Настройка регистрации пользователей Apple под управлением учетной записи

  • Статья

Важно!

Этот компонент находится в состоянии общедоступной предварительной версии. Дополнительные сведения см. в статье Общедоступная предварительная версия в Microsoft Intune.

Настройка регистрации пользователей Apple на основе учетной записи для личных устройств, зарегистрированных в Microsoft Intune. Регистрация на основе учетной записи обеспечивает более быструю и удобную регистрацию, чем регистрация пользователей с помощью Корпоративный портал. Пользователь устройства инициирует регистрацию, войдите в свою рабочую учетную запись в приложении "Параметры". После утверждения пользователем управления устройствами профиль регистрации автоматически устанавливается и применяются политики Intune. Intune использует JIT-регистрацию и приложение Microsoft Authenticator для проверки подлинности, чтобы сократить количество попыток входа пользователей во время регистрации и при доступе к рабочим приложениям.

В этой статье описывается, как настроить регистрацию пользователей Apple на основе учетной записи в Microsoft Intune. Вот что нужно сделать:

  • Настройка JIT-регистрации.
  • Создайте профиль регистрации.
  • Подготовка сотрудников и учащихся к регистрации.

Предварительные требования

Microsoft Intune поддерживает регистрацию пользователей Apple на основе учетных записей на устройствах под управлением iOS/iPadOS версии 15 или более поздней. Если вы назначите профиль регистрации пользователей, управляемых учетной записью, пользователям устройств под управлением iOS/iPadOS 14.9 или более ранней версии, Microsoft Intune автоматически зарегистрируют их через регистрацию пользователей с помощью Корпоративный портал.

Прежде чем приступить к настройке, выполните следующие задачи:

Кроме того, необходимо настроить обнаружение служб, чтобы Apple могла обращаться к службе Intune и получать сведения о регистрации. Для этого настройте и опубликуйте хорошо известный файл ресурсов HTTP в том же домене, в который входят сотрудники. Apple извлекает файл с помощью HTTP-запроса GET к “https://contoso.com/.well-known/com.apple.remotemanagement”, с доменом вашей организации вместо contoso.com. Опубликуйте файл в домене, который может обрабатывать HTTP-запросы GET.

Создайте файл в формате JSON с типом контента, равным application/json. Мы предоставили следующие примеры JSON, которые можно скопировать и вставить в файл. Используйте тот, который соответствует вашей среде. Замените переменную YourAADTenantID в базовом URL-адресе идентификатором клиента Microsoft Entra вашей организации.

среды Microsoft Intune:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune для сред для государственных организаций США:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune управляется 21 Vianet в средах Для Китая:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Остальная часть примера JSON заполняется всей необходимой информацией, в том числе:

  • Версия: версия сервера — mdm-byod.
  • BaseURL. Этот URL-адрес является расположением службы Intune.

Лучшие методики

Мы рекомендуем использовать дополнительные конфигурации, чтобы улучшить процесс регистрации для пользователей устройств. В этом разделе содержатся дополнительные сведения о каждой рекомендации.

Развертывание веб-приложения Корпоративный портал

Разверните версию веб-приложения веб-сайта Корпоративный портал Intune, чтобы пользователи имели быстрый доступ к состоянию устройства, действиям устройства и сведениям о соответствии. Веб-приложение отображается на начальном экране и работает как ссылка на веб-сайт Корпоративный портал. Без веб-приложения пользователи устройств по-прежнему могут получить доступ к веб-сайту Корпоративный портал, но должны открыть браузер и ввести адрес в поле поиска. Дополнительные сведения о добавлении веб-приложения см. в статье Добавление веб-приложений в Microsoft Intune.

Включение федеративной проверки подлинности

Регистрация пользователей Apple требует создания и предоставления управляемых идентификаторов Apple для регистрируемых пользователей. Если включить федеративную проверку подлинности, которая состоит из связывания Apple Business Manager с Microsoft Entra ID, вам не придется создавать и предоставлять уникальные идентификаторы Apple ID для каждого пользователя. Вместо этого пользователь устройства может войти в свои приложения с теми же учетными данными, которые они используют для своей рабочей учетной записи. Дополнительные сведения см. в статье Введение в федеративную проверку подлинности с помощью Apple Business Manager в руководстве пользователя Apple Business Manager.

Шаг 1. Настройка JIT-регистрации и назначение Microsoft Authenticator

Важно!

Этот компонент находится в состоянии общедоступной предварительной версии. Дополнительные сведения см. в статье Общедоступная предварительная версия в Microsoft Intune.

