Métodos de autenticação para registro automatizado de dispositivos no Intune
Aplica-se ao iOS/iPadOS
Este artigo descreve os métodos de autenticação disponíveis para dispositivos iOS/iPadOS registrados no Intune por meio do registro automatizado de dispositivos. Os métodos de autenticação disponíveis incluem:
- Aplicativo Portal da Empresa do Intune
- Assistente de Instalação com autenticação moderna
- Registro just in time (JIT) para assistente de instalação com autenticação moderna
- Assistente de Instalação (herdado)
Todos os métodos estão disponíveis para dispositivos corporativos com afinidade de usuário e comprados por meio do Apple Business Manager ou do Apple School Manager.
Opção 1: Portal da Empresa do Intune aplicativo
Use o aplicativo Portal da Empresa do Intune como o método de autenticação se quiser:
- Use a MFA (autenticação multifator).
- Solicitar que os usuários alterem a senha quando entrarem pela primeira vez.
- Solicitar que os usuários redefinam senhas expiradas durante o registro.
- Registre dispositivos no Microsoft Entra ID e use recursos disponíveis com Microsoft Entra ID, como acesso condicional.
- Instale automaticamente o aplicativo Portal da Empresa durante o registro. Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário.
- Você quiser bloquear o dispositivo até que o aplicativo Portal da Empresa seja instalado.
Cuidado
O Intune bloqueará um registro que usa esse método de autenticação se o usuário do dispositivo for direcionado a um tipo de perfil de registro de usuário da Apple orientado por conta. Esse comportamento é esperado. O usuário recebe uma mensagem de erro que diz que sua conta não dá suporte ao registro por meio do aplicativo Portal da Empresa e que precisa se registrar por meio do site Portal da Empresa. Para garantir registros bem-sucedidos por meio do registro automatizado de dispositivos, use a Opção 2: Assistente de Instalação com autenticação moderna como o método de autenticação ao trabalhar com tipos de perfil de Registro de Usuário da Apple controlados pela conta.
Opção 2: Assistente de Instalação com autenticação moderna
Essa opção fornece a mesma segurança que Portal da Empresa do Intune autenticação, mas é diferente porque permite que o usuário do dispositivo acesse partes do dispositivo mesmo que o Portal da Empresa não tenha sido instalado. Use esta opção para autenticação quando quiser:
- Limpe o dispositivo.
- Use a MFA (autenticação multifator).
- Solicitar que os usuários alterem a senha quando entrarem pela primeira vez.
- Solicitar que os usuários redefinam senhas expiradas durante o registro.
- Registre dispositivos no Microsoft Entra ID e use recursos disponíveis com Microsoft Entra ID, como acesso condicional.
- Instale automaticamente o aplicativo Portal da Empresa durante o registro. Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário.
- Permitir que os usuários usem o dispositivo mesmo quando o aplicativo Portal da Empresa não estiver instalado.
O Assistente de Instalação com autenticação moderna tem suporte em dispositivos que executam o iOS/iPadOS 13.0 e posteriores. Dispositivos iOS/iPadOS mais antigos atribuídos a esse tipo de perfil voltarão à autenticação do Assistente de Instalação (herdado ).
Instalar automaticamente Portal da Empresa aplicativo
Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário. Para habilitar a instalação automática em seu perfil de registro, selecione Sim para Instalar Portal da Empresa com VPP. Recomendamos usar essa opção.
Se você não usar a opção VPP, o usuário do dispositivo deverá inserir sua ID da Apple durante o Assistente de Instalação ou quando o Intune tentar instalar Portal da Empresa.
Em ambos os cenários, a opção de instalação Portal da Empresa está oculta do usuário do dispositivo e o Portal da Empresa se torna um aplicativo necessário em seu dispositivo. Quando o usuário chega à tela inicial, o Intune aplica automaticamente a política de configuração de aplicativo correta ao dispositivo.
Cuidado
Não envie uma política de configuração de aplicativo separada para o Portal da Empresa para dispositivos iOS/iPadOS após o registro com o assistente de configuração com autenticação moderna. Fazer isso resultará em um erro.
Autenticação de vários fatores
A MFA (autenticação multifator) será necessária se uma política de acesso condicional que exige que ela seja aplicada no registro ou durante Portal da Empresa entrada. No entanto, o MFA é opcional, com base nas configurações de Microsoft Entra na política de acesso condicional de destino.
A autenticação multifator não funcionará para o Assistente de Configuração com autenticação moderna se você estiver usando um provedor de MFA de terceiros para apresentar a tela de MFA durante o registro. Somente a tela de autenticação multifator Microsoft Entra funciona durante o registro.
Portal da Empresa ação necessária
Depois que eles passam pelas telas do Assistente de Instalação, o usuário do dispositivo pousa na página inicial. Neste ponto, sua afinidade de usuário é estabelecida. No entanto, até que o usuário entre no Portal da Empresa usando suas credenciais Microsoft Entra e selecione Iniciar, o dispositivo:
- Não será totalmente registrado com Microsoft Entra ID.
- Não aparecerá na lista de dispositivos do usuário no Microsoft Entra ID.
- Não terá acesso aos recursos protegidos pelo acesso condicional.
- Não serão avaliados quanto à conformidade do dispositivo.
- Será redirecionado para o Portal da Empresa de outros aplicativos se o usuário tentar abrir aplicativos gerenciados protegidos pelo acesso condicional.
