Guida alla distribuzione: gestire i dispositivi iOS/iPadOS in Microsoft Intune

Intune supporta la gestione di dispositivi mobili (MDM, Mobile Device Management) di iPad e iPhone per offrire agli utenti accesso sicuro a posta elettronica, dati e app aziendali. Questa guida fornisce indicazioni specifiche per iOS che consentono di configurare la registrazione e distribuire app e criteri a utenti e dispositivi.

Prerequisiti

Prima di iniziare, completare questi prerequisiti per abilitare la gestione dei dispositivi iOS/iPadOS in Intune. Per informazioni più dettagliate su come configurare, eseguire l'onboarding o passare a Intune, vedere la guida alla distribuzione della configurazione di Intune.

Per informazioni sui ruoli e sulle autorizzazioni di Microsoft Intune, vedere Controllo degli accessi in base al ruolo con Microsoft Intune. I ruoli Amministratore globale di Microsoft Entra e Amministratore di Intune hanno diritti completi all'interno di Microsoft Intune. L'amministratore globale dispone di più autorizzazioni del necessario per molte attività di gestione dei dispositivi in Microsoft Intune. È consigliabile usare il ruolo con privilegi minimi necessario per completare le attività. Ad esempio, il ruolo con privilegi minimi che può completare le attività di registrazione dei dispositivi è Policy and Profile Manager, un ruolo predefinito di Intune.

Pianificare la distribuzione

La guida alla pianificazione Microsoft Intune fornisce indicazioni e consigli utili per determinare gli obiettivi, gli scenari dei casi d'uso e i requisiti. Descrive anche come creare piani per implementazione, comunicazione, supporto, test e convalida.

Creare regole di conformità

Usare i criteri di conformità per definire le regole e le condizioni che gli utenti e i dispositivi devono soddisfare per accedere alle risorse protette. Se si usa l'accesso condizionale, i criteri di accesso condizionale possono usare i risultati della conformità del dispositivo per bloccare l'accesso alle risorse dai dispositivi non conformi. Per una spiegazione dettagliata sui criteri di conformità e su come iniziare, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.

Attività Dettagli
Creare i criteri di conformità Istruzioni dettagliate su come creare e assegnare criteri di conformità a gruppi di utenti e dispositivi.
Aggiungere azioni per la mancata conformità Scegliere cosa accade quando i dispositivi non soddisfano più le condizioni dei criteri di conformità. È possibile aggiungere azioni per la non conformità quando si configurano un criterio di conformità dei dispositivi o in un secondo momento modificando il criterio.
Creare un criterio di accesso condizionale basato su dispositivo o su app Specificare l'app o i servizi da proteggere e definire le condizioni per l'accesso.
Bloccare l'accesso alle app che non usano l'autenticazione moderna Creare criteri di accesso condizionale basati su app per bloccare le app che usano metodi di autenticazione diversi da OAuth2, ad esempio le app che usano l'autenticazione di base e basata su modulo. Prima di bloccare l'accesso, tuttavia, accedere a Microsoft Entra ID ed esaminare il report attività sui metodi di autenticazione per verificare se gli utenti usano l'autenticazione di base per accedere agli elementi essenziali di cui si è dimenticato o che non sono a conoscenza. Ad esempio, elementi come i chioschi del calendario della sala riunioni usano l'autenticazione di base.

Configurare la sicurezza degli endpoint

Usare le funzionalità di sicurezza degli endpoint di Intune per configurare la sicurezza dei dispositivi e gestire le attività di sicurezza per i dispositivi a rischio.

