Hitelesítési módszerek az intune-beli automatikus eszközregisztrációhoz

  • Cikk

Az iOS/iPadOS rendszerre vonatkozik

Ez a cikk az Intune-ban automatizált eszközregisztráción keresztül regisztrált iOS/iPadOS-eszközökhöz elérhető hitelesítési módszereket ismerteti. Az elérhető hitelesítési módszerek a következők:

  • Intune Céges portál alkalmazás
  • Beállítási asszisztens modern hitelesítéssel
  • Igény szerinti (JIT) regisztráció a beállítási asszisztenshez modern hitelesítéssel
  • Beállítási asszisztens (örökölt)

Minden módszer elérhető a felhasználói affinitással rendelkező vállalati tulajdonú eszközökhöz, és az Apple Business Manager vagy az Apple School Manager használatával vásárolható meg.

1. lehetőség: alkalmazás Intune Céges portál

A Intune Céges portál alkalmazást használhatja hitelesítési módszerként, ha a következőkre van szüksége:

  • Használjon többtényezős hitelesítést (MFA).
  • Kérje meg a felhasználókat, hogy az első bejelentkezéskor változtassák meg a jelszavukat.
  • Kérje meg a felhasználókat, hogy a regisztráció során állítsa alaphelyzetbe a lejárt jelszavukat.
  • Regisztrálja az eszközöket Microsoft Entra ID, és használja a Microsoft Entra ID elérhető funkcióit, például a feltételes hozzáférést.
  • A Céges portál alkalmazás automatikus telepítése a regisztráció során. Ha a vállalata a Mennyiségi vásárlási programot (VPP) használja, automatikusan telepítheti Céges portál alkalmazást a regisztráció során felhasználói Apple-azonosítók nélkül.
  • Zárolni szeretné az eszközt, amíg az Céges portál alkalmazás nem telepul.

Figyelem!

Az Intune letilt egy olyan regisztrációt, amely ezt a hitelesítési módszert használja, ha az eszköz felhasználója egy fiókalapú Apple-felhasználóregisztrációs profiltípussal van megcélzva. Ez a jelenség várható. A felhasználó hibaüzenetet kap, amely szerint a fiókja nem támogatja a Céges portál alkalmazáson keresztüli regisztrációt, és hogy a Céges portál webhelyen keresztül kell regisztrálnia. Az automatikus eszközregisztrációval történő sikeres regisztráció biztosításához használja a 2. lehetőséget: Beállítási asszisztens modern hitelesítéssel hitelesítési módszerként a fiókalapú Apple felhasználói regisztrációs profiltípusokkal végzett munka során.

2. lehetőség: Beállítási asszisztens modern hitelesítéssel

Ez a beállítás ugyanazt a biztonságot nyújtja, mint Intune Céges portál hitelesítés, de más, mert lehetővé teszi, hogy az eszköz felhasználói hozzáférjenek az eszköz egyes részeihez, még akkor is, ha a Céges portál nincs telepítve. Ezt a lehetőséget akkor használja hitelesítéshez, ha:

  • Törölje az eszközt.
  • Használjon többtényezős hitelesítést (MFA).
  • Kérje meg a felhasználókat, hogy az első bejelentkezéskor változtassák meg a jelszavukat.
  • Kérje meg a felhasználókat, hogy a regisztráció során állítsa alaphelyzetbe a lejárt jelszavukat.
  • Regisztrálja az eszközöket Microsoft Entra ID, és használja a Microsoft Entra ID elérhető funkcióit, például a feltételes hozzáférést.
  • A Céges portál alkalmazás automatikus telepítése a regisztráció során. Ha a vállalata a Mennyiségi vásárlási programot (VPP) használja, automatikusan telepítheti Céges portál alkalmazást a regisztráció során felhasználói Apple-azonosítók nélkül.
  • A felhasználók akkor is használhatják az eszközt, ha az Céges portál alkalmazás nincs telepítve.

A modern hitelesítéssel rendelkező Beállítási asszisztens iOS/iPadOS 13.0-s és újabb rendszerű eszközökön támogatott. Az ilyen profilhoz hozzárendelt régebbi iOS-/iPadOS-eszközök a Beállítási asszisztens (örökölt) hitelesítésére fognak visszaállni.

Céges portál alkalmazás automatikus telepítése

Ha a vállalata a Mennyiségi vásárlási programot (VPP) használja, automatikusan telepítheti a Céges portál alkalmazást a regisztráció során felhasználói Apple-azonosítók nélkül. Ha engedélyezni szeretné az automatikus telepítést a regisztrációs profilban, válassza az Igen lehetőséget a Céges portál telepítése VPP-vel beállításnál. Javasoljuk, hogy ezt a lehetőséget használja.

Ha nem használja a VPP-beállítást, az eszköz felhasználójának meg kell adnia az Apple ID azonosítóját a Beállítási asszisztens során, vagy amikor az Intune megpróbálja telepíteni Céges portál.

Mindkét esetben a Céges portál telepítési lehetőség rejtve van az eszköz felhasználója elől, és a Céges portál kötelező alkalmazássá válik az eszközén. Amikor a felhasználó eléri a kezdőképernyőt, az Intune automatikusan alkalmazza a megfelelő alkalmazáskonfigurációs szabályzatot az eszközre.

Figyelem!

Ne küldjön külön alkalmazáskonfigurációs szabályzatot az iOS/iPadOS-eszközök Céges portál, miután regisztrált a Beállítási asszisztenssel modern hitelesítéssel. Ha így tesz, az hibát fog eredményezni.

Többtényezős hitelesítés

Többtényezős hitelesítésre (MFA) lesz szükség, ha egy feltételes hozzáférési szabályzatot kell alkalmazni a regisztráció során vagy Céges portál bejelentkezéskor. Az MFA azonban nem kötelező, a célzott feltételes hozzáférési szabályzat Microsoft Entra beállításai alapján.

Az MFA nem működik a modern hitelesítéssel rendelkező Beállítási asszisztenshez, ha külső MFA-szolgáltatót használ az MFA képernyő bemutatásához a regisztráció során. A regisztráció során csak a Microsoft Entra többtényezős hitelesítés képernyő működik.

Céges portál művelet szükséges

Miután áttekintették a Beállítási asszisztens képernyőit, az eszköz felhasználója a kezdőlapra kerül. Ekkor létrejön a felhasználói affinitásuk. Amíg azonban a felhasználó be nem jelentkezik a Céges portál a Microsoft Entra hitelesítő adataival, és a Begin (Kezdés) lehetőséget nem választja, az eszköz:

  • Nem lesz teljes mértékben regisztrálva a Microsoft Entra ID.
  • Nem jelenik meg a felhasználó eszközlistájában a Microsoft Entra ID.
  • Nem fér hozzá a feltételes hozzáféréssel védett erőforrásokhoz.
  • A rendszer nem értékeli ki az eszköz megfelelőségét.
  • A rendszer a többi alkalmazásból átirányítja a céges portálra, ha a felhasználó a feltételes hozzáféréssel védett felügyelt alkalmazásokat próbálja megnyitni.

3. lehetőség: Igény szerint történő regisztráció a beállítási asszisztenshez modern hitelesítéssel

Ez a beállítás megegyezik a modern hitelesítéssel rendelkező Beállítási asszisztenssel, azzal a különbséggel, hogy Céges portál nincs szükség Microsoft Entra regisztrációhoz vagy megfelelőséghez. Ehelyett Microsoft Entra regisztrációs és megfelelőségi ellenőrzések teljes mértékben integrálva vannak egy kijelölt Microsoft- vagy nem Microsoft-alkalmazásba, amely az Apple egyszeri bejelentkezési (SSO) alkalmazásbővítménnyel van konfigurálva. A bővítmény csökkenti a hitelesítési kéréseket, és SSO-t hoz létre a teljes eszközön. A JIT-regisztráció kétszer kéri a felhasználókat a hitelesítésre:

  • Egy hitelesítés kezeli a regisztrációt és a felhasználó-eszköz affinitást, és akkor fordul elő, ha az eszköz felhasználója bekapcsolja az eszközt, és bejelentkezik a Beállítási asszisztensbe.
  • Egy másik hitelesítés kezeli Microsoft Entra regisztrációt, és akkor történik, amikor a felhasználó bejelentkezik a kijelölt alkalmazásba. A megfelelőségi ellenőrzések ebben az alkalmazásban is elvégezhetők.

Megjegyzés:

Ha a szervezete Végponthoz készült Microsoft Defender használ, a JIT-regisztráció és a megfelelőség szervizelése a várt módon működik, győződjön meg arról, hogy nem az Végponthoz készült Microsoft Defender alkalmazás nyílik meg elsőként.

Miután az eszköz felhasználója elérte a kezdőképernyőt, bejelentkezhet bármely olyan munkahelyi vagy iskolai alkalmazásba, amely az SSO-bővítménnyel van konfigurálva Microsoft Entra regisztráció és megfelelőségi ellenőrzések elvégzéséhez. Az egyszeri bejelentkezés minden olyan alkalmazásba aláírja a felhasználót, amely az SSO-bővítményszabályzat része. Ezen a ponton manuálisan is bejelentkezhetnek bármely olyan alkalmazásba, amely nincs konfigurálva az SSO-bővítmény használatára.

JIT-regisztráció beállítása automatizált eszközregisztrációval:

  1. Hozzon létre egy eszközkonfigurációs szabályzatot, és konfigurálja a beállításokat az Egyszeri bejelentkezés alkalmazásbővítmény kategóriában. A lépésekért lásd: Az igény szerint történő regisztráció beállítása.

  2. Hozzon létre egy Apple regisztrációs profilt , és hitelesítési módszerként válassza a Beállítási asszisztens modern hitelesítéssel lehetőséget. A lépés végrehajtásához jelen kell lennie az Intune-ban az Apple Business Manager vagy az Apple School Manager aktív automatikus eszközregisztrációs tokenjének.

  3. Amikor a regisztrációs profil Hozzárendelések lapjára ér, rendelje hozzá a profilt az Apple Business Managerből és az Apple School Managerből szinkronizált eszközökhöz. A profil hozzárendelése után az alkalmazottak és a diákok elvégezhetik a telepítést és a hitelesítést az eszközeiken.

    Megjegyzés:

    A Céges portál továbbra is kötelező alkalmazásként lesz elküldve az eszközökre, annak ellenére, hogy nem szükséges Microsoft Entra regisztrációhoz vagy megfelelőséghez. Az eszközfelhasználók az Céges portál alkalmazással gyűjthetnek és tölthetnek fel naplókat, ha problémákat tapasztalnak az alkalmazásban.

Példa a sikeres hitelesítésre

Az alábbi eseménysorozat egy példát mutat be arra, hogyan néz ki egy sikeres hitelesítés a JIT-regisztrációval a beállítási asszisztenshez modern hitelesítéssel. A szervezet felhasználói élménye az automatizált eszközregisztrációs konfigurációktól függően eltérő lehet.

  1. Az eszköz felhasználója bekapcsolja az eszközt.

  2. Elindul a Beállítási asszisztens. Az eszköz felhasználója a beállítási asszisztensben Microsoft Entra hitelesítő adataival hitelesíti magát.

  3. Az eszközfelhasználó többtényezős hitelesítést hajt végre, ha erre a feltételes hozzáférési szabályzatban szükség van.

  4. Az eszköz befejezi a regisztrációt az Intune-ban, és létrejön a felhasználó-eszköz kapcsolat.

  5. Az eszköz felhasználója megjelenik a kezdőképernyőn, megnyitja a Microsoft Teamst vagy egy másik Office-appot, és bejelentkezik a munkahelyi fiókjával. Ha az eszköz megfelel az összes megfelelőségi követelménynek, az eszköz felhasználója azonnal hozzáférhet az üzeneteihez és a naptárához.

    Megjegyzés:

    A Microsoft Entra regisztráció során előfordulhat, hogy az eszköz felhasználója egy rövid léptetőt lát, miközben az Intune befejezi a megfelelőségi ellenőrzéseket. Ez a vártnak megfelelő működés.

  6. Az SSO-bővítmény egyszeri bejelentkezést hoz létre az összes többi megcélzott alkalmazásban és az összes Microsoft-alkalmazásban.

  7. Az eszköz regisztrálva van Microsoft Entra ID és megfelelő. Az eszköz állapotát a Felügyeleti központban és a Microsoft Entra ID tekintheti meg. Az eszközfelhasználó megtekintheti a Intune Céges portál állapotát, és használhatja a Céges portál a megfelelőséghez, az alkalmazásleltárhoz, az eszközszinkronizáláshoz és a naplómegosztáshoz.

  8. Az eszköz felhasználója megnyitja a Teamst, és automatikusan bejelentkezik.

4. lehetőség: Beállítási asszisztens (örökölt)

Használja a régi Beállítási asszisztenst, ha azt szeretné, hogy a felhasználók az Apple-termékek jellemző, használatra szánt felületét használják. Ez a beállítás a szabványos előre konfigurált beállításokat telepíti, amikor az eszköz regisztrál az Intune-ban. Ezt a beállítást a következő esetekben használhatja hitelesítéshez:

  • Törölni szeretne egy eszközt.
  • Nem szeretne modern hitelesítési funkciókat, például többtényezős hitelesítést.
  • Nem szeretne eszközöket regisztrálni a Microsoft Entra ID. A Beállítási asszisztens (örökölt) az Apple .p7m tokennel hitelesíti a felhasználót.

Ha Active Directory összevonási szolgáltatásokat használ, és a beállítási asszisztenssel hitelesít, WS-Trust 1.3 Username/Mixed végpontra van szükség. További információ: Get-AdfsEndpoint a Windows PowerShell referencia-útmutatójában.

Következő lépések

Most, hogy már tudja, melyik hitelesítési módszert használja, hozzon létre egy Apple regisztrációs profilt , és válassza ki a hitelesítési módszert, amikor a rendszer kéri. A lépés végrehajtásához jelen kell lennie az Intune-ban az Apple Business Manager vagy az Apple School Manager aktív automatikus eszközregisztrációs tokenjének.