Параметры устройства iOS и iPadOS для использования распространенных функций iOS/iPadOS в Intune
Примечание.
Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Для получения дополнительных сведений перейдите в Каталог параметров.
Intune включает некоторые встроенные параметры, позволяющие пользователям iOS и iPadOS использовать различные функции Apple на своих устройствах. Например, вы можете управлять принтерами AirPrint, добавлять приложения и папки на страницы док-станции и начального экрана, отображать уведомления приложений, отображать сведения о тегах ресурсов на экране блокировки, использовать проверку подлинности единого входа и использовать проверку подлинности на основе сертификата.
Данная функция применяется к:
- iOS/iPadOS
Используйте эти функции для управления устройствами iOS/iPadOS в рамках решения для управления мобильными устройствами (MDM).
В этой статье перечислены эти параметры и описано, что делает каждый параметр. Дополнительные сведения об этих функциях см. в статье Добавление параметров функций устройства iOS/iPadOS или macOS.
Подготовка к работе
Создайте профиль конфигурации функций устройства iOS/iPadOS.
Примечание.
Эти параметры применяются к различным типам регистрации, а некоторые параметры применяются ко всем параметрам регистрации. Дополнительные сведения о различных типах регистрации см. в статье Регистрация iOS/iPadOS.
AirPrint
Параметры применяются к: Все типы регистрации
Примечание.
Не забудьте добавить все принтеры в один профиль. Apple предотвращает использование нескольких профилей AirPrint для одного устройства.
IP-адрес. Введите IPv4 или IPv6-адрес принтера. Если для идентификации принтеров используются имена узлов, ip-адрес можно получить, выполнив связь с принтером в терминале. Получение IP-адреса и пути (в этой статье) содержит дополнительные сведения.
Путь к ресурсу. Обычно
ipp/print
он предназначен для принтеров в сети. Получение IP-адреса и пути (в этой статье) содержит дополнительные сведения.Порт. Введите порт прослушивания назначения AirPrint. Если оставить это свойство пустым, AirPrint использует порт по умолчанию.
Данная функция применяется к:
- iOS 11.0+
- iPadOS 13.0+
Принудительное использование TLS. Отключение (по умолчанию) не защищает подключения AirPrint с помощью TLS. Включение защищает подключения AirPrint с помощью протокола TLS.
Данная функция применяется к:
- iOS 11.0+
- iPadOS 13.0+
Чтобы добавить серверы AirPrint, можно:
- Введите сведения о принтере, чтобы добавить назначение AirPrint в список. Можно добавить множество серверов AirPrint.
- Импортируйте файл с раздели-запятыми (.csv) с этой информацией. Или выполните экспорт , чтобы создать список добавленных серверов AirPrint.
Получение IP-адреса сервера, пути к ресурсу и порта
Чтобы добавить серверы AirPrinter, вам потребуется IP-адрес принтера, путь к ресурсу и порт. Ниже показано, как получить эти сведения.
На компьютере Mac, который подключается к той же локальной сети (подсети), что и принтеры AirPrint, откройте приложение терминала (из /Applications/Utilities).
В приложении Терминал введите
ippfind
и нажмите клавишу ВВОД.Обратите внимание на сведения о принтере. Например, он может возвращать что-то вроде
ipp://myprinter.local.:631/ipp/port1
. Первая часть — это имя принтера. Последняя часть (ipp/port1
) — это путь к ресурсу.В приложении Терминал введите
ping myprinter.local
и нажмите клавишу ВВОД.Запишите IP-адрес. Например, он может возвращать что-то вроде
PING myprinter.local (10.50.25.21)
.Используйте значения IP-адреса и пути к ресурсу. В этом примере IP-адрес —
10.50.25.21
, а путь к ресурсу —/ipp/port1
.
Макет начального экрана
Данная функция применяется к:
- iOS 9.3 или более поздней версии
- iPadOS 13.0 и более поздние версии
- Автоматическая регистрация устройств (защищенное)
Что необходимо знать
Добавьте приложение только один раз на док-станцию, страницу, папку на странице или папку в док-станции. Добавление одного и того же приложения в любых двух местах предотвращает отображение приложения на устройствах и может отображать сообщения об ошибках.
Например, если добавить приложение камеры в док-станцию и страницу, приложение камеры не отображается, а в отчетах может появиться ошибка для политики. Чтобы добавить приложение камеры в макет начального экрана, выберите только док-станцию или страницу, а не оба варианта.
