Registrazione MDM di dispositivi Windows
Nel mondo cloud di oggi, i reparti IT aziendali vogliono sempre più consentire agli utenti di usare i propri dispositivi o anche scegliere e acquistare dispositivi di proprietà dell'azienda. La connessione dei dispositivi al lavoro semplifica l'accesso alle risorse dell'organizzazione, ad esempio app, rete aziendale e posta elettronica.
Nota
Quando si connette il dispositivo usando la registrazione MDM (Mobile Device Management), l'organizzazione può applicare determinati criteri nel dispositivo.
Connettere dispositivi Windows di proprietà dell'azienda
È possibile connettere i dispositivi di proprietà dell'azienda al funzionamento aggiungendo il dispositivo a un dominio di Active Directory o a un dominio di Microsoft Entra. Windows non richiede un account Microsoft personale nei dispositivi aggiunti a Microsoft Entra ID o a un dominio Active Directory locale.
Nota
Per i dispositivi aggiunti ad Active Directory locale, vedere Registrazione di Criteri di gruppo.
Connettere il dispositivo a un dominio Microsoft Entra (aggiungere Microsoft Entra ID)
Tutti i dispositivi Windows possono essere connessi a un dominio di Microsoft Entra. Questi dispositivi possono essere connessi durante la configurazione guidata. Inoltre, i dispositivi desktop possono essere connessi a un dominio di Microsoft Entra usando l'app Impostazioni.
Esperienza predefinita
Per aggiungere un dominio:
Selezionare L'azienda o l'istituto di istruzione è proprietario, quindi selezionare Avanti.
Selezionare Partecipa a Microsoft Entra ID e quindi selezionare Avanti.
Digitare il nome utente di Microsoft Entra. Questo nome utente è l'indirizzo di posta elettronica usato per accedere a Microsoft Office 365 e a servizi simili.
Se il tenant è solo cloud, sincronizzazione dell'hash delle password o tenant di autenticazione pass-through, questa pagina cambia per mostrare la personalizzazione personalizzata dell'organizzazione ed è possibile immettere la password direttamente in questa pagina. Se il tenant fa parte di un dominio federato, si viene reindirizzati al server federativo locale dell'organizzazione, ad esempio Active Directory Federation Services (AD FS) per l'autenticazione.
In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.
Se il tenant di Microsoft Entra ha configurato la registrazione automatica, anche il dispositivo viene registrato in MDM durante questo flusso. Per altre informazioni, vedere questi passaggi. Se il tenant non è configurato per la registrazione automatica, è necessario passare attraverso il flusso di registrazione una seconda volta per connettere il dispositivo a MDM. Dopo aver completato il flusso, il dispositivo verrà connesso al dominio Microsoft Entra dell'organizzazione.
Usare l'app Impostazioni
Per creare un account locale e connettere il dispositivo:
Avviare l'app Impostazioni.
Passare quindi a Account.
Passare ad Accesso all'azienda o all'istituto di istruzione.
Selezionare Connetti.
In Azioni alternative selezionare Aggiungi questo dispositivo a Microsoft Entra ID.
Digitare il nome utente di Microsoft Entra. Questo nome utente è l'indirizzo di posta elettronica usato per accedere a Office 365 e a servizi simili.
Se il tenant è solo cloud, sincronizzazione dell'hash delle password o tenant di autenticazione pass-through, questa pagina cambia per mostrare la personalizzazione personalizzata dell'organizzazione ed è possibile immettere la password direttamente in questa pagina. Se il tenant fa parte di un dominio federato, si viene reindirizzati al server federativo locale dell'organizzazione, ad esempio AD FS, per l'autenticazione.
In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.
Se il tenant di Microsoft Entra ha configurato la registrazione automatica, anche il dispositivo viene registrato in MDM durante questo flusso. Per altre informazioni, vedi questo post di blog. Se il tenant non è configurato per la registrazione automatica, è necessario passare attraverso il flusso di registrazione una seconda volta per connettere il dispositivo a MDM.
Dopo aver raggiunto la fine del flusso, il dispositivo deve essere connesso al dominio Microsoft Entra dell'organizzazione. È ora possibile disconnettersi dall'account corrente e accedere usando il nome utente di Microsoft Entra.
