Inscreva automaticamente dispositivos iOS/iPadOS utilizando a inscrição automática de dispositivos da Apple

Importante

A Apple mudou recentemente de usar o Programa de Inscrição de Dispositivos apple (DEP) para usar a Inscrição de Dispositivo Automatizado da Apple (ADE). A interface de utilizador Microsoft Intune não reflete atualmente essa alteração. Atualmente, ainda verá o Programa de Inscrição de Dispositivos no portal Intune. Onde quer que veja referências a DEP, o Intune utiliza agora a Inscrição automática de Dispositivos.

Pode configurar o Intune para inscrever dispositivos iOS/iPadOS adquiridos através da Inscrição automática de Dispositivos da Apple (ADE). O Registo de Dispositivos Automatizado permite inscrever um grande número de dispositivos sem ter de lhes tocar. Dispositivos como iPhones, iPads e MacBooks podem ser enviados diretamente para os utilizadores. Quando um utilizador liga o dispositivo, o Setup Assistant, que inclui a típica experiência fora de caixa para produtos Apple, funciona com definições pré-configuradas e o dispositivo inscreve-se na gestão.

Para ativar o ADE, utilize o portal Intune e o portal Apple Business Manager (ABM) ou o portal Apple School Manager (ASM). Em qualquer um dos porta-vozes da Apple, precisa de uma lista de números de série ou de uma ordem de compra para que possa atribuir dispositivos ao Intune para gestão. Cria perfis de inscrição ADE no Intune. Estes perfis contêm configurações que são aplicadas aos dispositivos durante a inscrição. A ADE não pode ser usada com uma conta de Gestor de Inscrição de Dispositivos.

Nota

O ADE define configurações de dispositivos que não podem necessariamente ser removidas pelos utilizadores finais. Por isso, antes de a ADE ser utilizada, o dispositivo deve ser limpo para o devolver a um estado fora da caixa (novo). Para obter mais informações, consulte o guia de implementação: Inscreva dispositivos iOS e iPadOS.

Se tiver problemas de sincronização durante o processo de inscrição, pode procurar soluções em problemas de inscrição de dispositivos Troubleshoot iOS/iPadOS.

Inscrição e Portal da Empresa de dispositivos automatizados

As inscrições da ADE não são compatíveis com a versão App Store da aplicação Portal da Empresa. Pode dar aos utilizadores acesso à aplicação Portal da Empresa num dispositivo ADE. Talvez queira fornecer este acesso por uma das seguintes razões:

• Permitir que os utilizadores escolham quais aplicações corporativas querem usar nos seus dispositivos
• Para usar a autenticação moderna para completar o processo de inscrição
• Para fornecer uma inscrição encenada na qual o dispositivo está matriculado e recebe políticas de dispositivo antes que os utilizadores autentem em Portal da Empresa

Para ativar a autenticação moderna durante a inscrição, empurre a aplicação para o dispositivo utilizando Portal da Empresa de instalação com VPP (Programa de Compra de Volume) no perfil ADE. Para obter mais informações, consulte automaticamente os dispositivos iOS/iPadOS com o ADE da Apple.

Para permitir que o Portal da Empresa atualizar automaticamente e fornecer a aplicação Portal da Empresa em dispositivos já matriculados com ADE, implemente a aplicação Portal da Empresa através do Intune como uma aplicação VPP necessária com uma política de configuração de aplicação aplicada. Implemente a aplicação Portal da Empresa desta forma para ativar a paragem do dispositivo para dispositivos apenas sem afinidade do utilizador. Com a Configuração do Dispositivo, um dispositivo está totalmente matriculado e recebe políticas de dispositivo antes da adição de uma afinidade do utilizador. O Device Staging também pode ser utilizado para a transição de um dispositivo sem afinidade do utilizador, para um dispositivo com afinidade do utilizador.

O que é o modo supervisionado?

A Apple introduziu o modo supervisionado no iOS/iPadOS 5. Um dispositivo iOS/iPadOS em modo supervisionado proporciona mais controlo de gestão, como o bloqueio das capturas de ecrãs e o bloqueio da instalação de aplicações a partir da App Store. Portanto, é especialmente útil para dispositivos corporativos. A Intune suporta configurar dispositivos para modo supervisionado como parte do ADE.

O suporte para dispositivos ADE não supervisionados foi depreciado no iOS/iPadOS 11. No iOS/iPadOS 11 e posteriormente, os dispositivos configurados a ADE devem ser sempre supervisionados. A bandeira is_supervised ADE será ignorada no iOS/iPadOS 13.0 e posterior. Todos os dispositivos iOS/iPadOS com a versão 13.0 e posteriormente são automaticamente supervisionados quando matriculados com Inscrição automática de Dispositivos.

Pré-requisitos

• Dispositivos adquiridos no ADE da Apple
• Autoridade de gestão de dispositivos móveis (MDM)
• Um certificado de push Apple MDM

Volume suportado

• Perfis máximos de inscrição por token: 1.000.
• Dispositivos máximos de inscrição de dispositivos automatizados por perfil: O mesmo que o número máximo de dispositivos por token (200.000 dispositivos por token).
• Fichas máximas de inscrição de dispositivo automatizado por conta Intune: 2.000.
• Dispositivos máximos de inscrição de dispositivos automatizados por token: Recomendamos que não exceda 200.000 dispositivos por token. Caso contrário, pode ter problemas de sincronização. Se tiver mais de 200.000 dispositivos, divida os dispositivos em várias fichas ADE.
  • Cerca de 3.000 dispositivos por minuto sincronizam-se de ABM/ASM até Intune. Recomendamos que aguarde para sincronizar manualmente a partir da consola de administração até que tenha passado tempo suficiente para que todos os dispositivos se sincronizem (número total de dispositivos/3.000 dispositivos por minuto).

Obtenha um token de inscrição de dispositivo automatizado apple

Antes de poder inscrever dispositivos iOS/iPadOS com ADE, precisa de um ficheiro ADE token (.p7m) da Apple. Este token permite à Intune sincronizar informações sobre dispositivos ADE que a sua empresa possui. Também permite ao Intune carregar perfis de inscrição para a Apple e atribuir dispositivos a esses perfis.

Você usa o apple business manager (ABM) ou o apple school manager (ASM) para criar um símbolo. Também utiliza o portal ABM ou ASM para atribuir dispositivos ao Intune para gestão.

Nota

Pode utilizar o portal ABM ou o portal ASM para ativar o ADE. O resto deste artigo refere-se ao portal ABM, mas os passos são os mesmos para ambos os portais.

Passo 1: Descarregue o certificado chave público Intune

1. No Microsoft Endpoint Manager centro de administração,selecione dispositivos > iOS/iPadOS > iOS/iPadOS :

   

2. Selecione Programa de Inscrição Tokens > Add.

3. No separador Básico:

   1. Selecione Concordo em dar permissão à Microsoft para enviar informações de utilizador e dispositivo para a Apple:

      

   2. Selecione Descarregue o certificado de chave pública Intune necessário para criar o token. Este passo descarrega e guarda o ficheiro da chave de encriptação (.pem) localmente. O ficheiro .pem é utilizado para solicitar um certificado de relação fiduciueira do portal Apple Business Manager.

      Você vai carregar este ficheiro .pem no Apple Business Manager no passo 2: Vá ao portal Apple Business Manager (neste artigo).

   3. Mantenha este separador de navegador web e página aberta. Se fechar o separador:

      • O certificado que descarregou está invalidado.
      • Tens de repetir os passos.
      • No separador 'Rever + criar', o botão Criar não está disponível e não é possível completar este procedimento.

Passo 2: Vá ao portal Apple Business Manager

Utilize o portal Apple Business Manager para criar e renovar o seu token ADE (servidor MDM). Este token é adicionado ao Intune e comunica entre Intune e Apple.

Nota

Os seguintes passos descrevem o que precisa de fazer no Apple Business Manager. Para os passos específicos, consulte a documentação da Apple. O Apple Business Manager User Guide (no site da Apple) pode ser útil.

Baixe o token da Apple

1. No Apple Business Manager,inscreva-se no Apple ID da sua empresa.

2. Neste portal, complete os seguintes passos.

   • Nas definições, todas as fichas são mostradas. Adicione um servidor MDM e faça o upload do certificado de chave pública (.pem file) que descarregou a partir de Intune no Passo 1: Descarregue o certificado de chave pública Intune (neste artigo).

     Utilize o nome do servidor para identificar o servidor de gestão de dispositivos móveis (MDM). Não é o nome ou URL do serviço Microsoft Intune.

   • Depois de guardar o servidor MDM, selecione-o e, em seguida, descarregue o token (ficheiro.p7m). Você carregará este token .p7m em Intune no passo 4: Carreque o seu token e termine (neste artigo).

Atribuir dispositivos ao token apple (servidor MDM)

1. Nos Dispositivos Apple Business Manager, > selecione os dispositivos que pretende atribuir a este token. Pode ordenar por várias propriedades do dispositivo, como número de série. Também pode selecionar vários dispositivos simultaneamente.
2. Editar a gestão do dispositivo e selecionar o servidor MDM que acaba de adicionar. Este passo atribui dispositivos ao símbolo.

Passo 3: Salve o Apple ID

1. No seu navegador web, volte para a página de token do programa de inscrição Add em Intune. Você deveria ter mantido esta página aberta, como indicado no Passo 1: Descarregue o certificado chave público Intune (neste artigo).

2. No Apple ID, insira o seu ID. Este passo salva a identificação. A identificação pode ser usada no futuro.

   

Passo 4: Carreque o seu token e termine

1. No token apple, navegue no ficheiro de certificado .p7m e, em seguida, selecione Open.

   Você descarregou este token .p7m no passo 2: vá ao portal Apple Business Manager.

2. Selecione Seguinte.

3. (Opcional.) Se pretender aplicar etiquetas de âmbito a este token ADE, clique em Selecionar etiquetas de âmbito e, em seguida, selecione as etiquetas de âmbito existentes. As etiquetas de âmbito aplicadas a um símbolo são herdadas por perfis e dispositivos inscritos ADE adicionados ao token. Os dispositivos a que estão a ser referidos são os dispositivos que sincronizaram a partir de ABM/ASM, e são matriculados através da Inscrição automática de Dispositivos e aparecem dentro do token específico.

   Para obter mais informações sobre etiquetas de âmbito, consulte use o controlo de acesso baseado em funções (RBAC) e as etiquetas de âmbito para ti distribuídas.

   Selecione Seguinte.

4. No separador 'Rever + criar', selecione Criar.

Com o certificado push, o Intune pode inscrever-se e gerir dispositivos iOS/iPadOS, pressionando políticas para dispositivos móveis matriculados. A Intune sincroniza-se automaticamente com a Apple para aceder à sua conta de programa de inscrição.

Criar um perfil de inscrição da Apple

Agora que instalou o seu token, pode criar um perfil de inscrição para dispositivos ADE. Um perfil de inscrição de dispositivos especifica as definições aplicadas a um grupo de dispositivos durante a inscrição. Há um limite de 1.000 perfis de inscrição por ficha ADE.

Nota

Os dispositivos serão bloqueados se não houver licenças de Portal da Empresa suficientes para um token VPP ou se o token estiver expirado. O Intune apresentará um alerta quando um token estiver prestes a expirar ou se existirem poucas licenças.

1. No centro de administração Microsoft Endpoint Manager, selecione Dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > Tokens.

2. Selecione um token e, em seguida, selecione Perfis > Crie perfil > iOS/iPadOS:

   

3. No separador Básicos, insira um Nome e Descrição para o perfil para fins administrativos. Os utilizadores não verão estes detalhes.

   

4. Selecione Seguinte.

Importante

Quaisquer alterações de configuração nas definições de perfil de inscrição existentes, não produzirão efeitos nos dispositivos atribuídos até que sejam Repostos de Fábrica e ativados novamente (isto é quando a carga de pagamento de gestão remota é recebida em dispositivos ADE) e isto é por design da Apple e não da Microsoft. A única alteração de configuração que não requer um reset de fábrica é "Modelo de nome do dispositivo".

5. Na lista de Afinidade do Utilizador, selecione uma opção que determine se os dispositivos com este perfil devem inscrever-se com ou sem um utilizador designado.

   • Inscreva-se na Affinity do Utilizador. Selecione esta opção para dispositivos que pertencem a utilizadores que pretendam utilizar Portal da Empresa para serviços como instalar apps.

   • Inscreva-se sem afinidade do utilizador. Selecione esta opção para dispositivos que não estejam ligados a um único utilizador. Utilize esta opção para dispositivos que não acedam aos dados dos utilizadores locais. Esta opção é normalmente usada para quiosques, ponto de venda (POS) ou dispositivos de utilidade partilhada.

     Em algumas situações, é melhor associar um utilizador primário a dispositivos matriculados sem afinidade do utilizador. Para tal, pode enviar a IntuneUDAUserlessDevice chave para a aplicação Portal da Empresa numa política de configuração de aplicações para dispositivos geridos. O primeiro utilizador que entrar na aplicação Portal da Empresa é o principal utilizador. Se o primeiro utilizador assinar e um segundo utilizador entrar, o primeiro utilizador continua a ser o principal utilizador do dispositivo. Para obter mais informações, consulte a aplicação Portal da Empresa para suporte a dispositivos IOS e iPadOS ADE.

6. Se selecionou Inscrever-se com a Affinity do Utilizador para o campo De afinidade do utilizador, tem agora a opção de escolher o método de autenticação a utilizar quando autenticar os utilizadores. Para o método de autenticação, selecione uma das seguintes opções:

   

   • Portal da Empresa: Autenticar com a aplicação Portal da Empresa se quiser:

     • Utilize a autenticação multifactor.
     • Os utilizadores solicitam aos utilizadores que alterem as suas palavras-passe quando iniciarem a sua primeira sôm.
     • Instrua os utilizadores a redefinirem as suas palavras-passe expiradas durante a inscrição.

     Estas funcionalidades não são suportadas quando autenticas utilizando o Apple Setup Assistant.

   • Assistente de configuração (legado): Utilize o legado 'Assistente de Configuração' se quiser que os utilizadores experimentem a experiência típica e fora de caixa para os produtos Apple. Isto instala definições pré-configuradas padrão quando o dispositivo se inscreve na gestão Intune. Se estiver a utilizar os Serviços da Federação de Diretório Ativo e estiver a utilizar o Assistente de Configuração para autenticar, é necessário um nome de utilizador/ponto final misto do WS-Trust 1.3. Saiba mais.

   • Assistente de configuração com autenticação moderna: Os dispositivos que executam o iOS/iPadOS 13.0 e mais tarde podem utilizar este método (dispositivos iOS/iPadOS mais antigos neste perfil vão voltar a utilizar o processo de Assistente de Configuração (legado).

     Nota

     Neste momento, o MFA não trabalhará para o Assistente de Configuração com autenticação moderna se estiver a utilizar um provedor de MFA de 3ª parte para apresentar o ecrã MFA durante a inscrição. Apenas o ecrã AAD MFA funcionará durante esta inscrição.

     Este método fornece a mesma segurança que Portal da Empresa autenticação, mas evita a questão de deixar os utilizadores finais com um dispositivo que não podem usar até que o Portal da Empresa instale.

     O Portal da Empresa será instalado sem interação do utilizador (o utilizador não verá a opção de instalação Portal da Empresa) em ambas as seguintes situações:

     • Se utilizar o Portal da Empresa de instalação com opção VPP abaixo (recomendado).
     • Se o utilizador final configurar a sua conta Apple ID durante o Assistente de Configuração.

     Em ambas as situações, o Portal da Empresa será uma aplicação necessária no dispositivo. Além disso, quando o utilizador final chegar ao ecrã principal, a política correta de configuração da aplicação será automaticamente aplicada ao dispositivo.

