Настройка регистрации для устройств в режиме общего устройства
Применимо к iOS/iPadOS
Настройте автоматическую регистрацию устройств в режиме общего устройства. Режим общего устройства — это функция Microsoft Entra ID, которая позволяет сотрудникам переднего плана безопасно делиться одним устройством в течение дня, при необходимости входить в систему и выходить из нее. В этом интерфейсе используется подключаемый модуль единого входа Microsoft Enterprise , чтобы ограничить количество попыток входа сотрудников во время сеанса.
Корпоративные устройства, приобретенные через Apple Business Manager или Apple School Manager, можно зарегистрировать в Intune с помощью автоматической регистрации устройств. Microsoft Intune поддерживает подготовку с нуля для устройств в режиме общего устройства, что означает, что устройство можно настроить и зарегистрировать в Intune при минимальном взаимодействии со стороны первой линии.
В этой статье описаны следующие действия:
- Создание политики регистрации Apple
- Создание динамической Microsoft Entra группы для автоматической группировки
- Создание фильтра назначений для быстрой подготовки
- Создание политики конфигурации устройства для расширения приложения единого входа
- Назначение приложения Microsoft Authenticator (версия VPP)
Предварительные условия
Перед созданием политики регистрации в Microsoft Intune:
- Выполните все предварительные требования для автоматической регистрации устройств Apple.
- Перед началом работы ознакомьтесь с рекомендациями и рекомендациями по автоматической регистрации устройств.
Шаг 1. Создание политики регистрации Apple
Создайте политику автоматической регистрации устройств Apple в Microsoft Intune для устройств, зарегистрированных в режиме общего доступа. Включите следующие конфигурации:
- Сходство пользователей: регистрация с Microsoft Entra ID режиме общего доступа
- Заблокированная регистрация: Да
- Применить шаблон имени устройства: Да (необязательно)
- Шаблон имени устройства (необязательно): {{DEVICETYPE}}-{{SERIAL}}
- Переключить все (необязательно): скрыть
Хотя это необязательно, рекомендуется применить шаблон имени устройства с рекомендуемыми параметрами форматирования. Вы также можете скрыть все или некоторые экраны помощника по настройке, чтобы ускорить подготовку и подключение пользователей. Завершив настройку остальной части профиля регистрации, назначьте его устройствам.
Дополнительные сведения о создании политики регистрации см. в статье Создание профиля регистрации Apple.
Шаг 2. Создание динамической Microsoft Entra группы
Создайте динамическую группу Microsoft Entra с помощью enrollmentProfileName
свойства для автоматической группировки устройств, зарегистрированных с помощью определенной политики регистрации. В этом случае мы хотим сгруппировать устройства, которые находятся в режиме совместного использования устройств и регистрируются с помощью политики, созданной на шаге 1. Включите следующие конфигурации в динамическую групповую политику:
- Тип группы: безопасность
- Тип членства: динамическое устройство
- Добавьте динамический запрос со следующим правилом:
- Свойство: enrollmentProfileName
- Оператор: Равно
- Значение. Введите имя политики регистрации, созданной для устройств в режиме общего устройства.
Дополнительные сведения о создании динамической группы для общих устройств в Microsoft Entra ID см. в статье Создание правила членства в группах.
Шаг 3. Создание фильтра назначений
Создайте фильтр назначений для быстрого назначения устройств, назначенных вашей политике регистрации. Добавьте правило со следующими параметрами:
- Свойство: enrollmentProfileName
- Оператор: Равно
- Значение. Введите имя профиля регистрации, созданного для устройств в режиме общего устройства.
Дополнительные сведения о создании правила фильтра назначения см. в разделе Создание фильтра.
Шаг 4. Создание политики конфигурации устройств
Настройка политики расширения приложений с единым входом для режима общего устройства. Создайте политику конфигурации устройства и включите следующие конфигурации:
- Тип профиля: выберите "Шаблоны".
- Имя шаблона: Функции устройства
- Разверните расширение приложения для единого входа и настройте следующие параметры:
- Тип расширения приложения единого входа: Microsoft Entra ID
- Включить режим общего устройства: Да
- Ключ: device_registration
- Тип: String
- Значение: {{DEVICEREGISTRATION}}
Остальную часть политики можно настроить в соответствии с потребностями вашей организации. Завершив настройку политики, назначьте ее всем устройствам , а затем добавьте фильтр назначений, созданный на шаге 3.
Дополнительные сведения о создании политики расширения приложений единого входа см. в разделе:
Шаг 5. Назначение приложения Microsoft Authenticator
Назначьте приложение Microsoft Authenticator целевым устройствам. Назначьте приложение по мере необходимостивсем устройствам. Затем добавьте фильтр назначений, созданный на шаге 3. Приложение Microsoft Authenticator должно быть приобретено в рамках программы корпоративных покупок Apple.
Дополнительные сведения о назначении приложения, приобретенного томом, см. в разделе Назначение приложения, приобретенного томом.
Шаг 6. Распространение устройств
Общие устройства, зарегистрированные без сопоставления пользователей, требуют минимального взаимодействия с пользователем со стороны рабочей роли первой линии. После получения устройства сотруднику первой линии потребуется открыть приложение Microsoft Authenticator, чтобы убедиться, что устройство находится в режиме общего устройства.
Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.