Dela via

Autentiseringsmetoder för automatisk enhetsregistrering i Intune

  • Artikel

Gäller för iOS/iPadOS

I den här artikeln beskrivs de autentiseringsmetoder som är tillgängliga för iOS/iPadOS-enheter som registrerats i Intune via automatisk enhetsregistrering. Tillgängliga autentiseringsmetoder är:

  • Intune-företagsportal app
  • Installationsassistent med modern autentisering
  • Jit-registrering (just-in-time) för installationsassistenten med modern autentisering
  • Installationsassistenten (äldre)

Alla metoder är tillgängliga för företagsägda enheter med användartillhörighet och köps via Apple Business Manager eller Apple School Manager.

Alternativ 1: Intune-företagsportal app

Använd Intune-företagsportal-appen som autentiseringsmetod om du vill:

  • Använd multifaktorautentisering (MFA).
  • Uppmana användarna att ändra sina lösenord när de först loggar in.
  • Uppmana användarna att återställa sina utgångna lösenord under registreringen.
  • Registrera enheter i Microsoft Entra ID och använd funktioner som är tillgängliga med Microsoft Entra ID, till exempel villkorlig åtkomst.
  • Installera Företagsportal-appen automatiskt under registreringen. Om ditt företag använder volymköpsprogrammet (VPP) kan du automatiskt installera Företagsportal app under registreringen utan användar-Apple-ID:t.
  • Du vill låsa enheten tills Företagsportal-appen installeras.

Försiktighet

Intune blockerar en registrering som använder den här autentiseringsmetoden om enhetsanvändaren är riktad mot en kontodriven Apple-användarregistreringsprofiltyp. Det här beteendet förväntas. Användaren får ett felmeddelande om att deras konto inte stöder registrering via Företagsportal-appen och att de måste registreras via Företagsportal webbplats. Om du vill säkerställa lyckade registreringar via automatisk enhetsregistrering använder du Alternativ 2: Installationsassistenten med modern autentisering som autentiseringsmetod när du arbetar med kontodrivna profiltyper för Apple-användarregistrering.

Alternativ 2: Installationsassistenten med modern autentisering

Det här alternativet ger samma säkerhet som Intune-företagsportal autentisering men är annorlunda eftersom det gör att enhetsanvändaren kan komma åt delar av enheten även om Företagsportal inte har installerats. Använd det här alternativet för autentisering när du vill:

  • Rensa enheten.
  • Använd multifaktorautentisering (MFA).
  • Uppmana användarna att ändra sina lösenord när de först loggar in.
  • Uppmana användarna att återställa sina utgångna lösenord under registreringen.
  • Registrera enheter i Microsoft Entra ID och använd funktioner som är tillgängliga med Microsoft Entra ID, till exempel villkorlig åtkomst.
  • Installera Företagsportal-appen automatiskt under registreringen. Om ditt företag använder volymköpsprogrammet (VPP) kan du automatiskt installera Företagsportal app under registreringen utan användar-Apple-ID:t.
  • Tillåt användare att använda enheten även när Företagsportal app inte är installerad.

Installationsassistenten med modern autentisering stöds på enheter som kör iOS/iPadOS 13.0 och senare. Äldre iOS/iPadOS-enheter som har tilldelats den här typen av profil återgår till installationsassistentens (äldre) autentisering.

Installera Företagsportal app automatiskt

Om ditt företag använder volymköpsprogrammet (VPP) kan du automatiskt installera Företagsportal-appen under registreringen utan användar-Apple-ID:t. Om du vill aktivera automatisk installation i registreringsprofilen väljer du Ja för Installera Företagsportal med VPP. Vi rekommenderar att du använder det här alternativet.

Om du inte använder alternativet VPP måste enhetsanvändaren ange sitt Apple-ID under installationsassistenten eller när Intune försöker installera Företagsportal.

I båda scenarierna är Företagsportal installationsalternativet dolt för enhetsanvändaren och Företagsportal blir en obligatorisk app på enheten. När användaren når startskärmen tillämpar Intune automatiskt rätt appkonfigurationsprincip på enheten.

Försiktighet

Skicka inte en separat appkonfigurationsprincip till Företagsportal för iOS/iPadOS-enheter efter registrering med installationsassistenten med modern autentisering. Om du gör det uppstår ett fel.

Multifaktorautentisering

Multifaktorautentisering (MFA) krävs om en princip för villkorsstyrd åtkomst som kräver att den tillämpas vid registrering eller under Företagsportal inloggning. MFA är dock valfritt, baserat på inställningarna för Microsoft Entra i den riktade principen för villkorsstyrd åtkomst.

Externa autentiseringsmetoder stöds i Microsoft Entra ID, vilket innebär att du kan använda önskad MFA-lösning för att underlätta MFA under enhetsregistreringen. Om du väljer att använda en MFA-provider från tredje part ska du, innan du distribuerar registreringsprofiler till alla enheter, göra en testkörning för att säkerställa att både Microsoft Entra MFA-skärmen och MFA fungerar under registreringen. Mer information och supportinformation om externa autentiseringsmetoder finns i Offentlig förhandsversion: Externa autentiseringsmetoder i Microsoft Entra ID.

Företagsportal åtgärd krävs

När de har genomgått installationsassistentens skärmar hamnar enhetsanvändaren på startsidan. Nu upprättas deras användartillhörighet. Men tills användaren loggar in på Företagsportal med sina Microsoft Entra autentiseringsuppgifter och väljer Börja, enheten:

  • Registreras inte helt med Microsoft Entra ID.
  • Visas inte i användarens enhetslista i Microsoft Entra ID.
  • Kommer inte att ha åtkomst till resurser som skyddas av villkorlig åtkomst.
  • Inte att utvärderas för enhetsefterlevnad.
  • Omdirigeras till Företagsportal från andra appar om användaren försöker öppna hanterade program som skyddas av villkorlig åtkomst.

