Métodos de autenticação para a inscrição automatizada de dispositivos no Intune
Aplica-se ao iOS/iPadOS
Este artigo descreve os métodos de autenticação disponíveis para dispositivos iOS/iPadOS inscritos no Intune através da inscrição automatizada de dispositivos. Os métodos de autenticação disponíveis incluem:
- Aplicativo Portal da Empresa do Intune
- Assistente de Configuração com autenticação moderna
- Registo Just-in-Time (JIT) do Assistente de Configuração com autenticação moderna
- Assistente de Configuração (legado)
Todos os métodos estão disponíveis para dispositivos pertencentes à empresa com afinidade de utilizador e comprados através do Apple Business Manager ou do Apple School Manager.
Opção 1: Portal da Empresa do Intune aplicação
Utilize a aplicação Portal da Empresa do Intune como método de autenticação se quiser:
- Utilize a autenticação multifator (MFA).
- Solicitar que os usuários alterem a senha quando entrarem pela primeira vez.
- Solicitar que os usuários redefinam senhas expiradas durante o registro.
- Registe dispositivos no Microsoft Entra ID e utilize funcionalidades disponíveis com Microsoft Entra ID, como o acesso condicional.
- Instale automaticamente a aplicação Portal da Empresa durante a inscrição. Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário.
- Você quiser bloquear o dispositivo até que o aplicativo Portal da Empresa seja instalado.
Cuidado
Intune bloqueará uma inscrição que utilize este método de autenticação se o utilizador do dispositivo for visado por um tipo de perfil de inscrição de utilizador da Apple orientado por uma conta. Esse comportamento é esperado. O utilizador recebe uma mensagem de erro a indicar que a conta não suporta a inscrição através da aplicação Portal da Empresa e que tem de se inscrever através do site do Portal da Empresa. Para garantir inscrições bem-sucedidas através da inscrição automatizada de dispositivos, utilize a Opção 2: Assistente de Configuração com autenticação moderna como método de autenticação ao trabalhar com tipos de perfil de Inscrição de Utilizador da Apple baseados na conta.
Opção 2: Assistente de Configuração com autenticação moderna
Esta opção fornece a mesma segurança que Portal da Empresa do Intune autenticação, mas é diferente porque permite que o utilizador do dispositivo aceda a partes do dispositivo, mesmo que a Portal da Empresa não tenha sido instalada. Utilize esta opção para autenticação quando quiser:
- Limpe o dispositivo.
- Utilize a autenticação multifator (MFA).
- Solicitar que os usuários alterem a senha quando entrarem pela primeira vez.
- Solicitar que os usuários redefinam senhas expiradas durante o registro.
- Registe dispositivos no Microsoft Entra ID e utilize funcionalidades disponíveis com Microsoft Entra ID, como o acesso condicional.
- Instale automaticamente a aplicação Portal da Empresa durante a inscrição. Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário.
- Permitir que os utilizadores utilizem o dispositivo mesmo quando a aplicação Portal da Empresa não está instalada.
O Assistente de Configuração com autenticação moderna é suportado em dispositivos com o iOS/iPadOS 13.0 e posterior. Os dispositivos iOS/iPadOS mais antigos atribuídos a este tipo de perfil reverterão para a autenticação do Assistente de Configuração (legado ).
Instalar automaticamente Portal da Empresa aplicação
Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário. Para ativar a instalação automática no perfil de inscrição, selecione Sim para Instalar Portal da Empresa com o VPP. Recomendamos que utilize esta opção.
Se não utilizar a opção VPP, o utilizador do dispositivo tem de introduzir o ID Apple durante o Assistente de Configuração ou quando Intune tentar instalar Portal da Empresa.
Em ambos os cenários, a opção de instalação Portal da Empresa está oculta do utilizador do dispositivo e o Portal da Empresa torna-se uma aplicação necessária no respetivo dispositivo. Quando o utilizador chega ao ecrã principal, Intune aplica automaticamente a política de configuração de aplicações correta ao dispositivo.
Cuidado
Não envie uma política de configuração de aplicativo separada para o Portal da Empresa para dispositivos iOS/iPadOS após o registro com o assistente de configuração com autenticação moderna. Fazer isso resultará em um erro.
Autenticação de vários fatores
A autenticação multifator (MFA) será necessária se uma política de acesso condicional que exija que seja aplicada na inscrição ou durante Portal da Empresa início de sessão. No entanto, a MFA é opcional, com base nas definições de Microsoft Entra na política de acesso condicional direcionada.
Os métodos de autenticação externos são suportados no Microsoft Entra ID, o que significa que pode utilizar a sua solução de MFA preferida para facilitar a MFA durante a inscrição de dispositivos. Se optar por utilizar um fornecedor de MFA de terceiros, antes de implementar perfis de inscrição em todos os dispositivos, execute um teste para garantir que tanto o Microsoft Entra ecrã MFA como a MFA funcionam durante a inscrição. Para obter mais informações e detalhes de suporte sobre métodos de autenticação externos, veja Pré-visualização pública: Métodos de autenticação externos no Microsoft Entra ID.
Portal da Empresa ação necessária
Depois de percorrer os ecrãs do Assistente de Configuração, o utilizador do dispositivo chega à home page. Neste momento, a respetiva afinidade de utilizador é estabelecida. No entanto, até que o utilizador inicie sessão no Portal da Empresa com as respetivas credenciais de Microsoft Entra e selecione Iniciar, o dispositivo:
- Não será registado na Microsoft Entra ID.
- Não aparecerá na lista de dispositivos do utilizador no Microsoft Entra ID.
- Não terá acesso aos recursos protegidos pelo acesso condicional.
- Não serão avaliados quanto à conformidade do dispositivo.
- Será redirecionado para o Portal da Empresa de outros aplicativos se o usuário tentar abrir aplicativos gerenciados protegidos pelo acesso condicional.
Opção 3: Registo Just-in-Time do Assistente de Configuração com autenticação moderna
Esta opção é a mesma que o Assistente de Configuração com autenticação moderna, exceto que não é necessário Portal da Empresa para Microsoft Entra registo ou conformidade. Em vez disso, Microsoft Entra verificações de registo e conformidade estão totalmente integradas numa aplicação designada da Microsoft ou não microsoft que está configurada com a extensão de aplicação de início de sessão único (SSO) da Apple. A extensão reduz os pedidos de autenticação e estabelece o SSO em todo o dispositivo. O Registo JIT pede aos utilizadores para se autenticarem duas vezes:
- Uma autenticação processa a inscrição e a afinidade utilizador-dispositivo e ocorre quando o utilizador do dispositivo liga o dispositivo e inicia sessão no Assistente de Configuração.
- Outra autenticação processa Microsoft Entra registo e ocorre quando o utilizador inicia sessão na aplicação designada. As verificações de conformidade também são efetuadas nesta aplicação.
Observação
Se a sua organização utilizar Microsoft Defender para Ponto de Extremidade, para que a remediação de conformidade e registo JIT funcione conforme esperado, certifique-se de que a aplicação Microsoft Defender para Ponto de Extremidade não é a primeira aplicação aberta.
Assim que o utilizador do dispositivo chegar ao ecrã principal, pode iniciar sessão em qualquer aplicação escolar ou profissional configurada com a extensão SSO para concluir Microsoft Entra verificações de registo e conformidade. O SSO assina o utilizador em todas as aplicações que fazem parte da sua política de extensão SSO. Nessa altura, também podem iniciar sessão manualmente em qualquer aplicação que não esteja configurada para utilizar a extensão SSO.
Para configurar o Registo JIT com a inscrição automática de dispositivos:
Crie uma política de configuração de dispositivos e configure as definições na categoria Extensão de aplicação de início de sessão único. Para obter os passos, veja Configurar o registo just-in-time.
Crie um perfil de inscrição da Apple e selecione Assistente de Configuração com autenticação moderna como método de autenticação. Um token de inscrição de dispositivos automatizado ativo do Apple Business Manager ou do Apple School Manager tem de estar presente no Intune para concluir este passo.
Quando aceder à página Tarefas no perfil de inscrição, atribua o perfil aos dispositivos sincronizados a partir do Apple Business Manager e do Apple School Manager. Depois de atribuir o perfil, os funcionários e estudantes podem concluir a configuração e autenticação nos respetivos dispositivos.
Observação
A Portal da Empresa ainda é enviada para os dispositivos como uma aplicação necessária, mesmo que não seja necessária para Microsoft Entra registo ou conformidade. Os utilizadores do dispositivo podem utilizar a aplicação Portal da Empresa para recolher e carregar registos se tiverem problemas na aplicação.
Exemplo de autenticação com êxito
A seguinte sequência de eventos descreve um exemplo do aspeto de uma autenticação com êxito com o Registo JIT do Assistente de Configuração com autenticação moderna. A experiência da sua organização pode ser diferente consoante as configurações de inscrição de dispositivos automatizadas.
O utilizador do dispositivo liga o dispositivo.
O Assistente de Configuração começa. O utilizador do dispositivo autentica-se com as respetivas credenciais de Microsoft Entra no Assistente de Configuração.
O utilizador do dispositivo conclui a autenticação multifator, se tal for necessário na política de Acesso Condicional.
O dispositivo termina a inscrição no Intune e a afinidade utilizador-dispositivo é estabelecida.
O utilizador do dispositivo chega ao ecrã principal e abre o Microsoft Teams ou outra aplicação do Office e inicia sessão com a respetiva conta profissional. Se o dispositivo cumprir todos os requisitos de conformidade, o utilizador do dispositivo terá acesso imediatamente às respetivas mensagens e calendário.
Observação
Durante Microsoft Entra registo, o utilizador do dispositivo poderá ver um pequeno controlo giratório enquanto Intune termina as verificações de compatibilidade. Esse é um comportamento esperado.
A extensão SSO estabelece o início de sessão único em todas as outras aplicações direcionadas e em todas as aplicações da Microsoft.
O dispositivo está registado com Microsoft Entra ID e em conformidade. Pode ver a status do dispositivo no centro de administração e Microsoft Entra ID. O utilizador do dispositivo pode ver o status no Portal da Empresa do Intune e utilizar Portal da Empresa para conformidade, inventário de aplicações, sincronizações de dispositivos e partilha de registos.
O utilizador do dispositivo abre o Teams e tem sessão iniciada automaticamente.
Opção 4: Assistente de Configuração (legado)
Utilize o Assistente de Configuração legado se quiser que os utilizadores experimentem a experiência típica e inicial dos produtos Apple. Esta opção instala as definições pré-configuradas padrão quando o dispositivo é inscrito no Intune. Utilize esta opção para autenticação quando:
- Quer apagar um dispositivo.
- Não quer funcionalidades de autenticação modernas, como a autenticação multifator.
- Não quer registar dispositivos no Microsoft Entra ID. O Assistente de Configuração (legado) autentica o utilizador com o token .p7m da Apple.
Se estiver usando os Serviços de Federação do Active Directory e o Assistente de Configuração para se autenticar, você precisará de um Nome de usuário/Ponto de extremidade misto do WS-Trust 1.3. Para obter mais informações, veja Get-AdfsEndpoint no nosso guia de Referência do Windows PowerShell.
Próximas etapas
Agora que sabe que método de autenticação está a utilizar, crie um perfil de inscrição da Apple e selecione o método de autenticação quando lhe for pedido. Um token de inscrição de dispositivos automatizado ativo do Apple Business Manager ou do Apple School Manager tem de estar presente no Intune para concluir este passo.