Udostępnij za pośrednictwem

Metody uwierzytelniania na potrzeby automatycznej rejestracji urządzeń w usłudze Intune

  • Artykuł

Dotyczy systemu iOS/iPadOS

W tym artykule opisano metody uwierzytelniania dostępne dla urządzeń z systemem iOS/iPadOS zarejestrowanych w usłudze Intune za pośrednictwem zautomatyzowanej rejestracji urządzeń. Dostępne metody uwierzytelniania obejmują:

  • Aplikacji Intune — Portal firmy
  • Asystent ustawień z nowoczesnym uwierzytelnianiem
  • Rejestracja just in time (JIT) dla Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania
  • Asystent ustawień (starsza wersja)

Wszystkie metody są dostępne dla urządzeń należących do firmy z koligacją użytkownika i zakupionych za pośrednictwem programu Apple Business Manager lub Apple School Manager.

Opcja 1. Aplikacja Portal firmy usługi Intune

Użyj aplikacji Portal firmy usługi Intune jako metody uwierzytelniania, jeśli chcesz:

  • Użyj uwierzytelniania wieloskładnikowego (MFA).
  • Monituj użytkowników o zmianę haseł podczas pierwszego logowania.
  • Monituj użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
  • Rejestrowanie urządzeń w usłudze Microsoft Entra ID i używanie funkcji dostępnych z identyfikatorem Entra firmy Microsoft, takich jak dostęp warunkowy.
  • Automatycznie zainstaluj aplikację Portal firmy podczas rejestracji. Jeśli Twoja firma korzysta z programu volume purchase program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika.
  • Chcesz zablokować urządzenie do momentu zainstalowania aplikacji Portal firmy.

Uwaga

Usługa Intune zablokuje rejestrację korzystającą z tej metody uwierzytelniania, jeśli użytkownik urządzenia ma typ profilu rejestracji użytkownika firmy Apple oparty na koncie. Ta sytuacja jest oczekiwana. Użytkownik otrzymuje komunikat o błędzie informujący, że jego konto nie obsługuje rejestracji za pośrednictwem aplikacji Portal firmy i że musi zarejestrować się za pośrednictwem witryny internetowej Portal firmy. Aby zapewnić pomyślne rejestracje za pośrednictwem zautomatyzowanej rejestracji urządzeń, użyj opcji 2: Asystent ustawień z nowoczesnym uwierzytelnianiem jako metody uwierzytelniania podczas pracy z typami profilów rejestracji użytkowników firmy Apple opartymi na kontach.

Opcja 2. Asystent ustawień z nowoczesnym uwierzytelnianiem

Ta opcja zapewnia takie same zabezpieczenia jak uwierzytelnianie portalu firmy w usłudze Intune, ale jest inna, ponieważ umożliwia użytkownikowi urządzenia dostęp do części urządzenia, nawet jeśli aplikacja Portal firmy nie została zainstalowana. Użyj tej opcji do uwierzytelniania, gdy chcesz:

  • Wyczyść urządzenie.
  • Użyj uwierzytelniania wieloskładnikowego (MFA).
  • Monituj użytkowników o zmianę haseł podczas pierwszego logowania.
  • Monituj użytkowników o zresetowanie wygasłych haseł podczas rejestracji.
  • Rejestrowanie urządzeń w usłudze Microsoft Entra ID i używanie funkcji dostępnych z identyfikatorem Entra firmy Microsoft, takich jak dostęp warunkowy.
  • Automatycznie zainstaluj aplikację Portal firmy podczas rejestracji. Jeśli Twoja firma korzysta z programu volume purchase program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika.
  • Zezwalaj użytkownikom na korzystanie z urządzenia nawet wtedy, gdy aplikacja Portal firmy nie jest zainstalowana.

Asystent ustawień z nowoczesnym uwierzytelnianiem jest obsługiwany na urządzeniach z systemem iOS/iPadOS 13.0 lub nowszym. Starsze urządzenia z systemem iOS/iPadOS, do których przypisano ten typ profilu, wrócą do uwierzytelniania Asystenta ustawień (starsza wersja ).

Automatyczne instalowanie aplikacji Portal firmy

Jeśli Firma korzysta z programu Volume Purchase Program (VPP), możesz automatycznie zainstalować aplikację Portal firmy podczas rejestracji bez identyfikatorów Apple ID użytkownika. Aby włączyć instalację automatyczną w profilu rejestracji, wybierz pozycję Tak , aby zainstalować portal firmy przy użyciu programu VPP. Zalecamy użycie tej opcji.

Jeśli nie używasz opcji VPP, użytkownik urządzenia musi wprowadzić swój identyfikator Apple ID podczas Asystenta ustawień lub gdy usługa Intune próbuje zainstalować Portal firmy.

W obu scenariuszach opcja instalacji Portal firmy jest ukryta przed użytkownikiem urządzenia, a Aplikacja Portal firmy staje się wymaganą aplikacją na urządzeniu. Gdy użytkownik osiągnie ekran główny, usługa Intune automatycznie zastosuje odpowiednie zasady konfiguracji aplikacji do urządzenia.

Uwaga

Nie wysyłaj oddzielnych zasad konfiguracji aplikacji do aplikacji Portal firmy dla urządzeń z systemem iOS/iPadOS po zarejestrowaniu się przy użyciu Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania. Spowoduje to wystąpienie błędu.

Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe (MFA) będzie wymagane, jeśli zasady dostępu warunkowego, które tego wymagają, zostaną zastosowane podczas rejestracji lub podczas logowania do portalu firmy. Uwierzytelnianie wieloskładnikowe jest jednak opcjonalne na podstawie ustawień usługi Microsoft Entra w zasadach docelowego dostępu warunkowego.

Metody uwierzytelniania zewnętrznego są obsługiwane w usłudze Microsoft Entra ID, co oznacza, że możesz użyć preferowanego rozwiązania uwierzytelniania wieloskładnikowego, aby ułatwić uwierzytelnianie wieloskładnikowe podczas rejestracji urządzeń. Jeśli zdecydujesz się na użycie dostawcy uwierzytelniania wieloskładnikowego innej firmy przed wdrożeniem profilów rejestracji na wszystkich urządzeniach, wykonaj przebieg testowy, aby upewnić się, że zarówno ekran usługi Microsoft Entra MFA, jak i uwierzytelnianie wieloskładnikowe działają podczas rejestracji. Aby uzyskać więcej informacji i uzyskać szczegółowe informacje dotyczące metod uwierzytelniania zewnętrznego, zobacz Publiczna wersja zapoznawcza: Metody uwierzytelniania zewnętrznego w identyfikatorze Entra firmy Microsoft.

Wymagana akcja Portal firmy

Po przejściu przez ekrany Asystenta ustawień użytkownik urządzenia wyląduje na stronie głównej. W tym momencie jest ustanawiane koligacja użytkownika. Jednak dopóki użytkownik nie zaloguje się do Portalu firmy przy użyciu swoich poświadczeń Microsoft Entra i nie wybierze pozycji Rozpocznij, urządzenie:

  • Nie będzie w pełni zarejestrowana przy użyciu identyfikatora Microsoft Entra.
  • Nie będzie wyświetlana na liście urządzeń użytkownika w identyfikatorze Microsoft Entra.
  • Nie będzie mieć dostępu do zasobów chronionych przez dostęp warunkowy.
  • Zgodność urządzenia nie będzie oceniana.
  • Jeśli użytkownik spróbuje otworzyć wszystkie aplikacje zarządzane chronione przez dostęp warunkowy, nastąpi przekierowanie do aplikacji Portal firmy z innych aplikacji.

Opcja 3. Rejestracja just in time dla Asystenta ustawień z nowoczesnym uwierzytelnianiem

Ta opcja jest taka sama jak Asystent ustawień z nowoczesnym uwierzytelnianiem, z tą różnicą, że aplikacja Portal firmy nie jest wymagana do rejestracji lub zgodności usługi Microsoft Entra. Zamiast tego kontrole rejestracji i zgodności usługi Microsoft Entra są w pełni zintegrowane w wyznaczonej aplikacji firmy Microsoft lub innej firmy, która jest skonfigurowana przy użyciu rozszerzenia aplikacji logowania jednokrotnego firmy Apple. Rozszerzenie zmniejsza liczbę monitów o uwierzytelnianie i ustanawia logowania jednokrotnego na całym urządzeniu. Rejestracja JIT monituje użytkowników o dwukrotne uwierzytelnienie:

  • Jedno uwierzytelnianie obsługuje rejestrację i koligację urządzenia użytkownika i dzieje się, gdy użytkownik urządzenia włącza swoje urządzenie i loguje się do Asystenta ustawień.
  • Inne uwierzytelnianie obsługuje rejestrację w usłudze Microsoft Entra i ma miejsce, gdy użytkownik loguje się do wyznaczonej aplikacji. Kontrole zgodności są również wykonywane w tej aplikacji.

Uwaga

Jeśli Twoja organizacja używa usługi Microsoft Defender for Endpoint, aby korygowanie rejestracji JIT i zgodności działało zgodnie z oczekiwaniami, upewnij się, że aplikacja Microsoft Defender for Endpoint nie jest pierwszym otwartym użytkownikiem aplikacji.

Gdy użytkownik urządzenia dotrze do ekranu głównego, może zalogować się do dowolnej aplikacji służbowej skonfigurowanej przy użyciu rozszerzenia logowania jednokrotnego w celu ukończenia kontroli rejestracji i zgodności w usłudze Microsoft Entra. Logowania jednokrotnego loguje użytkownika do wszystkich aplikacji, które są częścią zasad rozszerzenia logowania jednokrotnego. W tym momencie mogą również ręcznie zalogować się do dowolnej aplikacji, która nie jest skonfigurowana do korzystania z rozszerzenia logowania jednokrotnego.

