Configurare la registrazione automatica dei dispositivi in Intune

Si applica a iOS/iPadOS

I dispositivi di proprietà dell'azienda acquistati tramite Apple Business Manager o Apple School Manager possono essere registrati in Intune tramite la registrazione automatica dei dispositivi. Questa opzione di registrazione applica le impostazioni dell'organizzazione da Apple Business Manager e Apple School Manager e registra i dispositivi senza che sia necessario toccarli. iPhone e iPad possono essere spediti direttamente a dipendenti e studenti. Quando attivano i dispositivi, Apple Setup Assistant li guida attraverso la configurazione e la registrazione.

Questo articolo descrive come preparare e configurare la registrazione automatica dei dispositivi in Microsoft Intune.

Panoramica delle funzionalità

La tabella seguente illustra le funzionalità e gli scenari supportati con la registrazione automatica dei dispositivi.

Funzionalità Usare questa opzione di registrazione quando
Si vuole la modalità di supervisione. ✔️

La modalità supervisionata distribuisce gli aggiornamenti software, limita le funzionalità, consente e blocca le app e altro ancora.
I dispositivi sono di proprietà dell'organizzazione o dell'istituto di istruzione. ✔️
Sono disponibili nuovi dispositivi. ✔️
È necessario registrare alcuni dispositivi o un numero elevato di dispositivi (registrazione in blocco). ✔️
I dispositivi sono associati a un singolo utente. ✔️
I dispositivi sono senza utente, ad esempio chiosco multimediale o dispositivo dedicato. ✔️
I dispositivi sono in modalità dispositivo condiviso. ✔️
I dispositivi sono personali o BYOD.

Consigliamo di non farlo. Le applicazioni nei dispositivi BYOD o personali possono essere gestite tramite MAM o la registrazione di utenti e dispositivi.
I dispositivi sono gestiti da un altro provider MDM.

Per essere completamente gestiti da Intune, gli utenti devono annullare la registrazione dal provider MDM corrente e quindi registrarsi in Intune. In alternativa, è possibile usare MAM per gestire le app specifiche nel dispositivo. Poiché questi dispositivi sono di proprietà dell'organizzazione, è consigliabile registrarli in Intune.
Si usa l'account gestione registrazione dispositivi (DEM).

L'account DEM non è supportato.

Prerequisiti

Prima di creare il profilo di registrazione, è necessario disporre di:

Prima di iniziare

Leggere questi requisiti di registrazione e le procedure consigliate per prepararsi a una corretta installazione e distribuzione.

Scegliere un metodo di autenticazione

Prima di creare il profilo di registrazione, decidere come si vuole che gli utenti eseguano l'autenticazione nei propri dispositivi: tramite l'app Portale aziendale Intune, Assistente configurazione (legacy) o Assistente configurazione con l'autenticazione moderna. L'uso dell'app Portale aziendale o dell'Assistente configurazione con l'autenticazione moderna è considerato un'autenticazione moderna e include funzionalità come l'autenticazione a più fattori.

Intune supporta anche la registrazione JIT per Setup Assistant con l'autenticazione moderna, che elimina la necessità dell'app Portale aziendale per la registrazione e la conformità Microsoft Entra. Per usare la registrazione JIT, è necessario creare un criterio di configurazione del dispositivo prima di creare il profilo di registrazione Apple e configurare Assistente configurazione con l'autenticazione moderna.

Assistente configurazione con autenticazione moderna è supportato nei dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive. I dispositivi iOS/iPadOS meno recenti, dato che questo profilo userà invece Assistente configurazione (legacy) per l'autenticazione.

Per altre informazioni sulle opzioni di autenticazione, vedere Metodi di autenticazione per la registrazione automatica dei dispositivi.

Che cos'è la modalità di supervisione?

La modalità di supervisione offre un maggiore controllo di gestione sui dispositivi di proprietà dell'azienda, in modo da poter eseguire operazioni come le acquisizioni dello schermo a blocchi e la limitazione di AirDrop.

I dispositivi di proprietà dell'azienda che eseguono iOS/iPadOS 11+ e registrati tramite la registrazione automatica dei dispositivi devono essere sempre in modalità di supervisione, che è possibile attivare nel profilo di registrazione. Per altre informazioni sulla modalità con supervisione, vedere Attivare la modalità con supervisione iOS/iPadOS. Microsoft Intune ignora il flag di is_supervised per i dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive perché questi dispositivi vengono automaticamente inseriti in modalità di supervisione al momento della registrazione.

Registrazione dei dispositivi in modalità dispositivo condiviso

È possibile configurare la registrazione automatica dei dispositivi per i dispositivi in modalità dispositivo condiviso. La modalità dispositivo condiviso è una funzionalità di Microsoft Entra ID che consente ai lavoratori in prima linea di condividere un singolo dispositivo durante il giorno, accedendo e disconnettendo in base alle esigenze. Per altre informazioni su come abilitare la registrazione per i dispositivi in modalità dispositivo condiviso Microsoft Entra, vedere Registrazione automatica dei dispositivi per la modalità dispositivo condiviso.

Distribuzione dell'app Portale aziendale

Importante

Non è consigliabile usare la versione App Store dell'app Portale aziendale perché non è compatibile con la registrazione automatica dei dispositivi e non fornisce gli aggiornamenti automatici e la disponibilità come la distribuzione.

La distribuzione dell'app Portale aziendale Intune tramite Intune è il modo migliore per fornire l'app agli utenti e l'unico modo per:

  • Assicurarsi che tutti i dispositivi ADE, inclusi quelli già registrati, ricevano l'app.
  • Abilitare gli aggiornamenti automatici delle app per Portale aziendale nei dispositivi ADE.

Distribuire l'app come app VPP obbligatoria con licenze per dispositivi. Per informazioni su come sincronizzare, assegnare e gestire un'app VPP, vedere Assegnare un'app acquistata con volume.

Per abilitare gli aggiornamenti automatici delle app per Portale aziendale, passare alle impostazioni del token dell'app nell'interfaccia di amministrazione e impostare Aggiornamenti automatici delle app su . Per i passaggi per accedere alle impostazioni del token, vedere Caricare un token di posizione di Apple VPP o Apple Business Manager . Se non abiliti gli aggiornamenti automatici, l'utente del dispositivo dovrà verificarli manualmente.

La gestione temporanea del dispositivo viene usata per eseguire la transizione di un dispositivo senza affinità utente a un dispositivo con affinità utente. Per organizzare un dispositivo, configurare la distribuzione VPP come descritto in precedenza in questa sezione. Configurare e distribuire quindi un criterio di configurazione dell'app. Assicurarsi che il criterio sia destinato solo ai dispositivi ADE senza affinità utente.

Importante

Durante la registrazione iniziale, Intune esegue automaticamente il push delle impostazioni dei criteri di configurazione dell'app per i dispositivi registrati con Assistente configurazione con autenticazione moderna, configurati in Configurare l'app Portale aziendale per supportare i dispositivi iOS e iPadOS registrati con registrazione automatica del dispositivo, quando l'impostazione Del profilo di registrazione Installa Portale aziendale è impostata su sì. Questa configurazione non deve essere distribuita manualmente agli utenti perché causerà un conflitto con la configurazione inviata durante la registrazione iniziale. Se vengono distribuiti entrambi, Intune richiederà erroneamente agli utenti del dispositivo di accedere a Portale aziendale e scaricare un profilo di gestione già installato.

Limiti

  • Numero massimo di profili di registrazione per token: 1.000
  • Numero massimo di dispositivi di registrazione automatica del dispositivo per profilo: 200.000 (uguale al numero massimo di dispositivi per token).
  • Numero massimo di token di registrazione automatica del dispositivo per account Intune: 2.000
  • Numero massimo di dispositivi di registrazione automatica dei dispositivi per token: 200.000
    • È consigliabile non superare i 200.000 dispositivi per token. In caso contrario, potrebbero verificarsi problemi di sincronizzazione. Se si dispone di più di 200.000 dispositivi, suddividere i dispositivi in più token ADE.
    • Apple Business Manager e Apple School Manager sincronizzano circa 3.000 dispositivi con Intune al minuto. È consigliabile mantenere di nuovo la sincronizzazione manuale dall'interfaccia di amministrazione fino a quando non è trascorso il tempo sufficiente per consentire a tutti i dispositivi di completare la sincronizzazione (numero totale di dispositivi/3.000 dispositivi al minuto).

Risolvere i problemi di registrazione

Se si verificano problemi di sincronizzazione durante il processo di registrazione, è possibile cercare soluzioni in Risolvere i problemi di registrazione dei dispositivi iOS/iPadOS.

Ottenere un token di registrazione automatica del dispositivo Apple

Prima di poter registrare i dispositivi iOS/iPadOS con ADE, è necessario un token di registrazione automatica del dispositivo (file con estensione p7m) da Apple. Questo token consente a Intune di sincronizzare le informazioni sui dispositivi ADE di proprietà dell'organizzazione. Consente inoltre a Intune di caricare i profili di registrazione in Apple e di assegnare i dispositivi a tali profili.

Usare Apple Business Manager (ABM) o Apple School Manager (ASM) per creare un token e assegnare dispositivi a Intune per la gestione.

Nota

È possibile usare il portale ABM o il portale ASM per abilitare ADE. Il resto di questo articolo fa riferimento al portale ABM, ma i passaggi sono gli stessi per entrambi i portali.

Passaggio 1: Scaricare il certificato di chiave pubblica di Intune

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Registrazione dispositivi>.

  2. Selezionare la scheda Apple .

  3. Selezionare Enrollment Program TokensAdd (Aggiungi token > del programma di registrazione).

  4. Nella scheda Nozioni di base :

    1. Selezionare Accetto di concedere a Microsoft l'autorizzazione per l'invio di informazioni utente e dispositivo ad Apple:

      Screenshot che mostra la schermata Aggiungi token del programma di registrazione.

    2. Selezionare Scarica il certificato di chiave pubblica di Intune necessario per creare il token. Questo passaggio scarica e salva il file della chiave di crittografia (con estensione pem) in locale. Il file con estensione pem viene usato per richiedere un certificato di relazione di trust dal portale di Apple Business Manager.

      Questo file con estensione pem verrà caricato in Apple Business Manager nel passaggio 2: Passare al portale di Apple Business Manager (in questo articolo).

    3. Mantenere aperta la scheda e la pagina del Web browser. Se si chiude la scheda:

      • Il certificato scaricato viene invalidato.
      • È necessario ripetere i passaggi.
      • Nella scheda Rivedi e crea il pulsante Crea non è disponibile e non è possibile completare questa procedura.

Passaggio 2: Passare al portale di Apple Business Manager

Usare il portale di Apple Business Manager per creare e rinnovare il token ADE (server MDM). Questo token viene aggiunto a Intune e comunica tra Intune e Apple.

Nota

I passaggi seguenti descrivono le operazioni da eseguire in Apple Business Manager. Per i passaggi specifici, vedere la documentazione di Apple. La Guida per l'utente di Apple Business Manager (sul sito Web apple) potrebbe essere utile.

Scaricare il token Apple

  1. In Apple Business Manager accedere con l'ID Apple dell'azienda.

  2. In questo portale completare la procedura seguente.

    • Nelle impostazioni vengono visualizzati tutti i token. Aggiungere un server MDM e caricare il certificato con chiave pubblica (file con estensione pem) scaricato da Intune nel passaggio 1: Scaricare il certificato di chiave pubblica di Intune (in questo articolo).

      Usare il nome del server per identificare il server di gestione dei dispositivi mobili (MDM). Non è il nome o l'URL del servizio Microsoft Intune.

    • Dopo aver salvato il server MDM, selezionarlo e quindi scaricare il token (file con estensione p7m). Questo token con estensione p7m verrà caricato in Intune nel passaggio 4: Caricare il token e completare (in questo articolo).