Opção 3: Registro just-in-time para assistente de instalação com autenticação moderna
Essa opção é a mesma que Assistente de Instalação com autenticação moderna, exceto que Portal da Empresa não é necessário para Microsoft Entra registro ou conformidade. Em vez disso, Microsoft Entra verificações de registro e conformidade são totalmente integradas em um aplicativo designado da Microsoft ou não da Microsoft que está configurado com a extensão de aplicativo SSO (logon único) da Apple. A extensão reduz os prompts de autenticação e estabelece o SSO em todo o dispositivo. O Registro JIT solicita que os usuários se autentiquem duas vezes:
- Uma autenticação manipula o registro e a afinidade entre usuário e dispositivo e acontece quando o usuário do dispositivo ativa o dispositivo e entra no Assistente de Instalação.
- Outra autenticação manipula Microsoft Entra registro e acontece quando o usuário entra no aplicativo designado. Verificações de conformidade também são feitas neste aplicativo.
Observação
Se sua organização usar Microsoft Defender para Ponto de Extremidade, para que o registro e a correção de conformidade do JIT funcionem conforme o esperado, verifique se o aplicativo Microsoft Defender para Ponto de Extremidade não é o primeiro aplicativo aberto pelos usuários.
Depois que o usuário do dispositivo chegar à tela inicial, ele poderá entrar em qualquer aplicativo de trabalho ou escola configurado com a extensão SSO para concluir Microsoft Entra verificações de registro e conformidade. O SSO inscreve o usuário em todos os aplicativos que fazem parte da política de extensão do SSO. Nesse ponto, eles também podem entrar manualmente em qualquer aplicativo que não esteja configurado para usar a extensão SSO.
Para configurar o Registro JIT com o registro automatizado do dispositivo:
Crie uma política de configuração de dispositivo e configure as configurações na categoria extensão de aplicativo de logon único . Para ver etapas, consulte Configurar o registro de tempo.
Crie um perfil de registro da Apple e selecione Assistente de Instalação com autenticação moderna como o método de autenticação. Um token de registro de dispositivo automatizado ativo do Apple Business Manager ou do Apple School Manager deve estar presente no Intune para concluir esta etapa.
Ao acessar a página Atribuições no perfil de registro, atribua o perfil aos dispositivos sincronizados do Apple Business Manager e do Apple School Manager. Depois de atribuir o perfil, funcionários e alunos podem concluir a instalação e a autenticação em seus dispositivos.
Observação
O Portal da Empresa ainda é enviado para dispositivos como um aplicativo necessário, embora não seja necessário para Microsoft Entra registro ou conformidade. Os usuários do dispositivo podem usar o aplicativo Portal da Empresa para coletar e carregar logs se tiverem problemas no aplicativo.
Exemplo de autenticação bem-sucedida
A sequência de eventos a seguir descreve um exemplo de como é uma autenticação bem-sucedida com o Registro JIT para Assistente de Instalação com autenticação moderna. A experiência da sua organização pode ser diferente dependendo das configurações de registro de dispositivo automatizado.
O usuário do dispositivo ativa o dispositivo.
O Assistente de Instalação começa. O usuário do dispositivo autentica com suas credenciais de Microsoft Entra no Assistente de Instalação.
O usuário do dispositivo concluirá a autenticação multifator se isso for necessário na política de Acesso Condicional.
O dispositivo termina de se registrar no Intune e a afinidade usuário-dispositivo é estabelecida.
O usuário do dispositivo pousa na tela inicial e abre o Microsoft Teams ou outro aplicativo do Office e entra com sua conta de trabalho. Se o dispositivo atender a todos os requisitos de conformidade, o usuário do dispositivo terá acesso a suas mensagens e calendário imediatamente.
Observação
Durante Microsoft Entra registro, o usuário do dispositivo pode ver um girador curto enquanto o Intune conclui as verificações de conformidade. Esse é um comportamento esperado.
A extensão SSO estabelece logon único em todos os outros aplicativos de destino e em todos os aplicativos da Microsoft.
O dispositivo é registrado com Microsoft Entra ID e em conformidade. Você pode exibir a status do dispositivo no centro de administração e Microsoft Entra ID. O usuário do dispositivo pode exibir o status no Portal da Empresa do Intune e usar Portal da Empresa para conformidade, inventário de aplicativos, sincronizações de dispositivo e compartilhamento de log.
O usuário do dispositivo abre o Teams e é conectado automaticamente.
Opção 4: Assistente de Instalação (herdado)
Use o Assistente de Instalação herdado se desejar que os usuários experimentem a experiência típica e fora de caixa para produtos Apple. Essa opção instala configurações pré-configuradas padrão quando o dispositivo é registrado no Intune. Use esta opção para autenticação quando:
- Você deseja apagar um dispositivo.
- Você não quer recursos de autenticação modernos, como autenticação multifator.
- Você não deseja registrar dispositivos no Microsoft Entra ID. O Assistente de Instalação (herdado) autentica o usuário com o token .p7m da Apple.
Se estiver usando os Serviços de Federação do Active Directory e o Assistente de Configuração para se autenticar, você precisará de um Nome de usuário/Ponto de extremidade misto do WS-Trust 1.3. Para obter mais informações, consulte Get-AdfsEndpoint em nosso guia de referência de Windows PowerShell.
Próximas etapas
Agora que você sabe qual método de autenticação está usando, crie um perfil de registro da Apple e selecione o método de autenticação quando solicitado. Um token de registro de dispositivo automatizado ativo do Apple Business Manager ou do Apple School Manager deve estar presente no Intune para concluir esta etapa.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de