Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a macOS
Questo articolo descrive come creare un profilo di registrazione per la registrazione automatica dei dispositivi macOS in Microsoft Intune. Per una panoramica di AdE e della configurazione dei prerequisiti, vedere Panoramica della registrazione automatica dei dispositivi Apple per macOS.
Nota
La procedura descritta in questo articolo è la stessa indipendentemente dal fatto che si usi Apple Business Manager o Apple School Manager. Per brevità, si fa riferimento ad Apple Business Manager solo per tutta la procedura descritta in questo articolo, ad eccezione dei casi in cui è necessario un chiarimento.
Certificati
Questo tipo di registrazione supporta il protocollo ACME (Automated Certificate Management Environment). ACME è supportato in macOS 13.1 o versione successiva. I dispositivi già registrati non ricevono un certificato ACME a meno che non vengano registrati di nuovo. Per informazioni dettagliate, vedere Certificati nella panoramica di AdE.
Prerequisiti
Prima di creare il profilo di registrazione, è necessario disporre di:
- Accesso al portale di Apple Business Manager o al portale apple school manager.
- Un token Apple attivo (file con estensione p7m). Per i passaggi, vedere Configurare un token ADE macOS.
- Un certificato push MDM Apple in Intune.
- Dispositivi nuovi o cancellati acquistati tramite Apple Business Manager o Apple School Manager.
Consiglio
La registrazione automatica dei dispositivi applica le configurazioni del dispositivo che un utente del dispositivo potrebbe non essere in grado di rimuovere. Cancellare tutti i dispositivi prima della registrazione per restituirli a uno stato predefinito.
Distribuire l'app Portale aziendale
Quando si registrano dispositivi macOS usando ADE con affinità utente e Assistente configurazione con l'autenticazione moderna, gli utenti devono accedere all'app Portale aziendale con le credenziali Microsoft Entra per completare la registrazione del dispositivo in Microsoft Entra ID. Per aggiungere l'app Portale aziendale ai dispositivi macOS, vedere Aggiungere il Portale aziendale per l'app macOS.
Creare un profilo di registrazione
Creare un profilo di registrazione automatica del dispositivo nell'interfaccia di amministrazione. Il profilo definisce l'esperienza di registrazione per i dispositivi Mac dell'organizzazione e applica i criteri e le impostazioni di registrazione ai dispositivi di registrazione. Il profilo viene distribuito ai dispositivi assegnati in modalità over-the-air.
Al termine di questa procedura, è possibile assegnare questo profilo a Microsoft Entra gruppi di dispositivi.
Nell'interfaccia di amministrazione passare a Registrazione dispositivi>.
Selezionare la scheda Apple .
In Metodi di registrazione in blocco selezionare Token del programma di registrazione.
Selezionare un token del programma di registrazione.
Selezionare Profili>Crea profilo>macOS.
Importante
È necessario assegnare un criterio di registrazione ai dispositivi prima che i dispositivi diventino attivi. È consigliabile impostare i criteri di registrazione predefiniti il prima possibile in modo che, man mano che i dispositivi vengono sincronizzati da Apple Business Manager o Apple School Manager e quindi attivati, possano essere registrati correttamente tramite la registrazione automatica dei dispositivi. Se a un dispositivo sincronizzato da Apple non viene assegnato un criterio di registrazione e qualcuno lo attiva per configurarlo, la registrazione non riesce.
Per Informazioni di base immettere un nome e una descrizione per il profilo in modo che sia possibile distinguerlo da altri profili di registrazione. Questi dettagli non sono visibili agli utenti del dispositivo.
Consiglio
È possibile usare il campo del nome per creare un gruppo dinamico in Microsoft Entra ID e assegnare automaticamente i dispositivi al profilo di registrazione. Usare il nome del profilo per definire il parametro enrollmentProfileName . Per altre informazioni, vedere Microsoft Entra gruppi dinamici.
Seleziona Avanti.
Nella pagina Impostazioni di gestione configurare l'affinità utente. L'affinità utente determina se i dispositivi vengono registrati con o senza un utente assegnato. Le opzioni disponibili sono:
Registra senza affinità utente: registra i dispositivi che non sono associati a un singolo utente. Scegliere questa opzione per i dispositivi condivisi e i dispositivi che non devono accedere ai dati utente locali. L'app Portale aziendale non funziona in questi tipi di dispositivi. La registrazione senza affinità utente viene anche definita registrazione senza utente.