Attività Dettagli
Gestire i dispositivi con le funzionalità di sicurezza degli endpoint Usare le impostazioni di sicurezza degli endpoint in Intune per gestire in modo efficace la sicurezza dei dispositivi e correggere i problemi per i dispositivi.
abilitare il connettore MTD (Mobile Threat Defense) per i dispositivi non registrati Abilitare la connessione MTD in Intune in modo che le app dei partner MTD possano usare Intune e i criteri. Se non si usa Microsoft Defender per endpoint, è consigliabile abilitare il connettore in modo da poter usare un'altra soluzione mobile di difesa dalle minacce.
Creare criterio di protezione delle app MTD Creare criteri di protezione delle app di Intune che valutano i rischi e limitano l'accesso aziendale di un dispositivo in base al livello di minaccia.
Aggiungere app MTD ai dispositivi non registrati Rendere disponibili le app MTD agli utenti dell'organizzazione e configurare Microsoft Authenticator per iOS/iPadOS.
Usare Accesso condizionale per limitare l'accesso a Microsoft Tunnel Usare i criteri di accesso condizionale per controllare l'accesso del dispositivo al gateway VPN di Microsoft Tunnel.

Configurare le impostazioni del dispositivo

Usare Microsoft Intune per abilitare o disabilitare le impostazioni e le funzionalità nei dispositivi iOS/iPadOS. Per configurare e applicare queste impostazioni, creare un profilo di configurazione del dispositivo e quindi assegnare il profilo ai gruppi dell'organizzazione. I dispositivi ricevono il profilo dopo la registrazione.

Attività Dettagli
Creare un profilo di dispositivo in Microsoft Intune Informazioni sui diversi tipi di profili di dispositivo che è possibile creare per l'organizzazione.
Configurare le funzionalità del dispositivo Configurare caratteristiche e funzionalità comuni di iOS/iPadOS per un contesto aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle funzionalità del dispositivo .
Configurare il profilo Wi-Fi Questo profilo consente alle persone di trovare e connettersi alla rete Wi-Fi dell'organizzazione. Per una descrizione delle impostazioni in quest'area, vedi la guida di riferimento alle impostazioni Wi-Fi.
Configurare il profilo VPN Configurare un'opzione VPN sicura, ad esempio Microsoft Tunnel, per le persone che si connettono alla rete dell'organizzazione. È anche possibile creare un criterio VPN per app per richiedere agli utenti di accedere a determinate app tramite una connessione VPN. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni VPN.
Configurare il profilo di posta elettronica Configurare le impostazioni di posta elettronica in modo che gli utenti possano connettersi a un server di posta elettronica e accedere alla posta elettronica aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in quest'area, vedere il riferimento alle impostazioni di posta elettronica.
Limitare le funzionalità del dispositivo Proteggi gli utenti da accessi non autorizzati e distrazioni limitando le funzionalità dei dispositivi che possono usare al lavoro o a scuola. Per una descrizione delle impostazioni in quest'area, vedi il riferimento alle restrizioni del dispositivo.
Configurare profili personalizzati Aggiungere e assegnare le impostazioni e le funzionalità del dispositivo che non sono integrate in Intune.
Personalizzare l'esperienza di personalizzazione e registrazione Personalizza l'esperienza dell'app Portale aziendale Intune e Microsoft Intune con le parole, la personalizzazione, le preferenze dello schermo e le informazioni di contatto dell'organizzazione.
Configurare i criteri di aggiornamento software Pianificare gli aggiornamenti automatici del sistema operativo e le installazioni per i dispositivi iOS/iPadOS con supervisione.

Configurare metodi di autenticazione sicuri

Configurare i metodi di autenticazione in Intune per assicurarsi che solo gli utenti autorizzati accedano alle risorse interne. Intune supporta l'autenticazione a più fattori, i certificati e le credenziali derivate. I certificati possono essere usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.

Attività Dettagli
Richiedere l'autenticazione a più fattori (MFA) Richiedere agli utenti di fornire due forme di credenziali al momento della registrazione.
Creare un profilo certificato attendibile Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. Il profilo certificato attendibile distribuisce il certificato radice attendibile ai dispositivi e agli utenti usando certificati importati SCEP, PKCS e PKCS.
usare certificati SCEP con in Intune Informazioni su cosa è necessario per usare i certificati SCEP con Intune e configurare l'infrastruttura necessaria. Successivamente, è possibile creare un profilo certificato SCEP o configurare un'autorità di certificazione di terze parti con SCEP.
Usare certificati PKCS con Intune Configurare l'infrastruttura necessaria (ad esempio i connettori di certificato locali), esportare un certificato PKCS e aggiungere il certificato a un profilo di configurazione del dispositivo Intune.
Usare i certificati PKCS importati con Intune Configurare i certificati PKCS importati, che consentono di configurare e usare S/MIME per crittografare la posta elettronica.
Configurare un’emittente di credenziali derivate Effettuare il provisioning di dispositivi iOS/iPadOS con certificati derivati dalle smart card utente.

Distribuire le app

Quando si configurano le app e i criteri delle app, considerare i requisiti dell'organizzazione, ad esempio le piattaforme che supporterai, le attività che gli utenti devono eseguire, il tipo di app necessario per completare tali attività e infine i gruppi che necessitano di tali app. È possibile usare Intune per gestire l'intero dispositivo (incluse le app) o usare Intune solo per gestire le app.

Attività Dettagli
Aggiungere app dello Store Aggiungere app iOS/iPadOS dal App Store a Intune e assegnarle ai gruppi.
Aggiungere app Web Aggiungere app Web a Intune e assegnarle ai gruppi.
Aggiungere app predefinite Aggiungere app predefinite a Intune e assegnarle ai gruppi.
Aggiungere app line-of-business Aggiungere app line-of-business (LOB) iOS/iPadOS a Intune e assegnarle ai gruppi.
Assegnare app ai gruppi Assegnare app a utenti e dispositivi.
Includere ed escludere assegnazioni di app Controllare l'accesso e la disponibilità a un'app includendo ed escludendo i gruppi selezionati dall'assegnazione.
Gestire le app iOS/iPadOS acquistate tramite Apple Business Manager Sincronizzare, gestire e assegnare le app acquistate tramite Apple Business Manager.
Gestire eBook iOS/iPadOS acquistati tramite Apple Business Manager Sincronizzare, gestire e assegnare i libri acquistati tramite Apple Business Manager.
Creare criterio di protezione delle app iOS/iPadOS Mantenere i dati dell'organizzazione contenuti all'interno di app gestite come Outlook e Word. Per informazioni dettagliate su ogni impostazione, vedere impostazioni dei criteri di protezione delle app iOS/iPadOS.
Creare un profilo di provisioning dell'app Impedire la scadenza dei certificati delle app assegnando in modo proattivo nuovi profili di provisioning ai dispositivi con app prossime alla scadenza.
Creare criteri di configurazione delle app Applicare le impostazioni di configurazione personalizzate alle app iOS/iPadOS nei dispositivi registrati. È anche possibile applicare questi tipi di criteri alle app gestite senza registrazione del dispositivo.
Configurare Microsoft Edge Usare i criteri di protezione e di configurazione delle app di Intune con Microsoft Edge per iOS/iPadOS per garantire che l'accesso ai siti Web aziendali venga eseguito con misure di sicurezza applicate.
Configurare le app Microsoft Office Usare i criteri di configurazione e di protezione delle app di Intune con le app di Office per garantire l'accesso ai file aziendali con misure di sicurezza.
Configurare Microsoft Teams Usare i criteri di configurazione e protezione delle app di Intune con Teams per garantire l'accesso alle esperienze del team di collaborazione con misure di sicurezza.
Configurare Microsoft Outlook Usare i criteri di configurazione e protezione delle app di Intune con Outlook per garantire l'accesso alla posta elettronica e ai calendari aziendali con misure di sicurezza.

Registrare i dispositivi

La registrazione dei dispositivi consente loro di ricevere i criteri creati, in modo che i gruppi di utenti e i gruppi di dispositivi di Microsoft Entra siano pronti.

