Guida alla distribuzione: Gestire i dispositivi macOS in Microsoft Intune
Proteggere l'accesso alla posta elettronica aziendale, ai dati e alle app nei dispositivi macOS. Questo articolo illustra le attività specifiche di macOS per abilitare la gestione dei dispositivi mobili di Intune per macOS, configurare i criteri e distribuire le app.
Prerequisiti
Completare i prerequisiti seguenti per abilitare la gestione dei dispositivi macOS in Intune:
- Aggiungere utenti e gruppi
- Assegnare licenze agli utenti
- Impostare l'autorità di gestione dei dispositivi mobili
- Avere autorizzazioni di Microsoft Entra amministratore globale o amministratore di Intune
- configurare il certificato push MDM (APN) Apple
Per informazioni più dettagliate su come eseguire la configurazione iniziale, l'onboarding o lo spostamento in Microsoft Intune, vedere la guida alla distribuzione della configurazione di Intune.
Pianificare la distribuzione
Usare la guida alla pianificazione Microsoft Intune per definire gli obiettivi di gestione dei dispositivi, gli scenari dei casi d'uso e i requisiti. Consente inoltre di pianificare l'implementazione, la comunicazione, il supporto, i test e la convalida. Ad esempio, poiché l'app Portale aziendale per macOS non è disponibile nel App Store, è consigliabile avere un piano di comunicazione in modo che gli utenti finali sappiano come installare Portale aziendale e registrare i dispositivi.
Registrare i dispositivi
Configurare i metodi e l'esperienza di registrazione per i dispositivi macOS personali e di proprietà dell'azienda. Questo passaggio garantisce che i dispositivi ricevano i criteri e le configurazioni di Intune dopo la registrazione. Intune supporta la registrazione BYOD (Bring Your Own Device), la registrazione automatica dei dispositivi Apple e la registrazione diretta per i dispositivi aziendali. Per informazioni su ogni metodo di registrazione e su come sceglierne uno adatto all'organizzazione, vedere la guida alla registrazione dei dispositivi macOS per Microsoft Intune.
| Attività | Dettagli |
|---|---|
| Configurare la registrazione per i dispositivi di proprietà dell'utente (BYOD) | Completare i prerequisiti in questo articolo per abilitare la registrazione per i dispositivi di proprietà dell'utente. Sono inoltre disponibili risorse di registrazione e collegamenti da condividere con gli utenti del dispositivo in modo che siano supportati durante l'esperienza di registrazione. Questo metodo di registrazione è destinato alle organizzazioni con criteri Bring Your Own Device (BYOD). BYOD consente agli utenti di usare i propri dispositivi personali per le cose correlate al lavoro. |
| Configurare la registrazione automatica dei dispositivi (ADE) di Apple | Configurare un'esperienza di registrazione predefinita che automatizza la registrazione nei dispositivi di proprietà dell'azienda acquistati tramite Apple School Manager o Apple Business Manager. Questo metodo è ideale per le organizzazioni che hanno un numero elevato di dispositivi da registrare, perché elimina la necessità di toccare e configurare ogni dispositivo singolarmente. |
| Configurare la registrazione diretta per i dispositivi aziendali | Configurare un'esperienza di registrazione per i dispositivi di proprietà dell'azienda non associati a un singolo utente, ad esempio i dispositivi usati in un'impostazione di spazio condiviso o vendita al dettaglio. La registrazione diretta non cancella il dispositivo, quindi è ideale da usare quando i dispositivi non hanno bisogno di accedere ai dati degli utenti locali. Dovrai trasferire direttamente il profilo di registrazione al Mac, che richiede una connessione USB a un computer Mac che esegue Apple Configurator. |
| Aggiungere un gestore di registrazione dispositivi | Persone designati come gestori di registrazione dispositivi (DEM) possono registrare fino a 1.000 dispositivi mobili di proprietà dell'azienda alla volta. Gli account DEM sono utili nelle organizzazioni che registrano e preparano i dispositivi prima di disattivi agli utenti. |
| Identificare i dispositivi di proprietà dell'azienda | È possibile assegnare lo stato di proprietà dell'azienda ai dispositivi per abilitare più funzionalità di gestione e identificazione in Intune. Lo stato di proprietà dell'azienda non può essere assegnato ai dispositivi registrati tramite Apple Business Manager. |
| Modificare la proprietà del dispositivo | Dopo aver registrato un dispositivo, è possibile modificarne l'etichetta di proprietà in Intune in proprietà aziendale o personale. Questa modifica il modo in cui è possibile gestire il dispositivo. |
| Risolvere i problemi di registrazione | Risolvere e trovare le soluzioni ai problemi che si verificano durante la registrazione. |
Creare regole di conformità
Creare criteri di conformità per definire le regole e le condizioni che gli utenti e i dispositivi devono soddisfare per accedere alle risorse protette. Questo è il modo in cui si garantisce che i dispositivi che accedono ai dati soddisfino gli standard. Intune contrassegna i dispositivi che non rispettano i requisiti come non conformi e interviene (ad esempio l'invio di una notifica all'utente, la limitazione dell'accesso o la cancellazione del dispositivo) in base alle configurazioni.
Se si crea un criterio di accesso condizionale, può funzionare insieme ai risultati di conformità del dispositivo per bloccare l'accesso alle risorse da dispositivi non conformi. Per una spiegazione dettagliata sui criteri di conformità e su come iniziare, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.
| Attività | Dettagli |
|---|---|
| Creare i criteri di conformità | Istruzioni dettagliate su come creare e assegnare criteri di conformità a gruppi di utenti e dispositivi. |
| Aggiungere azioni per la mancata conformità | Scegliere cosa accade quando i dispositivi non soddisfano più le condizioni dei criteri di conformità. È possibile aggiungere azioni per la non conformità quando si configurano un criterio di conformità dei dispositivi o in un secondo momento modificando il criterio. |
| Creare un criterio di accesso condizionale basato su dispositivo o su app | Specificare l'app o i servizi da proteggere e definire le condizioni per l'accesso. |
| Bloccare l'accesso alle app che non usano l'autenticazione moderna | Creare criteri di accesso condizionale basati su app per bloccare le app che usano metodi di autenticazione diversi da OAuth2, ad esempio le app che usano l'autenticazione di base e basata su modulo. Prima di bloccare l'accesso, tuttavia, accedere a Microsoft Entra ID ed esaminare il report attività sui metodi di autenticazione per verificare se gli utenti usano l'autenticazione di base per accedere agli elementi essenziali di cui si è dimenticato o che non sono a conoscenza. Ad esempio, elementi come i chioschi del calendario della sala riunioni usano l'autenticazione di base. |
Configurare le impostazioni del dispositivo
Usare Microsoft Intune per abilitare o disabilitare le impostazioni e le funzionalità nei dispositivi macOS usati per il lavoro. Per configurare e applicare queste impostazioni, creare un profilo di configurazione del dispositivo e quindi assegnare il profilo ai gruppi dell'organizzazione.
| Attività | Dettagli |
|---|---|
| Creare un profilo di dispositivo in Microsoft Intune | Informazioni sui diversi tipi di profili di dispositivo che è possibile creare per l'organizzazione. |
| Configurare le funzionalità del dispositivo | Configurare le funzionalità e le funzionalità comuni di macOS. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle funzionalità del dispositivo . |
| Configurare il profilo Wi-Fi | Questo profilo consente alle persone di trovare e connettersi alla rete Wi-Fi dell'organizzazione. Per una descrizione delle impostazioni in quest'area, vedi la guida di riferimento alle impostazioni Wi-Fi. |
| Configurare il profilo di rete cablata | Questo profilo consente agli utenti dei computer desktop di connettersi alla rete cablata dell'organizzazione. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulla rete cablata. |
| Configurare il profilo VPN | Configurare un'opzione VPN sicura, ad esempio Microsoft Tunnel, per le persone che si connettono alla rete dell'organizzazione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni VPN. |
| Limitare le funzionalità del dispositivo | Proteggi gli utenti da accessi non autorizzati e distrazioni limitando le funzionalità dei dispositivi che possono usare al lavoro o a scuola. Per una descrizione delle impostazioni in quest'area, vedi il riferimento alle restrizioni del dispositivo. |
| Configurare profili personalizzati | Aggiungere e assegnare le impostazioni e le funzionalità del dispositivo che non sono integrate in Intune. |
| Aggiungere e gestire le estensioni macOS | Aggiungere estensioni del kernel ed estensioni di sistema, che consentono agli utenti di installare estensioni dell'app che estendono le funzionalità native del sistema operativo. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle estensioni macOS. |
| Personalizzare l'esperienza di personalizzazione e registrazione | Personalizza l'esperienza dell'app Portale aziendale Intune e Microsoft Intune con le parole, la personalizzazione, le preferenze dello schermo e le informazioni di contatto dell'organizzazione. |
Configurare la sicurezza degli endpoint
Usare le funzionalità di sicurezza degli endpoint di Intune per configurare la sicurezza dei dispositivi e gestire le attività di sicurezza per i dispositivi a rischio.
| Attività | Dettagli |
|---|---|
| Gestire i dispositivi con le funzionalità di sicurezza degli endpoint | Usare le impostazioni di sicurezza degli endpoint in Intune per gestire in modo efficace la sicurezza dei dispositivi e correggere i problemi per i dispositivi. |
| Usare Accesso condizionale per limitare l'accesso a Microsoft Tunnel | Usare i criteri di accesso condizionale per controllare l'accesso del dispositivo al gateway VPN di Microsoft Tunnel. |
| Aggiungere le impostazioni di Endpoint Protection | Configurare le funzionalità di sicurezza comuni di Endpoint Protection, tra cui Firewall, Gatekeeper e FileVault. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni di Endpoint Protection. |
Configurare metodi di autenticazione sicuri
Configurare i metodi di autenticazione in Intune per assicurarsi che solo gli utenti autorizzati accedano alle risorse interne. Intune supporta l'autenticazione a più fattori, i certificati e le credenziali derivate. I certificati possono essere usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.
| Attività | Dettagli |
|---|---|
| Richiedere l'autenticazione a più fattori (MFA) | Richiedere agli utenti di fornire due forme di credenziali al momento della registrazione. |
| Creare un profilo certificato attendibile | Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. Il profilo certificato attendibile distribuisce il certificato radice attendibile ai dispositivi e agli utenti usando certificati importati SCEP, PKCS e PKCS. |
| usare certificati SCEP con in Intune | Informazioni su cosa è necessario per usare i certificati SCEP con Intune e configurare l'infrastruttura necessaria. Successivamente, è possibile creare un profilo certificato SCEP o configurare un'autorità di certificazione di terze parti con SCEP. |
| Usare certificati PKCS con Intune | Configurare l'infrastruttura necessaria (ad esempio i connettori di certificato locali), esportare un certificato PKCS e aggiungere il certificato a un profilo di configurazione del dispositivo Intune. |
| Usare i certificati PKCS importati con Intune | Configurare i certificati PKCS importati, che consentono di configurare e usare S/MIME per crittografare la posta elettronica. |
Distribuire le app
Quando si configurano app e criteri per le app, considerare i requisiti dell'organizzazione, ad esempio le piattaforme supportate, le attività eseguite dagli utenti, il tipo di app necessarie per completare tali attività e chi ne ha bisogno. È possibile usare Intune per gestire l'intero dispositivo (incluse le app) o usare Intune per gestire solo le app.
| Attività | Dettagli |
|---|---|
| Aggiungere Portale aziendale Intune'app | Informazioni su come ottenere Portale aziendale nei dispositivi o indicare agli utenti come eseguire questa operazione autonomamente. |
| Aggiungere Microsoft Edge | Aggiungere e assegnare Microsoft Edge in Intune. |
| Aggiungere Microsoft 365 | Aggiungere e assegnare app di Microsoft 365 in Intune. |
| Aggiungere app line-of-business | Aggiungere e assegnare app line-of-business (LOB) macOS in Intune. |
| Assegnare app ai gruppi | Dopo aver aggiunto le app a Intune, assegnarle a utenti e dispositivi. |
| Includere ed escludere assegnazioni di app | Controllare l'accesso e la disponibilità a un'app includendo ed escludendo i gruppi selezionati dall'assegnazione. |
| Usare script della shell nei dispositivi macOS | Usare gli script della shell per estendere le funzionalità di gestione dei dispositivi in Intune oltre a quelle supportate dal sistema operativo macOS. |
Eseguire azioni remote
Dopo aver configurato i dispositivi, è possibile usare azioni remote in Intune per gestire e risolvere i problemi dei dispositivi macOS da lontano. Gli articoli seguenti illustrano le azioni remote in Intune. Se un'azione è assente o disabilitata nel portale, non è supportata in macOS.
| Attività | Dettagli |
|---|---|
| Eseguire un'azione remota nei dispositivi | Informazioni su come eseguire il drill-down e gestire e risolvere i problemi dei singoli dispositivi in Intune in remoto. Questo articolo elenca tutte le azioni remote disponibili in Intune e i collegamenti a tali procedure. |
| Usare TeamViewer per gestire da remoto i dispositivi Intune | Configurare TeamViewer in Intune e informazioni su come amministrare in remoto un dispositivo. |
| Usare le attività di sicurezza per visualizzare minacce e vulnerabilità | Integrare Intune con Microsoft Defender per endpoint per sfruttare la gestione delle minacce e delle vulnerabilità di Defender per endpoint e usare Intune per correggere le vulnerabilità degli endpoint identificate dalla funzionalità di gestione delle vulnerabilità di Defender. |
Passaggi successivi
Per un'esercitazione su come esplorare e usare Intune, vedere L'interfaccia di amministrazione di Intune . Le esercitazioni sono un contenuto di 100 – 200 livelli per gli utenti che non hanno esperienza in Intune o uno scenario specifico.
Per esercitazioni sulla distribuzione di app, vedere i blog di Microsoft Tech Community seguenti scritti dal team di supporto di Intune:
Per altre versioni di questa guida, vedere:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per