Assistenza per la connessione a un dominio Microsoft Entra
Esistono alcune istanze in cui il dispositivo non può essere connesso a un dominio di Microsoft Entra.
| Problema di connessione | Descrizione |
|---|---|
| Il dispositivo è connesso a un dominio di Microsoft Entra. | Il dispositivo può essere connesso solo a un singolo dominio di Microsoft Entra alla volta. |
| Il dispositivo è già connesso a un dominio di Active Directory. | Il dispositivo può essere connesso a un dominio di Microsoft Entra o a un dominio di Active Directory. Non è possibile connettersi a entrambi contemporaneamente. |
| Il dispositivo ha già un utente connesso a un account aziendale. | È possibile connettersi a un dominio di Microsoft Entra o connettersi a un account aziendale o dell'istituto di istruzione. Non è possibile connettersi a entrambi contemporaneamente. |
| L'utente ha eseguito l'accesso come utente standard. | Il dispositivo può essere connesso a un dominio di Microsoft Entra solo se si è connessi come utente amministratore. Per continuare, è necessario passare a un account amministratore. |
| Il dispositivo è già gestito da MDM. | Il flusso di connessione a Microsoft Entra ID tenta di registrare il dispositivo in MDM se il tenant di Microsoft Entra ha un endpoint MDM preconfigurato. Il dispositivo deve essere annullato da MDM per poter connettersi a Microsoft Entra ID in questo caso. |
| Il dispositivo esegue l'edizione Home. | Questa funzionalità non è disponibile in Windows Home Edition, quindi non è possibile connettersi a un dominio di Microsoft Entra. Per continuare, è necessario eseguire l'aggiornamento all'edizione Pro, Enterprise o Education. |
Connettere dispositivi di proprietà personale
I dispositivi di proprietà personale, noti anche come BRING YOUR OWN DEVICE (BYOD), possono essere connessi a un account aziendale o dell'istituto di istruzione o a MDM. I dispositivi Windows non richiedono un account Microsoft personale nei dispositivi per connettersi all'azienda o all'istituto di istruzione.
Tutti i dispositivi Windows possono essere connessi a un account aziendale o dell'istituto di istruzione. È possibile connettersi a un account aziendale o dell'istituto di istruzione tramite l'app Impostazioni o una delle numerose app UWP (Universal Windows Platform), ad esempio le app di Office universali.
Registrare il dispositivo in Microsoft Entra ID e registrarsi in MDM
Per creare un account locale e connettere il dispositivo:
Avviare l'app Impostazioni e quindi selezionare Account>Avvia>impostazioni>Account.
Passare ad Accesso all'azienda o all'istituto di istruzione.
Selezionare Connetti.
Digitare il nome utente di Microsoft Entra. Questo nome utente è l'indirizzo di posta elettronica usato per accedere a Office 365 e a servizi simili.
Se il tenant è solo cloud, sincronizzazione dell'hash delle password o tenant di autenticazione pass-through, questa pagina cambia per mostrare la personalizzazione personalizzata dell'organizzazione e può immettere la password direttamente nella pagina. Se il tenant fa parte di un dominio federato, si viene reindirizzati al server federativo locale dell'organizzazione, ad esempio AD FS, per l'autenticazione.
In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.
Se il tenant di Microsoft Entra ha configurato la registrazione automatica, anche il dispositivo viene registrato in MDM durante questo flusso. Per altre informazioni, vedi questo post di blog. Se il tenant non è configurato per la registrazione automatica, è necessario passare attraverso il flusso di registrazione una seconda volta per connettere il dispositivo a MDM.
È possibile visualizzare la pagina di stato che mostra lo stato di avanzamento della configurazione del dispositivo.
Dopo aver completato il flusso, l'account Microsoft verrà connesso all'account aziendale o dell'istituto di istruzione.
