Registrazione MDM di dispositivi Windows

Nel mondo cloud di oggi, i reparti IT aziendali vogliono sempre più consentire ai dipendenti di usare i propri dispositivi o persino di scegliere e acquistare dispositivi di proprietà dell'azienda. La connessione dei dispositivi al lavoro semplifica l'accesso alle risorse dell'organizzazione, ad esempio app, rete aziendale e posta elettronica.

Nota

Quando si connette il dispositivo usando la registrazione MDM (Mobile Device Management), l'organizzazione può applicare determinati criteri nel dispositivo.

Connettere dispositivi Windows di proprietà dell'azienda

È possibile connettere i dispositivi di proprietà dell'azienda al funzionamento aggiungendo il dispositivo a un dominio di Active Directory o a un dominio Microsoft Entra. Windows non richiede un account Microsoft personale nei dispositivi aggiunti a Microsoft Entra ID o a un dominio Active Directory locale.

active directory Microsoft Entra l'accesso.

Nota

Per i dispositivi aggiunti a Active Directory locale, vedere Registrazione di Criteri di gruppo.

Connettere il dispositivo a un dominio Microsoft Entra (aggiungere Microsoft Entra ID)

Tutti i dispositivi Windows possono essere connessi a un dominio Microsoft Entra. Questi dispositivi possono essere connessi durante la configurazione guidata. Inoltre, i dispositivi desktop possono essere connessi a un dominio Microsoft Entra usando l'app Impostazioni.

Esperienza predefinita

Per aggiungere un dominio:

  1. Selezionare L'azienda o l'istituto di istruzione è proprietario, quindi selezionare Avanti.

    oobe - Creazione dell'account locale

  2. Selezionare Partecipa Microsoft Entra ID e quindi selezionare Avanti.

    scegliere il dominio o Microsoft Entra ID

  3. Digitare il nome utente Microsoft Entra. Questo nome utente è l'indirizzo di posta elettronica usato per accedere a Microsoft Office 365 e servizi simili.

    Se il tenant è solo cloud, sincronizzazione dell'hash delle password o tenant di autenticazione pass-through, questa pagina cambia per mostrare la personalizzazione personalizzata dell'organizzazione ed è possibile immettere la password direttamente in questa pagina. Se il tenant fa parte di un dominio federato, si viene reindirizzati al server federativo locale dell'organizzazione, ad esempio Active Directory Federation Services (AD FS) per l'autenticazione.

    In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.

    Se nel tenant Microsoft Entra è configurata la registrazione automatica, anche il dispositivo viene registrato in MDM durante questo flusso. Per altre informazioni, vedere questi passaggi. Se il tenant non è configurato per la registrazione automatica, è necessario passare attraverso il flusso di registrazione una seconda volta per connettere il dispositivo a MDM. Dopo aver completato il flusso, il dispositivo verrà connesso al dominio Microsoft Entra dell'organizzazione.

    Microsoft Entra l'accesso durante la configurazione guidata.

Usare l'app Impostazioni

Per creare un account locale e connettere il dispositivo:

  1. Avviare l'app Impostazioni.

    schermata che visualizza le impostazioni di Windows

  2. Passare quindi a Account.

    scegliere gli account delle impostazioni di Windows

  3. Passare ad Accesso all'azienda o all'istituto di istruzione.

    scegliere l'opzione di accesso al lavoro o all'istituto di istruzione

  4. Selezionare Connetti.

    Possibilità di connettersi al lavoro o all'istituto di istruzione

  5. In Azioni alternative selezionare Aggiungi questo dispositivo a Microsoft Entra ID.

    possibilità di accedere all'account aziendale o dell'istituto di istruzione per Microsoft Entra ID

  6. Digitare il nome utente Microsoft Entra. Questo nome utente è l'indirizzo di posta elettronica usato per accedere a Office 365 e servizi simili.

    Microsoft Entra accedere usando l'app Impostazioni.

    Se il tenant è solo cloud, sincronizzazione dell'hash delle password o tenant di autenticazione pass-through, questa pagina cambia per mostrare la personalizzazione personalizzata dell'organizzazione ed è possibile immettere la password direttamente in questa pagina. Se il tenant fa parte di un dominio federato, si viene reindirizzati al server federativo locale dell'organizzazione, ad esempio AD FS, per l'autenticazione.

    In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.

