Поделиться через


Методы проверки подлинности для автоматической регистрации устройств в Intune

Применимо к iOS/iPadOS

В этой статье описываются методы проверки подлинности, доступные для устройств iOS/iPadOS, зарегистрированных в Intune с помощью автоматической регистрации устройств. Доступные методы проверки подлинности:

  • Приложение "Корпоративный портал Intune"
  • Помощник по настройке с современной проверкой подлинности
  • JIT-регистрация для помощника по настройке с современной проверкой подлинности
  • Помощник по настройке (устаревшая версия)

Все методы доступны для корпоративных устройств с сходством пользователей и приобретены через Apple Business Manager или Apple School Manager.

Вариант 1. Приложение корпоративного портала Intune

Используйте приложение Корпоративного портала Intune в качестве метода проверки подлинности, если вы хотите:

  • Используйте многофакторную проверку подлинности (MFA).
  • Предложение пользователям изменить пароль при первом входе.
  • Предложение пользователям сбросить пароли с истекшим сроком действия во время регистрации.
  • Зарегистрируйте устройства в Microsoft Entra ID и используйте функции, доступные с Идентификатором Microsoft Entra, такие как условный доступ.
  • Автоматическая установка приложения корпоративного портала во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
  • Пока приложение Корпоративный портал не будет установлено, рекомендуется заблокировать устройство.

Предостережение

Intune блокирует регистрацию, которая использует этот метод проверки подлинности, если для пользователя устройства используется тип профиля регистрации пользователя Apple, управляемый учетной записью. Это ожидаемое поведение. Пользователь получает сообщение об ошибке с сообщением о том, что его учетная запись не поддерживает регистрацию через приложение корпоративного портала и что ему нужно зарегистрироваться на веб-сайте корпоративного портала. Чтобы обеспечить успешную регистрацию с помощью автоматической регистрации устройств, используйте вариант 2. Помощник по настройке с современной проверкой подлинности в качестве метода проверки подлинности при работе с управляемыми учетными записями типами профилей Apple User Enrollment.

Вариант 2. Помощник по настройке с современной проверкой подлинности

Этот параметр обеспечивает ту же безопасность, что и проверка подлинности на корпоративном портале Intune, но отличается тем, что он позволяет пользователю устройства получать доступ к частям устройства, даже если корпоративный портал не установлен. Используйте этот параметр для проверки подлинности, если вы хотите:

  • Очистка устройства.
  • Используйте многофакторную проверку подлинности (MFA).
  • Предложение пользователям изменить пароль при первом входе.
  • Предложение пользователям сбросить пароли с истекшим сроком действия во время регистрации.
  • Зарегистрируйте устройства в Microsoft Entra ID и используйте функции, доступные с Идентификатором Microsoft Entra, такие как условный доступ.
  • Автоматическая установка приложения корпоративного портала во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
  • Разрешить пользователям использовать устройство, даже если приложение корпоративного портала не установлено.

Помощник по настройке с современной проверкой подлинности поддерживается на устройствах под управлением iOS/iPadOS 13.0 и более поздних версий. Более старые устройства iOS/iPadOS, которым назначен этот тип профиля, будут использовать проверку подлинности помощника по настройке (устаревшая версия).

Автоматическая установка приложения корпоративного портала

Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID. Чтобы включить автоматическую установку в профиле регистрации, выберите Да для параметра Установка корпоративного портала с помощью VPP. Рекомендуется использовать этот параметр.

Если вы не используете параметр VPP, пользователь устройства должен ввести свой идентификатор Apple ID во время помощника по настройке или при попытке Intune установить корпоративный портал.

В обоих сценариях параметр установки корпоративного портала скрыт от пользователя устройства, и корпоративный портал становится обязательным приложением на устройстве. Когда пользователь достигает начального экрана, Intune автоматически применяет правильную политику конфигурации приложений к устройству.

Предостережение

Не отправляйте отдельную политику конфигурации приложения на Корпоративный портал для устройств iOS/iPadOS после регистрации в помощнике по настройке с современной проверкой подлинности. Это приводит к ошибке.

Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) будет требоваться, если политика условного доступа, требующая ее , применяется при регистрации или во время входа на корпоративный портал. Однако MFA является необязательным на основе параметров Microsoft Entra в целевой политике условного доступа.

Внешние методы проверки подлинности поддерживаются в Идентификаторе Microsoft Entra, что означает, что вы можете использовать предпочитаемое решение MFA для упрощения MFA во время регистрации устройства. Если вы решили использовать стороннего поставщика MFA, перед развертыванием профилей регистрации на всех устройствах выполните тестовый запуск, чтобы убедиться, что во время регистрации работают экран MFA Microsoft Entra и MFA. Дополнительные сведения и сведения о поддержке внешних методов проверки подлинности см. в статье Общедоступная предварительная версия: Внешние методы проверки подлинности в Идентификаторе Microsoft Entra.

Требуется действие корпоративного портала

После просмотра экранов помощника по настройке пользователь устройства попадает на домашнюю страницу. На этом этапе устанавливается сходство пользователей. Однако, пока пользователь не войдет на корпоративный портал, используя свои учетные данные Microsoft Entra, и не выберет Начало, устройство:

  • Не будет полностью зарегистрирован с идентификатором Microsoft Entra.
  • Не отображается в списке устройств пользователя в идентификаторе Microsoft Entra.
  • не будет иметь доступа к ресурсам, защищенным с помощью условного доступа;
  • не будет оцениваться на предмет своего соответствия требованиям;
  • будет перенаправляться на Корпоративный портал из других приложений, если пользователь попытается открыть любые управляемые приложения, защищенные с помощью условного доступа.

