Ustawienia urządzeń z systemem iOS i iPadOS umożliwiające korzystanie z typowych funkcji systemu iOS/iPadOS w Intune

  • Artykuł

Uwaga

Intune może obsługiwać więcej ustawień niż ustawienia wymienione w tym artykule. Nie wszystkie ustawienia są udokumentowane i nie zostaną udokumentowane. Aby wyświetlić ustawienia, które można skonfigurować, utwórz zasady konfiguracji urządzenia i wybierz pozycję Katalog ustawień. Aby uzyskać więcej informacji, przejdź do katalogu ustawień.

Intune zawiera wbudowane ustawienia umożliwiające użytkownikom systemu iOS/iPadOS korzystanie z różnych funkcji firmy Apple na swoich urządzeniach. Możesz na przykład kontrolować drukarki AirPrint, dodawać aplikacje i foldery do stron docka i ekranu głównego, wyświetlać powiadomienia aplikacji, pokazywać szczegóły tagu zasobu na ekranie blokady, używać uwierzytelniania logowania jednokrotnego i używać uwierzytelniania certyfikatu.

Ta funkcja ma zastosowanie do:

  • iOS/iPadOS

Te funkcje umożliwiają sterowanie urządzeniami z systemem iOS/iPadOS w ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM).

W tym artykule wymieniono te ustawienia i opisano, co robi każde ustawienie. Aby uzyskać więcej informacji na temat tych funkcji, przejdź do tematu Dodawanie ustawień funkcji urządzeń z systemem iOS/iPadOS lub macOS.

Przed rozpoczęciem

Utwórz profil konfiguracji funkcji urządzeń z systemem iOS/iPadOS.

Uwaga

Te ustawienia mają zastosowanie do różnych typów rejestracji, przy czym niektóre ustawienia są stosowane do wszystkich opcji rejestracji. Aby uzyskać więcej informacji na temat różnych typów rejestracji, przejdź do pozycji Rejestracja w systemie iOS/iPadOS.

Airprint

Ustawienia mają zastosowanie do: Wszystkie typy rejestracji

Uwaga

Pamiętaj, aby dodać wszystkie drukarki do tego samego profilu. Firma Apple uniemożliwia kierowanie wielu profilów funkcji AirPrint do tego samego urządzenia.

  • Adres IP: wprowadź adres IPv4 lub IPv6 drukarki. Jeśli używasz nazw hostów do identyfikowania drukarek, możesz uzyskać adres IP, wysyłając polecenie ping do drukarki w terminalu. Uzyskaj adres IP i ścieżkę (w tym artykule) zawiera więcej szczegółów.

  • Ścieżka zasobu: ścieżka jest zwykle ipp/print w przypadku drukarek w sieci. Uzyskaj adres IP i ścieżkę (w tym artykule) zawiera więcej szczegółów.

  • Port: wprowadź port nasłuchiwania miejsca docelowego funkcji AirPrint. Jeśli ta właściwość pozostanie pusta, funkcja AirPrint użyje portu domyślnego.

    Ta funkcja ma zastosowanie do:

    • iOS 11.0+
    • iPadOS 13.0+

  • Wymuszaj protokół TLS: Ustawienie Wyłącz (domyślne) nie zabezpiecza połączeń funkcji AirPrint za pomocą protokołu TLS. Włączanie zabezpiecza połączenia funkcji AirPrint przy użyciu protokołu Transport Layer Security (TLS).

    Ta funkcja ma zastosowanie do:

    • iOS 11.0+
    • iPadOS 13.0+

Aby dodać serwery AirPrint, możesz:

  • Wprowadź szczegóły drukarki, aby dodać lokalizację docelową funkcji AirPrint do listy. Można dodać wiele serwerów AirPrint.
  • Zaimportuj plik rozdzielany przecinkami (.csv) przy użyciu tych informacji. Możesz też wyeksportować , aby utworzyć listę dodanych serwerów AirPrint.

Pobieranie adresu IP serwera, ścieżki zasobu i portu

Aby dodać serwery AirPrinter, potrzebny jest adres IP drukarki, ścieżka zasobu i port. Poniższe kroki pokazują, jak uzyskać te informacje.

  1. Na komputerze Mac, który łączy się z tą samą siecią lokalną (podsiecią) co drukarki AirPrint, otwórz aplikację Terminal (z /Applications/Utilities).

  2. W aplikacji Terminal wprowadź ciąg ippfind, a następnie wybierz pozycję enter.

    Zanotuj informacje o drukarce. Na przykład może zwrócić coś takiego jak ipp://myprinter.local.:631/ipp/port1. Pierwsza część to nazwa drukarki. Ostatnia część (ipp/port1) to ścieżka zasobu.

  3. W aplikacji Terminal wprowadź ciąg ping myprinter.local, a następnie wybierz pozycję enter.

    Zanotuj adres IP. Na przykład może zwrócić coś takiego jak PING myprinter.local (10.50.25.21).

  4. Użyj wartości adresu IP i ścieżki zasobu. W tym przykładzie adres IP to 10.50.25.21, a ścieżka zasobu to /ipp/port1.

Układ ekranu głównego

Ta funkcja ma zastosowanie do:

  • System iOS 9.3 lub nowszy
  • System iPadOS 13.0 i nowsze
  • Automatyczna rejestracja urządzeń (nadzorowana)

Co musisz wiedzieć

  • Dodaj aplikację tylko raz do docka, strony, folderu na stronie lub folderu w doku. Dodanie tej samej aplikacji w dwóch miejscach uniemożliwia wyświetlanie aplikacji na urządzeniach i może wyświetlać błędy raportowania.

    Jeśli na przykład dodasz aplikację aparatu do stacji dokującej i strony, aplikacja aparatu fotograficznego nie zostanie wyświetlona, a w raportach może zostać wyświetlony błąd zasad. Aby dodać aplikację aparatu do układu ekranu głównego, wybierz tylko dok lub stronę, a nie obie.

  • Zastosowanie układu ekranu głównego powoduje zastąpienie dowolnego układu zdefiniowanego przez użytkownika. Dlatego zalecamy używanie układów ekranu głównego na urządzeniach bez użycia.

  • Na urządzeniu mogą być zainstalowane istniejące aplikacje, które nie są uwzględnione w konfiguracji układu ekranu głównego. Te aplikacje są wyświetlane w kolejności alfabetycznej po skonfigurowanych aplikacjach.

  • Jeśli używasz ustawień siatki ekranu głównego do dodawania stron lub dodawania stron i aplikacji do docka, ikony na ekranie głównym i stronach są zablokowane. Nie można ich przenieść ani usunąć. Takie zachowanie może być przeznaczone dla systemów iOS/iPadOS i zasad MDM firmy Apple.

Ekran główny

Ta funkcja służy do dodawania aplikacji. Zobacz też, jak te aplikacje wyglądają na stronach, w docku i w folderach. Zostanie również wyświetlone ikony aplikacji. Aplikacje programu Volume Purchase Program (VPP), aplikacje biznesowe i aplikacje internetowe (adresy URL aplikacji internetowej) są wypełniane z dodanych aplikacji klienckich.

  • Rozmiar siatki: wybierz odpowiedni rozmiar siatki dla ekranu głównego urządzenia. Aplikacja lub folder zajmuje jedno miejsce w siatce. Jeśli urządzenie docelowe nie obsługuje wybranego rozmiaru, niektóre aplikacje mogą nie pasować i są wypychane do następnej dostępnej pozycji na nowej stronie. Informacje referencyjne:

    • iPhone 5 obsługuje 4 kolumny x 5 wierszy
    • Telefon iPhone 6 i nowsze obsługują 4 kolumny x 6 wierszy
    • Tablety iPad obsługują 5 kolumn x 6 wierszy

  • +: Wybierz przycisk dodaj, aby dodać aplikacje.

  • Tworzenie folderu lub dodawanie aplikacji: Dodawanie aplikacji lub folderu:

    • Aplikacja: wybierz istniejące aplikacje z listy. Ta opcja dodaje aplikacje do ekranu głównego na urządzeniach. Jeśli nie masz żadnych aplikacji, dodaj aplikacje do Intune.

      Możesz również wyszukiwać aplikacje według nazwy aplikacji, takiej jak authenticator lub drive. Możesz też wyszukać według wydawcy aplikacji, na przykład Microsoft lub Apple.

    • Folder: dodaje folder do ekranu głównego. Wprowadź nazwę folderu i wybierz istniejące aplikacje z listy, aby przejść do folderu. Ta nazwa folderu jest wyświetlana użytkownikom na ich urządzeniach.

      Możesz również wyszukiwać aplikacje według nazwy aplikacji, takiej jak authenticator lub drive. Możesz też wyszukać według wydawcy aplikacji, na przykład Microsoft lub Apple.

      Aplikacje są rozmieszczane od lewej do prawej i w takiej samej kolejności, jak pokazano. Aplikacje można przenosić na inne pozycje. W folderze możesz mieć tylko jedną stronę. Jako obejście dodaj dziewięć (9) lub więcej aplikacji do folderu. Aplikacje są automatycznie przenoszone na następną stronę. Możesz dodać dowolną kombinację aplikacji VPP, linków internetowych (aplikacji internetowych), aplikacji ze sklepu, aplikacji biznesowych i aplikacji systemowych.

Dock

Dodaj maksymalnie cztery (4) elementy dla iPhone'ów i maksymalnie sześć (6) elementów dla tabletów iPad (aplikacje i foldery łącznie) do doku na ekranie. Wiele urządzeń obsługuje mniej elementów. Na przykład urządzenia iPhone obsługują maksymalnie cztery elementy. W związku z tym wyświetlane są tylko pierwsze cztery dodane elementy.

  • +: Wybierz przycisk dodaj, aby dodać aplikacje lub foldery do docka.

  • Tworzenie folderu lub dodawanie aplikacji: Dodawanie aplikacji lub folderu:

    • Aplikacja: wybierz istniejące aplikacje z listy. Ta opcja dodaje aplikacje do doku na ekranie. Jeśli nie masz żadnych aplikacji, dodaj aplikacje do Intune.

      Możesz również wyszukiwać aplikacje według nazwy aplikacji, takiej jak authenticator lub drive. Możesz też wyszukać według wydawcy aplikacji, na przykład Microsoft lub Apple.

    • Folder: dodaje folder do doku na ekranie. Wprowadź nazwę folderu i wybierz istniejące aplikacje z listy, aby przejść do folderu. Ta nazwa folderu jest wyświetlana użytkownikom na ich urządzeniach.

      Możesz również wyszukiwać aplikacje według nazwy aplikacji, takiej jak authenticator lub drive. Możesz też wyszukać według wydawcy aplikacji, na przykład Microsoft lub Apple.

      Aplikacje są rozmieszczane od lewej do prawej i w takiej samej kolejności, jak pokazano. Aplikacje można przenosić na inne pozycje. Jeśli dodasz więcej aplikacji, niż można zmieścić na stronie, aplikacje zostaną automatycznie przeniesione na inną stronę. W folderze w doku można dodać maksymalnie 20 stron. Możesz dodać dowolną kombinację aplikacji VPP, linków internetowych (aplikacji internetowych), aplikacji ze sklepu, aplikacji biznesowych i aplikacji systemowych.

