注册指南:在 Microsoft Intune 中注册 iOS 和 iPadOS 设备

可以在 Intune 中注册个人和组织拥有的设备。 注册后,这些设备将收到你创建的策略和配置文件。 注册 iOS/iPadOS 设备时,有以下选项可供选择:

本文提供注册建议,并概述了每个 iOS/iPadOS 选项的管理员和用户任务。

还有一个用于每个平台的不同注册选项的可视化指南:

各平台的 Intune 注册选项的可视化表示形式
下载 PDF 版本 | 下载 Visio 版本

提示

本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。

开始之前

有关准备租户进行注册所需的所有特定于Intune的先决条件和配置,请转到注册指南:Microsoft Intune注册

自动设备注册 (ADE)(受监督)

以前称为 Apple 设备注册计划 (DEP)。 在组织拥有的设备上使用。 此选项使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 来配置设置。 它能够自行注册大量设备,完全无需你操作设备。 这些设备是从 Apple 购买的,具有你预配置的设置,可以直接寄送给用户或学校。 在Intune管理中心创建注册配置文件,并将此配置文件推送到设备。

有关此注册类型的更具体信息,请转到:


功能 以下情况使用此注册选项
需要监督模式。

监督模式可部署软件更新、限制功能、允许和阻止应用等。
设备归组织或学校所有。
你有新设备。
需要注册一些设备,或者注册大量设备(批量注册)。
设备与一个用户关联。
设备是“无用户的”,例如展台或专用设备。
设备为个人设备或 BYOD。

不建议。 可以使用 MAM 管理 BYOD 或个人设备上的应用程序, (打开另一篇Microsoft文章) ,或者本文中的 用户和设备注册 () 。
你有现有的设备。

现有设备应使用 Apple Configurator(在本文中)进行注册。
设备由另一个 MDM 提供商管理。

若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备是组织拥有的设备,建议在 Intune 中进行注册。
使用设备注册管理员 (DEM) 帐户。

不支持 DEM 帐户。

ADE 管理员任务

此任务列表提供了概述信息。 有关更具体的信息,请转到 Apple Business Manager 注册Apple School Manager 注册

  • 请确保你的设备受支持

  • 需要访问 Apple Business Manager (ABM) 门户Apple School Manager (ASM) 门户

  • 请确保 Apple 令牌 (.p7m) 处于活动状态。 有关更具体的信息,请转到 获取 Apple ADE 令牌

  • 请确保 Apple MDM 推送证书已添加到 Intune,并且处于活动状态。 注册 iOS/iPadOS 设备需要此证书。 有关详细信息,请转到 获取 Apple MDM 推送证书

  • 确定用户将在其设备上进行身份验证的方式:公司门户应用、设置助理(旧版)或者使用新式身份验证的设置助理。 请在创建注册配置文件之前作出此决定。 如果使用公司门户应用或带新式验证的设置助理,则被视为新式验证

    • 如有以下情况,请选择公司门户应用:

      • 需要擦除设备。
      • 你想要使用多重身份验证 (MFA) 。
      • 你想在用户首次登录时提示其更新已过期的密码。
      • 你想在注册过程中提示用户重置其已过期的密码。
      • 你希望在 Microsoft Entra ID 中注册设备。 注册后,可以使用Microsoft Entra ID提供的功能,例如条件访问。
      • 你想在注册过程中自动安装公司门户应用。 如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用
      • 你想要锁定设备,直到安装公司门户应用为止。 安装后,用户使用其组织Microsoft Entra帐户登录到 公司门户 应用。 然后,设备会解锁,可供用户使用。
    • 如遇以下情况,请选择设置助理(旧版)

      • 需要擦除设备。

      • 你不想使用新式身份验证功能,如 MFA。

      • 你不想在 Microsoft Entra ID 中注册设备。 设置助理(旧版)使用 Apple .p7m 令牌对用户进行身份验证。 如果不在 Microsoft Entra ID 中注册设备是可以接受的,则无需安装 公司门户 应用。 可继续使用设置助理(旧版)。

        如果希望在 Microsoft Entra ID 中注册设备,请安装 公司门户 应用。 创建注册配置文件并选择设置助理(旧版)时,可安装公司门户应用。 建议在注册过程中安装公司门户应用。

