Verificatiemethoden voor geautomatiseerde apparaatinschrijving in Intune

  • Artikel

Van toepassing op iOS/iPadOS

In dit artikel worden de verificatiemethoden beschreven die beschikbaar zijn voor iOS-/iPadOS-apparaten die zijn ingeschreven bij Intune via geautomatiseerde apparaatinschrijving. Beschikbare verificatiemethoden zijn onder andere:

  • Intune-bedrijfsportal-app
  • Configuratieassistent met moderne verificatie
  • Just-In-Time-registratie (JIT) voor Configuratieassistent met moderne verificatie
  • Configuratieassistent (verouderd)

Alle methoden zijn beschikbaar voor apparaten in bedrijfseigendom met gebruikersaffiniteit en aangeschaft via Apple Business Manager of Apple School Manager.

Optie 1: Intune-bedrijfsportal app

Gebruik de Intune-bedrijfsportal-app als verificatiemethode als u het volgende wilt doen:

  • Meervoudige verificatie (MFA) gebruiken.
  • Vraag gebruikers hun wachtwoord te wijzigen wanneer ze zich voor het eerst aanmelden.
  • Vraag gebruikers om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
  • Registreer apparaten in Microsoft Entra ID en gebruik functies die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
  • Installeer de Bedrijfsportal-app automatisch tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u tijdens de inschrijving automatisch Bedrijfsportal app installeren zonder Apple-id's van gebruikers.
  • U wilt het apparaat vergrendelen totdat de Bedrijfsportal-app is geïnstalleerd.

Voorzichtigheid

Intune blokkeert een inschrijving die gebruikmaakt van deze verificatiemethode als de apparaatgebruiker het doelwit is van een accountgestuurd Apple-gebruikersinschrijvingsprofieltype. Dit gedrag wordt verwacht. De gebruiker ontvangt een foutbericht met de mededeling dat het account geen ondersteuning biedt voor inschrijving via de Bedrijfsportal-app en dat deze zich moet inschrijven via de Bedrijfsportal-website. Als u wilt zorgen voor succesvolle inschrijvingen via geautomatiseerde apparaatinschrijving, gebruikt u Optie 2: Configuratieassistent met moderne verificatie als verificatiemethode bij het werken met profieltypen voor apple-gebruikersregistratie op basis van een account.

Optie 2: Configuratieassistent met moderne verificatie

Deze optie biedt dezelfde beveiliging als Intune-bedrijfsportal verificatie, maar is anders omdat de gebruiker hiermee toegang heeft tot onderdelen van het apparaat, zelfs als de Bedrijfsportal niet is geïnstalleerd. Gebruik deze optie voor verificatie wanneer u het volgende wilt doen:

  • Wis het apparaat.
  • Meervoudige verificatie (MFA) gebruiken.
  • Vraag gebruikers hun wachtwoord te wijzigen wanneer ze zich voor het eerst aanmelden.
  • Vraag gebruikers om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
  • Registreer apparaten in Microsoft Entra ID en gebruik functies die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
  • Installeer de Bedrijfsportal-app automatisch tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u tijdens de inschrijving automatisch Bedrijfsportal app installeren zonder Apple-id's van gebruikers.
  • Gebruikers toestaan het apparaat te gebruiken, zelfs als de Bedrijfsportal-app niet is geïnstalleerd.

Configuratieassistent met moderne verificatie wordt ondersteund op apparaten met iOS/iPadOS 13.0 en hoger. Oudere iOS-/iPadOS-apparaten waaraan dit type profiel is toegewezen, vallen terug op verificatie van configuratieassistent (verouderd).

Automatisch Bedrijfsportal-app installeren

Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de Bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers. Als u automatische installatie in uw inschrijvingsprofiel wilt inschakelen, selecteert u Ja voor Installeren Bedrijfsportal met VPP. We raden u aan deze optie te gebruiken.

Als u de VPP-optie niet gebruikt, moet de gebruiker van het apparaat de Apple-id invoeren tijdens de Configuratieassistent of wanneer Intune Bedrijfsportal probeert te installeren.

In beide scenario's wordt de Bedrijfsportal installatieoptie verborgen voor de gebruiker van het apparaat en wordt de Bedrijfsportal een vereiste app op het apparaat. Wanneer de gebruiker het startscherm bereikt, past Intune automatisch het juiste app-configuratiebeleid toe op het apparaat.

