Accountgestuurde Apple-gebruikersinschrijving instellen
Accountgestuurde Apple-gebruikersinschrijving instellen voor persoonlijke apparaten die worden ingeschreven in Microsoft Intune. Accountgestuurde gebruikersinschrijving biedt een snellere en gebruiksvriendelijkere inschrijvingservaring dan gebruikersinschrijving met Bedrijfsportal. De gebruiker van het apparaat start de inschrijving door zich aan te melden bij het werkaccount in de app Instellingen. Nadat de gebruiker apparaatbeheer heeft goedgekeurd, wordt het inschrijvingsprofiel op de achtergrond geïnstalleerd en worden Intune-beleid toegepast. Intune maakt gebruik van Just-In-Time-registratie en de Microsoft Authenticator-app voor verificatie om het aantal keren dat gebruikers zich moeten aanmelden tijdens de inschrijving en bij het openen van werk-apps te verminderen.
In dit artikel wordt beschreven hoe u accountgestuurde Apple-gebruikersinschrijving instelt in Microsoft Intune. U doet het volgende:
- JIT-registratie instellen.
- Maak een inschrijvingsprofiel.
- Bereid werknemers en studenten voor op inschrijving.
Vereisten
Microsoft Intune ondersteunt accountgestuurde Apple-gebruikersinschrijving op apparaten met iOS/iPadOS versie 15 of hoger. Als u een accountgestuurd gebruikersinschrijvingsprofiel toewijst aan apparaatgebruikers met iOS/iPadOS 14.9 of eerder, worden Microsoft Intune automatisch ingeschreven via gebruikersinschrijving met Bedrijfsportal.
Voer de volgende taken uit voordat u begint met de installatie:
- MDM-instantie (Mobile Device Management) instellen
- Apple MDM-pushcertificaat ophalen
- Beheerde Apple-id's maken voor apparaatgebruikers (hiermee opent u de apple-ondersteuningswebsite)
U moet ook servicedetectie instellen zodat Apple de Intune-service kan bereiken en inschrijvingsgegevens kan ophalen. Hiervoor moet u een bekend HTTP-resourcebestand instellen en publiceren op hetzelfde domein als waarbij werknemers zich aanmelden. Apple haalt het bestand op via een HTTP GET-aanvraag naar “https://contoso.com/.well-known/com.apple.remotemanagement”
, met het domein van uw organisatie in plaats van contoso.com
. Publiceer het bestand in een domein dat HTTP GET-aanvragen kan verwerken.
Maak het bestand in JSON-indeling, waarbij het inhoudstype is ingesteld op application/json
. We hebben de volgende JSON-voorbeelden verstrekt die u kunt kopiëren en in uw bestand kunt plakken. Gebruik de functie die overeenkomt met uw omgeving. Vervang de variabele YourAADTenantID in de basis-URL door de Microsoft Entra tenant-id van uw organisatie.
Microsoft Intune omgevingen:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune voor omgevingen van de Amerikaanse overheid:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune beheerd door 21 Vianet in China-omgevingen:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
De rest van het JSON-voorbeeld wordt gevuld met alle informatie die u nodig hebt, waaronder:
- Versie: De serverversie is
mdm-byod
. - BaseURL: Deze URL is de locatie waar de Intune-service zich bevindt.
Aanbevolen procedures
We raden extra configuraties aan om de inschrijvingservaring voor apparaatgebruikers te verbeteren. In deze sectie vindt u meer informatie over elke aanbeveling.
Bedrijfsportal web-app implementeren
Implementeer de web-app-versie van de Intune-bedrijfsportal-website, zodat gebruikers snel toegang hebben tot apparaatstatus, apparaatacties en nalevingsinformatie. De web-app wordt weergegeven op het startscherm en fungeert als een koppeling naar de Bedrijfsportal-website. Zonder de web-app hebben gebruikers nog steeds toegang tot de Bedrijfsportal website, maar moeten ze de browser openen en het adres in het zoekveld typen. Zie Web-apps toevoegen aan Microsoft Intune voor meer informatie over het toevoegen van een web-app.
Federatieve verificatie inschakelen
Apple-gebruikersinschrijving vereist dat u beheerde Apple-id's maakt en opgeeft om gebruikers in te schrijven. Als u federatieve verificatie inschakelt, die bestaat uit het koppelen van Apple Business Manager aan Microsoft Entra ID, hoeft u geen unieke Apple-id's aan elke gebruiker te maken en op te geven. In plaats daarvan kan een apparaatgebruiker zich aanmelden bij zijn of haar apps met dezelfde referenties die ze gebruiken voor hun werkaccount. Zie Inleiding tot federatieve verificatie met Apple Business Manager in de Gebruikershandleiding voor Apple Business Manager voor meer informatie.
Stap 1: Just-In-Time-registratie instellen en Microsoft Authenticator toewijzen
Just-In-Time-registratie configureren en Microsoft Authenticator toewijzen als een vereiste app. Zie JIT-registratie instellen in Intune voor stappen. Ga terug naar dit artikel wanneer u klaar bent, zodat u verder kunt gaan met de volgende stap.
