设置帐户驱动的 Apple 用户注册
为在 Microsoft Intune 中注册的个人设备设置帐户驱动的 Apple 用户注册。 与 使用公司门户进行用户注册相比,帐户驱动的用户注册提供了更快、更方便用户的注册体验。 设备用户通过在“设置”应用中登录到其工作帐户来启动注册。 用户批准设备管理后,注册配置文件将静默安装并应用 Intune 策略。 Intune 使用实时注册和 Microsoft Authenticator 应用进行身份验证,以减少用户在注册期间和访问工作应用时必须登录的次数。
本文介绍如何在 Microsoft Intune 中设置帐户驱动的 Apple 用户注册。 你将执行以下操作:
- 设置 JIT 注册。
- 创建注册配置文件。
- 准备员工和学生进行注册。
先决条件
Microsoft Intune 支持在运行 iOS/iPadOS 版本 15 或更高版本的设备上使用帐户驱动的 Apple 用户注册。 如果将帐户驱动的用户注册配置文件分配给运行 iOS/iPadOS 14.9 或更早版本的设备用户,Microsoft Intune 将通过公司门户的用户注册自动注册。
在开始设置之前,请完成以下任务:
- (MDM) 机构设置移动设备管理
- 获取 Apple MDM 推送证书
- 为设备用户创建托管 Apple ID (打开 Apple 支持网站)
还需要设置服务发现,以便 Apple 可以访问 Intune 服务并检索注册信息。 为此,请在员工登录的同一域中设置并发布 HTTP 已知资源文件。 Apple 通过 HTTP GET 请求检索 “https://contoso.com/.well-known/com.apple.remotemanagement”文件,并将组织的域替换为 contoso.com。 在可以处理 HTTP GET 请求的域中发布文件。
创建 JSON 格式的文件,并将内容类型设置为 application/json。 我们提供了以下 JSON 示例,你可以将其复制并粘贴到文件中。 使用与环境一致的那个。 将基 URL 中的 YourAADTenantID 变量替换为组织的 Microsoft Entra 租户 ID。
Microsoft Intune 环境:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
适用于美国政府环境的 Microsoft Intune:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune 由 21 Vianet 在中国环境中运营:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
JSON 示例的其余部分填充了所需的所有信息,包括:
- 版本:服务器版本为
mdm-byod。 - BaseURL:此 URL 是 Intune 服务所在的位置。
最佳做法
建议进行额外的配置,以帮助改善设备用户的注册体验。 本部分提供有关每个建议的详细信息。
部署公司门户 Web 应用
部署 Intune 公司门户网站的 Web 应用版本,以便用户可以快速访问设备状态、设备操作和合规性信息。 Web 应用显示在主屏幕上,并充当 公司门户网站的链接。 如果没有 Web 应用,设备用户仍然可以访问公司门户网站,但必须打开浏览器并在搜索字段中键入地址。 有关如何添加 Web 应用的详细信息,请参阅 将 Web 应用添加到 Microsoft Intune。
启用联合身份验证
Apple 用户注册要求创建托管 Apple ID 并将其提供给注册用户。 如果启用联合身份验证(包括将 Apple Business Manager 与 Microsoft Entra ID 链接),则无需创建并为每个用户提供唯一的 Apple ID。 相反,设备用户可以使用用于其工作帐户的相同凭据登录到其应用。 有关详细信息,请参阅 Apple Business Manager 用户指南中的联合身份验证简介。
步骤 1:设置实时注册并分配Microsoft验证器
重要
此功能目前提供公共预览版。 有关详细信息,请参阅 Microsoft Intune 中的公共预览版。
配置实时注册,并将Microsoft Authenticator 分配为所需的应用。 有关步骤,请参阅 在 Intune 中设置 JIT 注册。 完成后,请返回本文,以便继续执行下一步。
步骤 2:创建注册配置文件
为通过帐户驱动的用户注册进行注册的设备创建注册配置文件。 注册配置文件会触发设备用户的注册体验,并使他们能够从“设置”应用启动注册。
- 在 intune 管理中心Microsoft,转到 “设备>注册”。
- 选择“ Apple ”选项卡。
- 在 “注册选项”下,选择“ 注册类型”。
- 选择“ 创建配置文件>iOS/iPadOS”。
- 在 “基本信息 ”页上,输入配置文件的名称和说明,以便将其与管理中心中的其他配置文件区分开来。 设备用户看不到这些详细信息。
- 选择 下一步。
- 在 “设置” 页上,对于 “注册类型”,选择“ 帐户驱动用户注册”。
- 选择 下一步。
- 在 “分配” 页上,将配置文件分配给所有用户,或选择特定组。 用户注册方案中不支持设备组,因为用户注册需要用户标识。
- 选择 下一步。
- 在“ 查看 + 创建 ”页上,查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。
步骤 3:准备员工进行注册
若要在个人设备上启动设备注册,设备所有者必须转到“设置”应用并使用其工作或学校帐户登录。 如果他们尝试使用其工作或学校帐户登录应用,应用会提醒他们注册要求,并告知他们如何继续。
本部分介绍设备用户的注册步骤。 建议在组织的设备载入文档中或进行故障排除和支持时使用此信息。
- 在设备上打开 “设置” 应用。
- 选择“常规”。
- 选择“ VPN & 设备管理”。
- 使用工作或学校帐户或组织提供给你的 Apple ID 登录。
- 选择 “登录到 iCloud”。
- 输入屏幕上显示的用户名的密码。 然后,选择“继续”。
- 选择 “允许远程管理”。
- 配置设备并安装管理配置文件时等待几分钟。
- 若要确认设备已准备好用于工作,请转到 VPN & 设备管理。 确认工作帐户在 “托管帐户”下列出。
- 访问工作应用需要Microsoft Authenticator。 注册后等待几分钟,以便在设备上安装 Authenticator。 如果尝试在没有 Authenticator 的情况下登录工作应用,将显示错误消息。
- 你可能会收到更多提示,要求你批准安装工作应用。 选择“ 安装” 以批准安装。
配置文件优先级
Intune 按你确定其优先级的顺序应用注册配置文件。 若要更改它们的应用顺序,请执行以下操作:
- 返回到 “注册类型” 以查看配置文件。
- 拖放列表中的配置文件以对其优先级进行重新排序。
如果由于为用户分配了多个配置文件而发生冲突,Intune 将应用优先级更高的配置文件。
从管理中删除设备
当设备从 Intune 取消注册时,将擦除为管理设备上的工作数据而创建的卷和加密密钥。
已知问题
本部分介绍帐户驱动的 Apple 用户注册和 Microsoft Intune 的当前已知问题。
由于注册 SSO 应用程序,注册失败
如果Microsoft Authenticator 应用在注册开始之前位于设备上,则当设备用户尝试在“设置”应用中使用其工作或学校帐户登录时,注册将失败。 他们收到的消息显示:
- 标题:登录失败
- 说明:已在设备上安装注册 SSO 应用程序。
若要解决此问题,设备用户必须卸载 Microsoft Authenticator 应用并重启注册。
后续步骤
有关 Microsoft Intune 中支持的 Apple 用户注册功能和管理操作的概述,请参阅 Microsoft Intune 中的 Apple 用户注册概述。
有关 Apple 用户注册的详细信息,请参阅 Apple 支持网站上的 用户注册和 MDM 。
有关故障排除,请参阅 排查 Microsoft Intune 中的 iOS/iPadOS 设备注册错误。
有关 Intune 设备配置配置文件中支持的设置,请参阅: