Nicola Ferrini

Microsoft Intune – Enrollment dei dispositivi personali (BYOD) Apple iOS e iPadOS

Visualizzazioni: 1.086

La gestione dei dispositivi BYOD (Bring Your Own Device) Apple iOS e iPadOS con Microsoft Intune è un processo che mira a bilanciare la sicurezza dei dati aziendali con la flessibilità e la comodità per gli utenti finali che portano i propri dispositivi personali sul posto di lavoro. Microsoft Intune offre diverse funzionalità e metodi di registrazione per supportare scenari BYOD, garantendo che i dati aziendali rimangano protetti mentre gli utenti mantengono la privacy e il controllo sui loro dati personali.

Metodi di Registrazione e Gestione

Registrazione dei dispositivi: Gli utenti possono registrare i loro dispositivi iOS/iPadOS in Intune utilizzando diversi metodi, tra cui la registrazione automatica dei dispositivi (ADE), Apple Configurator o la registrazione di dispositivi personali. Questi metodi differiscono in base alle esigenze aziendali, come l’uso di autenticazione multi-fattore, l’installazione automatica dell’app Portale Aziendale (Company Portal) e la scelta tra l’uso del dispositivo prima o dopo l’installazione dell’app Portale Aziendale.

User Enrollment: Per i dispositivi BYOD, Intune supporta l’User Enrollment di Apple, una soluzione specifica per scenari BYOD che separa i dati di lavoro dai dati personali dell’utente su dispositivi di proprietà dell’utente. Questo metodo configura il dispositivo in modo che i dati di lavoro siano memorizzati in un volume separato e in app gestite, proteggendo i dati personali dell’utente da accessi aziendali non autorizzati.

Limitazioni

Con l’User Enrollment, Intune non raccoglie l’inventario delle app al di fuori del volume gestito del file system Apple, né l’inventario dei certificati e dei profili di provisioning al di fuori del volume gestito. Inoltre, identificatori persistenti del dispositivo come UDID, numero di telefono, numero di serie e IMEI non vengono raccolti. Alcune funzionalità, come i profili SCEP con formato del nome soggetto di numero di serie, l’installazione di app dall’App Store Apple come app gestite e il controllo MDM delle app al di fuori del volume gestito, non sono supportate.

Figura 1: Opzioni di enrollment per i dispositivi iOS e iPadOS

Prerequisiti

Per l’enrollment dei dispositivi iOS/iPadOS personali (BYOD) con Microsoft Intune ci sono diversi prerequisiti e passaggi da seguire:

Prerequisiti Generali per l’Iscrizione dei Dispositivi in Intune

  1. Configurazione di Intune e Microsoft Entra ID: Assicurati che Intune sia configurato e pronto per l’iscrizione di utenti e dispositivi. Ciò include l’impostazione dell’Authority di Gestione dei Dispositivi Mobili (MDM) su Intune, l’assegnazione delle licenze Intune e il controllo del supporto del dispositivo.
  2. Ruoli e accessi: Accedi come amministratore globale o amministratore del servizio Intune per configurare i prerequisiti e le politiche di iscrizione.
  3. Certificato Push MDM di Apple per dispositivi iOS/iPadOS: Per i dispositivi Apple è necessario un certificato MDM Push per facilitare la comunicazione tra i dispositivi e Intune.
  4. Gestione dell’enrollment dei Dispositivi (DEM): Se stai considerando il bul enrollment prendete in considerazione la creazione di un account Device Enrollment Manager (DEM) che può iscrivere fino a 1.000 dispositivi mobili.
  5. Ripristino dei dispositivi: Se i dispositivi sono iscritti a un altro provider MDM, dovrebbero essere disiscritti da tale provider prima di effettuarre l’enriollent in Intune. A seconda della piattaforma, potrebbe essere necessario eseguire un ripristino di fabbrica prima dell’iscrizione in Intune.

Prerequisiti specifici per User Enrollment con Portale Aziendale per iOS/iPadOS

Per l’enrollment di dispositivi personali iOS/iPadOS tramite il Portale Aziendale ci sono ulteriori prerequisiti specifici:

  1. Versioni supportate: L’iscrizione degli utenti con Portale Aziendale è supportata sui dispositivi che eseguono iOS versione 13 o successiva e iPadOS versione 13.1 o successiva.
  2. ID Apple gestiti: Per l’iscrizione degli utenti, è necessario creare e fornire ID Apple gestiti agli utenti che si stanno iscrivendo. Questo può essere semplificato abilitando l’autenticazione federata, che collega Apple Business Manager con Microsoft Entra ID, consentendo agli utenti di accedere alle app con le stesse credenziali utilizzate per il loro account di lavoro.
  3. Profilo di iscrizione: Create un profilo di enrollment nel portale amministrativo di Intune per l’Iscrizione degli Utenti con Portale Aziendale, assegnandolo agli utenti o ai gruppi specifici.

Questi passaggi garantiscono che l’iscrizione dei dispositivi personali (BYOD) in Intune sia configurata correttamente per proteggere i dati aziendali mantenendo separati e protetti i dati personali dell’utente sul dispositivo.

Creazione dell’Apple MDM (Mobile Device Management) Push Certificate

L’Apple MDM (Mobile Device Management) Push Certificate è cruciale per gestire dispositivi Apple in ambienti aziendali o educativi tramite piattaforme MDM come Microsoft Intune. Questo certificato abilita la comunicazione sicura tra la piattaforma MDM e i dispositivi Apple, permettendo operazioni di gestione remota.

Le funzionalità chiave incluse sono: registrazione e configurazione automatica dei dispositivi, distribuzione e gestione delle applicazioni, imposizione delle politiche di sicurezza e conformità, e monitoraggio dello stato dei dispositivi. Questo offre alle aziende un miglior controllo e sicurezza sui dispositivi Apple, protezione dei dati aziendali, conformità agli standard, riduzione dei costi IT e miglior supporto remoto​.

Per creare un nuovo Apple MDM (Mobile Device Management) Push Certificate collegatevi al portale di Microsoft Intune e scegliete Devices > Enrollment e fare clic sulla scheda Apple.

Figura 2: Creazione di un nuovo Apple MDM (Mobile Device Management) Push Certificate

Accettate la licenza e scaricate la Intune Certificate Signing Request (CSR). La CSR è una richiesta di firma di un certificato che viene generata dal richiedente per l’emissione di un certificato digitale. Contiene informazioni identificative chiave come il nome dell’organizzazione e il dominio per cui il certificato sarà valido, oltre alla chiave pubblica del richiedente. La CSR viene inviata a un’autorità di certificazione (CA), che la usa per creare il certificato digitale finale.

Figura 3: Download della CSR (Certificate Signing Request)

Cliccate sul link Create your MDM push certificate per passare al portale di Apple e creare un nuovo certificato. La creazione del certificato MDM Push è essenziale per abilitare una piattaforma di gestione dei dispositivi mobili (MDM), come Microsoft Intune, a comunicare e gestire dispositivi iOS/iPadOS e macOS all’interno di un’azienda. Serve a stabilire un canale sicuro tra il server MDM e i dispositivi Apple, permettendo operazioni come l’enrollment dei dispositivi, la distribuzione delle applicazioni, l’imposizione delle politiche di sicurezza e la raccolta delle informazioni di inventario del dispositivo.

Figura 4: Creazione del certificato di MDM Push

Per creare un certificato MDM Push sul portale Apple dovete utilizzare l’ID Apple dell’organizzazione. È raccomandato usare un ID Apple associato a un indirizzo e-mail aziendale e gestito da più persone, ad esempio tramite una lista di distribuzione, per evitare problemi di accesso o gestione del certificato nel futuro. Questo assicura che il certificato sia legato all’organizzazione e non a un individuo specifico.

Figura 5: Accesso al portale Apple con l’ID Apple dell’azienda

Per autenticarmi al portale Apple ho utilizzato Passkey. Passkey in Windows 11 è una funzionalità introdotta per migliorare la sicurezza e la comodità degli accessi ai siti web e alle applicazioni. Rappresenta una soluzione alternativa alle tradizionali password, basandosi su un sistema di autenticazione più sicuro e intuitivo, con la comodità aggiunta della sincronizzazione dei Passkey tra dispositivi all’interno dello stesso ecosistema o sistema operativo.

Per maggiori informazioni su Passkey in Windows 11 vi invito a leggere la mia guida NicolaFerrini.it – Configurare ed utilizzare le Passkey in Windows 11

Figura 6: Autenticazione al portale Apple con l’ID Apple dell’azienda e l’utilizzo di Passkey

Seguite le indicazioni che vi appariranno sul vostro dispositivo Apple per procedere con l’autenticazione.

Figura 7: Autenticazione al portale Apple con l’ID Apple dell’azienda e l’utilizzo di Passkey

Nel portale Apple Push Certificates vengono creati e gestiti i certificati MDM Push necessari per la comunicazione sicura tra il server MDM (Microsoft Intune) e i dispositivi Apple. Dopo aver effettuato l’accesso con l’ID Apple dell’azienda potete richiedere un nuovo certificato, caricando la CSR generata da Microsoft Intune e che avete precedentemente salvato. Una volta creato il certificato, scaricatelo per poi importarlo in Microsoft Intune.

NOTA: È importante ricordare di rinnovare il certificato annualmente per mantenere la gestione dei dispositivi.

Figura 8: Creazione di un nuovo Apple Push Certificate

Figura 9: Accettazione dei termini di utilizzo

Figura 10: Upload della CSR (Certificate Signing Request) precedentemente creta in Microsoft Intune

Figura 11: Download del certificato creato

Una volta generato il certificato MDM Push sul portale Apple potete tornare nella schermata di Microsoft Intune e compilare i campi come richiesti, caricando il file PEM che avete scaricato.

Figura 12: Caricamento del certificato MDM Push nel portale di Microsoft Intune

La procedura di configurazione dell’MDM Push certificate è a questo punto completata.

Figura 13: Procedura di configurazione dell’MDM Push certificate completata

Riceverete anche una mail all’indirizzo associato al vostro account Apple che vi avviserà dell’avvenuta generazione del certificato di MDM Push.

Figura 14: Mail che avvisa dell’avvenuta generazione del certificato di MDM Push

Enrollment dei dispositivi personali (BYOD) Apple iOS e iPadOS utilizzando l’app Portale Aziendale

Per effettuare l’enrollment dei dispositivi iOS tramite l’app Portale Aziendale, l’utente deve scaricare e installare l’app dallo Store, avviare l’app e seguire le istruzioni per accedere con le credenziali aziendali. Durante questo processo, l’app guiderà l’utente attraverso i passaggi necessari per registrare il dispositivo nel sistema MDM dell’organizzazione, consentendo così all’azienda di gestire il dispositivo in modo sicuro e distribuire le risorse aziendali necessarie.

Nelle figure sotto sono mostrate tutte le schermate che appariranno all’utente:

Dopo aver fatto l’enrollment di un dispositivo tramite Microsoft Intune, nel portale vedrete il dispositivo aggiunto all’elenco dei dispositivi gestiti. Potrete visualizzare varie informazioni su di esso, come il modello, il sistema operativo, lo stato di conformità e dettagli sulla registrazione. Avrete anche la possibilità di applicare policy, configurazioni, installare applicazioni, eseguire azioni remote come il blocco, la cancellazione, o la reimpostazione della password del dispositivo e monitorare la sua conformità alle politiche aziendali.

Figura 15: Dispositivo BYOD gestito da Microsoft Intune

Figura 16: Informazioni hardware del dispositivo

Per i dispositivi personali gestiti tramite Intune con una registrazione che separa i dati aziendali da quelli personali (ad esempio, User Enrollment per dispositivi iOS/iPadOS), l’accesso alle informazioni sulle app personali è limitato per proteggere la privacy dell’utente. Gli amministratori possono visualizzare e gestire solo le app aziendali distribuite tramite Intune, senza accesso alle app personali installate dall’utente.

Figura 17: Gli amministratori possono visualizzare e gestire solo le app aziendali distribuite tramite Intune, senza accesso alle app personali installate dall’utente

Conclusioni

La gestione dei dispositivi BYOD Apple iOS e iPadOS con Microsoft Intune offre un equilibrio tra sicurezza dei dati aziendali e privacy degli utenti. Intune facilita l’enrollment, la configurazione e la gestione remota dei dispositivi, permettendo alle aziende di applicare politiche di sicurezza e conformità, distribuire applicazioni aziendali, e monitorare i dispositivi. Questo sistema consente agli utenti di mantenere la propria privacy su dispositivi personali, mentre le aziende possono assicurare la protezione dei dati sensibili.