Argomento
La registrazione automatica dei dispositivi (ADE) è una funzionalità opzionale del prodotto NinjaOne Mobile Device Management (MDM) che utilizza Apple Business Manager (ABM)/Apple School Manager (ASM) per sincronizzare automaticamente i dispositivi Apple con NinjaOne (distribuzione zero-touch). La registrazione con ADE e ABM/ASM è consigliata per i dispositivi di proprietà dell'azienda o "supervisionati" (gestiti). Questo articolo descrive la procedura da seguire.
Ambiente
- NinjaOne MDM
- Apple iOS
- Apple Business Manager
Descrizione
La modalità supervisionata può impedire la rimozione del profilo MDM e offre un maggiore controllo su restrizioni, configurazioni e funzionalità, come la disattivazione di AirDrop o altre impostazioni di sistema. È possibile implementare la modalità supervisionata solo quando si configura un dispositivo appena acquistato o che è stato recentemente ripristinato alle impostazioni di fabbrica. Per ulteriori informazioni sulla modalità supervisionata sui dispositivi Apple, consultare Apple MDM: Comprendere la differenza tra "Supervisionato" e "Non supervisionato" e MDM: Registrazione al servizio Apple Push Notification Service (APNs) (link esterno).
È possibile registrare un dispositivo e abilitare la supervisione solo quando si configura un nuovo dispositivo appena acquistato o che è stato recentemente ripristinato alle impostazioni di fabbrica.
I tecnici possono richiedere agli utenti finali di autenticarsi per completare l'ADE per i dispositivi Apple MDM e possono automatizzare l'assegnazione degli utenti ai dispositivi al momento della registrazione. L'autenticazione degli utenti finali utilizza la stessa configurazione delle connessioni NinjaOne e del Single Sign-On (SSO).
Indice
Seleziona un argomento per continuare.
- Requisiti ABM
- Informazioni sulla registrazione dei dispositivi tramite l'integrazione ADE
- Riepilogo dei passaggi
- Registrazione automatica dei dispositivi (ADE)
- Assegnazione della configurazione predefinita
- Configurare o aggiornare il profilo ADE in NinjaOne
- Rinnovo del token
Requisiti ABM
L'ABM o l'ASM è un portale Web in cui gli amministratori IT possono visualizzare le licenze delle risorse (app e libri) acquistate dalla propria organizzazione e assegnare i dispositivi per la gestione remota a un server MDM specifico (in questo caso, NinjaOne). Per creare più connessioni ADE in NinjaOne, in genere si crea una connessione ADE per ogni account ABM o ASM per la registrazione dei dispositivi.
Per registrare i dispositivi con ADE, è necessario soddisfare i seguenti criteri:
- È necessario disporre di almeno un certificato del servizio Apple Push Notification in NinjaOne.
- I dispositivi devono essere registrati in ABM o ASM utilizzando il numero cliente Apple o l'ID rivenditore. Per ulteriori informazioni sulla registrazione dei dispositivi in ABM, consultare Gestire i fornitori di dispositivi in Apple Business Manager - Supporto Apple (link esterno).
- I dispositivi aggiunti ad ABM o ASM sono stati acquistati direttamente da Apple, da rivenditori autorizzati Apple o da operatori, tra cui:
- Dispositivi iOS con iOS 7 o versioni successive
- Dispositivi iPadOS
Informazioni sulla registrazione dei dispositivi tramite l'integrazione ADE
La registrazione avviene dopo che i record dei dispositivi sono stati sincronizzati da ABM o ASM e appaiono in NinjaOne, assegnati a un'organizzazione e a una sede. La registrazione automatica dei dispositivi avviene durante il processo di configurazione iniziale del dispositivo.
La tabella seguente descrive le definizioni dello stato del profilo per ADE:
| Nome dello stato del profilo | Definizione o scopo |
|---|---|
| Assegnato | Il profilo di registrazione è stato aggiornato da quando il dispositivo è stato registrato (oppure non è stato ancora registrato). |
| Inviato | Il profilo di registrazione, così come definito, è stato distribuito al dispositivo durante il processo di registrazione. |
| Vuoto | Non è stato definito un profilo di registrazione per il dispositivo. Assicurati che il record del dispositivo sia assegnato a un'organizzazione e a una sede NinjaOne. |
Per un nuovo dispositivo, segui i passaggi descritti in questo articolo. Quindi, accendi il dispositivo per la prima volta e prosegui con l'Assistente di configurazione fino a quando non viene visualizzata la schermata Gestione remota. Segui le istruzioni per registrare il dispositivo.
Per i dispositivi già configurati, è necessario ripristinarli alle impostazioni di fabbrica per accedere all'Assistente di configurazione e procedere con l'ADE. A tal fine, aprire l'app Impostazioni sul dispositivo e selezionare Cancella tutto il contenuto e le impostazioni. Una volta completata l'operazione, è possibile registrare il dispositivo in NinjaOne come se fosse nuovo.
