Panoramica della registrazione dei dispositivi Apple in Microsoft Intune
La registrazione dei dispositivi Apple consente a dipendenti e studenti di registrare dispositivi personali nuovi ed esistenti per il lavoro o l'istituto di istruzione. Sblocca le funzionalità di gestione iOS/iPadOS essenziali per l'utente nell'interfaccia di amministrazione Microsoft Intune, proteggendo al tempo stesso i dati personali di dipendenti e studenti. Questo articolo offre una panoramica delle funzionalità e delle funzionalità di registrazione dei dispositivi Apple supportate da Microsoft Intune.
Registrazione basata su app o Web
La registrazione dei dispositivi supporta un'esperienza di registrazione basata su app e un'esperienza di registrazione basata sul Web. Nell'interfaccia di amministrazione le opzioni di registrazione del dispositivo sono:
- Registrazione del dispositivo con Portale aziendale
- Registrazione di dispositivi basata sul Web
Creare un profilo di registrazione nell'interfaccia di amministrazione per selezionare e configurare i tipi di registrazione. Passare a Dispositivi> perpiattaforma>iOS/iPadOS>Registrazione onboarding del> dispositivoe selezionareTipi di registrazione.
Consiglio
È consigliabile abilitare la registrazione basata sul Web per i dispositivi che eseguono iOS/iPadOS 15 e versioni successive perché non richiede a dipendenti e studenti di installare l'app Portale aziendale. La funzionalità post-registrazione rimane la stessa della registrazione basata su app.
La registrazione basata sul Web usa la registrazione JIT (Just-In-Time) con l'estensione Apple Single Sign-On (SSO) per facilitare la registrazione Microsoft Entra all'interno delle app di lavoro dei dipendenti e ridurre il numero di volte in cui devono eseguire l'autenticazione. Per abilitare la registrazione JIT nelle registrazioni, creare un profilo di configurazione del dispositivo con un criterio di estensione dell'app SSO. Non è necessario usare la registrazione JIT con la registrazione basata sul Web, ma è consigliabile usarla per rendere l'esperienza di registrazione più veloce e semplice per i dipendenti e gli studenti.
La tabella seguente fornisce informazioni dettagliate sulla registrazione basata su app e Sul Web.
| Specificazione | Registrazione basata su app | Registrazione basata sul Web |
|---|---|---|
| Versione supportata | iOS/iPadOS 14 e versioni successive | iOS/iPadOS 15 e versioni successive |
| BYOD e dispositivi personali | ✔️ | ✔️ |
| Dispositivo associato a un singolo utente | ✔️ | ✔️ |
| Reimpostazione del dispositivo necessaria | ❌ | ❌ |
| Registrazione avviata dall'utente del dispositivo | ✔️ | ✔️ |
| Supervisione | ❌ | ❌ |
| Registrazione ji-in-time | ✔️ | ✔️ |
| App necessarie | app Portale aziendale Intune per iOS Microsoft Authenticator |
Microsoft Authenticator |
| Percorso di registrazione | La registrazione basata su app viene eseguita nell'app Portale aziendale, safari e nell'app per le impostazioni del dispositivo. | La registrazione basata sul Web viene eseguita in Safari e nell'app per le impostazioni del dispositivo. |
Impostazioni supportate
Microsoft Intune supporta un subset di opzioni di gestione dei dispositivi per i dispositivi registrati tramite la registrazione dei dispositivi Apple. Se un profilo di configurazione preesistente viene applicato a un dispositivo, vengono applicate solo le impostazioni supportate dalla registrazione del dispositivo Apple.
Esperienza utente
I dipendenti e gli studenti possono accedere alle opzioni di gestione per i propri dispositivi personali nell'app Portale aziendale Intune o nel sito Web Portale aziendale. Le azioni supportate includono:
- Ridenominazione
- Rimuovere
- Impostare il blocco remoto
- Controllare lo stato
Nota
L'azione di ridenominazione disponibile per gli utenti del dispositivo modifica il nome visualizzato in Portale aziendale. Non rinomina il dispositivo nell'interfaccia di amministrazione Microsoft Intune.
Per altre informazioni su come dipendenti e studenti possono accedere a queste azioni nella versione Web, vedere Uso del sito Web Portale aziendale Intune.
Certificati
Questo tipo di registrazione supporta il protocollo ACME (Automated Certificate Management Environment). Quando si registrano nuovi dispositivi, il profilo di gestione da Intune riceve un certificato ACME. Il protocollo ACME offre una protezione migliore rispetto al protocollo SCEP dal rilascio di certificati non autorizzati tramite meccanismi di convalida affidabili e processi automatizzati, che consente di ridurre gli errori nella gestione dei certificati.
I dispositivi già registrati non ottengono un certificato ACME in, a meno che non si registrino nuovamente in Microsoft Intune. ACME è supportato nei dispositivi che eseguono:
iOS 16.0 o versione successiva
iPadOS 16.1 o versione successiva
Problemi noti e limitazioni
Intune registrazione con la registrazione del dispositivo Apple presenta i problemi noti e le limitazioni seguenti.
A causa delle restrizioni di Apple, gli utenti di dispositivi che passano attraverso la registrazione dei dispositivi basata sul Web devono scaricare il profilo di gestione in Safari.
Proprio come Portale aziendale registrazione, una volta scaricato il profilo di gestione, gli utenti hanno un periodo di tempo limitato per passare all'app Impostazioni e installare il profilo. Se l'attesa è troppo lunga, è necessario scaricare di nuovo il profilo di gestione per continuare.
Gli utenti del dispositivo potrebbero non essere in grado di accedere alle app di lavoro se provano ad accedere al dispositivo appena registrato mentre Microsoft Authenticator sta ancora provando a eseguire la distribuzione. Gli utenti devono attendere alcuni minuti mentre Authenticator raggiunge il servizio Intune e quindi provare di nuovo ad accedere all'app di lavoro.
La registrazione dei dispositivi basata sul Web può essere usata senza registrazione JIT. È consigliabile usare la versione Web di Portale aziendale anziché Portale aziendale per iOS per distribuire le app nel dispositivo. Se si prevede di usare l'app Portale aziendale per la distribuzione dell'app, MS Authenticator e i criteri di estensione SSO devono essere inviati al dispositivo dopo la registrazione Web.
Esiste un problema noto con la registrazione basata sul Web e la registrazione JIT che impedisce all'app Portale aziendale di riconoscere i dispositivi registrati. Quando un utente tenta di accedere a Portale aziendale per iOS in un dispositivo che non dispone dei criteri di estensione SSO, Portale aziendale non è in grado di determinare che il dispositivo è stato registrato. Stiamo lavorando attivamente per risolvere questo problema. Per evitare questo problema, è consigliabile distribuire i criteri di estensione SSO per registrare i dispositivi. In alternativa, come soluzione temporanea, è possibile distribuire un clip Web per la versione Web di Portale aziendale, come descritto in Procedure consigliate per la registrazione Web.
Passaggi successivi
Scegliere il metodo di registrazione utente da usare per registrare i dispositivi e quindi creare un profilo di registrazione. Per altre informazioni su come abilitare la registrazione basata sul Web nell'interfaccia di amministrazione Microsoft Intune, vedere Configurare la registrazione basata sul Web.
Per altre informazioni sulle funzionalità e le funzionalità di registrazione dei dispositivi Apple, vedere Registrazione dei dispositivi e MDM nel sito Web di supporto apple.