Aby skonfigurować rejestrację JIT przy użyciu automatycznej rejestracji urządzeń:

  1. Utwórz zasady konfiguracji urządzenia i skonfiguruj ustawienia w kategorii rozszerzenie aplikacji do logowania jednokrotnego . Aby uzyskać instrukcje, zobacz Konfigurowanie rejestracji just in time.

  2. Utwórz profil rejestracji firmy Apple i wybierz pozycję Asystent ustawień z nowoczesnym uwierzytelnianiem jako metodę uwierzytelniania. Aby ukończyć ten krok, w usłudze Intune musi być obecny aktywny token automatycznej rejestracji urządzeń z programu Apple Business Manager lub Apple School Manager.

  3. Po przejściu na stronę Przypisania w profilu rejestracji przypisz profil do urządzeń zsynchronizowanych z usługą Apple Business Manager i Apple School Manager. Po przypisaniu profilu pracownicy i uczniowie mogą ukończyć konfigurację i uwierzytelnianie na swoich urządzeniach.

    Uwaga

    Portal firmy jest nadal wysyłany do urządzeń jako wymagana aplikacja, mimo że nie jest wymagana do rejestracji lub zgodności w usłudze Microsoft Entra. Użytkownicy urządzeń mogą używać aplikacji Portal firmy do zbierania i przekazywania dzienników , jeśli występują problemy w aplikacji.

Przykład pomyślnego uwierzytelniania

W poniższej sekwencji zdarzeń opisano przykład pomyślnego uwierzytelniania z rejestracją JIT dla Asystenta ustawień z nowoczesnym uwierzytelnianiem. Środowisko organizacji może się różnić w zależności od konfiguracji automatycznej rejestracji urządzeń.

  1. Użytkownik urządzenia włącza urządzenie.

  2. Rozpoczyna się Asystent ustawień. Użytkownik urządzenia uwierzytelnia się przy użyciu poświadczeń usługi Microsoft Entra w Asystentze ustawień.

  3. Użytkownik urządzenia wykonuje uwierzytelnianie wieloskładnikowe, jeśli jest to wymagane w zasadach dostępu warunkowego.

  4. Urządzenie kończy rejestrowanie w usłudze Intune, a koligacja użytkownik-urządzenie jest ustanawiana.

  5. Użytkownik urządzenia ląduje na ekranie głównym i otwiera aplikację Microsoft Teams lub inną aplikację pakietu Office i loguje się przy użyciu konta służbowego. Jeśli urządzenie spełnia wszystkie wymagania dotyczące zgodności, użytkownik urządzenia będzie miał od razu dostęp do swoich komunikatów i kalendarza.

    Uwaga

    Podczas rejestracji w usłudze Microsoft Entra użytkownik urządzenia może zobaczyć krótki pokrętło, gdy usługa Intune zakończy sprawdzanie zgodności. Takie zachowanie jest oczekiwane.

  6. Rozszerzenie logowania jednokrotnego ustanawia logowanie jednokrotne we wszystkich innych aplikacjach docelowych i we wszystkich aplikacjach firmy Microsoft.

  7. Urządzenie jest zarejestrowane w usłudze Microsoft Entra ID i zgodne. Stan urządzenia można wyświetlić w centrum administracyjnym i w identyfikatorze Entra firmy Microsoft. Użytkownik urządzenia może wyświetlić stan w portalu firmy usługi Intune i używać portalu firmy do zapewnienia zgodności, spisu aplikacji, synchronizacji urządzeń i udostępniania dzienników.

  8. Użytkownik urządzenia otwiera aplikację Teams i jest automatycznie zalogowany.

Opcja 4: Asystent ustawień (starsza wersja)

Użyj starszego Asystenta ustawień, jeśli chcesz, aby użytkownicy korzystali z typowego, dostępnego dla produktów firmy Apple środowiska. Ta opcja instaluje standardowe wstępnie skonfigurowane ustawienia podczas rejestracji urządzenia w usłudze Intune. Użyj tej opcji do uwierzytelniania, gdy:

  • Chcesz wyczyścić urządzenie.
  • Nie potrzebujesz nowoczesnych funkcji uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe.
  • Nie chcesz rejestrować urządzeń w usłudze Microsoft Entra ID. Asystent ustawień (starsza wersja) uwierzytelnia użytkownika przy użyciu tokenu p7m firmy Apple.

Jeśli do uwierzytelniania używasz usług federacyjnych Active Directory (AD FS) i Asystenta ustawień, wymagana jest nazwa użytkownika protokołu WS-Trust 1.3/mieszanego punktu końcowego. Aby uzyskać więcej informacji, zobacz Get-AdfsEndpoint w naszym przewodniku dokumentacji programu Windows PowerShell.

Następne kroki

Teraz, gdy już wiesz, której metody uwierzytelniania używasz, utwórz profil rejestracji firmy Apple i wybierz metodę uwierzytelniania po wyświetleniu monitu. Aby ukończyć ten krok, w usłudze Intune musi być obecny aktywny token automatycznej rejestracji urządzeń z programu Apple Business Manager lub Apple School Manager.