Aggiunta di un gestore di dispositivi Intune

Modifica online

Configura Microsoft™ Intune come gestore dei dispositivi.

Prima di iniziare

Nota: i tenant globali mtlsidaas per i gestori dispositivo sono ora obsoleti e verranno rimossi dopo marzo 2024. Vai alla sezione Ottenere un nome host personalizzato per richiedere un dominio personalizzato. Per ulteriori informazioni, vedere Aggiunta di un gestore di dispositivi.
  • Si deve avere l'autorizzazione amministrativa per completare questa attività.
  • Accedere alla console di amministrazione di IBM Verify come amministratore.

Informazioni su questa attività

Sistemi operativi supportati
  • Windows 8.1 e versioni successive
  • MacOS 10.13 e versioni successive
Nota: se stai utilizzando MacOS Safari, potresti riscontrare un problema in cui non ti vengono richiesti i certificati client emessi dal gestore dispositivo Intune. Per risolvere il problema, devi configurare la preferenza di identità Keychain MacOS .
  1. Sul tuo sistema Mac, vai a Keychain Access.
  2. Aggiungere una Preferenza di identità per il certificato client.
  3. Impostate il percorso delle preferenze di identità su URL di autenticazione del tenant + (spazio) + ( com.apple.Safari ). Ad esempio, https://{mtls_enabled_tenant_name}/usc.
L'impostazione delle preferenze relative all'identità si trova ora in Accesso Portachiavi > Login > Tutti gli elementi e la richiesta di certificato funziona correttamente.

Procedura

  1. Selezionare Autenticazione > Gestori dispositivi.
  2. Selezionare Aggiungi gestore di dispositivi.
  3. Selezionare il gestore del dispositivo Type che si desidera impostare.
  4. Selezionare Avanti.
  5. Nella pagina Impostazioni generali , fornire le seguenti informazioni.
    • Immettere il Nome gestore periferiche nel campo fornito.
    • Selezionare il provider di identità dal menu.
    • Selezionare il Tipo di trust dal menu. Per la selezione Fiducia del dispositivo, gli utenti devono effettuare il login con il meccanismo di autenticazione a primo fattore configurato. La fiducia del dispositivo conferma solo se l'autenticazione è stata effettuata dal dispositivo gestito o meno.
      Nota: La funzione Device trust CI-114829 può essere attivata su richiesta. Per richiedere questa funzione, contattate il vostro rappresentante di vendita IBM o il contatto IBM e indicate il vostro interesse ad abilitare questa funzionalità. Creare un ticket di assistenza se si ha l'autorizzazione. IBM Verify gli abbonamenti di prova non possono creare ticket di assistenza.
    • Selezionare se abilitare il provisioning just-in-time per gli account utente.
      Nota: Il provisioning Just-in-Time (JIT) per gli account utente è applicabile solo in caso di selezione della fiducia dell'utente e del dispositivo .
    • Selezionare il periodo di validità del certificato del cliente. Per impostazione predefinita, la selezione è di 3 anni.
    • Specificare il numero massimo di certificati per ogni dispositivo.
    • Specificare quanti minuti vengono conservati le informazioni dell'utente e del dispositivo.
  6. Selezionare Avanti.
  7. Sulla pagina credenziali API , inserire i dettagli API della propria applicazione in Azure Active Directory.
    • Se si ha già l'applicazione, selezionare solo modulo.
      1. Fornire l'ID applicazione, il segreto e il nome tenant.
      2. Selezionare Unique user identifier da un elenco predefinito di attributi oppure selezionare Regola personalizzata per specificare le associazioni di attributi. Se si seleziona di utilizzare una regola personalizzata, è possibile aggiungere attributi personalizzati e una regola. Immettere la regola per calcolare il valore dell'attributo. Ad esempio:
        requestContext.email[0].split('@')[0]
        Nota: La selezione della regola personalizzata non è applicabile a Fiducia del dispositivo. Tuttavia, è possibile inserire l'attributo appropriato nell'apposito campo.
      3. Selezionare Verifica credenziali per verificare le proprie credenziali.
      4. Selezionare Avanti.
    • Se si sta creando un'applicazione, selezionare Mostra con i passi e seguire le istruzioni.
      1. Nel Azure portale, vai su AzureActive Directory > Registrazioni app e seleziona Nuova registrazione.
      2. Nella pagina Registra applicazione, specificare i seguenti dettagli.
        Nome
        Inserite un nome significativo per l'applicazione, ad esempio IBM Verify.
        Tipi di account supportati
        Selezionare Conti in qualsiasi directory organizzativa.
        Reindirizza URI
        Lasciare la sezione predefinita di Web, quindi specificare l' URL di accesso per il server SCEP di terze parti.
      3. Selezionare Registro.
      4. Dalla pagina app panoramica , copiare il valore Applicazione (client) e incollarlo nel campo Inseriva ID app .
      5. Nella pagina di navigazione dell'app, in Gestisci, seleziona Certificati & segreti e seleziona Nuovo segreto client.
      6. Immettere una descrizione, selezionare qualsiasi opzione per Scade, quindi fare clic su Aggiungi.
      7. Incollare il segreto del client nel campo Enter app secret .
      8. Copiare l'ID tenant, ovvero il testo del dominio dopo il segno @ nel proprio account, e incollarlo nel campo Nome tenant .
      9. Selezionare o immettere un attributo identificativo utente univoco.
      10. Nella pagina di navigazione dell'app, in Gestisci, seleziona Autorizzazioni APIe seleziona Aggiungi un'autorizzazione .
      11. Selezionare Insintonia e quindi selezionare permessi di applicazione. Selezionare la casella di controllo per scet_challenge - provider.
      12. Selezionare Aggiungi permessi.
      13. Nel riquadro di navigazione per l'app, sotto Gestisci, selezionare permessi APIe selezionare Aggiungi un permesso.
      14. Selezionare Microsoft Graph, quindi selezionare permessi di applicazione. .
      15. Selezionare la casella di controllo per DeviceManagementManageDevices.Read.All, User.Read.All e Application.Read.All.
      16. Selezionare Aggiungi permessi.
      17. Selezionare Grant admin consenso per Microsoft, quindi selezionare .
      18. Selezionare Verifica credenziali per verificare le proprie credenziali.
      19. Selezionare Avanti.
  8. Nella pagina Proprietà dell'utente (si apre in caso di selezione della fiducia dell'utente e del dispositivo) o Proprietà del dispositivo (si apre in caso di selezione della fiducia del dispositivo), mappare gli attributi del gestore del dispositivo in IBM Verify attributi.