Registra con affinità utente: registra i dispositivi associati a un utente assegnato. Scegliere questa opzione per i dispositivi aziendali che appartengono agli utenti e se si vuole richiedere agli utenti di avere l'app Portale aziendale per installare le app. L'autenticazione a più fattori (MFA) è disponibile con questa opzione. La registrazione con affinità utente viene anche definita registrazione con un utente.
L'opzione 2 richiede più configurazioni. Gli utenti devono autenticarsi prima della registrazione per confermare la propria identità. Selezionare uno dei metodi di autenticazione seguenti:
Assistente configurazione con autenticazione moderna (scelta consigliata): questo metodo richiede agli utenti di completare tutte le schermate di Assistente configurazione e accedere all'app Portale aziendale con le credenziali di Microsoft Entra prima di poter accedere alle risorse. Dopo aver eseguito l'accesso a Portale aziendale, il dispositivo:
- Esegue la registrazione con Microsoft Entra ID.
- Viene aggiunto al record del dispositivo dell'utente in Microsoft Entra ID.
- Può essere valutato per la conformità del dispositivo.
- Ottiene l'accesso alle risorse protette dall'accesso condizionale.
Se l'utente non accede al Portale aziendale per completare la registrazione, verrà reindirizzato all'app Portale aziendale ogni volta che tenta di aprire un'app gestita con la protezione dell'accesso condizionale.
I dispositivi che eseguono macOS 10.15 e versioni successive possono usare questo metodo. I dispositivi macOS meno recenti usano il metodo Legacy Setup Assistant. Per altre informazioni su come ottenere l'app Portale aziendale agli utenti Mac, vedere Aggiungere il Portale aziendale per l'app macOS.
Importante
È consigliabile usare Assistente configurazione con l'autenticazione moderna per i dispositivi Apple per scenari ade (registrazione automatica dei dispositivi) con affinità utente-dispositivo. Anche se l'uso dell'autenticazione legacy rimane disponibile, non è consigliabile usarlo.
- Assistente configurazione (legacy) ( non più consigliato): usare l'Assistente configurazione legacy se si vuole che gli utenti sperimentino la tipica esperienza predefinita per i prodotti Apple. Questo metodo installa le impostazioni preconfigurate standard quando il dispositivo si registra con la gestione Intune. Quando si utilizza Active Directory Federation Services e si usa l’Assistente installazione per l'autenticazione è richiesto un nome utente/endpoint misto WS-Trust 1.3. Per altre informazioni sul recupero dell'endpoint ADFS, vedere Get-ADfsEndpoint.
La configurazione finale await consente un'esperienza bloccata alla fine dell'Assistente configurazione per garantire che i criteri di configurazione del dispositivo più critici vengano installati nel dispositivo. Questa impostazione viene applicata una volta durante l'esperienza di registrazione automatica dei dispositivi Apple predefinita in Assistente configurazione. L'utente del dispositivo non lo sperimenta di nuovo a meno che non registri nuovamente il Mac.
Le opzioni disponibili sono:
Sì: poco prima del caricamento della schermata iniziale, Assistente configurazione viene sospeso e consente Intune il check-in con il dispositivo. L'esperienza utente finale si blocca mentre gli utenti attendono le configurazioni finali. Questa opzione è la configurazione predefinita per i nuovi profili di registrazione.
No: il dispositivo viene rilasciato nella schermata iniziale al termine dell'Assistente configurazione, indipendentemente dallo stato di installazione dei criteri. Gli utenti del dispositivo potrebbero essere in grado di accedere alla schermata iniziale o modificare le impostazioni del dispositivo prima dell'installazione di tutti i criteri. Questa opzione è la configurazione predefinita per i profili di registrazione esistenti.
La quantità di tempo in cui gli utenti vengono mantenuti nella schermata di configurazione finale in attesa varia e dipende dal numero totale di criteri e app assegnati al dispositivo. Gli utenti possono visualizzare il download dei profili di configurazione del dispositivo in Assistente configurazione mentre attendono. Maggiore è il numero di criteri e app assegnati, maggiore sarà il tempo di attesa. Assistente configurazione e Intune non applicano un limite di tempo minimo o massimo durante questa parte dell'installazione. Durante la convalida del prodotto, la maggior parte dei dispositivi testati è stata rilasciata e può accedere alla schermata iniziale entro 15 minuti. Se si abilita questa funzionalità e si lavora con un partner Microsoft o un servizio non Microsoft per eseguire il provisioning dei dispositivi, comunicare loro il potenziale aumento del tempo di provisioning.