In passato, i profili di registrazione Apple ADE utilizzavano codici di registrazione legacy di 10 caratteri incorporati nell'URL di registrazione. Per modernizzare e rendere più sicura la registrazione, tutti i codici di registrazione Apple ADE utilizzano ora un formato alfanumerico di 13 caratteri e la logica di convalida lato server convalida i token utilizzando il loro hash invece del codice grezzo. Se è necessario recuperare un nuovo profilo ADE con un token di registrazione crittografato per un dispositivo che non è stato registrato ma ha il vecchio profilo di registrazione memorizzato nella cache e pronto per l'installazione, è necessario ripristinarlo alle impostazioni di fabbrica. Questa azione potrebbe essere necessaria perché il dispositivo potrebbe tentare la registrazione utilizzando il metodo pre-migrazione mentre il server si aspetta di convalidare un token. L'esecuzione di un ripristino alle impostazioni di fabbrica attiverà il nuovo download del profilo ADE aggiornato da ABM.
La registrazione può essere bloccata se i dispositivi appena acquistati vengono aggiunti automaticamente ad ABM durante il processo di acquisto. Tuttavia, se si utilizza Apple Configurator per aggiungere manualmente i dispositivi ad ABM, dopo la registrazione è disponibile un periodo di 30 giorni durante il quale è accessibile l'opzione "Esci dalla gestione remota". Trascorso questo periodo, il sistema rimuove l'opzione. Riferimento:Aggiungere dispositivi da Apple Configurator ad Apple Business Manager - Supporto Apple ( link esterno).
I dispositivi aggiunti ad ABM o ASM devono essere di proprietà dell'azienda, non di un utente finale. Non è possibile aggiungere un dispositivo di proprietà di un utente finale ad ABM. I telefoni verranno ripristinati in base ai requisiti delle politiche Apple durante la registrazione dei dispositivi Apple tramite ADE.
Riepilogo dei passaggi
I passaggi seguenti descrivono a grandi linee il flusso di lavoro di registrazione. Per aggiungere dispositivi a NinjaOne tramite ABM o ASM, è necessario:
- Configurare un certificato APNs, se non lo si è già fatto. Fare riferimento a NinjaOne MDM: Guida introduttiva alla gestione dei dispositivi Apple per le istruzioni su come procedere.
- Configurare l'integrazione ADE.
- Configurare il profilo di registrazione.
- Eseguire la sincronizzazione con ABM o ASM.
I passaggi da 2 a 4 sono descritti nelle sezioni seguenti di questo articolo.
Registrazione automatica dei dispositivi (ADE)
Per utilizzare l'ADE per i dispositivi Apple MDM, procedere come segue:
- Accedere a Amministrazione → App → Installate →NinjaOne MDM Apple.
Figura 1: Accedere alle app NinjaOne e alle integrazioni di terze parti
- Aprire la scheda Registrazione automatica dei dispositivi, quindi fare clic su Aggiungi profilo ADE.
Figura 2: Aggiungi un profilo ADE
Viene visualizzata la finestra di dialogo Aggiungi profilo di registrazione automatica dei dispositivi.
- Fare clic su Scarica file nel Passaggio 1 della finestra di dialogo e accedere alla cartella dei download per individuare il file PEM.
- Fare clic su uno dei collegamenti ipertestuali blu nel Passaggio 2 della finestra di dialogo.
Ai fini di questa guida, forniamo una procedura dettagliata del processo di registrazione tramite ABM. Il processo tramite ASM è quasi identico, ma non possiamo fornire schermate perché NinjaOne non ha lo status necessario per qualificarsi per un account.
- Nel portale di accesso Apple, inserisci il tuo ID Apple e la password e segui le istruzioni per effettuare l'accesso oppure utilizza i collegamenti ipertestuali forniti da Apple per creare un nuovo account.
- Fare clic su Dispositivi nel menu in alto, quindi selezionare Servizi di gestione. In fondo alla pagina, fare clic su Aggiungi.
- Crea un nome per il tuo server, che fungerà da connessione al profilo ADE individuale, quindi fai clic su Carica certificato. Seleziona il file PEM scaricato al Passaggio 3.
- Fai clic su Avanti.
- Fare clic su Scarica token di servizio e quindi su Fine.
- Torna a NinjaOne. Fai clic su Carica file nel Passaggio 3 della finestra di dialogo di configurazione ADE per aggiungere il file del token scaricato di recente nel Passaggio 9.
Facoltativamente, seleziona un'organizzazione, una posizione e un ruolo del dispositivo predefiniti per il sistema operativo specifico che stai aggiungendo (iOS, iPadOS o macOS). L'organizzazione selezionata sarà quella predefinita per tutti i dispositivi appartenenti al server MDM.
- Se elimini l'organizzazione, NinjaOne rimuoverà l'assegnazione dell'organizzazione.
- Se si configurano i requisiti per l'accesso dell'utente al fine di completare la registrazione del dispositivo, NinjaOne creerà una richiesta di autenticazione per gli utenti prima che la registrazione proceda. Questa azione garantisce che solo gli utenti autorizzati possano registrare i dispositivi. Il flusso di autenticazione utilizza l'attuale schermata di accesso di NinjaOne, incluso l'SSO se configurato. Una volta completata l'autenticazione, NinjaOne fornisce il profilo di registrazione e assegna automaticamente l'utente autenticato al record del dispositivo. Per i dispositivi Apple macOS, NinjaOne può impostare l'account locale in base alle informazioni dell'account dell'utente autenticato.
- È possibile modificare l'organizzazione o il ruolo del dispositivo in qualsiasi momento; se non assegnato, è necessario gestire manualmente la relazione tra organizzazione e dispositivo.
- Se si aggiungono più profili della stessa organizzazione, lasciando questo campo vuoto sarà possibile assegnare la configurazione predefinita a più profili in blocco in una fase successiva del processo.
- Non è possibile selezionare i ruoli del dispositivo se l'installatore avanzato non è attivo. Per ulteriori informazioni, consultare NinjaOne Agent: Selezione del ruolo del dispositivo.
- Per il certificato APNs assegnato, selezionare uno dei certificati da associare al profilo. Per aggiungere un nuovo certificato APNs per questo profilo, fare riferimento a MDM: Registrazione al servizio Apple Push Notification Service (APNs).
- Inserisci un indirizzo e-mail di assistenza e un numero di telefono come informazioni di contatto a cui l'utente del dispositivo potrà rivolgersi per ricevere aiuto.
- Fornire un identificatore univoco per il profilo ADE per distinguerlo dagli altri profili ADE in NinjaOne MDM, quindi fare clic su Salva.
Configurare o aggiornare il profilo ADE in NinjaOne
Una volta effettuata la registrazione, è necessario personalizzare l'esperienza di configurazione e il livello di controllo sul dispositivo.
- Aprire l'app MDM in NinjaOne Administration e fare clic su Modifica per la registrazione ADE.
Figura 8: Configurare o modificare i profili ADE in NinjaOne
La sezione Profilo di registrazione della finestra di dialogo di configurazione ADE si aprirà per impostazione predefinita.
- Aggiornare le informazioni di supporto e le configurazioni di gestione di base oppure forzare il dispositivo a saltare determinate schermate dell’Assistente di configurazione . Se non si desidera modificare le impostazioni predefinite singolarmente, è possibile impostarle in blocco per più profili utilizzando il configuratore predefinito.
- Nella sezione Salta voci di configurazione , seleziona l'interruttore per qualsiasi schermata che desideri che il dispositivo salti durante la configurazione iniziale. La pagina separa le voci da saltare in base al sistema operativo del dispositivo, includendo solo quelle visibili su iOS e iPadOS, visibili su macOS o condivise tra tutti i tipi di dispositivi Apple.
- Fai clic su Salva configurazione profilo.
- La modalità supervisionata abilita le configurazioni effettuate nella sezione iOS e iPadOS.
- L'interruttore MDM rimovibile si attiva automaticamente se la modalità supervisionata è disattivata e rimane attivo anche se la riattivi.
Aggiungi dispositivi a NinjaOne da ABM
È possibile aggiungere dispositivi non acquistati per ADE ad ABM o ASM con l'aiuto di Apple Configurator per iPhone (link esterno). Se Apple Configurator per iPhone non è disponibile, è possibile utilizzare anche Apple Configurator per macOS (link esterno).
- Aprire l'app MDM in Amministrazione e fare clic su Modifica per l'iscrizione ADE.
- Aprire la scheda Dispositivi e fare clic su Sincronizza con ABM.
- Se si aggiungono altri dispositivi all'ABM, tornare a questa pagina e fare nuovamente clic sul pulsante Sincronizza con ABM.
Figura 9: Configurare o modificare i profili ADE in NinjaOne
Rinnova token
Tutti i token dei profili ADE mostreranno i colori relativi allo stato di integrità accanto al loro nome nell'app NinjaOne Apple MDM.
Figura 10: Verifica dello stato di scadenza del profilo ADE in NinjaOne
| Colore | Stato | Condizione |
|---|---|---|
| Verde | In buono stato | Il token ADE è in regola e ha più di 90 giorni prima della scadenza. |
| Giallo | Richiede attenzione | Il token ADE scadrà tra meno di 90 giorni. Una volta scaduto, i dispositivi non potranno più registrarsi tramite ADE. |
| Rosso | Non valido | Il token ADE sta per scadere o è scaduto. Se scade, i dispositivi non potranno registrarsi tramite ADE. |
Si noti che la data di scadenza del token ADE è indicata in NinjaOne. Quando questo token scade, fare clic su Rinnova token e ripetere i passaggi di registrazione indicati in questo articolo per caricare un nuovo token da ABM.
È possibile rinnovare il profilo in qualsiasi momento, anche se lo stato è corretto.