Accountgestuurde Apple-gebruikersinschrijving instellen

Accountgestuurde Apple-gebruikersinschrijving instellen voor persoonlijke apparaten die worden ingeschreven in Microsoft Intune. Accountgestuurde gebruikersinschrijving biedt een snellere en gebruiksvriendelijkere inschrijvingservaring dan gebruikersinschrijving met Bedrijfsportal. De gebruiker van het apparaat start de inschrijving door zich aan te melden bij het werkaccount in de app Instellingen. Nadat de gebruiker apparaatbeheer heeft goedgekeurd, wordt het inschrijvingsprofiel op de achtergrond geïnstalleerd en worden Intune-beleid toegepast. Intune maakt gebruik van JIT-registratie (Just-In-Time) en de Microsoft Authenticator-app voor verificatie om het aantal keren dat gebruikers zich moeten aanmelden tijdens de inschrijving en bij het openen van werk-apps te verminderen.

In dit artikel wordt beschreven hoe u accountgestuurde Apple-gebruikersinschrijving instelt in Microsoft Intune. U doet het volgende:

• JIT-registratie instellen.
• Maak een inschrijvingsprofiel.
• Bereid werknemers en studenten voor op inschrijving.

Vereisten

Microsoft Intune ondersteunt accountgestuurde Apple-gebruikersinschrijving op apparaten met iOS/iPadOS versie 15 of hoger. Als u een accountgestuurd gebruikersinschrijvingsprofiel toewijst aan apparaatgebruikers met iOS/iPadOS 14.9 of lager, Microsoft Intune deze automatisch inschrijven via gebruikersinschrijving met Bedrijfsportal.

Voer de volgende taken uit voordat u begint met de installatie:

• MDM-instantie (Mobile Device Management) instellen
• Apple MDM-pushcertificaat ophalen
• Beheerde Apple-id's maken voor apparaatgebruikers (hiermee opent u de apple-ondersteuningswebsite)

U moet ook servicedetectie instellen zodat Apple de Intune-service kan bereiken en inschrijvingsgegevens kan ophalen. Als u aan deze vereiste wilt voltooien, moet u een bekend HTTP-resourcebestand instellen en publiceren op hetzelfde domein als waarbij werknemers zich aanmelden. Apple haalt het bestand op via een HTTP GET-aanvraag naar “https://contoso.com/.well-known/com.apple.remotemanagement”, met het domein van uw organisatie in plaats van contoso.com. Publiceer het bestand in een domein dat HTTP GET-aanvragen kan verwerken.

Opmerking

Het bekende resourcebestand moet worden opgeslagen zonder een bestandsextensie, zoals .json, om correct te kunnen functioneren.

Maak het bestand in JSON-indeling, waarbij het inhoudstype is ingesteld op application/json. We bieden de volgende JSON-voorbeelden die u kunt kopiëren en plakken in uw bestand. Gebruik de functie die overeenkomt met uw omgeving. Vervang de variabele YourAADTenantID in de basis-URL door de Microsoft Entra tenant-id van uw organisatie.

Microsoft Intune omgevingen:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune voor omgevingen van de Amerikaanse overheid:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune beheerd door 21 Vianet in China-omgevingen:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

De rest van het JSON-voorbeeld wordt gevuld met alle informatie die u nodig hebt, waaronder:

• Versie: De serverversie is mdm-byod.
• BaseURL: Deze URL is de locatie waar de Intune-service zich bevindt.

Tip

Zie De eenvoudige verificatiestroom voor gebruikersinschrijving implementeren in de Apple Developer-documentatie voor meer informatie over de technische vereisten voor servicedetectie.

Aanbevolen procedures

We raden extra configuraties aan om de inschrijvingservaring voor apparaatgebruikers te verbeteren. In deze sectie vindt u meer informatie over elke aanbeveling.

Bedrijfsportal web-app implementeren

Implementeer de web-app-versie van de Intune-bedrijfsportal-website, zodat gebruikers snel toegang hebben tot apparaatstatus, apparaatacties en nalevingsinformatie. De web-app wordt weergegeven op het startscherm en fungeert als een koppeling naar de Bedrijfsportal-website. Zonder de web-app hebben gebruikers nog steeds toegang tot de Bedrijfsportal website, maar moeten ze de browser openen en het adres in het zoekveld typen. Zie Web-apps toevoegen aan Microsoft Intune voor meer informatie over het toevoegen van een web-app.

Federatieve verificatie inschakelen

Apple-gebruikersinschrijving vereist dat u beheerde Apple-id's maakt en opgeeft om gebruikers in te schrijven. Als u federatieve verificatie inschakelt, die bestaat uit het koppelen van Apple Business Manager aan Microsoft Entra ID, hoeft u geen unieke Apple-id's aan elke gebruiker te maken en op te geven. In plaats daarvan kan een apparaatgebruiker zich aanmelden bij zijn of haar apps met dezelfde referenties die ze gebruiken voor hun werkaccount. Zie Inleiding tot federatieve verificatie met Apple Business Manager in de Gebruikershandleiding voor Apple Business Manager voor meer informatie.

Stap 1: Just-In-Time-registratie instellen en Microsoft Authenticator toewijzen

Just-In-Time-registratie configureren en Microsoft Authenticator toewijzen als een vereiste app. Zie JIT-registratie instellen in Intune voor stappen. Ga terug naar dit artikel wanneer u klaar bent, zodat u verder kunt gaan met de volgende stap.

Stap 2: inschrijvingsprofiel maken

Maak een inschrijvingsprofiel voor apparaten die worden ingeschreven via accountgestuurde gebruikersinschrijving. Het inschrijvingsprofiel activeert de inschrijvingservaring van de apparaatgebruiker en stelt deze in staat inschrijving te starten vanuit de app Instellingen.

1. Ga in het Microsoft Intune-beheercentrum naar Inschrijving van apparaten>.

2. Selecteer het tabblad Apple .

3. Kies onder Inschrijvingsoptiesde optie Inschrijvingstypen.

4. Selecteer Profiel maken>iOS/iPadOS.

5. Voer op de pagina Basisinformatie een naam en beschrijving in voor het profiel, zodat u het kunt onderscheiden van andere profielen in het beheercentrum. Apparaatgebruikers zien deze details niet.

6. Selecteer Volgende.

7. Selecteer op de pagina Instellingen bij Type inschrijving hoe u apparaten wilt inschrijven. U kunt de inschrijvingsmethode kiezen of gebruikers toestaan hun eigen keuze te maken. Hun keuze bepaalt het inschrijvingsproces dat Microsoft Intune uitvoert. Dit wordt ook weergegeven in het kenmerk apparaateigendom in Microsoft Intune. Zie Persoonlijke iOS-apparaten instellen voor werk of school voor meer informatie over de gebruikerservaring en wat ze op het scherm zien tijdens de inschrijving.

   Uw opties:

   • Inschrijving van accountgestuurde gebruikers: toegewezen gebruikers die de inschrijving initiëren, worden ingeschreven via accountgestuurde gebruikersinschrijving.

   • Bepalen op basis van de keuze van de gebruiker: Toegewezen gebruikers die de inschrijving starten, kunnen selecteren hoe ze hun apparaat willen inschrijven. Hun opties:

     • Ik ben eigenaar van dit apparaat: Er worden meer instellingen weergegeven met deze selectie. De gebruiker heeft de mogelijkheid om het hele apparaat te beveiligen of alleen werkgerelateerde apps en gegevens te beveiligen.

     • (Bedrijf) is eigenaar van dit apparaat: Het apparaat wordt ingeschreven via Apple Device Enrollment. Zie Apparaatinschrijving en MDM op de apple-ondersteuningswebsite voor meer informatie over deze inschrijvingsmethode.

8. Selecteer Volgende.

9. Wijs op de pagina Toewijzingen het profiel toe aan alle gebruikers of selecteer specifieke groepen. Apparaatgroepen worden niet ondersteund in scenario's voor gebruikersinschrijving omdat gebruikersinschrijving gebruikersidentiteiten vereist.

10. Selecteer Volgende.

11. Controleer uw keuzes op de pagina Beoordelen en maken en selecteer vervolgens Maken om het maken van het profiel te voltooien.