Przykład

W poniższym przykładzie na ekranie docka są wyświetlane aplikacje Safari, Mail i Stocks. Aplikacja Stocks została wybrana, aby wyświetlić jej właściwości:

Przykładowe ustawienia docka układu ekranu głównego systemu iOS/iPadOS w Microsoft Intune

Po przypisaniu zasad do telefonu iPhone dok wygląda podobnie do poniższego obrazu:

Przykładowy układ docka systemu iOS/iPadOS na urządzeniu iPhone

Powiadomienia aplikacji

Ustawienia mają zastosowanie do: Automatyczne rejestrowanie urządzeń (nadzorowane)

  • Dodaj: Dodaj powiadomienia dla aplikacji:

    Dodawanie powiadomienia aplikacji w profilu konfiguracji funkcji urządzeń z systemem iOS/iPadOS w Microsoft Intune

    • Identyfikator pakietu aplikacji: wprowadź identyfikator pakietu aplikacji , którą chcesz dodać. Zobacz Identyfikatory pakietów dla wbudowanych aplikacji systemu iOS/iPadOS , aby zapoznać się z przykładami. Po ustawieniu wartości Nieskonfigurowane lub puste Intune nie zmienia ani nie aktualizuje tego ustawienia.

    • Nazwa aplikacji: wprowadź nazwę aplikacji, którą chcesz dodać. Ta nazwa jest używana na potrzeby odwołania w centrum administracyjnym Microsoft Intune. Nie jest ona wyświetlana na urządzeniach. Po ustawieniu wartości Nieskonfigurowane lub puste Intune nie zmienia ani nie aktualizuje tego ustawienia.

    • Wydawca: wprowadź wydawcę dodawanej aplikacji. Ta nazwa jest używana na potrzeby odwołania w centrum administracyjnym Microsoft Intune. Nie jest ona wyświetlana na urządzeniach. Po ustawieniu wartości Nieskonfigurowane lub puste Intune nie zmienia ani nie aktualizuje tego ustawienia.

    • Powiadomienia: włącz lub wyłącz wysyłanie powiadomień do urządzeń przez aplikację. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

      Po ustawieniu opcji Włącz skonfiguruj również:

      • Pokaż w centrum powiadomień: ustawienie Włącz umożliwia aplikacji wyświetlanie powiadomień w Centrum powiadomień urządzenia. Ustawienie Wyłącz uniemożliwia aplikacji wyświetlanie powiadomień w Centrum powiadomień. Po ustawieniu wartości Nieskonfigurowane lub puste Intune nie zmienia ani nie aktualizuje tego ustawienia.

      • Pokaż na ekranie blokady: pozycja Włącz wyświetla powiadomienia aplikacji na ekranie blokady urządzenia. Ustawienie Wyłącz uniemożliwia aplikacji wyświetlanie powiadomień na ekranie blokady. Po ustawieniu wartości Nieskonfigurowane lub puste Intune nie zmienia ani nie aktualizuje tego ustawienia.

      • Typ alertu: po odblokowaniu urządzeń wybierz sposób wyświetlania powiadomienia. Dostępne opcje:

        • Brak: nie jest wyświetlane żadne powiadomienie.
        • Baner: baner jest krótko wyświetlany z powiadomieniem. To ustawienie może być również nazywane banerem tymczasowym.
        • Modalne: powiadomienie jest wyświetlane, a użytkownicy muszą je ręcznie odrzucić przed kontynuowaniem korzystania z urządzenia. To ustawienie może być również nazywane transparentem trwałym.

      • Znaczek na ikonie aplikacji: pozycja Włącz dodaje znaczek do ikony aplikacji. Znaczek oznacza, że aplikacja wysłała powiadomienie. Ustawienie Wyłącz nie powoduje dodania wskaźnika do ikony aplikacji. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia.

      • Włącz dźwięki: opcja Włącz odtwarza dźwięk po dostarczeniu powiadomienia. Ustawienie Wyłącz nie odtwarza dźwięku po dostarczeniu powiadomienia. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia.

      • Pokaż podglądy: pokazuje podgląd ostatnich powiadomień aplikacji. Wybierz, kiedy wyświetlić podgląd. Wybrana wartość zastępuje wartość skonfigurowaną przez użytkownika na urządzeniu (Ustawienia > Powiadomienia > Pokaż podglądy). Dostępne opcje:

        • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
        • Po odblokowaniu: podgląd jest wyświetlany tylko wtedy, gdy urządzenie jest odblokowane.
        • Zawsze: podgląd jest zawsze wyświetlany na ekranie blokady.
        • Nigdy: podgląd nigdy nie jest wyświetlany.

        Ta funkcja ma zastosowanie do:

        • System iOS/iPadOS 14.0 i nowsze

Komunikat na ekranie blokady

Ta funkcja ma zastosowanie do:

  • System iOS 9.3 lub nowszy
  • System iPadOS 13.0 i nowsze

Ustawienia mają zastosowanie do: Automatyczne rejestrowanie urządzeń (nadzorowane)

  • "Jeśli utracono, wróć do..." Komunikat: Jeśli urządzenia zostaną utracone lub skradzione, wprowadź notatkę, która może pomóc w zwróceniu urządzenia w przypadku znalezienia. Możesz wprowadzić dowolny tekst. Na przykład wprowadź wartość podobną do If found, call Contoso at ....

    Wprowadzony tekst jest wyświetlany w oknie logowania i na ekranie blokady na urządzeniach.

  • Informacje o tagu zasobu: wprowadź informacje o tagu zasobu urządzenia. Na przykład wprowadź Owned by Contoso Corp wartość lub Serial Number: {{serialnumber}}.

