Przewodnik rejestracji: rejestrowanie urządzeń z systemem iOS i iPadOS w Microsoft Intune
Urządzenia osobiste i należące do organizacji można zarejestrować w Intune. Po zarejestrowaniu otrzymują utworzone zasady i profile. Podczas rejestrowania urządzeń z systemem iOS/iPadOS dostępne są następujące opcje:
- Automatyczna rejestracja urządzeń (ADE)
- Apple Configurator
- BYOD: Rejestracja użytkowników i urządzeń
Ten artykuł zawiera zalecenia dotyczące rejestracji i zawiera omówienie zadań administratora i użytkowników dla każdej opcji systemu iOS/iPadOS.
Istnieje również wizualny przewodnik po różnych opcjach rejestracji dla każdej platformy:
Pobieranie wersji | pliku PDFPobieranie wersji programu Visio
Porada
Ten przewodnik jest żywą istotą. Dlatego pamiętaj, aby dodać lub zaktualizować istniejące wskazówki i wskazówki, które zostały uznane za przydatne.
Przed rozpoczęciem
Aby uzyskać informacje o wszystkich wymaganiach wstępnych i konfiguracjach specyficznych dla Intune wymaganych do przygotowania dzierżawy do rejestracji, przejdź do przewodnika rejestracji: Microsoft Intune rejestracji.
Automatyczna rejestracja urządzeń (ADE) (nadzorowana)
Wcześniej o nazwie Apple Device Enrollment Program (DEP). Użyj na urządzeniach należących do organizacji. Ta opcja konfiguruje ustawienia przy użyciu programu Apple Business Manager (ABM) lub Apple School Manager (ASM). Rejestruje ona dużą liczbę urządzeń bez konieczności dotykania urządzeń. Te urządzenia są kupowane od firmy Apple, mają wstępnie skonfigurowane ustawienia i mogą być dostarczane bezpośrednio do użytkowników lub szkół. Profil rejestracji należy utworzyć w centrum administracyjnym Intune i wypchnąć ten profil do urządzeń.
Aby uzyskać bardziej szczegółowe informacje na temat tego typu rejestracji, przejdź do:
- Rejestracja w programie Apple Business Manager
- Rejestracja w programie Apple School Manager: aby uzyskać więcej informacji na temat programu Apple School Manager, przejdź do witryny Apple Education (otwiera witrynę internetową firmy Apple).
Funkcja | Użyj tej opcji rejestracji, gdy |
---|---|
Chcesz tryb nadzorowany. | ✅ Tryb nadzorowany wdraża aktualizacje oprogramowania, ogranicza funkcje, zezwala i blokuje aplikacje i nie tylko. |
Urządzenia są własnością organizacji lub szkoły. | ✅ |
Masz nowe urządzenia. | ✅ |
Należy zarejestrować kilka urządzeń lub dużą liczbę urządzeń (rejestracja zbiorcza). | ✅ |
Urządzenia są skojarzone z pojedynczym użytkownikiem. | ✅ |
Urządzenia są bez użytkownika, takie jak kiosk lub urządzenie dedykowane. | ✅ |
Urządzenia są osobiste lub BYOD. | ❌ Niezalecane. Aplikacjami na urządzeniach BYOD lub osobistych można zarządzać przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi (otwiera inny artykuł firmy Microsoft) lub rejestracji użytkowników i urządzeń (w tym artykule). |
Masz istniejące urządzenia. | ❌ Istniejące urządzenia powinny być zarejestrowane przy użyciu programu Apple Configurator (w tym artykule). |
Urządzenia są zarządzane przez innego dostawcę mdm. | ❌ Aby w pełni zarządzać Intune, użytkownicy muszą wyrejestrować się z bieżącego dostawcy mdm, a następnie zarejestrować się w Intune. Możesz też użyć funkcji ZARZĄDZANIA aplikacjami mobilnymi do zarządzania określonymi aplikacjami na urządzeniu. Ponieważ te urządzenia należą do organizacji, zalecamy zarejestrowanie się w Intune. |
Używasz konta menedżera rejestracji urządzeń (DEM). | ❌ Konto DEM nie jest obsługiwane. |
Zadania administratora usługi ADE
Ta lista zadań zawiera omówienie. Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Rejestracja w programie Apple Business Manager lub Rejestracja w programie Apple School Manager.
Upewnij się, że urządzenia są obsługiwane.
Potrzebujesz dostępu do portalu usługi Apple Business Manager (ABM) lub portalu usługi Apple School Manager (ASM).
Upewnij się, że token firmy Apple (p7m) jest aktywny. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Pobieranie tokenu ADE firmy Apple.
Upewnij się, że certyfikat wypychania mdm firmy Apple został dodany do Intune i jest aktywny. Ten certyfikat jest wymagany do rejestrowania urządzeń z systemem iOS/iPadOS. Aby uzyskać więcej informacji, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple.
Zdecyduj, jak użytkownicy będą uwierzytelniać się na swoich urządzeniach: aplikacja Portal firmy, Asystent ustawień (starsza wersja) lub Asystent ustawień z nowoczesnym uwierzytelnianiem. Przed utworzeniem profilu rejestracji podejmij tę decyzję. Korzystanie z aplikacji Portal firmy lub Asystenta ustawień z nowoczesnym uwierzytelnianiem jest uznawane za nowoczesne uwierzytelnianie.
Wybierz aplikację Portal firmy, gdy:
- Chcesz wyczyścić urządzenie.
- Chcesz użyć uwierzytelniania wieloskładnikowego (MFA).
- Chcesz monitować użytkowników o zaktualizowanie wygasłego hasła podczas pierwszego logowania.
- Chcesz monitować użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
- Chcesz, aby urządzenia były zarejestrowane w Tożsamość Microsoft Entra. Po zarejestrowaniu można używać funkcji dostępnych w Tożsamość Microsoft Entra, takich jak dostęp warunkowy.
- Chcesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji. Jeśli Firma korzysta z programu Volume Purchase Program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika.
- Chcesz zablokować urządzenie do momentu zainstalowania aplikacji Portal firmy. Po jej zainstalowaniu użytkownicy logują się do aplikacji Portal firmy przy użyciu konta Microsoft Entra organizacji. Następnie urządzenie jest odblokowane i użytkownicy mogą z niego korzystać.
Wybierz Asystenta ustawień (starsza wersja), gdy:
Chcesz wyczyścić urządzenie.
Nie chcesz używać nowoczesnych funkcji uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe.
Nie chcesz rejestrować urządzeń w Tożsamość Microsoft Entra. Asystent ustawień (starsza wersja) uwierzytelnia użytkownika przy użyciu tokenu firmy Apple
.p7m
. Jeśli nie można zarejestrować urządzeń w Tożsamość Microsoft Entra, nie musisz instalować aplikacji Portal firmy. Korzystaj z Asystenta ustawień (starsza wersja).Jeśli chcesz, aby urządzenia były zarejestrowane w Tożsamość Microsoft Entra, zainstaluj aplikację Portal firmy. Po utworzeniu profilu rejestracji i wybraniu asystenta ustawień (starsza wersja) możesz zainstalować aplikację Portal firmy. Zalecamy zainstalowanie aplikacji Portal firmy podczas rejestracji.
Wybierz Asystenta ustawień z nowoczesnym uwierzytelnianiem , gdy:
- Chcesz wyczyścić urządzenie.
- Chcesz użyć uwierzytelniania wieloskładnikowego (MFA).
- Chcesz monitować użytkowników o zaktualizowanie wygasłego hasła podczas pierwszego logowania.
- Chcesz monitować użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
- Chcesz, aby urządzenia były zarejestrowane w Tożsamość Microsoft Entra. Po zarejestrowaniu można używać funkcji dostępnych w Tożsamość Microsoft Entra, takich jak dostęp warunkowy.
- Chcesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji. Jeśli Firma korzysta z programu Volume Purchase Program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika.
- Chcesz, aby użytkownicy korzystali z urządzenia, nawet jeśli aplikacja Portal firmy nie jest zainstalowana.
Uwaga
Aby uwierzytelnić użytkowników, firma Microsoft zaleca używanie aplikacji Portal firmy lub Asystenta ustawień z nowoczesnym uwierzytelnianiem.
Której opcji należy użyć? To zależy od:
Jeśli chcesz użyć urządzenia przed zainstalowaniem aplikacji Portal firmy, użyj Asystenta ustawień z nowoczesnym uwierzytelnianiem.
Podczas asystenta ustawień użytkownicy muszą wprowadzić swoje poświadczenia Microsoft Entra organizacji (
user@contoso.com
). Po wprowadzeniu poświadczeń rozpocznie się rejestracja i aplikacja Portal firmy zostanie zainstalowana. Jeśli chcesz, użytkownicy mogą również wprowadzić swój identyfikator Apple ID, aby uzyskać dostęp do określonych funkcji firmy Apple, takich jak Apple Pay.Po zakończeniu pracy Asystenta ustawień użytkownicy mogą korzystać z urządzenia. Po wyświetleniu ekranu głównego rejestracja zostanie zakończona i zostanie ustanowione koligacja użytkownika. Urządzenie nie jest w pełni zarejestrowane w usłudze Tożsamość Microsoft Entra i jest wyświetlane jako niezgodne na liście urządzeń użytkownika w Tożsamość Microsoft Entra. Urządzenie jest wyświetlane jako zgodne w centrum administracyjnym Microsoft Intune.
Po zainstalowaniu aplikacji Portal firmy, co zajmuje trochę czasu, użytkownicy otwierają aplikację Portal firmy i ponownie logują się przy użyciu swojego konta Microsoft Entra organizacji (
user@contoso.com
). Podczas tego drugiego logowania zostaną ocenione wszystkie zasady dostępu warunkowego, a Microsoft Entra rejestracja zostanie ukończona. Użytkownicy mogą instalować zasoby organizacyjne i korzystać z nich, w tym aplikacji biznesowych. Urządzenie jest wyświetlane jako zgodne w Tożsamość Microsoft Entra.Jeśli nie chcesz używać urządzenia przed zainstalowaniem Portal firmy aplikacji, użyj opcji Portal firmy aplikacji. Opcja aplikacji Portal firmy blokuje urządzenie do momentu zainstalowania aplikacji Portal firmy. Po zakończeniu instalacji aplikacja Portal firmy zostanie otwarta automatycznie. Użytkownicy logują się przy użyciu swojego konta organizacji Microsoft Entra (
user@contoso.com
) i mogą korzystać z urządzenia.
Jeśli używasz aplikacji Portal firmy, zdecyduj, w jaki sposób aplikacja Portal firmy jest zainstalowana na urządzeniach. Przed utworzeniem profilu rejestracji podejmij tę decyzję.
Uwaga
Firma Microsoft zaleca używanie programu zakupów zbiorczych (VPP) podczas uwierzytelniania przy użyciu aplikacji Portal firmy. Jest to lepsze środowisko użytkownika końcowego.
Nie instaluj aplikacji Portal firmy ze sklepu z aplikacjami bezpośrednio na urządzeniach zarejestrowanych w usłudze ADE. Zamiast tego zainstaluj aplikację Portal firmy przy użyciu następujących opcji:
Token programu VPP i rejestrowanie nowych urządzeń: jeśli masz program zakupów zbiorczych (VPP) i rejestrujesz nowe urządzenia, aplikacja Portal firmy jest dołączona. Podczas tworzenia profilu rejestracji w centrum administracyjnym Intune wybierz pozycję Zainstaluj Portal firmy przy użyciu programu VPP, ustaw wymaganą aplikację i włącz automatyczne aktualizacje aplikacji.
Ta opcja:
- Zawiera poprawną wersję aplikacji Portal firmy.
- Jest jednorazową instalacją aplikacji Portal firmy.
- Używa funkcji Automatyczne aktualizacje aplikacji, aby Intune mogły wypychać aktualizacje aplikacji. Aby uzyskać więcej informacji, przejdź do tematu Wdrażanie aplikacji Portal firmy — ADE.
Brak tokenu programu VPP + Rejestrowanie nowych urządzeń: brak zadań administratora. Upewnij się, że użytkownicy wprowadzają swój identyfikator Apple ID w Asystentze ustawień.
Po zakończeniu pracy Asystenta ustawień aplikacja Portal firmy próbuje zainstalować ją automatycznie. Jeśli użytkownicy nie wprowadzają swojego identyfikatora Apple ID (
user@iCloud.com
lubuser@gmail.com
), będą stale monitować o wprowadzenie identyfikatora Apple ID. Użytkownicy muszą wprowadzić swój identyfikator Apple ID, aby uzyskać aplikację Portal firmy na swoich urządzeniach. Po zainstalowaniu aplikacji Portal firmy użytkownicy otwierają ją i wprowadzają poświadczenia organizacji (user@contoso.com
). Podczas uwierzytelniania użytkownicy mogą instalować i używać aplikacji używanych przez organizację, w tym aplikacji biznesowych.Już zarejestrowane urządzenia: jeśli urządzenia są już zarejestrowane, jeśli masz program VPP lub nie, użyj zasad konfiguracji aplikacji:
- W centrum administracyjnym Intune dodaj aplikację Portal firmy jako wymaganą aplikację oraz jako aplikację licencjonowaną na urządzenie.
- Utwórz zasady konfiguracji aplikacji, które obejmują aplikację Portal firmy jako aplikację licencjonowaną na urządzeniu. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemami iOS i iPadOS DEP.
- Wdróż zasady konfiguracji aplikacji w tej samej grupie urządzeń co profil rejestracji.
- Gdy urządzenia zaewidencjonują usługę Intune, otrzymają Twój profil, a Portal firmy aplikacja zostanie zainstalowana.
Ta opcja:
- Zawiera poprawną wersję aplikacji Portal firmy.
- Wymaga utworzenia profilu rejestracji i utworzenia zasad konfiguracji aplikacji. W zasadach konfiguracji aplikacji ustaw wymaganą aplikację, aby wiedzieć, że aplikacja jest wdrażana na wszystkich urządzeniach.
- Aplikację Portal firmy można automatycznie zaktualizować, zmieniając istniejące zasady konfiguracji aplikacji.
W centrum administracyjnym Intune utwórz profil rejestracji:
- Wybierz pozycję Zarejestruj przy użyciu koligacji użytkownika (skojarz użytkownika z urządzeniem) lub Zarejestruj bez koligacji użytkownika (urządzenia bez użytkownika lub urządzenia udostępnione).
- Wybierz miejsce uwierzytelniania użytkowników: aplikację Portal firmy, Asystenta ustawień (starsza wersja) lub Asystenta ustawień z nowoczesnym uwierzytelnianiem.
Aby uzyskać bardziej szczegółowe informacje i sugestie, przejdź do pozycji Automatyczna rejestracja urządzeń firmy Apple.
Zadania użytkownika końcowego usługi ADE
Podczas tworzenia profilu rejestracji w centrum administracyjnym Intune można skojarzyć użytkownika z urządzeniem (Zarejestruj przy użyciu koligacji użytkownika) lub mieć urządzenia udostępnione (Zarejestruj bez koligacji użytkownika). Konkretne kroki zależą od sposobu konfigurowania profilu rejestracji. W przypadku udostępnionego tabletu iPad po aktywacji wszystkie okienka Asystenta ustawień są automatycznie pomijane.
Rejestrowanie przy użyciu koligacji użytkownika i aplikacji Portal firmy:
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
user@iCloud.com
lubuser@gmail.com
). Po wprowadzeniu aplikacja Portal firmy jest automatycznie instalowana z profilu rejestracji. Automatyczna instalacja aplikacji Portal firmy może zająć trochę czasu. - Użytkownicy otwierają aplikację Portal firmy i logują się przy użyciu poświadczeń organizacji (
user@contoso.com
). Po zalogowaniu rozpoczyna się rejestracja. Po zakończeniu rejestracji użytkownicy mogą instalować aplikacje używane przez organizację i korzystać z nich, w tym aplikacji biznesowych.
Użytkownicy mogą być musieli wprowadzić więcej informacji. Aby uzyskać bardziej szczegółowe kroki użytkownika końcowego, przejdź do pozycji Rejestrowanie urządzenia z systemem iOS dostarczonego przez organizację.
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
Rejestrowanie przy użyciu koligacji użytkownika + Asystent ustawień (starsza wersja) + aplikacja Portal firmy:
Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
user@iCloud.com
lubuser@gmail.com
).Asystent ustawień monituje użytkownika o informacje.
Aplikacja Portal firmy zostanie automatycznie otwarta i powinna zablokować urządzenie w trybie kiosku. Otwarcie aplikacji Portal firmy może zająć trochę czasu. Użytkownicy logują się przy użyciu poświadczeń organizacji (
user@contoso.com
), a urządzenie jest zarejestrowane w Intune.Ten krok powoduje zarejestrowanie urządzenia w Tożsamość Microsoft Entra. Użytkownicy mogą instalować i używać aplikacji używanych przez organizację, w tym aplikacji biznesowych.
Rejestrowanie przy użyciu koligacji użytkownika i Asystenta ustawień (starsza wersja) — aplikacja Portal firmy:
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
user@iCloud.com
lubuser@gmail.com
). - Asystent ustawień monituje użytkownika o informacje i rejestruje urządzenie w Intune. Urządzenie nie jest zarejestrowane w Tożsamość Microsoft Entra.
