Impostare l'autorità di gestione dei dispositivi mobili

L'impostazione dell'autorità di gestione dei dispositivi mobili (MDM) determina la modalità di gestione dei dispositivi. Gli amministratori IT devono impostare un'autorità MDM prima che gli utenti possano registrare i dispositivi per la gestione.

Le possibili configurazioni sono:

  • Intune autonomo - Gestione solo cloud, configurata tramite il portale di Azure. Include il set completo di funzionalità offerte da Intune. Imposta l'autorità MDM nella console di Intune.

  • Co-gestione di Intune : integrazione della soluzione cloud intune con Configuration Manager per Windows 10 dispositivi. È possibile configurare Intune tramite la console di Configuration Manager. Configurare la registrazione automatica dei dispositivi in Intune.

  • Dispositivi mobili e sicurezza di Microsoft 365- Se questa configurazione è attivata, vedrai l'autorità MDM impostata su "Office 365". Se si desidera iniziare a usare Intune, è necessario acquistare licenze di Intune.

  • Dispositivi mobili e sicurezza di base per la coesistenza di Microsoft 365- È possibile aggiungere Intune al tenant se si usa già Dispositivi mobili e sicurezza di base per Microsoft 365 e impostare l'autorità di gestione su Intune o Dispositivi mobili di base e sicurezza per Microsoft 365 per ogni utente per determinare quale servizio verrà usato per gestire i dispositivi registrati in MDM. L'autorità di gestione di ogni utente è definita in base alla licenza assegnata all'utente: se l'utente ha solo una licenza per Microsoft 365 Basic o Standard, i dispositivi verranno gestiti da Dispositivi mobili e sicurezza di base per Microsoft 365. Se l'utente ha una licenza che autorizza Intune, i dispositivi verranno gestiti da Intune. Se aggiungi una licenza che autorizza Intune a un utente gestito in precedenza da Basic Mobility and Security per Microsoft 365, i loro dispositivi verranno commutati alla gestione di Intune. Assicurati di assegnare configurazioni di Intune agli utenti per sostituire Basic Mobility and Security per Microsoft 365 prima di passare agli utenti in Intune, altrimenti i loro dispositivi perderanno La mobilità di base e la sicurezza per la configurazione di Microsoft 365 e non riceveranno alcuna sostituzione da Intune.

Impostare l'autorità MDM su Intune

Per i tenant che usano la Service Release 1911 e versioni successive, l'autorità MDM viene impostata automaticamente su Intune.

Per i tenant delle service release precedenti al 1911, se non hai ancora impostato l'autorità MDM, segui i passaggi seguenti.

  1. Nell'Microsoft Endpoint Manager di amministrazioneselezionare il banner arancione per aprire l'impostazione Autorità di gestione dei dispositivi mobili. L'intestazione arancione viene visualizzata solo se l'autorità MDM non è stata ancora impostata.
  2. In Autorità di gestione dei dispositivi mobili scegli l'autorità MDM tra le opzioni seguenti:
  • Intune MDM Authority
  • Nessuna

Screenshot of Intune set mobile device management authority screen

Un messaggio indica che l'autorità MDM è stata impostata correttamente su Intune.

Flusso di lavoro dell'interfaccia utente di amministrazione di Intune

Quando la gestione dei dispositivi Android o Apple è abilitata, Intune invia informazioni su dispositivi e utenti per l'integrazione con questi servizi di terze parti per gestire i rispettivi dispositivi.

Gli scenari che aggiungono un consenso alla condivisione dei dati sono inclusi quando:

  • Abiliti Android Enterprise di lavoro di proprietà personale o aziendale.
  • Abiliti e carichi i certificati push MDM Apple.
  • Abiliti uno qualsiasi dei servizi Apple, ad esempio device enrollment program, school manager o volume purchasing program.

In ogni caso, il consenso è strettamente correlato all'esecuzione di un servizio di gestione dei dispositivi mobili. Ad esempio, confermando che un amministratore IT abbia autorizzato i dispositivi Google o Apple a registrarsi. La documentazione per la gestione delle informazioni condivise quando i nuovi flussi di lavoro vengono visualizzati è disponibile nelle posizioni seguenti:

Considerazioni chiave

Dopo aver passato alla nuova autorità MDM, probabilmente ci sarà un tempo di transizione (fino a otto ore) prima che il dispositivo eseezioni e la sincronizzazione con il servizio. Devi configurare le impostazioni nella nuova autorità MDM per assicurarti che i dispositivi registrati continuino a essere gestiti e protetti dopo la modifica.

  • I dispositivi devono connettersi al servizio dopo la modifica in modo che le impostazioni della nuova autorità MDM (Intune autonomo) sostituiscono le impostazioni esistenti nel dispositivo.
  • Dopo aver modificato l'autorità MDM, alcune delle impostazioni di base (ad esempio i profili) dell'autorità MDM precedente rimarranno nel dispositivo fino a sette giorni o fino a quando il dispositivo non si connetterà al servizio per la prima volta. È consigliabile configurare le app e le impostazioni (ad esempio criteri, profili e app) nella nuova autorità MDM il prima possibile e distribuire l'impostazione ai gruppi di utenti che contengono utenti con dispositivi registrati esistenti. Non appena un dispositivo si connette al servizio dopo la modifica dell'autorità MDM, riceverà le nuove impostazioni dalla nuova autorità MDM e impedirà la gestione e la protezione.
  • I dispositivi a cui non sono associati utenti (in genere quando hai un programma di registrazione dispositivi iOS/iPadOS o scenari di registrazione in blocco) non vengono migrati alla nuova autorità MDM. Per questi dispositivi, devi chiamare il supporto per assistenza per spostarli nella nuova autorità MDM.

Coesistenza

L'abilitazione della coesistenza consente di usare Intune per un nuovo set di utenti continuando a usare dispositivi mobili e sicurezza di base per gli utenti esistenti. Puoi controllare i dispositivi gestiti da Intune tramite l'utente. Se a un utente viene assegnata una licenza di Intune o usa la co-gestione di Intune con Configuration Manager, tutti i dispositivi registrati verranno gestiti da Intune. In caso contrario, l'utente viene gestito da Dispositivi mobili e sicurezza di base.

Esistono tre passaggi principali per abilitare la coesistenza:

  1. Preparazione
  2. Aggiungere l'autorità MDM di Intune
  3. Migrazione di utenti e dispositivi (facoltativo).

Preparazione

Prima di abilitare la coesistenza con Dispositivi mobili e sicurezza di base, considerare i punti seguenti:

  • Assicurati di disporre di licenze intune sufficienti per gli utenti che intendi gestire tramite Intune.
  • Esaminare gli utenti a cui sono assegnate le licenze di Intune. Dopo aver abilitato la coesistenza, tutti gli utenti già assegnati a una licenza di Intune avranno i loro dispositivi passare a Intune. Per evitare commutazioni di dispositivo impreviste, ti consigliamo di non assegnare licenze di Intune fino a quando non hai abilitato la coesistenza.
  • Creare e distribuire i criteri di Intune per sostituire i criteri di sicurezza dei dispositivi originariamente distribuiti tramite il portale Office 365 sicurezza & conformità. Questa sostituzione deve essere eseguita per tutti gli utenti che si prevede di passare da Basic Mobility and Security a Intune. Se a tali utenti non sono assegnati criteri di Intune, l'abilitazione della coesistenza potrebbe causare la perdita delle impostazioni di sicurezza e mobilità di base. Queste impostazioni andranno perse senza sostituzione, come i profili di posta elettronica gestiti. Anche quando si sostituiscono i criteri di sicurezza dei dispositivi con i criteri di Intune, agli utenti potrebbe essere richiesto di autenticare nuovamente i profili di posta elettronica dopo che il dispositivo è stato spostato nella gestione di Intune.
  • Non è possibile annullare il provisioning di Dispositivi mobili e sicurezza di base dopo la configurazione. Tuttavia, è possibile eseguire alcune operazioni per disattivare i criteri. Per ulteriori informazioni, vedere Disattivazione della mobilità e della sicurezza di base.

Aggiungere l'autorità MDM di Intune

Per abilitare la coesistenza, devi aggiungere Intune come autorità MDM per il tuo ambiente:

  1. Accedi all'interfaccia Microsoft Endpoint Manager di amministrazione con Azure AD diritti di amministratore del servizio Globale o Intune.
  2. Passare a Dispositivi.
  3. Viene visualizzato il pannello Aggiungi autorità MDM.
  4. Per passare dall'autorità MDM Office 365 a Intune e abilitare la coesistenza, selezionare Intune MDM Authority > Add. Screenshot of Add MDM Authority screen

Eseguire la migrazione di utenti e dispositivi (facoltativo)

Dopo aver abilitato l'autorità MDM di Intune, viene attivata la coesistenza ed è possibile iniziare a gestire gli utenti tramite Intune. Facoltativamente, se si desidera spostare i dispositivi precedentemente gestiti da Dispositivi mobili e sicurezza di base per essere gestiti da Intune, assegnare a tali utenti una licenza di Intune. I dispositivi degli utenti passano a Intune al successivo check-in MDM. Impostazioni applicati a questi dispositivi tramite Dispositivi mobili e sicurezza di base non verranno più applicati e verranno rimossi dai dispositivi.

Pulizia dei dispositivi mobili dopo la scadenza del certificato MDM

Il certificato MDM viene rinnovato automaticamente quando i dispositivi mobili comunicano con il servizio Intune. Se i dispositivi mobili vengono cancellati o non riescono a comunicare con il servizio Intune per un certo periodo di tempo, il certificato MDM non verrà rinnovato. Il dispositivo viene rimosso dal portale di Azure 180 giorni dopo la scadenza del certificato MDM.

Rimuovere l'autorità MDM

L'autorità MDM non può essere modificata di nuovo in Sconosciuto. L'autorità MDM viene usata dal servizio per determinare a quale portale sono registrati i dispositivi (Microsoft Intune o Dispositivi mobili e sicurezza di base per Microsoft 365).

Cosa aspettarsi dopo aver modificato l'autorità MDM

  • Quando il servizio Intune rileva che l'autorità MDM di un tenant è cambiata, invia un messaggio di notifica a tutti i dispositivi registrati per archiviare e sincronizzare con il servizio (questa notifica non rientra nell'archiviazione pianificata regolarmente). Pertanto, dopo che l'autorità MDM per il tenant è stata modificata da Intune autonomo, tutti i dispositivi che sono alimentati e online si connetteranno al servizio, riceveranno la nuova autorità MDM e saranno gestiti dalla nuova autorità MDM. Non c'è alcuna interruzione della gestione e della protezione di questi dispositivi.
  • Anche per i dispositivi che sono alimentati e online durante (o poco dopo) la modifica dell'autorità MDM, ci sarà un ritardo fino a otto ore (a seconda dei tempi del prossimo check-in regolare pianificato) prima che i dispositivi siano registrati con il servizio sotto la nuova autorità MDM.

Importante

Tra il momento in cui cambi l'autorità MDM e quando il certificato APN rinnovato viene caricato nella nuova autorità, le nuove registrazioni dei dispositivi e l'archiviazione dei dispositivi per i dispositivi iOS/iPadOS hanno esito negativo. Pertanto, è importante esaminare e caricare il certificato APNs nella nuova autorità il prima possibile dopo la modifica dell'autorità MDM.

  • Gli utenti possono passare rapidamente alla nuova autorità MDM avviando manualmente un'archiviazione dal dispositivo al servizio. Gli utenti possono apportare facilmente questa modifica usando l'app Portale aziendale e avviando un controllo di conformità del dispositivo.
  • Per verificare che gli elementi funzionino correttamente dopo l'archiviazione e la sincronizzazione dei dispositivi con il servizio dopo la modifica dell'autorità MDM, cerca i dispositivi nella nuova autorità MDM.
  • Esiste un periodo provvisorio in cui un dispositivo è offline durante la modifica dell'autorità MDM e quando il dispositivo esegue l'accesso al servizio. Per garantire che il dispositivo rimanga protetto e funzionante durante questo periodo intermedio, i profili seguenti rimangono nel dispositivo fino a sette giorni (o fino a quando il dispositivo non si connette alla nuova autorità MDM e riceve nuove impostazioni che sovrascrivono quelle esistenti):
    • Profilo di posta elettronica
    • Profilo VPN
    • Profilo certificato
    • Wi-Fi profilo
    • Profili di configurazione
  • Dopo aver modificato la nuova autorità MDM, i dati di conformità nella console di amministrazione di Microsoft Intune possono richiedere fino a una settimana per segnalare in modo accurato. Tuttavia, gli stati di conformità in Azure Active Directory e nel dispositivo saranno accurati in modo che il dispositivo sia ancora protetto.
  • Assicurarsi che le nuove impostazioni destinate a sovrascrivere le impostazioni esistenti hanno lo stesso nome di quelle precedenti per assicurarsi che le impostazioni precedenti siano sovrascritte. In caso contrario, i dispositivi potrebbero avere profili e criteri ridondanti.

Suggerimento

Come procedura consigliata, è consigliabile creare tutte le impostazioni e le configurazioni di gestione, nonché le distribuzioni, subito dopo il completamento della modifica all'autorità MDM. In questo modo si garantisce che i dispositivi siano protetti e gestiti attivamente durante il periodo intermedio.

  • Dopo aver modificato l'autorità MDM, esegui la procedura seguente per verificare che i nuovi dispositivi siano registrati correttamente nella nuova autorità:
    • Registrare un nuovo dispositivo
    • Assicurati che il dispositivo appena registrato sia visualizzato nella nuova autorità MDM.
    • Eseguire un'azione, ad esempio Blocco remoto, dalla console di amministrazione al dispositivo. Se ha esito positivo, il dispositivo viene gestito dalla nuova autorità MDM.
  • In caso di problemi con dispositivi specifici, puoi annullare la registrazione e registrare di nuovo i dispositivi per collegarli alla nuova autorità e essere gestiti il prima possibile.

Passaggi successivi

Con l'autorità MDM impostata, puoi avviare la registrazione dei dispositivi.