Assegnare dispositivi al token Apple (server MDM)

  1. In Dispositivi Apple Business Manager> selezionare i dispositivi da assegnare a questo token. È possibile ordinare in base a varie proprietà del dispositivo, ad esempio il numero di serie. È anche possibile selezionare più dispositivi contemporaneamente.
  2. Modificare la gestione dei dispositivi e selezionare il server MDM appena aggiunto. Questo passaggio assegna i dispositivi al token.

Passaggio 3: Salvare l'ID Apple

  1. Nel Web browser tornare alla pagina Aggiungi token del programma di registrazione in Intune. È necessario mantenere aperta questa pagina, come indicato nel passaggio 1: Scaricare il certificato di chiave pubblica di Intune (in questo articolo).

  2. In ID Apple immettere l'ID. Questo passaggio salva l'ID. L'ID può essere usato in futuro.

    Sreenshot che mostra la casella ID Apple nella scheda Informazioni di base.

Passaggio 4: Caricare il token e completare

  1. In Token Apple passare al file del certificato con estensione p7m e quindi selezionare Apri.

    Questo token con estensione p7m è stato scaricato nel passaggio 2: Passare al portale di Apple Business Manager.

  2. Seleziona Avanti.

  3. Nella pagina Rivedi e crea selezionare Crea.

Con il certificato push, Intune può registrare e gestire i dispositivi iOS/iPadOS eseguendo il push dei criteri nei dispositivi mobili registrati. Intune si sincronizza automaticamente con Apple per accedere all'account del programma di registrazione.

Creare un profilo di registrazione Apple

Dopo aver installato il token, è possibile creare un profilo di registrazione per la registrazione automatica del dispositivo. Un profilo di registrazione del dispositivo definisce le impostazioni applicate a un gruppo di dispositivi durante la registrazione. È previsto un limite di 1.000 profili di registrazione per ogni token di registrazione.

Nota

Ai dispositivi verrà impedito di eseguire la registrazione se non sono presenti licenze di Portale aziendale sufficienti per un token VPP o se il token scade. Intune avvisa quando un token sta per scadere o le licenze sono scarse.

  1. Nell Microsoft Intune a interfaccia di amministrazione passare a Registrazione dispositivi>.

  2. Selezionare la scheda Apple .

  3. Scegliere Token del programma di registrazione.

  4. Scegliere un token e quindi selezionare Profili.

  5. Selezionare Crea profilo>iOS/iPadOS.

  6. Per Informazioni di base, assegnare al profilo un nome e una descrizione per scopi amministrativi. Gli utenti non visualizzano questi dettagli.

  7. Seleziona Avanti.

    Importante

    Se si apportano modifiche a un profilo di registrazione esistente, le nuove impostazioni non verranno applicate ai dispositivi assegnati fino a quando i dispositivi non verranno ripristinati alle impostazioni di fabbrica e riattivati. L'impostazione del modello del nome del dispositivo è l'unica impostazione che è possibile modificare e che non richiede il ripristino delle impostazioni predefinite. Le modifiche al modello di denominazione diventano effettive al successivo check-in.

  8. Nell'elenco Affinità utente selezionare un'opzione che determina se i dispositivi con questo profilo devono essere registrati con o senza un utente assegnato.

    • Registra con affinità utente: selezionare questa opzione per i dispositivi appartenenti agli utenti che vogliono usare Portale aziendale per servizi come l'installazione di app.

    • Registra senza affinità utente: selezionare questa opzione per i dispositivi non associati a un singolo utente. Usare questa opzione per i dispositivi che non accedono ai dati utente locali. Questa opzione viene in genere usata per i dispositivi in modalità tutto schermo, pos (POS) o con utilità condivisa.

      In alcune situazioni, è possibile associare un utente primario ai dispositivi registrati senza affinità utente. Per eseguire questa attività, è possibile inviare la IntuneUDAUserlessDevice chiave all'app Portale aziendale in un criterio di configurazione dell'app per i dispositivi gestiti. Il primo utente che accede all'app Portale aziendale viene stabilito come utente primario. Se il primo utente si disconnette e un secondo utente accede, il primo utente rimane l'utente primario del dispositivo. Per altre informazioni, vedere Configurare l'app Portale aziendale per supportare dispositivi iOS e iPadOS ADE.

    • Registra con Microsoft Entra ID modalità condivisa: selezionare questa opzione per registrare i dispositivi che saranno in modalità condivisa.

  9. Se è stato selezionato Registra con affinità utente per il campo Affinità utente , è possibile scegliere il metodo di autenticazione che i dipendenti devono usare. Per altre informazioni su ogni metodo di autenticazione, vedere Metodi di autenticazione per la registrazione automatica dei dispositivi.

    Screenshot delle opzioni del metodo di autenticazione.

    Le opzioni disponibili sono:

    • Portale aziendale
    • Assistente configurazione (legacy)
    • Assistente configurazione con autenticazione moderna
  10. Se è stato selezionato Assistente configurazione (legacy) per il metodo di autenticazione, ma si vuole anche usare l'accesso condizionale o distribuire app aziendali nei dispositivi, è necessario installare Portale aziendale nei dispositivi e accedere per completare la registrazione Microsoft Entra. A tale scopo, selezionare per Installa Portale aziendale. Se si vuole che gli utenti ricevano Portale aziendale senza dover eseguire l'autenticazione nel App Store, in Installa Portale aziendale con VPP selezionare un token VPP. Assicurarsi che il token non scada e che siano disponibili licenze per dispositivi sufficienti per la distribuzione corretta dell'app Portale aziendale.

  11. Se si seleziona un token per Installa Portale aziendale con VPP, è possibile bloccare il dispositivo in modalità app singola (in particolare, l'app Portale aziendale) subito dopo il completamento dell'Assistente configurazione. Selezionare per Esegui Portale aziendale in modalità app singola fino all'autenticazione per impostare questa opzione. Per usare il dispositivo, l'utente deve prima eseguire l'autenticazione accedendo con Portale aziendale.

    Nota

    L'autenticazione a più fattori non è supportata in un singolo dispositivo bloccato in modalità app singola. Questa limitazione esiste perché il dispositivo non può passare a un'app diversa per completare il secondo fattore di autenticazione. Se si vuole l'autenticazione a più fattori in un dispositivo in modalità app singola, il secondo fattore deve trovarsi in un dispositivo diverso.