При применении макета начального экрана он перезаписывает любой определяемый пользователем макет. Поэтому рекомендуется использовать макеты начального экрана на устройствах без пользователей.
На устройстве можно установить уже существующие приложения, которые не включены в конфигурацию макета начального экрана. Эти приложения отображаются в алфавитном порядке после настроенных приложений.
При использовании параметров сетки "Домашний экран" для добавления страниц или добавления страниц и приложений в закрепление значки на начальном экране и страницах блокируются. Их нельзя переместить или удалить. Это может быть вызвано iOS/iPadOS и политиками MDM Apple.
Веб-клипы iOS/iPadOS, которые необходимо открыть в управляемом браузере, не будут отображаться в порядке, указанном в политике макета начального экрана.
Начальный экран
Используйте эту функцию для добавления приложений. И посмотрите, как эти приложения выглядят на страницах, на док-станции и в папках. Здесь также отображаются значки приложений. Приложения программы volume Purchase Program (VPP), бизнес-приложения и веб-ссылки (URL-адреса веб-приложений) заполняются из добавленных клиентских приложений.
Размер сетки. Выберите подходящий размер сетки для начального экрана устройства. Приложение или папка занимают одно место в сетке. Если целевое устройство не поддерживает выбранный размер, некоторые приложения могут не соответствовать и будут отправлены в следующую доступную позицию на новой странице. Для справки:
- iPhone 5 поддерживает 4 столбца x 5 строк
- iPhone 6 и более поздних версий поддерживает 4 столбца x 6 строк
- iPad поддерживает 5 столбцов x 6 строк
+: нажмите кнопку добавить, чтобы добавить приложения.
Создание папки или добавление приложений. Добавьте приложение или папку:
Приложение. Выберите существующие приложения в списке. Этот параметр добавляет приложения на начальный экран на устройствах. Если у вас нет приложений, добавьте приложения в Intune.
Вы также можете искать приложения по имени приложения, например
authenticator
илиdrive
. Или выполните поиск по издателю приложения, напримерMicrosoft
илиApple
.Папка: добавляет папку на начальный экран. Введите имя папки и выберите существующие приложения из списка, чтобы перейти в папку. Это имя папки отображается пользователям на их устройствах.
Вы также можете искать приложения по имени приложения, например
authenticator
илиdrive
. Или выполните поиск по издателю приложения, напримерMicrosoft
илиApple
.Приложения расположены слева направо в том же порядке, как показано ниже. Приложения можно перемещать в другие позиции. В папке может быть только одна страница. В качестве обхода добавьте в папку девять (9) или более приложений. Приложения автоматически перемещаются на следующую страницу. Вы можете добавить любое сочетание приложений VPP, веб-ссылок (веб-приложений), приложений магазина, бизнес-приложений и системных приложений.
Док
Добавьте до четырех (4) элементов для iPhone и до шести (6) элементов для iPad (приложения и папки вместе взятых) на док-станцию на экране. Многие устройства поддерживают меньше элементов. Например, устройства iPhone поддерживают до четырех элементов. Таким образом, отображаются только первые четыре добавленных элемента.
+: нажмите кнопку добавить, чтобы добавить приложения или папки на док-станцию.
Создание папки или добавление приложений. Добавьте приложение или папку:
Приложение. Выберите существующие приложения в списке. Этот параметр добавляет приложения на док-станцию на экране. Если у вас нет приложений, добавьте приложения в Intune.
Вы также можете искать приложения по имени приложения, например
authenticator
илиdrive
. Или выполните поиск по издателю приложения, напримерMicrosoft
илиApple
.Папка: добавляет папку на док-станцию на экране. Введите имя папки и выберите существующие приложения из списка, чтобы перейти в папку. Это имя папки отображается пользователям на их устройствах.
Вы также можете искать приложения по имени приложения, например
authenticator
илиdrive
. Или выполните поиск по издателю приложения, напримерMicrosoft
илиApple
.Приложения расположены слева направо в том же порядке, как показано ниже. Приложения можно перемещать в другие позиции. Если добавить больше приложений, чем может поместиться на странице, приложения автоматически перемещаются на другую страницу. В папку на док-станции можно добавить до 20 страниц. Вы можете добавить любое сочетание приложений VPP, веб-ссылок (веб-приложений), приложений магазина, бизнес-приложений и системных приложений.