Per informazioni su ogni metodo di registrazione e su come sceglierne uno adatto all'organizzazione, vedere la guida alla registrazione dei dispositivi iOS/iPadOS per Microsoft Intune.

Attività Dettagli
Configurare la registrazione automatica dei dispositivi (ADE) di Apple in Intune Configurare un'esperienza di registrazione predefinita per i dispositivi di proprietà dell'azienda acquistati tramite Apple School Manager o Apple Business Manager. Per una procedura dettagliata di questo processo, vedere Esercitazione: Usare le funzionalità Corporate Device Enrollment di Apple in Apple Business Manager (ABM) per registrare i dispositivi iOS/iPadOS
Configurare Apple School Manager in Intune Configurare Intune per registrare i dispositivi acquistati tramite il programma Apple School Manager.
Configurare la registrazione di dispositivi iOS con Apple Configurator Creare un profilo di Apple Configurator per registrare i dispositivi di proprietà dell'azienda (senza affinità utente) tramite la registrazione diretta; o per registrare dispositivi cancellati o nuovi (con affinità utente) tramite Assistente configurazione. Sarà necessario esportare il profilo di Apple Configurator da Intune, che richiede una connessione USB a un computer Mac che esegue Apple Configurator.
Identificare i dispositivi di proprietà dell'azienda Assegnare lo stato di proprietà dell'azienda ai dispositivi per abilitare più funzionalità di gestione e identificazione in Intune. Lo stato di proprietà dell'azienda non può essere assegnato ai dispositivi registrati tramite Apple Business Manager.
Configurare la registrazione utente apple Creare un profilo di registrazione utente per distribuire l'esperienza di registrazione utente Apple ai dispositivi usando un ID Apple gestito.
Configurare dispositivi iPad condivisi Configurare i dispositivi in modo che possano essere usati da più persone (il tipo di configurazione visualizzato in una raccolta o in un ambiente didattico).
Dispositivi di backup e ripristino Eseguire il backup e il ripristino di un dispositivo per prepararlo per la registrazione o la migrazione in Intune, ad esempio durante la configurazione della registrazione automatica dei dispositivi.
Modificare la proprietà del dispositivo Dopo aver registrato un dispositivo, è possibile modificarne l'etichetta di proprietà in Intune in proprietà aziendale o personale. Questa modifica il modo in cui è possibile gestire il dispositivo.
Risolvere i problemi di registrazione Risolvere e trovare le soluzioni ai problemi che si verificano durante la registrazione.

Eseguire azioni remote

Dopo aver configurato i dispositivi, è possibile usare le azioni remote in Intune per gestire e risolvere i problemi dei dispositivi a distanza. La disponibilità varia in base alla piattaforma del dispositivo. Se un'azione è assente o disabilitata nel portale, non è supportata nel dispositivo.

Attività Dettagli
Eseguire un'azione remota nei dispositivi Informazioni su come eseguire il drill-down e gestire e risolvere i problemi dei singoli dispositivi in Intune in remoto. Questo articolo elenca tutte le azioni remote disponibili in Intune e i collegamenti a tali procedure.
Usare TeamViewer per gestire da remoto i dispositivi Intune Configurare TeamViewer in Intune e informazioni su come amministrare in remoto un dispositivo.
Correggere le vulnerabilità identificate da Microsoft Defender per endpoint Integrare Intune con Microsoft Defender per endpoint per sfruttare la gestione delle minacce e delle vulnerabilità di Defender per endpoint e usare Intune per correggere le vulnerabilità degli endpoint identificate dalla funzionalità di gestione delle vulnerabilità di Defender.

Passaggi successivi

Vedere queste esercitazioni sulla registrazione per informazioni su come eseguire alcune delle attività principali in Intune. Le esercitazioni sono un contenuto di 100 – 200 livelli per gli utenti che non hanno esperienza in Intune o uno scenario specifico.

Per la versione Android di questa guida, vedere Guida alla distribuzione: gestire i dispositivi Android in Microsoft Intune.