Microsoft Intune中的 Apple 用户注册概述
可以利用 Apple 用户注册在 Microsoft Intune 中注册和管理用户拥有的 iOS/iPadOS 设备。 Apple 用户注册 是一种注册解决方案,专门用于自带设备 (BYOD) 方案。 它设置个人设备,以便工作数据存储在单独的卷和托管应用中,远离用户的个人数据和应用。 监督模式不适用于此注册类型。 作为管理员,你可以访问Intune管理选项和限制的有限但适当的子集,以确保组织的数据保持安全。
本文概述了 Microsoft Intune 支持的 Apple 用户注册特性和功能。
Apple 用户注册方法
重要
使用 公司门户 的 Apple 用户注册已弃用为注册选项,不再可用于新注册的设备。 Microsoft Intune产品和技术支持仍可用于已有注册配置文件的设备。 对于新注册,我们建议使用帐户驱动的用户注册。
Microsoft Intune支持使用 公司门户 的帐户驱动的 Apple 用户注册和基于配置文件的 Apple 用户注册。
帐户驱动的用户注册:也称为 基于帐户的注册。 设备用户通过转到“设置”应用 >VPN & 设备管理 并添加其工作或学校帐户来启动注册。 设备用户批准设备管理后,注册配置文件将静默安装,并应用Intune策略。
使用公司门户进行用户注册:也称为基于配置文件的注册。 设备用户通过登录到 Intune 公司门户 应用并按照一系列屏幕和提示启动注册。 它们从应用重定向到 Safari 以下载预配置的注册配置文件,然后转到 “设置” 应用以安装配置文件。
下表提供了每个方法的并行比较。
| 功能或方案 | 帐户驱动的用户注册 | 使用 公司门户 进行用户注册 |
|---|---|---|
| 实时注册 | ✔️ | ❌ |
| BYOD 和个人设备 | ✔️ | ✔️ |
| 与单个用户关联的设备 | ✔️ | ✔️ |
| 由设备用户发起的注册 | ✔️ | ✔️ |
| 注册位置 | 当用户使用其工作帐户登录应用时,系统会提示他们注册设备。 注册在设备设置应用的单个屏幕中进行。 | 当用户使用其工作帐户登录应用时,系统会提示他们注册设备。 注册通过公司门户应用、Safari Web 浏览器和设备设置应用中的一系列屏幕进行。 |
| 监督 | ❌ | ❌ |
| 版本 | iOS/iPadOS 15 或更高版本 | iOS 13 或更高版本 iPadOS 13.1 或更高版本 |
| 必需应用 | Microsoft Authenticator | 适用于 iOS 的Intune 公司门户应用 Microsoft Authenticator |
支持的设置
Microsoft Intune支持通过 Apple 用户注册注册的设备的特定设备管理选项子集。 如果将预先存在的配置文件应用于设备,则只有 Apple 用户注册支持的设置才会生效。 本部分列出了受支持的配置和策略,还包括限制和非支持的功能。 此列表并不详尽,将继续更新。
设备配置和管理
支持的设备配置策略和管理功能包括:
- VPN:用户注册仅限于每应用 VPN。 有关详细信息,请参阅在 Intune 中为 iOS/iPadOS 设备设置每应用虚拟专用网络 (VPN) 。 不支持 Safari 域。
- Wi-Fi:有关详细信息,请参阅在 Microsoft Intune 中添加适用于 iOS 和 iPadOS 设备的 Wi-Fi 设置。
- 设备限制:有关支持的设备限制列表,请参阅 iOS 和 iPadOS 设备设置,以允许或限制使用 Intune 的功能。
- 管理员的远程操作:可以停用、删除、远程锁定和同步设备。 有关这些操作及其工作原理的详细信息,请参阅使用Microsoft Intune管理设备。
应用部署和管理
支持的应用类型包括:
- 用户许可的应用和自定义应用通过 Apple 批量购买计划 (VPP)
- 业务线 (LOB) 应用
- Web 应用
公司门户操作
员工和学生可以在Intune 公司门户应用或公司门户网站上访问其个人设备的管理选项。 支持的操作包括:
- 重命名
- 删除
- 远程锁定
- 检查状态
注意
可供设备用户使用的重命名操作会更改公司门户中的显示名称。 它不会在Microsoft Intune管理中心重命名设备。
有关员工和学生如何访问这些操作的详细信息,请参阅:
不支持的限制和功能
使用 Apple 用户注册注册设备时,Intune不会收集:
- 托管的 Apple 文件系统卷之外的应用的应用清单。
- 托管 APFS 卷外部的证书和预配配置文件清单。
- UDID 和其他永久性设备标识符,例如电话号码、序列号和 IMEI。
Intune不支持:
- 使用者名称格式为序列号的 SCEP 用户配置文件。
- 将 Apple App Store 应用安装为托管应用。
- 托管 APFS 卷外部的应用的 MDM 控制。 应用保护策略仍适用于这些应用。 但是,除非用户从设备中删除这些应用的托管版本,否则无法接管管理或部署这些应用的托管版本。
- 公司门户中专用于用户注册工作流的自定义隐私文本。 如果自定义说明组织可以看到和无法看到的内容的文本,用户在 Apple 设备注册和 Apple 用户注册期间在公司门户中看到相同的文本。
- 针对不支持的应用类型的报告。
限制包括:
- 用户注册支持为每个注册的设备提供唯一的注册 ID,但在用户取消注册设备后,此 ID 不会保留。
- 如果在注册期间在同一设备上需要多因素身份验证文本或调用,则运行 iOS 版本 15.5 的设备无法注册 Apple 用户注册。
- 运行 iOS 版本 15.7 到 iOS 16.3 的设备无法在通过文本使用多重身份验证 (MFA) 时注册 Apple 用户注册。 如果在注册期间需要在同一设备上进行 MFA,则必须使用电话呼叫选项进行注册。
如果这些功能对你很重要,我们建议对 BYOD 方案使用 Apple 设备注册,或者对公司拥有的设备使用 Apple 自动设备注册。
后续步骤
考虑支持的设置和注册功能后,请选择要用于注册设备的用户注册方法。 以下文章介绍如何在Microsoft Intune管理中心设置这些注册方法:
有关 Apple 用户注册的详细信息,请参阅 Apple 支持网站上的 用户注册和 MDM 。