共用方式為


iOS 和 iPadOS 裝置設定,以在 Intune 中使用常見的 iOS/iPadOS 功能

注意事項

Intune 可能支援比本文所列的設定更多的設定。 並非所有設定都會記載,而且不會記載。 若要查看您可以設定的設定,請建立裝置設定原則,然後選取 [ 設定目錄]。 如需詳細資訊,請移至 [設定] 目錄

Intune 包含一些內建設定,可讓iOS/iPadOS使用者在其裝置上使用不同的Apple功能。 例如,您可以控制 AirPrint 印表機、將應用程式和資料夾新增至 Dock 和主畫面頁面、顯示應用程式通知、在鎖定畫面上顯示資產標記詳細數據、使用單一登錄驗證,以及使用憑證驗證。

本功能適用於:

  • iOS/iPadOS

使用這些功能來控制 iOS/iPadOS 裝置,作為行動裝置管理 (MDM) 解決方案的一部分。

本文列出這些設定,並說明每個設定的用途。 如需這些功能的詳細資訊,請移至 新增 iOS/iPadOS 或 macOS 裝置功能設定

開始之前

建立 iOS/iPadOS 裝置功能組態配置檔

注意事項

這些設定適用於不同的註冊類型,其中有些設定會套用至所有註冊選項。 如需不同註冊類型的詳細資訊,請移至 iOS/iPadOS 註冊

AirPrint

設定適用於:所有註冊類型

注意事項

請務必將所有印表機新增至相同的配置檔。 Apple 可防止多個 AirPrint 配置檔以相同的裝置為目標。

  • IP 位址:輸入印表機的 IPv4 或 IPv6 位址。 如果您使用主機名來識別印表機,您可以在終端機中 Ping 印表機來取得 IP 位址。 取得本文中 (的IP位址和路徑) 提供更多詳細數據。

  • 資源路徑:路徑通常 ipp/print 適用於您網路上的印表機。 取得本文中 (的IP位址和路徑) 提供更多詳細數據。

  • :輸入 AirPrint 目的地的接聽埠。 如果您將此屬性保留空白,AirPrint 會使用預設埠。

    本功能適用於:

    • iOS 11.0+
    • iPadOS 13.0+
  • 強制 TLS停用 (預設) 無法保護使用 TLS 的 AirPrint 連線。 使用 傳輸層安全性 (TLS) 來啟用 AirPrint 連線。

    本功能適用於:

    • iOS 11.0+
    • iPadOS 13.0+

若要新增 AirPrint 伺服器,您可以:

  • 輸入印表機詳細數據,將 AirPrint 目的地新增至清單。 可以新增許多 AirPrint 伺服器。
  • 入包含此資訊的逗號分隔檔案 (.csv) 。 或者, 出以建立您新增的 AirPrint 伺服器清單。

取得伺服器IP位址、資源路徑和埠

若要新增 AirPrinter 伺服器,您需要印表機的 IP 位址、資源路徑和埠。 下列步驟說明如何取得這項資訊。

  1. 在連線到與 AirPrint 印表機相同的局域網路 (子網) 的 Mac 上,從 /Applications/Utilities) 開啟終端機應用程式 (。

  2. 在終端機應用程式中,輸入 ippfind,然後選取 Enter。

    請記下印表機資訊。 例如,它可以傳回類似 的內容 ipp://myprinter.local.:631/ipp/port1。 第一個部分是印表機的名稱。 ipp/port1) (的最後一個部分是資源路徑。

  3. 在終端機應用程式中,輸入 ping myprinter.local,然後選取 Enter。

    記下IP位址。 例如,它可以傳回類似 的內容 PING myprinter.local (10.50.25.21)

  4. 使用IP位址和資源路徑值。 在這裡範例中,IP 位址為 10.50.25.21,而資源路徑為 /ipp/port1

主畫面配置

本功能適用於:

  • iOS 9.3 或更新版本
  • iPadOS 13.0 及更新版本
  • 自動化裝置註冊 (受監督)

您需要知道的事項

  • 只將應用程式新增至停駐點、頁面、頁面上的資料夾或停駐區中的資料夾一次。 在任兩個位置新增相同的應用程式可防止應用程式顯示在裝置上,而且可能會顯示報告錯誤。

    例如,如果您將相機應用程式新增至 Dock 和頁面,則不會顯示相機應用程式,而且報告可能會顯示原則的錯誤。 若要將相機應用程式新增至主畫面配置,請只選擇停駐或頁面,而不是兩者。

