Migrazione MDM “nativa” in macOS Tahoe e iOS/iPadOS 26: addio al ripristino dei dispositivi

Davide SalsiEnterprise Mobility, Microsoft Intune

Con l’arrivo di macOS Tahoe e iOS/iPadOS 26, Apple ha introdotto una delle innovazioni più significative degli ultimi anni in ambito di gestione dei dispositivi mobili: la possibilità di migrare in modo nativo da un MDM a un altro senza dover effettuare il wipe del dispositivo o coinvolgere l’utente finale. Questa funzionalità, integrata in Apple Business Manager (ABM) e Apple School Manager (ASM), risponde a una necessità concreta delle aziende che desiderano migrare la gestione dei propri dispositivi verso altre soluzioni senza compromettere la produttività.

Il nuovo flusso di migrazione consente di pianificare e automatizzare il passaggio da soluzioni come Workspace ONE, MobileIron/Ivanti o altri sistemi MDM verso una nuova piattaforma, ad esempio Microsoft Intune, mantenendo un controllo completo e sicuro del processo. Apple ha introdotto una gestione coordinata tra ABM, il sistema operativo e il nuovo MDM, in grado di definire le tempistiche e lo stato della migrazione, fino al completamento dell’enrollment sul nuovo MDM.

In questo articolo, esploreremo come implementare questa nuova funzionalità e perché potrebbe essere una scelta strategica per i decision maker.

Panoramica

Il nuovo meccanismo di migrazione MDM introdotto da Apple con macOS Tahoe e iOS/iPadOS 26 rappresenta un’evoluzione strutturale nel modo in cui le aziende possono gestire il ciclo di vita dei propri dispositivi. Non si tratta semplicemente di una funzione aggiuntiva, ma di un cambio di paradigma nella gestione enterprise: Apple ha infatti stravolto il processo passando da una modalità “disraptive” basata su “reset e riconfigurazione” verso un approccio di continuità operativa, riducendo al minimo l’impatto per utenti e amministratori.

La nuova logica di migrazione sfrutta meccanismi a livello di sistema operativo per coordinare l’unenroll automatico dal vecchio MDM ed il successivo enroll sulla nuova piattaforma conservando le configurazioni e garantendo al contempo sicurezza, continuità e conformità.

Durante il processo, ABM comunica con entrambi i sistemi MDM per gestire il passaggio del device e definire una scadenza (deadline) entro la quale la migrazione deve essere completata. Gli utenti ricevono delle apposite notifiche fino alla data stabilita; nel caso in cui l’utente non esegue manualmente tale operazione, il dispositivo effettua la migrazione in automatico, completando la registrazione sul nuovo MDM.

Dal punto di vista tecnico, Apple ha introdotto un profondo miglioramento nella gestione delle app gestite (Managed Apps) e dei relativi dati aziendali. Durante la migrazione, se il nuovo MDM installa le stesse app prima di inviare il comando DeviceConfigured, i dati e le impostazioni delle app rimangono intatti; questo significa che l’utente non dovrà provvedere alla reinstallazione manuale delle applicazioni rendendo così il processo più rapido e meno invasivo rispetto a un reset completo del dispositivo.

L’integrazione di queste funzionalità si appoggia al modello Declarative Device Management (DDM), che sposta parte della logica di configurazione e validazione direttamente sul dispositivo in modo tale da essere meno dipendente dalle latenze dei server MDM.

Considerando quanto descritto in precedenza, è possibile individuare alcuni vantaggi chiave relativi a tale funzionalità, come:

  • Riduzione dei tempi di migrazione: la migrazione può essere pianificata e completata senza dover formattare i dispositivi, eliminando i tempi di setup e riconfigurazione manuale.
  • Continuità per l’utente finale: i dati aziendali e le app gestite restano disponibili, garantendo una migrazione trasparente e quasi impercettibile per chi utilizza il dispositivo.
  • Automazione del processo: la gestione coordinata tra ABM e i due MDM riduce drasticamente gli interventi manuali, abbattendo il rischio di errore.
  • Maggior sicurezza dei dati: il sistema operativo protegge i meccanismi di cifratura e rigenera automaticamente le chiavi di sicurezza (come la FileVault PRK) sul nuovo MDM.
  • Compatibilità con i processi di compliance aziendale: la gestione di Activation Lock, FileVault ed eventuali altri profili di sicurezza è garantita anche durante il passaggio, senza perdita di controllo.

Tra le piattaforme compatibili con il nuovo processo di migrazione, Microsoft Intune è oggi la soluzione più completa per unire la gestione dei dispositivi Apple all’interno di un ecosistema IT unificato; infatti, grazie all’integrazione con Microsoft 365 ed Entra ID, Intune consente di consolidare sicurezza, compliance e produttività in un’unica interfaccia di gestione.

I principali vantaggi del passaggio verso Intune includono:

  • Gestione unificata multipiattaforma, con policy e controlli coerenti per Apple, Windows e Android.
  • Compatibilità con il modello DDM di Apple, che abilita configurazioni e reporting quasi in tempo reale.
  • Automazione completa del ciclo di vita del device, dalla distribuzione alla migrazione, fino al decommissioning.
  • Integrazione con ABM per la gestione di app e licenze, che semplifica la reinstallazione e l’assegnazione dei contenuti durante la transizione.

Requisiti

I requisiti per poter attivare la nuova funzionalità Apple sono:

  • Requisiti Apple*
    • Dispositivi aggiornati a macOS 26 (Tahoe) o iOS/iPadOS 26 o versioni successive.
    • Device aziendali registrati tramite Automated Device Enrollment (ADE).
    • Se i device sono stati aggiunti attraverso Apple Configurator, deve essere trascorso il periodo provvisorio di 30 giorni.
    • L’utente deve possedere il ruolo di Administrator o Device Enrollment Manager;
    • L’organizzazione deve gestire i dispositivi tramite un Apple Business Manager (o School Manager) configurato con entrambi gli MDM coinvolti nella migrazione.
  • Requisiti MDM
    • Entrambi gli MDM devono supportare le API di migrazione Apple e Declarative Device Management (DDM).
    • Il nuovo MDM deve essere correttamente registrato in ABM come server di destinazione e abilitato per l’enrollment automatico.
    • Presenza di certificati MDM, server token e token VPP aggiornati.
    • Supporto al FileVault escrow, bootstrap token e alla rotazione automatica della PRK (per device macOS).
    • Configurazione preventiva di profili critici (Wi-Fi, VPN, certificati) da applicare nella fase di “Await Final Configuration”.

* Nel caso in cui uno o più requisiti Apple non risultino essere soddisfatti, lato portale Apple Business Manager, non sarà possibile impostare la deadline per la migrazione.

Processo di migrazione MDM

La procedura di migrazione verso un nuovo MDM per device registrati attraverso Apple Business Manager risulta essere molto semplice:

  • Eseguire l’accesso al portale Apple Business Manager con credenziali amministrative;
  • Accedere alla sezione Devices e selezionare il/i device che si intende migrare;
  • Premere sul pulsante relativo alle azioni aggiuntive presente nell’angolo in alto a destra del riquadro dei dettagli e selezionare l’opzione Assign Device Management:
Figura 1 – Assegnazione nuovo MDM
  • Selezionare l’MDM di destinazione;
  • Se tutti i requisiti risultano essere soddisfatti, sarà possibile selezionare l’opzione Add Deadline;
  • Impostare giorno e ora per la scadenza della registrazione (questa sarà la data in cui il dispositivo forzerà la migrazione se l’utente finale non interverrà prima);
Figura 2 – Definizione deadline
  • Confermare il processo di migrazione attraverso l’apposito pulsante di conferma;
Figura 3 – Conferma assegnazione MDM
  • Verificare che il processo di migrazione si completi con esito positivo;
Figura 4 – Assegnazione nuovo MDM completata con successo
Figura 5 – Definizione nuovo MDM
  • Completate le attività di assegnazione ed al termine dell’apposita sincronizzazione, il device risulterà visibile sul nuovo MDM (nel nostro caso Microsoft Intune);
Figura 6 – Sincronizzazione device ABM con Intune

User Experience

Riportiamo qui sotto alcuni screenshot relativi alla user experience fornita durante il processo di migrazione di un device iPad verso il nuovo MDM senza la necessità di eseguire un wipe del device stesso.

All’utente, verrà proposto periodicamente di avvisare la procedura di migrazione entro la data prestabilita:

Figura 7 – Richiesta di registrazione su nuovo MDM

Una volta avviata la procedura attraverso l’apposito pulsante Start Enrollment, il device effettuerà le opportune attività di configurazione fino alla richiesta di riavvio.

Figura 8 – Richiesta riavvio device

Durante la successiva fase di avvio, sarà possibile avviare l’enrollment sul nuovo MDM selezionando l’apposita opzione ed inserendo le apposite credenziali aziendali.

Figura 9 – Enrollment dispositivo su nuovo MDM

Al termine del processo, il device risulterà registrato (in modalità corporate) sul nuovo MDM mantenendo però tutti i dati utente presenti in precedenza.

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

Conclusioni

La nuova funzionalità di migrazione MDM introdotta da Apple con macOS Tahoe e iOS/iPadOS 26 segna un punto di svolta nella gestione dei dispositivi aziendali. Per la prima volta, le organizzazioni possono trasferire i propri device tra sistemi di gestione diversi senza wipe, senza perdita di dati e con piena tutela delle impostazioni di sicurezza.

L’adozione di Microsoft Intune come piattaforma di destinazione completa il quadro, offrendo un ecosistema integrato nel mondo Microsoft 365; inoltre, Intune consente di sfruttare appieno le potenzialità del nuovo framework MDM di Cupertino, automatizzando la fase di enrollment, monitorando la conformità in tempo reale e garantendo continuità tra i mondi Apple e Microsoft.