L'esperienza bloccata è supportata nei Mac che eseguono macOS 10.11 o versione successiva. Funziona su Mac destinati a profili di registrazione nuovi o esistenti configurati per questi scenari:
- Registrazione tramite Assistente configurazione con l'autenticazione moderna
- Registrazione con Assistente configurazione (legacy)
- Registrazione senza affinità utente-dispositivo
È possibile applicare la registrazione bloccata per impedire agli utenti di annullare la registrazione dei dispositivi da Intune. Selezionare Sì per disabilitare le impostazioni mac in Preferenze di sistema e terminale che consentono agli utenti di rimuovere il profilo di gestione. Dopo la registrazione del dispositivo, non è possibile modificare questa impostazione senza cancellare il dispositivo.
Seleziona Avanti.
Facoltativamente, nella pagina Impostazioni account è possibile configurare l'amministratore locale e gli account utente nei Mac di destinazione.
Quando un dispositivo macOS supportato viene registrato con Intune tramite un profilo di registrazione automatica del dispositivo (ADE) che configura l'amministratore locale, il dispositivo è abilitato per la configurazione dell'account locale macOS con la soluzione LAPS (Microsoft Local Admin Password Solution). Con questa funzionalità, i dispositivi appena registrati ricevono un account amministratore locale univoco con una password amministratore complessa, crittografata e casuale (15 caratteri alfanumerici), che viene anche archiviata e crittografata da Intune. Dopo la registrazione, Intune ruota automaticamente una password di amministratore gestita da LAPS ogni sei mesi per impostazione predefinita e supporta la ricerca e la rotazione manuale della password di amministratore da parte degli amministratori Intune con autorizzazioni sufficienti.
Per informazioni sulla configurazione e la gestione di questa funzionalità, configurare la configurazione dell'account macOS con LAPS.
Le impostazioni seguenti per l'account utente locale sono supportate nei dispositivi che eseguono macOS 12 o versioni successive. Tenere presente che, durante la configurazione dell'account primario, questo account sarà un account amministratore . Avere almeno un account amministratore è un requisito di configurazione mac. Se si configura anche la password dell'amministratore locale tramite questo profilo, vedere l'account amministratore locale nell'articolo Configurare la configurazione dell'account macOS con LAPS e quindi tornare qui.
Le opzioni disponibili sono:
Creare un account utente locale: selezionare Sì per configurare le impostazioni dell'account utente locale per i Mac di destinazione. Selezionare Non configurato per ignorare tutte le configurazioni delle impostazioni dell'account.
Informazioni sull'account di precompilazione: la configurazione predefinita, Non configurata, richiede all'utente del dispositivo di immettere il nome utente e il nome completo dell'account in Assistente configurazione. Per precompilare invece le informazioni sull'account, selezionare Sì. Immettere quindi il nome dell'account primario e il nome completo:
Nome utente dell'account utente locale:
- {{serialNumber}}, ad esempio F4KN99ZUG5V2
- {{partialupn}} - ad esempio, John
- {{managedDeviceName}} - ad esempio, F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} , ad esempio contoso\John
Nome completo dell'account utente locale::
- {{username}} - ad esempio, John@contoso.com
- {{serialNumber}}, ad esempio F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} , ad esempio contoso\John
Limita modifica: la configurazione predefinita è impostata su Sì in modo che gli utenti del dispositivo non possano modificare il nome dell'account e il nome completo configurati. Per consentire agli utenti del dispositivo di modificare il nome dell'account e il nome completo, selezionare Non configurato. Se si usa Assistente configurazione (legacy) solo per registrare i dispositivi che eseguono macOS 10.15 e versioni successive, è possibile prevedere l'esperienza utente finale seguente:
- Sì: la schermata di creazione dell'account in Assistente configurazione non viene mai visualizzata. L'account utente locale viene invece creato automaticamente in base alle altre configurazioni di impostazione e la password viene popolata automaticamente dalla schermata di autenticazione Microsoft Entra. L'utente del dispositivo non può modificare questi campi.
- Non configurata: la schermata dell'account utente locale viene visualizzata all'utente finale in Assistente configurazione e viene popolata con i valori dell'account configurati e la password dalla schermata di autenticazione Microsoft Entra. L'utente del dispositivo può modificare questi campi durante l'Assistente configurazione.
Affinché le impostazioni dell'account funzionino come previsto, il profilo di registrazione deve avere le configurazioni seguenti:
- Affinità utente: selezionare Registra con affinità utente.
- Metodo di autenticazione: selezionare Assistente configurazione con l'autenticazione moderna o Assistente configurazione (legacy).
- Attendere la configurazione finale: selezionare Sì.