  • 當您套用主畫面版面配置時,它會覆寫任何使用者定義的版面配置。 因此,建議您在無用戶裝置上使用主畫面配置。

  • 您可以在未包含在主畫面版面配置組態的裝置上安裝預先存在的應用程式。 這些應用程式會在設定的應用程式之後依字母順序顯示。

  • 當您使用 [主畫面] 方格設定來新增頁面,或將頁面和應用程式新增至 Dock 時,[主畫面] 上的圖示和頁面會被鎖定。 它們無法移動或刪除。 此行為可能是透過 iOS/iPadOS 和 Apple 的 MDM 原則來設計。

  • 在受控瀏覽器中開啟所需的 iOS/iPadOS 網頁剪輯不會以您在主畫面版面配置原則中輸入的順序顯示。

主畫面

使用此功能來新增應用程式。 此外,請參閱這些應用程式在頁面、擴充座和資料夾中的外觀。 它也會顯示應用程式圖示。 大量採購方案 (從 您新增的客戶端應用程式填入 VPP) 應用程式、企業營運應用程式和 Web 連結應用程式 (Web 應用程式 URL) 。

  • 網格線大小:為裝置主畫面選擇適當的網格線大小。 應用程式或資料夾會在方格中佔用一個位置。 如果目標裝置不支持選取的大小,某些應用程式可能無法容納,並推送至新頁面上的下一個可用位置。 如需參考:

    • iPhone 5 支援 4 欄 x 5 列
    • iPhone 6 和更新版本支援 4 欄 x 6 列
    • iPad 支援 5 欄 x 6 列
  • +:選取 [新增] 按鈕以新增應用程式。

  • 建立資料夾或新增應用程式:新增 應用程式資料夾

    • 應用程式:從清單中選取現有的應用程式。 這個選項會將應用程式新增至裝置上的主畫面。 如果您沒有任何應用程式,請將應用程式新增至 Intune

      您也可以依應用程式名稱搜尋應用程式,例如 authenticatordrive。 或者,由應用程式發行者搜尋,例如 MicrosoftApple

    • 資料夾:將資料夾新增至主畫面。 輸入 [資料夾名稱],然後從清單中選取現有的應用程式以進入資料夾。 此資料夾名稱會顯示給其裝置上的使用者。

      您也可以依應用程式名稱搜尋應用程式,例如 authenticatordrive。 或者,由應用程式發行者搜尋,例如 MicrosoftApple

      應用程式會由左至右排列,順序與顯示的順序相同。 應用程式可以移至其他位置。 一個資料夾中只能有一個頁面。 因應措施是將九 (9) 或多個應用程式新增至資料夾。 應用程式會自動移至下一頁。 您可以新增 VPP 應用程式、Web 連結 (Web 應用程式) 、市集應用程式、企業營運應用程式和系統應用程式的任何組合。

碼頭

為iPhone新增最多4個 (4個) 專案,以及最多6 (6) 個iPad (應用程式和資料夾專案,) 合併到螢幕上的擴充座。 許多裝置支援較少的專案。 例如,iPhone 裝置最多支援四個專案。 因此,只會顯示您新增的前四個專案。

  • +:選取 [新增] 按鈕,將應用程式或資料夾新增至 Dock。

  • 建立資料夾或新增應用程式:新增 應用程式資料夾

    • 應用程式:從清單中選取現有的應用程式。 這個選項會將應用程式新增至畫面上的 Dock。 如果您沒有任何應用程式,請將應用程式新增至 Intune

      您也可以依應用程式名稱搜尋應用程式,例如 authenticatordrive。 或者,由應用程式發行者搜尋,例如 MicrosoftApple

    • 資料夾:將資料夾新增至畫面上的 Dock。 輸入 [資料夾名稱],然後從清單中選取現有的應用程式以進入資料夾。 此資料夾名稱會顯示給其裝置上的使用者。

      您也可以依應用程式名稱搜尋應用程式,例如 authenticatordrive。 或者,由應用程式發行者搜尋,例如 MicrosoftApple

      應用程式會由左至右排列,順序與顯示的順序相同。 應用程式可以移至其他位置。 如果您新增的應用程式超過頁面所能容納的數目,則應用程式會自動移至另一個頁面。 您可以在 Dock 上的資料夾中新增最多 20 個頁面。 您可以新增 VPP 應用程式、Web 連結 (Web 應用程式) 、市集應用程式、企業營運應用程式和系統應用程式的任何組合。

範例

在下列範例中,Dock 畫面會顯示 Safari、郵件和股票應用程式。 選取 [股票] 應用程式以顯示其屬性:

Microsoft Intune 中的範例 iOS/iPadOS 主畫面版面配置擴充座設定

當您將原則指派給iPhone時,停駐座看起來類似下圖:

iPhone 裝置上的範例 iOS/iPadOS 擴充座配置

應用程式通知

設定適用於:自動化裝置註冊 (受監督)

  • 新增:新增應用程式的通知:

    在 iOS/iPadOS 裝置功能組態設定檔中新增應用程式通知 Microsoft Intune

    • 應用程式套件組合識別碼:輸入您要新增之 應用程式的應用程式 套件組合標識碼。

      若要取得應用程式套件組合識別碼:

      當設定為 [未設定] 或保留空白時,Intune 不會變更或更新此設定。

    • 應用程式名稱:輸入您要新增的應用程式名稱。 此名稱會用於您在 Microsoft Intune 系統管理中心的參考。 它不會顯示在裝置上。 當設定為 [未設定] 或保留空白時,Intune 不會變更或更新此設定。

    • 發行者:輸入您要新增之應用程式的發行者。 此名稱會用於您在 Microsoft Intune 系統管理中心的參考。 它不會顯示在裝置上。 當設定為 [未設定] 或保留空白時,Intune 不會變更或更新此設定。

    • 通知啟用停用 應用程式以將通知傳送至裝置。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。

      當設定為 [啟用] 時,也請設定:

      • 顯示在通知中心[啟用 ] 可讓應用程式在裝置通知中心顯示通知。 [停用 ] 會防止應用程式在通知中心顯示通知。 當設定為 [未設定] 或保留空白時,Intune 不會變更或更新此設定。

      • 顯示在鎖定畫面上[啟用] 會在裝置鎖定畫面上顯示應用程式通知。 [停用 ] 會防止應用程式在鎖定畫面上顯示通知。 當設定為 [未設定] 或保留空白時,Intune 不會變更或更新此設定。

      • 警示類型:當裝置解除鎖定時,請選擇通知的顯示方式。 選項包括:

        • :不會顯示任何通知。
        • 橫幅:橫幅會以通知簡短顯示。 此設定可能也稱為「暫存橫幅」。
        • 強制回應:通知會顯示,用戶必須先手動關閉通知,才能繼續使用裝置。 此設定可能也稱為持續橫幅。
      • 應用程式上的徽章圖示[啟用] 會將徽章新增至應用程式圖示。 徽章表示應用程式已傳送通知。 [停用 ] 不會將徽章新增至應用程式圖示。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。

      • 啟用音效啟用 會在傳送通知時播放音效。 當通知傳遞時,[停用] 不會播放音效。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。

      • 顯示預覽:顯示最近應用程式通知的預覽。 選取顯示預覽的時機。 您選擇的值會覆寫使用者在裝置上設定的值 (> 設定通知 > 顯示預覽) 。 選項包括:

        • 未設定:Intune 不會變更或更新此設定。
        • 解除鎖定時:預覽只會在裝置解除鎖定時顯示。
        • 一律:預覽一律會顯示在鎖定畫面上。
        • 永不:預覽永遠不會顯示。

        本功能適用於:

        • iOS/iPadOS 14.0 和更新版本

鎖定畫面訊息

本功能適用於:

  • iOS 9.3 和更新版本
  • iPadOS 13.0 及更新版本

設定適用於:自動化裝置註冊 (受監督)

  • “If Lost, Return to...”訊息:如果裝置遺失或遭竊,請輸入有助於在找到時傳回裝置的附註。 您可以輸入任何您想要的文字。 例如,輸入類似 的內容 If found, call Contoso at ...

