Introduzione ai profili di gestione dei dispositivi
Un servizio di gestione dei dispositivi consente a un amministratore di configurare i dispositivi in modo sicuro da remoto inviando al dispositivo configurazioni, profili e comandi, indipendentemente dal fatto che sia di proprietà dell’utente o dell’organizzazione. Le funzionalità includono l’aggiornamento del software e delle impostazioni del dispositivo, il monitoraggio della conformità con i criteri dell’organizzazione e la cancellazione o il blocco a distanza dei dispositivi. I dispositivi di proprietà degli utenti possono essere registrati in un servizio di gestione dei dispositivi, mentre i dispositivi di proprietà dell’organizzazione possono essere registrati automaticamente utilizzando Apple School Manager o Apple Business Manager.
Ci sono alcuni concetti da comprendere per utilizzare un servizio di gestione dei dispositivi; quindi leggi le sezioni di seguito per capire in che modo un servizio di gestione dei dispositivi utilizza profili di registrazione e configurazione, supervisione e payload.
Dispositivi Apple supportati
I seguenti dispositivi Apple hanno un framework integrato che supporta la gestione dei dispositivi:
iPhone con iOS 4 o versione successiva
iPad con iOS 4.3 o versione successiva oppure iPadOS 13.1 o versione successiva
Mac con OS X 10.7 o versione successiva
Apple TV con tvOS 9 o versione successiva
Apple Watch con watchOS 10 o versione successiva
Apple Vision Pro con visionOS 1.1 o versioni successive
Come viene eseguita la registrazione dei dispositivi
La registrazione a un servizio di gestione dei dispositivi comporta la registrazione di identità di certificati client utilizzando protocolli come ACME (Automated Certificate Management Environment) o SCEP (Simple Certificate Enrollment Protocol). I dispositivi utilizzano tali protocolli per creare certificati di identità unica per l’autenticazione di servizi di un’organizzazione.
A meno che la registrazione non sia automatizzata, gli utenti decidono se registrare o meno il proprio dispositivo per il servizio e possono dissociarlo in qualsiasi momento. Pertanto, prendi in considerazione di incentivare gli utenti per il mantenimento della gestione. Ad esempio, puoi richiedere la registrazione per l’accesso alla rete Wi-Fi utilizzando il servizio di gestione dei dispositivi per fornire automaticamente le credenziali wireless. Quando un utente lascia il servizio, il dispositivo cerca di avvisare il servizio di gestione che non può più essere gestito.
Per i dispositivi posseduti dall’organizzazione, puoi utilizzare Apple School Manager o Apple Business Manager per registrarli in automatico in un servizio di gestione dei dispositivi e supervisionarli in modo wireless durante la configurazione iniziale: questa procedura di registrazione è nota come “Registrazione automatica dei dispositivi”.
Gestione dei dispositivi e protezione del dispositivo rubato
Quando “Protezione del dispositivo rubato” è attiva, se l’utente si trova in un luogo che non conosce, il sistema operativo ritarda di un’ora le seguenti azioni:
Registrazione manuale del dispositivo a un servizio di gestione dei dispositivi
Installazione manuale di un profilo o una configurazione con codice
Configurazione di un account Microsoft Exchange in impostazioni, con un profilo o tramite configurazione
Profili di registrazione
Un profilo di registrazione è uno dei due modi principali in cui gli utenti possono registrare un dispositivo personale a un servizio di gestione dei dispositivi (l’altro modo è tramite la registrazione utente o la registrazione dei dispositivi basata sull’account). Con questo profilo, che contiene un payload, il servizio di gestione dei dispositivi invia comandi e, se necessario, profili di configurazione aggiuntivi al dispositivo. Può anche inviare una query al il dispositivo per ottenere informazioni, come lo stato del blocco attivazione, il livello della batteria e il nome.
Quando un utente rimuove un profilo di registrazione, anche tutti i profili di configurazione, le relative impostazioni e le app gestite basati su tale profilo di registrazione vengono rimossi. Su un dispositivo, può essere presente solo un profilo di registrazione alla volta.
Dopo che il profilo di registrazione è stato approvato, dal dispositivo o dall’utente, i profili di configurazione che contengono i payload vengono consegnati al dispositivo. Dopodiché, puoi distribuire, gestire e configurare in modalità wireless app e libri acquistati tramite Apple School Manager o Apple Business Manager. Gli utenti possono installare le app in autonomia, oppure le app possono essere installate automaticamente in base alla tipologia, a come sono assegnate e a se il dispositivo è supervisionato o meno. Per ulteriori informazioni, consulta Informazioni sulla supervisione dei dispositivi Apple.
Profili di configurazione
Un profilo di configurazione è un file XML (che termina in .mobileconfig) formato da payload che consentono di caricare informazioni relative a impostazioni e autorizzazioni sui dispositivi Apple. I profili di configurazione automatizzano la configurazione di impostazioni, account, restrizioni e credenziali. Un servizio di gestione dei dispositivi può creare questi file; in alternativa, puoi crearli manualmente o usando Apple Configurator per Mac. Per maggiori informazioni su come utilizzare Apple Configurator per Mac per creare e installare profili di configurazione su iPhone, iPad e Apple TV, consulta la sezione Creare e modificare profili di configurazione nel Manuale utente di Apple Configurator per Mac.
Poiché i profili di configurazione possono essere crittografati e firmati, puoi limitarne l’uso a un dispositivo Apple specifico e impedire a chiunque di modificare le impostazioni, ad eccezione dei nomi utente e delle password. Puoi anche impostare un profilo di configurazione come bloccato per il dispositivo.
Se il servizio di gestione dei dispositivi lo supporta, puoi distribuire i profili di configurazione come un’allegato e-mail, tramite un link sulla tua pagina web o tramite il portale utente integrato del servizio. Quando gli utenti aprono l’allegato email scaricano il profilo di configurazione utilizzando un browser web, gli viene chiesto di avviare l’installazione del profilo di configurazione.
Puoi fornire un profilo di configurazione in grado di modificare le impostazioni per uno specifico dispositivo o per un singolo utente:
Profili dispositivo: puoi inviare i profili dispositivo a dispositivi e gruppi di dispositivi e applicare le impostazioni del dispositivo all’intero dispositivo.
iPhone, iPad, Apple TV, Apple Watch e Apple Vision Pro non hanno modo di riconoscere più di un utente, quindi i profili di configurazione creati per i dispositivi Apple supportati sono sempre profilidispositivo. Anche se i profili iPadOS sono profili dispositivo, gli iPad configurati come iPad condiviso possono supportare profili basati sul dispositivo o sull’utente.
Profili utente: puoi inviare i profili utente a utenti e (se il servizio di gestione dei dispositivi li supporta) gruppi di utenti e applicare le impostazioni utente unicamente ai rispettivi utenti. I Mac possono avere più utenti, per questo motivo, i payload e le impostazioni per i profili macOS possono essere basati sul Mac o sull’utente. L’account utente creato durante Impostazione Assistita è considerato gestito dal servizio di gestione dei dispositivi e può ricevere profili. Per i Mac con macOS 11 o versioni successive, un account amministratore creato tramite un servizio di gestione dei dispositivi durante la registrazione può essere gestito in modo facoltativo. Per le distribuzioni basate su Active Directory, l’utente che ha attualmente effettuato il login di rete diventa un utente gestito.
Le impostazioni del dispositivo e dell’utente variano a seconda di dove si trovano: Le impostazioni installate a livello di sistema risiedono in un canale del dispositivo. Le impostazioni installate per un utente risiedono in un canale utente.
Per ulteriori informazioni sull’installazione dei profili e sulla modalità di isolamento, consulta l’articolo del supporto Apple Informazioni sulla modalità di isolamento.
Rimozione profilo
Il modo in cui si rimuovono i profili dipende da come sono stati installati. La procedura di seguito illustra come rimuovere un profilo:
1. Puoi rimuovere tutti i profili inizializzando il dispositivo e cancellando tutti i dati.
2. Se il dispositivo è stato registrato in un servizio di gestione dei dispositivi collegato ad Apple School Manager o Apple Business Manager, l’amministratore può scegliere se l’utente può rimuovere il profilo di registrazione o se solo il servizio di gestione dei dispositivi può farlo.
3. Se il profilo viene installato tramite un servizio di gestione dei dispositivi, può essere rimosso da tale servizio o dall’utente, che può annullare la registrazione al servizio rimuovendo l’apposito profilo di configurazione.
4. Se il profilo viene installato tramite Apple Configurator, l’ente supervisore di Apple Configurator può rimuovere il profilo.
5. Se il profilo è installato su un dispositivo supervisionato manualmente o tramite Apple Configurator, e il profilo dispone di un payload con password di rimozione, l’utente deve inserire tale password per rimuovere il profilo.
6. L’utente può rimuovere tutti gli altri profili.
Un account installato da un profilo di configurazione può essere rimosso eliminando il profilo. Un account Microsoft Exchange ActiveSync, anche se installato utilizzando un profilo di configurazione, può essere rimosso tramite Microsoft Exchange Server fornendo il comando di sola cancellazione a distanza dell’account.
Importante: Se un utente conosce il codice del dispositivo, può rimuovere i profili di configurazione installati manualmente da iPhone e iPad non supervisionati, anche se l’opzione è impostata su Mai. Gli utenti di Mac possono fare lo stesso solo se conoscono il nome utente e la password di un amministratore. Possono farlo utilizzando lo strumento a riga di comando profiles, Impostazioni di sistema (in macOS 13 o versione successiva) o Preferenze di Sistema (in macOS 12.0.1 o versioni precedenti). Per un Mac con macOS 10.15 o versioni successive, come per iOS e iPadOS, i profili installati tramite un servizio di gestione dei dispositivi devono essere rimossi tramite lo stesso servizio oppure vengono rimossi automaticamente dal sistema operativo al momento dell’annullamento della registrazione al servizio.
Requisiti di comunicazione del servizio di gestione dei dispositivi
La comunicazione tra un servizio di gestione e i dispositivi Apple ha maggiori possibilità di avvenire correttamente quando:
Il servizio di gestione dei dispositivi configura il dispositivo, lo testa e garantisce il suo corretto funzionamento
Il certificato APNs è valido e non scaduto.
Il dispositivo è acceso.
Il dispositivo è attualmente registrato al servizio
La rete a cui il dispositivo è connesso ha accesso a internet (per la comunicazione APNs).
La rete a cui il dispositivo è connesso deve potere accedere agli host Apple correlati alla gestione remota dei dispositivi.
Per ulteriori informazioni, consulta l’articolo del Supporto Apple Utilizzare i prodotti Apple su reti aziendali.
Nota: Apple non controlla i servizi di gestione dei dispositivi di terze parti. La mancata comunicazione con un servizio di gestione dei dispositivi mobili potrebbe essere causata anche da problemi aggiuntivi, come payload configurati in modo errato.