connessione tra Apple School Manager e Azure AD, scegliere Configura Microsoft School Data Sync. Altre informazioni su come configurare School Data Sync.To enable a connection between Apple School Manager and Azure AD, choose Set up Microsoft School Data Sync. Learn more about how to set up School Data Sync.
  5. Fare clic su Salva > OK.Click Save > OK.

Sincronizzare i dispositivi gestitiSync managed devices

Dopo aver assegnato le autorizzazioni per gestire i dispositivi Apple School Manager a Intune, è possibile sincronizzare Intune con il servizio Apple per visualizzare i dispositivi gestiti in Intune.Now that Intune has been assigned permission to manage your Apple School Manager devices, you can synchronize Intune with the Apple service to see your managed devices in Intune.

In Intune scegliere Registrazione del dispositivo > Registrazione Apple > Token del programma di registrazione > scegliere un token nell'elenco > Dispositivi > Sincronizza. Schermata del nodo Enrollment Program Devices selezionato e con il collegamento Sincronizza selezionato.In Intune, choose Device enrollment > Apple Enrollment > Enrollment program tokens > choose a token in the list > Devices > Sync. Screenshot of Enrollment Program Devices node selected and Sync link being chosen.

Per soddisfare le condizioni Apple per un traffico DEP accettabile, Intune impone le seguenti restrizioni:To comply with Apple’s terms for acceptable enrollment program traffic, Intune imposes the following restrictions:

  • Una sincronizzazione completa può essere eseguita solo una volta ogni sette giorni.A full sync can run no more than once every seven days. Durante una sincronizzazione completa, Intune aggiorna ogni numero di serie Apple assegnato a Intune.During a full sync, Intune refreshes every Apple serial number assigned to Intune. Se si tenta una sincronizzazione completa prima che trascorra il periodo di sette giorni, Intune aggiorna solo i numeri di serie che non sono ancora elencati in Intune.If a full sync is attempted within seven days of the previous full sync, Intune only refreshes serial numbers that are not already listed in Intune.
  • Il tempo concesso per il completamento di una richiesta di sincronizzazione è pari a 15 minuti.Any sync request is given 15 minutes to finish. Durante questo tempo o fino al completamento della richiesta, il pulsante Sincronizza è disabilitato.During this time or until the request succeeds, the Sync button is disabled.
  • Intune sincronizza con Apple i dispositivi nuovi e rimossi ogni 24 ore.Intune syncs new and removed devices with Apple every 24 hours.

Nota

È anche possibile assegnare i numeri di serie di Apple School Manager ai profili dal pannello Dispositivi DEP.You can also assign Apple School Manager serial numbers to profiles from the Enrollment Program Devices blade.

Assegnare un profilo ai dispositiviAssign a profile to devices

Ai dispositivi Apple School Manager gestiti da Intune deve essere assegnato un profilo di registrazione prima di registrarli.Apple School Manager devices managed by Intune must be assigned an enrollment profile before they are enrolled.

  1. In Intune scegliere Registrazione del dispositivo > Registrazione Apple > Token del programma di registrazione > scegliere un token nell'elenco.In Intune, choose Device enrollment > Apple Enrollment > Enrollment program tokens > choose a token in the list.
  2. Scegliere Dispositivi > scegliere i dispositivi nell'elenco > Assegna profilo.Choose Devices > choose devices in the list > Assign profile.
  3. In Assegna profilo scegliere un profilo per i dispositivi e quindi scegliere Assegna.Under Assign profile, choose a profile for the devices and then choose Assign.

Distribuire i dispositivi agli utentiDistribute devices to users

Fino a questo punto sono state abilitate la gestione e la sincronizzazione tra Apple e Intune ed è stato assegnato un profilo per consentire la registrazione dei dispositivi Apple School.You have enabled management and syncing between Apple and Intune, and assigned a profile to let your Apple School devices enroll. È ora possibile distribuire i dispositivi agli utenti.You can now distribute devices to users. Quando un dispositivo Apple School Manager iOS viene attivato, viene registrato per la gestione con Intune.When an iOS Apple School Manager device is turned on, it is enrolled for management by Intune. Se il dispositivo è stato attivato ed è in uso, il profilo potrà essere applicato solo dopo il ripristino delle impostazioni predefinite del dispositivo.If the device has been activated and is in use, the profile cannot be applied until the device is factory reset.