Udostępnij za pośrednictwem


Konfigurowanie rejestracji użytkowników firmy Apple opartej na koncie

Skonfiguruj rejestrację użytkownika firmy Apple opartą na kontach dla urządzeń osobistych zarejestrowanych w Microsoft Intune. Rejestracja użytkowników oparta na kontach zapewnia szybsze i bardziej przyjazne dla użytkownika środowisko rejestracji niż rejestracja użytkowników przy użyciu Portal firmy. Użytkownik urządzenia inicjuje rejestrację, logując się do swojego konta służbowego w aplikacji Ustawienia. Po zatwierdzeniu przez użytkownika zarządzania urządzeniami profil rejestracji jest instalowany w trybie dyskretnym i są stosowane zasady Intune. Intune używa rejestracji just in time (JIT) i aplikacji Microsoft Authenticator na potrzeby uwierzytelniania, aby zmniejszyć liczbę logowań użytkowników podczas rejestracji i podczas uzyskiwania dostępu do aplikacji służbowych.

W tym artykule opisano sposób konfigurowania rejestracji użytkowników firmy Apple opartej na kontach w Microsoft Intune. Wykonasz:

  • Skonfiguruj rejestrację JIT.
  • Utwórz profil rejestracji.
  • Przygotuj pracowników i studentów do rejestracji.

Wymagania wstępne

Microsoft Intune obsługuje rejestrację użytkowników firmy Apple opartą na kontach na urządzeniach z systemem iOS/iPadOS w wersji 15 lub nowszej. Jeśli przypiszesz profil rejestracji użytkownika opartego na koncie do użytkowników urządzeń z systemem iOS/iPadOS 14.9 lub starszym, Microsoft Intune automatycznie zarejestruje je za pośrednictwem rejestracji użytkownika za pomocą Portal firmy.

Przed rozpoczęciem instalacji wykonaj następujące zadania:

Należy również skonfigurować odnajdywanie usług, aby firma Apple mogła skontaktować się z usługą Intune i pobrać informacje o rejestracji. Aby ukończyć ten warunek wstępny, skonfiguruj i opublikuj dobrze znany plik zasobów HTTP w tej samej domenie, w którą logują się pracownicy. Firma Apple pobiera plik za pośrednictwem żądania HTTP GET do “https://contoso.com/.well-known/com.apple.remotemanagement”domeny organizacji zamiast contoso.com. Opublikuj plik w domenie, która może obsługiwać żądania HTTP GET.

Uwaga

Dobrze znany plik zasobu musi zostać zapisany bez rozszerzenia pliku, takiego jak .json, aby działał poprawnie.

Utwórz plik w formacie JSON z typem zawartości ustawionym na application/json. Udostępniamy następujące przykłady JSON, które można skopiować i wkleić do pliku. Użyj tego, który jest zgodny ze środowiskiem. Zastąp zmienną YourAADTenantID w podstawowym adresie URL identyfikatorem dzierżawy Microsoft Entra organizacji.

środowiska Microsoft Intune:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune dla środowisk instytucji rządowych USA:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune obsługiwany przez 21 środowisk Vianet w Chinach:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Pozostała część przykładu JSON jest wypełniana wszystkimi potrzebnymi informacjami, w tym:

  • Wersja: wersja serwera to mdm-byod.
  • BaseURL: ten adres URL to lokalizacja, w której znajduje się usługa Intune.

Porada

Aby uzyskać więcej informacji na temat wymagań technicznych dotyczących odnajdywania usług, zobacz Implementowanie prostego przepływu rejestracji użytkowników uwierzytelniania w dokumentacji dla deweloperów firmy Apple.

Najważniejsze wskazówki

Zalecamy dodatkowe konfiguracje, które pomogą ulepszyć środowisko rejestracji dla użytkowników urządzeń. Ta sekcja zawiera więcej informacji na temat poszczególnych zaleceń.

Wdrażanie aplikacji internetowej Portal firmy

Wdróż wersję aplikacji internetowej witryny internetowej Intune — Portal firmy, aby użytkownicy mieli szybki dostęp do informacji o stanie urządzenia, akcjach urządzenia i zgodności. Aplikacja internetowa jest wyświetlana na ekranie głównym i działa jako link do witryny internetowej Portal firmy. Bez aplikacji internetowej użytkownicy urządzeń nadal mogą uzyskiwać dostęp do witryny internetowej Portal firmy, ale muszą otworzyć przeglądarkę i wpisać adres w polu wyszukiwania. Aby uzyskać więcej informacji na temat dodawania aplikacji internetowej, zobacz Dodawanie aplikacji internetowych do Microsoft Intune.

Włączanie uwierzytelniania federacyjnego

Rejestracja użytkowników firmy Apple wymaga utworzenia i udostępnienia zarządzanych identyfikatorów Apple ID zarejestrowanym użytkownikom. Jeśli włączysz uwierzytelnianie federacyjne, które składa się z połączenia programu Apple Business Manager z Tożsamość Microsoft Entra, nie musisz tworzyć i podawać unikatowych identyfikatorów Apple ID każdemu użytkownikowi. Zamiast tego użytkownik urządzenia może zalogować się do swoich aplikacji przy użyciu tych samych poświadczeń, których używa dla swojego konta służbowego. Aby uzyskać więcej informacji, zobacz Wprowadzenie do uwierzytelniania federacyjnego przy użyciu programu Apple Business Manager w podręczniku użytkownika usługi Apple Business Manager.

Krok 1. Konfigurowanie rejestracji just in time i przypisywanie aplikacji Microsoft Authenticator

Skonfiguruj rejestrację just in time i przypisz aplikację Microsoft Authenticator jako wymaganą aplikację. Aby uzyskać instrukcje, zobacz Konfigurowanie rejestracji JIT w Intune. Wróć do tego artykułu po zakończeniu, aby przejść do następnego kroku.

Krok 2. Tworzenie profilu rejestracji

Utwórz profil rejestracji dla urządzeń rejestrujących się za pośrednictwem rejestracji użytkowników opartych na kontach. Profil rejestracji wyzwala środowisko rejestracji użytkownika urządzenia i umożliwia mu inicjowanie rejestracji z poziomu aplikacji Ustawienia.

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Rejestracja urządzeń>.

  2. Wybierz kartę Apple .

  3. W obszarze Opcje rejestracji wybierz pozycję Typy rejestracji.

  4. Wybierz pozycję Utwórz profil>dla systemu iOS/iPadOS.

  5. Na stronie Podstawy wprowadź nazwę i opis profilu, aby odróżnić go od innych profilów w centrum administracyjnym. Użytkownicy urządzeń nie widzą tych szczegółów.

  6. Wybierz pozycję Dalej.

  7. Na stronie Ustawienia dla pozycji Typ rejestracji wybierz sposób rejestrowania urządzeń. Możesz wybrać metodę rejestracji lub zezwolić użytkownikom na dokonanie własnego wyboru. Ich wybór określa proces rejestracji, który Microsoft Intune przeprowadzany. Jest ona również odzwierciedlona w atrybucie własności urządzenia w Microsoft Intune. Aby dowiedzieć się więcej na temat środowiska użytkownika i informacji wyświetlanych na ekranie podczas rejestracji, zobacz Konfigurowanie osobistego urządzenia z systemem iOS do pracy lub szkoły.

    Dostępne opcje:

    • Rejestracja użytkowników oparta na kontach: przypisani użytkownicy inicjujący rejestrację są rejestrowani za pośrednictwem rejestracji użytkownika opartej na koncie.

    • Określanie na podstawie wyboru użytkownika: przypisani użytkownicy, którzy inicjują rejestrację, mogą wybrać sposób rejestrowania urządzenia. Ich opcje:

      • Jestem właścicielem tego urządzenia: Po wybraniu tej opcji pojawi się więcej ustawień. Użytkownik może zabezpieczyć całe urządzenie lub zabezpieczyć tylko aplikacje i dane związane z pracą.

      • (Firma) jest właścicielem tego urządzenia: Urządzenie jest rejestrowane za pośrednictwem rejestracji urządzeń firmy Apple. Aby uzyskać więcej informacji na temat tej metody rejestracji, zobacz Device Enrollment and MDM (Rejestrowanie urządzeń i zarządzanie urządzeniami przenośnymi ) w witrynie internetowej pomocy technicznej firmy Apple.