    • 如遇以下情况,请选择带新式验证的设置助理

      • 需要擦除设备。
      • 你想要使用多重身份验证 (MFA) 。
      • 你想在用户首次登录时提示其更新已过期的密码。
      • 你想在注册过程中提示用户重置其已过期的密码。
      • 你希望在 Microsoft Entra ID 中注册设备。 注册后,可以使用Microsoft Entra ID提供的功能,例如条件访问。
      • 你想在注册过程中自动安装公司门户应用。 如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用
      • 你希望即使未安装公司门户应用,用户也可使用设备。

    注意

    为了对用户进行身份验证,Microsoft 建议使用公司门户应用或带新式验证的设置助理

    应该使用哪个选项? 这取决于:

    • 如果想要在安装公司门户应用之前使用设备,请使用带新式验证的设置助理

      在设置助理期间,用户必须输入其组织Microsoft Entra凭据 (user@contoso.com) 。 在他们输入凭据时,就开始注册并安装公司门户应用。 如果需要,用户还可以输入其 Apple ID 来访问 Apple 特定功能,例如 Apple Pay。

      设置助理完成后,用户就可使用设备。 显示主屏幕时,表示已完成注册,并已建立用户关联。 设备未完全注册到 Microsoft Entra ID,并在 Microsoft Entra ID 中的用户设备列表中显示为不合规。 设备在Microsoft Intune管理中心显示为合规。

      安装公司门户应用后(这需要一些时间),用户打开公司门户应用,并使用其组织Microsoft Entra帐户登录,user@contoso.com (再次) 。 在第二次登录期间,将评估任何条件访问策略,Microsoft Entra注册完成。 用户可安装和使用组织资源,包括 LOB 应用。 设备在 Microsoft Entra ID 中显示为合规。

    • 如果不想在安装公司门户应用之前使用设备,请使用公司门户应用选项。 公司门户应用选项会锁定设备,直到安装公司门户应用为止。 安装完成时,公司门户应用会自动打开。 用户使用其Microsoft Entra组织帐户 (user@contoso.com) 登录,并且可以使用设备。

  • 如果使用 公司门户 应用,请确定如何在设备上安装 公司门户 应用。 请在创建注册配置文件之前作出此决定。

    注意

    Microsoft 建议在使用公司门户应用进行身份验证时采用 Volume Purchase Program (VPP)。 这样可以提供更佳的最终用户体验。

    请勿从 App Store 在通过 ADE 注册的设备上直接安装公司门户应用。 改为使用以下选项安装公司门户应用:

    • VPP 令牌 + 注册新设备:如果你有 Volume Purchase Program (VPP),并且要注册新设备,则包括公司门户应用。 在 Intune 管理中心中创建注册配置文件时,请选择“使用 VPP 安装公司门户”,使其成为所需的应用,并启用自动应用更新。

      此选项:

      • 包括正确的公司门户应用版本。
      • 是公司门户应用的一次性安装。
      • 使用“自动应用更新”功能,以便Intune可以推送应用更新。 有关详细信息,请转到部署公司门户应用 - ADE
    • 无 VPP 令牌 + 注册新设备:无管理员任务。 确保用户在设置助理中输入其 Apple ID。

      设置助理完成后,公司门户应用将尝试自动安装。 如果用户未输入其 Apple ID(user@iCloud.comuser@gmail.com),则系统会不断提示他们输入其 Apple ID。 用户必须输入其 Apple ID 才能在其设备上获取公司门户应用。 安装公司门户应用后,用户将其打开,然后输入其组织凭据 (user@contoso.com)。 用户进行身份验证时,可以安装和使用组织使用的应用,包括 LOB 应用。

    • 已注册的设备:如果设备已注册,无论你是否有 VPP,都使用应用配置策略:

      1. Intune管理中心中,将 公司门户 应用添加为必需应用,并添加为设备许可的应用。
      2. 创建应用配置策略,将公司门户应用包括为设备授权应用。 有关更具体的信息,请转到配置公司门户应用以支持 iOS 和 iPadOS DEP 设备
      3. 将应用配置策略部署到与注册配置文件相同的设备组。
      4. 当设备向 Intune 服务签入时,它会收到你的配置文件,并安装公司门户应用。

