Delen via


Inschrijvingshandleiding: iOS- en iPadOS-apparaten inschrijven bij Microsoft Intune

Persoonlijke apparaten en apparaten die eigendom zijn van de organisatie kunnen worden ingeschreven bij Intune. Zodra ze zijn ingeschreven, ontvangen ze het beleid en de profielen die u maakt. U hebt de volgende opties bij het inschrijven van iOS-/iPadOS-apparaten:

Dit artikel bevat aanbevelingen voor inschrijving en bevat een overzicht van de beheerders- en gebruikerstaken voor elke iOS-/iPadOS-optie.

Er is ook een visuele handleiding met de verschillende inschrijvingsopties voor elk platform:

Een visuele weergave van Intune-inschrijvingsopties per platform
PDF-versie downloaden | Visio-versie downloaden

Tip

Deze gids is een levend ding. Zorg er dus voor dat u bestaande tips en richtlijnen toevoegt of bijwerkt die u nuttig vindt.

Voordat u begint

Voor alle Intune-specifieke vereisten en configuraties die nodig zijn om uw tenant voor te bereiden op inschrijving, gaat u naar Inschrijvingshandleiding: Microsoft Intune-inschrijving.

Geautomatiseerde apparaatinschrijving (ADE) (onder supervisie)

Voorheen Apple Device Enrollment Program (DEP) genoemd. Gebruik op apparaten die eigendom zijn van uw organisatie. Met deze optie configureert u instellingen met behulp van Apple Business Manager (ABM) of Apple School Manager (ASM). Hiermee wordt een groot aantal apparaten ingeschreven, zonder dat u de apparaten ooit aanraakt. Deze apparaten worden gekocht bij Apple, hebben uw vooraf geconfigureerde instellingen en kunnen rechtstreeks naar gebruikers of scholen worden verzonden. U maakt een inschrijvingsprofiel in het Intune-beheercentrum en pusht dit profiel naar de apparaten.

Ga naar voor meer specifieke informatie over dit inschrijvingstype:


Functie Gebruik deze inschrijvingsoptie wanneer
U wilt de supervisiemodus.

In de supervisiemodus worden software-updates geïmplementeerd, functies beperkt, apps toegestaan en geblokkeerd, en meer.
Apparaten zijn eigendom van de organisatie of school.
U hebt nieuwe apparaten.
U moet een paar apparaten of een groot aantal apparaten inschrijven (bulksgewijs inschrijven).
Apparaten zijn gekoppeld aan één gebruiker.
Apparaten zijn gebruikersloos, zoals kiosk of toegewezen apparaat.
Apparaten zijn persoonlijk of BYOD.

Niet aanbevolen. Toepassingen op BYOD- of persoonlijke apparaten kunnen worden beheerd met MAM (opent een ander Microsoft-artikel) of gebruikers- en apparaatinschrijving (in dit artikel).
U hebt bestaande apparaten.

Bestaande apparaten moeten worden ingeschreven met Apple Configurator (in dit artikel).
Apparaten worden beheerd door een andere MDM-provider.

Om volledig te worden beheerd door Intune, moeten gebruikers de registratie bij de huidige MDM-provider ongedaan maken en zich vervolgens inschrijven bij Intune. Of u kunt MAM gebruiken om specifieke apps op het apparaat te beheren. Omdat deze apparaten eigendom zijn van de organisatie, raden we u aan om u in te schrijven bij Intune.
U gebruikt het DEM-account (Device Enrollment Manager).

Het DEM-account wordt niet ondersteund.

ADE-beheerderstaken

Deze takenlijst biedt een overzicht. Ga voor meer specifieke informatie naar Apple Business Manager-inschrijving of Apple School Manager-inschrijving.

  • Zorg ervoor dat uw apparaten worden ondersteund.

  • Toegang nodig tot de Apple Business Manager-portal (ABM) of de Apple School Manager-portal (ASM).

  • Zorg ervoor dat het Apple-token (.p7m) actief is. Ga naar Een Apple ADE-token ophalen voor meer specifieke informatie.

  • Zorg ervoor dat het Apple MDM-pushcertificaat is toegevoegd aan Intune en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Ga naar Een Apple MDM-pushcertificaat ophalen voor meer informatie.

  • Bepaal hoe gebruikers zich verifiëren op hun apparaten: de bedrijfsportal-app , configuratieassistent (verouderd) of configuratieassistent met moderne verificatie. Neem deze beslissing voordat u het inschrijvingsprofiel maakt. Het gebruik van de bedrijfsportal-app of Configuratieassistent met moderne verificatie wordt beschouwd als moderne verificatie.

    • Selecteer de bedrijfsportal-app wanneer:

      • U wilt het apparaat wissen.
      • U wilt meervoudige verificatie (MFA) gebruiken.
      • U wilt gebruikers vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
      • U wilt gebruikers vragen om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
      • U wilt dat apparaten worden geregistreerd in Microsoft Entra ID. Wanneer ze zijn geregistreerd, kunt u functies gebruiken die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
      • U wilt de bedrijfsportal-app automatisch installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers.
      • U wilt het apparaat vergrendelen totdat de bedrijfsportal-app is geïnstalleerd. Nadat deze is geïnstalleerd, melden gebruikers zich aan bij de bedrijfsportal-app met het Microsoft Entra-account van hun organisatie. Vervolgens wordt het apparaat ontgrendeld en kunnen gebruikers het gebruiken.
    • Selecteer de Configuratieassistent (verouderd) wanneer:

      • U wilt het apparaat wissen.