    Questa funzionalità è supportata solo per iOS/iPadOS 11.3.1 e versioni successive.

    Screenshot che mostra l'opzione Esegui Portale aziendale in modalità app singola.

  12. Se si vuole che i dispositivi che usano questo profilo siano supervisionati, selezionare nell'elenco Supervisionato :

    Screenshot che mostra l'opzione Supervisionato.

    I dispositivi con supervisione offrono più opzioni di gestione e disabilitato Blocco attivazione per impostazione predefinita. Microsoft consiglia di usare ADE come meccanismo per abilitare la modalità di supervisione, soprattutto se si distribuisce un numero elevato di dispositivi iOS/iPadOS. I dispositivi Apple Shared iPad for Business devono essere supervisionati.

    Gli utenti ricevono una notifica che informa che i dispositivi sono supervisionati nell'app Impostazioni . Nell'app nella parte superiore dello schermo, un messaggio statico indica che questo iPhone è supervisionato e gestito da <your organization>.

    Nota

    Se un dispositivo viene registrato senza supervisione, è necessario usare Apple Configurator se si vuole impostarlo su supervisionato. Per ripristinare il dispositivo in questo modo, è necessario collegarlo a un Mac con un cavo USB. Per altre informazioni, vedere La Guida di Apple Configurator.

  13. Nell'elenco Registrazione bloccata selezionare o No. La registrazione bloccata disabilita le impostazioni di iOS/iPadOS che consentono la rimozione del profilo di gestione. Se si abilita la registrazione bloccata, il pulsante nell'app Impostazioni che consente agli utenti di rimuovere un profilo di gestione verrà nascosto e gli utenti non potranno annullare la registrazione del dispositivo. Se si configurano i dispositivi in modalità condivisa Microsoft Entra ID, selezionare .

    La registrazione bloccata funziona in modo leggermente diverso, in un primo momento nei dispositivi non acquistati originariamente tramite Apple Business Manager, ma successivamente aggiunti come parte della registrazione automatica dei dispositivi: gli utenti di questi dispositivi visualizzeranno il pulsante Rimuovi gestione nell'app Impostazioni per i primi 30 giorni dopo l'attivazione del dispositivo. Dopo tale periodo provvisorio, l'opzione sarà nascosta. Per altre informazioni, vedere Preparare i dispositivi manualmente (apre la documentazione della Guida di Apple Configurator).

    Importante

    Questa impostazione è diversa dalle opzioni di rimozione e reimpostazione nell'app Portale aziendale. Indipendentemente dalla modalità di configurazione della registrazione bloccata, le opzioni Rimuovi dispositivo o Ripristino delle impostazioni predefinite nell'app Portale aziendale rimangono non disponibili nei dispositivi registrati tramite la registrazione automatica del dispositivo. Gli utenti non saranno in grado di rimuovere il dispositivo nel sito Web Portale aziendale. Per altre informazioni sulle azioni self-service disponibili nei dispositivi registrati, vedere Azioni self-service.

  14. Se nei passaggi precedenti è stato selezionato Registra senza affinità utente e supervisionato , è necessario decidere se configurare i dispositivi in modo che siano dispositivi Apple Shared iPad for Business. Selezionare per iPad condiviso per consentire a più utenti di accedere a un singolo dispositivo. Gli utenti eseguono l'autenticazione usando gli ID Apple gestiti e gli account di autenticazione federata o una sessione temporanea, ad esempio l'account Guest. Questa opzione richiede iOS/iPadOS 13.4 o versione successiva. Con iPad condiviso, tutti i riquadri assistente configurazione dopo l'attivazione vengono ignorati automaticamente.

    Nota

    • Una cancellazione del dispositivo sarà necessaria se un profilo di registrazione iOS/iPadOS con l'iPad condiviso abilitato viene inviato a un dispositivo non supportato. I dispositivi non supportati includono qualsiasi modello di iPhone e iPad che eseguono iPadOS/iOS 13.3 e versioni precedenti. I dispositivi supportati includono iPad che eseguono iPadOS 13.3 e versioni successive.
    • Per configurare Apple Shared iPad for Business, configurare queste impostazioni:
      • Nell'elenco Affinità utente selezionare Registra senza affinità utente.
      • Nell'elenco Supervisionato selezionare .
      • Nell'elenco iPad condiviso selezionare .

    Se si configurano dispositivi Apple Shared iPad for Business, configurare anche:

    • Numero massimo di utenti memorizzati nella cache: immettere il numero di utenti che si prevede di usare l'iPad condiviso. È possibile memorizzare nella cache fino a 24 utenti in un dispositivo da 32 GB o 64 GB. Se si sceglie un numero basso, potrebbero essere necessari alcuni minuti prima che i dati degli utenti vengano visualizzati nei dispositivi dopo l'accesso. Se si sceglie un numero elevato, gli utenti potrebbero esaurire lo spazio su disco.

    • Numero massimo di secondi dopo il blocco dello schermo prima che sia necessaria la password: immettere la quantità di tempo in secondi. I valori accettati includono: 0, 60, 300, 900, 3600 e 14400. Se il blocco dello schermo supera questo periodo di tempo, sarà necessaria una password del dispositivo per sbloccare il dispositivo. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 13.0 e versioni successive.

    • Numero massimo di secondi di inattività fino alla disconnessione della sessione utente: il valore minimo consentito per questa impostazione è 30. Se non è presente alcuna attività dopo il periodo definito, la sessione utente termina e l'utente viene disconnetteto. Se si lascia vuota la voce o la si imposta su zero (0), la sessione non terminerà a causa dell'inattività. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 14.5 e versioni successive.

    • Richiedi solo sessione temporanea per iPad condiviso: configura il dispositivo in modo che gli utenti visualizzino solo la versione guest dell'esperienza di accesso e debbano accedere come guest. Non possono accedere con un ID Apple gestito. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 14.5 e versioni successive.

