Методы проверки подлинности для автоматической регистрации устройств в Intune

  • Статья

Применимо к iOS/iPadOS

В этой статье описываются методы проверки подлинности, доступные для устройств iOS/iPadOS, зарегистрированных в Intune с помощью автоматической регистрации устройств. Доступные методы проверки подлинности:

  • Приложение "Корпоративный портал Intune"
  • Помощник по настройке с современной проверкой подлинности
  • JIT-регистрация для помощника по настройке с современной проверкой подлинности
  • Помощник по настройке (устаревшая версия)

Все методы доступны для корпоративных устройств с сходством пользователей и приобретены через Apple Business Manager или Apple School Manager.

Вариант 1. Приложение Корпоративный портал Intune

Используйте приложение Корпоративный портал Intune в качестве метода проверки подлинности, если вы хотите:

  • Используйте многофакторную проверку подлинности (MFA).
  • Предложение пользователям изменить пароль при первом входе.
  • Предложение пользователям сбросить пароли с истекшим сроком действия во время регистрации.
  • Зарегистрируйте устройства в Microsoft Entra ID и используйте функции, доступные в Microsoft Entra ID, такие как условный доступ.
  • Автоматическая установка приложения Корпоративный портал во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
  • Пока приложение Корпоративный портал не будет установлено, рекомендуется заблокировать устройство.

Предостережение

Intune блокирует регистрацию, которая использует этот метод проверки подлинности, если для пользователя устройства используется тип профиля регистрации пользователя Apple, управляемый учетной записью. Это ожидаемое поведение. Пользователь получает сообщение об ошибке с сообщением о том, что его учетная запись не поддерживает регистрацию через приложение Корпоративный портал и что ему нужно зарегистрироваться через веб-сайт Корпоративный портал. Чтобы обеспечить успешную регистрацию с помощью автоматической регистрации устройств, используйте вариант 2. Помощник по настройке с современной проверкой подлинности в качестве метода проверки подлинности при работе с управляемыми учетными записями типами профилей Apple User Enrollment.

Вариант 2. Помощник по настройке с современной проверкой подлинности

Этот параметр обеспечивает ту же безопасность, что и проверка подлинности Корпоративный портал Intune, но отличается тем, что он позволяет пользователю устройства получать доступ к частям устройства, даже если Корпоративный портал не установлен. Используйте этот параметр для проверки подлинности, если вы хотите:

  • Очистка устройства.
  • Используйте многофакторную проверку подлинности (MFA).
  • Предложение пользователям изменить пароль при первом входе.
  • Предложение пользователям сбросить пароли с истекшим сроком действия во время регистрации.
  • Зарегистрируйте устройства в Microsoft Entra ID и используйте функции, доступные в Microsoft Entra ID, такие как условный доступ.
  • Автоматическая установка приложения Корпоративный портал во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
  • Разрешить пользователям использовать устройство, даже если приложение Корпоративный портал не установлено.

Помощник по настройке с современной проверкой подлинности поддерживается на устройствах под управлением iOS/iPadOS 13.0 и более поздних версий. Более старые устройства iOS/iPadOS, которым назначен этот тип профиля, будут использовать проверку подлинности помощника по настройке (устаревшая версия).

Автоматическая установка приложения Корпоративный портал

Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID. Чтобы включить автоматическую установку в профиле регистрации, выберите Да для параметра Установка Корпоративный портал с VPP. Рекомендуется использовать этот параметр.

Если вы не используете параметр VPP, пользователь устройства должен ввести свой идентификатор Apple ID во время помощника по настройке или при попытке Intune установить Корпоративный портал.

В обоих сценариях параметр установки Корпоративный портал скрыт от пользователя устройства, и Корпоративный портал становится обязательным приложением на устройстве. Когда пользователь достигает начального экрана, Intune автоматически применяет правильную политику конфигурации приложений к устройству.

Предостережение

Не отправляйте отдельную политику конфигурации приложения на Корпоративный портал для устройств iOS/iPadOS после регистрации в помощнике по настройке с современной проверкой подлинности. Это приводит к ошибке.

Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) потребуется, если политика условного доступа, требующая ее, применяется при регистрации или во время Корпоративный портал входа. Однако MFA является необязательным в зависимости от Microsoft Entra параметров в целевой политике условного доступа.

MFA не будет работать для Помощника по настройке с современной проверкой подлинности в случае использования стороннего поставщика услуг MFA для демонстрации экрана MFA во время регистрации. Во время регистрации работает только экран многофакторной проверки подлинности Microsoft Entra.

требуется действие Корпоративный портал

После просмотра экранов помощника по настройке пользователь устройства попадает на домашнюю страницу. На этом этапе устанавливается сходство пользователей. Однако до тех пор, пока пользователь не войдет в Корпоративный портал, используя свои Microsoft Entra учетные данные, и не выберет Начало, устройство:

  • Не будет полностью зарегистрирован в Microsoft Entra ID.
  • Не отображается в списке устройств пользователя в Microsoft Entra ID.
  • не будет иметь доступа к ресурсам, защищенным с помощью условного доступа;
  • не будет оцениваться на предмет своего соответствия требованиям;
  • будет перенаправляться на Корпоративный портал из других приложений, если пользователь попытается открыть любые управляемые приложения, защищенные с помощью условного доступа.

Вариант 3. JIT-регистрация для помощника по настройке с современной проверкой подлинности

Этот параметр совпадает с помощником по настройке с современной проверкой подлинности, за исключением того, что Корпоративный портал не требуется для регистрации Microsoft Entra или соответствия требованиям. Вместо этого Microsoft Entra проверки регистрации и соответствия требованиям полностью интегрированы в приложение Майкрософт или другое приложение, настроенное с помощью расширения приложения единого входа (SSO) Apple. Расширение сокращает количество запросов на проверку подлинности и устанавливает единый вход на всем устройстве. JIT-регистрация предлагает пользователям пройти проверку подлинности дважды:

  • Одна проверка подлинности обрабатывает регистрацию и сопоставление пользователей и устройств и происходит, когда пользователь устройства включает свое устройство и входит в помощник по настройке.
  • Другая проверка подлинности обрабатывает регистрацию Microsoft Entra и происходит, когда пользователь входит в указанное приложение. Проверки соответствия также выполняются в этом приложении.

Примечание.

Если ваша организация использует Microsoft Defender для конечной точки, чтобы JIT-регистрация и исправление соответствия работали должным образом, убедитесь, что приложение Microsoft Defender для конечной точки не является первым открытым приложением.

Когда пользователь устройства достигает начального экрана, он может войти в любое рабочее или учебное приложение, настроенное с помощью расширения единого входа, чтобы выполнить Microsoft Entra регистрации и проверки соответствия требованиям. Единый вход подписывает пользователя во все приложения, которые являются частью политики расширения единого входа. На этом этапе они также могут вручную войти в любое приложение, которое не настроено для использования расширения единого входа.

Чтобы настроить JIT-регистрацию с автоматической регистрацией устройств, выполните приведенные далее действия.

  1. Создайте политику конфигурации устройства и настройте параметры в категории расширения приложения для единого входа . Инструкции см. в разделе Настройка JIT-регистрации.

  2. Создайте профиль регистрации Apple и выберите Помощник по настройке с современной проверкой подлинности в качестве метода проверки подлинности. Для выполнения этого шага в Intune должен присутствовать активный маркер автоматической регистрации устройств от Apple Business Manager или Apple School Manager.

  3. Когда вы перейдите на страницу Назначения в профиле регистрации, назначьте профиль устройствам, синхронизированным с Apple Business Manager и Apple School Manager. После назначения профиля сотрудники и учащиеся могут выполнить настройку и проверку подлинности на своих устройствах.

    Примечание.

    Корпоративный портал по-прежнему отправляется на устройства в качестве обязательного приложения, даже если это не требуется для регистрации Microsoft Entra или соответствия требованиям. Пользователи устройств могут использовать приложение Корпоративный портал для сбора и отправки журналов, если в приложении возникают проблемы.

Пример успешной проверки подлинности

Следующая последовательность событий описывает пример того, как выглядит успешная проверка подлинности при JIT-регистрации для помощника по настройке с современной проверкой подлинности. Интерфейс вашей организации может отличаться в зависимости от конфигураций автоматической регистрации устройств.

  1. Пользователь устройства включает устройство.

  2. Начинается помощник по настройке. Пользователь устройства проходит проверку подлинности с помощью своих Microsoft Entra учетных данных в помощнике по настройке.

  3. Пользователь устройства завершает многофакторную проверку подлинности, если это требуется в политике условного доступа.

  4. Устройство завершает регистрацию в Intune и устанавливается сходство между пользователем и устройством.

  5. Пользователь устройства попадает на начальный экран и открывает Microsoft Teams или другое приложение Office и выполняет вход с помощью своей рабочей учетной записи. Если устройство соответствует всем требованиям, пользователь устройства сразу же получит доступ к своим сообщениям и календарю.

    Примечание.

    Во время регистрации Microsoft Entra пользователь устройства может увидеть короткий спиннер, пока Intune завершает проверки соответствия. Это поведение не является отклонением от нормы.

  6. Расширение единого входа устанавливает единый вход во всех других целевых приложениях и во всех приложениях Майкрософт.

  7. Устройство зарегистрировано с помощью Microsoft Entra ID и соответствует требованиям. Состояние устройства можно просмотреть в Центре администрирования и Microsoft Entra ID. Пользователь устройства может просматривать состояние в Корпоративный портал Intune и использовать Корпоративный портал для соответствия требованиям, инвентаризации приложений, синхронизации устройств и общего доступа к журналам.

  8. Пользователь устройства открывает Teams и автоматически войдет в систему.

Вариант 4. Помощник по настройке (устаревшая версия)

Используйте устаревший помощник по настройке, если хотите, чтобы пользователи пользовались стандартным интерфейсом для продуктов Apple. Этот параметр устанавливает стандартные предварительно настроенные параметры, когда устройство регистрируется в Intune. Используйте этот параметр для проверки подлинности, если:

  • Вы хотите очистить устройство.
  • Вам не нужны современные функции проверки подлинности, такие как многофакторная проверка подлинности.
  • Вы не хотите регистрировать устройства в Microsoft Entra ID. Помощник по настройке (устаревшая версия) проверяет подлинность пользователя с помощью маркера Apple .p7m.

Если вы используете службы федерации Active Directory (AD FS) и выполняете проверку подлинности с помощью помощника по настройке, требуется конечная точка WS-Trust 1.3 в режиме "Имя пользователя/смешанный". Дополнительные сведения см. в разделе Get-AdfsEndpoint в руководстве по Windows PowerShell.

Дальнейшие действия

Теперь, когда вы знаете, какой метод проверки подлинности вы используете, создайте профиль регистрации Apple и при появлении запроса выберите метод проверки подлинности. Для выполнения этого шага в Intune должен присутствовать активный маркер автоматической регистрации устройств от Apple Business Manager или Apple School Manager.