     Não envie uma política separada de configuração de aplicações para o Portal da Empresa para dispositivos iOS/iPadOS depois de se inscrever com o Assistente de Configuração com a autenticação moderna. Ao fazê-lo resultará num erro.

     Se não utilizar a opção VPP, o utilizador deve fornecer um Apple ID para instalar o Portal da Empresa (durante o Assistente de Configuração ou quando o Intune tentar instalar o Portal da Empresa).

     Se uma política de acesso condicional que requer autenticação multi-factor (MFA) se aplicar na inscrição ou durante Portal da Empresa iniciar sação, então é necessário MFA. No entanto, o MFA é opcional com base nas definições de AAD na política de acesso condicional direcionada.

     Depois de completar todos os ecrãs do Assistente de Configuração, o utilizador final aterra na página inicial (altura em que a afinidade do utilizador é estabelecida). No entanto, até que o utilizador assine a Portal da Empresa utilizando as suas credenciais AD AZure e toques "Começar" no ecrã "Setup Company access", o dispositivo:

     • Não será registado na Azure AD.
     • Não aparecerá na lista de dispositivos do utilizador no portal AD Azure.
     • Não terá acesso a recursos protegidos por acesso condicional.
     • Não será avaliado para a conformidade do dispositivo.
     • Será redirecionado para o Portal da Empresa de outras aplicações caso o utilizador tente abrir quaisquer aplicações geridas que estejam protegidas por acesso condicional.

7. Se selecionou Portal da Empresa para o seu método de autenticação, pode utilizar um token VPP para instalar automaticamente Portal da Empresa no dispositivo. Neste caso, o utilizador não tem de fornecer um Apple ID. Para instalar Portal da Empresa utilizando um token VPP, selecione um token em Instalar Portal da Empresa com VPP. Você precisa ter adicionado Portal da Empresa ao símbolo VPP. Para garantir que Portal da Empresa continua a ser atualizado após a inscrição, certifique-se de que configura uma implementação de aplicações no Intune (Em Endpoint Manager selecione > Aplicações Todas as aplicações > Add).

   Para garantir que a interação do utilizador não é necessária, provavelmente irá querer fazer Portal da Empresa uma aplicação VPP iOS/iPadOS, torná-la uma aplicação necessária e usar o licenciamento do dispositivo para a atribuição. Certifique-se de que o token não expira e que tem licenças de dispositivo suficientes para Portal da Empresa. Se o token expirar ou se esgotar as licenças, o Intune instalará o Portal da Empresa a partir da App Store e pedirá um ID Apple.

   Nota

   Se definir o método de autenticação para Portal da Empresa, certifique-se de que o processo de inscrição do dispositivo está concluído nas primeiras 24 horas do Portal da Empresa descarregar para o dispositivo ADE. Caso contrário, a inscrição poderá falhar e será necessário um reset de fábrica para inscrever o dispositivo.

   

   Para obter mais informações sobre a ligação de Intune ao Apple Volume Purchase Program (VPP), consulte gerir as aplicações adquiridas pelo volume da Apple. Depois de ter ligado ao VPP, pode adicionar a aplicação Portal da Empresa ao seu inventário Apple Business Manager/Apple School Manager para que possa ser atribuída através do Intune.

8. Se selecionou o Assistente de Configuração (legado) para o método de autenticação, mas também pretende utilizar aplicações de Acesso Condicional ou implementar aplicações da empresa nos dispositivos, tem de instalar Portal da Empresa nos dispositivos e iniciar sação para completar o registo Azure AD. Para tal, selecione Sim para instalar Portal da Empresa. Se pretender que os utilizadores recebam Portal da Empresa sem ter de autenticar na App Store, em Instalar Portal da Empresa com VPP, selecione um token VPP. Certifique-se de que o token não expira e que tem licenças de dispositivo suficientes para que a aplicação Portal da Empresa seja implementada corretamente.

9. Se selecionar um token para instalar Portal da Empresa com VPP, pode bloquear o dispositivo no Modo aplicação única (especificamente, a aplicação Portal da Empresa) logo após a conclusão do Assistente de Configuração. Selecione Sim para executar Portal da Empresa no modo de aplicação única até que a autenticação para definir esta opção. Para utilizar o dispositivo, o utilizador deve primeiro autenticar-se fazendo a sua assinatura com Portal da Empresa.

   A autenticação multifactor não é suportada num único dispositivo bloqueado no Modo Single App. Esta limitação existe porque o dispositivo não pode mudar para uma aplicação diferente para completar o segundo fator de autenticação. Se pretender a autenticação multifactor num dispositivo Single App Mode, o segundo fator deve estar num dispositivo diferente.

   Esta funcionalidade é suportada apenas para iOS/iPadOS 11.3.1 e posterior.

   

10. Se pretender que os dispositivos que utilizam este perfil sejam supervisionados, selecione Sim na lista supervisionada:

    

    Os dispositivos supervisionados proporcionam mais opções de gestão e desativam o Bloqueio de Ativação por predefinição. A Microsoft recomenda que utilize o ADE como mecanismo para ativar o modo supervisionado, especialmente se estiver a implementar um grande número de dispositivos iOS/iPadOS. O iPad partilhado da Apple para dispositivos Empresariais deve ser supervisionado.

