Introduzione ai profili di gestione dei dispositivi mobili
iOS, iPadOS, macOS, tvOS e watchOS dispongono di un framework integrato che supporta la gestione dei dispositivi mobili (MDM). MDM ti consente in modo sicuro e in modalità wireless di configurare i dispositivi inviando i profili e comandi al dispositivo, se sono di proprietà dell’utente o della tua organizzazione. Le funzionalità MDM includono l’aggiornamento del software e delle impostazioni del dispositivo, il monitoraggio della conformità con i criteri dell’organizzazione e la cancellazione o il blocco a distanza dei dispositivi. I dispositivi di proprietà degli utenti possono essere registrati in una soluzione MDM dagli utenti stessi, mentre i dispositivi di proprietà dell’organizzazione possono essere registrati in una soluzione MDM automaticamente utilizzando Apple School Manager o Apple Business Manager. Se utilizzi Apple Business Essentials, puoi anche usare la gestione dei dispositivi integrata.
Ci sono alcuni concetti da comprendere per utilizzare la gestione MDM; quindi leggi le seguenti sezioni per capire come la gestione MDM utilizza profili di registrazione e configurazione, supervisione e payload.
Come viene eseguita la registrazione dei dispositivi
La registrazione a una soluzione MDM comporta la registrazione di identità di certificati client utilizzando protocolli come ACME (Automated Certificate Management Environment) o SCEP (Simple Certificate Enrollment Protocol). I dispositivi utilizzano tali protocolli per creare certificati di identità unica per l’autenticazione di servizi di un’organizzazione.
A meno che la registrazione non sia automatizzata, gli utenti decidono se registrare o meno il proprio dispositivo per la gestione MDM e possono dissociarlo in qualsiasi momento. Pertanto, prendi in considerazione di incentivare gli utenti per il mantenimento della gestione. Ad esempio, puoi richiedere la registrazione MDM per l’accesso alla rete Wi-Fi utilizzando la soluzione MDM per fornire automaticamente le credenziali wireless. Quando un utente lascia la gestione MDM, il relativo dispositivo tenta di inviare una notifica alla soluzione MDM che non è più gestita.
Per i dispositivi posseduti dall’organizzazione, puoi utilizzare Apple School Manager, Apple Business Manager o Apple Business Essentials per registrarli in automatico su MDM e supervisionarli in modo wireless durante la configurazione iniziale: questa procedura di registrazione è nota come “Registrazione automatica dei dispositivi”.
MDM e “Protezione del dispositivo rubato”
Quando l’opzione “Protezione del dispositivo rubato” è attiva, l’utente riceve un errore quando tenta di:
Registrare manualmente il dispositivo in una soluzione MDM
Configurare un account Microsoft Exchange
Installare un profilo per il codice o per Microsoft Exchange
Installare una configurazione dichiarativa
Per eseguire queste azioni, l’utente può disattivare momentaneamente “Protezione del dispositivo rubato”. Se il dispositivo è già registrato in una soluzione MDM, può attivare “Protezione del dispositivo rubato” e il protocollo MDM funzionerà come previsto.
Importante: la possibilità di completare queste azioni potrebbe essere soggetta al ritardo di un’ora se l’utente non si trova in una posizione conosciuta.
Profili di registrazione
Un profilo di registrazione è uno dei due modi principali in cui gli utenti possono registrare un dispositivo personale a una soluzione MDM (l’altro modo è tramite la registrazione utente). Con questo profilo, che contiene un payload MDM, la soluzione MDM invia comandi e, se necessario, profili di configurazione aggiuntivi al dispositivo. Può anche inviare una query al il dispositivo per ottenere informazioni, come lo stato del blocco attivazione, il livello della batteria e il nome.
Quando un utente rimuove un profilo di registrazione, anche tutti i profili di configurazione, le relative impostazioni e le app gestite basati su tale profilo di registrazione vengono rimossi. Su un dispositivo, può essere presente solo un profilo di registrazione alla volta.
Dopo che il profilo di registrazione è stato approvato, dal dispositivo o dall’utente, i profili di configurazione che contengono i payload vengono consegnati al dispositivo. Dopodiché, puoi distribuire, gestire e configurare in modalità wireless app e libri acquistati tramite Apple School Manager, Apple Business Manager o Apple Business Essentials. Gli utenti possono installare le app in autonomia, oppure le app possono essere installate automaticamente in base alla tipologia, a come sono assegnate e a se il dispositivo è supervisionato o meno. Per ulteriori informazioni, consulta Informazioni sulla supervisione dei dispositivi Apple.
Profili di configurazione
Un profilo di configurazione è un file XML (che termina in .mobileconfig) formato da payload che consentono di caricare informazioni relative a impostazioni e autorizzazioni sui dispositivi Apple. I profili di configurazione automatizzano la configurazione di impostazioni, account, restrizioni e credenziali. I file possono essere creati da una soluzione MDM o da Apple Configurator, oppure possono essere creati manualmente.
Poiché i profili di configurazione possono essere crittografati e firmati, puoi limitarne l’uso a un dispositivo Apple specifico e impedire a chiunque di modificare le impostazioni, ad eccezione dei nomi utente e delle password. Puoi anche impostare un profilo di configurazione come bloccato per il dispositivo.
Se la soluzione MDM lo supporta, puoi distribuire i profili di configurazione come allegati email, fornendo un link alla tua pagina web oppure tramite il portale per gli utenti integrato della soluzione MDM. Quando gli utenti aprono l’allegato email scaricano il profilo di configurazione utilizzando un browser web, gli viene chiesto di avviare l’installazione del profilo di configurazione.
Per ulteriori informazioni sull’installazione dei profili e sulla modalità di isolamento, consulta l’articolo del supporto Apple Informazioni sulla modalità di isolamento.
Nota: puoi utilizzare Apple Configurator per Mac per aggiungere profili di configurazione (automaticamente o manualmente) a dispositivi iOS, iPadOS e Apple TV. Per ulteriori informazioni, consulta il Manuale utente di Apple Configurator per Mac.
In qualità di amministratore, puoi fornire un profilo di configurazione che può modificare le impostazioni per un intero dispositivo o per un singolo utente:
I profili dei dispositivi possono essere inviati a dispositivi e gruppi di dispositivi e applicare le impostazioni del dispositivo all’intero dispositivo.
iPhone, iPad, Apple TV e Apple Watch non hanno modo di riconoscere più di un utente, quindi i profili di configurazione creati da payload e impostazioni di iOS, iPadOS, tvOS e watchOS sono sempre profili dispositivo. Anche se i profili iPadOS sono profili dispositivo, gli iPad configurati come iPad condiviso possono supportare profili basati sul dispositivo o sull’utente.
Profili utente che possono essere inviati a utenti e gruppi di utenti e che applicano determinate impostazioni unicamente ai rispettivi utenti. I Mac possono avere più utenti, perciò payload e impostazioni per i profili macOS possono essere basati sul Mac o sull’utente. L’account utente creato durante Impostazione Assistita è considerato gestito dalla soluzione MDM e può ricevere profili. In macOS 11 o versioni successive, un account amministratore creato tramite MDM durante la registrazione può invece essere gestito in modo facoltativo. Per le distribuzioni basate su Active Directory, l’utente che ha attualmente effettuato il login diventa gestibile tramite MDM.
Le impostazioni del dispositivo e dell’utente variano a seconda di dove si trovano: Le impostazioni installate a livello di sistema risiedono in un canale del dispositivo. Le impostazioni installate per un utente risiedono in un canale utente.
Rimozione profilo
Il modo in cui si rimuovono i profili dipende da come sono stati installati. Il seguente procedimento illustra come rimuovere un profilo:
1. Tutti i profili possono essere rimossi cancellando tutti i dati del dispositivo.
2. Se il dispositivo è stato registrato a una soluzione MDM usando Apple School Manager, Apple Business Manager o Apple Business Essentials, l’amministratore può scegliere se il profilo di registrazione può essere rimosso dall’utente o solo dallo stesso server MDM.
3. Se il profilo viene installato tramite una soluzione MDM, può essere rimosso da quella specifica soluzione MDM o dall’utente, che può annullare la registrazione alla soluzione MDM rimuovendo l’apposito profilo di configurazione.
4. Se il profilo è installato su un dispositivo supervisionato tramite Apple Configurator, quell’ente supervisore di Apple Configurator può rimuovere il profilo.
5. Se il profilo è installato su un dispositivo supervisionato manualmente o tramite Apple Configurator, e il profilo dispone di un payload con password di rimozione, l’utente deve inserire tale password per rimuovere il profilo.
6. Tutti gli altri profili possono essere rimossi dall’utente.
Un account installato da un profilo di configurazione può essere rimosso eliminando il profilo. Un account Microsoft Exchange ActiveSync, anche se installato utilizzando un profilo di configurazione, può essere rimosso da Microsoft Exchange Server creando il comando di sola cancellazione a distanza dell’account.
Importante: se un utente conosce il codice del dispositivo, può rimuovere i profili di configurazione installati manualmente da iPhone e iPad non supervisionati, anche se l’opzione è impostata su “mai”. Gli utenti di Mac possono fare lo stesso solo se conoscono il nome utente e la password di un amministratore. Possono farlo utilizzando lo strumento a riga di comando profiles
, Impostazioni di sistema (in macOS 13 o versione successiva) o Preferenze di Sistema (in macOS 12.0.1 o versioni precedenti). In macOS 10.15 o versioni successive, come per iOS e iPadOS, i profili installati con MDM devono essere rimossi tramite MDM, oppure, vengono rimossi automaticamente al momento dell’annullamento della registrazione MDM.
Requisiti per la comunicazione con le soluzioni MDM
La comunicazione tra una soluzione MDM di terze parti e i dispositivi Apple ha maggiori possibilità di avvenire correttamente quando:
La soluzione MDM è configurata, è stata testata correttamente e funziona come previsto.
Il certificato APNs è valido e non scaduto.
Il dispositivo è acceso.
Il dispositivo è attualmente registrato nella soluzione MDM
La rete a cui il dispositivo è connesso ha accesso a internet (per la comunicazione APNs).
La rete a cui il dispositivo è connesso deve potere accedere agli host Apple correlati alla gestione remota dei dispositivi.
Per ulteriori informazioni, consulta l’articolo del Supporto Apple Utilizzare i prodotti Apple su reti aziendali.
Nota: Apple non controlla le soluzioni MDM di terze parti. La mancata comunicazione con una soluzione MDM potrebbe essere causata anche da problemi aggiuntivi, come payload MDM configurati in modo errato.
Dispositivi Apple supportati
I seguenti dispositivi Apple dispongono di un framework integrato che supporta il servizio MDM:
iPhone con iOS 4 o versione successiva
iPad con iOS 4.3 o versione successiva oppure iPadOS 13.1 o versione successiva
Mac con OS X 10.7 o versione successiva
Apple TV con tvOS 9 o versione successiva
Apple Watch con watchOS 10 o versione successiva
Nota: non tutte le opzioni sono disponibili in tutte le soluzioni MDM. Per informazioni sulle opzioni MDM disponibili per i dispositivi, consulta la documentazione del fornitore della soluzione MDM.