      • U wilt geen moderne verificatiefuncties gebruiken, zoals MFA.

      • U wilt geen apparaten registreren in Microsoft Entra ID. Configuratieassistent (verouderd) verifieert de gebruiker met het Apple-token .p7m . Als het acceptabel is om apparaten niet te registreren in Microsoft Entra ID, hoeft u de bedrijfsportal-app niet te installeren. Blijf de Configuratieassistent gebruiken (verouderd).

        Als u apparaten wilt registreren in Microsoft Entra ID, installeert u de bedrijfsportal-app . Wanneer u het inschrijvingsprofiel maakt en Configuratieassistent (verouderd) selecteert, kunt u de bedrijfsportal-app installeren. We raden u aan de bedrijfsportal-app te installeren tijdens de inschrijving.

    • Selecteer de Configuratieassistent met moderne verificatie wanneer:

      • U wilt het apparaat wissen.
      • U wilt meervoudige verificatie (MFA) gebruiken.
      • U wilt gebruikers vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
      • U wilt gebruikers vragen om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
      • U wilt dat apparaten worden geregistreerd in Microsoft Entra ID. Wanneer ze zijn geregistreerd, kunt u functies gebruiken die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
      • U wilt de bedrijfsportal-app automatisch installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder Apple-id's van gebruikers.
      • U wilt dat gebruikers het apparaat gebruiken, zelfs als de bedrijfsportal-app niet is geïnstalleerd.

    Opmerking

    Om gebruikers te verifiëren, raadt Microsoft aan de bedrijfsportal-app of de Configuratieassistent te gebruiken met moderne verificatie.

    Welke optie moet u gebruiken? Dat hangt ervan af:

    • Als u het apparaat wilt gebruiken voordat de bedrijfsportal-app wordt geïnstalleerd, gebruikt u de Configuratieassistent met moderne verificatie.

      Tijdens de Configuratieassistent moeten gebruikers de Microsoft Entra-referenties van hun organisatie invoeren (user@contoso.com). Wanneer ze hun referenties invoeren, wordt de inschrijving gestart en wordt de bedrijfsportal-app geïnstalleerd. Als u wilt, kunnen gebruikers ook hun Apple ID invoeren om toegang te krijgen tot apple-specifieke functies, zoals Apple Pay.

      Nadat de Configuratieassistent is voltooid, kunnen gebruikers het apparaat gebruiken. Wanneer het startscherm wordt weergegeven, is de inschrijving voltooid en wordt de gebruikersaffiniteit tot stand gebracht. Het apparaat is niet volledig geregistreerd bij Microsoft Entra ID en wordt weergegeven als niet-compatibel in de apparatenlijst van een gebruiker in Microsoft Entra ID. Het apparaat wordt weergegeven als compatibel in het Microsoft Intune-beheercentrum.

      Nadat de bedrijfsportal-app is geïnstalleerd, wat enige tijd duurt, openen gebruikers de bedrijfsportal-app en melden ze zich opnieuw aan met het Microsoft Entra-account van hun organisatie (user@contoso.com). Tijdens deze tweede aanmelding worden eventuele beleidsregels voor voorwaardelijke toegang geëvalueerd en is de Registratie van Microsoft Entra voltooid. Gebruikers kunnen organisatieresources, waaronder LOB-apps, installeren en gebruiken. Het apparaat wordt weergegeven als compatibel in Microsoft Entra ID.

    • Als u het apparaat niet wilt gebruiken voordat de bedrijfsportal-app wordt geïnstalleerd, gebruikt u de optie Bedrijfsportal-app . Met de optie Bedrijfsportal-app wordt het apparaat vergrendeld totdat de bedrijfsportal-app is geïnstalleerd. Wanneer de installatie is voltooid, wordt de bedrijfsportal-app automatisch geopend. Gebruikers melden zich aan met hun Microsoft Entra-organisatieaccount (user@contoso.com) en kunnen het apparaat gebruiken.

  • Als u de bedrijfsportal-app gebruikt, bepaalt u hoe de bedrijfsportal-app op de apparaten wordt geïnstalleerd. Neem deze beslissing voordat u het inschrijvingsprofiel maakt.

    Opmerking

    Microsoft raadt aan het Volume Purchase Program (VPP) te gebruiken wanneer u de bedrijfsportal-app gebruikt om te verifiëren. Het is een betere ervaring voor eindgebruikers.

    Installeer de bedrijfsportal-app niet rechtstreeks vanuit de App Store op apparaten die zijn ingeschreven bij ADE. Installeer in plaats daarvan de bedrijfsportal-app met behulp van de volgende opties:

    • VPP-token + nieuwe apparaten inschrijven: als u het Volume Purchase Program (VPP) hebt en u nieuwe apparaten registreert, wordt de bedrijfsportal-app opgenomen. Wanneer u het inschrijvingsprofiel maakt in het Intune-beheercentrum, selecteert u Bedrijfsportal installeren met VPP, maakt u er een vereiste app van en schakelt u automatische app-updates in.

      Deze optie:

      • Bevat de juiste versie van de bedrijfsportal-app.
      • Is een eenmalige installatie van de bedrijfsportal-app.
      • Maakt gebruik van de functie Automatische app-updates , zodat Intune app-updates kan pushen. Ga voor meer informatie naar De bedrijfsportal-app implementeren - ADE.
    • Geen VPP-token + nieuwe apparaten inschrijven: geen beheerderstaken. Zorg ervoor dat gebruikers hun Apple ID invoeren in Configuratieassistent.