Пример
В следующем примере на экране док-станции отображаются приложения Safari, Почта и Акции. Выбрано приложение Акции, чтобы отобразить его свойства:
При назначении политики iPhone док-станция выглядит следующим образом:
Уведомления приложения
Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)
Добавить: добавить уведомления для приложений:
Идентификатор пакета приложений. Введите идентификатор пакета приложений для приложения, которое вы хотите добавить.
Чтобы получить идентификатор пакета приложения, выполните следующие действия:
- Некоторые примеры см. в разделе Пакеты идентификаторов для встроенных приложений iOS/iPadOS.
- Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.
Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.
Имя приложения. Введите имя приложения, которое вы хотите добавить. Это имя используется для справки в Центре администрирования Microsoft Intune. Он не отображается на устройствах. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.
Издатель. Введите издателя добавляемого приложения. Это имя используется для справки в Центре администрирования Microsoft Intune. Он не отображается на устройствах. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.
Уведомления: включение или отключение отправки приложению уведомлений на устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.
Если задано значение Включить, также настройте:
Показать в центре уведомлений. Включить позволяет приложению отображать уведомления в центре уведомлений устройства. Отключить запрещает приложению отображать уведомления в Центре уведомлений. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.
Показать на экране блокировки: включить отображаются уведомления приложений на экране блокировки устройства. Отключить запрещает приложению отображать уведомления на экране блокировки. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр.
Тип оповещения: при разблокировке устройств выберите способ отображения уведомления. Доступны следующие параметры:
- Нет: уведомление не отображается.
- Баннер: кратко отображается баннер с уведомлением. Этот параметр также может называться временным баннером.
- Модальное: отображается уведомление, и пользователи должны вручную закрыть его, прежде чем продолжать использовать устройство. Этот параметр также может называться постоянным баннером.
Значок значка приложения: Включить добавляет эмблему в значок приложения. Значок означает, что приложение отправило уведомление. При отключении значок приложения не добавляется в значок приложения. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.
Включить звуки. Включить воспроизведение звука при доставке уведомления. Отключить не воспроизводит звук при доставке уведомления. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр.
Показать предварительные версии: отображается предварительный просмотр последних уведомлений приложения. Выберите время отображения предварительного просмотра. Выбранное значение переопределяет значение, настроенное пользователем на устройстве (параметры Уведомления >> показывают предварительные версии). Доступны следующие параметры:
- Не настроено: Intune не изменяет или не обновляет этот параметр.
- При разблокировке. Предварительная версия отображается только при разблокировке устройства.
- Всегда: предварительный просмотр всегда отображается на экране блокировки.
- Никогда: предварительный просмотр никогда не отображается.
Данная функция применяется к:
- iOS/iPadOS 14.0 и более поздней версии
Сообщение на экране блокировки
Данная функция применяется к:
- iOS 9.3 и более поздняя версия
- iPadOS 13.0 и более поздние версии
Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)
"Если потеряно, вернитесь к..." Сообщение. Если устройства потеряны или украдены, введите заметку, которая может помочь вернуть устройство в случае обнаружения. Вы можете ввести любой текст. Например, можно ввести
If found, call Contoso at ...
.Вводимый текст отображается в окне входа и на экране блокировки на устройствах.
