Verificatiemethoden voor geautomatiseerde apparaatinschrijving in Intune
Van toepassing op iOS/iPadOS
In dit artikel worden de verificatiemethoden beschreven die beschikbaar zijn voor iOS-/iPadOS-apparaten die zijn ingeschreven bij Intune via geautomatiseerde apparaatinschrijving. Beschikbare verificatiemethoden zijn onder andere:
- Intune-bedrijfsportal-app
- Configuratieassistent met moderne verificatie
- Just-In-Time-registratie (JIT) voor Configuratieassistent met moderne verificatie
- Configuratieassistent (verouderd)
Alle methoden zijn beschikbaar voor apparaten in bedrijfseigendom met gebruikersaffiniteit en aangeschaft via Apple Business Manager of Apple School Manager.
Optie 1: Intune-bedrijfsportal-app
Gebruik de Intune-bedrijfsportal-app als verificatiemethode als u het volgende wilt doen:
- Meervoudige verificatie (MFA) gebruiken.
- Vraag gebruikers hun wachtwoord te wijzigen wanneer ze zich voor het eerst aanmelden.
- Vraag gebruikers om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
- Registreer apparaten in Microsoft Entra ID en gebruik functies die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
- Installeer de bedrijfsportal-app automatisch tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers.
- U wilt het apparaat vergrendelen totdat de bedrijfsportal-app is geïnstalleerd.
Voorzichtigheid
Intune blokkeert een inschrijving die gebruikmaakt van deze verificatiemethode als de apparaatgebruiker het doelwit is van een accountgestuurd Apple-gebruikersinschrijvingsprofieltype. Dit gedrag wordt verwacht. De gebruiker ontvangt een foutbericht met de mededeling dat het account geen ondersteuning biedt voor inschrijving via de bedrijfsportal-app en dat deze zich moet inschrijven via de bedrijfsportalwebsite. Als u wilt zorgen voor succesvolle inschrijvingen via geautomatiseerde apparaatinschrijving, gebruikt u Optie 2: Configuratieassistent met moderne verificatie als verificatiemethode bij het werken met profieltypen voor apple-gebruikersregistratie op basis van een account.
Optie 2: Configuratieassistent met moderne verificatie
Deze optie biedt dezelfde beveiliging als intune-bedrijfsportalverificatie, maar is anders omdat het apparaat hiermee toegang krijgt tot onderdelen van het apparaat, zelfs als de bedrijfsportal niet is geïnstalleerd. Gebruik deze optie voor verificatie wanneer u het volgende wilt doen:
- Wis het apparaat.
- Meervoudige verificatie (MFA) gebruiken.
- Vraag gebruikers hun wachtwoord te wijzigen wanneer ze zich voor het eerst aanmelden.
- Vraag gebruikers om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
- Registreer apparaten in Microsoft Entra ID en gebruik functies die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
- Installeer de bedrijfsportal-app automatisch tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers.
- Gebruikers toestaan het apparaat te gebruiken, zelfs als de bedrijfsportal-app niet is geïnstalleerd.
Configuratieassistent met moderne verificatie wordt ondersteund op apparaten met iOS/iPadOS 13.0 en hoger. Oudere iOS-/iPadOS-apparaten waaraan dit type profiel is toegewezen, vallen terug op verificatie van configuratieassistent (verouderd).
Bedrijfsportal-app automatisch installeren
Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers. Als u automatische installatie in uw inschrijvingsprofiel wilt inschakelen, selecteert u Ja bij Bedrijfsportal installeren met VPP. We raden u aan deze optie te gebruiken.
Als u de VPP-optie niet gebruikt, moet de gebruiker van het apparaat de Apple ID invoeren tijdens configuratieassistent of wanneer Intune de bedrijfsportal probeert te installeren.
In beide scenario's is de installatieoptie bedrijfsportal verborgen voor de gebruiker van het apparaat en wordt de bedrijfsportal een vereiste app op het apparaat. Wanneer de gebruiker het startscherm bereikt, past Intune automatisch het juiste app-configuratiebeleid toe op het apparaat.
Voorzichtigheid
Verzend geen afzonderlijk app-configuratiebeleid naar de bedrijfsportal voor iOS-/iPadOS-apparaten nadat u zich hebt ingeschreven met Configuratieassistent met moderne verificatie. Als u dit doet, resulteert dit in een fout.
Meervoudige verificatie
Meervoudige verificatie (MFA) is vereist als een beleid voor voorwaardelijke toegang waarvoor dit is vereist , wordt toegepast bij de inschrijving of tijdens het aanmelden in de bedrijfsportal. MFA is echter optioneel, op basis van de Microsoft Entra-instellingen in het beoogde beleid voor voorwaardelijke toegang.
Externe verificatiemethoden worden ondersteund in Microsoft Entra ID, wat betekent dat u uw favoriete MFA-oplossing kunt gebruiken om MFA te vergemakkelijken tijdens de apparaatinschrijving. Als u ervoor kiest om een externe MFA-provider te gebruiken, voert u, voordat u inschrijvingsprofielen op alle apparaten implementeert, een testuitvoering uit om ervoor te zorgen dat zowel het Microsoft Entra MFA-scherm als MFA tijdens de inschrijving werken. Zie Openbare preview: Externe verificatiemethoden in Microsoft Entra ID voor meer informatie en ondersteuning over externe verificatiemethoden.
Actie bedrijfsportal vereist
Nadat ze de schermen van de configuratieassistent hebben doorlopen, komt de gebruiker van het apparaat op de startpagina terecht. Op dit moment is hun gebruikersaffiniteit tot stand gebracht. Totdat de gebruiker zich echter aanmeldt bij de bedrijfsportal met behulp van de Microsoft Entra-referenties en Begin selecteert, wordt het apparaat:
- Wordt niet volledig geregistreerd bij Microsoft Entra ID.
- Wordt niet weergegeven in de apparatenlijst van de gebruiker in Microsoft Entra ID.
- Heeft geen toegang tot resources die zijn beveiligd met voorwaardelijke toegang.
- Niet geëvalueerd op apparaatcompatibiliteit.
- Omgeleid naar de Bedrijfsportal vanuit andere apps als de gebruiker probeert beheerde toepassingen te openen die zijn beveiligd met voorwaardelijke toegang.
Optie 3: Just-In-Time-registratie voor Configuratieassistent met moderne verificatie
Deze optie is hetzelfde als configuratieassistent met moderne verificatie, behalve dat bedrijfsportal niet is vereist voor Microsoft Entra-registratie of -naleving. In plaats daarvan zijn registratie- en nalevingscontroles van Microsoft Entra volledig geïntegreerd in een aangewezen Microsoft- of niet-Microsoft-app die is geconfigureerd met de App-extensie voor eenmalige aanmelding (SSO) van Apple. De extensie vermindert verificatieprompts en stelt eenmalige aanmelding op het hele apparaat tot stand. JIT-registratie vraagt gebruikers twee keer om zich te verifiëren:
- Eén verificatie zorgt voor inschrijving en affiniteit tussen gebruikers en apparaten, en vindt plaats wanneer de gebruiker van het apparaat het apparaat inschakelt en zich aanmeldt bij Configuratieassistent.
- Een andere verificatie verwerkt de Microsoft Entra-registratie en vindt plaats wanneer de gebruiker zich aanmeldt bij de aangewezen app. In deze app worden ook nalevingscontroles uitgevoerd.
Opmerking
Als uw organisatie Gebruikmaakt van Microsoft Defender voor Eindpunt, moet u ervoor zorgen dat de JIT-registratie en nalevingsherstel naar verwachting werken. Zorg er dan voor dat de Microsoft Defender voor Eindpunt-app niet de eerste app is die gebruikers openen.
Zodra de gebruiker van het apparaat het startscherm heeft bereikt, kan deze zich aanmelden bij elke werk- of school-app die is geconfigureerd met de SSO-extensie om registratie en nalevingscontroles van Microsoft Entra te voltooien. Met eenmalige aanmelding wordt de gebruiker aangemeld bij alle apps die deel uitmaken van uw SSO-extensiebeleid. Op dat moment kunnen ze zich ook handmatig aanmelden bij elke app die niet is geconfigureerd voor het gebruik van de SSO-extensie.
JIT-registratie instellen met automatische apparaatinschrijving:
Maak een apparaatconfiguratiebeleid en configureer de instellingen onder de categorie App-extensie voor eenmalige aanmelding . Zie Just-In-Time-registratie instellen voor stappen.
Maak een Apple-inschrijvingsprofiel en selecteer Configuratieassistent met moderne verificatie als verificatiemethode. Een actief, geautomatiseerd apparaatinschrijvingstoken van Apple Business Manager of Apple School Manager moet aanwezig zijn in Intune om deze stap te voltooien.
Wanneer u de pagina Opdrachten in het inschrijvingsprofiel opent, wijst u het profiel toe aan de apparaten die zijn gesynchroniseerd vanuit Apple Business Manager en Apple School Manager. Nadat u het profiel hebt toegewezen, kunnen werknemers en leerlingen/studenten de installatie en verificatie op hun apparaten voltooien.
Opmerking
De bedrijfsportal wordt nog steeds verzonden naar apparaten als een vereiste app, ook al is deze niet vereist voor Microsoft Entra-registratie of -naleving. Apparaatgebruikers kunnen de bedrijfsportal-app gebruiken om logboeken te verzamelen en te uploaden als ze problemen ondervinden in de app.
Voorbeeld van geslaagde verificatie
In de volgende reeks gebeurtenissen wordt een voorbeeld beschreven van hoe een geslaagde verificatie eruitziet met JIT-registratie voor Configuratieassistent met moderne verificatie. De ervaring van uw organisatie kan verschillen, afhankelijk van de configuraties van uw geautomatiseerde apparaatinschrijving.
De gebruiker van het apparaat schakelt het apparaat in.
Configuratieassistent wordt gestart. De apparaatgebruiker verifieert zich met zijn of haar Microsoft Entra-referenties in Configuratieassistent.
De gebruiker van het apparaat voltooit meervoudige verificatie als dat is vereist in het beleid voor voorwaardelijke toegang.
De registratie van het apparaat bij Intune is voltooid en de affiniteit tussen gebruiker en apparaat is tot stand gebracht.
De gebruiker van het apparaat landt op het startscherm en opent Microsoft Teams of een andere Office-app en meldt zich aan met het werkaccount. Als het apparaat voldoet aan alle nalevingsvereisten, heeft de gebruiker van het apparaat direct toegang tot zijn of haar berichten en agenda.
Opmerking
Tijdens de Registratie van Microsoft Entra ziet de gebruiker van het apparaat mogelijk een korte spinner terwijl Intune de nalevingscontroles voltooit. Dit is te verwachten gedrag.
Met de SSO-extensie wordt eenmalige aanmelding in alle andere doel-apps en alle Microsoft-apps tot stand brengt.
Het apparaat is geregistreerd met Microsoft Entra ID en voldoet aan het beleid. U kunt de status van het apparaat bekijken in het beheercentrum en Microsoft Entra ID. De gebruiker van het apparaat kan de status bekijken in de Intune-bedrijfsportal en de bedrijfsportal gebruiken voor naleving, app-inventarisatie, apparaatsynchronisatie en het delen van logboeken.
De gebruiker van het apparaat opent Teams en wordt automatisch aangemeld.
Optie 4: Configuratieassistent (verouderd)
Gebruik de verouderde Configuratieassistent als u wilt dat gebruikers de typische out-of-box-ervaring voor Apple-producten ervaren. Met deze optie worden vooraf geconfigureerde standaardinstellingen geïnstalleerd wanneer het apparaat wordt ingeschreven bij Intune. Gebruik deze optie voor verificatie wanneer:
- U wilt een apparaat wissen.
- U wilt geen moderne verificatiefuncties, zoals meervoudige verificatie.
- U wilt geen apparaten registreren in Microsoft Entra ID. Configuratieassistent (verouderd) verifieert de gebruiker met het Apple .p7m-token.
Als u Active Directory Federation Services gebruikt en Configuratieassistent gebruikt om te verifiëren, is een WS-Trust 1.3 Gebruikersnaam/Gemengd eindpunt vereist. Zie Get-AdfsEndpoint in onze Windows PowerShell-referentiehandleiding voor meer informatie.
Volgende stappen
Nu u weet welke verificatiemethode u gebruikt, maakt u een Apple-inschrijvingsprofiel en selecteert u de verificatiemethode wanneer u hierom wordt gevraagd. Een actief, geautomatiseerd apparaatinschrijvingstoken van Apple Business Manager of Apple School Manager moet aanwezig zijn in Intune om deze stap te voltooien.