      Se impostata su , questa impostazione annulla le impostazioni condivise dell'iPad seguenti, perché non sono applicabili nelle sessioni temporanee:

      • Numero massimo di utenti memorizzati nella cache
      • Numero massimo di secondi dopo il blocco dello schermo prima che sia necessaria la password
      • Numero massimo di secondi di inattività fino alla disconnessione della sessione utente
    • Numero massimo di secondi di inattività fino alla disconnessione della sessione temporanea: il valore minimo consentito per questa impostazione è 30. Se non è presente alcuna attività dopo il periodo definito, la sessione temporanea termina e disconnette l'utente. Se si lascia vuota la voce o la si imposta su zero (0), la sessione non terminerà a causa dell'inattività. Disponibile per i dispositivi in modalità iPad condiviso che eseguono iPadOS 14.5 e versioni successive.

      Questa impostazione è disponibile quando Richiedi solo sessione temporanea iPad condivisa è impostata su .

    Nota

    • Se le sessioni temporanee sono abilitate, tutti i dati dell'utente vengono eliminati quando si disconnettono dalla sessione. Ciò significa che tutti i criteri e le app di destinazione verranno assegnati all'utente al momento dell'accesso e verranno cancellati quando l'utente si disconnette.
    • Per modificare una configurazione di iPad condivisi per non avere sessioni temporanee, il dispositivo dovrà essere completamente reimpostato e un nuovo profilo di registrazione con le configurazioni aggiornate dovrà essere inviato all'iPad.
  15. Nell'elenco Sincronizza con computer selezionare un'opzione per i dispositivi che usano questo profilo. Se si seleziona Consenti Apple Configurator per certificato, è necessario scegliere un certificato in Certificati di Apple Configurator.

    Nota

    Se si imposta Sincronizza con i computer su Nega tutto, la porta sarà limitata nei dispositivi iOS e iPadOS. La porta sarà limitata solo alla ricarica. Verrà bloccato l'uso di iTunes o Apple Configurator 2.

    Se si imposta Sincronizza con i computer su Consenti Apple Configurator per certificato, assicurarsi di avere una copia locale del certificato che sarà possibile usare in un secondo momento. Non sarà possibile apportare modifiche alla copia caricata ed è importante conservare una copia del certificato. Se si vuole connettersi al dispositivo iOS/iPadOS da un dispositivo Mac, è necessario installare lo stesso certificato nel dispositivo che effettua la connessione al dispositivo iOS/iPadOS.

  16. Se nel passaggio precedente è stato selezionato Consenti Apple Configurator per certificato , scegliere un certificato di Apple Configurator da importare.

  17. Per la configurazione finale await, le opzioni sono:

    • : abilitare un'esperienza bloccata alla fine di Setup Assistant per assicurarsi che i criteri di configurazione del dispositivo più critici siano installati nel dispositivo. Poco prima del caricamento della schermata iniziale, Assistente configurazione sospende e consente a Intune di eseguire il check-in con il dispositivo. L'esperienza utente finale si blocca mentre gli utenti attendono le configurazioni finali.

      La quantità di tempo in cui gli utenti vengono mantenuti nella schermata di configurazione finale in attesa varia e dipende dal numero totale di criteri e app applicati al dispositivo. Maggiore è il numero di criteri e app assegnati al dispositivo, maggiore sarà il tempo di attesa. Né Assistente configurazione né Intune applicano un limite di tempo minimo o massimo durante questa parte dell'installazione. Durante la convalida del prodotto, la maggior parte dei dispositivi testati è stata rilasciata e può accedere alla schermata iniziale entro quindici minuti. Se si abilita questa funzionalità e si usa una terza parte per effettuare il provisioning dei dispositivi, comunicare loro il potenziale aumento del tempo di provisioning.

      L'esperienza bloccata funziona nei dispositivi di destinazione con profili di registrazione nuovi ed esistenti. I dispositivi supportati includono:

      • Dispositivi iOS/iPadOS 13+ registrati con Assistente configurazione con l'autenticazione moderna
      • Dispositivi iOS/iPadOS 13+ registrati senza affinità utente
      • Dispositivi iOS/iPadOS 13+ registrati con Microsoft Entra ID modalità condivisa

      Questa impostazione viene applicata una volta durante l'esperienza di registrazione automatica dei dispositivi predefinita in Assistente configurazione. L'utente del dispositivo non lo sperimenta di nuovo a meno che non registri nuovamente il dispositivo. è l'impostazione predefinita per i nuovi profili di registrazione.

    • No: il dispositivo viene rilasciato nella schermata iniziale al termine dell'Assistente configurazione, indipendentemente dallo stato di installazione dei criteri. Gli utenti del dispositivo potrebbero essere in grado di accedere alla schermata iniziale o modificare le impostazioni del dispositivo prima dell'installazione di tutti i criteri. No è l'impostazione predefinita per i profili di registrazione esistenti.

    L'impostazione di configurazione await non è disponibile nei profili con questa combinazione di configurazioni:

    • Affinità utente: registrare senza affinità utente (passaggio 6 in questa sezione)
    • iPad condiviso: (passaggio 12 in questa sezione)
  18. Facoltativamente, creare un modello di nome del dispositivo per identificare rapidamente i dispositivi assegnati a questo profilo nell'interfaccia di amministrazione. Intune usa il modello per creare e formattare i nomi dei dispositivi. I nomi vengono assegnati ai dispositivi al momento della registrazione e a ogni check-in successivo. Per creare un modello:

  19. In Applica modello di nome dispositivo selezionare .

  20. Nella casella Modello nome dispositivo immettere il modello da usare per costruire i nomi dei dispositivi. Il modello può includere il tipo di dispositivo e il numero di serie. Non può contenere più di 63 caratteri, incluse le variabili. Esempio: {{DEVICETYPE}}-{{SERIAL}}

  21. È possibile attivare un piano dati cellulare. Questa impostazione si applica ai dispositivi che eseguono iOS/iPadOS 13.0 e versioni successive. La configurazione di questa opzione invierà un comando per attivare i piani dati della rete cellulare per i dispositivi cellulari abilitati per eSim. Il gestore deve effettuare il provisioning delle attivazioni per i dispositivi prima di poter attivare i piani dati usando questo comando. Per attivare il piano dati cellulare, fare clic su e quindi immettere l'URL del server di attivazione del gestore telefonico.