Сведения о теге ресурса. Введите сведения о теге ресурса устройства. Например, введите
Owned by Contoso Corp
илиSerial Number: {{serialnumber}}
.Маркеры устройств также можно использовать для добавления сведений, относящихся к устройству, в эти поля. Например, чтобы отобразить серийный номер, введите
Serial Number: {{serialnumber}}
илиDevice ID: {{DEVICEID}}
. На экране блокировки текст отображается примерно так:Serial Number 123456789ABC
. При вводе переменных обязательно используйте фигурные скобки{{ }}
.Поддерживаются следующие переменные сведений об устройстве. Переменные не проверяются в пользовательском интерфейсе и чувствительны к регистру. Если ввести неправильную переменную, вы увидите профили, сохраненные с неправильным вводом. Например, если ввести
{{DeviceID}}
вместо{{deviceid}}
или{{DEVICEID}}
, вместо уникального идентификатора устройства отобразится строка литерала. Обязательно введите правильные сведения. Поддерживаются все переменные в нижнем или верхнем регистре, но не сочетание.-
{{AADDeviceId}}
: идентификатор устройства Microsoft Entra -
{{AccountId}}
: идентификатор клиента Или учетной записи Intune -
{{AccountName}}
: имя клиента Или учетной записи Intune -
{{AppleId}}
: Идентификатор Apple пользователя -
{{Department}}
: отдел, назначенный во время помощника по настройке -
{{DeviceId}}
: идентификатор устройства Intune -
{{DeviceName}}
: имя устройства Intune -
{{domain}}
: доменное имя -
{{EASID}}
: Идентификатор активной синхронизации Exchange -
{{EDUUserType}}
: тип пользователя -
{{IMEI}}
: IMEI устройства -
{{mail}}
: адрес электронной почты пользователя -
{{ManagedAppleId}}
: управляемый идентификатор Apple пользователя -
{{MEID}}
: MEID устройства -
{{partialUPN}}
: префикс имени участника-пользователя перед символом @ -
{{SearchableDeviceKey}}
: идентификатор ключа NGC -
{{SerialNumber}}
: серийный номер устройства -
{{SerialNumberLast4Digits}}
: последние 4 цифры серийного номера устройства -
{{SIGNEDDEVICEID}}
: большой двоичный объект идентификатора устройства, назначенный клиенту во время регистрации на корпоративном портале. -
{{SignedDeviceIdWithUserId}}
: большой двоичный объект с идентификатором устройства, назначенный клиенту с сопоставлением пользователей во время помощника по настройке Apple -
{{UDID}}
: UDID устройства -
{{UDIDLast4Digits}}
: последние 4 цифры UDID устройства -
{{UserId}}
: идентификатор пользователя Intune -
{{UserName}}
:Имя пользователя -
{{userPrincipalName}}
: имя участника-пользователя
-
Единый вход
Параметры применяются к: Регистрация устройств, Автоматическая регистрация устройств (защищенное)
Атрибут имени пользователя Microsoft Entra. Intune ищет этот атрибут для каждого пользователя в идентификаторе Microsoft Entra. Затем Intune заполняет соответствующее поле (например, имя участника-пользователя) перед созданием XML-кода, установленного на устройствах. Доступны следующие параметры:
Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС запрашивает у пользователей имя участника Kerberos при развертывании профиля на устройствах. Для установки профилей единого входа mdm требуется имя субъекта.
Имя участника-пользователя. Имя участника-пользователя (UPN) анализируется следующим образом:
Вы также можете перезаписать область текстом, который вы вводите в текстовое поле Область .
Например, у Contoso есть несколько регионов, включая Европу, Азию и Северную Америку. Компания Contoso хочет, чтобы пользователи в Азии использовали единый вход, а приложению требуется имя участника-пользователя в
username@asia.contoso.com
формате . При выборе имени участника-пользователя область для каждого пользователя берется из идентификатора Microsoft Entra, то естьcontoso.com
. Поэтому для пользователей в Азии выберите Имя участника-пользователя и введитеasia.contoso.com
. Имя участника-пользователя становитсяusername@asia.contoso.com
, а неusername@contoso.com
.Идентификатор устройства Intune. Intune автоматически выбирает идентификатор устройства Intune. По умолчанию:
- Приложения должны использовать только идентификатор устройства. Но если приложение использует область и идентификатор устройства, вы можете ввести область в текстовом поле Область .
- Если используется идентификатор устройства, оставьте область пустой.
Идентификатор устройства Azure AD: идентификатор устройства Microsoft Entra
Имя учетной записи SAM. Intune заполняет имя учетной записи локального диспетчера учетных записей безопасности (SAM).
Область. Введите доменную часть URL-адреса. Например, введите
contoso.com
.URL-адреса. Добавьте все URL-адреса в организации, для которых требуется проверка подлинности пользователя с единым входом.
Например, когда пользователь подключается к любому из этих сайтов, устройство iOS/iPadOS использует учетные данные единого входа. Пользователям больше не нужно вводить учетные данные. Если включена многофакторная проверка подлинности (MFA), пользователи должны ввести вторую проверку подлинности.
Кроме того:
Эти URL-адреса должны иметь правильный формат FQDN. Apple требует, чтобы URL-адреса были в
http://<yourURL.domain>
формате .Шаблоны сопоставления URL-адресов должны начинаться с или
http://
https://
. Выполняется простое сопоставление строк, поэтомуhttp://www.contoso.com/
префикс URL-адреса не соответствуетhttp://www.contoso.com:80/
. В iOS 10.0+ и iPadOS 13.0+ можно использовать один подстановочный знак * для ввода всех соответствующих значений. Например,http://*.contoso.com/
соответствует иhttp://store.contoso.com/
http://www.contoso.com
.http://.com
Шаблоны иhttps://.com
соответствуют всем URL-адресам HTTP и HTTPS соответственно.
Приложения. Добавьте приложения на устройства пользователей, которые могут использовать единый вход.
Массив
AppIdentifierMatches
должен содержать строки, соответствующие идентификаторам пакетов приложений. Эти строки могут быть точными совпадениями, напримерcom.contoso.myapp
, или ввести совпадение префикса в идентификаторе пакета с помощью*
подстановочного знака. Подстановочный знак должен отображаться после символа точки (.) и может отображаться только один раз в конце строки, напримерcom.contoso.*
. При добавлении подстановочного знака любому приложению, идентификатор пакета которого начинается с префикса, предоставляется доступ к учетной записи.Используйте имя приложения , чтобы ввести понятное имя, которое поможет вам определить идентификатор пакета.
Сертификат продления учетных данных. Если для проверки подлинности используются сертификаты (а не пароли), выберите существующий сертификат SCEP или PFX в качестве сертификата проверки подлинности. Как правило, этот сертификат является тем же сертификатом, который развертывается для пользователей для других профилей, таких как VPN, Wi-Fi или электронная почта.
Фильтр веб-содержимого
Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)
Эти параметры используют параметры фильтра веб-содержимого Apple. Дополнительные сведения об этих параметрах см . на сайте Apple Platform Deployment (откроется веб-сайт Apple).
Тип фильтра. Выберите, чтобы разрешить определенные веб-сайты. Доступны следующие параметры:
Не настроено: Intune не изменяет или не обновляет этот параметр.
Настройка URL-адресов. Используйте встроенный веб-фильтр Apple, который ищет термины для взрослых, включая ненормативную лексику и откровенный сексуальный язык. Эта функция оценивает каждую веб-страницу по мере загрузки, а также определяет и блокирует неподходящее содержимое. Вы также можете добавить URL-адреса, которые не нужно проверять фильтром. Или заблокируйте определенные URL-адреса, независимо от параметров фильтра Apple.
Разрешенные URL-адреса. Добавьте URL-адреса, которые вы хотите разрешить. Эти URL-адреса обходят веб-фильтр Apple.
Вводимые URL-адреса — это URL-адреса, которые вы не хотите оценивать с помощью веб-фильтра Apple. Эти URL-адреса не являются списком разрешенных веб-сайтов. Чтобы создать список разрешенных веб-сайтов, задайте для параметра Тип фильтразначение Только определенные веб-сайты.
Заблокированные URL-адреса. Добавьте URL-адреса, которые нужно запретить открывать, независимо от параметров веб-фильтра Apple.
Только для определенных веб-сайтов (только для браузера Safari). Эти URL-адреса добавляются в закладки браузера Safari. Пользователям разрешено посещать только эти сайты; другие сайты не могут быть открыты. Используйте этот параметр, только если вы знаете точный список URL-адресов, к которым пользователи могут получить доступ.
-
URL-адрес: введите URL-адрес веб-сайта, который вы хотите разрешить. Например, введите
https://www.contoso.com
. - Путь к закладке. Apple изменила этот параметр. Все закладки переходят в папку Разрешенные сайты . Закладки не переходят в путь закладки, который вы вводите.
- Заголовок: введите описательное название для закладки.
Если вы не вводите URL-адреса, пользователи не смогут получить доступ к веб-сайтам, кроме
microsoft.com
,microsoft.net
иapple.com
. Intune автоматически разрешает эти URL-адреса.-
URL-адрес: введите URL-адрес веб-сайта, который вы хотите разрешить. Например, введите
Расширение для приложения единого входа
Данная функция применяется к:
- iOS 13.0 и более поздних версий
- iPadOS 13.0 и более поздних версий
Параметры применяются к: Все типы регистрации
Тип расширения приложения единого входа. Выберите тип расширения приложения единого входа. Доступны следующие параметры:
Не настроено: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС не использует расширения приложений. Чтобы отключить расширение приложения, можно переключить тип расширения приложения единого входа в значение Не настроено.
