Nastavení automatické registrace zařízení v Intune

  • Článek

Platí pro iOS/iPadOS.

Zařízení vlastněná společností zakoupená prostřednictvím Apple Business Manageru nebo Apple School Manageru je možné zaregistrovat do Intune prostřednictvím automatizované registrace zařízení. Tato možnost registrace použije nastavení vaší organizace z Apple Business Manageru a Apple School Manageru a zaregistruje zařízení, aniž byste se jich museli dotýkat. iPhony a iPady je možné dodávat přímo zaměstnancům a studentům. Když zařízení zapínají, průvodce Apple Setup Assistant je provede nastavením a registrací.

Tento článek popisuje, jak připravit a nastavit automatickou registraci zařízení v Microsoft Intune.

Přehled funkcí

Následující tabulka ukazuje funkce a scénáře podporované u automatizované registrace zařízení.

Funkce Tuto možnost registrace použijte, když
Chcete režim pod dohledem. ✔️

Režim pod dohledem nasazuje aktualizace softwaru, omezuje funkce, povoluje a blokuje aplikace atd.
Vlastníkem zařízení je organizace nebo škola. ✔️
Máte nová zařízení. ✔️
Je potřeba zaregistrovat několik zařízení nebo velký počet zařízení (hromadná registrace). ✔️
Zařízení jsou přidružená k jednomu uživateli. ✔️
Zařízení nejsou uživatelská, například veřejný terminál nebo vyhrazená zařízení. ✔️
Zařízení jsou v režimu sdíleného zařízení. ✔️
Zařízení jsou osobní nebo BYOD.

Nedoporučuje se. Aplikace na zařízeních BYOD nebo osobních zařízeních je možné spravovat pomocí MAM nebo registrace uživatelů a zařízení.
Zařízení spravuje jiný poskytovatel MDM.

Aby mohli uživatelé plně spravovat Intune, musí zrušit registraci u aktuálního poskytovatele MDM a pak se zaregistrovat do Intune. Nebo můžete mam použít ke správě konkrétních aplikací na zařízení. Vzhledem k tomu, že tato zařízení vlastní organizace, doporučujeme je zaregistrovat v Intune.
Použijete účet správce registrace zařízení (DEM).

Účet DEM se nepodporuje.

Požadavky

Před vytvořením registračního profilu musíte mít:

Než začnete

Přečtěte si tyto požadavky na registraci a osvědčené postupy a připravte se na úspěšné nastavení a nasazení.

Volba metody ověřování

Než vytvoříte registrační profil, rozhodněte se, jak se mají uživatelé na svých zařízeních ověřovat: prostřednictvím aplikace Portál společnosti Intune, Pomocníka s nastavením (starší verze) nebo Pomocníka s nastavením s moderním ověřováním. Použití Portál společnosti aplikace nebo Pomocníka s nastavením s moderním ověřováním se považuje za moderní ověřování a má funkce, jako je vícefaktorové ověřování.

Intune také podporuje registraci za běhu pro Pomocníka s nastavením s moderním ověřováním, které eliminuje potřebu aplikace Portál společnosti pro Microsoft Entra registraci a dodržování předpisů. Pokud chcete použít registraci JIT, musíte před vytvořením registračního profilu Apple a konfigurací Průvodce nastavením s moderním ověřováním vytvořit zásadu konfigurace zařízení.

Pomocník s nastavením s moderním ověřováním se podporuje na zařízeních se systémem iOS/iPadOS 13.0 a novějším. Starší zařízení s iOS/iPadOS, která mají tento profil, místo toho k ověřování použijí Pomocníka s nastavením (starší verze).

Další informace o možnostech ověřování najdete v tématu Metody ověřování pro automatizovanou registraci zařízení.

Co je režim pod dohledem?

Režim pod dohledem poskytuje větší kontrolu nad správou zařízení vlastněných společností, takže můžete dělat věci, jako je blokování snímků obrazovky a omezení AirDropu.

Zařízení vlastněná společností se systémem iOS/iPadOS 11+ a zaregistrovaná prostřednictvím automatizované registrace zařízení by měla být vždy v režimu pod dohledem, který můžete zapnout v registračním profilu. Další informace o režimu pod dohledem najdete v tématu Zapnutí režimu pod dohledem pro iOS/iPadOS. Microsoft Intune ignoruje příznak is_supervised pro zařízení se systémem iOS/iPadOS 13.0 a novějším, protože tato zařízení se v době registrace automaticky přepnou do režimu pod dohledem.

Registrace zařízení v režimu sdíleného zařízení

Pro zařízení v režimu sdíleného zařízení můžete nastavit automatickou registraci zařízení. Režim sdíleného zařízení je funkce Microsoft Entra ID, která umožňuje pracovníkům v první linii sdílet jedno zařízení během dne a podle potřeby se přihlašovat a odhlašovat. Další informace o tom, jak povolit registraci zařízení v režimu Microsoft Entra sdílené zařízení, najdete v tématu Automatická registrace zařízení pro režim sdíleného zařízení.

Nasazení aplikace Portál společnosti

Důležité

Nedoporučujeme používat App Store verzi aplikace Portál společnosti, protože není kompatibilní s automatickou registrací zařízení a neposkytuje automatické aktualizace a dostupnost jako nasazení.

Nasazení aplikace Portál společnosti Intune prostřednictvím Intune je nejlepší způsob, jak aplikaci poskytnout uživatelům, a jediný způsob, jak:

  • Ujistěte se, že aplikaci obdrží všechna zařízení ADE, včetně už zaregistrovaných.
  • Povolte automatické aktualizace aplikací pro Portál společnosti na zařízeních ADE.

Nasaďte aplikaci jako požadovanou aplikaci VPP s licencováním zařízení. Informace o tom, jak synchronizovat, přiřadit a spravovat aplikaci VPP, najdete v tématu Přiřazení multilicenční aplikace.

Pokud chcete povolit automatické aktualizace aplikací pro Portál společnosti, přejděte do nastavení tokenu aplikace v Centru pro správu a změňte Automatické aktualizace aplikací na Ano. Postup pro přístup k nastavení tokenu najdete v tématu Odeslání tokenu polohy Apple VPP nebo Apple Business Manageru . Pokud automatické aktualizace nepovolíte, bude je uživatel zařízení muset ručně vyhledat sám.

Příprava zařízení se používá k převodu zařízení bez přidružení uživatele na zařízení s přidružením uživatele. Pokud chcete připravit zařízení, nastavte nasazení VPP, jak je popsáno výše v této části. Pak nakonfigurujte a nasaďte zásady konfigurace aplikace. Ujistěte se, že zásady cílí jenom na zařízení ADE bez přidružení uživatele.

Důležité

Při počáteční registraci Intune automaticky odešle nastavení zásad konfigurace aplikace pro zařízení zaregistrovaná pomocí Pomocníka s nastavením s moderním ověřováním nakonfigurované v části Konfigurace aplikace Portál společnosti tak, aby podporovala zařízení s iOS a iPadOS zaregistrovaná s automatickou registrací zařízení, když nastavení registračního profilu Nainstalovat Portál společnosti je nastavená na ano. Tato konfigurace by se uživatelům neměla nasazovat ručně, protože způsobí konflikt s konfigurací odeslanou během počáteční registrace. Pokud jsou nasazené obojí, Intune nesprávně vyzve uživatele zařízení, aby se přihlásili k Portál společnosti a stáhli profil správy, který už nainstalovali.

Limity

  • Maximální počet registračních profilů na token: 1 000
  • Maximální počet zařízení automatizované registrace zařízení na profil: 200 000 (totéž jako maximální počet zařízení na token).
  • Maximální počet tokenů automatizované registrace zařízení na účet Intune: 2 000
  • Maximální počet zařízení pro automatickou registraci zařízení na token: 200 000
    • Doporučujeme, abyste nepřekročili 200 000 zařízení na jeden token. Jinak může docházet k problémům se synchronizací. Pokud máte více než 200 000 zařízení, rozdělte je na několik tokenů ADE.
    • Apple Business Manager a Apple School Manager synchronizují přes 3 000 zařízení s Intune za minutu. Doporučujeme, abyste ruční synchronizaci z Centra pro správu znovu odložili, dokud nebude uplynout dostatek času pro dokončení synchronizace všech zařízení (celkový počet zařízení / 3 000 zařízení za minutu).

Řešení potíží s registrací

Pokud během procesu registrace narazíte na problémy se synchronizací, můžete najít řešení v tématu Řešení potíží s registrací zařízení s iOS/iPadOS.

Získání tokenu automatické registrace zařízení Apple

Než budete moct zaregistrovat zařízení s iOS/iPadOS pomocí ADE, potřebujete od společnosti Apple token automatické registrace zařízení (soubor .p7m). Tento token umožňuje Intune synchronizovat informace o zařízeních ADE, která vlastní vaše organizace. Umožňuje také Intune nahrávat registrační profily společnosti Apple a přiřazovat k nim zařízení.

Pomocí Apple Business Manageru (ABM) nebo Apple School Manageru (ASM) vytvořte token a přiřaďte zařízení k Intune pro správu.

Poznámka

K povolení ADE můžete použít buď portál ABM, nebo portál ASM. Zbytek tohoto článku se týká portálu ABM, ale postup je pro oba portály stejný.

Krok 1: Stažení certifikátu Intune veřejného klíče

  1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.

  2. Vyberte kartu Apple .

  3. Vyberte Tokeny> programu registracePřidat.

  4. Na kartě Základy :

    1. Vyberte Souhlasím a udělte Microsoftu oprávnění k odesílání informací o uživateli a zařízení společnosti Apple:

      Snímek obrazovky znázorňující obrazovku Přidat token programu registrace

    2. Vyberte Stáhnout Intune certifikát veřejného klíče požadovaný k vytvoření tokenu. Tento krok stáhne a uloží soubor šifrovacího klíče (.pem) místně. Soubor .pem se používá k vyžádání certifikátu vztahu důvěryhodnosti z portálu Apple Business Manageru.

      Tento soubor .pem nahrajete do Apple Business Manageru v kroku 2: Přejděte na portál Apple Business Manageru (v tomto článku).

    3. Nechte tuto kartu a stránku webového prohlížeče otevřenou. Pokud kartu zavřete:

      • Certifikát, který jste stáhli, je neplatný.
      • Kroky musíte opakovat.
      • Na kartě Zkontrolovat a vytvořit není tlačítko Vytvořit dostupné a tento postup se nedá dokončit.

Krok 2: Přejděte na portál Apple Business Manageru.

Pomocí portálu Apple Business Manageru vytvořte a obnovte token ADE (server MDM). Tento token se přidá do Intune a komunikuje mezi Intune a Společností Apple.

Poznámka

Následující kroky popisují, co je potřeba udělat v Apple Business Manageru. Konkrétní kroky najdete v dokumentaci společnosti Apple. Uživatelská příručka pro Apple Business Manager (na webu společnosti Apple) může být užitečná.

Stažení tokenu Apple

  1. V Apple Business Manageru se přihlaste pomocí Apple ID vaší společnosti.

  2. Na tomto portálu proveďte následující kroky.

    • V nastavení se zobrazí všechny tokeny. Přidejte server MDM a nahrajte certifikát veřejného klíče (soubor .pem), který jste stáhli z Intune v kroku 1: Stažení certifikátu Intune veřejného klíče (v tomto článku).

      Název serveru použijte k identifikaci serveru správy mobilních zařízení (MDM). Není to název ani adresa URL služby Microsoft Intune.

    • Po uložení serveru MDM ho vyberte a pak si stáhněte token (soubor .p7m). Tento token .p7m nahrajete v Intune v kroku 4: Nahrání tokenu a dokončení (v tomto článku).

Přiřazení zařízení k tokenu Apple (server MDM)

  1. V zařízeních Apple Business Manageru> vyberte zařízení, která chcete k tomuto tokenu přiřadit. Můžete řadit podle různých vlastností zařízení, jako je sériové číslo. Můžete také vybrat více zařízení současně.
  2. Upravte správu zařízení a vyberte server MDM, který jste právě přidali. Tento krok přiřadí zařízení k tokenu.

Krok 3: Uložení Apple ID

  1. Ve webovém prohlížeči se vraťte na stránku Přidat token programu registrace v Intune. Tuto stránku byste měli nechat otevřenou, jak je uvedeno v kroku 1: Stažení certifikátu Intune veřejného klíče (v tomto článku).

  2. Do pole Apple ID zadejte své ID. Tento krok uloží ID. ID se dá použít v budoucnu.

    Sreenshot, který zobrazuje pole Apple ID na kartě Základy.

Krok 4: Nahrání tokenu a dokončení

  1. V tokenu Apple přejděte k souboru certifikátu .p7m a pak vyberte Otevřít.

    Tento token .p7m jste si stáhli v kroku 2: Přejděte na portál Apple Business Manageru.

  2. Vyberte Další.

  3. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit.

Pomocí nabízeného certifikátu můžou Intune registrovat a spravovat zařízení s iOS/iPadOS nabízením zásad zaregistrovaným mobilním zařízením. Intune se automaticky synchronizuje se společností Apple pro přístup k vašemu účtu programu registrace.

Vytvoření registračního profilu Apple

Teď, když jste nainstalovali token, můžete vytvořit registrační profil pro automatizovanou registraci zařízení. Registrační profil zařízení definuje nastavení, která se během registrace použijí pro skupinu zařízení. Existuje limit 1 000 registračních profilů na jeden token registrace.

Poznámka

Registrace zařízení se zablokuje, pokud pro token VPP není dostatek Portál společnosti licencí nebo pokud platnost tokenu vyprší. Intune vás upozorní, když se blíží vypršení platnosti tokenu nebo dojde k nedostatku licencí.

  1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.

  2. Vyberte kartu Apple .

  3. Zvolte Tokeny programu registrace.

  4. Zvolte token a pak vyberte Profily.

  5. Vyberte Vytvořit profil>iOS/iPadOS.

  6. V části Základy dejte profilu název a popis pro účely správy. Uživatelům se tyto podrobnosti nezobrazují.

  7. Vyberte Další.

    Důležité

    Pokud provedete změny existujícího registračního profilu, nová nastavení se na přiřazených zařízeních neprojeví, dokud se zařízení neobnoví zpět do továrního nastavení a znovu neaktivují. Nastavení šablony názvu zařízení je jediné nastavení, které můžete změnit a které nevyžaduje, aby se projevilo obnovení továrního nastavení. Změny šablony pojmenování se projeví při příštím vracení se změnami.

  8. V seznamu Spřažení uživatele vyberte možnost, která určuje, jestli se zařízení s tímto profilem musí zaregistrovat s přiřazeným uživatelem nebo bez.

    • Zaregistrovat s přidružením uživatele: Tuto možnost vyberte pro zařízení, která patří uživatelům, kteří chtějí používat Portál společnosti pro služby, jako je instalace aplikací.

    • Zaregistrovat bez přidružení uživatele: Tuto možnost vyberte pro zařízení, která nejsou přidružená k jednomu uživateli. Tuto možnost použijte pro zařízení, která nemají přístup k místním uživatelským datům. Tato možnost se obvykle používá pro zařízení veřejného terminálu, prodejního místa (POS) nebo zařízení se sdílenými nástroji.

      V některých situacích můžete chtít přidružit primárního uživatele k zařízením zaregistrovaným bez přidružení uživatele. K tomuto úkolu můžete odeslat IntuneUDAUserlessDevice klíč do aplikace Portál společnosti v zásadách konfigurace aplikací pro spravovaná zařízení. První uživatel, který se přihlásí k aplikaci Portál společnosti, se vytvoří jako primární uživatel. Pokud se první uživatel odhlásí a přihlásí se druhý uživatel, zůstane první uživatel primárním uživatelem zařízení. Další informace najdete v tématu Konfigurace aplikace Portál společnosti tak, aby podporovala zařízení ADE se systémem iOS a iPadOS.

    • Zaregistrovat s Microsoft Entra ID sdíleným režimem: Tuto možnost vyberte, pokud chcete zaregistrovat zařízení, která budou ve sdíleném režimu.

  9. Pokud jste v poli Spřažení uživatele vybrali možnost Registrovat s přidružením uživatele, máte možnost zvolit metodu ověřování, kterou musí zaměstnanci používat. Další informace o jednotlivých metodách ověřování najdete v tématu Metody ověřování pro automatizovanou registraci zařízení.

    Snímek obrazovky s možnostmi metody ověřování

    Možnosti:

    • Portál společnosti
    • Pomocník s nastavením (starší verze)
    • Pomocník s nastavením s moderním ověřováním

  10. Pokud jste jako metodu ověřování vybrali Pomocníka s nastavením (starší verze), ale chcete na zařízeních také použít podmíněný přístup nebo nasadit firemní aplikace, musíte na zařízení nainstalovat Portál společnosti a přihlásit se, abyste mohli dokončit registraci Microsoft Entra. Uděláte to tak, že vyberete Ano u možnosti Nainstalovat Portál společnosti. Pokud chcete, aby uživatelé dostávali Portál společnosti, aniž by se museli ověřovat v App Store, v části Instalace Portál společnosti pomocí VPP vyberte token VPP. Ujistěte se, že platnost tokenu nevyprší a že máte dostatek licencí zařízení pro správné nasazení aplikace Portál společnosti.

  11. Pokud vyberete token Pro instalaci Portál společnosti pomocí VPP, můžete zařízení uzamknout v režimu jedné aplikace (konkrétně aplikace Portál společnosti) hned po dokončení Pomocníka s nastavením. Tuto možnost nastavíte tak, že vyberete Ano u možnosti Spustit Portál společnosti v režimu jedné aplikace až do ověření. Pokud chce uživatel zařízení používat, musí se nejprve ověřit přihlášením pomocí Portál společnosti.

    Poznámka

    Vícefaktorové ověřování není podporováno na jednom zařízení uzamčené v režimu jedné aplikace. Toto omezení existuje, protože zařízení nemůže přepnout na jinou aplikaci, aby se dokončil druhý faktor ověřování. Pokud chcete vícefaktorové ověřování na zařízení s režimem jedné aplikace, druhý faktor musí být na jiném zařízení.

    Tato funkce je podporovaná jenom pro iOS/iPadOS 11.3.1 a novější.

    Snímek obrazovky znázorňující možnost Spustit Portál společnosti v režimu jedné aplikace

  12. Pokud chcete, aby zařízení používající tento profil byla pod dohledem, vyberte v seznamu Pod dohledemMožnost Ano:

    Snímek obrazovky znázorňující možnost Pod dohledem

    Zařízení pod dohledem poskytují ve výchozím nastavení více možností správy a zakázaný zámek aktivace. Microsoft doporučuje používat ADE jako mechanismus pro povolení režimu pod dohledem, zejména pokud nasazujete velký počet zařízení s iOS/iPadOS. Zařízení Apple Shared iPad pro firmy musí být pod dohledem.

    Uživatelé budou upozorněni, že jejich zařízení jsou pod dohledem v aplikaci Nastavení . V aplikaci v horní části obrazovky jim statická zpráva říká, že tento iPhone je pod dohledem a spravuje ho <your organization>.

    Poznámka

    Pokud je zařízení zaregistrované bez dohledu, musíte použít Apple Configurator, pokud ho chcete nastavit jako pod dohledem. Pokud chcete zařízení obnovit do továrního nastavení tímto způsobem, musíte ho připojit k Macu pomocí kabelu USB. Další informace najdete v nápovědě k Apple Configuratoru.

  13. V seznamu Uzamčená registrace vyberte Ano nebo Ne. Uzamčená registrace zakáže nastavení iOS/iPadOS, která umožňují odebrání profilu správy. Pokud povolíte uzamčenou registraci, bude tlačítko v aplikaci Nastavení, které uživatelům umožňuje odebrat profil správy, skryté a uživatelé nebudou moct zrušit registraci svého zařízení. Pokud nastavujete zařízení v režimu Microsoft Entra ID sdílení, vyberte Ano.

    Uzamčená registrace funguje zpočátku trochu jinak na zařízeních, která nebyla původně zakoupena prostřednictvím Apple Business Manageru, ale později byla přidána jako součást automatizované registrace zařízení: Uživatelům těchto zařízení se v aplikaci Nastavení prvních 30 dní po aktivaci zařízení zobrazí tlačítko Odebrat správu. Po uplynutí této provizorní doby bude možnost skryta. Další informace najdete v článku Ruční příprava zařízení (otevře dokumentaci nápovědy k Apple Configuratoru).

    Důležité

    Toto nastavení se liší od možností odebrání a resetování v aplikaci Portál společnosti. Bez ohledu na to, jak konfigurujete uzamčenou registraci, zůstanou možnosti Odebrat zařízení nebo Obnovení továrního nastavení v aplikaci Portál společnosti na zařízeních zaregistrovaných prostřednictvím automatizované registrace zařízení nedostupné. Uživatelé nebudou moct odebrat zařízení ani na Portál společnosti webu. Další informace o samoobslužných akcích dostupných na zaregistrovaných zařízeních najdete v tématu Samoobslužné akce.

  14. Pokud jste v předchozích krocích vybrali možnost Registrovat bez přidružení uživatele a pod dohledem , musíte se rozhodnout, jestli zařízení nakonfigurujete tak, aby byla zařízení se sdíleným Apple iPadem pro firmy. Pokud chcete více uživatelům povolit přihlášení k jednomu zařízení, vyberte Ano pro Sdílený iPad . Uživatelé se budou ověřovat pomocí spravovaných Apple ID a federovaných ověřovacích účtů nebo pomocí dočasné relace (jako je účet guest). Tato možnost vyžaduje iOS/iPadOS 13.4 nebo novější. V případě sdíleného iPadu se všechna podokna Pomocníka s nastavením po aktivaci automaticky přeskočí.

    Poznámka

    • Vymazání zařízení bude vyžadováno, pokud se registrační profil iOS/iPadOS s povoleným sdíleným iPadem odešle na nepodporované zařízení. Mezi nepodporovaná zařízení patří všechny modely iPhonů a iPady se systémem iPadOS/iOS 13.3 a starším. Mezi podporovaná zařízení patří iPady se systémem iPadOS 13.3 a novějším.
    • Pokud chcete nastavit Sdílený iPad Apple pro firmy, nakonfigurujte tato nastavení:
      • V seznamu Spřažení uživatele vyberte Registrovat bez přidružení uživatele.
      • V seznamu Pod dohledem vyberte Ano.
      • V seznamu Sdílený iPad vyberte Ano.

    Pokud nastavujete zařízení Apple Shared iPad pro firmy, nakonfigurujte také:

    • Maximální počet uživatelů uložených v mezipaměti: Zadejte počet uživatelů, u kterého očekáváte použití sdíleného iPadu. Na 32GB nebo 64GB zařízení můžete uložit do mezipaměti až 24 uživatelů. Pokud zvolíte nízké číslo, může chvíli trvat, než se data uživatelů zobrazí na jejich zařízeních po přihlášení. Pokud zvolíte vysoké číslo, může uživatelům docházet místo na disku.

    • Maximální počet sekund po uzamčení obrazovky před vyžadováním hesla: Zadejte dobu v sekundách. Mezi přípustné hodnoty patří: 0, 60, 300, 900, 3600 a 14400. Pokud zámek obrazovky tuto dobu překročí, bude k odemknutí zařízení vyžadováno heslo zařízení. K dispozici pro zařízení v režimu sdíleného iPadu se systémem iPadOS 13.0 a novějším.

    • Maximální počet sekund nečinnosti do odhlášení relace uživatele: Minimální povolená hodnota pro toto nastavení je 30. Pokud po uplynutí definovaného období nedojde k žádné aktivitě, relace uživatele se ukončí a odhlásí uživatele. Pokud položku necháte prázdnou nebo ji nastavíte na nulu (0), relace se kvůli nečinnosti neskončí. K dispozici pro zařízení v režimu sdíleného iPadu se systémem iPadOS 14.5 nebo novějším.

    • Vyžadovat jenom dočasnou relaci sdíleného iPadu: Nakonfiguruje zařízení tak, aby uživatelé viděli jenom verzi hosta přihlašovacího prostředí a museli se přihlásit jako hosté. Nemůžou se přihlásit pomocí spravovaného Apple ID. K dispozici pro zařízení v režimu sdíleného iPadu se systémem iPadOS 14.5 nebo novějším.

      Pokud je tato možnost nastavená na Ano, zruší se následující sdílená nastavení iPadu, protože nejsou použitelná v dočasných relacích:

      • Maximální počet uživatelů uložených v mezipaměti
      • Maximální počet sekund po uzamčení obrazovky před vyžadováním hesla
      • Maximální počet sekund nečinnosti, dokud se uživatelská relace odhlásí

    • Maximální počet sekund nečinnosti, než se dočasná relace odhlásí: Minimální povolená hodnota pro toto nastavení je 30. Pokud po uplynutí definovaného období nedojde k žádné aktivitě, dočasná relace se ukončí a odhlásí uživatele. Pokud položku necháte prázdnou nebo ji nastavíte na nulu (0), relace se kvůli nečinnosti neskončí. K dispozici pro zařízení v režimu sdíleného iPadu se systémem iPadOS 14.5 nebo novějším.

      Toto nastavení je dostupné, když je možnost Vyžadovat pouze sdílenou dočasnou relaci iPadu nastavená na Ano.

    Poznámka

    • Pokud jsou povolené dočasné relace, odstraní se při odhlášení z relace všechna data uživatele. To znamená, že všechny cílové zásady a aplikace přijdou uživateli při přihlášení a budou vymazány, když se uživatel odhlásí.
    • Pokud chcete změnit konfiguraci sdílených iPadů tak, aby neměly dočasné relace, bude potřeba zařízení zcela obnovit do továrního nastavení a odeslat nový registrační profil s aktualizovanými konfiguracemi na iPad.

  15. V seznamu Synchronizovat s počítači vyberte možnost pro zařízení, která používají tento profil. Pokud vyberete Povolit Apple Configurator podle certifikátu, musíte zvolit certifikát v části Certifikáty Apple Configuratoru.

    Poznámka

    Pokud nastavíte Možnost Synchronizovat s počítači na Odepřít vše, bude port omezený na zařízeních s iOSem a iPadOS. Port bude omezen pouze na nabíjení. Používání iTunes nebo Apple Configuratoru 2 bude zablokováno.

    Pokud nastavíte Možnost Synchronizovat s počítači na Povolit Apple Configurator podle certifikátu, ujistěte se, že máte místní kopii certifikátu, kterou můžete použít později. V nahrané kopii nebudete moct provádět změny a je důležité zachovat kopii tohoto certifikátu. Pokud se chcete připojit k zařízení se systémem iOS/iPadOS ze zařízení Mac, musí být na zařízení nainstalovaný stejný certifikát, který vytváří připojení k zařízení s iOS/iPadOS.

  16. Pokud jste v předchozím kroku vybrali Možnost Povolit Apple Configurator podle certifikátu , zvolte certifikát Apple Configuratoru, který chcete importovat.

  17. Pro konečnou konfiguraci await máte k dispozici:

    • Ano: Povolte na konci Pomocníka s nastavením uzamčené prostředí, abyste měli jistotu, že jsou na zařízení nainstalované nejdůležitější zásady konfigurace zařízení. Těsně před načtením domovské obrazovky se Pomocník s nastavením pozastaví a umožní Intune se vrátit se zařízením. Prostředí koncového uživatele se zamkne, zatímco uživatelé čekají na konečnou konfiguraci.

      Doba, po kterou jsou uživatelé na obrazovce Čekání na konečnou konfiguraci, se liší a závisí na celkovém počtu zásad a aplikací, které na zařízení použijete. Čím více zásad a aplikací je k zařízení přiřazeno, tím delší je čekací doba. Pomocník s nastavením ani Intune během této části nastavení vynucovat minimální nebo maximální časový limit. Během ověřování produktu byla většina zařízení, která jsme testovali, vydána a během patnácti minut měla přístup k domovské obrazovce. Pokud tuto funkci povolíte a používáte k tomu třetí stranu, která vám pomůže se zřizováním zařízení, informujte ji o možnostech delšího zřizování.

      Uzamčené prostředí funguje na zařízeních, na která cílí nové a stávající registrační profily. Mezi podporovaná zařízení patří:

      • Zařízení se systémem iOS/iPadOS 13+ zaregistrovaná pomocí Pomocníka s nastavením s moderním ověřováním
      • Zařízení se systémem iOS/iPadOS 13+ zaregistrovaná bez přidružení uživatele
      • Zařízení se systémem iOS/iPadOS 13+ zaregistrovaná ve sdíleném režimu Microsoft Entra ID

      Toto nastavení se použije jednou během předefinované automatizované registrace zařízení v Pomocníkovi s nastavením. Uživatel zařízení ho znovu nezaregistruje, dokud zařízení znovu nezaregistruje. Ano je výchozí nastavení pro nové registrační profily.

    • Ne: Zařízení se po ukončení Pomocníka s nastavením uvolní na domovskou obrazovku bez ohledu na stav instalace zásad. Uživatelé zařízení můžou mít před instalací všech zásad přístup k domovské obrazovce nebo změnit nastavení zařízení. Ne je výchozí nastavení pro existující registrační profily.

    Nastavení konfigurace await není k dispozici v profilech s touto kombinací konfigurací:

    • Přidružení uživatele: Registrace bez přidružení uživatele (krok 6 v této části)
    • Sdílený iPad: Ano (krok 12 v této části)

  18. Volitelně můžete vytvořit šablonu názvu zařízení pro rychlou identifikaci zařízení přiřazených k tomuto profilu v Centru pro správu. Intune pomocí šablony vytváří a formátuje názvy zařízení. Názvy se udělují zařízením při registraci a při každém následném ohlášení. Vytvoření šablony:

  19. V části Použít šablonu názvu zařízení vyberte Ano .

  20. Do pole Device Name Template (Šablona názvu zařízení ) zadejte šablonu, kterou chcete použít k vytvoření názvů zařízení. Šablona může obsahovat typ zařízení a sériové číslo. Nemůže obsahovat více než 63 znaků včetně proměnných. Například: {{DEVICETYPE}}-{{SERIAL}}

  21. Mobilní datový tarif můžete aktivovat. Toto nastavení platí pro zařízení se systémem iOS/iPadOS 13.0 a novějším. Když tuto možnost nakonfigurujete, odešle se příkaz k aktivaci mobilních datových tarifů pro mobilní zařízení s podporou eSim. Aby bylo možné aktivovat datové tarify pomocí tohoto příkazu, musí váš operátor pro vaše zařízení zřizovat aktivace. Pokud chcete aktivovat mobilní datový tarif, klikněte na Ano a zadejte adresu URL aktivačního serveru vašeho operátora.

  22. Vyberte Další.

  23. Na kartě Pomocník s nastavením nakonfigurujte následující nastavení profilu:

    Nastavení oddělení Popis
    Department Zobrazí se, když uživatelé klepnou při aktivaci na O konfiguraci.
    Telefon na oddělení Zobrazí se, když uživatelé při aktivaci klepnou na tlačítko Potřebuji pomoc .

    Během uživatelské instalace můžete na zařízení skrýt obrazovky Pomocníka s nastavením. Popis všech obrazovek najdete v tématu Referenční informace k obrazovkám Pomocníka s nastavením (v tomto článku).

    • Pokud vyberete Skrýt, obrazovka se během instalace nezobrazí. Po nastavení zařízení může uživatel stále přejít do nabídky Nastavení a nastavit funkci.
    • Pokud vyberete Zobrazit, obrazovka se zobrazí během instalace, ale jenom v případě, že je potřeba provést kroky po obnovení nebo po aktualizaci softwaru. Uživatelé můžou někdy obrazovku přeskočit, aniž by podnikli akci. Potom můžou později přejít do nabídky Nastavení zařízení a funkci nastavit.
    • V případě sdíleného iPadu se všechna podokna Pomocníka s nastavením po aktivaci automaticky přeskočí bez ohledu na konfiguraci.

  24. Vyberte Další.

  25. Pokud chcete profil uložit, vyberte Vytvořit.

Dynamické skupiny v Microsoft Entra ID

Pomocí pole Název registrace můžete vytvořit dynamickou skupinu v Microsoft Entra ID. Další informace najdete v tématu Microsoft Entra dynamických skupin.

Název profilu můžete použít k definování parametru enrollmentProfileName pro přiřazení zařízení s tímto registračním profilem.

Před nastavením zařízení a zajištěním rychlého doručení do zařízení s přidružením uživatele se ujistěte, že je zaregistrovaný uživatel členem skupiny uživatelů Microsoft Entra.

Pokud k profilům registrace přiřadíte dynamické skupiny, může dojít ke zpoždění při doručování aplikací a zásad do zařízení po registraci.

Referenční informace k obrazovce Pomocníka s nastavením

Následující tabulka popisuje obrazovky Pomocníka s nastavením, které se zobrazují při automatické registraci zařízení pro iOS/iPadOS. Tyto obrazovky můžete během registrace zobrazit nebo skrýt na podporovaných zařízeních.

Obrazovka Pomocníka s nastavením Co se stane, když je viditelné
Heslo Vyzve uživatele k zadání hesla. Vždy vyžadovat heslo pro nezabezpečená zařízení, pokud se přístup neřídí jiným způsobem. (Například konfigurace celoobrazovkového režimu, která omezuje zařízení na jednu aplikaci.) Pro iOS/iPadOS 7.0 a novější.
Zjišťování polohy Vyzve uživatele k poskytnutí polohy. Pro macOS 10.11 a novější a iOS/iPadOS 7.0 a novější.
Obnovení Zobrazí obrazovku Aplikace a data. Tato obrazovka dává uživatelům možnost obnovit nebo přenést data ze zálohy na iCloudu při nastavování zařízení. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
Apple ID Umožní uživateli přihlásit se pomocí svého Apple ID a používat iCloud. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
Podmínky a ujednání Požaduje, aby uživatel přijal podmínky a ujednání společnosti Apple. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
Touch ID a Face ID Dejte uživateli možnost nastavit na zařízení otisk prstu nebo identifikaci obličeje. Pro macOS 10.12.4 a novější a iOS/iPadOS 8.1 a novější. V iOS/iPadOS 14.5 a novějších verzích nefungují obrazovky Pomocníka s nastavením hesla a Touch ID během nastavování zařízení. Pokud používáte verzi 14.5 nebo novější, nekonfigurujte obrazovky Pomocníka s nastavením hesla nebo Touch ID. Pokud na zařízeních vyžadujete heslo, použijte zásady konfigurace zařízení nebo zásady dodržování předpisů. Jakmile se uživatel zaregistruje a obdrží zásadu, zobrazí se mu výzva k zadání hesla.
Apple Pay Umožní uživateli nastavit na zařízení Apple Pay. Pro macOS 10.12.4 a novější a iOS/iPadOS 7.0 a novější.
Zoom Dejte uživateli možnost přiblížit displej při nastavování zařízení. Pro iOS/iPadOS 8.3 a novější.
Siri Umožní uživateli nastavit Siri. Pro macOS 10.12 a novější a iOS/iPadOS 7.0 a novější.
Diagnostická data Zobrazte obrazovku Diagnostika. Tato obrazovka umožní uživateli poslat společnosti Apple diagnostická data. Pro macOS 10.9 a novější a iOS/iPadOS 7.0 a novější.
Tón zobrazení Poskytněte uživateli možnost zapnout tón zobrazení. Pro macOS 10.13.6 a novější a iOS/iPadOS 9.3.2 a novější.
Ochrana osobních údajů Zobrazte obrazovku Ochrana osobních údajů. Pro macOS 10.13.4 a novější a iOS/iPadOS 11.3 a novější.
Migrace na Android Dejte uživateli možnost migrovat data ze zařízení s Androidem. Pro iOS/iPadOS 9.0 a novější.
iMessage & FaceTime Dejte uživateli možnost nastavit iMessage a FaceTime. Pro iOS/iPadOS 9.0 a novější.
Onboarding Zobrazení informačních obrazovek pro připojování pro vzdělávání uživatelů, jako je titulní list, multitasking a Ovládací centrum. Pro iOS/iPadOS 11.0 a novější.
Čas u obrazovky Zobrazí obrazovku Čas u obrazovky. Pro macOS 10.15 a novější a iOS/iPadOS 12.0 a novější.
Nastavení SIM karty Dejte uživateli možnost přidat mobilní tarif. Pro iOS/iPadOS 12.0 a novější.
Aktualizace softwaru Zobrazí obrazovku povinné aktualizace softwaru. Pro iOS/iPadOS 12.0 a novější.
Sledovat migraci Dejte uživateli možnost migrovat data z watch zařízení. Pro iOS/iPadOS 11.0 a novější.
Vzhled Zobrazte obrazovku Vzhled. Pro macOS 10.14 a novější a iOS/iPadOS 13.0 a novější.
Migrace zařízení na zařízení Dejte uživateli možnost přenést data ze starého zařízení do tohoto zařízení. Možnost přenosu dat přímo ze zařízení není dostupná pro zařízení ADE se systémem iOS 13 nebo novějším.
Obnovení bylo dokončeno. Zobrazí uživatelům obrazovku Obnovení bylo dokončeno po provedení zálohování a obnovení během Průvodce nastavením.
Aktualizace softwaru se dokončila Zobrazuje uživateli všechny aktualizace softwaru, ke kterým dochází během Pomocníka s nastavením.
Začínáme Zobrazí uživatelům úvodní obrazovku Začínáme.
Podmínky adresy Dejte uživateli možnost zvolit, jak se má v celém systému oslovovat: ženský, mužský nebo neutrální. Tato funkce Apple je dostupná pro vybrané jazyky. Další informace najdete v tématu Klíčové funkce a vylepšení (otevře se web Apple). Pro iOS/iPadOS 16.0 a novější.