    Os utilizadores são notificados de que os seus dispositivos são supervisionados de duas formas:

    • O ecrã de bloqueio diz: Esta iPhone é gerida pelo nome da empresa.
    • O Definições > General > About diz: Esta iPhone é supervisionada. O nome da empresa pode monitorizar o tráfego da Internet e localizar este dispositivo.

    Nota

    Se um dispositivo estiver matriculado sem supervisão, tem de utilizar o Configurador apple se quiser defini-lo para ser supervisionado. Para reiniciar o dispositivo desta forma, é necessário ligá-lo a um Mac com um cabo USB. Para mais informações, consulte a Ajuda do Configurador da Apple.

11. Na lista de inscrições bloqueadas, selecione Sim ou Não. A inscrição bloqueada desativa as definições do iOS/iPadOS que permitem remover o perfil de gestão do menu Definições. Após a inscrição de dispositivos, não poderá alterar esta definição sem apagar os dados do dispositivo. Para utilizar esta opção, o dispositivo deve ter a opção de gestão supervisionada definida como Sim.

    Nota

    Se um dispositivo estiver matriculado com inscrição bloqueada, o utilizador não poderá utilizar o Dispositivo de Remoção ou o Reset de Fábrica na aplicação Portal da Empresa. As opções não estarão disponíveis para o utilizador. Além disso, o utilizador não poderá remover o dispositivo no website Portal da Empresa.

    Se um dispositivo BYOD for convertido num dispositivo Apple ADE e matriculado com um perfil que bloqueou a inscrição ativada, o utilizador poderá utilizar o Remove Device e o Factory Reset durante 30 dias. Após 30 dias, as opções serão desativadas ou indisponíveis. Para obter mais informações, consulte preparar os dispositivos manualmente.

12. Se selecionou Inscrever-se sem afinidade do utilizador e supervisionado nos passos anteriores, tem de decidir se configura os dispositivos para serem iPad partilhados da Apple para dispositivos Empresariais. Se selecionar Sim para iPad Partilhado, vários utilizadores poderão iniciar súmis num único dispositivo. Os utilizadores autenticar-se-ão utilizando os seus IDs Apple geridos e contas de autenticação federadas ou utilizando uma sessão temporária (como a conta Guest). Esta opção requer iOS/iPadOS 13.4 ou mais tarde.

    Nota

    Será necessária uma limpeza do dispositivo se for enviado um perfil de inscrição iOS/iPadOS com iPad partilhados para um dispositivo não suportado. Os dispositivos não suportados incluem quaisquer modelos iPhone e iPads com iPadOS/iOS 13.3 e anteriores. Os dispositivos suportados incluem iPads com iPadOS 13.3 e mais tarde.

    Se configurar os seus dispositivos como apple shared iPad para dispositivos Business, precisa de definir o máximo de utilizadores em cache. Desa esta atenção ao número de utilizadores que espera utilizar o iPad partilhado. Pode cache até 24 utilizadores num dispositivo de 32 GB ou 64 GB. Se escolher um número baixo, pode demorar algum tempo para que os dados dos seus utilizadores apareçam nos seus dispositivos depois de iniciarem sôm. Se escolher um número elevado, os seus utilizadores podem não ter espaço suficiente em disco.

    Nota

    Se quiser configurar o iPad Apple Shared para Negócios, configufique estas definições:

    • Na lista de Afinidade do Utilizador, selecione Matricular-se sem afinidade do utilizador.
    • Na lista supervisionada, selecione Sim.
    • Na lista de iPad Partilhadas, selecione Sim.

    As sessões temporárias são ativadas por padrão e permitem que os seus utilizadores entrem numa iPad partilhada sem uma conta apple iD gerida. Pode desativar sessões temporárias em iPads partilhados configurando as definiçõesde restrição do dispositivo iOS/iPadOS Compartilhados iPad .

13. Na lista Sync com computadores, selecione uma opção para os dispositivos que utilizam este perfil. Se selecionar Permitir o Configurador da Apple por certificado, tem de escolher um certificado nos certificados configuradores da Apple.

    Nota

    Se definir o Sync com computadores para negar tudo, a porta será limitada em dispositivos iOS e iPadOS. A porta será limitada apenas ao carregamento. Será impedido de usar o iTunes ou o Apple Configurar 2.

    Se definir Sync com computadores para permitir o Configurador da Apple por certificado, certifique-se de que tem uma cópia local do certificado que pode utilizar mais tarde. Não poderá fazer alterações na cópia carregada, e é importante reter uma cópia deste certificado. Se pretender ligar-se ao dispositivo iOS/iPadOS a partir de um dispositivo macOS ou PC, o mesmo certificado deve ser instalado no dispositivo que faz a ligação ao dispositivo iOS/iPadOS.

14. Se selecionou Permitir o Configurador da Apple por certificado na etapa anterior, escolha um certificado Configurador apple para importar.

15. Pode especificar um formato de nomeação para dispositivos que são automaticamente aplicados quando estão matriculados e após cada check-in sucessivo. Para criar um modelo de nomenclatura, selecione Sim em Aplicar modelo de nome de dispositivo. Em seguida, na caixa modelo de nome do dispositivo, introduza o modelo para usar para os nomes que usam este perfil. Pode especificar um formato de modelo para incluir o tipo de dispositivo e o número de série. Esta funcionalidade suporta iPhone, iPad e iPod Touch.

