Sdílet prostřednictvím

Nastavení registrace uživatelů Apple řízené účtem

  • Článek

Nastavte registraci uživatelů Apple řízenou účtem pro osobní zařízení zaregistrovaná v Microsoft Intune. Registrace uživatelů řízená účtem poskytuje rychlejší a uživatelsky přívětivější prostředí pro registraci než registrace uživatelů pomocí Portál společnosti. Uživatel zařízení zahájí registraci přihlášením ke svému pracovnímu účtu v aplikaci Nastavení. Poté, co uživatel schválí správu zařízení, registrační profil bezobslužně nainstaluje a Intune zásady se použijí. Intune používá k ověřování registraci za běhu (JIT) a aplikaci Microsoft Authenticator, aby se snížil počet přihlášení uživatelů během registrace a při přístupu k pracovním aplikacím.

Tento článek popisuje, jak nastavit registraci uživatelů Apple řízenou účtem v Microsoft Intune. Budete:

  • Nastavte registraci JIT.
  • Vytvořte registrační profil.
  • Připravte zaměstnance a studenty na registraci.

Požadavky

Microsoft Intune podporuje registraci uživatelů Apple řízenou účtem na zařízeních s iOS/iPadOS verze 15 nebo novější. Pokud uživatelům zařízení se systémem iOS/iPadOS 14.9 nebo starším přiřadíte registrační profil uživatele řízený účtem, Microsoft Intune je automaticky zaregistruje prostřednictvím registrace uživatelů pomocí Portál společnosti.

Před zahájením instalace proveďte následující úlohy:

Musíte také nastavit zjišťování služeb, aby se Apple mohl spojit se službou Intune a načíst informace o registraci. Pokud chcete tuto podmínku splnit, nastavte a publikujte známý soubor prostředků HTTP ve stejné doméně, ke které se přihlašují zaměstnanci. Apple tento soubor načte prostřednictvím požadavku HTTP GET na “https://contoso.com/.well-known/com.apple.remotemanagement”adresu s doménou vaší organizace místo contoso.com. Publikujte soubor v doméně, která dokáže zpracovávat požadavky HTTP GET.

Poznámka

Dobře známý soubor prostředků musí být uložen bez přípony souboru, například .json, aby fungoval správně.

Vytvořte soubor ve formátu JSON s typem obsahu nastaveným na application/json. Poskytujeme následující ukázky JSON, které můžete zkopírovat a vložit do souboru. Použijte ten, který je v souladu s vaším prostředím. Nahraďte proměnnou YourADTenantID v základní adrese URL Microsoft Entra ID tenanta vaší organizace.

Microsoft Intune prostředí:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune pro prostředí státní správy USA:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune provozovaná společností 21 Vianet v čínských prostředích:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Zbytek ukázky JSON se naplní všemi informacemi, které potřebujete, včetně následujících:

  • Verze: Verze serveru je mdm-byod.
  • BaseURL: Tato adresa URL je umístění, kde se nachází služba Intune.

Tip

Další informace o technických požadavcích na zjišťování služeb najdete v tématu Implementace toku jednoduché registrace uživatelů ověřování v dokumentaci pro vývojáře Apple.

Osvědčené postupy

Doporučujeme další konfigurace, které uživatelům zařízení pomůžou zlepšit prostředí registrace. Tato část obsahuje další informace o jednotlivých doporučeních.

Nasazení webové aplikace Portál společnosti

Nasaďte verzi webové aplikace Portál společnosti Intune webu, aby uživatelé měli rychlý přístup ke stavu zařízení, akcím zařízení a informacím o dodržování předpisů. Webová aplikace se zobrazí na domovské obrazovce a funguje jako odkaz na Portál společnosti web. Bez webové aplikace mají uživatelé zařízení stále přístup k Portál společnosti webu, ale musí otevřít prohlížeč a zadat adresu do vyhledávacího pole. Další informace o tom, jak přidat webovou aplikaci, najdete v tématu Přidání webových aplikací do Microsoft Intune.

Povolení federovaného ověřování

Registrace uživatelů Apple vyžaduje, abyste registračním uživatelům vytvořili a poskytli spravovaná Apple ID. Pokud povolíte federované ověřování, které se skládá z propojení Apple Business Manageru s Microsoft Entra ID, nemusíte vytvářet a poskytovat jedinečná Apple ID každému uživateli. Místo toho se uživatel zařízení může přihlásit ke svým aplikacím pomocí stejných přihlašovacích údajů, které používá pro svůj pracovní účet. Další informace najdete v části Úvod do federovaného ověřování pomocí Apple Business Manageru v uživatelské příručce k Apple Business Manageru.

Krok 1: Nastavení registrace podle časového limitu a přiřazení aplikace Microsoft Authenticator

Nakonfigurujte registraci za běhu a přiřaďte aplikaci Microsoft Authenticator jako požadovanou aplikaci. Postup najdete v tématu Nastavení registrace JIT v Intune. Až budete hotovi, vraťte se k tomuto článku, abyste mohli pokračovat k dalšímu kroku.

Krok 2: Vytvoření registračního profilu

Vytvořte registrační profil pro zařízení, která se registruje prostřednictvím registrace uživatelů řízené účty. Registrační profil aktivuje prostředí registrace uživatele zařízení a umožní mu zahájit registraci z aplikace Nastavení.

  1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.

  2. Vyberte kartu Apple .

  3. V části Možnosti registrace zvolte Typy registrace.

  4. Vyberte Vytvořit profil>iOS/iPadOS.

  5. Na stránce Základy zadejte název a popis profilu, abyste ho mohli odlišit od ostatních profilů v Centru pro správu. Uživatelé zařízení tyto podrobnosti nevidí.

  6. Vyberte Další.

  7. Na stránce Nastavení v části Typ registrace vyberte, jak chcete zařízení registrovat. Můžete zvolit způsob registrace nebo povolit uživatelům, aby si zvolili sami. Jejich volba určuje proces registrace, který Microsoft Intune provést. Odráží se také v atributu vlastnictví zařízení v Microsoft Intune. Další informace o uživatelském prostředí a o tom, co uvidí při registraci na obrazovce, najdete v tématu Nastavení osobního zařízení s iOSem pro práci nebo školu.

    Možnosti:

    • Registrace uživatelů řízená účtem: Přiřazení uživatelé, kteří zahajují registraci, se zaregistrují prostřednictvím registrace uživatelů řízené účtem.

    • Určení na základě volby uživatele: Přiřazení uživatelé, kteří zahájí registraci, můžou vybrat, jak chtějí zařízení zaregistrovat. Jejich možnosti:

      • Vlastním toto zařízení: Při tomto výběru se zobrazí další nastavení. Uživatel má možnost zabezpečit celé zařízení nebo jenom zabezpečit aplikace a data související s prací.

      • (Společnost) vlastní toto zařízení: Zařízení se zaregistruje prostřednictvím registrace zařízení Apple. Další informace o této metodě registrace najdete v tématu Registrace zařízení a MDM na webu podpory Apple.

  8. Vyberte Další.

  9. Na stránce Přiřazení přiřaďte profil všem uživatelům nebo vyberte konkrétní skupiny. Skupiny zařízení se ve scénářích registrace uživatelů nepodporují, protože registrace uživatelů vyžaduje identity uživatelů.

  10. Vyberte Další.

  11. Na stránce Zkontrolovat a vytvořit zkontrolujte své volby a pak vyberte Vytvořit a dokončete vytváření profilu.

Krok 3: Příprava zaměstnanců na registraci

Pokud chcete zahájit registraci zařízení na osobním zařízení, musí vlastník zařízení přejít do aplikace Nastavení a přihlásit se pomocí svého pracovního nebo školního účtu. Pokud se pokusí přihlásit k aplikaci pomocí svého pracovního nebo školního účtu, aplikace je upozorní na požadavek registrace a řekne jim, jak postupovat.

Tato část popisuje postup registrace pro uživatele zařízení. Tyto informace doporučujeme použít v dokumentaci k onboardingu zařízení vaší organizace nebo pro řešení potíží a podporu.

  1. Na zařízení otevřete aplikaci Nastavení .
  2. Vyberte Obecné.
  3. Vyberte & Správa zařízení VPN.
  4. Přihlaste se pomocí svého pracovního nebo školního účtu nebo pomocí Apple ID, které vám poskytla vaše organizace.
  5. Vyberte Přihlásit se k iCloudu.
  6. Zadejte heslo pro uživatelské jméno, které se zobrazí na obrazovce. Pak vyberte Pokračovat.
  7. Vyberte Povolit vzdálenou správu.
  8. Počkejte několik minut, než se vaše zařízení nakonfiguruje a nainstaluje profil správy.
  9. Pokud chcete ověřit, že je vaše zařízení připravené k použití pro práci, přejděte na & Správa zařízení VPN. Ověřte, že je váš pracovní účet uvedený v části SPRAVOVANÝ ÚČET.
  10. Pro přístup k pracovním aplikacím se vyžaduje Microsoft Authenticator. Počkejte několik minut po registraci, než se na vaše zařízení nainstaluje authenticator. Pokud se pokusíte přihlásit k pracovní aplikaci bez authenticatoru, zobrazí se chybová zpráva.
  11. Můžou se zobrazit další výzvy s žádostí o schválení instalace pracovních aplikací. Pokud chcete instalaci schválit, vyberte Nainstalovat .

Priorita profilu

Intune použije registrační profily v pořadí, v jakém jim nastavíte prioritu. Pokud chcete změnit pořadí, ve kterém se použijí:

  1. Zpět k typům registrace a zobrazte si profily.
  2. Přetažením profilů v seznamu změníte pořadí jejich priority.

Pokud dojde ke konfliktu, protože uživateli je přiřazeno více než jeden profil, Intune použije profil s vyšší prioritou.

Odebrání zařízení ze správy

Svazky a kryptografické klíče vytvořené pro správu pracovních dat v zařízení se vymažou, když zařízení zruší registraci z Intune.

Známé problémy

Tato část popisuje aktuální známé problémy s registrací uživatelů Apple řízenou účtem a Microsoft Intune.

Registrace selže kvůli aplikaci jednotného přihlašování k registraci

Pokud je aplikace Microsoft Authenticator na zařízení před zahájením registrace, registrace selže, když se uživatel zařízení pokusí přihlásit pomocí svého pracovního nebo školního účtu v aplikaci Nastavení. Zpráva, kterou obdrží, říká:

  • Název: Přihlášení selhalo
  • Popis: Na zařízení je nainstalovaná aplikace jednotného přihlašování k registraci.

Aby se tento problém vyřešil, musí uživatel zařízení odinstalovat aplikaci Microsoft Authenticator a restartovat registraci.

Další kroky