    Se nel tenant Microsoft Entra è configurata la registrazione automatica, anche il dispositivo viene registrato in MDM durante questo flusso. Per altre informazioni, vedi questo post di blog. Se il tenant non è configurato per la registrazione automatica, è necessario passare attraverso il flusso di registrazione una seconda volta per connettere il dispositivo a MDM.

    Dopo aver raggiunto la fine del flusso, il dispositivo deve essere connesso al dominio Microsoft Entra dell'organizzazione. È ora possibile disconnettersi dall'account corrente e accedere usando il nome utente Microsoft Entra.

    schermata di accesso aziendale

Guida alla connessione a un dominio Microsoft Entra

Esistono alcune istanze in cui il dispositivo non può essere connesso a un dominio Microsoft Entra.

Problema di connessione Descrizione
Il dispositivo è connesso a un dominio Microsoft Entra. Il dispositivo può essere connesso solo a un singolo dominio Microsoft Entra alla volta.
Il dispositivo è già connesso a un dominio di Active Directory. Il dispositivo può essere connesso a un dominio Microsoft Entra o a un dominio di Active Directory. Non è possibile connettersi a entrambi contemporaneamente.
Il dispositivo ha già un utente connesso a un account aziendale. È possibile connettersi a un dominio Microsoft Entra o connettersi a un account aziendale o dell'istituto di istruzione. Non è possibile connettersi a entrambi contemporaneamente.
L'utente ha eseguito l'accesso come utente standard. Il dispositivo può essere connesso a un dominio Microsoft Entra solo se si è connessi come utente amministratore. Per continuare, è necessario passare a un account amministratore.
Il dispositivo è già gestito da MDM. Il flusso di connessione a Microsoft Entra ID tenta di registrare il dispositivo in MDM se il tenant Microsoft Entra ha un endpoint MDM preconfigurato. Il dispositivo deve essere annullato da MDM per poter connettersi a Microsoft Entra ID in questo caso.
Il dispositivo esegue l'edizione Home. Questa funzionalità non è disponibile in Windows Home Edition, quindi non è possibile connettersi a un dominio Microsoft Entra. Per continuare, è necessario eseguire l'aggiornamento all'edizione Pro, Enterprise o Education.

Connettere dispositivi di proprietà personale

I dispositivi di proprietà personale, noti anche come BRING YOUR OWN DEVICE (BYOD), possono essere connessi a un account aziendale o dell'istituto di istruzione o a MDM. I dispositivi Windows non richiedono un account Microsoft personale nei dispositivi per connettersi all'azienda o all'istituto di istruzione.

Tutti i dispositivi Windows possono essere connessi a un account aziendale o dell'istituto di istruzione. È possibile connettersi a un account aziendale o dell'istituto di istruzione tramite l'app Impostazioni o una delle numerose app piattaforma UWP (Universal Windows Platform) (UWP), ad esempio le app di Office universali.

Registrare il dispositivo in Microsoft Entra ID e registrarsi in MDM

Per creare un account locale e connettere il dispositivo:

  1. Avviare l'app Impostazioni e quindi selezionare Account>Avvia>impostazioni>Account.

    schermata delle impostazioni di Windows

  2. Passare ad Accesso all'azienda o all'istituto di istruzione.

    l'opzione dell'utente di accedere al lavoro o all'istituto di istruzione

  3. Selezionare Connetti.

    per accedere all'opzione aziendale o dell'istituto di istruzione.

  4. Digitare il nome utente Microsoft Entra. Questo nome utente è l'indirizzo di posta elettronica usato per accedere a Office 365 e servizi simili.

    sincronizzare l'account aziendale o dell'istituto di istruzione con Azure AD.

  5. Se il tenant è solo cloud, sincronizzazione dell'hash delle password o tenant di autenticazione pass-through, questa pagina cambia per mostrare la personalizzazione personalizzata dell'organizzazione e può immettere la password direttamente nella pagina. Se il tenant fa parte di un dominio federato, si viene reindirizzati al server federativo locale dell'organizzazione, ad esempio AD FS, per l'autenticazione.

    In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.

    Se nel tenant Microsoft Entra è configurata la registrazione automatica, anche il dispositivo viene registrato in MDM durante questo flusso. Per altre informazioni, vedi questo post di blog. Se il tenant non è configurato per la registrazione automatica, è necessario passare attraverso il flusso di registrazione una seconda volta per connettere il dispositivo a MDM.

    È possibile visualizzare la pagina di stato che mostra lo stato di avanzamento della configurazione del dispositivo.

    accesso aziendale - schermata e opzione

  6. Dopo aver completato il flusso, l'account Microsoft verrà connesso all'account aziendale o dell'istituto di istruzione.

    l'account è stato aggiunto correttamente.

Assistenza per la connessione di dispositivi di proprietà personale

Esistono alcune istanze in cui il dispositivo potrebbe non essere in grado di connettersi al lavoro.

Messaggio di errore Descrizione
Il dispositivo è già connesso al cloud dell'organizzazione. Il dispositivo è già connesso a Microsoft Entra ID, a un account aziendale o dell'istituto di istruzione o a un dominio di Active Directory.
Non è stato possibile trovare l'identità nel cloud dell'organizzazione. Il nome utente immesso non è stato trovato nel tenant Microsoft Entra.
Il dispositivo è già gestito da un'organizzazione. Il dispositivo è già gestito da MDM o Microsoft Configuration Manager.
Non si dispone dei privilegi giusti per eseguire questa operazione. Rivolgersi all'amministratore. Non è possibile registrare il dispositivo in MDM come utente standard. È necessario disporre di un account amministratore.
Non è stato possibile individuare automaticamente un endpoint di gestione corrispondente al nome utente immesso. Controllare il nome utente e riprovare. Se si conosce l'URL dell'endpoint di gestione, immetterlo. È necessario specificare l'URL del server per MDM o controllare l'ortografia del nome utente immesso.

Registra solo nella gestione dei dispositivi

Tutti i dispositivi Windows possono essere connessi a MDM. È possibile connettersi a un MDM tramite l'app Impostazioni. Per creare un account locale e connettere il dispositivo:

  1. Avviare l'app Impostazioni.

    schermata che visualizza le impostazioni di Windows

  2. Passare quindi a Account.

    pagina degli account delle impostazioni di windows.

  3. Passare ad Accesso all'azienda o all'istituto di istruzione.

    accedere al lavoro o all'istituto di istruzione.

  4. Selezionare il collegamento Registra solo nella gestione dei dispositivi .

    connettersi alla schermata aziendale o dell'istituto di istruzione

  5. Digitare l'indirizzo di posta elettronica aziendale.

    schermata configura account aziendale o dell'istituto di istruzione

  6. Se il dispositivo trova un endpoint che supporta solo l'autenticazione locale, questa pagina cambia e richiede la password. Se il dispositivo trova un endpoint MDM che supporta l'autenticazione federata, viene visualizzata una nuova finestra che richiede altre informazioni sull'autenticazione.

    In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione. È possibile visualizzare lo stato di avanzamento della registrazione sullo schermo.

    per configurare il dispositivo

    Dopo aver completato il flusso, il dispositivo viene connesso alla MDM dell'organizzazione.

I dispositivi Windows possono essere connessi al lavoro usando un collegamento diretto. Gli utenti possono selezionare o aprire un collegamento in un formato specifico da qualsiasi posizione in Windows ed essere indirizzati alla nuova esperienza di registrazione.

Il collegamento diretto usato per connettere il dispositivo al funzionamento usa il formato seguente.

ms-device-enrollment:?mode={mode_name}:

Parametro Descrizione Valore supportato per Windows
mode Descrive la modalità eseguita nell'app di registrazione. Mobile Gestione dispositivi (MDM), Aggiunta dell'account aziendale (AWA) e Microsoft Entra aggiunto.
nomeutente Specifica l'indirizzo di posta elettronica o l'UPN dell'utente che deve essere registrato in MDM. stringa
Nomeserver Specifica l'URL del server MDM usato per registrare il dispositivo. stringa
accesstoken Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato come token per convalidare la richiesta di registrazione. stringa
deviceidentifier Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato per passare un identificatore di dispositivo univoco. GUID
tenantidentifier Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato per identificare il tenant a cui appartiene il dispositivo o l'utente. GUID o stringa
Proprietà Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato per determinare se il dispositivo è di proprietà byod o corp. 1, 2 o 3. Se "1" significa che la proprietà è sconosciuta, "2" significa che il dispositivo è di proprietà personale e "3" significa che il dispositivo è di proprietà dell'azienda

Nota

I collegamenti diretti funzionano solo con i browser Internet Explorer o Microsoft Edge. Esempi di URI che possono essere usati per connettersi a MDM usando un collegamento diretto:

  • ms-device-enrollment:?mode=mdm
  • ms-device-enrollment:?mode=mdm&username=someone@example.com&servername=https://example.server.com

Per connettere i dispositivi a MDM tramite collegamenti diretti:

  1. Creare un collegamento per avviare l'app di registrazione predefinita usando l'URI ms-device-enrollment:?mode=mdm e il testo visualizzato descrittivo, ad esempio Fare clic qui per connettere Windows al lavoro:

    Questo collegamento avvia il flusso equivalente all'opzione Registra nella gestione dei dispositivi.