Assistenza per la connessione di dispositivi di proprietà personale
Esistono alcune istanze in cui il dispositivo potrebbe non essere in grado di connettersi al lavoro.
| Messaggio di errore | Descrizione |
|---|---|
| Il dispositivo è già connesso al cloud dell'organizzazione. | Il dispositivo è già connesso a Microsoft Entra ID, a un account aziendale o dell'istituto di istruzione o a un dominio di Active Directory. |
| Non è stato possibile trovare l'identità nel cloud dell'organizzazione. | Il nome utente immesso non è stato trovato nel tenant di Microsoft Entra. |
| Il dispositivo è già gestito da un'organizzazione. | Il dispositivo è già gestito da MDM o Microsoft Configuration Manager. |
| Non si dispone dei privilegi giusti per eseguire questa operazione. Rivolgersi all'amministratore. | Non è possibile registrare il dispositivo in MDM come utente standard. È necessario disporre di un account amministratore. |
| Non è stato possibile individuare automaticamente un endpoint di gestione corrispondente al nome utente immesso. Controllare il nome utente e riprovare. Se si conosce l'URL dell'endpoint di gestione, immetterlo. | È necessario specificare l'URL del server per MDM o controllare l'ortografia del nome utente immesso. |
Registra solo nella gestione dei dispositivi
Tutti i dispositivi Windows possono essere connessi a MDM. È possibile connettersi a un MDM tramite l'app Impostazioni. Per creare un account locale e connettere il dispositivo:
Avviare l'app Impostazioni.
Passare quindi a Account.
Passare ad Accesso all'azienda o all'istituto di istruzione.
Selezionare il collegamento Registra solo nella gestione dei dispositivi .
Digitare l'indirizzo di posta elettronica aziendale.
Se il dispositivo trova un endpoint che supporta solo l'autenticazione locale, questa pagina cambia e richiede la password. Se il dispositivo trova un endpoint MDM che supporta l'autenticazione federata, viene visualizzata una nuova finestra che richiede altre informazioni sull'autenticazione.
In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione. È possibile visualizzare lo stato di avanzamento della registrazione sullo schermo.
Dopo aver completato il flusso, il dispositivo viene connesso alla MDM dell'organizzazione.
Connettere il dispositivo Windows per il funzionamento usando un collegamento diretto
I dispositivi Windows possono essere connessi al lavoro usando un collegamento diretto. Gli utenti possono selezionare o aprire un collegamento in un formato specifico da qualsiasi posizione in Windows ed essere indirizzati alla nuova esperienza di registrazione.
Il collegamento diretto usato per connettere il dispositivo al funzionamento usa il formato seguente.
ms-device-enrollment:?mode={mode_name}:
| Parametro | Descrizione | Valore supportato per Windows |
|---|---|---|
| mode | Descrive la modalità eseguita nell'app di registrazione. | Gestione dei dispositivi mobili (MDM), aggiunta dell'account aziendale (AWA) e aggiunta a Microsoft Entra. |
| nomeutente | Specifica l'indirizzo di posta elettronica o l'UPN dell'utente che deve essere registrato in MDM. | stringa |
| nomeserver | Specifica l'URL del server MDM usato per registrare il dispositivo. | stringa |
| accesstoken | Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato come token per convalidare la richiesta di registrazione. | stringa |
| deviceidentifier | Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato per passare un identificatore di dispositivo univoco. | GUID |
| tenantidentifier | Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato per identificare il tenant a cui appartiene il dispositivo o l'utente. | GUID o stringa |
| proprietà | Parametro personalizzato per i server MDM da usare come si ritiene opportuno. In genere, il valore di questo parametro può essere usato per determinare se il dispositivo è di proprietà byod o corp. | 1, 2 o 3. Se "1" significa che la proprietà è sconosciuta, "2" significa che il dispositivo è di proprietà personale e "3" significa che il dispositivo è di proprietà dell'azienda |
Connettersi a MDM usando un collegamento diretto
Nota
I collegamenti diretti funzionano solo con i browser Internet Explorer o Microsoft Edge. Esempi di URI che possono essere usati per connettersi a MDM usando un collegamento diretto:
- ms-device-enrollment:?mode=mdm
-
ms-device-enrollment:?mode=mdm&username=
someone@example.com&servername=https://example.server.com
Per connettere i dispositivi a MDM tramite collegamenti diretti:
Creare un collegamento per avviare l'app di registrazione predefinita usando l'URI ms-device-enrollment:?mode=mdm e il testo visualizzato descrittivo, ad esempio Fare clic qui per connettere Windows al lavoro:
Questo collegamento avvia il flusso equivalente all'opzione Registra nella gestione dei dispositivi.
Gli amministratori IT possono aggiungere questo collegamento a un messaggio di posta elettronica di benvenuto che gli utenti possono selezionare per la registrazione in MDM.
Nota
Assicurarsi che i filtri di posta elettronica non blocchino i collegamenti diretti.
Gli amministratori IT possono anche aggiungere questo collegamento a una pagina Web interna che gli utenti fanno riferimento alle istruzioni di registrazione.
Dopo aver selezionato il collegamento o eseguito, Windows avvia l'app di registrazione in una modalità speciale che consente solo le registrazioni MDM (in modo simile all'opzione Registra nella gestione dei dispositivi).
Digitare l'indirizzo di posta elettronica aziendale.
Se il dispositivo trova un endpoint che supporta solo l'autenticazione locale, questa pagina cambia e richiede la password. Se il dispositivo trova un endpoint MDM che supporta l'autenticazione federata, viene visualizzata una nuova finestra che richiede altre informazioni di autenticazione. In base ai criteri IT, a questo punto potrebbe anche essere richiesto di fornire un secondo fattore di autenticazione.
Dopo aver completato il flusso, il dispositivo verrà connesso alla MDM dell'organizzazione.
Gestire le connessioni
Per gestire le connessioni aziendali o dell'istituto di istruzione, selezionare Impostazioni>Account>Accesso all'azienda o all'istituto di istruzione. Le connessioni vengono visualizzate in questa pagina e la selezione di una consente di espandere le opzioni per tale connessione.
Info
Il pulsante Info è disponibile nelle connessioni aziendali o dell'istituto di istruzione che coinvolgono MDM. Questo pulsante è incluso negli scenari seguenti:
- Connessione del dispositivo a un dominio Microsoft Entra con registrazione automatica in MDM configurata.
- Connessione del dispositivo a un account aziendale o dell'istituto di istruzione con registrazione automatica in MDM configurata.
- Connessione del dispositivo a MDM.
Selezionando il pulsante Info viene aperta una nuova pagina nell'app Impostazioni che fornisce informazioni dettagliate sulla connessione MDM. È possibile visualizzare le informazioni di supporto dell'organizzazione (se configurate) in questa pagina. È anche possibile avviare una sessione di sincronizzazione che forza il dispositivo a comunicare con il server MDM e a recuperare eventuali aggiornamenti ai criteri, se necessario.
Selezionando il pulsante Info viene visualizzato un elenco di criteri e app line-of-business installate dall'organizzazione. Ecco uno screenshot di esempio.
Disconnetti
Il pulsante Disconnetti è disponibile in tutte le connessioni di lavoro. In genere, se si seleziona il pulsante Disconnetti , la connessione viene rimossa dal dispositivo. Esistono alcune eccezioni a questa funzionalità:
- I dispositivi che applicano i criteri AllowManualMDMUnenrollment non consentono agli utenti di rimuovere le registrazioni MDM. Queste connessioni devono essere rimosse da un comando di annullamento della registrazione avviato dal server.
- Nei dispositivi mobili non è possibile disconnettersi da Microsoft Entra ID. Queste connessioni possono essere rimosse solo cancellando il dispositivo.
Warning
La disconnessione potrebbe comportare la perdita di dati nel dispositivo.
Raccolta dei log di diagnostica
È possibile raccogliere i log di diagnostica relativi alle connessioni di lavoro passando a Impostazioni>Account>di accesso all'azienda o all'istituto di istruzione e quindi selezionando il collegamento Esporta i log di gestione in Impostazioni correlate. Selezionare quindi Esporta e seguire il percorso visualizzato per recuperare i file di log di gestione.
È possibile ottenere il report di diagnostica avanzato passando a Impostazioni>Account>Accesso all'azienda o all'istituto di istruzione e selezionando il pulsante Info . Nella parte inferiore della pagina Impostazioni viene visualizzato il pulsante per creare un report.
Per altre informazioni, vedere Raccogliere i log MDM.