Вариант 3. JIT-регистрация для помощника по настройке с современной проверкой подлинности

Этот параметр совпадает с помощником по настройке с современной проверкой подлинности, за исключением того, что корпоративный портал не требуется для регистрации Или соответствия требованиям Microsoft Entra. Вместо этого регистрация и проверки соответствия требованиям Microsoft Entra полностью интегрированы в приложение Майкрософт или другое приложение, настроенное с помощью расширения приложения единого входа (SSO) Apple. Расширение сокращает количество запросов на проверку подлинности и устанавливает единый вход на всем устройстве. JIT-регистрация предлагает пользователям пройти проверку подлинности дважды:

  • Одна проверка подлинности обрабатывает регистрацию и сопоставление пользователей и устройств и происходит, когда пользователь устройства включает свое устройство и входит в помощник по настройке.
  • Другая проверка подлинности обрабатывает регистрацию Microsoft Entra и происходит, когда пользователь входит в указанное приложение. Проверки соответствия также выполняются в этом приложении.

Примечание.

Если ваша организация использует Microsoft Defender для конечной точки, чтобы JIT-регистрация и исправление соответствия работали должным образом, убедитесь, что приложение Microsoft Defender для конечной точки не является первым открытым приложением.

Когда пользователь устройства достигает начального экрана, он может войти в любое рабочее или учебное приложение, настроенное с помощью расширения единого входа, для выполнения проверок регистрации и соответствия требованиям Microsoft Entra. Единый вход подписывает пользователя во все приложения, которые являются частью политики расширения единого входа. На этом этапе они также могут вручную войти в любое приложение, которое не настроено для использования расширения единого входа.

Чтобы настроить JIT-регистрацию с автоматической регистрацией устройств, выполните приведенные далее действия.

  1. Создайте политику конфигурации устройства и настройте параметры в категории расширения приложения для единого входа . Инструкции см. в разделе Настройка JIT-регистрации.

  2. Создайте профиль регистрации Apple и выберите Помощник по настройке с современной проверкой подлинности в качестве метода проверки подлинности. Для выполнения этого шага в Intune должен присутствовать активный маркер автоматической регистрации устройств от Apple Business Manager или Apple School Manager.

  3. Когда вы перейдите на страницу Назначения в профиле регистрации, назначьте профиль устройствам, синхронизированным с Apple Business Manager и Apple School Manager. После назначения профиля сотрудники и учащиеся могут выполнить настройку и проверку подлинности на своих устройствах.

    Примечание.

    Корпоративный портал по-прежнему отправляется на устройства в качестве обязательного приложения, даже если он не требуется для регистрации Или соответствия требованиям Microsoft Entra. Пользователи устройств могут использовать приложение Корпоративного портала для сбора и отправки журналов , если в приложении возникают проблемы.

Пример успешной проверки подлинности

Следующая последовательность событий описывает пример того, как выглядит успешная проверка подлинности при JIT-регистрации для помощника по настройке с современной проверкой подлинности. Интерфейс вашей организации может отличаться в зависимости от конфигураций автоматической регистрации устройств.

  1. Пользователь устройства включает устройство.

  2. Начинается помощник по настройке. Пользователь устройства проходит проверку подлинности с помощью учетных данных Microsoft Entra в помощнике по настройке.

  3. Пользователь устройства завершает многофакторную проверку подлинности, если это требуется в политике условного доступа.

  4. Устройство завершает регистрацию в Intune и устанавливается сходство между пользователем и устройством.

  5. Пользователь устройства попадает на начальный экран и открывает Microsoft Teams или другое приложение Office и выполняет вход с помощью своей рабочей учетной записи. Если устройство соответствует всем требованиям, пользователь устройства сразу же получит доступ к своим сообщениям и календарю.

    Примечание.

    Во время регистрации Microsoft Entra пользователь устройства может увидеть короткий спиннер, в то время как Intune завершает проверку соответствия. Это поведение не является отклонением от нормы.

  6. Расширение единого входа устанавливает единый вход во всех других целевых приложениях и во всех приложениях Майкрософт.

  7. Устройство зарегистрировано с идентификатором Microsoft Entra и соответствует требованиям. Состояние устройства можно просмотреть в Центре администрирования и идентификаторе Microsoft Entra. Пользователь устройства может просматривать состояние на корпоративном портале Intune и использовать корпоративный портал для обеспечения соответствия требованиям, инвентаризации приложений, синхронизации устройств и общего доступа к журналам.

  8. Пользователь устройства открывает Teams и автоматически войдет в систему.

Вариант 4. Помощник по настройке (устаревшая версия)

Используйте устаревший помощник по настройке, если хотите, чтобы пользователи пользовались стандартным интерфейсом для продуктов Apple. Этот параметр устанавливает стандартные предварительно настроенные параметры, когда устройство регистрируется в Intune. Используйте этот параметр для проверки подлинности, если:

  • Вы хотите очистить устройство.
  • Вам не нужны современные функции проверки подлинности, такие как многофакторная проверка подлинности.
  • Вы не хотите регистрировать устройства в Microsoft Entra ID. Помощник по настройке (устаревшая версия) проверяет подлинность пользователя с помощью маркера Apple .p7m.

Если вы используете службы федерации Active Directory (AD FS) и выполняете проверку подлинности с помощью помощника по настройке, требуется конечная точка WS-Trust 1.3 в режиме "Имя пользователя/смешанный". Дополнительные сведения см. в разделе Get-AdfsEndpoint в справочном руководстве по Windows PowerShell.

Дальнейшие действия

Теперь, когда вы знаете, какой метод проверки подлинности вы используете, создайте профиль регистрации Apple и при появлении запроса выберите метод проверки подлинности. Для выполнения этого шага в Intune должен присутствовать активный маркер автоматической регистрации устройств от Apple Business Manager или Apple School Manager.