Stap 3: werknemers voorbereiden op inschrijving

Als u de apparaatinschrijving op een persoonlijk apparaat wilt initiëren, moet de eigenaar van het apparaat naar de app Instellingen gaan en zich aanmelden met het werk- of schoolaccount. Als ze proberen zich aan te melden bij een app met hun werk- of schoolaccount, waarschuwt de app hen voor de inschrijvingsvereiste en vertelt ze hoe ze moeten doorgaan.

In deze sectie worden de registratiestappen voor apparaatgebruikers beschreven. We raden u aan deze informatie te gebruiken in de documentatie voor het onboarden van apparaten van uw organisatie of voor probleemoplossing en ondersteuning.

1. Open de app Instellingen op uw apparaat.
2. Selecteer Algemeen.
3. Selecteer VPN-& Apparaatbeheer.
4. Meld u aan met uw werk- of schoolaccount of met de Apple ID die u van uw organisatie hebt ontvangen.
5. Selecteer Aanmelden bij iCloud.
6. Voer het wachtwoord in voor de gebruikersnaam die op het scherm wordt weergegeven. Selecteer vervolgens Doorgaan.
7. Selecteer Extern beheer toestaan.
8. Wacht enkele minuten terwijl uw apparaat is geconfigureerd en het beheerprofiel is geïnstalleerd.
9. Ga naar VPN-& Apparaatbeheer om te controleren of uw apparaat gereed is voor gebruik voor werk. Controleer of uw werkaccount wordt vermeld onder BEHEERD ACCOUNT.
10. Microsoft Authenticator is vereist voor toegang tot werk-apps. Wacht enkele minuten na de inschrijving voordat Authenticator op uw apparaat is geïnstalleerd. Er wordt een foutbericht weergegeven als u zich probeert aan te melden bij een werk-app zonder Authenticator.
11. Mogelijk ontvangt u meer prompts met de vraag om uw goedkeuring voor het installeren van werk-apps. Selecteer Installeren om de installatie goed te keuren.

Profielprioriteit

Intune past inschrijvingsprofielen toe in de volgorde waarin u ze prioriteit geeft. De volgorde wijzigen waarin ze worden toegepast:

1. Terug naar Inschrijvingstypen om uw profielen weer te geven.
2. Sleep de profielen in de lijst en zet deze neer om de volgorde van hun prioriteit te wijzigen.

Als er een conflict optreedt omdat aan een gebruiker meer dan één profiel is toegewezen, past Intune het profiel toe met de hogere prioriteit.

Apparaat uit beheer verwijderen

De volume- en cryptografische sleutels die zijn gemaakt om de werkgegevens op het apparaat te beheren, worden gewist wanneer het apparaat wordt uitgeschreven bij Intune.

Bekende problemen

In deze sectie worden de huidige bekende problemen met accountgestuurde Apple-gebruikersinschrijving en Microsoft Intune beschreven.

Inschrijving mislukt vanwege registratie-SSO-toepassing

Als de Microsoft Authenticator-app zich op het apparaat bevindt voordat de inschrijving begint, mislukt de inschrijving wanneer de gebruiker van het apparaat zich probeert aan te melden met zijn werk- of schoolaccount in de app Instellingen. Het bericht dat ze ontvangen, luidt:

• Titel: Aanmelden is mislukt
• Beschrijving: de toepassing voor eenmalige aanmelding voor inschrijving is geïnstalleerd op het apparaat.

Om dit probleem te omzeilen, moet de gebruiker van het apparaat de Microsoft Authenticator-app verwijderen en de inschrijving opnieuw starten.

Volgende stappen

• Zie Overzicht van Apple-gebruikersinschrijving in Microsoft Intune voor een overzicht van ondersteunde functies voor apple-gebruikersinschrijving en beheeracties in Microsoft Intune.

• Zie Gebruikersinschrijving en MDM op de apple-ondersteuningswebsite voor meer informatie over apple-gebruikersinschrijving.

• Zie Problemen met iOS-/iPadOS-apparaatinschrijvingsfouten oplossen in Microsoft Intune voor probleemoplossing.

• Zie voor ondersteunde instellingen in Intune apparaatconfiguratieprofielen:

  • Apparaatbeperkingen voor iOS en iPadOS
  • iOS- en iPadOS-apparaatfuncties
  • Virtual Private Network (VPN) per app instellen