Configurar a Inscrição de Utilizadores da Apple condicionada por conta
Configure a Inscrição de Utilizadores da Apple condicionada por conta para dispositivos pessoais inscritos no Microsoft Intune. A inscrição de utilizadores orientada por conta proporciona uma experiência de inscrição mais rápida e fácil de utilizar do que a inscrição de utilizadores com Portal da Empresa. O utilizador do dispositivo inicia a inscrição ao iniciar sessão na respetiva conta profissional na aplicação Definições. Depois de o utilizador aprovar a gestão de dispositivos, o perfil de inscrição instala e Intune políticas automaticamente são aplicadas. Intune utiliza o registo just-in-time e a aplicação Microsoft Authenticator para autenticação para reduzir o número de vezes que os utilizadores têm de iniciar sessão durante a inscrição e ao aceder a aplicações de trabalho.
Este artigo descreve como configurar a Inscrição de Utilizadores da Apple orientada por conta no Microsoft Intune. Você vai:
- Configurar o registo JIT.
- Criar um perfil de inscrição.
- Preparar funcionários e estudantes para inscrição.
Pré-requisitos
Microsoft Intune suporta a Inscrição de Utilizadores da Apple condicionada por conta em dispositivos com o iOS/iPadOS versão 15 ou posterior. Se atribuir um perfil de inscrição de utilizadores orientado por conta a utilizadores de dispositivos com o iOS/iPadOS 14.9 ou anterior, Microsoft Intune irá inscrevê-los automaticamente através da inscrição de utilizadores no Portal da Empresa.
Antes de iniciar a configuração, conclua as seguintes tarefas:
- Definir autoridade de gestão de dispositivos móveis (MDM)
- Obter certificado Push de MDM da Apple
- Criar IDs Apple Geridos para utilizadores de dispositivos (abre o site do Suporte da Apple)
Também tem de configurar a deteção de serviços para que a Apple possa aceder ao serviço Intune e obter informações de inscrição. Para tal, configure e publique um ficheiro de recursos http conhecido no mesmo domínio no qual os funcionários iniciam sessão. A Apple obtém o ficheiro através de um pedido HTTP GET para “https://contoso.com/.well-known/com.apple.remotemanagement”
, com o domínio da sua organização em vez de contoso.com
. Publique o ficheiro num domínio que consiga processar pedidos HTTP GET.
Crie o ficheiro no formato JSON, com o tipo de conteúdo definido como application/json
. Fornecemos os seguintes exemplos JSON que pode copiar e colar no seu ficheiro. Utilize aquele que se alinha com o seu ambiente. Substitua a variável YourAADTenantID no URL base pelo ID de inquilino Microsoft Entra da sua organização.
Microsoft Intune ambientes:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune para ambientes do Governo dos E.U.A.:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune operado pela 21 Vianet em ambientes da China:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
O resto do exemplo JSON é preenchido com todas as informações necessárias, incluindo:
- Versão: a versão do servidor é
mdm-byod
. - BaseURL: este URL é a localização onde reside o serviço Intune.
Práticas recomendadas
Recomendamos configurações adicionais para ajudar a melhorar a experiência de inscrição dos utilizadores do dispositivo. Esta secção fornece mais informações sobre cada recomendação.
Implementar Portal da Empresa aplicação Web
Implemente a versão da aplicação Web do site Portal da Empresa do Intune para que os utilizadores tenham acesso rápido às informações de conformidade, ações do dispositivo e status do dispositivo. A aplicação Web é apresentada no ecrã principal e funciona como uma ligação para o site Portal da Empresa. Sem a aplicação Web, os utilizadores de dispositivos ainda podem aceder ao site Portal da Empresa, mas têm de abrir o browser e escrever o endereço no campo de pesquisa. Para obter mais informações sobre como adicionar uma aplicação Web, consulte Adicionar aplicações Web a Microsoft Intune.
Ativar a autenticação federada
A Inscrição de Utilizadores da Apple requer que crie e forneça IDs Apple geridos aos utilizadores inscritos. Se ativar a autenticação federada, que consiste em ligar o Apple Business Manager a Microsoft Entra ID, não tem de criar e fornecer IDs Apple exclusivos a cada utilizador. Em vez disso, um utilizador do dispositivo pode iniciar sessão nas respetivas aplicações com as mesmas credenciais que utiliza para a respetiva conta profissional. Para obter mais informações, consulte Introdução à autenticação federada com o Apple Business Manager no Guia de Utilizador do Apple Business Manager.
Passo 1: Configurar o registo just-in-time e atribuir o Microsoft Authenticator
Configure o registo just-in-time e atribua o Microsoft Authenticator como uma aplicação necessária. Para obter os passos, veja Configurar o registo JIT no Intune. Regresse a este artigo quando terminar para poder continuar para o passo seguinte.
Passo 2: Criar perfil de inscrição
Crie um perfil de inscrição para dispositivos inscritos através da inscrição de utilizadores orientada por conta. O perfil de inscrição aciona a experiência de inscrição do utilizador do dispositivo e permite-lhe iniciar a inscrição a partir da aplicação Definições.
- No Microsoft Intune centro de administração, aceda aInscrição de Dispositivos>.
- Selecione o separador Apple .
- Em Opções de inscrição, selecione Tipos de inscrição.
- Selecione Criar perfil>iOS/iPadOS.
- Na página Informações básicas , introduza um nome e uma descrição para o perfil, para que possa distingui-lo de outros perfis no centro de administração. Os utilizadores do dispositivo não veem estes detalhes.
- Selecione Avançar.
- Na página Definições , para Tipo de inscrição, selecione Inscrição de utilizadores orientada por conta.
- Selecione Avançar.
- Na página Atribuições , atribua o perfil a todos os utilizadores ou selecione grupos específicos. Os grupos de dispositivos não são suportados em cenários de inscrição de utilizadores porque a inscrição de utilizadores requer identidades de utilizador.
- Selecione Avançar.
- Na página Rever + criar , reveja as suas escolhas e, em seguida, selecione Criar para concluir a criação do perfil.
Passo 3: Preparar os funcionários para a inscrição
Para iniciar a inscrição de dispositivos num dispositivo pessoal, o proprietário do dispositivo tem de aceder à aplicação Definições e iniciar sessão com a respetiva conta escolar ou profissional. Se tentarem iniciar sessão numa aplicação com a respetiva conta escolar ou profissional, a aplicação alerta-os para o requisito de inscrição e informa-os sobre como proceder.
Esta secção descreve os passos de inscrição para os utilizadores do dispositivo. Recomendamos que utilize estas informações na documentação de integração de dispositivos da sua organização ou para resolução de problemas e suporte.
- Abra a aplicação Definições no seu dispositivo.
- Selecione Geral.
- Selecione VPN & Gerenciamento de Dispositivos.
- Inicie sessão com a sua conta escolar ou profissional ou com o ID Apple fornecido pela sua organização.
- Selecione Iniciar Sessão no iCloud.
- Introduza a palavra-passe do nome de utilizador apresentado no ecrã. Em seguida, selecione Continuar.
- Selecione Permitir Gestão Remota.
- Aguarde alguns minutos enquanto o dispositivo está configurado e o perfil de gestão está instalado.
- Para confirmar que o dispositivo está pronto para ser utilizado para o trabalho, aceda a VPN & Gerenciamento de Dispositivos. Confirme que a sua conta profissional está listada em CONTA GERIDA.
- O Microsoft Authenticator é necessário para aceder a aplicações de trabalho. Aguarde alguns minutos após a inscrição para que o Authenticator seja instalado no seu dispositivo. É apresentada uma mensagem de erro se tentar iniciar sessão numa aplicação de trabalho sem o Authenticator.
- Poderá receber mais pedidos a pedir a sua aprovação para instalar aplicações de trabalho. Selecione Instalar para aprovar a instalação.
Prioridade do perfil
Intune aplica perfis de inscrição pela ordem em que os prioriza. Para alterar a ordem pela qual são aplicadas:
- Voltar aos Tipos de inscrição para ver os seus perfis.
- Arraste e largue os perfis na lista para reordenar a respetiva prioridade.
Se ocorrer um conflito porque é atribuído a um utilizador mais do que um perfil, Intune aplica o perfil com a prioridade mais alta.
Remover dispositivos da gestão
O volume e as chaves criptográficas criadas para gerir os dados de trabalho no dispositivo são apagados quando o dispositivo é anular a inscrição do Intune.
Problemas conhecidos
Esta secção descreve os problemas conhecidos atuais com a Inscrição de Utilizadores da Apple e a Microsoft Intune condicionadas por conta.
A inscrição falha devido à inscrição da aplicação SSO
Se a aplicação Microsoft Authenticator estiver no dispositivo antes do início da inscrição, a inscrição falhará quando o utilizador do dispositivo tentar iniciar sessão com a respetiva conta escolar ou profissional na aplicação Definições. A mensagem que recebem indica:
- Título: Falha ao Iniciar Sessão
- Descrição: a aplicação SSO de Inscrição foi instalada no dispositivo.
Para contornar este problema, o utilizador do dispositivo tem de desinstalar a aplicação Microsoft Authenticator e reiniciar a inscrição.
Próximas etapas
Para obter uma descrição geral das funcionalidades e ações de gestão suportadas da Inscrição de Utilizadores da Apple no Microsoft Intune, consulte Descrição geral da Inscrição de Utilizadores da Apple no Microsoft Intune.
Para obter mais informações sobre a Inscrição de Utilizadores da Apple, consulte Inscrição de Utilizadores e MDM no site de suporte da Apple.
Para resolução de problemas, veja Resolução de problemas de erros de inscrição de dispositivos iOS/iPadOS no Microsoft Intune.
Para obter as definições suportadas no Intune perfis de configuração de dispositivos, veja: