Metody uwierzytelniania na potrzeby automatycznego rejestrowania urządzeń w Intune
Dotyczy systemu iOS/iPadOS
W tym artykule opisano metody uwierzytelniania dostępne dla urządzeń z systemem iOS/iPadOS zarejestrowanych w Intune za pośrednictwem zautomatyzowanej rejestracji urządzeń. Dostępne metody uwierzytelniania obejmują:
- Aplikacji Intune — Portal firmy
- Asystent ustawień z nowoczesnym uwierzytelnianiem
- Rejestracja just in time (JIT) dla Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania
- Asystent ustawień (starsza wersja)
Wszystkie metody są dostępne dla urządzeń należących do firmy z koligacją użytkownika i zakupionych za pośrednictwem programu Apple Business Manager lub Apple School Manager.
Opcja 1: aplikacja Intune — Portal firmy
Użyj aplikacji Intune — Portal firmy jako metody uwierzytelniania, jeśli chcesz:
- Użyj uwierzytelniania wieloskładnikowego (MFA).
- Monituj użytkowników o zmianę haseł podczas pierwszego logowania.
- Monituj użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
- Rejestrowanie urządzeń w Tożsamość Microsoft Entra i używanie funkcji dostępnych w Tożsamość Microsoft Entra, takich jak dostęp warunkowy.
- Automatycznie zainstaluj aplikację Portal firmy podczas rejestracji. Jeśli Twoja firma korzysta z programu Volume Purchase Program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika.
- Chcesz zablokować urządzenie do momentu zainstalowania aplikacji Portal firmy.
Uwaga
Intune zablokuje rejestrację korzystającą z tej metody uwierzytelniania, jeśli użytkownik urządzenia jest objęty typem profilu rejestracji użytkownika firmy Apple opartego na koncie. Ta sytuacja jest oczekiwana. Użytkownik otrzymuje komunikat o błędzie informujący, że jego konto nie obsługuje rejestracji za pośrednictwem aplikacji Portal firmy i że musi zarejestrować się za pośrednictwem witryny internetowej Portal firmy. Aby zapewnić pomyślne rejestracje za pośrednictwem zautomatyzowanej rejestracji urządzeń, użyj opcji 2: Asystent ustawień z nowoczesnym uwierzytelnianiem jako metody uwierzytelniania podczas pracy z typami profilów rejestracji użytkowników firmy Apple opartymi na kontach.
Opcja 2. Asystent ustawień z nowoczesnym uwierzytelnianiem
Ta opcja zapewnia takie same zabezpieczenia jak uwierzytelnianie Intune — Portal firmy, ale jest inna, ponieważ umożliwia użytkownikowi urządzenia dostęp do części urządzenia, nawet jeśli Portal firmy nie została zainstalowana. Użyj tej opcji do uwierzytelniania, gdy chcesz:
- Wyczyść urządzenie.
- Użyj uwierzytelniania wieloskładnikowego (MFA).
- Monituj użytkowników o zmianę haseł podczas pierwszego logowania.
- Monituj użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
- Rejestrowanie urządzeń w Tożsamość Microsoft Entra i używanie funkcji dostępnych w Tożsamość Microsoft Entra, takich jak dostęp warunkowy.
- Automatycznie zainstaluj aplikację Portal firmy podczas rejestracji. Jeśli Twoja firma korzysta z programu Volume Purchase Program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika.
- Zezwalaj użytkownikom na korzystanie z urządzenia nawet wtedy, gdy aplikacja Portal firmy nie jest zainstalowana.
Asystent ustawień z nowoczesnym uwierzytelnianiem jest obsługiwany na urządzeniach z systemem iOS/iPadOS 13.0 lub nowszym. Starsze urządzenia z systemem iOS/iPadOS, do których przypisano ten typ profilu, wrócą do uwierzytelniania Asystenta ustawień (starsza wersja ).
Automatyczne instalowanie aplikacji Portal firmy
Jeśli firma korzysta z programu volume purchase program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika. Aby włączyć instalację automatyczną w profilu rejestracji, wybierz pozycję Tak, aby zainstalować Portal firmy przy użyciu programu VPP. Zalecamy użycie tej opcji.
Jeśli nie używasz opcji VPP, użytkownik urządzenia musi wprowadzić swój identyfikator Apple ID podczas Asystenta ustawień lub gdy Intune próbuje zainstalować Portal firmy.
W obu scenariuszach opcja instalacji Portal firmy jest ukryta przed użytkownikiem urządzenia, a Portal firmy staje się wymaganą aplikacją na urządzeniu. Gdy użytkownik dotrze do ekranu głównego, Intune automatycznie stosuje odpowiednie zasady konfiguracji aplikacji do urządzenia.
Uwaga
Nie wysyłaj oddzielnych zasad konfiguracji aplikacji do Portal firmy dla urządzeń z systemem iOS/iPadOS po zarejestrowaniu się przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem. Spowoduje to wystąpienie błędu.
Uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe (MFA) będzie wymagane, jeśli zasady dostępu warunkowego, które tego wymagają, zostaną zastosowane podczas rejestracji lub podczas logowania Portal firmy. Jednak uwierzytelnianie wieloskładnikowe jest opcjonalne na podstawie ustawień Microsoft Entra w docelowych zasadach dostępu warunkowego.
Metody uwierzytelniania zewnętrznego są obsługiwane w Tożsamość Microsoft Entra, co oznacza, że możesz użyć preferowanego rozwiązania uwierzytelniania wieloskładnikowego w celu ułatwienia uwierzytelniania wieloskładnikowego podczas rejestracji urządzeń. Jeśli zdecydujesz się użyć dostawcy uwierzytelniania wieloskładnikowego innej firmy, przed wdrożeniem profilów rejestracji na wszystkich urządzeniach wykonaj przebieg testowy, aby upewnić się, że zarówno ekran uwierzytelniania wieloskładnikowego Microsoft Entra, jak i uwierzytelnianie wieloskładnikowe działają podczas rejestracji. Aby uzyskać więcej informacji i uzyskać szczegółowe informacje o metodach uwierzytelniania zewnętrznego, zobacz Publiczna wersja zapoznawcza: Metody uwierzytelniania zewnętrznego w Tożsamość Microsoft Entra.
wymagana akcja Portal firmy
Po przejściu przez ekrany Asystenta ustawień użytkownik urządzenia wyląduje na stronie głównej. W tym momencie jest ustanawiane koligacja użytkownika. Jednak dopóki użytkownik nie zaloguje się do Portal firmy przy użyciu swoich poświadczeń Microsoft Entra i nie wybierze pozycji Rozpocznij, urządzenie:
- Nie zostanie w pełni zarejestrowane w Tożsamość Microsoft Entra.
- Nie zostanie wyświetlona na liście urządzeń użytkownika w Tożsamość Microsoft Entra.
- Nie będzie mieć dostępu do zasobów chronionych przez dostęp warunkowy.
- Zgodność urządzenia nie będzie oceniana.
- Jeśli użytkownik spróbuje otworzyć wszystkie aplikacje zarządzane chronione przez dostęp warunkowy, nastąpi przekierowanie do aplikacji Portal firmy z innych aplikacji.
Opcja 3. Rejestracja just in time dla Asystenta ustawień z nowoczesnym uwierzytelnianiem
Ta opcja jest taka sama jak Asystent ustawień z nowoczesnym uwierzytelnianiem, z tą różnicą, że Portal firmy nie jest wymagana do Microsoft Entra rejestracji lub zgodności. Zamiast tego Microsoft Entra kontrole rejestracji i zgodności są w pełni zintegrowane w wyznaczonej aplikacji firmy Microsoft lub innej firmy, która jest skonfigurowana przy użyciu rozszerzenia aplikacji logowania jednokrotnego firmy Apple. Rozszerzenie zmniejsza liczbę monitów o uwierzytelnianie i ustanawia logowania jednokrotnego na całym urządzeniu. Rejestracja JIT monituje użytkowników o dwukrotne uwierzytelnienie:
- Jedno uwierzytelnianie obsługuje rejestrację i koligację urządzenia użytkownika i dzieje się, gdy użytkownik urządzenia włącza swoje urządzenie i loguje się do Asystenta ustawień.
- Inne uwierzytelnianie obsługuje rejestrację Microsoft Entra i ma miejsce, gdy użytkownik loguje się do wyznaczonej aplikacji. Kontrole zgodności są również wykonywane w tej aplikacji.
Uwaga
Jeśli Twoja organizacja używa Ochrona punktu końcowego w usłudze Microsoft Defender, aby korygowanie rejestracji JIT i zgodności działało zgodnie z oczekiwaniami, upewnij się, że aplikacja Ochrona punktu końcowego w usłudze Microsoft Defender nie jest pierwszym otwartym użytkownikiem aplikacji.
Gdy użytkownik urządzenia dotrze do ekranu głównego, może zalogować się do dowolnej aplikacji służbowej skonfigurowanej przy użyciu rozszerzenia logowania jednokrotnego w celu ukończenia Microsoft Entra sprawdzania rejestracji i zgodności. Logowania jednokrotnego loguje użytkownika do wszystkich aplikacji, które są częścią zasad rozszerzenia logowania jednokrotnego. W tym momencie mogą również ręcznie zalogować się do dowolnej aplikacji, która nie jest skonfigurowana do korzystania z rozszerzenia logowania jednokrotnego.
Aby skonfigurować rejestrację JIT przy użyciu automatycznej rejestracji urządzeń:
Utwórz zasady konfiguracji urządzenia i skonfiguruj ustawienia w kategorii rozszerzenie aplikacji do logowania jednokrotnego . Aby uzyskać instrukcje, zobacz Konfigurowanie rejestracji just in time.
Utwórz profil rejestracji firmy Apple i wybierz pozycję Asystent ustawień z nowoczesnym uwierzytelnianiem jako metodę uwierzytelniania. Aby wykonać ten krok, aktywny token automatycznej rejestracji urządzeń z poziomu programu Apple Business Manager lub Apple School Manager musi być obecny w Intune.
Po przejściu na stronę Przypisania w profilu rejestracji przypisz profil do urządzeń zsynchronizowanych z usługą Apple Business Manager i Apple School Manager. Po przypisaniu profilu pracownicy i uczniowie mogą ukończyć konfigurację i uwierzytelnianie na swoich urządzeniach.
Uwaga
Portal firmy jest nadal wysyłana do urządzeń jako wymagana aplikacja, mimo że nie jest wymagana do Microsoft Entra rejestracji lub zgodności. Użytkownicy urządzeń mogą używać aplikacji Portal firmy do zbierania i przekazywania dzienników, jeśli wystąpią problemy w aplikacji.
Przykład pomyślnego uwierzytelniania
W poniższej sekwencji zdarzeń opisano przykład pomyślnego uwierzytelniania z rejestracją JIT dla Asystenta ustawień z nowoczesnym uwierzytelnianiem. Środowisko organizacji może się różnić w zależności od konfiguracji automatycznej rejestracji urządzeń.
Użytkownik urządzenia włącza urządzenie.
Rozpoczyna się Asystent ustawień. Użytkownik urządzenia uwierzytelnia się przy użyciu swoich poświadczeń Microsoft Entra w Asystentze ustawień.
Użytkownik urządzenia wykonuje uwierzytelnianie wieloskładnikowe, jeśli jest to wymagane w zasadach dostępu warunkowego.
Urządzenie kończy rejestrowanie w Intune i ustanowiono koligację użytkownik-urządzenie.
Użytkownik urządzenia ląduje na ekranie głównym i otwiera aplikację Microsoft Teams lub inną aplikację pakietu Office i loguje się przy użyciu konta służbowego. Jeśli urządzenie spełnia wszystkie wymagania dotyczące zgodności, użytkownik urządzenia będzie miał od razu dostęp do swoich komunikatów i kalendarza.
Uwaga
Podczas rejestracji Microsoft Entra użytkownik urządzenia może zobaczyć krótki pokrętło podczas Intune kończy sprawdzanie zgodności. Takie zachowanie jest oczekiwane.
Rozszerzenie logowania jednokrotnego ustanawia logowanie jednokrotne we wszystkich innych aplikacjach docelowych i we wszystkich aplikacjach firmy Microsoft.
Urządzenie jest zarejestrowane w Tożsamość Microsoft Entra i zgodne. Stan urządzenia można wyświetlić w centrum administracyjnym i Tożsamość Microsoft Entra. Użytkownik urządzenia może wyświetlić stan w Intune — Portal firmy i używać Portal firmy na potrzeby zgodności, spisu aplikacji, synchronizacji urządzeń i udostępniania dzienników.
Użytkownik urządzenia otwiera aplikację Teams i jest automatycznie zalogowany.
Opcja 4: Asystent ustawień (starsza wersja)
Użyj starszego Asystenta ustawień, jeśli chcesz, aby użytkownicy korzystali z typowego, dostępnego dla produktów firmy Apple środowiska. Ta opcja instaluje standardowe wstępnie skonfigurowane ustawienia, gdy urządzenie zostanie zarejestrowane w Intune. Użyj tej opcji do uwierzytelniania, gdy:
- Chcesz wyczyścić urządzenie.
- Nie potrzebujesz nowoczesnych funkcji uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe.
- Nie chcesz rejestrować urządzeń w Tożsamość Microsoft Entra. Asystent ustawień (starsza wersja) uwierzytelnia użytkownika przy użyciu tokenu p7m firmy Apple.
Jeśli do uwierzytelniania używasz usług federacyjnych Active Directory (AD FS) i Asystenta ustawień, wymagana jest nazwa użytkownika protokołu WS-Trust 1.3/mieszanego punktu końcowego. Aby uzyskać więcej informacji, zobacz Get-AdfsEndpoint w naszym przewodniku po Windows PowerShell Reference.
Następne kroki
Teraz, gdy już wiesz, której metody uwierzytelniania używasz, utwórz profil rejestracji firmy Apple i wybierz metodę uwierzytelniania po wyświetleniu monitu. Aby wykonać ten krok, aktywny token automatycznej rejestracji urządzeń z poziomu programu Apple Business Manager lub Apple School Manager musi być obecny w Intune.