      Wanneer configuratieassistent is voltooid, probeert de bedrijfsportal-app automatisch te installeren. Als gebruikers hun Apple ID (user@iCloud.com of user@gmail.com) niet invoeren, wordt ze voortdurend gevraagd hun Apple ID in te voeren. Gebruikers moeten hun Apple-id invoeren om de bedrijfsportal-app op hun apparaten te kunnen downloaden. Wanneer de bedrijfsportal-app wordt geïnstalleerd, openen gebruikers deze en voeren ze hun organisatiereferenties (user@contoso.com) in. Wanneer ze verifiëren, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.

    • Al ingeschreven apparaten: als apparaten al zijn ingeschreven, als u VPP hebt of niet, gebruikt u een app-configuratiebeleid:

      1. Voeg in het Intune-beheercentrum de bedrijfsportal-app toe als een vereiste app en als een apparaatlicentie-app.
      2. Maak een app-configuratiebeleid dat de bedrijfsportal-app bevat als een apparaatlicentie-app. Ga voor meer specifieke informatie naar De bedrijfsportal-app configureren ter ondersteuning van iOS- en iPadOS-DEP-apparaten.
      3. Implementeer het app-configuratiebeleid in dezelfde apparaatgroep als het inschrijvingsprofiel.
      4. Wanneer apparaten inchecken bij de Intune-service, ontvangt deze uw profiel en wordt de bedrijfsportal-app geïnstalleerd.

      Deze optie:

      • Bevat de juiste versie van de bedrijfsportal-app.
      • Hiervoor moet u een inschrijvingsprofiel maken en een app-configuratiebeleid maken. Maak er in uw app-configuratiebeleid een vereiste app van, zodat u weet dat de app op al uw apparaten wordt geïmplementeerd.
      • De bedrijfsportal-app kan automatisch worden bijgewerkt door uw bestaande app-configuratiebeleid te wijzigen.
  • Maak in het Intune-beheercentrum een inschrijvingsprofiel:

    • Kies inschrijven met gebruikersaffiniteit (een gebruiker koppelen aan het apparaat) of Inschrijven zonder gebruikersaffiniteit (apparaten zonder gebruiker of gedeelde apparaten).
    • Kies waar gebruikers zich verifiëren: de bedrijfsportal-app , configuratieassistent (verouderd) of configuratieassistent met moderne verificatie.

    Ga naar Automatische apparaatinschrijving van Apple voor meer specifieke informatie en suggesties.

ADE-taken voor eindgebruikers

Wanneer u een inschrijvingsprofiel maakt in het Intune-beheercentrum, kiest u ervoor om een gebruiker aan het apparaat te koppelen (Inschrijven met gebruikersaffiniteit) of gedeelde apparaten te hebben (Inschrijven zonder gebruikersaffiniteit). De specifieke stappen zijn afhankelijk van hoe u het inschrijvingsprofiel configureert. Met gedeelde iPad worden na activering alle deelvensters van de configuratieassistent automatisch overgeslagen.

  • Inschrijven met gebruikersaffiniteit + bedrijfsportal-app:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van automatische apparaatinschrijving (ADE). Selecteer Inschrijven met gebruikersaffiniteit en gebruik de bedrijfsportal-app voor verificatie.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in. Na het invoeren wordt de bedrijfsportal-app automatisch geïnstalleerd vanuit uw inschrijvingsprofiel. Het kan enige tijd duren voordat de bedrijfsportal-app automatisch is geïnstalleerd.
    2. Gebruikers openen de bedrijfsportal-app en melden zich aan met hun organisatiereferenties (user@contoso.com). Wanneer ze zich aanmelden, wordt de inschrijving gestart. Wanneer de inschrijving is voltooid, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.

    Gebruikers moeten mogelijk meer informatie invoeren. Voor specifiekere stappen voor eindgebruikers gaat u naar Het iOS-apparaat van uw organisatie inschrijven.

  • Inschrijven met gebruikersaffiniteit + Configuratieassistent (verouderd) + bedrijfsportal-app:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van automatische apparaatinschrijving (ADE). Selecteer Inschrijven met gebruikersaffiniteit, gebruik de Configuratieassistent voor verificatie en installeer de bedrijfsportal-app.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in.

    2. De configuratieassistent vraagt de gebruiker om informatie.

    3. De bedrijfsportal-app wordt automatisch geopend en moet het apparaat in de kioskmodus vergrendelen. Het kan enige tijd duren voordat de bedrijfsportal-app is geopend. Gebruikers melden zich aan met hun organisatiereferenties (user@contoso.com) en het apparaat wordt ingeschreven bij Intune.

      In deze stap wordt het apparaat geregistreerd in Microsoft Entra ID. Gebruikers kunnen apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.

  • Inschrijven met gebruikersaffiniteit + Configuratieassistent (verouderd) - Bedrijfsportal-app:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van automatische apparaatinschrijving (ADE). Selecteer Inschrijven met gebruikersaffiniteit, gebruik de Configuratieassistent voor verificatie en installeer de bedrijfsportal-app niet.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in.
    2. De configuratieassistent vraagt de gebruiker om informatie en registreert het apparaat bij Intune. Het apparaat is niet geregistreerd in Microsoft Entra ID.
  • Inschrijven met gebruikersaffiniteit + Configuratieassistent met moderne verificatie:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van automatische apparaatinschrijving (ADE). Selecteer Inschrijven met gebruikersaffiniteit en gebruik de Configuratieassistent voor verificatie. De bedrijfsportal-app wordt automatisch geïnstalleerd.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) en microsoft-entra-referenties van hun organisatie () in.user@contoso.com

      Wanneer gebruikers hun Microsoft Entra-referenties invoeren, wordt de inschrijving gestart.

    2. Configuratieassistent vraagt de gebruiker om aanvullende informatie. Wanneer het startscherm wordt weergegeven, is de installatie voltooid. Het apparaat is volledig geregistreerd en de gebruikersaffiniteit van het apparaat is tot stand gebracht. Gebruikers kunnen hun apparaten gebruiken en uw apps en beleid op hun apparaten zien.

      Op dit moment is het apparaat niet volledig geregistreerd bij Microsoft Entra ID en wordt het weergegeven als niet-compatibel in Microsoft Entra ID. Het apparaat geeft aan dat het compatibel is in het Microsoft Intune-beheercentrum.

    3. Als u de bedrijfsportal-app installeert met VPP (aanbevolen), wordt de bedrijfsportal-app automatisch geïnstalleerd. Gebruikers openen de bedrijfsportal-app en melden zich opnieuw aan met hun werk- of schoolaccount (user@contoso.com). Ze voltooien de Microsoft Entra-registratie in de bedrijfsportal-app, waarmee het apparaat volledig wordt geregistreerd met Microsoft Entra ID. Gebruikers krijgen vervolgens toegang tot bedrijfsresources die worden beveiligd door beleid voor voorwaardelijke toegang en het apparaat wordt weergegeven als compatibel in Microsoft Entra ID.

    4. Als u geen bedrijfsportal-app installeert met VPP en de bedrijfsportal-app wilt gebruiken, gaat u als volgt te werk:

      1. Gebruikers melden zich aan bij de Apple App Store met hun Apple ID (user@iCloud.com of user@gmail.com). Wanneer ze zich aanmelden, wordt de bedrijfsportal-app automatisch geïnstalleerd.

        Deze extra aanmeldingsstap vertraagt de inschrijving, met name als gebruikers zich niet onmiddellijk aanmelden.

        Als ze zich niet aanmelden bij de App Store, wordt de bedrijfsportal-app niet geïnstalleerd. Als de app niet is geïnstalleerd, kunnen gebruikers het apparaat niet registreren in Microsoft Entra ID. Omdat de registratie van het apparaat nog niet is voltooid, wordt het apparaat weergegeven als niet-compatibel in Microsoft Entra ID. Resources die afhankelijk zijn van voorwaardelijke toegang, zijn niet beschikbaar.

      2. Gebruikers openen de bedrijfsportal-app en melden zich opnieuw aan met hun werk- of schoolaccount (user@contoso.com). Ze voltooien de Microsoft Entra-registratie in de bedrijfsportal-app, waarmee het apparaat volledig wordt geregistreerd met Microsoft Entra ID. Bij de volgende check-in krijgen gebruikers toegang tot bedrijfsresources die worden beveiligd door beleid voor voorwaardelijke toegang.

  • Inschrijven zonder gebruikersaffiniteit: geen acties. Zorg ervoor dat ze de bedrijfsportal-app niet installeren vanuit de Apple App Store.

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van automatische apparaatinschrijving (ADE). Selecteer Inschrijven zonder gebruikersaffiniteit.

Gebruikers vinden het meestal niet prettig om zichzelf in te schrijven en zijn mogelijk niet bekend met de bedrijfsportal-app. Zorg ervoor dat u richtlijnen opgeeft, inclusief welke informatie u moet invoeren. Zie Planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie over de communicatie met uw gebruikers.

Apple Configurator-inschrijving

Gebruik op apparaten die eigendom zijn van uw organisatie en omvat directe inschrijving. Voor deze optie moet u iOS-/iPadOS-apparaten fysiek aansluiten op een Mac-computer via de USB-poort.

Ga naar Apple Configurator-inschrijving voor meer specifieke informatie over dit type inschrijving.


Functie Gebruik deze inschrijvingsoptie wanneer
U hebt een bekabelde verbinding nodig of u hebt een netwerkprobleem.
Uw organisatie wil niet dat beheerders de ABM- of ASM-portals gebruiken of niet alle vereisten willen instellen.

Het idee van het niet gebruiken van de ABM- of ASM-portals is om beheerders minder controle te geven.
Een land/regio biedt geen ondersteuning voor Apple Business Manager (ABM) of Apple School Manager (ASM).

Als uw land/regio ONDERSTEUNING biedt voor ABS of ASM, moeten apparaten worden ingeschreven met geautomatiseerde apparaatinschrijving (in dit artikel).
Apparaten zijn eigendom van de organisatie of school.
U hebt nieuwe of bestaande apparaten.
U moet een paar apparaten of een groot aantal apparaten inschrijven (bulksgewijs inschrijven).

Als u een groot aantal apparaten hebt, duurt deze methode enige tijd.
Apparaten zijn gekoppeld aan één gebruiker.
Apparaten zijn gebruikersloos, zoals kiosk of toegewezen apparaat.
Apparaten zijn persoonlijk of BYOD.

Niet aanbevolen. Toepassingen op BYOD- of persoonlijke apparaten kunnen worden beheerd met MAM (opent een ander Microsoft-artikel) of gebruikers- en apparaatinschrijving (in dit artikel).
Apparaten worden beheerd door een andere MDM-provider.

Om volledig te worden beheerd door Intune, moeten gebruikers de registratie bij de huidige MDM-provider ongedaan maken en zich vervolgens inschrijven bij Intune. Of u kunt MAM gebruiken om specifieke apps op het apparaat te beheren. Omdat deze apparaten eigendom zijn van de organisatie, raden we u aan om u in te schrijven bij Intune.
U gebruikt het DEM-account (Device Enrollment Manager).

Het DEM-account wordt niet ondersteund.

Apple Configurator-beheerderstaken

Deze takenlijst biedt een overzicht. Ga voor meer specifieke informatie naar Apple Configurator-inschrijving.

  • Vereist toegang tot een Mac-computer met een USB-poort.

  • Zorg ervoor dat uw apparaten worden ondersteund.

  • Zorg ervoor dat het Apple MDM-pushcertificaat is toegevoegd aan Intune en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Ga naar Een Apple MDM-pushcertificaat ophalen voor meer informatie.

  • Bepaal hoe gebruikers zich verifiëren op hun apparaten: de bedrijfsportal-app of configuratieassistent. Neem deze beslissing voordat u het inschrijvingsprofiel maakt. Het gebruik van de bedrijfsportal-app wordt beschouwd als moderne verificatie. We raden u aan de bedrijfsportal-app te gebruiken.

    • Selecteer de bedrijfsportal-app wanneer:

      • U wilt meervoudige verificatie (MFA) gebruiken.
      • U wilt gebruikers vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
      • U wilt gebruikers vragen om hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving.
      • U wilt dat apparaten worden geregistreerd in Microsoft Entra ID. Wanneer ze zijn geregistreerd, kunt u functies gebruiken die beschikbaar zijn met Microsoft Entra ID, zoals voorwaardelijke toegang.
      • U wilt de bedrijfsportal-app automatisch installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de bedrijfsportal-app automatisch installeren tijdens de inschrijving.
    • Selecteer de Configuratieassistent wanneer:

      • U wilt geen moderne verificatiefuncties gebruiken, zoals MFA.

      • U wilt het apparaat wissen.

      • U wilt serienummers importeren.

      • U wilt geen apparaten registreren in Microsoft Entra ID. Configuratieassistent verifieert de gebruiker met het geëxporteerde inschrijvingsprofiel dat u naar het apparaat kopieert. Als het acceptabel is om apparaten niet te registreren in Microsoft Entra ID, hoeft u de bedrijfsportal-app niet te installeren. Blijf de Configuratieassistent gebruiken.

        Als u apparaten wilt registreren in Microsoft Entra ID, installeert u de bedrijfsportal-app . Wanneer u het inschrijvingsprofiel maakt en Configuratieassistent selecteert, kunt u de bedrijfsportal-app installeren. We raden u aan de bedrijfsportal-app te installeren tijdens de inschrijving.

  • Als u de bedrijfsportal-app gebruikt, moet de bedrijfsportal-app worden geïnstalleerd op apparaten met behulp van een app-configuratiebeleid. U wordt aangeraden dit beleid te maken voordat u het inschrijvingsprofiel maakt.

    Installeer de bedrijfsportal-app niet rechtstreeks vanuit de App Store op apparaten die zijn ingeschreven bij Apple Configurator. Installeer in plaats daarvan de bedrijfsportal-app met behulp van de volgende opties:

    • Nieuwe apparaten inschrijven: geen beheerderstaken. Zorg ervoor dat gebruikers hun Apple ID invoeren in Configuratieassistent.

      Wanneer configuratieassistent is voltooid, probeert de bedrijfsportal-app automatisch te installeren. Als gebruikers hun Apple ID (user@iCloud.com of user@gmail.com) niet invoeren, wordt ze voortdurend gevraagd hun Apple ID in te voeren. Gebruikers moeten hun Apple-id invoeren om de bedrijfsportal-app op hun apparaten te kunnen downloaden. Wanneer de bedrijfsportal-app wordt geïnstalleerd, openen gebruikers deze en voeren ze hun organisatiereferenties (user@contoso.com) in. Wanneer ze verifiëren, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.

    • Al ingeschreven apparaten: als apparaten al zijn ingeschreven, gebruikt u een app-configuratiebeleid:

      1. Voeg in het Intune-beheercentrum de bedrijfsportal-app toe als een vereiste app en als een apparaatlicentie-app.
      2. Maak een app-configuratiebeleid dat de bedrijfsportal-app bevat als een apparaatlicentie-app. Ga voor meer specifieke informatie naar De bedrijfsportal-app configureren ter ondersteuning van iOS- en iPadOS-DEP-apparaten.
      3. Implementeer het app-configuratiebeleid in dezelfde apparaatgroep als het inschrijvingsprofiel.
      4. Wanneer apparaten inchecken bij de Intune-service, ontvangt deze uw profiel en wordt de bedrijfsportal-app geïnstalleerd.

      Deze optie:

      • Bevat de juiste versie van de bedrijfsportal-app.
      • Hiervoor moet u een inschrijvingsprofiel maken en een app-configuratiebeleid maken. Maak er in uw app-configuratiebeleid een vereiste app van, zodat u weet dat de app op al uw apparaten wordt geïmplementeerd.
      • De bedrijfsportal-app kan automatisch worden bijgewerkt door uw bestaande app-configuratiebeleid te wijzigen.
  • Maak in het Intune-beheercentrum een inschrijvingsprofiel:

    • Kies inschrijven met gebruikersaffiniteit (een gebruiker koppelen aan het apparaat) of Inschrijven zonder gebruikersaffiniteit (apparaten zonder gebruiker of gedeelde apparaten).

    • Als u Inschrijven zonder gebruikersaffiniteit kiest, gebruikt u automatisch Directe inschrijving. Zich herinneren:

      • U gebruikt de instellingen van een bestaand macOS-inschrijvingsprofiel.
      • Gebruikers kunnen geen apps gebruiken waarvoor een gebruiker is vereist, inclusief de bedrijfsportal-app. De bedrijfsportal-app wordt niet gebruikt, nodig of ondersteund bij inschrijvingen zonder gebruikersaffiniteit. Zorg ervoor dat gebruikers de bedrijfsportal-app niet installeren vanuit de Apple App Store.
  • Wanneer het inschrijvingsprofiel gereed is, sluit u de apparaten aan op de Mac en opent u de App Apple Configurator . Wanneer de app wordt geopend, wordt het USB-apparaat gedetecteerd en wordt het Intune-inschrijvingsprofiel geïmplementeerd dat u hebt gemaakt.

Ga naar Apple Configurator-inschrijving voor meer informatie over deze inschrijvingsoptie en de bijbehorende vereisten.

Apple Configurator-taken voor eindgebruikers

De taken zijn afhankelijk van de optie die u hebt geconfigureerd in het inschrijvingsprofiel.

  • Inschrijven met gebruikersaffiniteit + bedrijfsportal-app:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van Apple Configurator. Selecteer Inschrijven met gebruikersaffiniteit en gebruik de bedrijfsportal-app voor verificatie.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in. Zodra de bedrijfsportal-app is ingevoerd, wordt deze automatisch geïnstalleerd vanuit de App Store. Het kan enige tijd duren voordat de bedrijfsportal-app automatisch is geïnstalleerd.
    2. Open de bedrijfsportal-app en meld u aan met hun organisatiereferenties (user@contoso.com). Wanneer gebruikers zich aanmelden, wordt de inschrijving gestart. Wanneer de inschrijving is voltooid, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.

    Gebruikers moeten mogelijk meer informatie invoeren. Ga voor meer specifieke stappen naar Het door uw organisatie geleverde iOS-apparaat inschrijven.

  • Inschrijven met gebruikersaffiniteit + configuratieassistent + bedrijfsportal-app:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van Apple Configurator. Selecteer Inschrijven met gebruikersaffiniteit, gebruik Configuratieassistent voor verificatie en installeer de bedrijfsportal-app.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun organisatiereferenties in (user@contoso.com). Met deze stap wordt het apparaat ingeschreven bij Intune.
    2. De configuratieassistent vraagt de gebruiker om informatie, waaronder de Apple ID (user@iCloud.com of user@gmail.com).
    3. De bedrijfsportal-app wordt automatisch geïnstalleerd vanuit de App Store. Gebruikers openen de bedrijfsportal-app en melden zich aan met hun organisatiereferenties (user@contoso.com). In deze stap wordt het apparaat geregistreerd in Microsoft Entra ID. Gebruikers kunnen apps installeren en gebruiken die door uw organisatie worden gebruikt, inclusief LOB-apps.
  • Inschrijven met gebruikersaffiniteit + Configuratieassistent - Bedrijfsportal-app:

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van Apple Configurator. Selecteer Inschrijven met gebruikersaffiniteit, gebruik Configuratieassistent voor verificatie en installeer de bedrijfsportal-app niet.

    1. Wanneer het apparaat is ingeschakeld, wordt de Apple-configuratieassistent uitgevoerd. Gebruikers voeren hun organisatiereferenties in (user@contoso.com). Met deze stap wordt het apparaat ingeschreven bij Intune.
    2. De configuratieassistent vraagt de gebruiker om informatie, waaronder de Apple ID (user@iCloud.com of user@gmail.com). Met deze stap wordt het Intune-beheerprofiel naar het apparaat gepusht.
    3. Gebruikers installeren het beheerprofiel. Het profiel wordt ingecheckt bij de Intune-service en het apparaat wordt ingeschreven. Het apparaat is niet geregistreerd in Microsoft Entra ID.
  • Inschrijven zonder gebruikersaffiniteit: u gebruikt directe inschrijving. Geen acties. Zorg ervoor dat ze de bedrijfsportal-app niet installeren vanuit de Apple App Store.

    Registreer iOS-/iPadOS-apparaten in het Intune-beheercentrum en Microsoft Intune met behulp van Apple Configurator. Selecteer Inschrijven zonder gebruikersaffiniteit.

Gebruikers vinden het meestal niet prettig om zichzelf in te schrijven en zijn mogelijk niet bekend met de bedrijfsportal-app. Zorg ervoor dat u richtlijnen opgeeft, inclusief welke informatie u moet invoeren. Zie Planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie over de communicatie met uw gebruikers.

BYOD: gebruikers- en apparaatinschrijving

Deze iOS-/iPadOS-apparaten zijn persoonlijke of BYOD-apparaten (bring your own device) die toegang hebben tot e-mail, apps en andere gegevens van de organisatie. Vanaf iOS 13 en hoger is deze inschrijvingsoptie gericht op gebruikers of apparaten. Hiervoor hoeft u de apparaten niet opnieuw in te stellen.

Wanneer u het inschrijvingsprofiel maakt, wordt u gevraagd om Gebruikersinschrijving met bedrijfsportal, Apparaatinschrijving met bedrijfsportal, Accountgestuurde gebruikersinschrijving of Bepalen op basis van gebruikerskeuze te kiezen.

Voor de specifieke inschrijvingsstappen en de bijbehorende vereisten gaat u naar Inschrijving van iOS-/iPadOS-gebruikers instellen en Inschrijving van iOS-/iPadOS-apparaten instellen.


Functie Gebruik deze inschrijvingsoptie wanneer
Apparaten zijn persoonlijk of BYOD.
U wilt een specifieke functie op het apparaat helpen beveiligen, zoals VPN per app.
U hebt nieuwe of bestaande apparaten.
U moet een paar apparaten of een groot aantal apparaten inschrijven (bulksgewijs inschrijven).
Apparaten zijn gekoppeld aan één gebruiker.
Apparaten worden beheerd door een andere MDM-provider.

Wanneer een apparaat wordt ingeschreven, installeren MDM-providers certificaten en andere bestanden. Deze bestanden moeten worden verwijderd. De snelste manier is het ongedaan maken van de registratie of het terugzetten van de fabrieksinstellingen van de apparaten. Als u de fabrieksinstellingen niet wilt terugzetten, neemt u contact op met de MDM-provider.
U gebruikt het DEM-account (Device Enrollment Manager).
Apparaten zijn eigendom van de organisatie of school.

Niet aanbevolen. Apparaten die eigendom zijn van de organisatie moeten worden ingeschreven met geautomatiseerde apparaatinschrijving (in dit artikel) of Apple Configurator (in dit artikel).
Apparaten zijn gebruikersloos, zoals kiosk of toegewezen apparaat.

Apparaten die geen gebruiker of gedeelde apparaten zijn, zijn doorgaans eigendom van de organisatie. Deze apparaten moeten worden ingeschreven met geautomatiseerde apparaatinschrijving (in dit artikel) of Apple Configurator (in dit artikel).

Beheerderstaken voor gebruikers- en apparaatinschrijving

Deze takenlijst biedt een overzicht. Ga voor meer specifieke informatie naar IOS-/iPadOS- en iPadOS-gebruikersinschrijving instellen.

  • Zorg ervoor dat uw apparaten worden ondersteund.

  • Zorg ervoor dat het Apple MDM-pushcertificaat is toegevoegd aan Intune en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Ga naar Een Apple MDM-pushcertificaat ophalen voor meer informatie.

  • Maak in het Intune-beheercentrum het inschrijvingsprofiel. Wanneer u het inschrijvingsprofiel maakt, hebt u de volgende opties:

    • Apparaatinschrijving met bedrijfsportal: deze optie is een typische inschrijving in de bedrijfsportal-app voor persoonlijke apparaten. Het apparaat wordt beheerd, niet alleen specifieke apps of functies. Houd bij deze optie rekening met de volgende informatie:

      • U kunt certificaten implementeren die van toepassing zijn op het hele apparaat.
      • Gebruikers moeten updates installeren. Alleen apparaten die zijn ingeschreven met geautomatiseerde apparaatinschrijving (ADE) kunnen updates ontvangen met mdm-beleid of -profielen.
      • Een gebruiker moet aan het apparaat zijn gekoppeld. Deze gebruiker kan een DEM-account (Device Enrollment Manager) zijn.
    • Inschrijving van apparaten op internet: vanaf iOS 15 en hoger. Deze optie is net als apparaatinschrijving met de bedrijfsportal, maar de inschrijving vindt plaats op de webversie van de Intune-bedrijfsportal, waardoor de app niet meer nodig is. Bovendien kunnen werknemers en studenten zonder beheerde Apple-id's met deze optie apparaten inschrijven en toegang krijgen tot apps die via het volume zijn gekocht.

    • Bepalen op basis van de keuze van de gebruiker: geeft eindgebruikers een keuze wanneer ze zich inschrijven. Afhankelijk van hun selectie wordt gebruikersinschrijving of Apparaatinschrijving gebruikt.

    • Gebruikersinschrijving: vanaf iOS 13 en hoger. Met deze optie configureert u een specifieke set functies en organisatie-apps, zoals wachtwoord, VPN per app, Wi-Fi en Siri. Als u gebruikersinschrijving gebruikt en apps en hun gegevens wilt beveiligen, raden we u aan ook app-beveiligingsbeleid te gebruiken.

      Voor de volledige lijst met wat u wel en niet kunt doen, gaat u naar Intune-acties en -opties die worden ondersteund met Apple-gebruikersinschrijving. Ga voor de specifieke stappen voor gebruikersinschrijving naar iOS-/iPadOS-gebruikersinschrijving instellen.

      Opmerking

      BYOD kan apparaten worden die eigendom zijn van de organisatie. Als u deze apparaten zakelijk wilt maken, gaat u naar Apparaten identificeren als bedrijfseigendom.

      Gebruikersinschrijving wordt beschouwd als vriendelijker voor eindgebruikers. Maar het biedt mogelijk niet de functieset en beveiligingsfuncties die beheerders nodig hebben. In sommige scenario's is inschrijving van gebruikers mogelijk niet de beste optie. Houd rekening met de volgende scenario's:

      • Gebruikersinschrijving maakt een werkpartitie op de apparaten. De functies en beveiliging die u in het gebruikersinschrijvingsprofiel configureert, bestaan alleen in de werkpartitie. Ze bestaan niet in de gebruikerspartitie. Gebruikers kunnen de fabrieksinstellingen van de werkpartitie niet terugzetten; beheerders kunnen. Gebruikers kunnen de fabrieksinstellingen van de persoonlijke partitie herstellen; beheerders niet.

      • Als gebruikers voornamelijk Microsoft-apps gebruiken of apps gebruiken die zijn gemaakt met de Intune App SDK, moeten gebruikers deze apps downloaden uit de Apple App Store. Gebruik vervolgens app-beveiligingsbeleid om deze apps te beveiligen. In dit scenario hebt u geen gebruikersinschrijving nodig.

      • Voor LOB-apps (Line-Of-Business) is inschrijving van gebruikers mogelijk een optie, omdat deze apps worden geïmplementeerd in de werkpartitie. Toepassingsbeheer (MAM) biedt geen ondersteuning voor LOB-apps. Dus als u LOB-apps nodig hebt, gebruikt u Gebruikersinschrijving.

      • Wanneer apparaten zijn ingeschreven met gebruikersinschrijving, kunt u niet overschakelen naar apparaatinschrijving. Met gebruikersinschrijving kunt u een app niet verplaatsen van niet-beheerd naar beheerd. Gebruikers moeten de inschrijving van gebruikers ongedaan maken en zich vervolgens opnieuw inschrijven voor apparaatinschrijving.

      • Als u apps installeert voordat het gebruikersinschrijvingsprofiel wordt toegepast, worden deze apps niet beveiligd of beheerd door het gebruikersinschrijvingsprofiel.

        Een gebruiker downloadt bijvoorbeeld de Outlook-app uit de Apple App Store. De app wordt automatisch geïnstalleerd op de gebruikerspartitie op het apparaat. De gebruiker configureert Outlook voor zijn persoonlijke e-mail. Wanneer gebruikers hun organisatie-e-mail configureren, worden ze geblokkeerd door voorwaardelijke toegang en gevraagd om zich in te schrijven. Ze worden ingeschreven en er wordt een gebruikersinschrijvingsprofiel geïmplementeerd.

        Omdat de Outlook-app is geïnstalleerd vóór het gebruikersinschrijvingsprofiel, mislukt het gebruikersinschrijvingsprofiel. De Outlook-app kan niet worden beheerd omdat deze is geïnstalleerd en geconfigureerd in de gebruikerspartitie, niet in de werkpartitie. Gebruikers moeten de Outlook-app handmatig verwijderen.

        Nadat het apparaat is verwijderd, kunnen gebruikers het apparaat handmatig synchroniseren en mogelijk het gebruikersinschrijvingsprofiel opnieuw toepassen. Of mogelijk moet u een app-configuratiebeleid maken om Outlook te implementeren en er een vereiste app van te maken. Implementeer vervolgens een app-beveiligingsbeleid om de app en de bijbehorende gegevens te beveiligen.

  • Wijs het inschrijvingsprofiel toe aan gebruikersgroepen. Niet toewijzen aan apparaatgroepen.

Eindgebruikerstaken voor gebruikers- en apparaatinschrijving

Uw gebruikers moeten de volgende stappen uitvoeren. Voor de specifieke gebruikerservaring gaat u naar het apparaat inschrijven.

  1. Ga naar de Apple App Store en installeer de Intune-bedrijfsportal-app.

  2. Open de bedrijfsportal-app en meld u aan met hun organisatiereferenties (user@contoso.com). Nadat ze zich hebben aangemeld, is uw inschrijvingsprofiel van toepassing op het apparaat.

    Gebruikers moeten mogelijk meer informatie invoeren. Ga naar het registreren van het apparaat voor specifiekere stappen.

Gebruikers met ingeschakelde app-meldingen ontvangen een prompt om terug te keren naar de bedrijfsportal-app om de vereiste apparaatregistratie te voltooien. Gebruikers met uitgeschakelde app-meldingen worden niet gewaarschuwd voor deze vereiste. Als u dynamische groepen gebruikt, die afhankelijk zijn van apparaatregistratie om te werken, is het belangrijk dat gebruikers de apparaatregistratie voltooien. Plan om deze stappen aan eindgebruikers door te geven. Als u beleid voor voorwaardelijke toegang (CA) gebruikt, is er geen actie vereist, omdat gebruikers van met ca-beveiliging beveiligde apps hen zullen vragen terug te keren naar de bedrijfsportal om de apparaatregistratie te voltooien.

Wanneer de inschrijving is voltooid, installeert Intune automatisch een certificaat voor profielondertekening op het apparaat. Dit certificaat is één jaar geldig. Aan het einde van het jaar wanneer het certificaat verloopt, wordt het certificaat vernieuwd door Intune. Als dit vernieuwingsproces mislukt, wordt op het apparaat de status Niet geverifieerd weergegeven in de app Instellingen-app>Algemeen>VPN & Profiel voor apparaatbeheerbeheer>. Met deze status worden eindgebruikers niet beïnvloed en blijven apparaten inchecken bij Intune en beleidsupdates ontvangen.

Gebruikers vinden het meestal niet prettig om zichzelf in te schrijven en zijn mogelijk niet bekend met de bedrijfsportal-app. Zorg ervoor dat u richtlijnen opgeeft, inclusief welke informatie u moet invoeren. Zie Planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie over de communicatie met uw gebruikers.

Tip

Er is een korte, stapsgewijze video om uw gebruikers te helpen hun apparaten in Te schrijven bij Intune:

Uw iOS-/iPadOS-apparaat inschrijven