16. Selecione seguinte: Configuração Assistente De Personalização.

17. No separador De Personalização do Assistente de Configuração, configufique as seguintes definições de perfil:

    Definição do departamento	Description
    Departamento	É apresentado quando os utilizadores tocam em Acerca da Configuração durante a ativação.
    Número de Telefone do Departamento	Aparece quando os utilizadores tocam no botão Need Help durante a ativação.

    Pode optar por ocultar os ecrãs do Assistente de configuração no dispositivo durante a configuração do utilizador.

    • Se selecionar Hide, o ecrã não será apresentado durante a configuração. Depois de configurar o dispositivo, o utilizador ainda pode ir ao menu Definições para configurar a funcionalidade.
    • Se selecionar Show, o ecrã será apresentado durante a configuração, mas apenas se houver passos a concluir após a restauração ou após a atualização do software. Por vezes, os utilizadores podem saltar o ecrã sem tomar medidas. Depois podem ir ao menu Definições do dispositivo para configurar a funcionalidade.

    Configuração de ecrãs de assistente de configuração	Se selecionar Show, durante a configuração o dispositivo...
    Código de Acesso	Pedir um código de acesso ao utilizador. Requer sempre uma senha para dispositivos não protegidos, a menos que o acesso seja controlado de outra forma. (Por exemplo, uma configuração do modo quiosque que restringe o dispositivo a uma aplicação.) Para iOS/iPadOS 7.0 e mais tarde.
    Serviços de Localização	Pedir ao utilizador a respetiva localização. Para o macOS 10.11 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Restaurar	Apresentar o ecrã Aplicações e Dados. Este ecrã dá aos utilizadores a opção de restaurar ou transferir dados do iCloud Backup quando configurarem o dispositivo. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    iCloud e Apple ID	Apresentar ao utilizador as opções para iniciar sessão com o respetivo ID Apple e utilizar o iCloud. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Termos e condições	Pedir ao utilizador para aceitar os termos e condições da Apple. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Touch ID	Apresentar ao utilizador a opção para configurar a identificação através de impressão digital no dispositivo. Isto também inclui Face ID. Para o macOS 10.12.4 e posterior, e iOS/iPadOS 8.1 e posterior. No iOS/iPadOS 14.5 e posteriormente, os ecrãs do Assistente de Configuração do Código De acesso e do Touch ID durante a configuração do dispositivo não estão a funcionar. Se utilizar a versão 14.5+, não configufique os ecrãs do Assistente de Configuração do Código De acesso ou do Touch ID. Se necessitar de uma senha nos dispositivos, utilize uma política de configuração do dispositivo ou uma política de conformidade. Depois de o utilizador se inscrever e receber a apólice, é solicitado uma senha.
    Apple Pay	Apresentar ao utilizador a opção para configurar o Apple Pay no dispositivo. Para o macOS 10.12.4 e posterior, e iOS/iPadOS 7.0 e posterior.
    Zoom	Apresentar ao utilizador a opção para aumentar o zoom quando este configurar o dispositivo. Para iOS/iPadOS 8.3 e mais tarde.
    Siri	Apresentar ao utilizador a opção para configurar o Siri. Para o macOS 10.12 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Dados de Diagnóstico	Exiba o ecrã de Diagnóstico. Este ecrã permite que o utilizador opte por enviar dados de diagnóstico para a Apple. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Restaurar Concluído	Mostrar o ecrã Restore Complete depois de uma cópia de segurança e restaurar é realizado no dispositivo. Se este ecrã não for mostrado, o utilizador não consegue ver se uma restauração da cópia de segurança foi concluída durante o Assistente de Configuração.
    Atualização de software concluída	Mostrar o ecrã completo da atualização de software se uma atualização de software for realizada durante o Assistente de Configuração. Se este ecrã não for mostrado, o utilizador não consegue ver se uma atualização de software é realizada durante o Assistente de Configuração.
    Sinal de Exibição	Apresentar ao utilizador a opção para ativar o Sinal de Apresentação. Para o macOS 10.13.6 e posterior, e iOS/iPadOS 9.3.2 e posterior.
    Privacidade	Exiba o ecrã de Privacidade. Para o macOS 10.13.4 e posterior, e iOS/iPadOS 11.3 e posterior.
    Migração do Android	Dê ao utilizador a opção de migrar dados de um dispositivo Android. Para iOS/iPadOS 9.0 e mais tarde.
    iMessage & FaceTime	Dê ao utilizador a opção de configurar o iMessage e o FaceTime. Para iOS/iPadOS 9.0 e mais tarde.
    Inclusão	Exibir ecrãs informativos de bordo para educação de utilizadores, como Capa e Multitasking e Centro de Controlo. Para iOS/iPadOS 11.0 e mais tarde.
    Migração de Relógio	Apresentar ao utilizador a opção para migrar os dados de um dispositivo de relógio. Para iOS/iPadOS 11.0 e mais tarde.
    Tempo do Ecrã	Exiba o ecrã do tempo do ecrã. Para o macOS 10.15 e posterior, e iOS/iPadOS 12.0 e posterior.
    Atualização de Software	Apresentar o ecrã de atualização de software obrigatório. Para iOS/iPadOS 12.0 e mais tarde.
    Configuração do SIM	Apresentar ao utilizador a opção para adicionar um plano de dados móveis. Para iOS/iPadOS 12.0 e mais tarde.
    Aspeto	Mostrar o ecrã De aparência. Para o macOS 10.14 e posterior, e iOS/iPadOS 13.0 e posterior.
    Migração de dispositivos	Dê ao utilizador a opção de migrar dados de um dispositivo antigo para este dispositivo. Para iOS/iPadOS 13.0 e mais tarde.
    Registo	Mostrar o ecrã de registo. Para o macOS 10.9 e mais tarde.
    FileVault	Exiba o ecrã de encriptação FileVault 2. Para o macOS 10.10 e mais tarde.
    diagnósticos iCloud	Exibir o ecrã iCloud Analytics. Para o macOS 10.12.4 e mais tarde.
    Armazenamento do iCloud	Exiba os documentos do iCloud e o ecrã de ambiente de trabalho. Para o macOS 10.13.4 e mais tarde.

18. Selecione Seguinte para ir ao separador 'Rever +' criar.

19. Para guardar o perfil, selecione Criar.

Nota

Se precisar de voltar a inscrever o seu dispositivo de inscrição de dispositivo automatizado, tem de limpar primeiro o dispositivo da consola de administração Intune. Para voltar a inscrever-se:

1. Limpe o dispositivo da consola Intune.
   • Em alternativa, retire o dispositivo da consola Intune e repor o dispositivo utilizando a aplicação Definições, Apple Configurator 2 ou iTunes.
2. Volte a ativar o dispositivo e passe através do Assistente de Configuração para receber o Perfil de Gestão Remota.

Grupos dinâmicos em Azure Ative Directory

Pode utilizar o campo nome de inscrição para criar um grupo dinâmico em Azure Ative Directory (Azure AD). Para mais informações, consulte Azure Ative Directory grupos dinâmicos.

Pode utilizar o nome de perfil para definir o parâmetro de inscriçãoProfileName para atribuir dispositivos com este perfil de inscrição.

Para a entrega de políticas mais rápida em dispositivos ADE que tenham afinidade do utilizador, certifique-se de que o utilizador de inscrição é membro, antes da configuração do dispositivo, de um grupo de utilizadores AD AZure.

Se atribuir grupos dinâmicos aos perfis de inscrição, poderá haver um atraso na entrega de aplicações e políticas aos dispositivos após a inscrição.

Sincronizar dispositivos geridos

Agora que o Intune tem permissão para gerir os seus dispositivos, pode sincronizar o Intune com a Apple para ver os seus dispositivos geridos no Intune no portal do Azure.

1. No centro de administração Microsoft Endpoint Manager, selecione Dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > Tokens.

2. Selecione um símbolo na lista e, em seguida, selecione Devices > Sync:

   

   Para seguir os termos da Apple para o tráfego aceitável do programa de inscrição, a Intune impõe as seguintes restrições:

   • As sincronizações completas não podem ser executadas mais do que uma vez a cada sete dias. Durante uma sincronização completa, o Intune obtém a lista atualizada completa de números de série atribuídos ao servidor de MDM da Apple ligado ao Intune. Se um dispositivo ADE for eliminado do portal Intune, este deve não ser atribuído a partir do servidor MDM da Apple no portal ADE. Se a atribuição não for anulada, não será importado novamente para o Intune até que a sincronização completa seja executada.
   • Se um dispositivo for libertado da ABM/ASM, pode demorar até 45 dias para que seja automaticamente eliminado da página de dispositivos no Intune. Pode eliminar manualmente os dispositivos libertados do Intune, um a um, se necessário. Os dispositivos libertados serão comunicados com precisão como sendo removidos da ABM/ASM em Intune até que sejam automaticamente eliminados dentro de 30-45 dias.
   • Uma sincronização delta é executada automaticamente a cada 12 horas. Também pode ativar uma sincronização delta selecionando o botão Sync (não mais do que uma vez a cada 15 minutos). Todos os pedidos de sincronização têm 15 minutos para serem concluídos. O botão Sincronizar está desativado até a sincronização ser concluída. Esta sincronização irá atualizar o estado do dispositivo existente e importar novos dispositivos atribuídos ao servidor de MDM da Apple. Se uma sincronização delta falhar por qualquer motivo, a próxima sincronização será uma sincronização completa para, com sorte, resolver quaisquer problemas.

Atribuir um perfil de inscrição a dispositivos

Antes de os dispositivos poderem ser matriculados, é necessário atribuir-lhes um perfil de programa de inscrição.

Nota

Também pode atribuir números de série a perfis no painel de números de série da Apple.

1. No centro de administração Microsoft Endpoint Manager, selecione Dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > Tokens. Selecione um símbolo na lista.
2. Selecione Dispositivos. Selecione os dispositivos da lista e, em seguida, selecione Perfil de atribuir.
3. No perfil De atribuir, escolha um perfil para os dispositivos e, em seguida, selecione Atribuir.

Atribuir um perfil predefinido

Pode escolher um perfil predefinido a ser aplicado a todos os dispositivos que se inscrevam com um token específico.

1. No centro de administração Microsoft Endpoint Manager, selecione Dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > Tokens. Selecione um símbolo na lista.
2. Selecione O Perfil predefinido, selecione um perfil na lista e, em seguida, selecione Guardar. O perfil será aplicado a todos os dispositivos que se matricularem com o token.