Microsoft Entra ID. Использует подключаемый модуль единого входа Microsoft Entra ID Enterprise, который является расширением приложения единого входа типа перенаправления. Этот подключаемый модуль предоставляет единый вход для локальных учетных записей Active Directory во всех приложениях, поддерживающих функцию единого входа Apple Enterprise . Используйте этот тип расширения приложения единого входа, чтобы включить единый вход в приложениях Майкрософт, приложениях организации и веб-сайтах, которые проходят проверку подлинности с помощью идентификатора Microsoft Entra.
Подключаемый модуль единого входа выступает в качестве расширенного брокера проверки подлинности, который предлагает улучшения безопасности и взаимодействия с пользователем. Все приложения, использующие приложение Microsoft Authenticator для проверки подлинности, по-прежнему получают единый вход с подключаемым модулем единого входа Microsoft Enterprise для устройств Apple.
Важно!
Чтобы обеспечить единый вход с помощью типа расширения приложения единого входа Microsoft Entra, сначала установите приложение Microsoft Authenticator для iOS/iPadOS на устройствах. Приложение Authenticator предоставляет подключаемый модуль единого входа Microsoft Enterprise на устройства, а параметры расширения приложения MDM SSO активируют подключаемый модуль. После установки Authenticator и профиля расширения приложения единого входа на устройствах пользователи должны ввести свои учетные данные для входа и установить сеанс на своих устройствах. Затем этот сеанс используется в разных приложениях без необходимости повторной проверки подлинности пользователей. Дополнительные сведения о Authenticator см. в статье Что такое приложение Microsoft Authenticator.
Дополнительные сведения см. в статье Использование подключаемого модуля единого входа Microsoft Enterprise на устройствах iOS/iPadOS.
Перенаправление. Используйте универсальное настраиваемое расширение приложения перенаправления для использования единого входа с современными потоками проверки подлинности. Убедитесь, что вы знаете идентификатор расширения для расширения приложения вашей организации.
Учетные данные. Используйте универсальное настраиваемое расширение приложения учетных данных для использования единого входа с потоками проверки подлинности на основе запроса и ответа. Убедитесь, что вы знаете идентификатор расширения для расширения приложения вашей организации.
Kerberos. Используйте встроенное расширение Kerberos от Apple, которое входит в состав iOS 13.0+ и iPadOS 13.0+. Этот параметр является версией расширения приложения Credential для Kerberos.
Совет
С помощью типов Перенаправление и Учетные данные можно добавить собственные значения конфигурации для передачи через расширение. Если вы используете учетные данные, рассмотрите возможность использования встроенных параметров конфигурации, предоставляемых Apple в типе Kerberos .
После успешного входа пользователей в приложение Authenticator им не будет предложено войти в другие приложения, использующие расширение единого входа. При первом открытии управляемых приложений, которые не используют расширение единого входа, пользователям будет предложено выбрать учетную запись, в которую выполнен вход.
Включить режим общего устройства (только идентификатор Microsoft Entra). Выберите Да , если вы развертываете подключаемый модуль единого входа Microsoft Enterprise на устройствах iOS/iPadOS, настроенных для режима общего устройства Microsoft Entra. Устройства в режиме общего доступа позволяют многим пользователям глобально входить в приложения, поддерживающие режим общего устройства, и выходить из него. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию устройства iOS/iPadOS не предназначены для совместного использования несколькими пользователями.
Дополнительные сведения о режиме общего устройства и его включении см. в статье Общие сведения о режиме общего устройства и режиме общего устройства для устройств iOS.
Данная функция применяется к:
- iOS/iPadOS 13.5 и более поздней версии
Идентификатор расширения (перенаправление и учетные данные). Введите идентификатор пакета, который идентифицирует расширение приложения единого входа, например
com.apple.extensiblesso
.Идентификатор команды (перенаправление и учетные данные). Введите идентификатор команды расширения приложения единого входа. Идентификатор команды — это 10-значная буквенно-цифровая строка (цифры и буквы), созданная Apple, например
ABCDE12345
. Идентификатор команды не требуется.Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).