      此选项:

      • 包括正确的公司门户应用版本。
      • 要求创建注册配置文件和应用配置策略。 在应用配置策略中,将其设为必需应用,这样你就知道该应用会部署到所有设备。
      • 可以通过更改现有应用配置策略来自动更新公司门户应用。
  • Intune 管理中心,创建注册配置文件:

    • 选择“注册时进行用户关联”(将用户关联到设备),或选择“注册时不进行用户关联”(“无用户”设备或共享设备)。
    • 选择用户进行身份验证的位置:公司门户应用、设置助理(旧版)或者带新式验证的设置助理(

    有关更具体的信息和建议,请转到 Apple 的自动设备注册

ADE 最终用户任务

Intune 管理中心中创建注册配置文件时,可以选择将用户关联到设备, (使用用户相关性注册) ,或者让共享设备 (在没有用户相关性的情况下注册) 。 具体步骤取决于配置注册配置文件的方式。 使用共享 iPad,激活后,将自动跳过所有“设置助理”窗格。

  • 注册时进行用户关联 + 公司门户应用

    在Intune管理中心和Microsoft Intune中,使用自动设备注册 (ADE) 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,并使用 公司门户 应用进行身份验证。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。 输入后,将从注册配置文件自动安装公司门户应用。 公司门户应用可能需要一些时间才能自动安装。
    2. 用户打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 用户登录后,便开始注册。 注册完成后,用户可以安装和使用组织使用的应用,包括 LOB 应用。

    用户可能需要输入详细信息。 有关更具体的最终用户步骤,请转到 注册组织提供的 iOS 设备

  • 注册时进行用户关联 + 设置助理(旧版)+ 公司门户应用

    在Intune管理中心和Microsoft Intune中,使用自动设备注册 (ADE) 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,使用“设置助理”进行身份验证,并安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。

    2. 设置助理会提示用户输入信息。

    3. 公司门户应用会自动打开,并且应在展台样式模式下锁定设备。 公司门户应用可能需要一些时间才能打开。 用户使用其组织凭据 (user@contoso.com) 登录,然后设备就会在 Intune 中进行注册。

      此步骤在 Microsoft Entra ID 中注册设备。 用户可以安装和使用组织使用的应用,包括 LOB 应用。

  • 注册时进行用户关联 + 设置助理(旧版)- 公司门户应用

    在Intune管理中心和Microsoft Intune中,使用自动设备注册 (ADE) 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,使用“设置助理”进行身份验证,并且不要安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。
    2. 设置助理会提示用户输入信息,并在 Intune 中注册设备。 设备未在 Microsoft Entra ID 中注册。
  • 注册时进行用户关联 + 带新式验证的设置助理

    在Intune管理中心和Microsoft Intune中,使用自动设备注册 (ADE) 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,并使用“设置助理”进行身份验证。公司门户应用会自动安装。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID (user@iCloud.comuser@gmail.com) 及其组织Microsoft Entra凭据 (user@contoso.com) 。

      当用户输入其Microsoft Entra凭据时,将开始注册。

    2. 设置助理会提示用户输入其他信息。 当主屏幕出现时,设置已完成。 设备已完全注册,且已建立用户关联。 用户可以使用他们的设备,并在设备上查看你的应用和策略。

      此时,设备未完全注册到 Microsoft Entra ID,在 Microsoft Entra ID 中显示为不合规。 设备在Microsoft Intune管理中心显示符合要求。

    3. 如果 使用 VPP 安装公司门户应用(推荐),则公司门户应用会自动安装。 用户打开公司门户应用,并再次使用工作或学校帐户(user@contoso.com)登录。 他们在 公司门户 应用中完成Microsoft Entra注册,这将向 Microsoft Entra ID 完全注册设备。 然后,用户可以访问受条件访问策略保护的公司资源,并且设备在Microsoft Entra ID中显示为合规。

    4. 如果不 使用 VPP 安装公司门户应用,且想要使用公司门户应用,则:

      1. 用户使用其 Apple ID (或 user@gmail.com) user@iCloud.com 登录到 Apple App Store。 当他们登录时,公司门户应用会自动安装。

