Introduzione ai profili di gestione dei dispositivi mobili
iOS, iPadOS, macOS, tvOS, watchOS 10 o versioni successive e visionOS 1.1 o versioni successive presentano un framework integrato che supporta la gestione dei dispositivi mobili (MDM). MDM ti consente in modo sicuro e in modalità wireless di configurare i dispositivi inviando i profili e comandi al dispositivo, se sono di proprietà dell’utente o della tua organizzazione. Le funzionalità MDM includono l’aggiornamento del software e delle impostazioni del dispositivo, il monitoraggio della conformità con i criteri dell’organizzazione e la cancellazione o il blocco a distanza dei dispositivi. I dispositivi di proprietà degli utenti possono essere registrati in una soluzione MDM dagli utenti stessi, mentre i dispositivi di proprietà dell’organizzazione possono essere registrati in una soluzione MDM automaticamente utilizzando Apple School Manager o Apple Business Manager. Se utilizzi Apple Business Essentials, puoi anche usare la gestione dei dispositivi integrata.
Ci sono alcuni concetti da comprendere per utilizzare la gestione MDM; quindi leggi le seguenti sezioni per capire come la gestione MDM utilizza profili di registrazione e configurazione, supervisione e payload.
Come viene eseguita la registrazione dei dispositivi
La registrazione a una soluzione MDM comporta la registrazione di identità di certificati client utilizzando protocolli come ACME (Automated Certificate Management Environment) o SCEP (Simple Certificate Enrollment Protocol). I dispositivi utilizzano tali protocolli per creare certificati di identità unica per l’autenticazione di servizi di un’organizzazione.
A meno che la registrazione non sia automatizzata, gli utenti decidono se registrare o meno il proprio dispositivo per la gestione MDM e possono dissociarlo in qualsiasi momento. Pertanto, prendi in considerazione di incentivare gli utenti per il mantenimento della gestione. Ad esempio, puoi richiedere la registrazione MDM per l’accesso alla rete Wi-Fi utilizzando la soluzione MDM per fornire automaticamente le credenziali wireless. Quando un utente lascia la gestione MDM, il relativo dispositivo tenta di inviare una notifica alla soluzione MDM che non è più gestita.
Per i dispositivi posseduti dall’organizzazione, puoi utilizzare Apple School Manager, Apple Business Manager o Apple Business Essentials per registrarli in automatico su MDM e supervisionarli in modo wireless durante la configurazione iniziale: questa procedura di registrazione è nota come “Registrazione automatica dei dispositivi”.
MDM e “Protezione del dispositivo rubato”
Quando l’opzione “Protezione del dispositivo rubato” è attiva, se l’utente si trova in un luogo non familiare, le azioni di seguito vengono ritardate di un’ora:
Registrare manualmente il dispositivo in una soluzione MDM
Installare manualmente un profilo o una configurazione con codice
Configurare un account Microsoft Exchange in impostazioni, con un profilo o tramite configurazione
Profili di registrazione
Un profilo di registrazione è uno dei due modi principali in cui gli utenti possono registrare un dispositivo personale a una soluzione MDM (l’altro modo è tramite la registrazione utente). Con questo profilo, che contiene un payload MDM, la soluzione MDM invia comandi e, se necessario, profili di configurazione aggiuntivi al dispositivo. Può anche inviare una query al il dispositivo per ottenere informazioni, come lo stato del blocco attivazione, il livello della batteria e il nome.
Quando un utente rimuove un profilo di registrazione, anche tutti i profili di configurazione, le relative impostazioni e le app gestite basati su tale profilo di registrazione vengono rimossi. Su un dispositivo, può essere presente solo un profilo di registrazione alla volta.
Dopo che il profilo di registrazione è stato approvato, dal dispositivo o dall’utente, i profili di configurazione che contengono i payload vengono consegnati al dispositivo. Dopodiché, puoi distribuire, gestire e configurare in modalità wireless app e libri acquistati tramite Apple School Manager, Apple Business Manager o Apple Business Essentials. Gli utenti possono installare le app in autonomia, oppure le app possono essere installate automaticamente in base alla tipologia, a come sono assegnate e a se il dispositivo è supervisionato o meno. Per ulteriori informazioni, consulta Informazioni sulla supervisione dei dispositivi Apple.
Profili di configurazione
Un profilo di configurazione è un file XML (che termina in .mobileconfig) formato da payload che consentono di caricare informazioni relative a impostazioni e autorizzazioni sui dispositivi Apple. I profili di configurazione automatizzano la configurazione di impostazioni, account, restrizioni e credenziali. I file possono essere creati da una soluzione MDM o da Apple Configurator (versione per Mac), oppure manualmente. Per maggiori informazioni su come utilizzare Apple Configurator per il Mac per creare e installare profili di configurazione su iPhone, iPad e Apple TV, consulta la sezione Creare e modificare profili di configurazione nel Manuale utente di Apple Configurator per il Mac.
Poiché i profili di configurazione possono essere crittografati e firmati, puoi limitarne l’uso a un dispositivo Apple specifico e impedire a chiunque di modificare le impostazioni, ad eccezione dei nomi utente e delle password. Puoi anche impostare un profilo di configurazione come bloccato per il dispositivo.
Se la soluzione MDM lo supporta, puoi distribuire i profili di configurazione come allegati email, fornendo un link alla tua pagina web oppure tramite il portale per gli utenti integrato della soluzione MDM. Quando gli utenti aprono l’allegato email scaricano il profilo di configurazione utilizzando un browser web, gli viene chiesto di avviare l’installazione del profilo di configurazione.
Puoi fornire un profilo di configurazione in grado di modificare le impostazioni per uno specifico dispositivo o per un singolo utente:
I profili dei dispositivi possono essere inviati a dispositivi e gruppi di dispositivi e applicare le impostazioni del dispositivo all’intero dispositivo.
iPhone, iPad, Apple TV, Apple Watch e Apple Vision Pro non hanno modo di riconoscere più di un utente, quindi i profili di configurazione creati per iOS, iPadOS, tvOS, watchOS 10 o versioni successive e per visionOS 1.1 o versioni successive sono sempre profili dispositivo. Anche se i profili iPadOS sono profili dispositivo, gli iPad configurati come iPad condiviso possono supportare profili basati sul dispositivo o sull’utente.
I profili utente possono essere inviati a utenti e, se la soluzione MDM li supporta, ai gruppi di utenti e applicano determinate impostazioni unicamente ai rispettivi utenti. I Mac possono avere più utenti, per questo motivo, i payload e le impostazioni per i profili macOS possono essere basati sul Mac o sull’utente. L’account utente creato durante Impostazione Assistita è considerato gestito dalla soluzione MDM e può ricevere profili. In macOS 11 o versioni successive, un account amministratore creato tramite MDM durante la registrazione può invece essere gestito in modo facoltativo. Per le distribuzioni basate su Active Directory, l’utente che ha attualmente effettuato il login diventa gestibile tramite MDM.
Le impostazioni del dispositivo e dell’utente variano a seconda di dove si trovano: Le impostazioni installate a livello di sistema risiedono in un canale del dispositivo. Le impostazioni installate per un utente risiedono in un canale utente.
Per ulteriori informazioni sull’installazione dei profili e sulla modalità di isolamento, consulta l’articolo del supporto Apple Informazioni sulla modalità di isolamento.
Rimozione profilo
Il modo in cui si rimuovono i profili dipende da come sono stati installati. Il seguente procedimento illustra come rimuovere un profilo:
1. Tutti i profili possono essere rimossi cancellando tutti i dati del dispositivo.
2. Se il dispositivo è stato registrato a una soluzione MDM usando Apple School Manager, Apple Business Manager o Apple Business Essentials, l’amministratore può scegliere se il profilo di registrazione può essere rimosso dall’utente o solo dallo stesso server MDM.
3. Se il profilo viene installato tramite una soluzione MDM, può essere rimosso da quella specifica soluzione MDM o dall’utente, che può annullare la registrazione alla soluzione MDM rimuovendo l’apposito profilo di configurazione.
4. Se il profilo è installato su un dispositivo supervisionato tramite Apple Configurator, quell’ente supervisore di Apple Configurator può rimuovere il profilo.
5. Se il profilo è installato su un dispositivo supervisionato manualmente o tramite Apple Configurator, e il profilo dispone di un payload con password di rimozione, l’utente deve inserire tale password per rimuovere il profilo.
6. Tutti gli altri profili possono essere rimossi dall’utente.
Un account installato da un profilo di configurazione può essere rimosso eliminando il profilo. Un account Microsoft Exchange ActiveSync, anche se installato utilizzando un profilo di configurazione, può essere rimosso tramite Microsoft Exchange Server fornendo il comando di sola cancellazione a distanza dell’account.
Importante: se un utente conosce il codice del dispositivo, può rimuovere i profili di configurazione installati manualmente da iPhone e iPad non supervisionati, anche se l’opzione è impostata su “mai”. Gli utenti di Mac possono fare lo stesso solo se conoscono il nome utente e la password di un amministratore. Possono farlo utilizzando lo strumento a riga di comando profiles, Impostazioni di sistema (in macOS 13 o versione successiva) o Preferenze di Sistema (in macOS 12.0.1 o versioni precedenti). In macOS 10.15 o versioni successive, come per iOS e iPadOS, i profili installati con MDM devono essere rimossi tramite MDM, oppure, vengono rimossi automaticamente al momento dell’annullamento della registrazione MDM.
Requisiti per la comunicazione con le soluzioni MDM
La comunicazione tra una soluzione MDM di terze parti e i dispositivi Apple ha maggiori possibilità di avvenire correttamente quando:
La soluzione MDM è configurata, è stata testata correttamente e funziona come previsto.
Il certificato APNs è valido e non scaduto.
Il dispositivo è acceso.
Il dispositivo è attualmente registrato nella soluzione MDM
La rete a cui il dispositivo è connesso ha accesso a internet (per la comunicazione APNs).
La rete a cui il dispositivo è connesso deve potere accedere agli host Apple correlati alla gestione remota dei dispositivi.
Per ulteriori informazioni, consulta l’articolo del Supporto Apple Utilizzare i prodotti Apple su reti aziendali.
Nota: Apple non controlla le soluzioni MDM di terze parti. La mancata comunicazione con una soluzione MDM potrebbe essere causata anche da problemi aggiuntivi, come payload MDM configurati in modo errato.
Dispositivi Apple supportati
I seguenti dispositivi Apple dispongono di un framework integrato che supporta il servizio MDM:
iPhone con iOS 4 o versione successiva
iPad con iOS 4.3 o versione successiva oppure iPadOS 13.1 o versione successiva
Mac con OS X 10.7 o versione successiva
Apple TV con tvOS 9 o versione successiva
Apple Watch con watchOS 10 o versione successiva
Apple Vision Pro con visionOS 1.1 o versioni successive
Nota: non tutte le opzioni sono disponibili in tutte le soluzioni MDM. Per informazioni sulle opzioni MDM disponibili per i dispositivi, consulta la documentazione del fornitore della soluzione MDM.