    • Gli amministratori IT possono aggiungere questo collegamento a un messaggio di posta elettronica di benvenuto che gli utenti possono selezionare per la registrazione in MDM.

      usando il deeplink di registrazione nella posta elettronica.

      Nota

      Assicurarsi che i filtri di posta elettronica non blocchino i collegamenti diretti.

    • Gli amministratori IT possono anche aggiungere questo collegamento a una pagina Web interna che gli utenti fanno riferimento alle istruzioni di registrazione.

  2. Dopo aver selezionato il collegamento o eseguito, Windows avvia l'app di registrazione in una modalità speciale che consente solo le registrazioni MDM (in modo simile all'opzione Registra nella gestione dei dispositivi).

    Digitare l'indirizzo di posta elettronica aziendale.

    Configurare una schermata dell'account aziendale o dell'istituto di istruzione

  3. Se il dispositivo trova un endpoint che supporta solo l'autenticazione locale, questa pagina cambia e richiede la password. Se il dispositivo trova un endpoint MDM che supporta l'autenticazione federata, viene visualizzata una nuova finestra che richiede altre informazioni di autenticazione. In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.

    Dopo aver completato il flusso, il dispositivo verrà connesso alla MDM dell'organizzazione.

    schermata di accesso aziendale

Gestire le connessioni

Per gestire le connessioni aziendali o dell'istituto di istruzione, selezionare Impostazioni>Account>Accesso all'azienda o all'istituto di istruzione. Le connessioni vengono visualizzate in questa pagina e la selezione di una consente di espandere le opzioni per tale connessione.

gestione dell'account aziendale o dell'istituto di istruzione.

Info

Il pulsante Info è disponibile nelle connessioni aziendali o dell'istituto di istruzione che coinvolgono MDM. Questo pulsante è incluso negli scenari seguenti:

  • Connessione del dispositivo a un dominio Microsoft Entra con registrazione automatica in MDM configurata.
  • Connessione del dispositivo a un account aziendale o dell'istituto di istruzione con registrazione automatica in MDM configurata.
  • Connessione del dispositivo a MDM.

Selezionando il pulsante Info viene aperta una nuova pagina nell'app Impostazioni che fornisce informazioni dettagliate sulla connessione MDM. È possibile visualizzare le informazioni di supporto dell'organizzazione (se configurate) in questa pagina. È anche possibile avviare una sessione di sincronizzazione che forza il dispositivo a comunicare con il server MDM e a recuperare eventuali aggiornamenti ai criteri, se necessario.

Selezionando il pulsante Info viene visualizzato un elenco di criteri e app line-of-business installate dall'organizzazione. Ecco uno screenshot di esempio.

informazioni sul lavoro o sull'istituto di istruzione.

Disconnetti

Il pulsante Disconnetti è disponibile in tutte le connessioni di lavoro. In genere, se si seleziona il pulsante Disconnetti , la connessione viene rimossa dal dispositivo. Esistono alcune eccezioni a questa funzionalità:

  • I dispositivi che applicano i criteri AllowManualMDMUnenrollment non consentono agli utenti di rimuovere le registrazioni MDM. Queste connessioni devono essere rimosse da un comando di annullamento della registrazione avviato dal server.
  • Nei dispositivi mobili non è possibile disconnettersi da Microsoft Entra ID. Queste connessioni possono essere rimosse solo cancellando il dispositivo.

Warning

La disconnessione potrebbe comportare la perdita di dati nel dispositivo.

Raccolta dei log di diagnostica

È possibile raccogliere i log di diagnostica relativi alle connessioni di lavoro passando a Impostazioni>Account>di accesso all'azienda o all'istituto di istruzione e quindi selezionando il collegamento Esporta i log di gestione in Impostazioni correlate. Selezionare quindi Esporta e seguire il percorso visualizzato per recuperare i file di log di gestione.

È possibile ottenere il report di diagnostica avanzato passando a Impostazioni>Account>Accesso all'azienda o all'istituto di istruzione e selezionando il pulsante Info . Nella parte inferiore della pagina Impostazioni viene visualizzato il pulsante per creare un report.

Per altre informazioni, vedere Raccogliere i log MDM.