  22. Seleziona Avanti.

  23. Nella scheda Assistente configurazione configurare le impostazioni del profilo seguenti:

    Impostazione reparto Descrizione
    Department Viene visualizzata quando gli utenti toccano Informazioni configurazione durante l'attivazione.
    Telefono del reparto Viene visualizzato quando gli utenti toccano il pulsante Serve aiuto durante l'attivazione.

    È possibile nascondere le schermate dell'Assistente configurazione nel dispositivo durante la configurazione dell'utente. Per una descrizione di tutte le schermate, vedere Informazioni di riferimento sulla schermata assistente configurazione (in questo articolo).

    • Se si seleziona Nascondi, la schermata non verrà visualizzata durante l'installazione. Dopo aver configurato il dispositivo, l'utente può comunque passare al menu Impostazioni per configurare la funzionalità.
    • Se si seleziona Mostra, la schermata verrà visualizzata durante l'installazione, ma solo se sono presenti passaggi da completare dopo il ripristino o dopo l'aggiornamento software. Gli utenti possono talvolta ignorare lo schermo senza intervenire. Possono quindi passare successivamente al menu Impostazioni del dispositivo per configurare la funzionalità.
    • Con l'iPad condiviso, tutti i riquadri assistente configurazione dopo l'attivazione vengono ignorati automaticamente indipendentemente dalla configurazione.
  24. Seleziona Avanti.

  25. Per salvare il profilo, selezionare Crea.

Gruppi dinamici in Microsoft Entra ID

È possibile usare il campo Nome registrazione per creare un gruppo dinamico in Microsoft Entra ID. Per altre informazioni, vedere Microsoft Entra gruppi dinamici.

È possibile usare il nome del profilo per definire il parametro enrollmentProfileName per assegnare i dispositivi con questo profilo di registrazione.

Prima della configurazione del dispositivo e per garantire il recapito rapido ai dispositivi con affinità utente, assicurarsi che l'utente che esegue la registrazione sia membro di un gruppo di utenti Microsoft Entra.

Se si assegnano gruppi dinamici ai profili di registrazione, potrebbe verificarsi un ritardo nella distribuzione di applicazioni e criteri ai dispositivi dopo la registrazione.

Informazioni di riferimento sullo schermo dell'Assistente configurazione

La tabella seguente descrive le schermate dell'Assistente configurazione visualizzate durante la registrazione automatica dei dispositivi per iOS/iPadOS. È possibile visualizzare o nascondere queste schermate nei dispositivi supportati durante la registrazione.

Schermata Assistente configurazione Cosa accade quando è visibile
Passcode Richiedere all'utente un passcode. È sempre necessario un passcode per i dispositivi non protetti, a meno che l'accesso non sia controllato in altro modo. Ad esempio, una configurazione in modalità tutto schermo che limita il dispositivo a un'app. Per iOS/iPadOS 7.0 e versioni successive.
Servizi di posizione Chiedere all'utente la sua posizione. Per macOS 10.11 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
Eseguire il ripristino Visualizzare la schermata App e dati. Questa schermata offre agli utenti la possibilità di ripristinare o trasferire dati da Backup iCloud quando configurano il dispositivo. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
ID Apple Concedere all'utente le opzioni per accedere con il proprio ID Apple e usare iCloud. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
Termini e condizioni Richiedere all'utente di accettare i termini e le condizioni di Apple. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
Touch ID e Face ID Concedere all'utente la possibilità di configurare l'impronta digitale o l'identificazione facciale nel dispositivo. Per macOS 10.12.4 e versioni successive e iOS/iPadOS 8.1 e versioni successive. In iOS/iPadOS 14.5 e versioni successive, le schermate Passcode e Touch ID Setup Assistant durante la configurazione del dispositivo non funzionano. Se si usa la versione 14.5+, non configurare le schermate Passcode o Touch ID Setup Assistant. Se è necessario un passcode nei dispositivi, usare un criterio di configurazione del dispositivo o un criterio di conformità. Dopo che l'utente si è registrato e ha ricevuto i criteri, viene richiesto un passcode.
Apple Pay Concedere all'utente l'opzione per configurare Apple Pay nel dispositivo. Per macOS 10.12.4 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
Zoom Concedere all'utente l'opzione per ingrandire lo schermo quando configura il dispositivo. Per iOS/iPadOS 8.3 e versioni successive.
Siri Concedere all'utente l'opzione per configurare Siri nel dispositivo. Per macOS 10.12 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
Dati di diagnostica Visualizzare la schermata Diagnostica. Questa schermata offre all'utente l'opzione per inviare dati diagnostici ad Apple. Per macOS 10.9 e versioni successive e iOS/iPadOS 7.0 e versioni successive.
Visualizza tonalità Offrire all'utente l'opzione per attivare l'opzione Tonalità di visualizzazione. Per macOS 10.13.6 e versioni successive e iOS/iPadOS 9.3.2 e versioni successive.
Privacy Visualizzare la schermata Privacy. Per macOS 10.13.4 e versioni successive e iOS/iPadOS 11.3 e versioni successive.
Migrazione Android Offrire all'utente la possibilità di eseguire la migrazione dei dati da un dispositivo Android. Per iOS/iPadOS 9.0 e versioni successive.
iMessage & FaceTime Concedere all'utente l'opzione per configurare iMessage e FaceTime. Per iOS/iPadOS 9.0 e versioni successive.
Onboarding Visualizza le schermate informative di onboarding per la formazione degli utenti, ad esempio Cover Sheet e Multitasking e Control Center. Per iOS/iPadOS 11.0 e versioni successive.
Tempo davanti allo schermo Visualizzare la schermata Tempo davanti allo schermo. Per macOS 10.15 e versioni successive e iOS/iPadOS 12.0 e versioni successive.
Configurazione SIM Offrire all'utente la possibilità di aggiungere un piano per cellulare. Per iOS/iPadOS 12.0 e versioni successive.
Aggiornamento software Visualizzare la schermata di aggiornamento software obbligatorio. Per iOS/iPadOS 12.0 e versioni successive.
Migrazione watch Offrire all'utente la possibilità di eseguire la migrazione dei dati da un watch. Per iOS/iPadOS 11.0 e versioni successive.
Aspetto Visualizzare la schermata Aspetto. Per macOS 10.14 e versioni successive e iOS/iPadOS 13.0 e versioni successive.
Migrazione da un dispositivo a un altro Concedere all'utente la possibilità di eseguire la migrazione dei dati da un dispositivo precedente a questo dispositivo. Questa funzionalità non è disponibile per i dispositivi ADE che eseguono iOS 13 e versioni successive, quindi questa schermata non verrà visualizzata in tali dispositivi.
Ripristino completato Mostra agli utenti la schermata Ripristina completato dopo l'esecuzione di un backup e un ripristino durante l'Assistente configurazione.
Aggiornamento software completato Mostra all'utente tutti gli aggiornamenti software che si verificano durante l'Assistente configurazione.
Per iniziare Mostra agli utenti la schermata iniziale di Introduzione.
Condizioni per l'indirizzo Offri all'utente la possibilità di scegliere il modo in cui vuole essere affrontato in tutto il sistema: femminile, maschile o neutrale. Questa funzionalità di Apple è disponibile per le lingue selezionate. Per altre informazioni, vedere Funzionalità e miglioramenti principali(apre il sito Web Apple). Per iOS/iPadOS 16.0 e versioni successive.

Sincronizzare i dispositivi gestiti

Ora che Intune ha le autorizzazioni per gestire i dispositivi, è possibile sincronizzare Intune con Apple per visualizzare i dispositivi gestiti in Intune nel portale di Azure.

  1. Nell Microsoft Intune a interfaccia di amministrazione passare a Registrazione dispositivi>.

  2. Selezionare la scheda Apple .

  3. Scegliere Token del programma di registrazione.

  4. Selezionare un token nell'elenco e quindi selezionareSincronizzazionedispositivi>:

    Screenshot che mostra come sincronizzare i dispositivi iOS e iPadOS con un token del programma di registrazione.

    Per seguire le condizioni di Apple per il traffico del programma di registrazione accettabile, Intune impone le restrizioni seguenti:

    • La sincronizzazione completa può essere eseguita solo una volta ogni sette giorni. Durante la sincronizzazione completa, Intune recupera l'elenco completo e aggiornato dei numeri di serie assegnati al server MDM di Apple connesso a Intune.

      Importante

      Se un dispositivo viene eliminato da Intune, ma rimane assegnato al token di registrazione di ADE nel portale ASM/ABM, verrà nuovamente visualizzato in Intune alla successiva sincronizzazione completa. Se non si vuole che il dispositivo venga riassegnato in Intune, annullarne l'assegnazione dal server MDM Apple nel portale ABM/ASM.

    • Se un dispositivo viene rilasciato da ABM/ASM, potrebbero essere necessari fino a 45 giorni affinché venga automaticamente eliminato dalla pagina dei dispositivi in Intune. Se necessario, è possibile eliminare manualmente uno alla volta i dispositivi rilasciati da Intune. I dispositivi rilasciati verranno segnalati accuratamente come rimossi da ABM/ASM in Intune fino a quando non vengono eliminati automaticamente entro 30-45 giorni.
    • Una sincronizzazione differenziale viene eseguita automaticamente ogni 12 ore. È anche possibile attivare una sincronizzazione differenziale selezionando il pulsante Sincronizza (non più di una volta ogni 15 minuti). Il tempo concesso per il completamento di una richiesta di sincronizzazione è pari a 15 minuti. Il pulsante Sincronizza rimane disabilitato finché non viene completata la sincronizzazione. Questa sincronizzazione aggiornerà lo stato del dispositivo esistente e importerà nuovi dispositivi assegnati al server MDM Apple. Se una sincronizzazione differenziale ha esito negativo per qualsiasi motivo, la sincronizzazione successiva sarà una sincronizzazione completa per risolvere eventuali problemi.

Assegnare un profilo di registrazione ai dispositivi

Prima che i dispositivi possano essere registrati, è necessario assegnargli un profilo di registrazione.

Nota

È anche possibile assegnare numeri di serie ai profili nel riquadro Numeri di serie Apple .

  1. Nell Microsoft Intune a interfaccia di amministrazione passare a Registrazione dispositivi>.
  2. Selezionare la scheda Apple .
  3. Scegliere Token del programma di registrazione.
  4. Selezionare un token di registrazione.
  5. Selezionare Dispositivi.
  6. Selezionare tutti i dispositivi da assegnare e quindi selezionare Assegna profilo.
  7. In Assegna profilo scegliere il profilo di registrazione automatica del dispositivo creato per i dispositivi e quindi selezionare Assegna.

Assegnare un profilo predefinito

È possibile selezionare un profilo predefinito da applicare a tutti i dispositivi registrati con un token specifico.

  1. Nell'interfaccia di amministrazione tornare ai token del programma di registrazione.
  2. Selezionare un token di registrazione.
  3. Selezionare Imposta profilo predefinito.
  4. Selezionare un profilo nell'elenco e quindi selezionare Salva. Il profilo verrà applicato a tutti i dispositivi che si registrano con il token di registrazione selezionato.

Nota

Assicurarsi che le restrizioni relative al tipo di dispositivo in Restrizioni di registrazione non abbiano i criteri predefiniti Tutti gli utenti impostati per bloccare la piattaforma iOS/iPadOS. Questa impostazione causerà l'esito negativo della registrazione automatica e il dispositivo verrà visualizzato come Profilo non valido, indipendentemente dall'attestazione dell'utente. Per consentire la registrazione solo da dispositivi gestiti dall'azienda, bloccare solo i dispositivi di proprietà personale, che consentiranno la registrazione dei dispositivi aziendali. Microsoft definisce un dispositivo aziendale come un dispositivo registrato tramite un programma di registrazione dispositivi o un dispositivo immesso manualmente in Identificatori di dispositivo aziendali.

Distribuire i dispositivi

È stata abilitata la gestione e la sincronizzazione tra Apple e Intune e è stato assegnato un profilo in modo che i dispositivi ADE possano essere registrati. A questo momento si è pronti per distribuire i dispositivi agli utenti. Alcune cose da sapere:

  • I dispositivi registrati con affinità utente richiedono che a ogni utente venga assegnata una licenza di Intune.

  • I dispositivi registrati senza affinità utente in genere non hanno utenti associati. Questi dispositivi devono avere una licenza per dispositivi di Intune. Se i dispositivi registrati senza affinità utente verranno usati da un utente con licenza di Intune, non è necessaria una licenza del dispositivo.

    Per riepilogare, se un dispositivo ha un utente, all'utente deve essere assegnata una licenza di Intune. Se il dispositivo non dispone di un utente con licenza di Intune, il dispositivo deve avere una licenza del dispositivo di Intune.

    Per altre informazioni sulle licenze di Intune, vedere Microsoft Intune licenze e la guida alla pianificazione di Intune.

  • Un dispositivo attivato deve essere cancellato prima che possa essere registrato correttamente usando ADE in Intune. Dopo che è stato cancellato, ma prima di attivarlo di nuovo, è possibile applicare il profilo di registrazione. Vedi Configurare un iPhone, un iPad o un iPod touch esistente

  • Se si esegue la registrazione con ADE e affinità utente, durante l'installazione può verificarsi l'errore seguente:

    The SCEP server returned an invalid response.

    È possibile risolvere questo errore provando a scaricare nuovamente la gestione entro 15 minuti. Se sono stati più di 15 minuti, per risolvere questo errore è necessario reimpostare le impostazioni predefinite del dispositivo. Questo errore si verifica a causa di un limite di tempo di 15 minuti per i certificati SCEP, applicato per la sicurezza.

Per informazioni sull'esperienza utente finale, vedere Registrare il dispositivo iOS/iPadOS in Intune usando ADE.

Registrare di nuovo un dispositivo

Completare questi passaggi per registrare nuovamente un dispositivo che ha già eseguito la registrazione automatica del dispositivo.

  1. Sono disponibili due opzioni per reimpostare il dispositivo:
    • Cancellare il dispositivo nell'interfaccia di amministrazione Microsoft Intune.
    • Ritirare il dispositivo nell'interfaccia di amministrazione e quindi ripristinare le impostazioni predefinite del dispositivo usando l'app Impostazioni, Apple Configurator 2 o iTunes.
  2. Attivare il dispositivo e seguire i passaggi visualizzati in Assistente configurazione per recuperare il profilo di gestione remota.

Rinnovare un token di registrazione automatica del dispositivo

A volte è necessario rinnovare i token:

  • Rinnovare il token ADE ogni anno. L'interfaccia di amministrazione di Intune mostra la data di scadenza.
  • Se la password dell'ID Apple cambia per l'utente che ha configurato il token in Apple Business Manager, rinnovare il token del programma di registrazione in Intune e Apple Business Manager.
  • Se l'utente che ha configurato il token in Apple Business Manager lascia l'organizzazione, rinnovare il token del programma di registrazione in Intune e Apple Business Manager.
  • Se si modifica l'ID Apple usato per creare il token ADE, la modifica non influirà sui dispositivi attualmente registrati con tale token, fino a quando non vengono registrati di nuovo. A differenza del certificato APNS (Apple Push Notification Service) usato per il tenant, che non può essere modificato senza richiedere la registrazione di tutti i dispositivi, a meno che non si contatti il supporto apple per eseguire la modifica nel back-end.

Rinnovare i token

  1. Passare a business.apple.com e accedere con un account con un ruolo Amministratore o Gestione registrazione dispositivi.

  2. Selezionare Impostazioni. In Server MDM selezionare il server MDM associato al file di token da rinnovare. Selezionare Scarica token:

    Screenshot che mostra come rinnovare e scaricare un token Apple in Apple Business Manager.

  3. Selezionare Scarica token server.

    Nota

    Come indicato nel prompt, non selezionare Scarica token server se non si intende rinnovare il token. In questo modo, il token usato da Intune o da qualsiasi altra soluzione MDM verrà invalidato. Se il token è già stato scaricato, assicurarsi di continuare con i passaggi successivi fino al rinnovo del token.

  4. Dopo aver scaricato il token, passare a Microsoft Intune'interfaccia di amministrazione.

  5. Selezionare Registrazione dispositivi>.

  6. Scegliere Token del programma di registrazione.

  7. Selezionare il token.

  8. Selezionare Rinnova token. Immettere l'ID Apple usato per creare il token originale (se non viene popolato automaticamente):

    Screenshot che mostra la pagina Rinnova token.

  9. Caricare il token appena scaricato.

  10. Selezionare Avanti per passare alla pagina Tag ambito . Assegnare i tag di ambito, se si vuole.

  11. Selezionare Rinnova token. Verrà visualizzata una conferma del rinnovo del token:

    Screenshot che mostra il messaggio di conferma.

Eliminare un token di registrazione automatica del dispositivo da Intune

È possibile eliminare un token del profilo di registrazione da Intune purché:

  • Al token non sono assegnati dispositivi.
  • Nessun dispositivo assegnato al profilo predefinito.
  • Non sono presenti profili di registrazione in tale token.

Per eliminare un token del profilo di registrazione:

  1. Nell Microsoft Intune a interfaccia di amministrazione passare a Registrazione dispositivi>.
  2. Selezionare la scheda Apple .
  3. Scegliere i token del programma di registrazione
  4. Selezionare il token e quindi Dispositivi.
  5. Eliminare tutti i dispositivi assegnati al token.
  6. Tornare ai token del programma di registrazione. Selezionare il token e quindi selezionare Profili.
  7. Se è presente un profilo predefinito o un altro profilo di registrazione, è necessario eliminarli tutti.
  8. Tornare ai token del programma di registrazione. Selezionare il token e quindi selezionare Elimina.

Passaggi successivi

Per una panoramica delle esigenze degli utenti del dispositivo, vedere Attività dell'utente finale di Ade.