Область (учетные данные и Kerberos). Введите имя области проверки подлинности. Имя области должно быть прописным, например
CONTOSO.COM
. Как правило, имя области совпадает с доменным именем DNS, но в верхнем регистре.Домены (учетные данные и Kerberos). Введите имена доменов или узлов сайтов, которые могут пройти проверку подлинности с помощью единого входа. Например, если веб-сайт имеет значение
mysite.contoso.com
, тоmysite
— имя узла, а.contoso.com
— доменное имя. Когда пользователи подключаются к любому из этих сайтов, расширение приложения обрабатывает запрос проверки подлинности. Эта проверка подлинности позволяет пользователям использовать Face ID, Touch ID или пин-код Или секретный код Apple для входа.- Все домены в профилях расширения приложения Intune для единого входа должны быть уникальными. Вы не можете повторить домен в любом профиле расширения приложения для входа, даже если вы используете разные типы расширений приложений единого входа.
- В этих доменах регистр не учитывается.
- Домен должен начинаться с точки (
.
).
URL-адреса (только перенаправление). Введите префиксы URL-адресов поставщиков удостоверений, от имени которых расширение приложения перенаправления использует единый вход. Когда пользователи перенаправляются на эти URL-адреса, расширение приложения единого входа вмешивается и запрашивает единый вход.
- Все URL-адреса в профилях расширений приложений для единого входа Intune должны быть уникальными. Вы не можете повторить домен в любом профиле расширения приложения единого входа, даже если вы используете разные типы расширений приложений единого входа.
- URL-адреса должны начинаться с
http://
илиhttps://
.
Дополнительная конфигурация (Идентификатор Microsoft Entra, Перенаправление и Учетные данные). Введите дополнительные данные для расширения для передачи в расширение приложения единого входа:
Ключ. Введите имя элемента, который вы хотите добавить, например
user name
илиAppAllowList
.Тип: введите тип данных. Доступны следующие параметры:
- String
- Boolean: в поле Значение конфигурации введите
True
илиFalse
. - Целое число: в поле Значение конфигурации введите число.
Значение: введите данные.
Добавить. Выберите, чтобы добавить ключи конфигурации.
Блокировать использование цепочки ключей (только kerberos). Значение Да предотвращает сохранение паролей и их сохранение в цепочке ключей. Если блокировка заблокирована, пользователям не будет предложено сохранить пароль, и по истечении срока действия билета Kerberos потребуется повторно ввести пароль. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить сохранение паролей и их хранение в цепочке ключей. Пользователям не будет предложено повторно ввести пароль по истечении срока действия билета.
Требовать идентификатор лица, Touch ID или секретный код (только kerberos). Да заставляет пользователей вводить идентификатор лица, Touch ID или секретный код устройства, когда учетные данные необходимы для обновления билета Kerberos. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не требовать от пользователей использовать биометрические данные или секретный код устройства для обновления билета Kerberos. Если использование цепочки ключей заблокировано, этот параметр не применяется.
Задать в качестве области по умолчанию (только Kerberos). Да задает значение Realm , введенное в качестве области по умолчанию. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не задать область по умолчанию.
- Если вы настраиваете несколько расширений единого входа Kerberos в своей организации, нажмите кнопку Да.
- Если вы используете несколько областей, выберите Да. Он задает значение Realm, введенное в качестве области по умолчанию.
- Если у вас есть только одна область, выберите Не настроено (по умолчанию).
Блокировать автообнаружения (только Kerberos). Значение Да запрещает расширению Kerberos автоматически использовать LDAP и DNS для определения имени своего сайта Active Directory. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.
Разрешить только управляемые приложения (только Kerberos). Если задано значение Да, расширение Kerberos разрешает доступ к учетным данным только управляемым приложениям и любым приложениям, введенным с идентификатором пакета приложений. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить неуправляемые приложения получать доступ к учетным данным.
Данная функция применяется к:
- iOS/iPadOS 14 и более поздней версии
Имя участника (только Kerberos). Введите имя пользователя участника Kerberos. Вам не нужно включать имя области. Например, в —
user@contoso.com
user
это имя субъекта, аcontoso.com
— имя области.- Переменные также можно использовать в имени участника, введя фигурные скобки
{{ }}
. Например, чтобы отобразить имя пользователя, введитеUsername: {{username}}
. - Будьте осторожны с подстановкой переменных. Переменные не проверяются в пользовательском интерфейсе, и в них учитывается регистр. Обязательно введите правильные сведения.