    Nota: I nomi degli attributi sono a caso - gli attributi insensibili e duplicati non sono consentiti.
    1. Selezionare l'attributo del gestore periferiche,
    2. Opzionale: selezionare una trasformazione dal menu.
    3. Obbligatorio: selezionare Verify l'attributo a cui si desidera mappare l'attributo.
    4. Selezionare come si desidera memorizzare l'attributo nel profilo dell'utente.
  9. Opzionale: clicca su Aggiungi attributi.
    Se si sceglie di utilizzare una regola personalizzata, è possibile aggiungere attributi personalizzati uno alla volta e una regola. Immettere la regola per calcolare il valore dell'attributo. Ad esempio:
    idsuser.email[0].split('@')[0]
    Fare clic su Esegui test per assicurarsi che la regola funzioni.
  10. Selezionare Salva e continua.
    Il gestore del dispositivo viene salvato.
  11. Creare il profilo del certificato root.
    Seguire le istruzioni fornite.
    1. Scaricare i seguenti file .zip di certificati root e di profilo forniti.
    2. Accedi a Microsoft Endpoint Manager e apri Dispositivi > Profili di configurazione.
    3. Per creare un profilo certificato root, selezionare Crea profilo e scegliere le seguenti impostazioni:
      Piattaforma
      Selezionare la piattaforma appropriata.
      Profilo
      Certificato attendibile.
    4. Selezionare Crea.
    5. Nome il profilo del certificato root, ad esempio WIN10_RootCA_Certe selezionare Avanti.
    6. Caricare il profilo del certificato root scaricato nel Passo 1, impostare il negozio di destinazione su Computer certificate store - Roote selezionare Avanti.
    7. Imposta Assegna a agli utenti o gruppi che si desidera testare e selezionare Avanti.
    8. Selezionare Crea.
    9. Ripetere i passi da 2 a 8 per il certificato intermedio.
  12. Selezionare Avanti.
  13. Nella pagina Profilo certificato SCEP , inserire i dettagli API della propria applicazione in Azure Active Directory.
    • Se si dispone già di un profilo certificato SCEP, selezionare Solo Valori.
      1. Fornire l'oggetto e l' URL SCEP.
      2. Selezionare Avanti.
    • Se si sta creando un profilo certificato SCEP, selezionare Mostra con i passi e seguire le istruzioni.
      1. Per creare un profilo certificato SCEP, selezionare Crea profilo e scegliere le seguenti impostazioni:
        Piattaforma
        Selezionare la piattaforma appropriata.
        Profilo
        TrustedSCEP.
      2. Selezionare Crea.
      3. Denominare il profilo del certificato root, ad esempio WIN10_RootCA_Certe selezionare Avanti.
      4. Utilizzare le seguenti impostazioni di configurazione:
        Tipo di certificato
        Utente.
        Formato del nome del soggetto
        Personalizzato.
        Personalizzato
        CN generato automaticamente.
        Nome alternativo oggetto
        Nome principal utente (UPN).
        Periodo di validità del certificato
        1 Anno.
        Provider di memoria chiave (KSP)
        Se disponibile, iscriversi a Modulo piattaforma affidabile (TPM) KSP, altrimenti iscrivi a Software KSP.
        Utilizzo chiave
        Codificatore chiave, firma digitale.
        Dimensione della chiave (bit)
        2048.
        Algoritmo hash
        SHA-2.
        Certificato root
        Selezionare il profilo del certificato root creato e denominato nel passo 11.
        Utilizzo chiave esteso
        Selezionare Autenticazione Client dal menu Valori Predefiniti .
        Soglia di rinnovo
        20.
        URL server SCEP
        URL generato automaticamente.
      5. Selezionare Avanti e assegnare qualsiasi utente o gruppo con cui si desidera testare la connessione.
      6. Selezionare Crea.
      7. Selezionare Avanti.
  14. Impostare gli ambiti MDM.
    Seguire le istruzioni.
    1. Nel centro di amministrazione di Microsoft Endpoint Manager, seleziona Tutti i servizi > M365AzureActive Directory > AzureActive Directory > Mobilità (MDM e MAM).
    2. Selezionare Microsoft Intune per configurare Intune.
    3. Seleziona Alcuni dall'ambito utente MDM per utilizzare la registrazione automatica MDM per gestire i dati aziendali sui dispositivi Windows™ dei tuoi dipendenti.
      Le registrazioni automatiche MDM sono configurate per i dispositivi uniti AAD e offrono scenari di dispositivi personalizzati.
    4. Seleziona Seleziona gruppi > Gruppi/Utenti selezionati > Seleziona come gruppo assegnato.
    5. Selezionare Alcuni dall'ambito MAM Utenti per gestire i dati sui dispositivi della tua forza lavoro.
    6. Selezionare Seleziona gruppi > Seleziona gruppi/Utenti > Seleziona come gruppo assegnato.
    7. Utilizzare i valori predefiniti per i valori di configurazione rimanenti.
    8. Selezionare Salva.
  15. Selezionare Avanti.
  16. Verifica la configurazione.
    Seguire le istruzioni.
  17. Selezionare Impostazione completa.
    1. Rivedere le tue impostazioni.
    2. Selezionare Salva modifiche.