Stap 2: inschrijvingsprofiel maken
Maak een inschrijvingsprofiel voor apparaten die worden ingeschreven via accountgestuurde gebruikersinschrijving. Het inschrijvingsprofiel activeert de inschrijvingservaring van de apparaatgebruiker en stelt deze in staat inschrijving te starten vanuit de app Instellingen.
- Ga in het Microsoft Intune-beheercentrum naar Inschrijving van apparaten>.
- Selecteer het tabblad Apple .
- Kies onder Inschrijvingsoptiesde optie Inschrijvingstypen.
- Selecteer Profiel maken>iOS/iPadOS.
- Voer op de pagina Basisinformatie een naam en beschrijving in voor het profiel, zodat u het kunt onderscheiden van andere profielen in het beheercentrum. Apparaatgebruikers zien deze details niet.
- Selecteer Volgende.
- Selecteer op de pagina Instellingen bij Inschrijvingstype de optie Accountgestuurde gebruikersinschrijving.
- Selecteer Volgende.
- Wijs op de pagina Toewijzingen het profiel toe aan alle gebruikers of selecteer specifieke groepen. Apparaatgroepen worden niet ondersteund in scenario's voor gebruikersinschrijving omdat gebruikersinschrijving gebruikersidentiteiten vereist.
- Selecteer Volgende.
- Controleer uw keuzes op de pagina Beoordelen en maken en selecteer vervolgens Maken om het maken van het profiel te voltooien.
Stap 3: werknemers voorbereiden op inschrijving
Als u de apparaatinschrijving op een persoonlijk apparaat wilt initiëren, moet de eigenaar van het apparaat naar de app Instellingen gaan en zich aanmelden met het werk- of schoolaccount. Als ze proberen zich aan te melden bij een app met hun werk- of schoolaccount, waarschuwt de app hen voor de inschrijvingsvereiste en vertelt ze hoe ze moeten doorgaan.
In deze sectie worden de registratiestappen voor apparaatgebruikers beschreven. We raden u aan deze informatie te gebruiken in de documentatie voor het onboarden van apparaten van uw organisatie of voor probleemoplossing en ondersteuning.
- Open de app Instellingen op uw apparaat.
- Selecteer Algemeen.
- Selecteer VPN-& Apparaatbeheer.
- Meld u aan met uw werk- of schoolaccount of met de Apple ID die u van uw organisatie hebt ontvangen.
- Selecteer Aanmelden bij iCloud.
- Voer het wachtwoord in voor de gebruikersnaam die op het scherm wordt weergegeven. Selecteer vervolgens Doorgaan.
- Selecteer Extern beheer toestaan.
- Wacht enkele minuten terwijl uw apparaat is geconfigureerd en het beheerprofiel is geïnstalleerd.
- Ga naar VPN-& Apparaatbeheer om te controleren of uw apparaat gereed is voor gebruik voor werk. Controleer of uw werkaccount wordt vermeld onder BEHEERD ACCOUNT.
- Microsoft Authenticator is vereist voor toegang tot werk-apps. Wacht enkele minuten na de inschrijving voordat Authenticator op uw apparaat is geïnstalleerd. Er wordt een foutbericht weergegeven als u zich probeert aan te melden bij een werk-app zonder Authenticator.
- Mogelijk ontvangt u meer prompts met de vraag om uw goedkeuring voor het installeren van werk-apps. Selecteer Installeren om de installatie goed te keuren.
Profielprioriteit
Intune past inschrijvingsprofielen toe in de volgorde waarin u ze prioriteit geeft. De volgorde wijzigen waarin ze worden toegepast:
- Terug naar Inschrijvingstypen om uw profielen weer te geven.
- Sleep de profielen in de lijst en zet deze neer om de volgorde van hun prioriteit te wijzigen.
Als er een conflict optreedt omdat aan een gebruiker meer dan één profiel is toegewezen, past Intune het profiel toe met de hogere prioriteit.
Apparaat uit beheer verwijderen
De volume- en cryptografische sleutels die zijn gemaakt om de werkgegevens op het apparaat te beheren, worden gewist wanneer het apparaat wordt uitgeschreven bij Intune.
Bekende problemen
In deze sectie worden de huidige bekende problemen met accountgestuurde Apple-gebruikersinschrijving en Microsoft Intune beschreven.
Inschrijving mislukt vanwege registratie-SSO-toepassing
Als de Microsoft Authenticator-app zich op het apparaat bevindt voordat de inschrijving begint, mislukt de inschrijving wanneer de gebruiker van het apparaat zich probeert aan te melden met zijn werk- of schoolaccount in de app Instellingen. Het bericht dat ze ontvangen, luidt:
- Titel: Aanmelden is mislukt
- Beschrijving: de toepassing voor eenmalige aanmelding voor inschrijving is geïnstalleerd op het apparaat.
Om dit probleem te omzeilen, moet de gebruiker van het apparaat de Microsoft Authenticator-app verwijderen en de inschrijving opnieuw starten.
Volgende stappen
Zie Gebruikersinschrijving en MDM op de apple-ondersteuningswebsite voor meer informatie over apple-gebruikersinschrijving.
Zie voor ondersteunde instellingen in Intune apparaatconfiguratieprofielen: