Inschrijvingshandleiding: iOS- en iPadOS-apparaten inschrijven in Microsoft Intune
Persoonlijke apparaten en apparaten die eigendom zijn van de organisatie kunnen worden ingeschreven bij Intune. Zodra ze zijn ingeschreven, ontvangen ze het beleid en de profielen die u maakt. U hebt de volgende opties bij het inschrijven van iOS-/iPadOS-apparaten:
- Geautomatiseerde apparaatinschrijving (ADE)
- Apple Configurator
- BYOD: gebruikers- en apparaatinschrijving
Dit artikel bevat aanbevelingen voor inschrijving en bevat een overzicht van de beheerders- en gebruikerstaken voor elke iOS-/iPadOS-optie.
Er is ook een visuele handleiding met de verschillende inschrijvingsopties voor elk platform:
PDF-versie downloaden | Visio-versie downloaden
Tip
Deze gids is een levend ding. Zorg er dus voor dat u bestaande tips en richtlijnen toevoegt of bijwerkt die u nuttig vindt.
Voordat u begint
Voor alle Intune-specifieke vereisten en configuraties die nodig zijn om uw tenant voor te bereiden op inschrijving, gaat u naar Inschrijvingshandleiding: Microsoft Intune inschrijving.
Geautomatiseerde apparaatinschrijving (ADE) (onder supervisie)
Voorheen Apple Device Enrollment Program (DEP) genoemd. Gebruik op apparaten die eigendom zijn van uw organisatie. Met deze optie configureert u instellingen met behulp van Apple Business Manager (ABM) of Apple School Manager (ASM). Hiermee wordt een groot aantal apparaten ingeschreven, zonder dat u de apparaten ooit aanraakt. Deze apparaten worden gekocht bij Apple, hebben uw vooraf geconfigureerde instellingen en kunnen rechtstreeks naar gebruikers of scholen worden verzonden. U maakt een inschrijvingsprofiel in het Intune-beheercentrum en pusht dit profiel naar de apparaten.
Ga naar voor meer specifieke informatie over dit inschrijvingstype:
- Apple Business Manager-inschrijving
- Apple School Manager-inschrijving: Ga voor meer informatie over Apple School Manager naar Apple Education (hiermee opent u de website van Apple).
Functie | Gebruik deze inschrijvingsoptie wanneer |
---|---|
U wilt de supervisiemodus. | ✅ In de supervisiemodus worden software-updates geïmplementeerd, functies beperkt, apps toegestaan en geblokkeerd, en meer. |
Apparaten zijn eigendom van de organisatie of school. | ✅ |
U hebt nieuwe apparaten. | ✅ |
U moet een paar apparaten of een groot aantal apparaten inschrijven (bulksgewijs inschrijven). | ✅ |
Apparaten zijn gekoppeld aan één gebruiker. | ✅ |
Apparaten zijn gebruikersloos, zoals kiosk of toegewezen apparaat. | ✅ |
Apparaten zijn persoonlijk of BYOD. | ❌ Niet aanbevolen. Toepassingen op BYOD- of persoonlijke apparaten kunnen worden beheerd met MAM (opent een ander Microsoft-artikel) of gebruikers- en apparaatinschrijving (in dit artikel). |
U hebt bestaande apparaten. | ❌ Bestaande apparaten moeten worden ingeschreven met Apple Configurator (in dit artikel). |
Apparaten worden beheerd door een andere MDM-provider. | ❌ Als u volledig wilt worden beheerd door Intune, moeten gebruikers de registratie bij de huidige MDM-provider ongedaan maken en zich vervolgens inschrijven bij Intune. Of u kunt MAM gebruiken om specifieke apps op het apparaat te beheren. Omdat deze apparaten eigendom zijn van de organisatie, raden we u aan zich in te schrijven bij Intune. |
U gebruikt het DEM-account (Device Enrollment Manager). | ❌ Het DEM-account wordt niet ondersteund. |
ADE-beheerderstaken
Deze takenlijst biedt een overzicht. Ga voor meer specifieke informatie naar Apple Business Manager-inschrijving of Apple School Manager-inschrijving.
Zorg ervoor dat uw apparaten worden ondersteund.
Toegang nodig tot de Apple Business Manager-portal (ABM) of de Apple School Manager-portal (ASM).
Zorg ervoor dat het Apple-token (.p7m) actief is. Ga naar Een Apple ADE-token ophalen voor meer specifieke informatie.
Zorg ervoor dat het Apple MDM-pushcertificaat is toegevoegd aan Intune en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Ga naar Een Apple MDM-pushcertificaat ophalen voor meer informatie.
Bepaal hoe gebruikers zich verifiëren op hun apparaten: de Bedrijfsportal-app, Configuratieassistent (verouderd) of Configuratieassistent met moderne verificatie. Neem deze beslissing voordat u het inschrijvingsprofiel maakt. Het gebruik van de Bedrijfsportal-app of Configuratieassistent met moderne verificatie wordt beschouwd als moderne verificatie.
Selecteer de Bedrijfsportal-app wanneer:
- U wilt het apparaat wissen.
- U wilt meervoudige verificatie (MFA) gebruiken.
- U wilt gebruikers vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
- U wilt gebruikers vragen om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
- U wilt dat apparaten worden geregistreerd in Microsoft Entra ID. Wanneer ze zijn geregistreerd, kunt u functies gebruiken die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
- U wilt de Bedrijfsportal-app automatisch installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de Bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers.
- U wilt het apparaat vergrendelen totdat de Bedrijfsportal-app is geïnstalleerd. Nadat deze is geïnstalleerd, melden gebruikers zich aan bij de Bedrijfsportal-app met hun organisatie Microsoft Entra-account. Vervolgens wordt het apparaat ontgrendeld en kunnen gebruikers het gebruiken.
Selecteer de Configuratieassistent (verouderd) wanneer:
U wilt het apparaat wissen.
U wilt geen moderne verificatiefuncties gebruiken, zoals MFA.
U wilt geen apparaten registreren in Microsoft Entra ID. Configuratieassistent (verouderd) verifieert de gebruiker met het Apple-token
.p7m
. Als het acceptabel is om apparaten niet te registreren in Microsoft Entra ID, hoeft u de Bedrijfsportal-app niet te installeren. Blijf de Configuratieassistent gebruiken (verouderd).Als u apparaten wilt registreren in Microsoft Entra ID, installeert u de Bedrijfsportal-app. Wanneer u het inschrijvingsprofiel maakt en Configuratieassistent (verouderd) selecteert, kunt u de Bedrijfsportal-app installeren. U wordt aangeraden de Bedrijfsportal-app te installeren tijdens de inschrijving.
Selecteer de Configuratieassistent met moderne verificatie wanneer:
- U wilt het apparaat wissen.
- U wilt meervoudige verificatie (MFA) gebruiken.
- U wilt gebruikers vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
- U wilt gebruikers vragen om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
- U wilt dat apparaten worden geregistreerd in Microsoft Entra ID. Wanneer ze zijn geregistreerd, kunt u functies gebruiken die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
- U wilt de Bedrijfsportal-app automatisch installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de Bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers.
- U wilt dat gebruikers het apparaat gebruiken, zelfs als de Bedrijfsportal-app niet is geïnstalleerd.
Opmerking
Om gebruikers te verifiëren, raadt Microsoft aan de app Bedrijfsportal of de Configuratieassistent te gebruiken met moderne verificatie.
Welke optie moet u gebruiken? Dat hangt ervan af:
Als u het apparaat wilt gebruiken voordat de Bedrijfsportal app wordt geïnstalleerd, gebruikt u de Configuratieassistent met moderne verificatie.
Tijdens de Configuratieassistent moeten gebruikers hun organisatie invoeren Microsoft Entra referenties (
user@contoso.com
). Wanneer ze hun referenties invoeren, wordt de inschrijving gestart en wordt de Bedrijfsportal-app geïnstalleerd. Als u wilt, kunnen gebruikers ook hun Apple ID invoeren om toegang te krijgen tot apple-specifieke functies, zoals Apple Pay.Nadat de Configuratieassistent is voltooid, kunnen gebruikers het apparaat gebruiken. Wanneer het startscherm wordt weergegeven, is de inschrijving voltooid en wordt de gebruikersaffiniteit tot stand gebracht. Het apparaat is niet volledig geregistreerd bij Microsoft Entra ID en wordt weergegeven als niet-compatibel in de apparatenlijst van een gebruiker in Microsoft Entra ID. Het apparaat wordt weergegeven als compatibel in het Microsoft Intune-beheercentrum.
Nadat de Bedrijfsportal-app is geïnstalleerd, wat enige tijd duurt, openen gebruikers de Bedrijfsportal-app en melden ze zich opnieuw aan met hun organisatie Microsoft Entra-account (
user@contoso.com
). Tijdens deze tweede aanmelding worden eventuele beleidsregels voor voorwaardelijke toegang geëvalueerd en is Microsoft Entra registratie voltooid. Gebruikers kunnen organisatieresources, waaronder LOB-apps, installeren en gebruiken. Het apparaat wordt weergegeven als compatibel in Microsoft Entra ID.Als u het apparaat niet wilt gebruiken voordat de Bedrijfsportal app wordt geïnstalleerd, gebruikt u de optie Bedrijfsportal app. Met de optie Bedrijfsportal app wordt het apparaat vergrendeld totdat de Bedrijfsportal-app wordt geïnstalleerd. Wanneer de installatie is voltooid, wordt de Bedrijfsportal-app automatisch geopend. Gebruikers melden zich aan met hun Microsoft Entra organisatieaccount (
user@contoso.com
) en kunnen het apparaat gebruiken.
Als u de Bedrijfsportal-app gebruikt, bepaalt u hoe de Bedrijfsportal-app op de apparaten wordt geïnstalleerd. Neem deze beslissing voordat u het inschrijvingsprofiel maakt.
Opmerking
Microsoft raadt aan het volume-aankoopprogramma (VPP) te gebruiken wanneer u de Bedrijfsportal-app gebruikt om te verifiëren. Het is een betere ervaring voor eindgebruikers.
Installeer de Bedrijfsportal-app niet rechtstreeks vanuit de App Store op apparaten die zijn ingeschreven bij ADE. Installeer in plaats daarvan de Bedrijfsportal-app met behulp van de volgende opties:
VPP-token + nieuwe apparaten inschrijven: als u het Volume Purchase Program (VPP) hebt en u nieuwe apparaten registreert, wordt de Bedrijfsportal-app opgenomen. Wanneer u het inschrijvingsprofiel maakt in het Intune-beheercentrum, selecteert u Bedrijfsportal installeren met VPP, maakt u er een vereiste app van en schakelt u automatische app-updates in.