- Переменные также можно использовать в имени участника, введя фигурные скобки
Код сайта Active Directory (только Kerberos): введите имя сайта Active Directory, который должно использовать расширение Kerberos. Возможно, вам не потребуется изменять это значение, так как расширение Kerberos может автоматически найти код сайта Active Directory.
Имя кэша (только Kerberos). Введите имя универсальных служб безопасности (GSS) кэша Kerberos. Скорее всего, вам не нужно задавать это значение.
Текст окна входа (только kerberos). Введите текст, отображаемый пользователям в окне входа в Kerberos.
Данная функция применяется к:
- iOS/iPadOS 14 и более поздней версии
Идентификаторы пакетов приложений (Microsoft Entra ID, Kerberos). Введите идентификаторы пакетов для всех других приложений, которые должны получить единый вход через расширение на ваших устройствах. Чтобы получить идентификатор пакета приложения, добавленного в Intune, можно использовать Центр администрирования Intune.
Если вы используете тип расширения приложения Microsoft Entra ID SSO, выполните следующие действия:
Эти приложения используют подключаемый модуль единого входа Microsoft Enterprise для проверки подлинности пользователя без необходимости входа.
Идентификаторы пакета приложений, которые вы вводите, имеют разрешение на использование расширения приложения единого входа Microsoft Entra, если они не используют никакие библиотеки Майкрософт, такие как библиотека проверки подлинности Майкрософт (MSAL).
Взаимодействие с этими приложениями может быть не таким простым по сравнению с библиотеками Майкрософт. Старые приложения, использующие проверку подлинности MSAL, или приложения, которые не используют новейшие библиотеки Майкрософт, должны быть добавлены в этот список для правильной работы с расширением приложения единого входа Microsoft Azure.
Если вы используете тип расширения приложения Единого входа Kerberos , то следующие приложения:
- Иметь доступ к билету на предоставление билета Kerberos
- Иметь доступ к билету проверки подлинности
- Проверка подлинности пользователей в службах, к доступу к которые они имеют право
Сопоставление области домена (только kerberos). Введите DNS-суффиксы домена, которые должны сопоставляться с вашей областью. Используйте этот параметр, если DNS-имена узлов не соответствуют имени области. Скорее всего, вам не нужно создавать это сопоставление между доменами и областями.
Сертификат PKINIT (только kerberos). Выберите сертификат шифрования с открытым ключом для начальной проверки подлинности (PKINIT), который можно использовать для проверки подлинности Kerberos. Вы можете выбрать один из сертификатов PKCS или SCEP , добавленных в Intune.
Дополнительные сведения о сертификатах см. в статье Использование сертификатов для проверки подлинности в Microsoft Intune.
Фоновый рисунок
Вы можете столкнуться с непредвиденным поведением, когда профиль без изображения назначается устройствам с существующим образом. Например, вы создаете профиль без изображения. Этот профиль назначается устройствам, у которых уже есть образ. В этом сценарии образ может измениться на значение по умолчанию устройства, или исходный образ может остаться на устройстве. Это поведение контролируется и ограничивается платформой MDM Apple.
Параметры, применяемые к: Автоматическая регистрация устройств (защищенное)
-
Расположение отображения обоев. Выберите расположение на устройствах, где отображается изображение. Доступны следующие параметры:
- Не настроено: Intune не изменяет или не обновляет этот параметр. Пользовательское изображение не добавляется на устройства. По умолчанию ОС может задать собственный образ.
- Экран блокировки: добавляет изображение на экран блокировки.
- Начальный экран: добавляет изображение на начальный экран.
- Экран блокировки и начальный экран. Использует одно и то же изображение на экране блокировки и начальном экране.
- Изображение обои. Загрузите существующее .png, .jpg или .jpeg изображение, которое вы хотите использовать. Убедитесь, что размер файла меньше 750 КБ. Вы также можете удалить добавленное изображение.
Совет
- При настройке политики обоев корпорация Майкрософт рекомендует включить параметр Блокировать изменение обоев . Этот параметр запрещает пользователям изменять обои.
- Чтобы отобразить различные изображения на экране блокировки и на начальном экране, создайте профиль с изображением экрана блокировки. Создайте другой профиль с изображением начального экрана. Назначьте оба профиля группам пользователей или устройств iOS/iPadOS.
Связанные статьи
Создание профилей конфигурации компонентов устройств для устройств macOS .