        此额外的登录步骤会减慢注册速度,尤其是在用户未立即登录的情况下。

        如果用户未登录到应用商店,则公司门户应用不会安装。 如果未安装应用,则用户无法在 Microsoft Entra ID 中注册设备。 由于设备尚未完成注册,因此设备在Microsoft Entra ID中显示为不符合要求。 任何依赖于条件访问的资源都不可用。

      2. 用户打开公司门户应用,并再次使用工作或学校帐户(user@contoso.com)登录。 他们在 公司门户 应用中完成Microsoft Entra注册,这将向 Microsoft Entra ID 完全注册设备。 在下一检查,用户可以访问受条件访问策略保护的公司资源。

  • 注册时不进行用户关联:无操作。 请确保他们不会从 Apple App Store安装 公司门户 应用。

    在Intune管理中心和Microsoft Intune中,使用自动设备注册 (ADE) 注册 iOS/iPadOS 设备。选择“不带用户相关性的注册”。

用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅 规划指南:步骤 5 - 创建推出计划

Apple 配置器注册

在组织拥有的设备上使用,包括直接许可登记表。 此选项要求使用 USB 端口通过物理方式将 iOS/iPadOS 设备连接到 Mac 计算机。

有关此注册类型的更具体信息,请转到 Apple Configurator 注册


功能 以下情况使用此注册选项
需要有线连接,或者遇到网络问题。
你的组织不希望管理员使用 ABM 或 ASM 门户,或者不想设置所有需求。

不考虑使用 ABM 或 ASM 门户,是为了缩减管理员的控制权
国家/地区不支持 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 。

如果你的国家/地区支持 ABS 或 ASM,则应使用本文) 中的 自动设备注册 (注册设备。
设备归组织或学校所有。
你有新设备或现有设备。
需要注册一些设备,或者注册大量设备(批量注册)。

如果你有大量设备,则此方法需要一些时间。
设备与一个用户关联。
设备是“无用户的”,例如展台或专用设备。
设备为个人设备或 BYOD。

不建议。 可以使用 MAM 管理 BYOD 或个人设备上的应用程序, (打开另一篇Microsoft文章) ,或者本文中的 用户和设备注册 () 。
设备由另一个 MDM 提供商管理。

若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备是组织拥有的设备,建议在 Intune 中进行注册。
使用设备注册管理员 (DEM) 帐户。

不支持 DEM 帐户。

Apple Configurator 管理员任务

此任务列表提供了概述信息。 有关更具体的信息,请转到 Apple Configurator 注册

  • 需要通过 USB 端口访问 Mac 计算机。

  • 请确保你的设备受支持

  • 请确保 Apple MDM 推送证书已添加到 Intune,并且处于活动状态。 注册 iOS/iPadOS 设备需要此证书。 有关详细信息,请转到 获取 Apple MDM 推送证书

  • 确定用户在其设备上如何进行身份验证:公司门户应用或设置助理。 请在创建注册配置文件之前作出此决定。 使用公司门户应用被视为一种新式身份验证方式。 建议使用公司门户应用。

    • 如有以下情况,请选择公司门户应用

      • 你想要使用多重身份验证 (MFA) 。
      • 你想在用户首次登录时提示其更新已过期的密码。
      • 你想在注册过程中提示用户重置其已过期的密码。
      • 你希望在 Microsoft Entra ID 中注册设备。 注册后,可以使用Microsoft Entra ID提供的功能,例如条件访问。
      • 你想在注册过程中自动安装公司门户应用。 如果你的公司使用 Volume Purchase Program (VPP),则在注册过程中自动安装公司门户应用
    • 如有以下情况,请选择设置助理

      • 你不想使用新式身份验证功能,如 MFA。

      • 需要擦除设备。

      • 要导入序列号。

      • 你不想在 Microsoft Entra ID 中注册设备。 设置助理使用你复制到设备的导出注册配置文件对用户进行身份验证。 如果不在 Microsoft Entra ID 中注册设备是可以接受的,则无需安装 公司门户 应用。 可继续使用设置助理。

        如果希望在 Microsoft Entra ID 中注册设备,请安装 公司门户 应用。 创建注册配置文件并选择“设置助理”时,可以安装公司门户应用。 建议在注册过程中安装公司门户应用

  • 如果使用公司门户应用,则必须使用应用配置策略在设备上安装公司门户应用。 建议在创建注册配置文件之前创建此策略。

    请勿从 App Store 在通过 Apple Configurator 注册的设备上直接安装公司门户应用。 改为使用以下选项安装公司门户应用:

    • 注册新设备:无管理员任务。 确保用户在设置助理中输入其 Apple ID。

      设置助理完成后,公司门户应用将尝试自动安装。 如果用户未输入其 Apple ID(user@iCloud.comuser@gmail.com),则系统会不断提示他们输入其 Apple ID。 用户必须输入其 Apple ID 才能在其设备上获取公司门户应用。 安装公司门户应用后,用户将其打开,然后输入其组织凭据 (user@contoso.com)。 用户进行身份验证时,可以安装和使用组织使用的应用,包括 LOB 应用。

    • 已注册设备:如果设备已注册,则使用应用配置策略:

      1. Intune管理中心中,将 公司门户 应用添加为必需应用,并添加为设备许可的应用。
      2. 创建应用配置策略,将公司门户应用包括为设备授权应用。 有关更具体的信息,请转到配置公司门户应用以支持 iOS 和 iPadOS DEP 设备
      3. 将应用配置策略部署到与注册配置文件相同的设备组。
      4. 当设备向 Intune 服务签入时,它会收到你的配置文件,并安装公司门户应用。

      此选项:

      • 包括正确的公司门户应用版本。
      • 要求创建注册配置文件和应用配置策略。 在应用配置策略中,将其设为必需应用,这样你就知道该应用会部署到所有设备。
      • 可以通过更改现有应用配置策略来自动更新公司门户应用。
  • Intune 管理中心,创建注册配置文件:

    • 选择“注册时进行用户关联”(将用户关联到设备),或选择“注册时不进行用户关联”(“无用户”设备或共享设备)

    • 如果选择“注册时不进行用户关联”,则自动使用“直接许可登记表”。 请注意:

      • 正在使用现有 macOS 注册配置文件中的设置。
      • 用户不能使用需要用户的应用,包括公司门户应用。 在不进行用户关联的情况下,不使用、不需要或不支持公司门户应用。 确保用户不会从 Apple App Store安装 公司门户 应用。
  • 完成注册配置文件后,通过 USB 接口将设备连接到 Mac,然后打开 Apple Configurator 应用。 打开该应用时,它会检测通过 USB 连接的设备,并部署你创建的 Intune 注册配置文件。

有关此注册选项及其先决条件的详细信息,请转到 Apple Configurator 注册

Apple Configurator 最终用户任务

任务取决于在注册配置文件中配置的选项。

  • 注册时进行用户关联 + 公司门户应用

    在Intune管理中心和Microsoft Intune,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,并使用 公司门户 应用进行身份验证。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。 输入后,将从 App Store 自动安装公司门户应用。 公司门户应用可能需要一些时间才能自动安装。
    2. 打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 用户登录后,便开始注册。 注册完成后,用户可以安装和使用组织使用的应用,包括 LOB 应用。

    用户可能需要输入详细信息。 有关更具体的步骤,请转到 注册组织提供的 iOS 设备

  • 注册时进行用户关联 + 设置助理 + 公司门户应用

    在Intune管理中心和Microsoft Intune,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,使用“设置助理”进行身份验证,并安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其组织凭据 (user@contoso.com)。 此步骤在 Intune 中注册设备。
    2. 设置助理会提示用户输入信息,包括 Apple ID(user@iCloud.comuser@gmail.com)。
    3. 将从 App Store 自动安装公司门户应用。 用户打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 此步骤在 Microsoft Entra ID 中注册设备。 用户可以安装和使用组织使用的应用,包括 LOB 应用。
  • 注册时进行用户关联 + 设置助理 - 公司门户应用