Gli account locali dipendono dalla funzionalità di configurazione finale await al momento della creazione. Di conseguenza, se si configurano impostazioni di amministratore locale o account utente, questa impostazione è sempre abilitata. Anche se non si tocca l'impostazione di configurazione finale await, viene sempre abilitata in background e applicata al profilo di registrazione.
Seleziona Avanti.
Nella pagina Assistente configurazione configurare l'esperienza Assistente configurazione.
- Immettere le informazioni del reparto in modo che gli utenti sappiano chi contattare per il supporto:
- Nome reparto: questo nome viene visualizzato quando gli utenti del dispositivo selezionano Informazioni sulla configurazione durante l'attivazione.
- Telefono del reparto: questo numero di telefono viene visualizzato quando gli utenti del dispositivo selezionaNo bisogno di assistenza durante l'attivazione.
- Selezionare le schermate dell'Assistente configurazione che si desidera visualizzare o nascondere durante l'installazione del dispositivo. Per una descrizione di tutte le schermate, vedere Informazioni di riferimento sulla schermata assistente configurazione (in questo articolo). Le opzioni disponibili sono:
- Nascondi: la schermata non viene visualizzata agli utenti durante l'installazione del dispositivo. Dopo la configurazione del dispositivo, l'utente può passare alle impostazioni del dispositivo per configurare la funzionalità.
- Mostra: la schermata viene visualizzata agli utenti durante l'installazione del dispositivo. L'utente può comunque ignorare le schermate che non richiedono un'azione immediata. Dopo la configurazione del dispositivo, l'utente può passare alle impostazioni del dispositivo per configurare la funzionalità.
- Immettere le informazioni del reparto in modo che gli utenti sappiano chi contattare per il supporto:
Seleziona Avanti.
Esaminare il riepilogo delle modifiche e quindi selezionare Crea per completare la creazione del profilo.
Informazioni di riferimento sullo schermo dell'Assistente configurazione
La tabella seguente descrive le schermate dell'Assistente configurazione visualizzate durante la registrazione automatica dei dispositivi per Mac. È possibile visualizzare o nascondere queste schermate nei dispositivi supportati durante la registrazione. Per altre informazioni sul modo in cui ogni schermata di Assistente configurazione influisce sull'esperienza utente, vedere le risorse Apple seguenti:
- Guida alla distribuzione della piattaforma Apple: Gestire l'Assistente configurazione per i dispositivi Apple
- Documentazione per sviluppatori Apple: ShipKeys
| Schermata Assistente configurazione | Cosa accade quando è visibile |
|---|---|
| Servizi di posizione | Mostra il riquadro di configurazione dei servizi di posizione, in cui gli utenti possono abilitare i servizi di posizione nel dispositivo. Per macOS 10.11 e versioni successive. |
| Eseguire il ripristino | Mostra le app e il riquadro di configurazione dei dati. In questa schermata, gli utenti che configurano i dispositivi possono ripristinare o trasferire dati da Backup iCloud. Per macOS 10.9-15.3. Per macOS 15.4 e versioni successive, questa schermata non può essere nascosta e l'utente riceve un avviso dopo la registrazione che non è in grado di trasferire dati da un altro dispositivo perché MDM controlla l'impostazione. |
| ID Apple | Mostra il riquadro di configurazione dell'ID Apple, che consente agli utenti di accedere con il proprio ID Apple e usare iCloud. Per macOS 10.9 e versioni successive. |
| Termini e condizioni | Visualizza il riquadro Termini e condizioni apple e richiede agli utenti di accettarli. Per macOS 10.9 e versioni successive. |
| Touch ID e Face ID | Mostra il riquadro di configurazione biometrica, che consente agli utenti di configurare l'impronta digitale o l'identificazione facciale nei propri dispositivi. Per macOS 10.12.4 e versioni successive. |
| Apple Pay | Mostra il riquadro di configurazione di Apple Pay, che offre agli utenti la possibilità di configurare Apple Pay nei propri dispositivi. Per macOS 10.12.4 e versioni successive. |
| Siri | Mostra il riquadro di configurazione di Siri agli utenti. Per macOS 10.12 e versioni successive. |
| Dati di diagnostica | Mostra il riquadro di diagnostica in cui gli utenti possono acconsentire esplicitamente all'invio di dati di diagnostica ad Apple. Per macOS 10.9 e versioni successive. |
| Visualizza tonalità | Mostra il riquadro di configurazione per il tono di visualizzazione. Questa schermata offre agli utenti la possibilità di attivare la visualizzazione con tono reale. Per macOS 10.13.6 e versioni successive. |