  8. Wybierz pozycję Dalej.

  9. Na stronie Przypisania przypisz profil do wszystkich użytkowników lub wybierz określone grupy. Grupy urządzeń nie są obsługiwane w scenariuszach rejestracji użytkowników, ponieważ rejestracja użytkowników wymaga tożsamości użytkownika.

  10. Wybierz pozycję Dalej.

  11. Na stronie Przeglądanie i tworzenie przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz , aby zakończyć tworzenie profilu.

Krok 3. Przygotowywanie pracowników do rejestracji

Aby zainicjować rejestrację urządzenia na urządzeniu osobistym, właściciel urządzenia musi przejść do aplikacji Ustawienia i zalogować się przy użyciu konta służbowego. Jeśli spróbują zalogować się do aplikacji przy użyciu konta służbowego, aplikacja powiadomi ich o konieczności rejestracji i poinformuje o tym, jak kontynuować.

W tej sekcji opisano kroki rejestracji użytkowników urządzeń. Zalecamy użycie tych informacji w dokumentacji dołączania urządzeń w organizacji lub do rozwiązywania problemów i pomocy technicznej.

  1. Otwórz aplikację Ustawienia na urządzeniu.
  2. Wybierz opcję Ogólne.
  3. Wybierz pozycję & Zarządzanie urządzeniami sieci VPN.
  4. Zaloguj się przy użyciu konta służbowego lub przy użyciu identyfikatora Apple ID dostarczonego przez organizację.
  5. Wybierz pozycję Zaloguj się do usługi iCloud.
  6. Wprowadź hasło dla nazwy użytkownika wyświetlanej na ekranie. Następnie wybierz pozycję Kontynuuj.
  7. Wybierz pozycję Zezwalaj na zdalne zarządzanie.
  8. Poczekaj kilka minut na skonfigurowanie urządzenia i zainstalowanie profilu zarządzania.
  9. Aby potwierdzić, że urządzenie jest gotowe do użycia do pracy, przejdź do & Zarządzanie urządzeniami sieci VPN. Upewnij się, że Twoje konto służbowe znajduje się na liście w obszarze KONTO ZARZĄDZANE.
  10. Do uzyskiwania dostępu do aplikacji służbowych jest wymagany program Microsoft Authenticator. Poczekaj kilka minut po zarejestrowaniu, aby aplikacja Authenticator została zainstalowana na urządzeniu. Jeśli spróbujesz zalogować się do aplikacji służbowej bez aplikacji Authenticator, zostanie wyświetlony komunikat o błędzie.
  11. Może zostać wyświetlonych więcej monitów z prośbą o zatwierdzenie instalacji aplikacji służbowych. Wybierz pozycję Zainstaluj , aby zatwierdzić instalację.

Priorytet profilu

Intune stosuje profile rejestracji w kolejności, w jakiej są ustalane priorytety. Aby zmienić kolejność ich stosowania:

  1. Wstecz do typów rejestracji, aby wyświetlić profile.
  2. Przeciągnij i upuść profile na liście, aby zmienić ich priorytet.

Jeśli wystąpi konflikt, ponieważ użytkownikowi przypisano więcej niż jeden profil, Intune stosuje profil o wyższym priorytecie.

Usuwanie urządzenia z zarządzania

Wolumin i klucze kryptograficzne utworzone w celu zarządzania danymi służbowymi na urządzeniu są usuwane, gdy urządzenie wyrejestruje się z Intune.

Znane problemy

W tej sekcji opisano bieżące znane problemy związane z rejestracją użytkowników firmy Apple opartą na kontach i Microsoft Intune.

Rejestracja kończy się niepowodzeniem z powodu aplikacji logowania jednokrotnego rejestracji

Jeśli aplikacja Microsoft Authenticator znajduje się na urządzeniu przed rozpoczęciem rejestracji, rejestracja zakończy się niepowodzeniem, gdy użytkownik urządzenia spróbuje zalogować się przy użyciu konta służbowego w aplikacji Ustawienia. Otrzymana wiadomość zawiera następujące komunikaty:

  • Tytuł: Logowanie nie powiodło się
  • Opis: Aplikacja rejestracji logowania jednokrotnego została zainstalowana na urządzeniu.

Aby obejść ten problem, użytkownik urządzenia musi odinstalować aplikację Microsoft Authenticator i ponownie uruchomić rejestrację.

Następne kroki