    Tokenów urządzenia można również używać do dodawania informacji specyficznych dla urządzenia do tych pól. Aby na przykład wyświetlić numer seryjny, wprowadź Serial Number: {{serialnumber}} lub Device ID: {{DEVICEID}}. Na ekranie blokady tekst jest wyświetlany podobnie do Serial Number 123456789ABC. Podczas wprowadzania zmiennych należy użyć nawiasów klamrowych {{ }}.

    Obsługiwane są następujące zmienne informacji o urządzeniu. Zmienne nie są weryfikowane w interfejsie użytkownika i uwzględniają wielkość liter. Jeśli wprowadzisz nieprawidłową zmienną, zobaczysz profile zapisane z nieprawidłowymi danymi wejściowymi. Jeśli na przykład wprowadzisz {{DeviceID}} ciąg zamiast {{deviceid}} lub {{DEVICEID}}, ciąg literału zostanie wyświetlony zamiast unikatowego identyfikatora urządzenia. Pamiętaj, aby wprowadzić poprawne informacje. Obsługiwane są wszystkie małe litery lub wszystkie wielkie litery, ale nie kombinacja.

    • {{AADDeviceId}}: identyfikator urządzenia Microsoft Entra
    • {{AccountId}}: Intune identyfikator dzierżawy lub identyfikator konta
    • {{AccountName}}: Intune nazwę dzierżawy lub nazwę konta
    • {{AppleId}}: Apple ID użytkownika
    • {{Department}}: Dział przypisany podczas Asystenta ustawień
    • {{DeviceId}}: identyfikator urządzenia Intune
    • {{DeviceName}}: nazwa urządzenia Intune
    • {{domain}}: Nazwa domeny
    • {{EASID}}: Identyfikator usługi Exchange Active Sync
    • {{EDUUserType}}: Typ użytkownika
    • {{IMEI}}: IMEI urządzenia
    • {{mail}}: adres Email użytkownika
    • {{ManagedAppleId}}: zarządzany identyfikator Apple ID użytkownika
    • {{MEID}}: IDENTYFIKATOR MEID urządzenia
    • {{partialUPN}}: prefiks nazwy UPN przed symbolem @
    • {{SearchableDeviceKey}}: Identyfikator klucza NGC
    • {{SerialNumber}}: Numer seryjny urządzenia
    • {{SerialNumberLast4Digits}}: Ostatnie 4 cyfry numeru seryjnego urządzenia
    • {{SIGNEDDEVICEID}}: obiekt blob identyfikatora urządzenia przypisany do klienta podczas rejestracji Portal firmy
    • {{SignedDeviceIdWithUserId}}: Obiekt blob identyfikatora urządzenia przypisany do klienta z koligacją użytkownika podczas asystenta ustawień firmy Apple
    • {{UDID}}: Identyfikator UDID urządzenia
    • {{UDIDLast4Digits}}: Ostatnie 4 cyfry identyfikatora UDID urządzenia
    • {{UserId}}: Intune identyfikator użytkownika
    • {{UserName}}: Nazwa użytkownika
    • {{userPrincipalName}}: nazwa UPN użytkownika

Logowanie jednokrotne

Ustawienia mają zastosowanie do: Rejestrowanie urządzeń, Automatyczne rejestrowanie urządzeń (nadzorowane)

  • Microsoft Entra atrybut nazwy użytkownika: Intune szuka tego atrybutu dla każdego użytkownika w Tożsamość Microsoft Entra. Intune następnie wypełnia odpowiednie pole (na przykład nazwę UPN) przed wygenerowaniem pliku XML zainstalowanego na urządzeniach. Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny monituje użytkowników o główną nazwę protokołu Kerberos podczas wdrażania profilu na urządzeniach. Do instalowania profilów logowania jednokrotnego jest wymagana główna nazwa mdm.

    • Główna nazwa użytkownika: główna nazwa użytkownika (UPN) jest analizowana w następujący sposób:

      Atrybut logowania jednokrotnego nazwy użytkownika systemu iOS/iPadOS w Microsoft Intune

      Możesz również zastąpić obszar tekstem wprowadzonym w polu tekstowym Obszar .

      Na przykład firma Contoso ma kilka regionów, w tym Europę, Azję i Ameryka Północna. Firma Contoso chce, aby użytkownicy z Azji korzystali z logowania jednokrotnego, a aplikacja wymaga nazwy UPN w username@asia.contoso.com formacie. Po wybraniu głównej nazwy użytkownika obszar dla każdego użytkownika jest pobierany z Tożsamość Microsoft Entra, czyli contoso.com. W przypadku użytkowników w Azji wybierz pozycję Główna nazwa użytkownika i wprowadź wartość asia.contoso.com. Nazwa UPN użytkownika staje się username@asia.contoso.com, a nie username@contoso.com.

    • Intune identyfikator urządzenia: Intune automatycznie wybiera identyfikator urządzenia Intune. Domyślnie:

      • Aplikacje muszą używać tylko identyfikatora urządzenia. Jeśli jednak aplikacja używa obszaru i identyfikatora urządzenia, możesz wprowadzić obszar w polu tekstowym Obszar .
      • Jeśli używasz identyfikatora urządzenia, pozostaw obszar pusty.

    • identyfikator urządzenia Azure AD: identyfikator urządzenia Microsoft Entra

    • Nazwa konta SAM: Intune wypełnia nazwę konta lokalnego menedżera kont zabezpieczeń (SAM).

  • Obszar: wprowadź część domeny adresu URL. Na przykład wprowadź contoso.com.

  • Adresy URL: dodaj wszystkie adresy URL w organizacji, które wymagają uwierzytelniania logowania jednokrotnego użytkownika.

    Na przykład gdy użytkownik łączy się z dowolną z tych witryn, urządzenie z systemem iOS/iPadOS używa poświadczeń logowania jednokrotnego. Użytkownicy nie muszą ponownie wprowadzać poświadczeń. Jeśli uwierzytelnianie wieloskładnikowe jest włączone, użytkownicy muszą wprowadzić drugie uwierzytelnianie.

    Również:

    • Te adresy URL muszą być poprawnie sformatowane nazwy FQDN. Firma Apple wymaga, aby adresy URL były http://<yourURL.domain> w formacie.

    • Wzorce dopasowywania adresów URL muszą zaczynać się od lub http://https://. Uruchamiane jest proste dopasowanie ciągu, więc http://www.contoso.com/ prefiks adresu URL nie jest zgodny http://www.contoso.com:80/z . W systemach iOS 10.0 i iPadOS 13.0 lub nowszym można użyć jednego symbolu wieloznacznego * do wprowadzania wszystkich pasujących wartości. Na przykład dopasowuje zarówno elementy, http://*.contoso.com/ jak http://store.contoso.com/ i http://www.contoso.com.

      Wzorce http://.com i https://.com pasują odpowiednio do wszystkich adresów URL HTTP i HTTPS.

  • Aplikacje: dodaj aplikacje na urządzeniach użytkowników, które mogą korzystać z logowania jednokrotnego.

    Tablica AppIdentifierMatches musi zawierać ciągi zgodne z identyfikatorami pakietu aplikacji. Te ciągi mogą być dokładnymi dopasowaniami, takimi jak com.contoso.myapp, lub wprowadzić dopasowanie prefiksu na identyfikatorze pakietu przy użyciu symbolu * wieloznacznego. Symbol wieloznaczny musi pojawić się po znaku kropki (.) i może być wyświetlany tylko raz na końcu ciągu, na przykład com.contoso.*. Po uwzględnieniu symbolu wieloznacznego każda aplikacja, której identyfikator pakietu zaczyna się od prefiksu, ma dostęp do konta.

    Użyj nazwy aplikacji , aby wprowadzić przyjazną dla użytkownika nazwę, aby ułatwić zidentyfikowanie identyfikatora pakietu.

  • Certyfikat odnawiania poświadczeń: jeśli używasz certyfikatów do uwierzytelniania (a nie haseł), wybierz istniejący certyfikat SCEP lub PFX jako certyfikat uwierzytelniania. Zazwyczaj ten certyfikat jest tym samym certyfikatem, który jest wdrażany dla użytkowników dla innych profilów, takich jak sieć VPN, sieć Wi-Fi lub poczta e-mail.

Filtr zawartości sieci Web

Ustawienia mają zastosowanie do: Automatyczne rejestrowanie urządzeń (nadzorowane)

Te ustawienia używają ustawień filtru zawartości internetowej firmy Apple. Aby uzyskać więcej informacji na temat tych ustawień, przejdź do witryny Wdrażania platformy firmy Apple (otwiera witrynę internetową firmy Apple).

  • Typ filtru: wybierz opcję zezwalania na określone witryny sieci Web. Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

    • Skonfiguruj adresy URL: użyj wbudowanego filtru internetowego firmy Apple, który szuka terminów dla dorosłych, w tym wulgaryzmów i języka o charakterze jednoznacznie seksualnym. Ta funkcja ocenia każdą stronę internetową podczas ładowania oraz identyfikuje i blokuje nieodpowiednią zawartość. Możesz również dodać adresy URL, które nie mają być sprawdzane przez filtr. Możesz też zablokować określone adresy URL, niezależnie od ustawień filtru firmy Apple.

      • Dozwolone adresy URL: dodaj adresy URL, na które chcesz zezwolić. Te adresy URL pomijają filtr internetowy firmy Apple.

        Wprowadzone adresy URL to adresy URL, których nie chcesz oceniać za pomocą filtru internetowego firmy Apple. Te adresy URL nie są listą dozwolonych witryn internetowych. Aby utworzyć listę dozwolonych witryn internetowych, ustaw typ filtrutylko na określone witryny sieci Web.

      • Zablokowane adresy URL: dodaj adresy URL, których otwieranie ma zostać zatrzymane, niezależnie od ustawień filtru internetowego firmy Apple.

    • Tylko określone witryny internetowe (tylko dla przeglądarki Safari): te adresy URL są dodawane do zakładek przeglądarki Safari. Użytkownicy mogą odwiedzać tylko te witryny; nie można otworzyć żadnych innych witryn. Użyj tej opcji tylko wtedy, gdy znasz dokładną listę adresów URL, do których użytkownicy mogą uzyskiwać dostęp.

      • Adres URL: wprowadź adres URL witryny internetowej, na którą chcesz zezwolić. Na przykład wprowadź https://www.contoso.com.
      • Ścieżka zakładki: firma Apple zmieniła to ustawienie. Wszystkie zakładki znajdują się w folderze Dozwolone witryny . Zakładki nie przechodzą do wprowadzonej ścieżki zakładki.
      • Tytuł: wprowadź opisowy tytuł zakładki.

      Jeśli nie wprowadzisz żadnych adresów URL, użytkownicy nie będą mogli uzyskać dostępu do żadnych witryn internetowych z wyjątkiem microsoft.com, microsoft.neti apple.com. Intune automatycznie zezwala na te adresy URL.

Rozszerzenie aplikacji do logowania jednokrotnego

Ta funkcja ma zastosowanie do:

  • System iOS 13.0 lub nowszy
  • iPadOS 13.0 i nowsze

Ustawienia mają zastosowanie do: Wszystkie typy rejestracji

  • Typ rozszerzenia aplikacji logowania jednokrotnego: wybierz typ rozszerzenia aplikacji logowania jednokrotnego. Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny nie używa rozszerzeń aplikacji. Aby wyłączyć rozszerzenie aplikacji, możesz przełączyć typ rozszerzenia aplikacji logowania jednokrotnego na Nie skonfigurowano.