| FileVault | Mostra agli utenti la schermata di crittografia FileVault 2. Per macOS 10.10 e versioni successive. |
| Diagnostica iCloud | Mostra la schermata di Analisi iCloud agli utenti. Per macOS 10.12.4 e versioni successive. |
| Registrazione | Visualizza la schermata di registrazione per gli utenti. Per macOS 10.9 e versioni successive. |
| Archiviazione cloud | Mostra la schermata Documenti e desktop iCloud all'utente. Per macOS 10.13.4 e versioni successive. |
| Aspetto | Mostra il riquadro dell'aspetto in cui gli utenti possono selezionare una modalità di aspetto. Per macOS 10.14 e versioni successive. |
| Tempo davanti allo schermo | Mostra il riquadro di configurazione di macOS Screen Time, una funzionalità che gli utenti possono abilitare per ottenere informazioni dettagliate sullo schermo e sull'attività dell'app e del sito Web. Per macOS 10.15 e versioni successive. |
| Privacy | Mostra il riquadro di configurazione della privacy all'utente. Per macOS 10.13.4 e versioni successive. |
| Accessibilità | Mostra la schermata di configurazione dell'accessibilità all'utente. Se questa schermata è nascosta, l'utente non può usare la funzionalità voice over macOS. Voice Over è supportato nei dispositivi che: - Eseguono macOS 11. - Sono connessi a Internet tramite Ethernet. - Avere un numero di serie in Apple School Manager o Apple Business Manager. |
| Sblocco automatico con Apple Watch | Mostra il riquadro sblocco macOS con Apple Watch, in cui gli utenti possono configurare l'Apple Watch per sbloccare il Mac. Per macOS 12.0 e versioni successive. |
| Condizioni per l'indirizzo | Mostra i termini del riquadro degli indirizzi, che offre agli utenti la possibilità di scegliere come devono essere risolti in tutto il sistema: femminile, maschile o neutro. Questa funzionalità di Apple è disponibile per le lingue selezionate. Per altre informazioni, vedere Change Language & Region settings on Mac (Modifica delle impostazioni della lingua & area nel Mac(apre il sito Web Apple). Per macOS 13.0 e versioni successive. |
| Sfondo | Mostra il riquadro di configurazione dello sfondo macOS Sonoma dopo che i dispositivi hanno completato un aggiornamento software. Se si nasconde questa schermata, i dispositivi ottengono lo sfondo predefinito macOS Sonoma. Per macOS 14.1 e versioni successive. |
| Modalità di blocco | Mostra il riquadro di configurazione della modalità di blocco agli utenti che hanno configurato un ID Apple. Per macOS 14.0 e versioni successive. |
| Intelligence | Mostra il riquadro di configurazione di Apple Intelligence, in cui gli utenti possono configurare le funzionalità di Apple Intelligence. Per macOS 15.0 e versioni successive. |
| App Store | Mostra il riquadro App Store Apple. Per macOS 11.1 e versioni successive. |
| Aggiornamento software | Mostra la schermata di aggiornamento software obbligatoria. Per macOS 15.4 e versioni successive. |
| Impostazioni di privacy aggiuntive | Mostra il riquadro impostazioni di privacy aggiuntive. Per macOS 26.0 e versioni successive. |
| Vetrina del sistema operativo | Mostra il riquadro vetrina del sistema operativo. Per macOS 26.1 e versioni successive. |
| Aggiornamento completato | Mostra il riquadro completo dell'aggiornamento software. Per macOS 26.1 e versioni successive. |
| Introduzione | Mostra il riquadro attività iniziali. Per macOS 15.0 e versioni successive. |
Assegnare un profilo di registrazione ai dispositivi
Assegnare un profilo di registrazione ai dispositivi Apple.
- Tornare ai token del programma di registrazione e selezionare un token.
- Selezionare Dispositivi.
- Scegliere i dispositivi dall'elenco e quindi selezionare Assegna profilo.
- Scegliere un profilo da assegnare e quindi selezionare Assegna.
Facoltativamente, è possibile selezionare un profilo di registrazione predefinito. Il profilo predefinito viene distribuito in tutti i dispositivi di registrazione associati al token.
- Tornare ai token del programma di registrazione e selezionare un token.
- Selezionare Imposta profilo predefinito.
- Scegliere un profilo e quindi selezionare Salva.
Passaggi successivi
- Per sincronizzare i dispositivi, distribuire i dispositivi agli utenti e gestire i token, vedere Gestire i dispositivi e i token macOS ADE.
- Per rinnovare o eliminare il token del programma di registrazione, vedere Configurare un token ade macOS.
- Usare Remote Device Actions in Microsoft Intune per gestire in remoto i Mac registrati.