Настройте JIT-регистрацию и назначьте Microsoft Authenticator в качестве обязательного приложения. Инструкции см . в разделе Настройка JIT-регистрации в Intune. По завершении вернитесь к этой статье, чтобы перейти к следующему шагу.

Шаг 2. Создание профиля регистрации

Создайте профиль регистрации для устройств, зарегистрированных с помощью регистрации пользователей, управляемых учетной записью. Профиль регистрации активирует процесс регистрации пользователя устройства и позволяет ему инициировать регистрацию из приложения "Параметры".

  1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
  2. Перейдите на вкладку Apple .
  3. В разделе Параметры регистрации выберите Типы регистрации.
  4. Выберите Создать профиль>iOS или iPadOS.
  5. На странице Основные сведения введите имя и описание профиля, чтобы отличить его от других профилей в Центре администрирования. Пользователи устройств не видят эти сведения.
  6. Нажмите кнопку Далее.
  7. На странице Параметры в поле Тип регистрации выберите Регистрация на основе учетной записи.
  8. Нажмите кнопку Далее.
  9. На странице Назначения назначьте профиль всем пользователям или выберите определенные группы. Группы устройств не поддерживаются в сценариях регистрации пользователей, так как для регистрации пользователей требуются удостоверения пользователей.
  10. Нажмите кнопку Далее.
  11. На странице Просмотр и создание просмотрите выбранные варианты и нажмите кнопку Создать , чтобы завершить создание профиля.

Шаг 3. Подготовка сотрудников к регистрации

Чтобы инициировать регистрацию устройства на личном устройстве, владелец устройства должен перейти в приложение Параметры и войти с помощью рабочей или учебной учетной записи. Если пользователь пытается войти в приложение с помощью рабочей или учебной учетной записи, приложение оповещает их о необходимости регистрации и сообщает, как действовать дальше.

В этом разделе описаны шаги регистрации для пользователей устройств. Мы рекомендуем использовать эти сведения в документации по подключению устройств вашей организации или для устранения неполадок и поддержки.

  1. Откройте приложение "Параметры" на устройстве.
  2. Выберите Общие.
  3. Выберите VPN-& Управление устройствами.
  4. Войдите с помощью рабочей или учебной учетной записи или с идентификатором Apple ID, предоставленным вам вашей организацией.
  5. Выберите Войти в iCloud.
  6. Введите пароль для имени пользователя, которое отображается на экране. Затем нажмите кнопку Продолжить.
  7. Выберите Разрешить удаленное управление.
  8. Подождите несколько минут, пока устройство настроено и установлен профиль управления.
  9. Чтобы убедиться, что устройство готово к использованию для работы, перейдите на страницу VPN-& Управление устройствами. Убедитесь, что ваша рабочая учетная запись указана в разделе MANAGED ACCOUNT.
  10. Microsoft Authenticator требуется для доступа к рабочим приложениям. Подождите несколько минут после регистрации, чтобы установить Authenticator на вашем устройстве. При попытке войти в рабочее приложение без Authenticator появляется сообщение об ошибке.
  11. Вы можете получать дополнительные запросы на утверждение для установки рабочих приложений. Выберите Установить , чтобы утвердить установку.

Приоритет профиля

Intune применяет профили регистрации в порядке их приоритета. Чтобы изменить порядок их применения, выполните следующие действия:

  1. Назад типы регистрации для просмотра профилей.
  2. Перетащите профили в списке, чтобы изменить их приоритет.

Если конфликт возникает из-за того, что пользователю назначено несколько профилей, Intune применяет профиль с более высоким приоритетом.

Удаление устройства из управления

Том и криптографические ключи, созданные для управления рабочими данными на устройстве, удаляются при отмене регистрации устройства из Intune.

Известные проблемы

В этом разделе описаны текущие известные проблемы с регистрацией пользователей Apple на основе учетных записей и Microsoft Intune.

Регистрация завершается сбоем из-за приложения единого входа для регистрации

Если приложение Microsoft Authenticator находится на устройстве до начала регистрации, регистрация завершится ошибкой, когда пользователь устройства попытается войти с помощью рабочей или учебной учетной записи в приложении "Параметры". В сообщении, которое они получают, говорится:

  • Заголовок: Сбой входа
  • Описание: на устройстве установлено приложение единого входа для регистрации.

Чтобы обойти эту проблему, пользователь устройства должен удалить приложение Microsoft Authenticator и перезапустить регистрацию.

Дальнейшие действия