为 iOS 设置基于 Web 的设备注册

适用于 iOS/iPadOS

在 Microsoft Intune 中为 iOS/iPadOS 个人设备设置基于 Web 的设备注册。 这是 Microsoft Intune 支持的两种 Apple 设备注册方法之一，另一种方法是使用 公司门户 应用进行设备注册。 这两种方法都允许你访问一组有限但适当的设备管理设置和操作，用于自带设备 (BYOD) 方案，因此你可以保护工作数据，而不会影响设备用户的个人数据或应用。

基于 Web 的设备注册提供了更快、更方便用户的注册体验。 不需要公司门户应用，因为员工和学生在 Safari 和设备设置中执行所有操作。 此外，基于 Web 的设备注册适用于 JIT 注册。 启用后，Intune通过 Microsoft Authenticator 应用使用 JIT 注册来注册设备和单一登录 (SSO) ，以减少用户在注册期间和访问工作应用时必须登录的次数。

本文介绍如何在 Microsoft Intune 中设置基于 Web 的设备注册。 你将执行以下操作：

• 设置 JIT 注册。
• 创建注册配置文件。
• 准备员工和学生进行注册。

先决条件

Microsoft Intune支持在运行 iOS/iPadOS 版本 15 或更高版本的设备上注册基于 Web 的设备。 如果将基于 Web 的注册配置文件分配给运行 iOS/iPadOS 14.9 或更早版本的设备用户，Microsoft Intune将通过基于应用的设备注册自动注册他们。 基于应用的设备注册需要适用于 iOS/iPadOS 的 公司门户 应用。

在开始之前，请完成以下任务：

• (MDM) 机构设置移动设备管理
• 获取 Apple MDM 推送证书

最佳做法

部署 Intune 公司门户的 Web 应用版本，以便设备用户能够快速访问设备状态、设备操作和符合性信息。 Web 应用显示在主屏幕上，并充当指向公司门户网站的链接。 有关如何添加 Web 应用的详细信息，请参阅将 Web 应用添加到Microsoft Intune。 如果没有 Web 应用，设备用户仍然可以访问公司门户网站，但他们必须打开浏览器并输入网站链接。

工作或学校访问需要Microsoft Authenticator 应用。 我们建议员工和学生在开始设备注册之前安装Microsoft Authenticator。

步骤 1：设置实时注册

创建设备配置、单一登录应用扩展策略，以启用实时 (JIT) 注册。 有关步骤，请参阅在 Intune 中设置 JIT 注册。 完成后，请返回本文，以便继续执行下一步。

步骤 2：创建注册配置文件

为通过基于 Web 的设备注册的设备创建注册配置文件。 注册配置文件会触发设备用户的注册体验，并使他们能够在 Safari 中启动注册。

1. 在Microsoft Intune管理中心，转到“设备>注册”。
2. 选择“ Apple ”选项卡。
3. 在 “注册选项”下，选择“ 注册类型”。
4. 选择“ 创建配置文件>iOS/iPadOS”。
5. 在 “基本信息 ”页上，输入配置文件的名称和说明，以便将其与管理中心中的其他配置文件区分开来。 设备用户看不到这些详细信息。
6. 选择 下一步。
7. 在 “设置” 页上，对于 “注册类型”，选择“ 基于 Web 的设备注册”。
8. 选择 下一步。
9. 在 “分配” 页上，将配置文件分配给所有用户或一组用户。
10. 选择 下一步。
11. 在“ 查看 + 创建 ”页上，查看你的选择，然后选择“ 创建 ”以完成配置文件的创建。

返回到 “注册类型” ，查看注册配置文件的列表。 Intune按优先顺序应用注册配置文件。 如果由于为用户分配了多个配置文件而发生冲突，Intune应用具有较高优先级的配置文件。 拖放列表中的配置文件以重新定位它们并更改它们的应用顺序。

步骤 3：准备员工进行注册

当员工尝试在其个人设备上登录到工作应用时，应用会提醒他们注册要求，并将其重定向到公司门户网站进行注册。

或者，可以为员工和学生提供用于打开公司门户网站的 URL。 如果不利用条件访问，请务必与设备用户共享注册链接，以便他们知道如何启动注册。 共享链接为：

https://portal.manage.microsoft.com/enrollment/webenrollment/ios

本部分为设备用户提供高级注册步骤。 建议在组织的设备载入文档中或进行故障排除和支持时使用此信息。

重要

Safari 浏览器是此类注册唯一受支持的浏览器，需要下载管理配置文件并完成注册。 如果用户的默认浏览器不是 Safari，则需要复制注册链接并将其粘贴到 Safari 浏览器中以启动注册。 完成注册后，用户可以返回到首选浏览器。

1. 打开 Safari 并转到 https://portal.manage.microsoft.com/enrollment/webenrollment/ios。 使用你的工作或学校帐户登录。
2. 出现提示时，请下载管理配置文件。 在 Safari 中等待公司门户下载管理配置文件。
3. 转到设备设置应用以查看和安装管理配置文件。
4. 在登录到工作或学校应用之前，请等到设备上安装了 Microsoft Authenticator。 在 Authenticator 位于设备上之前，设备不会准备好工作，这可能需要几分钟时间。 若要验证 Authenticator 是否已安装，请打开设备设置并转到“配置文件>管理配置文件>单一登录扩展”。 Authenticator 应列为 SSO 扩展。
5. 使用工作帐户登录到工作应用，例如 Microsoft Teams。
6. 等待应用标识所需的设置更新。 例如，可能需要先更新设备的操作系统，然后才能使用应用。 检查已登录的应用是否存在挂起的操作项。 完成更改后，选择“ 重新检查”。

合规性检查完成后，用户可以访问为其会话的其余部分配置了 SSO 应用扩展策略的应用，而无需再次登录。

从管理中删除设备

设备从Intune取消注册时，将擦除为管理设备上的工作数据而创建的卷和加密密钥。

载入文档资源

有关最终用户帮助和操作指南，请参阅Microsoft Intune用户帮助文档。请随意使用该文档中的文章作为组织加入资源的模板。

有关 Apple 设备注册特性和功能的更多详细信息，请参阅 Apple 支持网站上的 设备注册和 MDM 。

疑难解答

有关如何排查 Microsoft Intune 中的设备注册问题的信息，请参阅排查设备注册问题。