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
Rejestrowanie przy użyciu koligacji użytkownika i Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania:
Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swoje identyfikatory Apple ID (
user@iCloud.com
lubuser@gmail.com
), a ich organizacja Microsoft Entra poświadczenia (user@contoso.com
).Gdy użytkownicy wprowadzają swoje poświadczenia Microsoft Entra, rozpoczyna się rejestracja.
Asystent ustawień monituje użytkownika o dodatkowe informacje. Po wyświetleniu ekranu głównego konfiguracja zostanie zakończona. Urządzenie jest w pełni zarejestrowane, a koligacja urządzenia użytkownika jest ustanawiana. Użytkownicy mogą korzystać ze swoich urządzeń i wyświetlać aplikacje i zasady na swoich urządzeniach.
W tym momencie urządzenie nie jest w pełni zarejestrowane w Tożsamość Microsoft Entra i jest wyświetlane jako niezgodne w Tożsamość Microsoft Entra. Urządzenie pokazuje, że jest zgodne w centrum administracyjnym Microsoft Intune.
Jeśli zainstalujesz aplikację Portal firmy przy użyciu programu VPP (zalecane), aplikacja Portal firmy zostanie automatycznie zainstalowana. Użytkownicy otwierają aplikację Portal firmy i ponownie logują się przy użyciu konta służbowego (
user@contoso.com
). Zakończą rejestrację Microsoft Entra w aplikacji Portal firmy, która w pełni rejestruje urządzenie w Tożsamość Microsoft Entra. Użytkownicy uzyskują następnie dostęp do zasobów firmowych chronionych przez zasady dostępu warunkowego, a urządzenie jest wyświetlane jako zgodne w Tożsamość Microsoft Entra.Jeśli nie zainstalujesz aplikacji Portal firmy przy użyciu programu VPP i chcesz użyć aplikacji Portal firmy, wykonaj następujące czynności:
Użytkownicy logują się do App Store Firmy Apple przy użyciu identyfikatora Apple ID (
user@iCloud.com
lubuser@gmail.com
). Po zalogowaniu aplikacja Portal firmy zostanie automatycznie zainstalowana.Ten dodatkowy krok logowania spowalnia rejestrację, zwłaszcza jeśli użytkownicy nie logują się natychmiast.
Jeśli nie logują się do sklepu z aplikacjami, aplikacja Portal firmy nie zostanie zainstalowana. Jeśli aplikacja nie jest zainstalowana, użytkownicy nie mogą zarejestrować urządzenia w Tożsamość Microsoft Entra. Ponieważ urządzenie nie zostało ukończone, urządzenie jest wyświetlane jako niezgodne w Tożsamość Microsoft Entra. Żadne zasoby w zależności od dostępu warunkowego nie są dostępne.
Użytkownicy otwierają aplikację Portal firmy i ponownie logują się przy użyciu konta służbowego (
user@contoso.com
). Zakończą rejestrację Microsoft Entra w aplikacji Portal firmy, która w pełni rejestruje urządzenie w Tożsamość Microsoft Entra. Podczas następnego ewidencjonowania użytkownicy uzyskują dostęp do zasobów firmowych chronionych przez zasady dostępu warunkowego.
Rejestrowanie bez koligacji użytkownika: brak akcji. Upewnij się, że nie instalują aplikacji Portal firmy z App Store firmy Apple.
Użytkownicy zazwyczaj nie lubią się rejestrować i mogą nie być zaznajomieni z aplikacją Portal firmy. Pamiętaj, aby podać wskazówki, w tym informacje, które należy wprowadzić. Aby uzyskać wskazówki dotyczące komunikacji z użytkownikami, zobacz Przewodnik planowania: Krok 5 — tworzenie planu wdrożenia.
Rejestracja programu Apple Configurator
Użyj na urządzeniach należących do organizacji i obejmuje rejestrację bezpośrednią. Ta opcja wymaga fizycznego połączenia urządzeń z systemem iOS/iPadOS z komputerem Mac przy użyciu portu USB.
Aby uzyskać bardziej szczegółowe informacje na temat tego typu rejestracji, przejdź do pozycji Rejestracja w programie Apple Configurator.
Funkcja | Użyj tej opcji rejestracji, gdy |
---|---|
Potrzebujesz połączenia przewodowego lub masz problem z siecią. | ✅ |
Twoja organizacja nie chce, aby administratorzy korzystali z portali ABM lub ASM lub nie chcą konfigurować wszystkich wymagań. | ✅ Ideą braku korzystania z portali ABM lub ASM jest zapewnienie administratorom mniejszej kontroli. |
Kraj/region nie obsługuje programu Apple Business Manager (ABM) lub Apple School Manager (ASM). | ✅ Jeśli Twój kraj/region obsługuje protokół ABS lub ASM, urządzenia powinny być rejestrowane przy użyciu funkcji automatycznej rejestracji urządzeń (w tym artykule). |
Urządzenia są własnością organizacji lub szkoły. | ✅ |
Masz nowe lub istniejące urządzenia. | ✅ |
Należy zarejestrować kilka urządzeń lub dużą liczbę urządzeń (rejestracja zbiorcza). | ✅ Jeśli masz dużą liczbę urządzeń, ta metoda zajmuje trochę czasu. |
Urządzenia są skojarzone z pojedynczym użytkownikiem. | ✅ |
Urządzenia są bez użytkownika, takie jak kiosk lub urządzenie dedykowane. | ✅ |
Urządzenia są osobiste lub BYOD. | ❌ Niezalecane. Aplikacjami na urządzeniach BYOD lub osobistych można zarządzać przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi (otwiera inny artykuł firmy Microsoft) lub rejestracji użytkowników i urządzeń (w tym artykule). |
Urządzenia są zarządzane przez innego dostawcę mdm. | ❌ Aby móc w pełni zarządzać Intune, użytkownicy muszą wyrejestrować się z bieżącego dostawcy mdm, a następnie zarejestrować się w Intune. Możesz też użyć funkcji ZARZĄDZANIA aplikacjami mobilnymi do zarządzania określonymi aplikacjami na urządzeniu. Ponieważ te urządzenia należą do organizacji, zalecamy zarejestrowanie się w Intune. |
Używasz konta menedżera rejestracji urządzeń (DEM). | ❌ Konto DEM nie jest obsługiwane. |
Zadania administratora programu Apple Configurator
Ta lista zadań zawiera omówienie. Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Rejestracja programu Apple Configurator.
Wymaga dostępu do komputera Mac z portem USB.
Upewnij się, że urządzenia są obsługiwane.
Upewnij się, że certyfikat wypychania mdm firmy Apple został dodany do Intune i jest aktywny. Ten certyfikat jest wymagany do rejestrowania urządzeń z systemem iOS/iPadOS. Aby uzyskać więcej informacji, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple.
Zdecyduj, w jaki sposób użytkownicy będą uwierzytelniać się na swoich urządzeniach: aplikacja Portal firmy lub Asystent ustawień. Przed utworzeniem profilu rejestracji podejmij tę decyzję. Korzystanie z aplikacji Portal firmy jest uznawane za nowoczesne uwierzytelnianie. Zalecamy korzystanie z aplikacji Portal firmy.
Wybierz aplikację Portal firmy, gdy:
- Chcesz użyć uwierzytelniania wieloskładnikowego (MFA).
- Chcesz monitować użytkowników o zaktualizowanie wygasłego hasła podczas pierwszego logowania.
- Chcesz monitować użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
- Chcesz, aby urządzenia były zarejestrowane w Tożsamość Microsoft Entra. Po zarejestrowaniu można używać funkcji dostępnych w Tożsamość Microsoft Entra, takich jak dostęp warunkowy.
- Chcesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji. Jeśli Twoja firma korzysta z programu Volume Purchase Program (VPP), możesz automatycznie zainstalować Portal firmy aplikację podczas rejestracji.
Wybierz Asystenta ustawień , gdy:
Nie chcesz używać nowoczesnych funkcji uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe.
Chcesz wyczyścić urządzenie.
Chcesz zaimportować numery seryjne.
Nie chcesz rejestrować urządzeń w Tożsamość Microsoft Entra. Asystent ustawień uwierzytelnia użytkownika przy użyciu wyeksportowanego profilu rejestracji skopiowanego na urządzenie. Jeśli nie można zarejestrować urządzeń w Tożsamość Microsoft Entra, nie musisz instalować aplikacji Portal firmy. Kontynuuj korzystanie z Asystenta ustawień.
Jeśli chcesz, aby urządzenia były zarejestrowane w Tożsamość Microsoft Entra, zainstaluj aplikację Portal firmy. Po utworzeniu profilu rejestracji i wybraniu Asystenta ustawień możesz zainstalować aplikację Portal firmy. Zalecamy zainstalowanie aplikacji Portal firmy podczas rejestracji.
Jeśli używasz aplikacji Portal firmy, aplikacja Portal firmy musi być zainstalowana na urządzeniach przy użyciu zasad konfiguracji aplikacji. Zalecamy utworzenie tych zasad przed utworzeniem profilu rejestracji.
Nie instaluj aplikacji Portal firmy ze sklepu z aplikacjami bezpośrednio na urządzeniach zarejestrowanych w programie Apple Configurator. Zamiast tego zainstaluj aplikację Portal firmy przy użyciu następujących opcji:
Rejestrowanie nowych urządzeń: brak zadań administratora. Upewnij się, że użytkownicy wprowadzają swój identyfikator Apple ID w Asystentze ustawień.
Po zakończeniu pracy Asystenta ustawień aplikacja Portal firmy próbuje zainstalować ją automatycznie. Jeśli użytkownicy nie wprowadzają swojego identyfikatora Apple ID (
user@iCloud.com
lubuser@gmail.com
), będą stale monitować o wprowadzenie identyfikatora Apple ID. Użytkownicy muszą wprowadzić swój identyfikator Apple ID, aby uzyskać aplikację Portal firmy na swoich urządzeniach. Po zainstalowaniu aplikacji Portal firmy użytkownicy otwierają ją i wprowadzają poświadczenia organizacji (user@contoso.com
). Podczas uwierzytelniania użytkownicy mogą instalować i używać aplikacji używanych przez organizację, w tym aplikacji biznesowych.Już zarejestrowane urządzenia: jeśli urządzenia są już zarejestrowane, użyj zasad konfiguracji aplikacji:
- W centrum administracyjnym Intune dodaj aplikację Portal firmy jako wymaganą aplikację oraz jako aplikację licencjonowaną na urządzenie.
- Utwórz zasady konfiguracji aplikacji, które obejmują aplikację Portal firmy jako aplikację licencjonowaną na urządzeniu. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemami iOS i iPadOS DEP.
- Wdróż zasady konfiguracji aplikacji w tej samej grupie urządzeń co profil rejestracji.
- Gdy urządzenia zaewidencjonują usługę Intune, otrzymają Twój profil, a Portal firmy aplikacja zostanie zainstalowana.
Ta opcja:
- Zawiera poprawną wersję aplikacji Portal firmy.
- Wymaga utworzenia profilu rejestracji i utworzenia zasad konfiguracji aplikacji. W zasadach konfiguracji aplikacji ustaw wymaganą aplikację, aby wiedzieć, że aplikacja jest wdrażana na wszystkich urządzeniach.
- Aplikację Portal firmy można automatycznie zaktualizować, zmieniając istniejące zasady konfiguracji aplikacji.
W centrum administracyjnym Intune utwórz profil rejestracji:
Wybierz pozycję Zarejestruj przy użyciu koligacji użytkownika (skojarz użytkownika z urządzeniem) lub Zarejestruj bez koligacji użytkownika (urządzenia bez użytkownika lub urządzenia udostępnione).
Jeśli wybierzesz pozycję Zarejestruj bez koligacji użytkownika, automatycznie używasz rejestracji bezpośredniej. Pamiętać:
- Używasz ustawień z istniejącego profilu rejestracji systemu macOS.
- Użytkownicy nie mogą używać aplikacji, które wymagają użytkownika, w tym aplikacji Portal firmy. Aplikacja Portal firmy nie jest używana, potrzebna ani obsługiwana w przypadku rejestracji bez koligacji użytkownika. Upewnij się, że użytkownicy nie instalują aplikacji Portal firmy z App Store firmy Apple.
Gdy profil rejestracji jest gotowy, usb połącz urządzenia z komputerem Mac i otwórz aplikację Apple Configurator . Gdy aplikacja zostanie otwarta, wykryje podłączone urządzenie USB i wdroży utworzony profil rejestracji Intune.
Aby uzyskać więcej informacji na temat tej opcji rejestracji i jej wymagań wstępnych, przejdź do pozycji Rejestracja w programie Apple Configurator.
Zadania użytkownika końcowego programu Apple Configurator
Zadania zależą od opcji skonfigurowanej w profilu rejestracji.
Rejestrowanie przy użyciu koligacji użytkownika i aplikacji Portal firmy:
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
user@iCloud.com
lubuser@gmail.com
). Po wprowadzeniu aplikacja Portal firmy jest automatycznie instalowana ze sklepu z aplikacjami. Automatyczna instalacja aplikacji Portal firmy może zająć trochę czasu. - Otwórz aplikację Portal firmy i zaloguj się przy użyciu poświadczeń organizacji (
user@contoso.com
). Po zalogowaniu się użytkowników rozpoczyna się rejestracja. Po zakończeniu rejestracji użytkownicy mogą instalować aplikacje używane przez organizację i korzystać z nich, w tym aplikacji biznesowych.
Użytkownicy mogą być musieli wprowadzić więcej informacji. Aby uzyskać bardziej szczegółowe kroki, przejdź do pozycji Rejestrowanie urządzenia z systemem iOS dostarczonego przez organizację.
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają swój identyfikator Apple ID (
Zarejestruj przy użyciu koligacji użytkownika + Asystent ustawień + aplikacja Portal firmy:
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają poświadczenia organizacji (
user@contoso.com
). Ten krok powoduje zarejestrowanie urządzenia w Intune. - Asystent ustawień monituje użytkownika o informacje, w tym identyfikator Apple ID (
user@iCloud.com
lubuser@gmail.com
). - Aplikacja Portal firmy jest automatycznie instalowana ze sklepu z aplikacjami. Użytkownicy otwierają aplikację Portal firmy i logują się przy użyciu poświadczeń organizacji (
user@contoso.com
). Ten krok powoduje zarejestrowanie urządzenia w Tożsamość Microsoft Entra. Użytkownicy mogą instalować i używać aplikacji używanych przez organizację, w tym aplikacji biznesowych.
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają poświadczenia organizacji (
Rejestrowanie przy użyciu koligacji użytkownika i Asystenta ustawień — aplikacja Portal firmy:
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają poświadczenia organizacji (
user@contoso.com
). Ten krok powoduje zarejestrowanie urządzenia w Intune. - Asystent ustawień monituje użytkownika o informacje, w tym identyfikator Apple ID (
user@iCloud.com
lubuser@gmail.com
). Ten krok wypycha profil zarządzania Intune do urządzenia. - Użytkownicy instalują profil zarządzania. Profil zaewidencjonuje się w usłudze Intune i zarejestruje urządzenie. Urządzenie nie jest zarejestrowane w Tożsamość Microsoft Entra.
- Po włączeniu urządzenia zostanie uruchomiony Asystent ustawień firmy Apple. Użytkownicy wprowadzają poświadczenia organizacji (
Rejestrowanie bez koligacji użytkownika: używasz rejestracji bezpośredniej. Brak akcji. Upewnij się, że nie instalują aplikacji Portal firmy z App Store firmy Apple.
Użytkownicy zazwyczaj nie lubią się rejestrować i mogą nie być zaznajomieni z aplikacją Portal firmy. Pamiętaj, aby podać wskazówki, w tym informacje, które należy wprowadzić. Aby uzyskać wskazówki dotyczące komunikacji z użytkownikami, zobacz Przewodnik planowania: Krok 5 — tworzenie planu wdrożenia.
BYOD: Rejestracja użytkowników i urządzeń
Te urządzenia z systemem iOS/iPadOS są urządzeniami osobistymi lub BYOD (przynieś własne urządzenie), które mogą uzyskiwać dostęp do poczty e-mail, aplikacji i innych danych organizacji. Począwszy od systemu iOS 13 i nowszych, ta opcja rejestracji jest przeznaczona dla użytkowników lub urządzeń docelowych. Nie wymaga resetowania urządzeń.
Podczas tworzenia profilu rejestracji zostanie wyświetlony monit o wybranie pozycji Rejestrowanie urządzenia z Portal firmy, Rejestracja użytkownika oparta na kontach lub Określanie na podstawie wyboru użytkownika.
Aby zapoznać się z określonymi krokami rejestracji i wymaganiami wstępnymi, przejdź do sekcji Konfigurowanie rejestracji użytkowników opartej na kontach i Konfigurowanie rejestracji urządzeń z systemem iOS/iPadOS.
Funkcja | Użyj tej opcji rejestracji, gdy |
---|---|
Urządzenia są osobiste lub BYOD. | ✅ |
Chcesz pomóc w ochronie określonej funkcji na urządzeniu, takiej jak sieć VPN dla aplikacji. | ✅ |
Masz nowe lub istniejące urządzenia. | ✅ |
Należy zarejestrować kilka urządzeń lub dużą liczbę urządzeń (rejestracja zbiorcza). | ✅ |
Urządzenia są skojarzone z pojedynczym użytkownikiem. | ✅ |
Urządzenia są zarządzane przez innego dostawcę mdm. | ❌ Po zarejestrowaniu urządzenia dostawcy oprogramowania MDM instalują certyfikaty i inne pliki. Te pliki muszą zostać usunięte. Najszybszym sposobem może być wyrejestrowanie lub zresetowanie urządzeń do ustawień fabrycznych. Jeśli nie chcesz resetować do ustawień fabrycznych, skontaktuj się z dostawcą rozwiązania MDM. |
Używasz konta menedżera rejestracji urządzeń (DEM). | ✅ |
Urządzenia są własnością organizacji lub szkoły. | ❌ Niezalecane. Urządzenia należące do organizacji powinny być zarejestrowane przy użyciu automatycznej rejestracji urządzeń (w tym artykule) lub programu Apple Configurator (w tym artykule). |
Urządzenia są bez użytkownika, takie jak kiosk lub urządzenie dedykowane. | ❌ Zazwyczaj urządzenia bez użytkowników lub udostępnione są własnością organizacji. Te urządzenia powinny zostać zarejestrowane przy użyciu funkcji automatycznej rejestracji urządzeń (w tym artykule) lub programu Apple Configurator (w tym artykule). |
Zadania administratora rejestracji użytkowników i urządzeń
Ta lista zawiera omówienie zadań wymaganych przez administratorów.
Upewnij się, że urządzenia są obsługiwane.
Upewnij się, że certyfikat wypychania mdm firmy Apple został dodany do Intune i jest aktywny. Ten certyfikat jest wymagany do rejestrowania urządzeń z systemem iOS/iPadOS. Aby uzyskać więcej informacji, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple.
W centrum administracyjnym Intune utwórz profil rejestracji. Podczas tworzenia profilu rejestracji dostępne są następujące opcje:
Rejestrowanie urządzeń za pomocą Portal firmy: ta opcja jest typową rejestracją w aplikacji Portal firmy dla urządzeń osobistych. Urządzenie jest zarządzane, a nie tylko konkretne aplikacje lub funkcje. Korzystając z tej opcji, rozważ następujące informacje:
- Certyfikaty, które mają zastosowanie do całego urządzenia, można wdrożyć.
- Użytkownicy muszą instalować aktualizacje. Tylko urządzenia zarejestrowane przy użyciu zautomatyzowanej rejestracji urządzeń (ADE) mogą otrzymywać aktualizacje przy użyciu zasad lub profilów mdm.
- Użytkownik musi być skojarzony z urządzeniem. Ten użytkownik może być kontem menedżera rejestracji urządzeń (DEM).
Rejestracja urządzeń opartych na sieci Web: począwszy od systemu iOS 15 i nowszych. Ta opcja jest podobna do rejestracji urządzeń za pomocą Portal firmy, ale rejestracja odbywa się w internetowej wersji Intune — Portal firmy, eliminując potrzebę aplikacji. Ponadto ta opcja umożliwia pracownikom i uczniom bez zarządzanych identyfikatorów Apple ID rejestrowanie urządzeń i uzyskiwanie dostępu do aplikacji zakupionych zbiorczo.
Określanie na podstawie wyboru użytkownika: umożliwia użytkownikom końcowym wybór podczas rejestracji. W zależności od ich wyboru jest używana rejestracja użytkownika oparta na kontach lub Rejestracja urządzenia .
Rejestracja użytkownika oparta na kontach: począwszy od systemu iOS 13 i nowszych. Ta opcja umożliwia skonfigurowanie określonego zestawu funkcji i aplikacji organizacji, takich jak hasło, sieć VPN dla aplikacji, sieć Wi-Fi i Siri. Jeśli używasz tej metody i pomagasz zabezpieczyć aplikacje i ich dane, zalecamy również korzystanie z zasad ochrony aplikacji.
Aby uzyskać pełną listę czynności, które możesz wykonać, a czego nie możesz zrobić, przejdź do sekcji Omówienie rejestracji użytkowników firmy Apple w Microsoft Intune.
Uwaga
Funkcja BYOD może stać się urządzeniami należącymi do organizacji. Aby uczynić te urządzenia firmowymi, przejdź do pozycji Identyfikowanie urządzeń jako należących do firmy.
Rejestracja użytkowników oparta na kontach jest uznawana za bardziej przyjazną dla użytkowników końcowych. Może jednak nie udostępniać zestawu funkcji i funkcji zabezpieczeń, których potrzebują administratorzy. W niektórych scenariuszach rejestracja użytkowników oparta na kontach może nie być najlepszą opcją. Rozważ następujące scenariusze:
Rejestracja użytkownika oparta na kontach tworzy partycję roboczą na urządzeniach. Funkcje i zabezpieczenia skonfigurowane w profilu rejestracji użytkownika istnieją tylko w partycji roboczej. Nie istnieją one w partycji użytkownika. Użytkownicy nie mogą zresetować partycji roboczej do ustawień fabrycznych; administratorzy mogą. Użytkownicy mogą zresetować partycję osobistą do ustawień fabrycznych; administratorzy nie mogą.
Jeśli użytkownicy korzystają głównie z aplikacji firmy Microsoft lub używają aplikacji utworzonych przy użyciu zestawu Intune App SDK, użytkownicy powinni pobrać te aplikacje z App Store firmy Apple. Następnie użyj zasad ochrony aplikacji, aby chronić te aplikacje. W tym scenariuszu nie potrzebujesz rejestracji użytkownika opartej na kontach.
W przypadku aplikacji biznesowych (LOB) rejestracja użytkowników oparta na kontach może być opcją, ponieważ wdraża te aplikacje na partycji roboczej. Zarządzanie aplikacjami (MAM) nie obsługuje aplikacji biznesowych. Jeśli więc potrzebujesz aplikacji biznesowych, użyj rejestracji użytkownika opartej na kontach.
Gdy urządzenia są rejestrowane przy użyciu rejestracji użytkowników opartej na kontach, nie można przełączyć się na rejestrację urządzenia. Dzięki rejestracji użytkowników opartej na kontach nie można przenieść aplikacji z niezarządzanej do zarządzanej. Użytkownicy muszą wyrejestrować się z rejestracji użytkowników, a następnie ponownie zarejestrować się w rejestracji urządzeń.
Jeśli zainstalujesz aplikacje przed zastosowaniem profilu rejestracji użytkownika, te aplikacje nie są chronione ani zarządzane przez profil rejestracji użytkownika.
Na przykład użytkownik pobiera aplikację Outlook z App Store firmy Apple. Aplikacja jest automatycznie instalowana na partycji użytkownika na urządzeniu. Użytkownik konfiguruje program Outlook pod kątem osobistej poczty e-mail. Podczas konfigurowania poczty e-mail organizacji użytkownicy są blokowane przez dostęp warunkowy i proszeni o rejestrację. Są one rejestrowane i wdrażany jest profil rejestracji użytkownika.
Ponieważ aplikacja Outlook została zainstalowana przed profilem rejestracji użytkownika, profil rejestracji użytkownika kończy się niepowodzeniem. Nie można zarządzać aplikacją Outlook, ponieważ jest zainstalowana i skonfigurowana w partycji użytkownika, a nie w partycji roboczej. Użytkownicy muszą ręcznie odinstalować aplikację Outlook.
Po odinstalowaniu użytkownicy mogą ręcznie zsynchronizować urządzenie i ewentualnie ponownie zastosować profil rejestracji użytkownika. Może też być konieczne utworzenie zasad konfiguracji aplikacji w celu wdrożenia programu Outlook i uczynienie go wymaganą aplikacją. Następnie wdróż zasady ochrony aplikacji, aby zabezpieczyć aplikację i jej dane.
Przypisz profil rejestracji do grup użytkowników. Nie przypisuj do grup urządzeń.
Zadania użytkownika końcowego rejestracji urządzeń
Użytkownicy muszą wykonać następujące czynności.
Przejdź do App Store firmy Apple i zainstaluj aplikację Intune — Portal firmy.
Otwórz aplikację Portal firmy i zaloguj się przy użyciu konta służbowego (
user@contoso.com
). Po zalogowaniu profil rejestracji ma zastosowanie do urządzenia.Użytkownicy mogą być musieli wprowadzić więcej informacji. Aby uzyskać bardziej szczegółowe kroki, przejdź do pozycji Rejestrowanie urządzenia.
Użytkownicy z włączonymi powiadomieniami aplikacji otrzymują monit o powrót do aplikacji Portal firmy w celu ukończenia wymaganej rejestracji urządzenia. Użytkownicy z wyłączonymi powiadomieniami aplikacji nie są powiadamiani o tym wymaganiu. Jeśli używasz grup dynamicznych, które polegają na rejestracji urządzeń, ważne jest, aby użytkownicy ukończyli rejestrację urządzenia. Zaplanuj przekazanie tych kroków użytkownikom końcowym. Jeśli używasz zasad dostępu warunkowego (CA), nie jest wymagana żadna akcja, ponieważ użytkownicy aplikacji chronionych przez urząd certyfikacji próbują się zalogować, monitują ich o powrót do Portal firmy w celu ukończenia rejestracji urządzenia.
Po zakończeniu rejestracji Intune automatycznie instaluje na urządzeniu certyfikat podpisywania profilu. Ten certyfikat jest ważny przez rok. Na koniec roku po wygaśnięciu certyfikatu Intune odnawia certyfikat. Jeśli odnawianie zakończy się niepowodzeniem, w ustawieniach & profilu zarządzania zarządzaniem> urządzeniami na urządzeniu zostanie wyświetlony stan Nie zweryfikowano. Ten stan nie ma wpływu na użytkowników końcowych, a urządzenia będą nadal ewidencjonowywać Intune i otrzymywać aktualizacje zasad.
Użytkownicy zazwyczaj nie lubią się rejestrować i mogą nie być zaznajomieni z aplikacją Portal firmy. Pamiętaj, aby podać wskazówki, w tym informacje, które należy wprowadzić. Aby uzyskać wskazówki dotyczące komunikacji z użytkownikami, zobacz Przewodnik planowania: Krok 5 — tworzenie planu wdrożenia.
Porada
Istnieje krótki film krok po kroku, który ułatwia użytkownikom rejestrowanie urządzeń w Intune:
Zadania użytkownika końcowego rejestracji użytkowników
Użytkownicy muszą wykonać następujące kroki podczas rejestracji użytkowników opartej na kontach.
- Otwórz aplikację Ustawienia i przejdź do pozycji Ogólne>& Zarządzanie urządzeniami sieci VPN.
- Zaloguj się do konta służbowego.
- Postępuj zgodnie z monitami wyświetlanymi na ekranie i zezwalaj na zdalne zarządzanie.
- Wprowadź kod dostępu urządzenia, aby skonfigurować zdalne zarządzanie.
Po zakończeniu rejestracji Intune automatycznie instaluje na urządzeniu certyfikat podpisywania profilu. Ten certyfikat jest ważny przez rok. Na koniec roku po wygaśnięciu certyfikatu Intune odnawia certyfikat. Jeśli odnawianie zakończy się niepowodzeniem, w ustawieniach & profilu zarządzania zarządzaniem> urządzeniami na urządzeniu zostanie wyświetlony stan Nie zweryfikowano. Ten stan nie ma wpływu na użytkowników końcowych, a urządzenia nadal zaewidencjonują Intune i będą otrzymywać aktualizacje zasad.
Aby uzyskać więcej informacji na temat środowiska użytkownika, przejdź do tematu Przygotowywanie pracowników do rejestracji.