Deze optie:
- Bevat de juiste Bedrijfsportal app-versie.
- Is een eenmalige installatie van de Bedrijfsportal-app.
- Maakt gebruik van de functie Automatische app-updates, zodat Intune app-updates kunt pushen. Ga voor meer informatie naar De Bedrijfsportal-app implementeren - ADE.
Geen VPP-token + nieuwe apparaten inschrijven: geen beheerderstaken. Zorg ervoor dat gebruikers hun Apple ID invoeren in Configuratieassistent.
Wanneer configuratieassistent is voltooid, probeert de Bedrijfsportal-app automatisch te installeren. Als gebruikers hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) niet invoeren, wordt ze voortdurend gevraagd hun Apple ID in te voeren. Gebruikers moeten hun Apple-id invoeren om de Bedrijfsportal-app op hun apparaat te krijgen. Wanneer de Bedrijfsportal-app wordt geïnstalleerd, openen gebruikers deze en voeren ze hun organisatiereferenties (user@contoso.com
) in. Wanneer ze verifiëren, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.Al ingeschreven apparaten: als apparaten al zijn ingeschreven, als u VPP hebt of niet, gebruikt u een app-configuratiebeleid:
- Voeg in het Intune-beheercentrum de Bedrijfsportal-app toe als een vereiste app en als een apparaatlicentie-app.
- Maak een app-configuratiebeleid dat de Bedrijfsportal-app bevat als een apparaatlicentie-app. Ga voor meer specifieke informatie naar De Bedrijfsportal-app configureren ter ondersteuning van iOS- en iPadOS-DEP-apparaten.
- Implementeer het app-configuratiebeleid in dezelfde apparaatgroep als het inschrijvingsprofiel.
- Wanneer apparaten inchecken bij de Intune-service, ontvangt deze uw profiel en wordt de Bedrijfsportal-app geïnstalleerd.
Deze optie:
- Bevat de juiste Bedrijfsportal app-versie.
- Hiervoor moet u een inschrijvingsprofiel maken en een app-configuratiebeleid maken. Maak er in uw app-configuratiebeleid een vereiste app van, zodat u weet dat de app op al uw apparaten wordt geïmplementeerd.
- De Bedrijfsportal-app kan automatisch worden bijgewerkt door uw bestaande app-configuratiebeleid te wijzigen.
Maak in het Intune-beheercentrum een inschrijvingsprofiel:
- Kies inschrijven met gebruikersaffiniteit (een gebruiker koppelen aan het apparaat) of Inschrijven zonder gebruikersaffiniteit (apparaten zonder gebruiker of gedeelde apparaten).
- Kies waar gebruikers zich verifiëren: de Bedrijfsportal-app, Configuratieassistent (verouderd) of Configuratieassistent met moderne verificatie.
Ga naar Automatische apparaatinschrijving van Apple voor meer specifieke informatie en suggesties.
ADE-taken voor eindgebruikers
Wanneer u een inschrijvingsprofiel maakt in het Intune-beheercentrum, kiest u ervoor om een gebruiker aan het apparaat te koppelen (Inschrijven met gebruikersaffiniteit) of gedeelde apparaten te hebben (Inschrijven zonder gebruikersaffiniteit). De specifieke stappen zijn afhankelijk van hoe u het inschrijvingsprofiel configureert. Met gedeelde iPad worden na activering alle deelvensters van de configuratieassistent automatisch overgeslagen.
Inschrijven met gebruikersaffiniteit + Bedrijfsportal-app:
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) in. Na het invoeren wordt de Bedrijfsportal-app automatisch geïnstalleerd vanuit uw inschrijvingsprofiel. Het kan enige tijd duren voordat de Bedrijfsportal-app automatisch is geïnstalleerd. - Gebruikers openen de Bedrijfsportal-app en melden zich aan met hun organisatiereferenties (
user@contoso.com
). Wanneer ze zich aanmelden, wordt de inschrijving gestart. Wanneer de inschrijving is voltooid, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.
Gebruikers moeten mogelijk meer informatie invoeren. Voor specifiekere stappen voor eindgebruikers gaat u naar Het iOS-apparaat van uw organisatie inschrijven.
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
Inschrijven met gebruikersaffiniteit + Configuratieassistent (verouderd) + Bedrijfsportal-app:
Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) in.De configuratieassistent vraagt de gebruiker om informatie.
De Bedrijfsportal-app wordt automatisch geopend en moet het apparaat vergrendelen in de kioskmodus. Het kan even duren voordat de Bedrijfsportal-app wordt geopend. Gebruikers melden zich aan met hun organisatiereferenties (
user@contoso.com
) en het apparaat wordt ingeschreven bij Intune.Met deze stap wordt het apparaat geregistreerd in Microsoft Entra ID. Gebruikers kunnen apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.
Inschrijven met gebruikersaffiniteit + Configuratieassistent (verouderd) - Bedrijfsportal-app:
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) in. - De Configuratieassistent vraagt de gebruiker om informatie en registreert het apparaat in Intune. Het apparaat is niet geregistreerd in Microsoft Entra ID.
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
Inschrijven met gebruikersaffiniteit + Configuratieassistent met moderne verificatie:
Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) in en hun organisatie Microsoft Entra referenties (user@contoso.com
).Wanneer gebruikers hun Microsoft Entra referenties invoeren, wordt de inschrijving gestart.
Configuratieassistent vraagt de gebruiker om aanvullende informatie. Wanneer het startscherm wordt weergegeven, is de installatie voltooid. Het apparaat is volledig geregistreerd en de gebruikersaffiniteit van het apparaat is tot stand gebracht. Gebruikers kunnen hun apparaten gebruiken en uw apps en beleid op hun apparaten zien.
Op dit moment is het apparaat niet volledig geregistreerd bij Microsoft Entra ID en wordt het weergegeven als niet-compatibel in Microsoft Entra ID. Het apparaat geeft aan dat het compatibel is in het Microsoft Intune-beheercentrum.
Als u Bedrijfsportal app met VPP installeert (aanbevolen), wordt de Bedrijfsportal-app automatisch geïnstalleerd. Gebruikers openen de Bedrijfsportal-app en melden zich opnieuw aan met hun werk- of schoolaccount (
user@contoso.com
). Ze voltooien Microsoft Entra registratie in de Bedrijfsportal-app, waarmee het apparaat volledig wordt geregistreerd bij Microsoft Entra ID. Gebruikers krijgen vervolgens toegang tot bedrijfsresources die worden beveiligd door beleid voor voorwaardelijke toegang en het apparaat wordt weergegeven als compatibel in Microsoft Entra ID.Als u Bedrijfsportal app niet installeert met VPP en de Bedrijfsportal-app wilt gebruiken, gaat u als volgt te werk:
Gebruikers melden zich aan bij de Apple App Store met hun Apple-id (
user@iCloud.com
ofuser@gmail.com
). Wanneer ze zich aanmelden, wordt de Bedrijfsportal-app automatisch geïnstalleerd.Deze extra aanmeldingsstap vertraagt de inschrijving, met name als gebruikers zich niet onmiddellijk aanmelden.
Als ze zich niet aanmelden bij de App Store, wordt de Bedrijfsportal app niet geïnstalleerd. Als de app niet is geïnstalleerd, kunnen gebruikers het apparaat niet registreren in Microsoft Entra ID. Omdat de registratie van het apparaat nog niet is voltooid, wordt het apparaat weergegeven als niet-compatibel in Microsoft Entra ID. Resources die afhankelijk zijn van voorwaardelijke toegang, zijn niet beschikbaar.
Gebruikers openen de Bedrijfsportal-app en melden zich opnieuw aan met hun werk- of schoolaccount (
user@contoso.com
). Ze voltooien Microsoft Entra registratie in de Bedrijfsportal-app, waarmee het apparaat volledig wordt geregistreerd bij Microsoft Entra ID. Bij de volgende check-in krijgen gebruikers toegang tot bedrijfsresources die worden beveiligd door beleid voor voorwaardelijke toegang.
Inschrijven zonder gebruikersaffiniteit: geen acties. Zorg ervoor dat ze de Bedrijfsportal-app niet installeren vanuit de Apple-App Store.
Gebruikers vinden het meestal niet prettig om zichzelf in te schrijven en zijn mogelijk niet bekend met de Bedrijfsportal-app. Zorg ervoor dat u richtlijnen opgeeft, inclusief welke informatie u moet invoeren. Zie Planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie over de communicatie met uw gebruikers.
Apple Configurator-inschrijving
Gebruik op apparaten die eigendom zijn van uw organisatie en omvat directe inschrijving. Voor deze optie moet u iOS-/iPadOS-apparaten fysiek aansluiten op een Mac-computer via de USB-poort.
Ga naar Apple Configurator-inschrijving voor meer specifieke informatie over dit type inschrijving.
Functie | Gebruik deze inschrijvingsoptie wanneer |
---|---|
U hebt een bekabelde verbinding nodig of u hebt een netwerkprobleem. | ✅ |
Uw organisatie wil niet dat beheerders de ABM- of ASM-portals gebruiken of niet alle vereisten willen instellen. | ✅ Het idee van het niet gebruiken van de ABM- of ASM-portals is om beheerders minder controle te geven. |
Een land/regio biedt geen ondersteuning voor Apple Business Manager (ABM) of Apple School Manager (ASM). | ✅ Als uw land/regio ONDERSTEUNING biedt voor ABS of ASM, moeten apparaten worden ingeschreven met geautomatiseerde apparaatinschrijving (in dit artikel). |
Apparaten zijn eigendom van de organisatie of school. | ✅ |
U hebt nieuwe of bestaande apparaten. | ✅ |
U moet een paar apparaten of een groot aantal apparaten inschrijven (bulksgewijs inschrijven). | ✅ Als u een groot aantal apparaten hebt, duurt deze methode enige tijd. |
Apparaten zijn gekoppeld aan één gebruiker. | ✅ |
Apparaten zijn gebruikersloos, zoals kiosk of toegewezen apparaat. | ✅ |
Apparaten zijn persoonlijk of BYOD. | ❌ Niet aanbevolen. Toepassingen op BYOD- of persoonlijke apparaten kunnen worden beheerd met MAM (opent een ander Microsoft-artikel) of gebruikers- en apparaatinschrijving (in dit artikel). |
Apparaten worden beheerd door een andere MDM-provider. | ❌ Om volledig te worden beheerd door Intune, moeten gebruikers de registratie bij de huidige MDM-provider ongedaan maken en zich vervolgens inschrijven bij Intune. Of u kunt MAM gebruiken om specifieke apps op het apparaat te beheren. Omdat deze apparaten eigendom zijn van de organisatie, raden we u aan zich in te schrijven bij Intune. |
U gebruikt het DEM-account (Device Enrollment Manager). | ❌ Het DEM-account wordt niet ondersteund. |
Apple Configurator-beheerderstaken
Deze takenlijst biedt een overzicht. Ga voor meer specifieke informatie naar Apple Configurator-inschrijving.
Vereist toegang tot een Mac-computer met een USB-poort.
Zorg ervoor dat uw apparaten worden ondersteund.
Zorg ervoor dat het Apple MDM-pushcertificaat is toegevoegd aan Intune en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Ga naar Een Apple MDM-pushcertificaat ophalen voor meer informatie.
Bepaal hoe gebruikers zich verifiëren op hun apparaten: de Bedrijfsportal-app of Configuratieassistent. Neem deze beslissing voordat u het inschrijvingsprofiel maakt. Het gebruik van de Bedrijfsportal-app wordt beschouwd als moderne verificatie. We raden u aan de Bedrijfsportal-app te gebruiken.
Selecteer de Bedrijfsportal-app wanneer:
- U wilt meervoudige verificatie (MFA) gebruiken.
- U wilt gebruikers vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
- U wilt gebruikers vragen om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
- U wilt dat apparaten worden geregistreerd in Microsoft Entra ID. Wanneer ze zijn geregistreerd, kunt u functies gebruiken die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
- U wilt Bedrijfsportal app automatisch installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u Bedrijfsportal app automatisch installeren tijdens de inschrijving.
Selecteer de Configuratieassistent wanneer:
U wilt geen moderne verificatiefuncties gebruiken, zoals MFA.
U wilt het apparaat wissen.
U wilt serienummers importeren.
U wilt geen apparaten registreren in Microsoft Entra ID. Configuratieassistent verifieert de gebruiker met het geëxporteerde inschrijvingsprofiel dat u naar het apparaat kopieert. Als het acceptabel is om apparaten niet te registreren in Microsoft Entra ID, hoeft u de Bedrijfsportal-app niet te installeren. Blijf de Configuratieassistent gebruiken.
Als u apparaten wilt registreren in Microsoft Entra ID, installeert u de Bedrijfsportal-app. Wanneer u het inschrijvingsprofiel maakt en Configuratieassistent selecteert, kunt u de Bedrijfsportal-app installeren. U wordt aangeraden de Bedrijfsportal-app te installeren tijdens de inschrijving.
Als u de Bedrijfsportal-app gebruikt, moet de Bedrijfsportal-app worden geïnstalleerd op apparaten met behulp van een app-configuratiebeleid. U wordt aangeraden dit beleid te maken voordat u het inschrijvingsprofiel maakt.
Installeer de Bedrijfsportal-app niet rechtstreeks vanuit de App Store op apparaten die zijn ingeschreven bij Apple Configurator. Installeer in plaats daarvan de Bedrijfsportal-app met behulp van de volgende opties:
Nieuwe apparaten inschrijven: geen beheerderstaken. Zorg ervoor dat gebruikers hun Apple ID invoeren in Configuratieassistent.
Wanneer configuratieassistent is voltooid, probeert de Bedrijfsportal-app automatisch te installeren. Als gebruikers hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) niet invoeren, wordt ze voortdurend gevraagd hun Apple ID in te voeren. Gebruikers moeten hun Apple-id invoeren om de Bedrijfsportal-app op hun apparaat te krijgen. Wanneer de Bedrijfsportal-app wordt geïnstalleerd, openen gebruikers deze en voeren ze hun organisatiereferenties (user@contoso.com
) in. Wanneer ze verifiëren, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.Al ingeschreven apparaten: als apparaten al zijn ingeschreven, gebruikt u een app-configuratiebeleid:
- Voeg in het Intune-beheercentrum de Bedrijfsportal-app toe als een vereiste app en als een apparaatlicentie-app.
- Maak een app-configuratiebeleid dat de Bedrijfsportal-app bevat als een apparaatlicentie-app. Ga voor meer specifieke informatie naar De Bedrijfsportal-app configureren ter ondersteuning van iOS- en iPadOS-DEP-apparaten.
- Implementeer het app-configuratiebeleid in dezelfde apparaatgroep als het inschrijvingsprofiel.
- Wanneer apparaten inchecken bij de Intune-service, ontvangt deze uw profiel en wordt de Bedrijfsportal-app geïnstalleerd.
Deze optie:
- Bevat de juiste Bedrijfsportal app-versie.
- Hiervoor moet u een inschrijvingsprofiel maken en een app-configuratiebeleid maken. Maak er in uw app-configuratiebeleid een vereiste app van, zodat u weet dat de app op al uw apparaten wordt geïmplementeerd.
- De Bedrijfsportal-app kan automatisch worden bijgewerkt door uw bestaande app-configuratiebeleid te wijzigen.
Maak in het Intune-beheercentrum een inschrijvingsprofiel:
Kies inschrijven met gebruikersaffiniteit (een gebruiker koppelen aan het apparaat) of Inschrijven zonder gebruikersaffiniteit (apparaten zonder gebruiker of gedeelde apparaten).
Als u Inschrijven zonder gebruikersaffiniteit kiest, gebruikt u automatisch Directe inschrijving. Zich herinneren:
- U gebruikt de instellingen van een bestaand macOS-inschrijvingsprofiel.
- Gebruikers kunnen geen apps gebruiken waarvoor een gebruiker is vereist, inclusief de Bedrijfsportal-app. De Bedrijfsportal-app wordt niet gebruikt, nodig of ondersteund voor inschrijvingen zonder gebruikersaffiniteit. Zorg ervoor dat gebruikers de Bedrijfsportal-app niet installeren vanuit de Apple-App Store.
Wanneer het inschrijvingsprofiel gereed is, sluit u de apparaten aan op de Mac en opent u de App Apple Configurator . Wanneer de app wordt geopend, wordt het USB-apparaat gedetecteerd en wordt het Intune inschrijvingsprofiel geïmplementeerd dat u hebt gemaakt.
Ga naar Apple Configurator-inschrijving voor meer informatie over deze inschrijvingsoptie en de bijbehorende vereisten.
Apple Configurator-taken voor eindgebruikers
De taken zijn afhankelijk van de optie die u hebt geconfigureerd in het inschrijvingsprofiel.
Inschrijven met gebruikersaffiniteit + Bedrijfsportal-app:
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
user@iCloud.com
ofuser@gmail.com
) in. Na invoer wordt de Bedrijfsportal-app automatisch geïnstalleerd vanuit de App Store. Het kan enige tijd duren voordat de Bedrijfsportal-app automatisch is geïnstalleerd. - Open de Bedrijfsportal-app en meld u aan met hun organisatiereferenties (
user@contoso.com
). Wanneer gebruikers zich aanmelden, wordt de inschrijving gestart. Wanneer de inschrijving is voltooid, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.
Gebruikers moeten mogelijk meer informatie invoeren. Ga voor meer specifieke stappen naar Het door uw organisatie geleverde iOS-apparaat inschrijven.
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (
Inschrijven met gebruikersaffiniteit + Configuratieassistent + Bedrijfsportal-app:
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun organisatiereferenties in (
user@contoso.com
). Met deze stap wordt het apparaat ingeschreven bij Intune. - De configuratieassistent vraagt de gebruiker om informatie, waaronder de Apple ID (
user@iCloud.com
ofuser@gmail.com
). - De Bedrijfsportal-app wordt automatisch geïnstalleerd vanuit de App Store. Gebruikers openen de Bedrijfsportal-app en melden zich aan met hun organisatiereferenties (
user@contoso.com
). Met deze stap wordt het apparaat geregistreerd in Microsoft Entra ID. Gebruikers kunnen apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun organisatiereferenties in (
Inschrijven met gebruikersaffiniteit + Configuratieassistent - Bedrijfsportal-app:
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun organisatiereferenties in (
user@contoso.com
). Met deze stap wordt het apparaat ingeschreven bij Intune. - De configuratieassistent vraagt de gebruiker om informatie, waaronder de Apple ID (
user@iCloud.com
ofuser@gmail.com
). Met deze stap wordt het Intune-beheerprofiel naar het apparaat gepusht. - Gebruikers installeren het beheerprofiel. Het profiel wordt ingecheckt bij de Intune-service en het apparaat wordt ingeschreven. Het apparaat is niet geregistreerd in Microsoft Entra ID.
- Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun organisatiereferenties in (
Inschrijven zonder gebruikersaffiniteit: u gebruikt directe inschrijving. Geen acties. Zorg ervoor dat ze de Bedrijfsportal-app niet installeren vanuit de Apple-App Store.
Gebruikers vinden het meestal niet prettig om zichzelf in te schrijven en zijn mogelijk niet bekend met de Bedrijfsportal-app. Zorg ervoor dat u richtlijnen opgeeft, inclusief welke informatie u moet invoeren. Zie Planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie over de communicatie met uw gebruikers.
BYOD: gebruikers- en apparaatinschrijving
Deze iOS-/iPadOS-apparaten zijn persoonlijke of BYOD-apparaten (bring your own device) die toegang hebben tot e-mail, apps en andere gegevens van de organisatie. Vanaf iOS 13 en hoger is deze inschrijvingsoptie gericht op gebruikers of apparaten. Hiervoor hoeft u de apparaten niet opnieuw in te stellen.
Wanneer u het inschrijvingsprofiel maakt, wordt u gevraagd apparaatinschrijving met Bedrijfsportal, accountgestuurde gebruikersinschrijving of Bepalen op basis van gebruikerskeuze te kiezen.
Ga voor de specifieke inschrijvingsstappen en de bijbehorende vereisten naar Accountgestuurde gebruikersinschrijving instellen en Inschrijving van iOS-/iPadOS-apparaten instellen.
Functie | Gebruik deze inschrijvingsoptie wanneer |
---|---|
Apparaten zijn persoonlijk of BYOD. | ✅ |
U wilt een specifieke functie op het apparaat helpen beveiligen, zoals VPN per app. | ✅ |
U hebt nieuwe of bestaande apparaten. | ✅ |
U moet een paar apparaten of een groot aantal apparaten inschrijven (bulksgewijs inschrijven). | ✅ |
Apparaten zijn gekoppeld aan één gebruiker. | ✅ |
Apparaten worden beheerd door een andere MDM-provider. | ❌ Wanneer een apparaat wordt ingeschreven, installeren MDM-providers certificaten en andere bestanden. Deze bestanden moeten worden verwijderd. De snelste manier is het ongedaan maken van de registratie of het terugzetten van de fabrieksinstellingen van de apparaten. Als u de fabrieksinstellingen niet wilt terugzetten, neemt u contact op met de MDM-provider. |
U gebruikt het DEM-account (Device Enrollment Manager). | ✅ |
Apparaten zijn eigendom van de organisatie of school. | ❌ Niet aanbevolen. Apparaten die eigendom zijn van de organisatie moeten worden ingeschreven met geautomatiseerde apparaatinschrijving (in dit artikel) of Apple Configurator (in dit artikel). |
Apparaten zijn gebruikersloos, zoals kiosk of toegewezen apparaat. | ❌ Apparaten die geen gebruiker of gedeelde apparaten zijn, zijn doorgaans eigendom van de organisatie. Deze apparaten moeten worden ingeschreven met geautomatiseerde apparaatinschrijving (in dit artikel) of Apple Configurator (in dit artikel). |
Beheerderstaken voor gebruikers- en apparaatinschrijving
Deze lijst bevat een overzicht van de taken die beheerders nodig hebben.
Zorg ervoor dat uw apparaten worden ondersteund.
Zorg ervoor dat het Apple MDM-pushcertificaat is toegevoegd aan Intune en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Ga naar Een Apple MDM-pushcertificaat ophalen voor meer informatie.
Maak het inschrijvingsprofiel in het Intune-beheercentrum. Wanneer u het inschrijvingsprofiel maakt, hebt u de volgende opties:
Apparaatinschrijving met Bedrijfsportal: deze optie is een typische inschrijving in de Bedrijfsportal-app voor persoonlijke apparaten. Het apparaat wordt beheerd, niet alleen specifieke apps of functies. Houd bij deze optie rekening met de volgende informatie:
- U kunt certificaten implementeren die van toepassing zijn op het hele apparaat.
- Gebruikers moeten updates installeren. Alleen apparaten die zijn ingeschreven met geautomatiseerde apparaatinschrijving (ADE) kunnen updates ontvangen met mdm-beleid of -profielen.
- Een gebruiker moet aan het apparaat zijn gekoppeld. Deze gebruiker kan een DEM-account (Device Enrollment Manager) zijn.
Inschrijving van apparaten op internet: vanaf iOS 15 en hoger. Deze optie is net als apparaatinschrijving met Bedrijfsportal, maar inschrijving vindt plaats op de webversie van Intune-bedrijfsportal, waardoor de app niet meer nodig is. Bovendien kunnen werknemers en studenten zonder beheerde Apple-id's met deze optie apparaten inschrijven en toegang krijgen tot apps die via het volume zijn gekocht.
Bepalen op basis van de keuze van de gebruiker: geeft eindgebruikers een keuze wanneer ze zich inschrijven. Afhankelijk van hun selectie wordt accountgestuurde gebruikersinschrijving of Apparaatinschrijving gebruikt.
Inschrijving van accountgestuurde gebruikers: vanaf iOS 13 en hoger. Met deze optie configureert u een specifieke set functies en organisatie-apps, zoals wachtwoord, VPN per app, Wi-Fi en Siri. Als u deze methode gebruikt en apps en hun gegevens wilt beveiligen, raden we u aan ook app-beveiligingsbeleid te gebruiken.
Ga naar Overzicht van Apple-gebruikersinschrijving in Microsoft Intune voor de volledige lijst met wat u wel en niet kunt doen.
Opmerking
BYOD kan apparaten worden die eigendom zijn van de organisatie. Als u deze apparaten zakelijk wilt maken, gaat u naar Apparaten identificeren als bedrijfseigendom.
Accountgestuurde gebruikersinschrijving wordt beschouwd als vriendelijker voor eindgebruikers. Maar het biedt mogelijk niet de functieset en beveiligingsfuncties die beheerders nodig hebben. In sommige scenario's is inschrijving van accountgestuurde gebruikers mogelijk niet de beste optie. Houd rekening met de volgende scenario's:
Accountgestuurde gebruikersregistratie maakt een werkpartitie op de apparaten. De functies en beveiliging die u in het gebruikersinschrijvingsprofiel configureert, bestaan alleen in de werkpartitie. Ze bestaan niet in de gebruikerspartitie. Gebruikers kunnen de fabrieksinstellingen van de werkpartitie niet terugzetten; beheerders kunnen. Gebruikers kunnen de fabrieksinstellingen van de persoonlijke partitie herstellen; beheerders niet.
Als gebruikers voornamelijk Microsoft-apps gebruiken of apps gebruiken die zijn gemaakt met de Intune App SDK, moeten gebruikers deze apps downloaden van de Apple App Store. Gebruik vervolgens app-beveiligingsbeleid om deze apps te beveiligen. In dit scenario hebt u geen accountgestuurde gebruikersinschrijving nodig.
Voor LOB-apps (Line-Of-Business) is inschrijving van accountgestuurde gebruikers mogelijk een optie, omdat deze apps in de werkpartitie worden geïmplementeerd. Toepassingsbeheer (MAM) biedt geen ondersteuning voor LOB-apps. Dus als u LOB-apps nodig hebt, gebruikt u accountgestuurde gebruikersinschrijving.
Wanneer apparaten zijn ingeschreven met accountgestuurde gebruikersinschrijving, kunt u niet overschakelen naar apparaatinschrijving. Met accountgestuurde gebruikersinschrijving kunt u een app niet verplaatsen van niet-beheerd naar beheerd. Gebruikers moeten de inschrijving van gebruikers ongedaan maken en zich vervolgens opnieuw inschrijven voor apparaatinschrijving.
Als u apps installeert voordat het gebruikersinschrijvingsprofiel wordt toegepast, worden deze apps niet beveiligd of beheerd door het gebruikersinschrijvingsprofiel.
Een gebruiker downloadt bijvoorbeeld de Outlook-app van de Apple App Store. De app wordt automatisch geïnstalleerd op de gebruikerspartitie op het apparaat. De gebruiker configureert Outlook voor zijn persoonlijke e-mail. Wanneer gebruikers hun organisatie-e-mail configureren, worden ze geblokkeerd door voorwaardelijke toegang en gevraagd om zich in te schrijven. Ze worden ingeschreven en er wordt een gebruikersinschrijvingsprofiel geïmplementeerd.
Omdat de Outlook-app is geïnstalleerd vóór het gebruikersinschrijvingsprofiel, mislukt het gebruikersinschrijvingsprofiel. De Outlook-app kan niet worden beheerd omdat deze is geïnstalleerd en geconfigureerd in de gebruikerspartitie, niet in de werkpartitie. Gebruikers moeten de Outlook-app handmatig verwijderen.
Nadat het apparaat is verwijderd, kunnen gebruikers het apparaat handmatig synchroniseren en mogelijk het gebruikersinschrijvingsprofiel opnieuw toepassen. Of mogelijk moet u een app-configuratiebeleid maken om Outlook te implementeren en er een vereiste app van te maken. Implementeer vervolgens een app-beveiligingsbeleid om de app en de bijbehorende gegevens te beveiligen.
Wijs het inschrijvingsprofiel toe aan gebruikersgroepen. Niet toewijzen aan apparaatgroepen.
Eindgebruikerstaken voor apparaatinschrijving
Uw gebruikers moeten de volgende stappen uitvoeren.
Ga naar de Apple App Store en installeer de Intune-bedrijfsportal-app.
Open de Bedrijfsportal-app en meld u aan met hun werk- of schoolaccount (
user@contoso.com
). Nadat ze zich hebben aangemeld, is uw inschrijvingsprofiel van toepassing op het apparaat.Gebruikers moeten mogelijk meer informatie invoeren. Ga naar het registreren van het apparaat voor specifiekere stappen.
Gebruikers met ingeschakelde app-meldingen ontvangen een prompt om terug te keren naar de Bedrijfsportal app om de vereiste apparaatregistratie te voltooien. Gebruikers met uitgeschakelde app-meldingen worden niet gewaarschuwd voor deze vereiste. Als u dynamische groepen gebruikt, die afhankelijk zijn van apparaatregistratie om te werken, is het belangrijk dat gebruikers de apparaatregistratie voltooien. Plan om deze stappen aan eindgebruikers door te geven. Als u beleid voor voorwaardelijke toegang (CA) gebruikt, is er geen actie vereist omdat gebruikers van apps die met ca zijn beveiligd zich proberen aan te melden, hen vragen terug te keren naar Bedrijfsportal om de apparaatregistratie te voltooien.
Wanneer de inschrijving is voltooid, installeert Intune automatisch een certificaat voor profielondertekening op het apparaat. Dit certificaat is één jaar geldig. Aan het einde van het jaar wanneer het certificaat verloopt, vernieuwt Intune het certificaat. Als de verlenging mislukt, wordt de statusNiet geverifieerd weergegeven in de instellingen voor het profiel voor apparaatbeheer van het VPN-& Apparaatbeheer>. Met deze status worden eindgebruikers niet beïnvloed en blijven apparaten inchecken met Intune en beleidsupdates ontvangen.
Gebruikers vinden het meestal niet prettig om zichzelf in te schrijven en zijn mogelijk niet bekend met de Bedrijfsportal-app. Zorg ervoor dat u richtlijnen opgeeft, inclusief welke informatie u moet invoeren. Zie Planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie over de communicatie met uw gebruikers.
Tip
Er is een korte, stapsgewijze video om uw gebruikers te helpen hun apparaten in te schrijven bij Intune:
Eindgebruikerstaken voor gebruikersinschrijving
Uw gebruikers moeten de volgende stappen uitvoeren tijdens de inschrijving van gebruikers op basis van een account.
- Open de app Instellingen en ga naar Algemene>VPN-& Apparaatbeheer.
- Meld u aan bij hun werk- of schoolaccount.
- Volg de aanwijzingen op het scherm en sta extern beheer toe.
- Voer de wachtwoordcode van het apparaat in om extern beheer in te stellen.
Wanneer de inschrijving is voltooid, installeert Intune automatisch een certificaat voor profielondertekening op het apparaat. Dit certificaat is één jaar geldig. Aan het einde van het jaar wanneer het certificaat verloopt, vernieuwt Intune het certificaat. Als de verlenging mislukt, wordt de statusNiet geverifieerd weergegeven in de instellingen voor het profiel voor apparaatbeheer van het VPN-& Apparaatbeheer>. Met deze status worden eindgebruikers niet beïnvloed en blijven apparaten inchecken met Intune en beleidsupdates ontvangen.
Ga naar Werknemers voorbereiden voor inschrijving voor meer informatie over de gebruikerservaring.