Metody ověřování pro automatizovanou registraci zařízení v Intune

  • Článek

Platí pro iOS/iPadOS.

Tento článek popisuje metody ověřování dostupné pro zařízení s iOS/iPadOS zaregistrovaná v Intune prostřednictvím automatizované registrace zařízení. Mezi dostupné metody ověřování patří:

  • Portál společnosti Intune aplikace
  • Pomocník s nastavením s moderním ověřováním
  • Registrace podle potřeby (JIT) pro Pomocníka s nastavením s moderním ověřováním
  • Pomocník s nastavením (starší verze)

Všechny metody jsou k dispozici pro zařízení vlastněná společností s přidružením uživatele a zakoupená prostřednictvím Apple Business Manageru nebo Apple School Manageru.

Možnost 1: Portál společnosti Intune aplikace

Jako metodu ověřování použijte aplikaci Portál společnosti Intune, pokud chcete:

  • Použijte vícefaktorové ověřování (MFA).
  • Při prvním přihlášení vyzve uživatele ke změně hesla.
  • Vyzvat uživatele, aby během registrace resetovali hesla, jejichž platnost vypršela.
  • Registrace zařízení v Microsoft Entra ID a používání funkcí dostupných s Microsoft Entra ID, jako je podmíněný přístup.
  • Automaticky nainstalujte aplikaci Portál společnosti během registrace. Pokud vaše společnost používá program VPP (Volume Purchase Program), můžete aplikaci Portál společnosti automaticky nainstalovat během registrace bez Apple ID uživatelů.
  • Chcete zařízení uzamknout, dokud se aplikace Portál společnosti nenainstaluje.

Upozornění

Intune zablokuje registraci, která používá tuto metodu ověřování, pokud uživatel zařízení cílí na typ profilu registrace uživatele Apple řízený účtem. Toto chování se očekává. Uživateli se zobrazí chybová zpráva s informací, že jeho účet nepodporuje registraci prostřednictvím aplikace Portál společnosti a že se musí zaregistrovat prostřednictvím webu Portál společnosti. Pokud chcete zajistit úspěšné registrace prostřednictvím automatizované registrace zařízení, použijte možnost 2: Pomocník s nastavením s moderním ověřováním jako metodu ověřování při práci s typy profilů registrace uživatelů Apple řízenými účty.

Možnost 2: Pomocník s nastavením s moderním ověřováním

Tato možnost poskytuje stejné zabezpečení jako Portál společnosti Intune ověřování, ale liší se tím, že umožňuje uživateli zařízení přistupovat k částem zařízení, i když Portál společnosti není nainstalovaný. Tuto možnost použijte pro ověřování, když chcete:

  • Vymažte zařízení.
  • Použijte vícefaktorové ověřování (MFA).
  • Při prvním přihlášení vyzve uživatele ke změně hesla.
  • Vyzvat uživatele, aby během registrace resetovali hesla, jejichž platnost vypršela.
  • Registrace zařízení v Microsoft Entra ID a používání funkcí dostupných s Microsoft Entra ID, jako je podmíněný přístup.
  • Automaticky nainstalujte aplikaci Portál společnosti během registrace. Pokud vaše společnost používá program VPP (Volume Purchase Program), můžete aplikaci Portál společnosti automaticky nainstalovat během registrace bez Apple ID uživatelů.
  • Umožňuje uživatelům používat zařízení, i když není nainstalovaná aplikace Portál společnosti.

Pomocník s nastavením s moderním ověřováním se podporuje na zařízeních se systémem iOS/iPadOS 13.0 a novějším. Starší zařízení s iOS/iPadOS, která mají přiřazený tento typ profilu, se vrátí k ověřování Pomocníka s nastavením (starší verze).

Automatická instalace aplikace Portál společnosti

Pokud vaše společnost používá program VPP (Volume Purchase Program), můžete aplikaci Portál společnosti automaticky nainstalovat během registrace bez uživatelských Apple ID. Pokud chcete ve svém registračním profilu povolit automatickou instalaci, vyberte Ano u možnosti Nainstalovat Portál společnosti pomocí VPP. Doporučujeme použít tuto možnost.

Pokud možnost VPP nepoužíváte, musí uživatel zařízení zadat své Apple ID během Pomocníka s nastavením nebo při pokusu Intune o instalaci Portál společnosti.

V obou scénářích je možnost instalace Portál společnosti uživateli zařízení skrytá a Portál společnosti se na zařízení stane požadovanou aplikací. Když se uživatel dostane na domovskou obrazovku, Intune na zařízení automaticky použije správné zásady konfigurace aplikací.

Upozornění

Po registraci v Pomocníkovi s nastavením s moderním ověřováním neposílejte do Portál společnosti pro zařízení s iOS/iPadOS samostatné zásady konfigurace aplikací. Pokud to uděláte, dojde k chybě.

Vícefaktorové ověřování

Vícefaktorové ověřování (MFA) se bude vyžadovat, pokud se při registraci nebo během Portál společnosti přihlášení použijí zásady podmíněného přístupu, které ho vyžadují. Vícefaktorové ověřování je ale volitelné na základě nastavení Microsoft Entra v cílových zásadách podmíněného přístupu.

Vícefaktorové ověřování nebude fungovat pro Pomocníka s nastavením s moderním ověřováním, pokud k zobrazení obrazovky MFA během registrace používáte poskytovatele MFA třetí strany. Během registrace funguje jenom obrazovka Microsoft Entra vícefaktorového ověřování.

vyžaduje se akce Portál společnosti.

Po procházení obrazovek Pomocníka s nastavením se uživatel zařízení dostane na domovskou stránku. V tomto okamžiku se vytvoří jejich spřažení uživatele. Dokud se ale uživatel k Portál společnosti přihlásí pomocí svých přihlašovacích údajů Microsoft Entra a nevybere Začít, zařízení:

  • Nebude plně zaregistrovaný v Microsoft Entra ID.
  • Nezobrazí se v seznamu zařízení uživatele v Microsoft Entra ID.
  • Nebude mít přístup k prostředkům chráněným podmíněným přístupem.
  • Nebude vyhodnocováno s ohledem na dodržování předpisů zařízeními.
  • Bude z ostatních aplikací přesměrováno na Portál společnosti, když se uživatel pokusí otevřít libovolnou spravovanou aplikaci, která je chráněná podmíněným přístupem.

Možnost 3: Registrace za běhu pro Pomocníka s nastavením s moderním ověřováním

Tato možnost je stejná jako v Průvodci nastavením s moderním ověřováním s tím rozdílem, že Portál společnosti se nevyžaduje pro Microsoft Entra registraci nebo dodržování předpisů. Místo toho jsou Microsoft Entra registrace a kontroly dodržování předpisů plně integrované v určené aplikaci microsoftu nebo jiné společnosti, která je nakonfigurovaná s rozšířením aplikace jednotného přihlašování (SSO) Apple. Rozšíření snižuje počet výzev k ověření a vytváří jednotné přihlašování na celém zařízení. Registrace JIT vyzve uživatele k dvojímu ověření:

  • Jedno ověřování zpracovává registraci a spřažení uživatele a zařízení a stane se, když uživatel zařízení zapne své zařízení a přihlásí se do Pomocníka s nastavením.
  • Jiné ověřování zpracovává Microsoft Entra registraci a nastane, když se uživatel přihlásí k určené aplikaci. V této aplikaci se také provádějí kontroly dodržování předpisů.

Poznámka

Pokud vaše organizace používá Microsoft Defender for Endpoint, aby registrace JIT a náprava dodržování předpisů fungovala podle očekávání, ujistěte se, že aplikace Microsoft Defender for Endpoint není prvním otevřeným uživatelem aplikace.

Jakmile uživatel zařízení přejde na domovskou obrazovku, může se přihlásit k jakékoli pracovní nebo školní aplikaci, která je nakonfigurovaná s rozšířením jednotného přihlašování, a dokončit Microsoft Entra registraci a kontroly dodržování předpisů. Jednotné přihlašování uživatele přihlásí ke všem aplikacím, které jsou součástí zásad rozšíření jednotného přihlašování. V tomto okamžiku se také můžou ručně přihlásit k jakékoli aplikaci, která není nakonfigurovaná tak, aby používala rozšíření jednotného přihlašování.

Postup nastavení registrace JIT s automatizovanou registrací zařízení:

  1. Vytvořte zásadu konfigurace zařízení a nakonfigurujte nastavení v kategorii Rozšíření aplikace jednotného přihlašování . Postup najdete v tématu Nastavení registrace za běhu.