Nota

Certifique-se de que as restrições do tipo de dispositivo ao abrigo das restrições de inscrição não têm o padrão De todos os utilizadores definidos para bloquear a plataforma iOS/iPadOS. Esta definição fará com que a inscrição automatizada falhe e o seu dispositivo apresentará como Perfil Inválido, independentemente da atestado do utilizador. Para permitir a inscrição apenas por dispositivos geridos pela empresa, bloqueie apenas dispositivos de propriedade pessoal, o que permitirá que os dispositivos corporativos se inscrevam. A Microsoft define um dispositivo corporativo como um dispositivo que está matriculado através de um Programa de Inscrição de Dispositivos ou de um dispositivo que é introduzido manualmente sob identificadores de dispositivos corporativos.

Distribuir dispositivos

Ativou a gestão e sincronização entre a Apple e o Intune e atribuiu um perfil para que os seus dispositivos ADE possam ser matriculados. Está agora pronto para distribuir dispositivos aos utilizadores. Algumas coisas para saber:

• Os dispositivos matriculados com afinidade do utilizador exigem que cada utilizador seja atribuído uma licença Intune.

• Os dispositivos matriculados sem afinidade do utilizador normalmente não têm utilizadores associados. Estes dispositivos precisam de ter uma licença de dispositivo Intune. Se os dispositivos matriculados sem afinidade do utilizador forem utilizados por um utilizador licenciado pela Intune, não é necessária uma licença de dispositivo.

  Para resumir, se um dispositivo tiver um utilizador, o utilizador precisa de ter uma licença Intune atribuída. Se o dispositivo não tiver um utilizador licenciado em Intune, o dispositivo necessita de ter uma licença de dispositivo Intune.

  Para obter mais informações sobre o licenciamento da Intune, consulte Microsoft Intune licenciamento e o guia de planeamento intune.

• Um dispositivo que foi ativado precisa de ser limpo antes de poder matricular-se corretamente usando a ADE em Intune. Depois de ter sido limpo, mas antes de o ativar novamente, pode aplicar o perfil de inscrição. Consulte configurar um toque de iPhone, iPad ou iPod existente

• Se estiver a inscrever-se com ADE e afinidade do utilizador, o seguinte erro pode ocorrer durante a configuração:

  The SCEP server returned an invalid response.

  Pode resolver este erro tentando descarregar novamente a gestão dentro de 15 minutos. Se já passaram mais de 15 minutos, para resolver este erro terá de reiniciar o dispositivo. Este erro ocorre devido a um prazo de 15 minutos nos certificados SCEP, que é aplicado para a segurança.

Para obter informações sobre a experiência do utilizador final, consulte inscrever o seu dispositivo iOS/iPadOS no Intune utilizando a ADE.

Renovar um token de inscrição de dispositivo automatizado

Às vezes, vai precisar de renovar as suas fichas:

• Renove o seu sinal de ADE anualmente. O centro de administração Endpoint Manager mostra a data de validade.
• Se a palavra-passe apple ID mudar para o utilizador que configurar o token no Apple Business Manager, renove o seu programa de inscrição em Intune e Apple Business Manager.
• Se o utilizador que criou o token no Apple Business Manager deixar a organização, renove o seu programa de inscrição em Intune e Apple Business Manager.

Renove os seus tokens

1. Vá a business.apple.com e inscreva-se com uma conta que tenha uma função de Administrador ou Gestor de Inscrição de Dispositivos.

2. Selecione Definições. Nos Servidores MDM, selecione o servidor MDM associado ao ficheiro simbólico que pretende renovar. Selecione Download Token:

   

3. Selecione Download Server Token.

   Nota

   Como diz no pedido, não selecione Download Server Token se não pretender renovar o token. Ao fazê-lo, invalidará o símbolo utilizado pela Intune (ou qualquer outra solução DEDM). Se já descarregou o token, não se esqueça de continuar com os próximos passos até que o token seja renovado.

4. Depois de descarregar o token, vá ao Microsoft Endpoint Manager centro de administração. Selecione dispositivos > iOS/iPadOS > iOS/iPadOS > Inscrições no programa tokens. Selecione o símbolo.

5. Selecione Renovar o token. Introduza o Apple ID usado para criar o token original (se não for automaticamente povoado):

   

6. Carregue o token transferido recentemente.

7. Selecione Seguinte para ir à página de tags Scope. Atribua etiquetas de âmbito, se quiser.

8. Selecione Renovar o token. Verá a confirmação de que o símbolo é renovado:

   

Eliminar um token de inscrição de dispositivo automatizado do Intune

Pode eliminar um token de perfil de inscrição do Intune desde que:

• Nenhum dispositivo é atribuído ao símbolo.
• Nenhum dispositivo é atribuído ao perfil predefinido.
• Não há perfis de inscrição sob este símbolo.

Para eliminar um símbolo de perfil de inscrição:

1. No centro de administração Microsoft Endpoint Manager, selecione Dispositivos > iOS/macOS > iOS/macOS Registration Registration Program > Tokens. Selecione o token e, em seguida, selecione Dispositivos.
2. Elimine todos os dispositivos atribuídos ao token.
3. Vá a Dispositivos > iOS/macOS > iOS/macOS Registration Registration Program > Tokens. Selecione o token e, em seguida, selecione Perfis.
4. Se houver um perfil predefinido ou qualquer outro perfil de inscrição, todos devem ser eliminados.
5. Vá a Dispositivos > iOS/macOS > iOS/macOS Registration Registration Program > Tokens. Selecione o token e, em seguida, selecione Delete.

Passos seguintes

Backup e restaurar cenários para iOS/iPadOS

Visão geral da inscrição do iOS/iPadOS