    • Tożsamość Microsoft Entra: używa wtyczki logowania jednokrotnego Tożsamość Microsoft Entra Enterprise, która jest rozszerzeniem aplikacji logowania jednokrotnego typu przekierowania. Ta wtyczka zapewnia logowanie jednokrotne dla kont lokalna usługa Active Directory we wszystkich aplikacjach obsługujących funkcję logowania jednokrotnego firmy Apple Enterprise. Użyj tego typu rozszerzenia aplikacji logowania jednokrotnego, aby włączyć logowanie jednokrotne w aplikacjach firmy Microsoft, aplikacjach organizacji i witrynach internetowych, które uwierzytelniają się przy użyciu Tożsamość Microsoft Entra.

      Wtyczka logowania jednokrotnego działa jako zaawansowany broker uwierzytelniania, który oferuje ulepszenia zabezpieczeń i środowiska użytkownika. Wszystkie aplikacje korzystające z aplikacji Microsoft Authenticator do uwierzytelniania nadal uzyskują logowanie jednokrotne z wtyczką logowania jednokrotnego firmy Microsoft Enterprise dla urządzeń firmy Apple.

      Ważna

      Aby uzyskać logowanie jednokrotne z typem rozszerzenia aplikacji logowania jednokrotnego Microsoft Entra, najpierw zainstaluj aplikację Microsoft Authenticator dla systemu iOS/iPadOS na urządzeniach. Aplikacja Authenticator dostarcza wtyczkę logowania jednokrotnego przedsiębiorstwa firmy Microsoft do urządzeń, a ustawienia rozszerzenia aplikacji logowania jednokrotnego mdm aktywują wtyczkę. Po zainstalowaniu aplikacji Authenticator i profilu rozszerzenia logowania jednokrotnego na urządzeniach użytkownicy muszą wprowadzić swoje poświadczenia, aby się zalogować, i ustanowić sesję na swoich urządzeniach. Ta sesja jest następnie używana w różnych aplikacjach bez konieczności ponownego uwierzytelniania użytkowników. Aby uzyskać więcej informacji na temat aplikacji Authenticator, przejdź do tematu Co to jest aplikacja Microsoft Authenticator.

      Aby uzyskać więcej informacji, przejdź do tematu Korzystanie z wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemem iOS/iPadOS.

    • Przekierowanie: użyj ogólnego, dostosowywalnego rozszerzenia aplikacji przekierowania, aby używać logowania jednokrotnego z nowoczesnymi przepływami uwierzytelniania. Upewnij się, że znasz identyfikator rozszerzenia dla rozszerzenia aplikacji organizacji.

    • Poświadczenia: użyj ogólnego, dostosowywalnego rozszerzenia aplikacji poświadczeń, aby używać logowania jednokrotnego z przepływami uwierzytelniania typu challenge-and-response. Upewnij się, że znasz identyfikator rozszerzenia dla rozszerzenia aplikacji organizacji.

    • Kerberos: użyj wbudowanego rozszerzenia Kerberos firmy Apple, które jest dostępne w systemach iOS 13.0 i iPadOS 13.0 lub nowszym. Ta opcja jest wersją rozszerzenia aplikacji Credential specyficzną dla protokołu Kerberos.

    Porada

    W przypadku typów przekierowań i poświadczeń dodasz własne wartości konfiguracji, aby przejść przez rozszerzenie. Jeśli używasz poświadczeń, rozważ użycie wbudowanych ustawień konfiguracji udostępnianych przez firmę Apple w typie Kerberos .

    Po pomyślnym zalogowaniu się użytkowników do aplikacji Authenticator nie zostanie wyświetlony monit o zalogowanie się do innych aplikacji korzystających z rozszerzenia logowania jednokrotnego. Przy pierwszym otwarciu aplikacji zarządzanych, które nie korzystają z rozszerzenia logowania jednokrotnego, użytkownicy będą monitować o wybranie zalogowanego konta.

  • Włącz tryb urządzenia udostępnionego (tylko Tożsamość Microsoft Entra): wybierz pozycję Tak, jeśli wdrażasz wtyczkę logowania jednokrotnego przedsiębiorstwa firmy Microsoft na urządzeniach z systemem iOS/iPadOS skonfigurowanych pod kątem Microsoft Entra funkcji trybu urządzenia udostępnionego. Urządzenia w trybie udostępnionym umożliwiają wielu użytkownikom globalne logowanie się i wylogowywanie aplikacji obsługujących tryb urządzenia udostępnionego. Po ustawieniu opcji Nieskonfigurowane Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie urządzenia z systemem iOS/iPadOS nie są przeznaczone do udostępniania wielu użytkownikom.

    Aby uzyskać więcej informacji na temat trybu urządzenia udostępnionego i sposobu jego włączania, przejdź do sekcji Omówienie trybu udostępnionego urządzenia i trybu urządzenia udostępnionego dla urządzeń z systemem iOS.

    Ta funkcja ma zastosowanie do:

    • System iOS/iPadOS 13.5 i nowsze

  • Identyfikator rozszerzenia (przekierowanie i poświadczenia): wprowadź identyfikator pakietu identyfikujący rozszerzenie aplikacji logowania jednokrotnego, na przykład com.apple.extensiblesso.

  • Identyfikator zespołu (przekierowanie i poświadczenia): wprowadź identyfikator zespołu rozszerzenia aplikacji logowania jednokrotnego. Identyfikator zespołu to 10-znakowy ciąg alfanumeryczny (cyfry i litery) generowany przez firmę Apple, na przykład ABCDE12345. Identyfikator zespołu nie jest wymagany.

    Znajdź identyfikator zespołu (otwiera witrynę internetową firmy Apple) i zawiera więcej informacji.

  • Obszar (poświadczenia i kerberos): wprowadź nazwę obszaru uwierzytelniania. Nazwa obszaru powinna być wielką literą, na przykład CONTOSO.COM. Zazwyczaj nazwa obszaru jest taka sama jak nazwa domeny DNS, ale we wszystkich wielkich literach.

  • Domeny (Poświadczenia i Kerberos): wprowadź nazwy domen lub hostów witryn, które mogą uwierzytelniać się za pośrednictwem logowania jednokrotnego. Jeśli na przykład witryna sieci Web to mysite.contoso.com, to mysite jest nazwą hosta i .contoso.com jest nazwą domeny. Gdy użytkownicy łączą się z dowolną z tych witryn, rozszerzenie aplikacji obsługuje wyzwanie uwierzytelniania. To uwierzytelnianie umożliwia użytkownikom logowanie się przy użyciu funkcji Face ID, Touch ID lub kodu pincode/kodu dostępu firmy Apple.

    • Wszystkie domeny w rozszerzeniu aplikacji do logowania jednokrotnego Intune profile muszą być unikatowe. Nie można powtórzyć domeny w żadnym profilu rozszerzenia aplikacji logowania, nawet jeśli używasz różnych typów rozszerzeń aplikacji logowania jednokrotnego.
    • Te domeny nie uwzględniają wielkości liter.
    • Domena musi zaczynać się kropką (.).

  • Adresy URL (tylko przekierowanie): wprowadź prefiksy adresów URL dostawców tożsamości, w których imieniu rozszerzenie aplikacji przekierowania używa logowania jednokrotnego. Gdy użytkownicy są przekierowywani do tych adresów URL, rozszerzenie aplikacji logowania jednokrotnego interweniuje i monituje o zalogowanie jednokrotne.

    • Wszystkie adresy URL w Intune profilach rozszerzeń aplikacji do logowania jednokrotnego muszą być unikatowe. Nie można powtórzyć domeny w żadnym profilu rozszerzenia aplikacji logowania jednokrotnego, nawet jeśli używasz różnych typów rozszerzeń aplikacji logowania jednokrotnego.
    • Adresy URL muszą zaczynać się od http:// lub https://.

  • Dodatkowa konfiguracja (Tożsamość Microsoft Entra, przekierowanie i poświadczenia): wprowadź więcej danych specyficznych dla rozszerzenia, które mają zostać przekazane do rozszerzenia aplikacji logowania jednokrotnego:

    • Klucz: wprowadź nazwę elementu, który chcesz dodać, na przykład user name lub AppAllowList.

    • Typ: wprowadź typ danych. Dostępne opcje:

      • Ciąg
      • Wartość logiczna: w polu Wartość konfiguracji wprowadź True lub False.
      • Liczba całkowita: w polu Wartość konfiguracji wprowadź liczbę.

    • Wartość: wprowadź dane.

    • Dodaj: Wybierz, aby dodać klucze konfiguracji.

  • Blokuj użycie łańcucha kluczy (tylko protokół Kerberos): Ustawienie Tak uniemożliwia zapisywanie i przechowywanie haseł w pęku kluczy. W przypadku zablokowania użytkownicy nie będą monitować o zapisanie hasła i muszą ponownie wprowadzić hasło po wygaśnięciu biletu Kerberos. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na zapisywanie i przechowywanie haseł w pęku kluczy. Użytkownicy nie są monitowane o ponowne wniesienie hasła po wygaśnięciu biletu.

  • Wymagaj funkcji Face ID, Touch ID lub kodu dostępu (tylko protokół Kerberos): Pozycja Tak wymusza na użytkownikach wprowadzenie identyfikatora twarzy, identyfikatora Touch ID lub kodu dostępu urządzenia, gdy poświadczenia są potrzebne do odświeżenia biletu Kerberos. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie wymagać od użytkowników używania danych biometrycznych lub kodu dostępu urządzenia do odświeżania biletu Protokołu Kerberos. Jeśli użycie łańcucha kluczy jest zablokowane, to ustawienie nie ma zastosowania.

  • Ustaw jako obszar domyślny (tylko Kerberos): Wartość Tak ustawia wartość obszaru wprowadzona jako obszar domyślny. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może nie ustawić obszaru domyślnego.

    • Jeśli konfigurujesz wiele rozszerzeń aplikacji logowania jednokrotnego Protokołu Kerberos w organizacji, wybierz pozycję Tak.
    • Jeśli używasz wielu obszarów, wybierz pozycję Tak. Ustawia wartość obszaru wprowadzona jako obszar domyślny.
    • Jeśli masz tylko jeden obszar, wybierz pozycję Nieskonfigurowane (ustawienie domyślne ).

  • Blokuj wykrywanie automatyczne (tylko kerberos): ustawienie Tak uniemożliwia automatycznemu użyciu protokołu LDAP i DNS rozszerzenia Kerberos w celu określenia nazwy lokacji usługi Active Directory. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

  • Zezwalaj tylko na aplikacje zarządzane (tylko kerberos): po ustawieniu wartości Tak rozszerzenie Kerberos zezwala na dostęp do poświadczeń tylko aplikacjom zarządzanym, a wszystkie aplikacje wprowadzone z identyfikatorem pakietu aplikacji. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać aplikacjom niezarządzanym na dostęp do poświadczeń.

    Ta funkcja ma zastosowanie do:

    • System iOS/iPadOS 14 i nowsze

  • Nazwa główna (tylko kerberos): wprowadź nazwę użytkownika podmiotu zabezpieczeń protokołu Kerberos. Nie musisz dołączać nazwy obszaru. Na przykład w user@contoso.compliku user , jest nazwą główną i contoso.com jest nazwą obszaru.