  2. Vytvořte registrační profil Apple a jako metodu ověřování vyberte Pomocníka s nastavením s moderním ověřováním . Aby bylo možné tento krok dokončit, musí být v Intune aktivní token automatické registrace zařízení z Apple Business Manageru nebo Apple School Manageru.

  3. Když se v registračním profilu dostanete na stránku Zadání , přiřaďte profil zařízením synchronizovaným z Apple Business Manageru a Apple School Manageru. Po přiřazení profilu můžou zaměstnanci a studenti dokončit nastavení a ověřování na svých zařízeních.

    Poznámka

    Portál společnosti se stále odesílá do zařízení jako povinná aplikace, i když se nevyžaduje pro Microsoft Entra registraci nebo dodržování předpisů. Uživatelé zařízení můžou pomocí aplikace Portál společnosti shromažďovat a nahrávat protokoly, pokud v aplikaci najdou problémy.

Příklad úspěšného ověřování

Následující posloupnost událostí popisuje příklad, jak vypadá úspěšné ověřování s registrací JIT pro Pomocníka s nastavením s moderním ověřováním. Prostředí vaší organizace se může lišit v závislosti na konfiguraci automatické registrace zařízení.

  1. Uživatel zařízení zapne.

  2. Spustí se Pomocník s nastavením. Uživatel zařízení se ověřuje pomocí svých přihlašovacích údajů Microsoft Entra v Pomocníkovi s nastavením.

  3. Uživatel zařízení dokončí vícefaktorové ověřování, pokud je to vyžadováno v zásadách podmíněného přístupu.

  4. Zařízení dokončí registraci v Intune a vytvoří se spřažení uživatele a zařízení.

  5. Uživatel zařízení se zobrazí na domovské obrazovce, otevře Microsoft Teams nebo jinou aplikaci Office a přihlásí se pomocí svého pracovního účtu. Pokud zařízení splňuje všechny požadavky na dodržování předpisů, uživatel zařízení bude mít okamžitě přístup ke svým zprávám a kalendáři.

    Poznámka

    Během Microsoft Entra registrace se uživateli zařízení může zobrazit krátký číselník, zatímco Intune dokončí kontroly dodržování předpisů. Toto je očekávané chování.

  6. Rozšíření jednotného přihlašování zavádí jednotné přihlašování ve všech ostatních cílových aplikacích a všech aplikacích Microsoftu.

  7. Zařízení je zaregistrované ve Microsoft Entra ID a vyhovuje předpisům. Stav zařízení můžete zobrazit v Centru pro správu a Microsoft Entra ID. Uživatel zařízení může zobrazit stav v Portál společnosti Intune a používat Portál společnosti pro dodržování předpisů, inventář aplikací, synchronizace zařízení a sdílení protokolů.

  8. Uživatel zařízení otevře Teams a automaticky se přihlásí.

Možnost 4: Pomocník s nastavením (starší verze)

Starší verzi Pomocníka s nastavením použijte, pokud chcete, aby uživatelé měli k produktům Apple typické prostředí, které je už v provozu. Tato možnost nainstaluje standardní předkonfigurovaná nastavení, když se zařízení zaregistruje v Intune. Tuto možnost použijte pro ověřování v těchto případech:

  • Chcete vymazat zařízení.
  • Nechcete mít moderní funkce ověřování, jako je vícefaktorové ověřování.
  • Nechcete registrovat zařízení v Microsoft Entra ID. Pomocník s nastavením (starší verze) ověří uživatele pomocí tokenu Apple .p7m.

Pokud používáte Active Directory Federation Services (AD FS) a k ověřování používáte Průvodce nastavením, vyžaduje se koncový bod WS-Trust 1.3 Username/Mixed. Další informace najdete v tématu Get-AdfsEndpoint v naší referenční příručce Windows PowerShell.

Další kroky

Teď, když víte, kterou metodu ověřování používáte, vytvořte registrační profil Apple a po zobrazení výzvy vyberte metodu ověřování. Aby bylo možné tento krok dokončit, musí být v Intune aktivní token automatické registrace zařízení z Apple Business Manageru nebo Apple School Manageru.