Alternativ 3: Just-in-time-registrering för installationsassistenten med modern autentisering

Det här alternativet är detsamma som installationsassistenten med modern autentisering, förutom att Företagsportal inte krävs för Microsoft Entra registrering eller efterlevnad. I stället är Microsoft Entra registrerings- och efterlevnadskontroller helt integrerade i en angiven Microsoft- eller icke-Microsoft-app som har konfigurerats med Apples apptillägg för enkel inloggning (SSO). Tillägget minskar autentiseringsprompterna och upprättar enkel inloggning på hela enheten. JIT-registrering uppmanar användarna att autentisera två gånger:

  • En autentisering hanterar registrering och mappning mellan användare och enhet och inträffar när enhetsanvändaren aktiverar sin enhet och loggar in på installationsassistenten.
  • En annan autentisering hanterar Microsoft Entra registrering och inträffar när användaren loggar in på den avsedda appen. Efterlevnadskontroller görs också i den här appen.

Obs!

Om din organisation använder Microsoft Defender för Endpoint, för att JIT-registrering och efterlevnadsreparation ska fungera som förväntat, kontrollerar du att Microsoft Defender för Endpoint app inte är den första appanvändarna öppna.

När enhetsanvändaren når startskärmen kan de logga in på alla arbets- eller skolappar som har konfigurerats med SSO-tillägget för att slutföra Microsoft Entra registrerings- och efterlevnadskontroller. Enkel inloggning loggar in användaren i alla appar som ingår i principen för SSO-tillägg. Vid den tidpunkten kan de också logga in manuellt på alla appar som inte har konfigurerats för att använda SSO-tillägget.

Så här konfigurerar du JIT-registrering med automatisk enhetsregistrering:

  1. Skapa en enhetskonfigurationsprincip och konfigurera inställningarna under kategorin Apptillägg för enkel inloggning . Anvisningar finns i Konfigurera just-in-time-registrering.

  2. Skapa en Apple-registreringsprofil och välj Installationsassistenten med modern autentisering som autentiseringsmetod. En aktiv automatisk enhetsregistreringstoken från Apple Business Manager eller Apple School Manager måste finnas i Intune för att slutföra det här steget.

  3. När du kommer till sidan Tilldelningar i registreringsprofilen tilldelar du profilen till de enheter som synkroniseras från Apple Business Manager och Apple School Manager. När du har tilldelat profilen kan anställda och studenter slutföra konfigurationen och autentiseringen på sina enheter.

    Obs!

    Företagsportal skickas fortfarande till enheter som en obligatorisk app, även om den inte krävs för Microsoft Entra registrering eller efterlevnad. Enhetsanvändare kan använda Företagsportal-appen för att samla in och ladda upp loggar om det uppstår problem i appen.

Exempel på lyckad autentisering

Följande händelsesekvens beskriver ett exempel på hur en lyckad autentisering ser ut med JIT-registrering för installationsassistenten med modern autentisering. Din organisations upplevelse kan variera beroende på konfigurationerna för automatisk enhetsregistrering.

  1. Enhetsanvändaren aktiverar enheten.

  2. Installationsassistenten börjar. Enhetsanvändaren autentiserar med sina Microsoft Entra autentiseringsuppgifter i installationsassistenten.

  3. Enhetsanvändaren slutför multifaktorautentisering om det krävs i principen för villkorsstyrd åtkomst.

  4. Enheten har registrerats i Intune och mappningen mellan användare och enhet har upprättats.

  5. Enhetsanvändaren hamnar på startskärmen och öppnar Microsoft Teams eller en annan Office-app och loggar in med sitt arbetskonto. Om enheten uppfyller alla efterlevnadskrav får enhetsanvändaren direkt åtkomst till sina meddelanden och sin kalender.

    Obs!

    Under Microsoft Entra registreringen kan enhetsanvändaren se en kort rotationssnurr medan Intune slutför kompatibilitetskontrollerna. Detta är ett förväntat beteende.

  6. SSO-tillägget upprättar enkel inloggning i alla andra riktade appar och alla Microsoft-appar.

  7. Enheten är registrerad med Microsoft Entra ID och kompatibel. Du kan visa status för enheten i administrationscentret och Microsoft Entra ID. Enhetsanvändaren kan visa statusen i Intune-företagsportal och använda Företagsportal för efterlevnad, appinventering, enhetssynkronisering och loggdelning.

  8. Enhetsanvändaren öppnar Teams och loggas in automatiskt.

Alternativ 4: Installationsassistenten (äldre)

Använd den äldre installationsassistenten om du vill att användarna ska uppleva den typiska, färdiga upplevelsen för Apple-produkter. Det här alternativet installerar förkonfigurerade standardinställningar när enheten registreras i Intune. Använd det här alternativet för autentisering när:

  • Du vill rensa en enhet.
  • Du vill inte ha moderna autentiseringsfunktioner som multifaktorautentisering.
  • Du vill inte registrera enheter i Microsoft Entra ID. Installationsassistenten (äldre) autentiserar användaren med Apple .p7m-token.

Om du använder Active Directory Federation Services (AD FS) och du använder installationsassistenten för autentisering krävs en WS-Trust 1.3 Användarnamn/Kombinerad slutpunkt. Mer information finns i Get-AdfsEndpoint i vår referensguide för Windows PowerShell.

Nästa steg

Nu när du vet vilken autentiseringsmetod du använder skapar du en Apple-registreringsprofil och väljer autentiseringsmetod när du uppmanas till det. En aktiv automatisk enhetsregistreringstoken från Apple Business Manager eller Apple School Manager måste finnas i Intune för att slutföra det här steget.