    您輸入的文字會顯示在裝置的登入視窗和鎖定畫面上。

  • 資產標籤資訊:輸入裝置資產標籤的相關信息。 例如,輸入 Owned by Contoso CorpSerial Number: {{serialnumber}}

    裝置令牌也可用來將裝置特定資訊新增至這些欄位。 例如,若要顯示序號,請輸入 Serial Number: {{serialnumber}}Device ID: {{DEVICEID}}。 在鎖定畫面上,文字會顯示類似 Serial Number 123456789ABC。 輸入變數時,請務必使用大括弧 {{ }}

    支援下列裝置資訊變數。 變數不會在 UI 中驗證,而且會區分大小寫。 如果您輸入不正確的變數,您會看到配置檔以不正確的輸入儲存。 例如,如果您輸入 {{DeviceID}} 而不是 {{deviceid}}{{DEVICEID}},則會顯示常值字串,而不是裝置的唯一標識符。 請務必輸入正確的資訊。 支援所有小寫或所有大寫變數,但不支援混合。

    • {{AADDeviceId}}:Microsoft Entra 裝置識別碼
    • {{AccountId}}:Intune 租使用者標識碼或帳戶標識碼
    • {{AccountName}}:Intune 租用戶名稱或帳戶名稱
    • {{AppleId}}:使用者的Apple標識碼
    • {{Department}}:設定助理期間指派的部門
    • {{DeviceId}}:Intune 裝置識別碼
    • {{DeviceName}}:Intune 裝置名稱
    • {{domain}}:功能變數名稱
    • {{EASID}}:Exchange Active Sync ID
    • {{EDUUserType}}:用戶類型
    • {{IMEI}}:裝置的 IMEI
    • {{mail}}:Email 用戶的位址
    • {{ManagedAppleId}}:使用者的Managed Apple ID
    • {{MEID}}:裝置的對應
    • {{partialUPN}}:@ 符號前面的 UPN 前置詞
    • {{SearchableDeviceKey}}:NGC 金鑰標識碼
    • {{SerialNumber}}:裝置序號
    • {{SerialNumberLast4Digits}}:裝置序號的最後 4 位數
    • {{SIGNEDDEVICEID}}:在註冊期間指派給用戶端的裝置標識碼 Blob 公司入口網站
    • {{SignedDeviceIdWithUserId}}:在 Apple 設定助理期間指派給具有用戶親和性的用戶端的裝置識別碼 Blob
    • {{UDID}}:裝置 UDID
    • {{UDIDLast4Digits}}:裝置 UDID 的最後 4 位數
    • {{UserId}}:Intune 用戶識別碼
    • {{UserName}}:使用者名
    • {{userPrincipalName}}:使用者的UPN

單一登入

設定適用於:裝置註冊、自動裝置註冊 (受監督)

  • Microsoft Entra 使用者名稱屬性:Intune 在 Microsoft Entra ID 中尋找每個用戶的這個屬性。 Intune 接著在產生安裝在裝置上的 XML 之前,先填入 UPN) 等個別欄位 (。 選項包括:

    • 未設定:Intune 不會變更或更新此設定。 根據預設,當配置檔部署至裝置時,OS 會提示使用者輸入 Kerberos 主體名稱。 需要主體名稱,MDM 才能安裝 SSO 配置檔。

    • 使用者主體名稱:UPN) (使用者主體名稱會以下列方式剖析:

      Microsoft Intune 中的 iOS/iPadOS 使用者名稱 SSO 屬性

      您也可以使用您在 [領域] 文字框中輸入的文字來覆寫 領域

      例如,Contoso 有數個區域,包括歐洲、亞洲和 北美洲。 Contoso 希望其亞洲使用者使用 SSO,而應用程式需要格式的 username@asia.contoso.com UPN。 當您選擇 [使用者主體名稱] 時,每個使用者的領域會取自 Microsoft Entra ID,也就是 contoso.com。 因此,針對亞洲的使用者,請選擇 [用戶主體名稱],然後輸入 asia.contoso.com。 使用者的 UPN 會變成 username@asia.contoso.com,而不是 username@contoso.com

    • Intune 裝置標識碼:Intune 會自動選取 Intune 裝置標識符。 根據預設:

      • 應用程式只需要使用裝置識別碼。 但是,如果您的應用程式使用領域和裝置標識碼,您可以在 [領域] 文本框中輸入 領域
      • 如果您使用裝置識別碼,請將領域保留空白。
    • Azure AD 裝置識別碼:Microsoft Entra 裝置標識碼

    • SAM 帳戶名稱:Intune 填入內部部署安全性帳戶管理員 (SAM) 帳戶名稱。

  • 領域:輸入 URL 的網域部分。 例如,輸入 contoso.com

  • URL:在組織中 新增 任何需要使用者單一登錄 (SSO) 驗證的 URL。

    例如,當用戶連線到這些網站時,iOS/iPadOS 裝置會使用 SSO 認證。 使用者不需要再次輸入認證。 如果已啟用多重要素驗證 (MFA) ,則用戶必須輸入第二個驗證。

    也:

    • 這些 URL 必須正確格式化為 FQDN。 Apple 要求 URL 的格式為 http://<yourURL.domain>

    • URL 比對模式必須以 http://https://開頭。 執行簡單的字串比對,因此 http://www.contoso.com/ URL 前置詞不符合 http://www.contoso.com:80/。 使用 iOS 10.0+ 和 iPadOS 13.0+,單一通配符 * 可用來輸入所有相符的值。 例如, http://*.contoso.com/ 會同時 http://store.contoso.com/ 比對 和 http://www.contoso.com

      http://.comhttps://.com 模式分別符合所有 HTTP 和 HTTPS URL。

  • 應用程式 可以使用單一登錄的用戶裝置上新增應用程式。

    數位 AppIdentifierMatches 必須包含符合應用程式套件組合識別碼的字串。 這些字串可以完全相符,例如 com.contoso.myapp,或使用 * 通配符在套件組合標識符上輸入前置詞比對。 通配符必須出現在句號字元 (.) 之後,而且只能在字串結尾出現一次,例如 com.contoso.*。 包含通配符時,任何套件組合標識符開頭為前置詞的應用程式都會被授與帳戶的存取權。

    使用 [應用程式名稱 ] 輸入使用者易記名稱,以協助您識別套件組合識別碼。

  • 認證更新憑證:如果使用憑證進行驗證 (不是密碼) ,請選取現有的 SCEPPFX 憑證作為驗證憑證。 一般而言,此憑證是部署給其他配置檔使用者的相同憑證,例如 VPN、Wi-Fi 或電子郵件。

Web 內容篩選

設定適用於:自動化裝置註冊 (受監督)

這些設定會使用Apple的Web內容篩選器設定。 如需這些設定的詳細資訊,請移至 Apple 的平臺部署網站 (開啟 Apple 的網站) 。

  • 篩選類型:選擇允許特定網站。 選項包括:

    • 未設定:Intune 不會變更或更新此設定。

    • 設定 URL:使用 Apple 的內建 Web 篩選器來尋找成人詞彙,包括粗話和明確性語言。 此功能會在載入時評估每個網頁,並識別和封鎖不適當的內容。 您也可以新增您不想由篩選條件檢查的 URL。 或者,不論 Apple 的篩選設定為何,都會封鎖特定 URL。

      • 允許的 URL新增 您想要允許的 URL。 這些 URL 會略過 Apple 的 Web 篩選器。

        您輸入的 URL 是 Apple Web 篩選器不想要評估的 URL。 這些 URL 不是允許的網站清單。 若要建立允許的網站清單,請將 [篩選類型 ] 設定為 [僅限特定網站]

      • 封鎖的 URL新增 您想要停止開啟的 URL,不論 Apple Web 篩選器設定為何。

    • 僅 (Safari 網頁瀏覽器的特定網站) :這些 URL 會新增至 Safari 瀏覽器的書籤。 使用者 只能 造訪這些網站;無法開啟其他網站。 只有當您知道使用者可以存取的 URL 確切清單時,才使用此選項。

      • URL:輸入您想要允許的網站 URL。 例如,輸入 https://www.contoso.com
      • 書籤路徑:Apple 已變更此設定。 所有書籤都會進入 [ 允許的網站 ] 資料夾。 書籤不會進入您輸入的書籤路徑。
      • 標題:輸入書籤的描述性標題。

      如果您未輸入任何 URL,則使用者無法存取、 microsoft.netapple.com以外的microsoft.com任何網站。 Intune 會自動允許這些 URL。