Synchronizace spravovaných zařízení

Teď, když má Intune oprávnění spravovat vaše zařízení, můžete synchronizovat Intune s Apple, aby se spravovaná zařízení zobrazila v Intune na portálu Azure Portal.

  1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.

  2. Vyberte kartu Apple .

  3. Zvolte Tokeny programu registrace.

  4. V seznamu vyberte token a pak vyberte Synchronizace zařízení>:

    Snímek obrazovky znázorňující, jak synchronizovat zařízení s iOSem a iPadOS s tokenem programu registrace

    Pokud chcete postupovat podle podmínek společnosti Apple pro přijatelný provoz v programu registrace, Intune ukládá následující omezení:

    • Úplná synchronizace se nesmí pouštět častěji než jednou za sedm dní. Během úplné synchronizace načte Intune úplný aktualizovaný seznam sériových čísel přiřazených k serveru Apple MDM připojenému k Intune.

      Důležité

      Pokud je zařízení odstraněné z Intune, ale zůstane přiřazené k tokenu registrace ADE na portálu ASM/ABM, znovu se zobrazí v Intune při další úplné synchronizaci. Pokud nechcete, aby se zařízení znovu objevilo v Intune, zrušte jeho přiřazení ze serveru MdM Apple na portálu ABM/ASM.

    • Pokud je zařízení uvolněné z ABM/ASM, může trvat až 45 dní, než se automaticky odstraní ze stránky zařízení v Intune. V případě potřeby můžete uvolněná zařízení ručně odstranit z Intune po jednom. Uvolněná zařízení budou přesně hlášena jako odebraná z ABM/ASM v Intune, dokud se automaticky neodstraní během 30 až 45 dnů.
    • Rozdílová synchronizace se spouští automaticky každých 12 hodin. Rozdílovou synchronizaci můžete také aktivovat výběrem tlačítka Synchronizovat (maximálně jednou za 15 minut). Každá žádost o synchronizaci má 15 minut na dokončení. Tlačítko Synchronizovat bude deaktivované, dokud se synchronizace nedokončí. Při synchronizaci se zaktualizuje stav existujících zařízení a naimportují se nová zařízení přiřazená k serveru Apple MDM. Pokud rozdílová synchronizace z nějakého důvodu selže, bude další synchronizace úplná, aby se snad vyřešily všechny problémy.

Přiřazení profilu registrace zařízením

Než budete moct zařízení zaregistrovat, musíte jim přiřadit registrační profil.

Poznámka

Sériová čísla můžete také přiřadit k profilům v podokně Sériová čísla Apple .

  1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.
  2. Vyberte kartu Apple .
  3. Zvolte Tokeny programu registrace.
  4. Vyberte registrační token.
  5. Vyberte Zařízení.
  6. Vyberte všechna zařízení, která chcete přiřadit, a pak vyberte Přiřadit profil.
  7. V části Přiřadit profil zvolte profil automatické registrace zařízení, který jste pro zařízení vytvořili, a pak vyberte Přiřadit.

Přiřazení výchozího profilu

Můžete vybrat výchozí profil, který se má použít pro všechna zařízení, která se registruje pomocí konkrétního tokenu.

  1. V Centru pro správu se vraťte do části Tokeny programu registrace.
  2. Vyberte registrační token.
  3. Vyberte Nastavit výchozí profil.
  4. V seznamu vyberte profil a pak vyberte Uložit. Profil se použije pro všechna zařízení, která se registruje pomocí vybraného registračního tokenu.

Poznámka

Ujistěte se, že omezení typů zařízení v části Omezení registrace nemají výchozí zásadu Všichni uživatelé nastavenou tak, aby blokovala platformu iOS/iPadOS. Toto nastavení způsobí selhání automatizované registrace a vaše zařízení se bude zobrazovat jako Neplatný profil bez ohledu na ověření uživatele. Pokud chcete povolit registraci jenom zařízením spravovaným společností, zablokujte pouze zařízení v osobním vlastnictví, která umožní registraci podnikových zařízení. Společnost Microsoft definuje podnikové zařízení jako zařízení, které je zaregistrované prostřednictvím Programu registrace zařízení, nebo zařízení, které je ručně zadané v části Identifikátory podnikových zařízení.

Distribuujte zařízení

Povolili jste správu a synchronizaci mezi společností Apple a Intune a přiřadili jste profil, aby bylo možné zaregistrovat zařízení ADE. Teď jste připraveni distribuovat zařízení uživatelům. Pár věcí, které je potřeba vědět:

  • Zařízení zaregistrovaná s přidružením uživatele vyžadují, aby každému uživateli byla přiřazena Intune licence.

  • Zařízení zaregistrovaná bez přidružení uživatele obvykle nemají žádné přidružené uživatele. Tato zařízení musí mít licenci Intune zařízení. Pokud zařízení zaregistrovaná bez přidružení uživatele bude používat uživatel s licencí Intune, licence zařízení není potřeba.

    Abychom to shrnuli, pokud má zařízení uživatele, musí mít uživatel přiřazenou Intune licenci. Pokud zařízení nemá uživatele s licencí Intune, musí mít Intune licenci zařízení.

    Další informace o licencování Intune najdete v tématu licencování Microsoft Intune a v průvodci plánováním Intune.

  • Aktivované zařízení je potřeba vymazat, aby se mohlo správně zaregistrovat pomocí ADE v Intune. Po vymazání, ale před opětovnou aktivací můžete registrační profil použít. Viz Nastavení existujícího iPhonu, iPadu nebo iPodu touch

  • Pokud se registrujete pomocí ADE a spřažení uživatele, může během instalace dojít k následující chybě:

    The SCEP server returned an invalid response.

    Tuto chybu můžete vyřešit tak, že se během 15 minut pokusíte správu stáhnout znovu. Pokud to trvá déle než 15 minut, budete muset k vyřešení této chyby obnovit tovární nastavení zařízení. K této chybě dochází z důvodu 15minutového časového limitu pro certifikáty SCEP, který se vynucuje z důvodu zabezpečení.

Informace o prostředí koncového uživatele najdete v tématu Registrace zařízení s iOS/iPadOS v Intune pomocí ADE.

Opětovná registrace zařízení

Provedením těchto kroků znovu zaregistrujete zařízení, které už prošlo automatickou registrací zařízení.

  1. Existují dvě možnosti, jak zařízení obnovit do továrního nastavení:
    • Vymažte zařízení v Centru pro správu Microsoft Intune.
    • Vyřazovat zařízení v Centru pro správu a pak ho resetovat do továrního nastavení pomocí aplikace Nastavení, Apple Configuratoru 2 nebo iTunes.
  2. Zapněte zařízení a podle pokynů na obrazovce v Průvodci nastavením načtěte profil vzdálené správy.

Prodloužení platnosti tokenu automatizované registrace zařízení

Někdy budete muset tokeny obnovit:

  • Obnovte svůj token ADE ročně. V Centru pro správu Intune se zobrazuje datum vypršení platnosti.
  • Pokud se změní heslo Apple ID pro uživatele, který token nastavil v Apple Business Manageru, obnovte token programu registrace v Intune a Apple Business Manageru.
  • Pokud uživatel, který token nastavil v Apple Business Manageru, opustí organizaci, obnovte token programu registrace v Intune a Apple Business Manageru.
  • Pokud změníte Apple ID použité k vytvoření tokenu ADE, tato změna neovlivní aktuálně zaregistrovaná zařízení s tímto tokenem, dokud se znovu nezaregistrují. To se liší od certifikátu APNS (Apple Push Notification Service) používaného pro tenanta, který nejde změnit, aniž by se vyžadovala opětovná registrace všech zařízení, pokud nekontaktujete podporu Apple, aby provedli změnu na back-endu.

Obnovení tokenů

  1. Přejděte na business.apple.com a přihlaste se pomocí účtu, který má roli správce nebo správce registrace zařízení.

  2. Vyberte Nastavení. V části Servery MDM vyberte server MDM přidružený k souboru tokenu, který chcete obnovit. Vyberte Stáhnout token:

    Snímek obrazovky, který ukazuje, jak obnovit a stáhnout token Apple v Apple Business Manageru

  3. Vyberte Stáhnout token serveru.

    Poznámka

    Jak je uvedeno ve výzvě, nevybírejte možnost Stáhnout token serveru , pokud nechcete token prodloužit. Tím zrušíte platnost tokenu používaného Intune (nebo jiným řešením MDM). Pokud jste token už stáhli, nezapomeňte pokračovat v dalších krocích, dokud se token neobnoví.

  4. Po stažení tokenu přejděte do centra pro správu Microsoft Intune.

  5. Vyberte Registrace zařízení>.

  6. Zvolte Tokeny programu registrace.

  7. Vyberte token.

  8. Vyberte Obnovit token. Zadejte Apple ID použité k vytvoření původního tokenu (pokud není vyplněné automaticky):

    Snímek obrazovky se stránkou Obnovit token

  9. Nahrajte nově stažený token.

  10. Výběrem možnosti Další přejděte na stránku Značky oboru . Pokud chcete, přiřaďte značky oboru.

  11. Vyberte Obnovit token. Zobrazí se potvrzení, že se token obnovil:

    Snímek obrazovky s potvrzovací zprávou

Odstranění tokenu automatizované registrace zařízení z Intune

Token profilu registrace můžete z Intune odstranit za předpokladu, že:

  • K tokenu nejsou přiřazena žádná zařízení.
  • K výchozímu profilu nejsou přiřazená žádná zařízení.
  • Pod tímto tokenem nejsou žádné registrační profily.

Odstranění tokenu registračního profilu:

  1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.
  2. Vyberte kartu Apple .
  3. Volba tokenů programu registrace
  4. Vyberte token a pak vyberte Zařízení.
  5. Odstraňte všechna zařízení přiřazená k tokenu.
  6. Vraťte se k tokenům programu registrace. Vyberte token a pak vyberte Profily.
  7. Pokud existuje výchozí profil nebo jakýkoli jiný registrační profil, musí se všechny odstranit.
  8. Vraťte se k tokenům programu registrace. Vyberte token a pak vyberte Odstranit.

Další kroky

Přehled požadavků uživatelů zařízení najdete v tématu Úlohy koncových uživatelů ADE.