Voorzichtigheid

Verzend geen afzonderlijk app-configuratiebeleid naar de Bedrijfsportal voor iOS-/iPadOS-apparaten nadat u zich hebt ingeschreven met Configuratieassistent met moderne verificatie. Als u dit doet, resulteert dit in een fout.

Meervoudige verificatie

Meervoudige verificatie (MFA) is vereist als een beleid voor voorwaardelijke toegang waarvoor dit is vereist, wordt toegepast bij de inschrijving of tijdens Bedrijfsportal aanmelding. MFA is echter optioneel, op basis van de Microsoft Entra instellingen in het beoogde beleid voor voorwaardelijke toegang.

MFA werkt niet voor Configuratieassistent met moderne verificatie als u een MFA-provider van derden gebruikt om het MFA-scherm te presenteren tijdens de inschrijving. Alleen het scherm Microsoft Entra meervoudige verificatie werkt tijdens de inschrijving.

Bedrijfsportal actie vereist

Nadat ze de schermen van de configuratieassistent hebben doorlopen, komt de gebruiker van het apparaat op de startpagina terecht. Op dit moment is hun gebruikersaffiniteit tot stand gebracht. Totdat de gebruiker zich echter aanmeldt bij de Bedrijfsportal met de Microsoft Entra referenties en Begin selecteert, wordt het apparaat:

  • Wordt niet volledig geregistreerd bij Microsoft Entra ID.
  • Wordt niet weergegeven in de apparatenlijst van de gebruiker in Microsoft Entra ID.
  • Heeft geen toegang tot resources die zijn beveiligd met voorwaardelijke toegang.
  • Niet geëvalueerd op apparaatcompatibiliteit.
  • Omgeleid naar de Bedrijfsportal vanuit andere apps als de gebruiker probeert beheerde toepassingen te openen die zijn beveiligd met voorwaardelijke toegang.

Optie 3: Just-In-Time-registratie voor Configuratieassistent met moderne verificatie

Deze optie is hetzelfde als configuratieassistent met moderne verificatie, behalve dat Bedrijfsportal niet is vereist voor Microsoft Entra registratie of naleving. In plaats daarvan zijn Microsoft Entra registratie- en nalevingscontroles volledig geïntegreerd in een aangewezen Microsoft- of niet-Microsoft-app die is geconfigureerd met de Apple-app-extensie voor eenmalige aanmelding (SSO). De extensie vermindert verificatieprompts en stelt eenmalige aanmelding op het hele apparaat tot stand. JIT-registratie vraagt gebruikers twee keer om zich te verifiëren:

  • Eén verificatie zorgt voor inschrijving en affiniteit tussen gebruikers en apparaten, en vindt plaats wanneer de gebruiker van het apparaat het apparaat inschakelt en zich aanmeldt bij Configuratieassistent.
  • Een andere verificatie verwerkt Microsoft Entra registratie en vindt plaats wanneer de gebruiker zich aanmeldt bij de aangewezen app. In deze app worden ook nalevingscontroles uitgevoerd.

Opmerking

Als uw organisatie Microsoft Defender voor Eindpunt gebruikt, moet u ervoor zorgen dat JIT-registratie en nalevingsherstel naar verwachting werken als de Microsoft Defender voor Eindpunt app niet de eerste app is die gebruikers openen.

Zodra de gebruiker van het apparaat het startscherm heeft bereikt, kan deze zich aanmelden bij elke werk- of school-app die is geconfigureerd met de SSO-extensie om Microsoft Entra registratie- en nalevingscontroles te voltooien. Met eenmalige aanmelding wordt de gebruiker aangemeld bij alle apps die deel uitmaken van uw SSO-extensiebeleid. Op dat moment kunnen ze zich ook handmatig aanmelden bij elke app die niet is geconfigureerd voor het gebruik van de SSO-extensie.

JIT-registratie instellen met automatische apparaatinschrijving:

  1. Maak een apparaatconfiguratiebeleid en configureer de instellingen onder de categorie App-extensie voor eenmalige aanmelding . Zie Just-In-Time-registratie instellen voor stappen.

  2. Maak een Apple-inschrijvingsprofiel en selecteer Configuratieassistent met moderne verificatie als verificatiemethode. Een actief, geautomatiseerd apparaatinschrijvingstoken van Apple Business Manager of Apple School Manager moet aanwezig zijn in Intune om deze stap te voltooien.

  3. Wanneer u de pagina Opdrachten in het inschrijvingsprofiel opent, wijst u het profiel toe aan de apparaten die zijn gesynchroniseerd vanuit Apple Business Manager en Apple School Manager. Nadat u het profiel hebt toegewezen, kunnen werknemers en leerlingen/studenten de installatie en verificatie op hun apparaten voltooien.

    Opmerking

    De Bedrijfsportal wordt nog steeds verzonden naar apparaten als een vereiste app, ook al is deze niet vereist voor Microsoft Entra registratie of naleving. Apparaatgebruikers kunnen de Bedrijfsportal-app gebruiken om logboeken te verzamelen en te uploaden als ze problemen ondervinden in de app.

Voorbeeld van geslaagde verificatie

In de volgende reeks gebeurtenissen wordt een voorbeeld beschreven van hoe een geslaagde verificatie eruitziet met JIT-registratie voor Configuratieassistent met moderne verificatie. De ervaring van uw organisatie kan verschillen, afhankelijk van de configuraties van uw geautomatiseerde apparaatinschrijving.

  1. De gebruiker van het apparaat schakelt het apparaat in.

  2. Configuratieassistent wordt gestart. De gebruiker van het apparaat verifieert zich met zijn Microsoft Entra referenties in Configuratieassistent.

  3. De gebruiker van het apparaat voltooit meervoudige verificatie als dat is vereist in het beleid voor voorwaardelijke toegang.

  4. De registratie van het apparaat bij Intune is voltooid en de affiniteit tussen gebruiker en apparaat is tot stand gebracht.

  5. De gebruiker van het apparaat landt op het startscherm en opent Microsoft Teams of een andere Office-app en meldt zich aan met het werkaccount. Als het apparaat voldoet aan alle nalevingsvereisten, heeft de gebruiker van het apparaat direct toegang tot zijn of haar berichten en agenda.

    Opmerking

    Tijdens Microsoft Entra registratie ziet de gebruiker van het apparaat mogelijk een korte spinner terwijl Intune de nalevingscontroles voltooit. Dit is te verwachten gedrag.

  6. Met de SSO-extensie wordt eenmalige aanmelding in alle andere doel-apps en alle Microsoft-apps tot stand brengt.

  7. Het apparaat is geregistreerd bij Microsoft Entra ID en voldoet aan het beleid. U kunt de status van het apparaat bekijken in het beheercentrum en Microsoft Entra ID. De gebruiker van het apparaat kan de status in Intune-bedrijfsportal bekijken en Bedrijfsportal gebruiken voor naleving, app-inventarisatie, apparaatsynchronisatie en het delen van logboeken.

  8. De gebruiker van het apparaat opent Teams en wordt automatisch aangemeld.

Optie 4: Configuratieassistent (verouderd)

Gebruik de verouderde Configuratieassistent als u wilt dat gebruikers de typische out-of-box-ervaring voor Apple-producten ervaren. Met deze optie worden vooraf geconfigureerde standaardinstellingen geïnstalleerd wanneer het apparaat wordt ingeschreven bij Intune. Gebruik deze optie voor verificatie wanneer:

  • U wilt een apparaat wissen.
  • U wilt geen moderne verificatiefuncties, zoals meervoudige verificatie.
  • U wilt geen apparaten registreren in Microsoft Entra ID. Configuratieassistent (verouderd) verifieert de gebruiker met het Apple .p7m-token.

Als u Active Directory Federation Services gebruikt en Configuratieassistent gebruikt om te verifiëren, is een WS-Trust 1.3 Gebruikersnaam/Gemengd eindpunt vereist. Zie Get-AdfsEndpoint in onze referentiehandleiding voor Windows PowerShell voor meer informatie.

Volgende stappen

Nu u weet welke verificatiemethode u gebruikt, maakt u een Apple-inschrijvingsprofiel en selecteert u de verificatiemethode wanneer u hierom wordt gevraagd. Een actief, geautomatiseerd apparaatinschrijvingstoken van Apple Business Manager of Apple School Manager moet aanwezig zijn in Intune om deze stap te voltooien.