    • Zmiennych można również użyć w nazwie głównej, wprowadzając nawiasy klamrowe {{ }}. Aby na przykład wyświetlić nazwę użytkownika, wprowadź wartość Username: {{username}}.
    • Zachowaj ostrożność w przypadku podstawiania zmiennych. Zmienne nie są weryfikowane w interfejsie użytkownika i uwzględniają wielkość liter. Pamiętaj, aby wprowadzić poprawne informacje.

  • Kod witryny usługi Active Directory (tylko kerberos): wprowadź nazwę witryny usługi Active Directory, która ma być używana przez rozszerzenie Kerberos. Może nie być konieczne zmienianie tej wartości, ponieważ rozszerzenie Kerberos może automatycznie znaleźć kod witryny usługi Active Directory.

  • Nazwa pamięci podręcznej (tylko kerberos): wprowadź nazwę ogólnych usług zabezpieczeń (GSS) pamięci podręcznej Kerberos. Najprawdopodobniej nie trzeba ustawiać tej wartości.

  • Tekst okna logowania (tylko kerberos): wprowadź tekst wyświetlany użytkownikom w oknie logowania Kerberos.

    Ta funkcja ma zastosowanie do:

    • System iOS/iPadOS 14 i nowsze

  • Identyfikatory pakietów aplikacji (Tożsamość Microsoft Entra, Kerberos): wprowadź identyfikatory pakietów innych aplikacji, które powinny uzyskiwać logowanie jednokrotne za pośrednictwem rozszerzenia na urządzeniach.

    Jeśli używasz typu rozszerzenia aplikacji logowania jednokrotnego Tożsamość Microsoft Entra, wykonaj następujące czynności:

    • Te aplikacje używają wtyczki logowania jednokrotnego firmy Microsoft Enterprise do uwierzytelniania użytkownika bez konieczności logowania.

    • Wprowadzone identyfikatory pakietu aplikacji mają uprawnienie do korzystania z rozszerzenia aplikacji logowania jednokrotnego Microsoft Entra, jeśli nie używają żadnych bibliotek firmy Microsoft, takich jak Biblioteka uwierzytelniania microsoft (MSAL).

      Środowisko dla tych aplikacji może nie być tak bezproblemowe w porównaniu z bibliotekami firmy Microsoft. Starsze aplikacje korzystające z uwierzytelniania MSAL lub aplikacje, które nie korzystają z najnowszych bibliotek firmy Microsoft, muszą zostać dodane do tej listy, aby działały prawidłowo z rozszerzeniem aplikacji logowania jednokrotnego platformy Microsoft Azure.

    Jeśli używasz typu rozszerzenia aplikacji Kerberos SSO , następujące aplikacje:

    • Uzyskiwanie dostępu do biletu uprawniającego do przyznania biletu kerberos
    • Uzyskiwanie dostępu do biletu uwierzytelniania
    • Uwierzytelnianie użytkowników w usługach, do których mają dostęp

  • Mapowanie obszaru domeny (tylko kerberos): wprowadź sufiksy DNS domeny, które powinny być mapowane na obszar. Użyj tego ustawienia, gdy nazwy DNS hostów nie są zgodne z nazwą obszaru. Najprawdopodobniej nie trzeba tworzyć tego niestandardowego mapowania domeny do obszaru.

  • Certyfikat PKINIT (tylko kerberos): wybierz certyfikat Kryptografia klucza publicznego na potrzeby uwierzytelniania początkowego (PKINIT), który może być używany do uwierzytelniania Kerberos. Możesz wybrać spośród certyfikatów PKCS lub SCEP dodanych w Intune.

    Aby uzyskać więcej informacji na temat certyfikatów, przejdź do tematu Używanie certyfikatów do uwierzytelniania w Microsoft Intune.

Tapety

Nieoczekiwane zachowanie może wystąpić, gdy profil bez obrazu jest przypisany do urządzeń z istniejącym obrazem. Można na przykład utworzyć profil bez obrazu. Ten profil jest przypisywany do urządzeń, które mają już obraz. W tym scenariuszu obraz może zmienić się na domyślny lub oryginalny obraz może pozostać na urządzeniu. To zachowanie jest kontrolowane i ograniczone przez platformę MDM firmy Apple.

Ustawienia mają zastosowanie do: Automatyczne rejestrowanie urządzeń (nadzorowane)

  • Lokalizacja wyświetlania tapety: wybierz lokalizację na urządzeniach, na których jest wyświetlany obraz. Dostępne opcje:
    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Obraz niestandardowy nie jest dodawany do urządzeń. Domyślnie system operacyjny może ustawić własny obraz.
    • Ekran blokady: dodaje obraz do ekranu blokady.
    • Ekran główny: dodaje obraz do ekranu głównego.
    • Ekran blokady i ekran główny: używa tego samego obrazu na ekranie blokady i ekranie głównym.
  • Obraz tapety: przekaż istniejący obraz .png, .jpg lub .jpeg, którego chcesz użyć. Upewnij się, że rozmiar pliku jest mniejszy niż 750 KB. Możesz również usunąć dodany obraz.

Porada

  • Podczas konfigurowania zasad tapety firma Microsoft zaleca włączenie ustawienia Blokuj modyfikację tapety . To ustawienie uniemożliwia użytkownikom zmianę tapety.
  • Aby wyświetlić różne obrazy na ekranie blokady i ekranie głównym, utwórz profil z obrazem ekranu blokady. Utwórz inny profil przy użyciu obrazu ekranu głównego. Przypisz oba profile do grup użytkowników lub urządzeń z systemem iOS/iPadOS.