單一登錄應用程式擴充功能

本功能適用於:

  • iOS 13.0 和更新版本
  • iPadOS 13.0 和更新版本

設定適用於:所有註冊類型

  • SSO 應用程式延伸模組類型:選擇 SSO 應用程式延伸模組的類型。 選項包括:

    • 未設定:Intune 不會變更或更新此設定。 根據預設,OS 不會使用應用程式延伸模組。 若要停用應用程式延伸模組,您可以將 SSO 應用程式延伸模組類型切換為 [未設定]

    • Microsoft Entra ID:使用 Microsoft Entra ID Enterprise SSO 外掛程式,這是重新導向類型的 SSO 應用程式延伸模組。 此外掛程式為支援 Apple 企業版單一登錄功能的所有應用程式提供 內部部署的 Active Directory 帳戶的 SSO。 使用此 SSO 應用程式延伸模組類型,在使用 Microsoft Entra ID 進行驗證的Microsoft應用程式、組織應用程式和網站上啟用 SSO。

      SSO 外掛程式可作為進階驗證代理人,提供安全性和用戶體驗改善。 所有使用 Microsoft Authenticator 應用程式進行驗證的應用程式,都會繼續使用 適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式來取得 SSO

      重要事項

      若要使用 Microsoft Entra SSO 應用程式延伸模組類型來達成 SSO,請先在裝置上安裝 iOS/iPadOS Microsoft Authenticator 應用程式。 Authenticator 應用程式會將Microsoft企業 SSO 外掛程式傳遞至裝置,而 MDM SSO 應用程式延伸模組設定會啟用外掛程式。 在裝置上安裝 Authenticator 和 SSO 應用程式延伸模組設定檔之後,用戶必須輸入其認證才能登入,並在其裝置上建立會話。 然後,此會話會跨不同的應用程式使用,而不需要使用者再次驗證。 如需 Authenticator 的詳細資訊,請移至 什麼是Microsoft驗證器應用程式

      如需詳細資訊,請移至 在iOS/iPadOS裝置上使用 Microsoft Enterprise SSO 外掛程式

    • 重新導向:使用一般、可自定義的重新導向應用程式延伸模組,搭配新式驗證流程使用 SSO。 請確定您知道組織應用程式擴充功能的擴充功能識別碼。

    • 認證:使用一般、可自定義的認證應用程式延伸模組,搭配挑戰和響應驗證流程使用 SSO。 請確定您知道組織應用程式擴充功能的擴充功能識別碼。

    • Kerberos:使用 Apple 的內建 Kerberos 擴充功能,其包含在 iOS 13.0+ 和 iPadOS 13.0+ 上。 此選項是 Kerberos 特定版本的 認證 應用程式延伸模組。

    提示

    使用 [重新導向 ] 和 [認證 ] 類型時,您可以新增自己的組態值以通過延伸模組。 如果您使用 認證,請考慮使用 Apple在 Kerberos 類型中提供的內建組態設定。

    使用者成功登入 Authenticator 應用程式之後,系統不會提示他們登入使用 SSO 擴充功能的其他應用程式。 使用者第一次開啟未使用 SSO 擴充功能的受控應用程式時,系統會提示使用者選取已登入的帳戶。

  • 僅) (Microsoft Entra ID 啟用共用裝置模式:如果您要將Microsoft企業 SSO 外掛程式部署至針對 Microsoft Entra 共用裝置模式功能設定的 iOS/iPadOS 裝置,請選擇 []。 處於共用模式的裝置可讓許多使用者全域登入和註銷支援共用裝置模式的應用程式。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,iOS/iPadOS 裝置不適合在多個用戶之間共用。

    如需共用裝置模式及其啟用方式的詳細資訊,請移至iOS裝置 的共用裝置模式共用裝置模式概觀。

    本功能適用於:

    • iOS/iPadOS 13.5 和更新版本
  • 擴充功能識別 碼 (重新導向和認證) :輸入可識別 SSO 應用程式延伸模組的套件組合識別碼,例如 com.apple.extensiblesso

  • 小組標識 (重新導向和認證) :輸入 SSO 應用程式延伸模組的小組識別碼。 小組識別碼是 10 個字元的英數位元 (數位和字母,) Apple 所產生的字串,例如 ABCDE12345。 不需要小組標識碼。

    找到您的小組標識 碼 (開啟 Apple 的網站) 具有詳細資訊。

  • Realm (Credential 和 Kerberos) :輸入驗證領域名稱。 領域名稱應該大寫,例如 CONTOSO.COM。 一般而言,您的領域名稱與您的 DNS 功能變數名稱相同,但全都是大寫。

  • 網域 (認證和 Kerberos) :輸入可透過 SSO 驗證之網站的網域或主機名。 例如,如果您的網站是 mysite.contoso.com,則 mysite 是主機名,而 .contoso.com 是功能變數名稱。 當使用者連線到這些網站中的任何一個時,應用程式延伸模組會處理驗證挑戰。 此驗證可讓使用者使用臉部標識碼、觸控標識碼或Apple Pincode/密碼來登入。

    • 單一登錄應用程式延伸模組 Intune 配置檔中的所有網域都必須是唯一的。 您無法在任何登入應用程式延伸模組設定檔中重複網域,即使您使用不同類型的 SSO 應用程式延伸模組也一樣。
    • 這些網域不區分大小寫。
    • 網域的開頭必須是句號 (.) 。
  • ) 重新導向 (URL:輸入身分識別提供者的 URL 前置詞,其代表重新導向應用程式延伸模組使用 SSO。 當使用者重新導向至這些 URL 時,SSO 應用程式擴充功能會介入並提示 SSO。

    • Intune 單一登錄應用程式延伸模組配置檔中的所有URL都必須是唯一的。 您無法在任何 SSO 應用程式延伸模組設定檔中重複網域,即使您使用不同類型的 SSO 應用程式延伸模組也一樣。
    • URL 的開頭必須是 http://https://
  • Microsoft Entra ID、重新導向和認證) (其他組態:輸入更多擴充功能特定數據以傳遞至 SSO 應用程式延伸模組:

    • 索引鍵:輸入您要新增的項目名稱,例如 user nameAppAllowList

    • 類型:輸入數據類型。 選項包括:

      • 字串
      • 布林值:在 [ 組態值] 中,輸入 TrueFalse
      • 整數:在 [ 組態值] 中,輸入數位。
    • :輸入數據。

    • 新增:選取以新增您的組態金鑰。

  • 僅限 Kerberos (區塊金鑰鏈使用) :[是] 會防止密碼儲存並儲存在密鑰鏈中。 如果遭到封鎖,系統不會提示使用者儲存其密碼,而且需要在 Kerberos 票證到期時重新輸入密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許將密碼儲存並儲存在金鑰鏈中。 當票證到期時,系統不會提示使用者重新輸入其密碼。

  • 只有在 Kerberos (需要臉部標識碼、觸控標識碼或密碼) :是,當需要認證才能重新整理 Kerberos 票證時,強制使用者輸入其臉部標識碼、觸控標識符或裝置密碼。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要使用者使用生物特徵辨識或裝置密碼來重新整理 Kerberos 票證。 如果 已封鎖 Keychain 使用 方式,則不適用此設定。

  • 設定為默認領域 (Kerberos 僅) : ,會設定您輸入的 Realm 值作為預設領域。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會設定預設領域。

    • 如果您要在組織中設定多個 Kerberos SSO 應用程式延伸模組,請選取 [ 是]
    • 如果您使用多個領域,請選取 [ 是]。 它會將您輸入的 Realm 值設定為預設領域。
    • 如果您只有一個領域,請選擇 [ 未設定 (預設) ] 。
  • ) 封鎖自動探索 (Kerberos: [是 ] 會防止 Kerberos 擴充功能自動使用 LDAP 和 DNS 來判斷其 Active Directory 網站名稱。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。

  • 僅允許 受控應用程式 (Kerberos 僅) :當設定為 [ ] 時,Kerberos 擴充功能只允許受管理的應用程式,以及使用應用程式套件組合標識符輸入的任何應用程式來存取認證。 當設為 [未設定] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許非受控應用程式存取認證。

    本功能適用於:

    • iOS/iPadOS 14 和更新版本
  • 主體名稱 僅 (Kerberos) :輸入 Kerberos 主體的用戶名稱。 您不需要包含領域名稱。 例如, 中的 user@contoso.comuser 是主體名稱,而 contoso.com 是領域名稱。

    • 您也可以輸入大括弧 {{ }},在主體名稱中使用變數。 例如,若要顯示使用者名稱,請輸入 Username: {{username}}
    • 請小心使用變數替代。 變數不會在 UI 中驗證,而且會區分大小寫。 請務必輸入正確的資訊。
  • (Kerberos 的 Active Directory 月臺碼僅) :輸入 Kerberos 擴充功能應該使用的 Active Directory 月臺名稱。 您可能不需要變更此值,因為 Kerberos 擴充功能可以自動尋找 Active Directory 月臺碼。

  • 快取名稱僅 (Kerberos) :輸入一般安全性服務 (GSS) Kerberos 快取的名稱。 您很可能不需要設定此值。

  • 僅) (Kerberos 登入視窗文字:輸入 Kerberos 登入視窗中顯示給使用者的文字。

    本功能適用於:

    • iOS/iPadOS 14 和更新版本
  • 應用程式套件組合標識碼 (Microsoft Entra ID,Kerberos) :輸入任何其他應用程式的套件組合標識符,這些應用程式應該透過您裝置上的延伸模組取得單一登錄。 若要取得新增至 Intune 的應用程式套件組合識別碼,您可以使用 Intune 系統管理中心

    如果您使用 Microsoft Entra ID SSO 應用程式延伸模組類型,則:

    • 這些應用程式會使用 Microsoft Enterprise SSO 外掛程式來驗證使用者,而不需要登入。

    • 如果您輸入的應用程式套件組合標識符不使用任何Microsoft連結庫,例如Microsoft驗證連結庫 (MSAL) ,則有許可權使用 Microsoft Entra SSO 應用程式延伸模組。

      相較於Microsoft連結庫,這些應用程式的體驗可能不如順暢。 使用 MSAL 驗證的較舊應用程式,或未使用最新Microsoft連結庫的應用程式,必須新增至此清單,才能正確地使用 Microsoft Azure SSO 應用程式延伸模組。

    如果您使用 Kerberos SSO 應用程式延伸 模組類型,則這些應用程式:

    • 可存取 Kerberos 票證授與票證
    • 可存取驗證票證
    • 向獲授權存取的服務驗證使用者
  • 網域領域 對應僅 (Kerberos) :輸入應該對應至領域的網域 DNS 後綴。 當主機的 DNS 名稱不符合領域名稱時,請使用此設定。 您很可能不需要建立此自定義網域對領域對應。

  • PKINIT 憑證 僅 (Kerberos) : 取可用於 Kerberos 驗證的公開密鑰密碼編譯 (PKINIT) 憑證。 您可以從您在 Intune 中新增的 PKCSSCEP 憑證中進行選擇。

    如需憑證的詳細資訊,請移至在 Microsoft Intune 中使用憑證進行驗證

壁紙

當沒有影像的配置檔指派給具有現有映像的裝置時,您可能會遇到非預期的行為。 例如,您可以建立不含影像的配置檔。 此配置檔會指派給已經有映像的裝置。 在此案例中,映像可以變更為裝置預設值,或原始映像可以保留在裝置上。 此行為受到Apple MDM平臺的控制和限制。

設定適用於:自動化裝置註冊 (受監督)

  • 背景圖案顯示位置:選擇顯示影像之裝置上的位置。 選項包括:
    • 未設定:Intune 不會變更或更新此設定。 自定義映像不會新增至裝置。 根據預設,OS 可能會設定自己的映像。
    • 鎖定畫面:將影像新增至鎖定畫面。
    • 主畫面:將影像新增至主畫面。
    • 鎖定畫面和主畫面:在鎖定畫面和主畫面上使用相同的影像。
  • 桌布影像:上傳您想要使用的現有 .png、.jpg 或.jpeg影像。 請確定檔案大小小於 750 KB。 您也可以 移除 您新增的映像。

提示

  • 設定桌布原則時,Microsoft建議啟用 [封鎖修改桌布 ] 設定。 此設定可防止用戶變更桌布。
  • 若要在鎖定畫面和主畫面上顯示不同的影像,請使用鎖定畫面影像建立配置檔。 使用主畫面影像建立另一個配置檔。 將這兩個配置檔指派給您的 iOS/iPadOS 使用者或裝置群組。