    在Intune管理中心和Microsoft Intune,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择“使用用户相关性注册”,使用“设置助理”进行身份验证,并且不要安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其组织凭据 (user@contoso.com)。 此步骤在 Intune 中注册设备。
    2. 设置助理会提示用户输入信息,包括 Apple ID(user@iCloud.comuser@gmail.com)。 此步骤会将 Intune 管理配置文件推送到设备。
    3. 用户安装管理配置文件。 配置文件使用 Intune 服务签入,并注册设备。 设备未在 Microsoft Entra ID 中注册。
  • 注册时不进行用户关联:你正在使用直接注册。 无操作。 请确保他们不会从 Apple App Store安装 公司门户 应用。

    在Intune管理中心和Microsoft Intune,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择“不带用户相关性的注册”。

用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅 规划指南:步骤 5 - 创建推出计划

BYOD:用户和设备注册

这些 iOS/iPadOS 设备是可访问组织电子邮件、应用和其他数据的个人设备或 BYOD(自带设备办公)设备。 在从 iOS 13 开始的版本中,此注册选项可以用户或设备为目标。 不需要重置设备。

创建注册配置文件时,系统会要求你选择“使用公司门户进行设备注册”、“帐户驱动用户注册”或“根据用户选择确定”。

有关特定的注册步骤及其先决条件,请转到 设置帐户驱动的用户注册设置 iOS/iPadOS 设备注册


功能 以下情况使用此注册选项
设备为个人设备或 BYOD。
你想帮助保护设备上的特定功能,例如每应用 VPN。
你有新设备或现有设备。
需要注册一些设备,或者注册大量设备(批量注册)。
设备与一个用户关联。
设备由另一个 MDM 提供商管理。

注册设备时,MDM 提供商将安装证书和其他文件。 必须删除这些文件。 最快的方法是取消注册或恢复出厂设置设备。 如果不想恢复出厂设置,请与 MDM 提供商联系。
使用设备注册管理员 (DEM) 帐户。
设备归组织或学校所有。

不建议。 组织自有设备应使用自动设备注册(在本文中)或 Apple Configurator(在本文中)进行注册。
设备是“无用户的”,例如展台或专用设备。

通常,“无用户”设备或共享设备是组织拥有的设备。 这些设备应使用自动设备注册(在本文中)或 Apple Configurator(在本文中)进行注册。

用户和设备注册管理员任务

此列表概述了管理员所需的任务。

  • 请确保你的设备受支持

  • 请确保 Apple MDM 推送证书已添加到 Intune,并且处于活动状态。 注册 iOS/iPadOS 设备需要此证书。 有关详细信息,请转到 获取 Apple MDM 推送证书

  • Intune管理中心,创建注册配置文件。 创建注册配置文件时,有下列选项:

    • 使用 公司门户 进行设备注册:此选项是个人设备公司门户应用中的典型注册。 受管理的是设备,而不仅仅是特定的应用或功能。 使用此选项,请考虑以下信息:

      • 可以部署适用于整个设备的证书。
      • 用户必须安装更新。 只有通过自动设备注册 (ADE) 进行注册的设备才能通过 MDM 策略或配置文件接收更新。
      • 用户必须与设备关联。 此用户可以是设备注册管理员 (DEM) 帐户。
    • 基于 Web 的设备注册:从 iOS 15 及更新版开始。 此选项与使用 公司门户 进行设备注册一样,但在 Intune 公司门户 的 Web 版本上进行注册,因此无需应用。 此外,此选项使没有托管 Apple ID 的员工和学生能够注册设备和访问批量购买的应用。

    • 基于用户选择进行确定:在最终用户注册时为他们提供选择。 根据用户的选择,将使用 帐户驱动的用户注册设备注册

    • 帐户驱动用户注册:从 iOS 13 及更新版开始。 此选项配置一组特定的功能和组织应用,例如密码、每应用 VPN、Wi-Fi 和 Siri。 如果使用此方法来帮助保护应用及其数据,则我们还建议使用应用保护策略。

      有关可以和不能执行的操作的完整列表,请转到 Microsoft Intune 中的 Apple 用户注册概述

      注意

      可将 BYOD 设备转变为组织拥有的设备。 若要使这些设备成为企业设备,请转到 将设备标识为公司拥有的设备

      帐户驱动的用户注册被认为对最终用户更友好。 但是,它可能不提供管理员所需的功能集和安全功能。 在某些情况下,帐户驱动的用户注册可能不是最佳选择。 请考虑以下方案:

      • 帐户驱动的用户注册会在设备上创建工作分区。 在用户注册配置文件中配置的功能和安全性仅存在于工作分区中, 而不存在于用户分区中。 用户无法恢复工作分区的出厂设置;管理员可以。 用户可以恢复出厂设置个人分区;管理员不能。

      • 如果用户主要使用Microsoft应用,或使用使用 Intune App SDK 创建的应用,则用户应从 Apple App Store下载这些应用。 然后,使用应用保护策略来保护这些应用。 在此方案中,不需要帐户驱动的用户注册。

      • 对于业务线 (LOB) 应用,帐户驱动的用户注册可能是一个选项,因为它将这些应用部署到工作分区。 应用管理 (MAM) 不支持 LOB 应用。 因此,如果需要 LOB 应用,请使用帐户驱动的用户注册。

      • 使用帐户驱动用户注册注册设备时,无法切换到设备注册。 使用帐户驱动的用户注册,无法将应用从非托管移动到托管应用。 用户必须从用户注册中取消注册,然后重新注册到设备注册。

      • 如果在应用用户注册配置文件之前安装应用,那么这些应用不受用户注册配置文件保护或管理。

        例如,用户从 Apple App Store下载 Outlook 应用。 此应用自动安装到设备上的用户分区。 用户将 Outlook 配置用于其个人电子邮件。 当用户配置其组织电子邮件时,条件访问会阻止他们,并要求注册。 用户注册并部署用户注册配置文件。

        由于 Outlook 应用是在用户注册配置文件之前安装的,用户注册配置文件会部署失败。 无法管理 Outlook 应用,因为它是在用户分区(而不是工作分区)中安装和配置的。 用户必须手动卸载 Outlook 应用。

        卸载后,用户可以手动同步设备,并且可以重新应用用户注册配置文件。 或者,可能需要创建应用配置策略来部署 Outlook,并将其设置为所需的应用。 然后,部署应用保护策略以保护应用及其数据。

  • 请将注册配置文件分配给用户组, 而不要将其分配给设备组。

设备注册最终用户任务

用户需要执行以下步骤。

  1. 转到 Apple App Store,并安装 Intune 公司门户 应用

  2. 打开公司门户应用,并使用其工作或学校帐户 (user@contoso.com) 登录。 登录后,注册配置文件将应用到相应设备。

    用户可能需要输入详细信息。 有关更具体的步骤,请转到 注册设备

启用应用通知的用户会收到一条提示,提示返回公司门户应用以完成所需的设备注册。 具有已禁用应用通知的用户不会收到此要求的警报。 如果正在使用依赖于设备注册才能工作的动态组,则用户必须完成设备注册。 计划将这些步骤传达给最终用户。 如果使用条件访问 (CA) 策略,则无需执行任何操作,因为任何受 CA 保护的应用用户尝试登录都会提示他们返回公司门户以完成设备注册。

注册完成后,Intune会自动在设备上安装配置文件签名证书。 此证书的有效期为一年。 在证书过期的年份结束时,Intune续订证书。 如果续订失败,则会在设备上的 VPN & 设备管理>配置文件设置中显示“未验证”状态。 使用此状态时,最终用户不会受到影响,并且设备将继续使用Intune检查并接收策略更新。

用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅 规划指南:步骤 5 - 创建推出计划

提示

下面提供了一个分步指南短视频,可帮助你的用户在 Intune 中注册其设备:

注册 iOS/iPadOS 设备

用户注册最终用户任务

用户必须在帐户驱动用户注册期间完成以下步骤。

  1. 打开“设置”应用,转到“常规>VPN & 设备管理”。
  2. 登录到其工作或学校帐户。
  3. 按照屏幕上的提示进行操作,并允许远程管理。
  4. 输入设备密码以设置远程管理。

注册完成后,Intune会自动在设备上安装配置文件签名证书。 此证书的有效期为一年。 在证书过期的年份结束时,Intune续订证书。 如果续订失败,则会在设备上的 VPN & 设备管理>配置文件设置中显示“未验证”状态。 使用此状态时,最终用户不受影响,设备将继续检查Intune并接收策略更新。

有关用户体验的详细信息,请转到 准备员工进行注册