Руководство по регистрации. Регистрация устройств iOS и iPadOS в Microsoft Intune

Личные и принадлежащие организации устройства можно регистрировать в Intune. После регистрации устройства получают созданные вами политики и профили. При регистрации устройств iOS/iPadOS доступны следующие варианты:

В этой статье содержатся рекомендации по регистрации и общие сведения о задачах администратора и пользователя для каждого параметра iOS/iPadOS.

Также есть наглядное руководство по различным вариантам регистрации для каждой платформы:

Визуальное представление параметров регистрации Intune по платформе
Скачать версию PDF | Скачать версию Visio

Совет

Это пошаговое руководство. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными.

Перед началом работы

Все необходимые компоненты и конфигурации Для Intune, необходимые для подготовки клиента к регистрации, см. в разделе Руководство по регистрации: Microsoft Intune регистрации.

Автоматическая регистрация устройств (ADE) (защищенная)

Ранее именовалась программой регистрации устройств Apple (DEP). Используйте на устройствах, принадлежащих вашей организации. Этот вариант позволяет настроить параметры с помощью Apple Business Manager (ABM) или Apple School Manager (ASM). Он регистрирует большое количество устройств, не требуя от вас брать в руки хоть одно из них. Эти устройства приобретаются у компании Apple, получают ваши предварительно настроенные параметры и могут быть отправлены непосредственно пользователям или в школы. Вы создаете профиль регистрации в Центре администрирования Intune и отправляете его на устройства.

Более подробные сведения об этом типе регистрации см. в:


Функция Используйте этот вариант регистрации, когда:
Вам нужен защищенный режим. ✔️

В защищенном режиме развертываются обновления программного обеспечения, ограничиваются функции, разрешаются и блокируются приложения и выполняется многое другое.
Устройства принадлежат организации или школе. ✔️
У вас есть новые устройства. ✔️
Необходима регистрация множества устройств (массовая регистрация). ✔️
Устройства связаны с единственным пользователем. ✔️
Устройства не имеют пользователей — например, киоски или выделенные устройства. ✔️
Устройства являются личными или BYOD.

Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM (открывается другая статья Майкрософт) или регистрации пользователей и устройств (в этой статье).
У вас уже есть устройства.

Уже имеющиеся устройства следует регистрировать с помощью Apple Configurator (раздел этой статьи).
Устройства находятся под управлением другого поставщика MDM.

Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune.
Вы используете учетную запись диспетчера регистрации устройств (DEM).

Учетная запись DEM не поддерживается.

Задачи администраторов ADE

Этот список задач содержит общие сведения. Дополнительные сведения см. в разделах Регистрация Apple Business Manager и Регистрация Apple School Manager.

  • Убедитесь, что устройства поддерживаются.

  • Необходим доступ к порталу Apple Business Manager (ABM) или Apple School Manager (ASM).

  • Убедитесь, что активен токен Apple (.p7m). Дополнительные сведения см. в разделе Получение токена ADE Apple.

  • Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в разделе Получение сертификата Apple MDM Push Certificate.

  • Решите, как пользователи будут проходить проверку подлинности на своих устройствах: через приложение Корпоративный портал, Помощник по настройке (прежних версий) или Помощник по настройке с современной проверкой подлинности. Примите это решение перед созданием профиля регистрации. "Современной проверкой подлинности" считается использование приложения Корпоративный портал или Помощника по настройке с современной проверкой подлинности.

    • Выбирайте приложение Корпоративный портал в следующих случаях:

      • Вы хотите очистить устройство.
      • Вы хотите использовать многофакторную проверку подлинности (MFA).
      • Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
      • Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
      • Требуется, чтобы устройства регистрировались в Microsoft Entra идентификаторе. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, например условный доступ.
      • Вы хотите установить приложение Корпоративный портал автоматически во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
      • Пока приложение Корпоративный портал не будет установлено, рекомендуется заблокировать устройство. После установки пользователи входят в приложение Корпоративный портал с помощью учетной записи Microsoft Entra организации. При этом устройство разблокируется и его можно использовать.
    • Выбирайте Помощник по настройке (прежних версий) в следующих случаях:

      • Вы хотите очистить устройство.

      • Вы не хотите использовать современные функции проверки подлинности, например MFA.

      • Вы не хотите регистрировать устройства в Microsoft Entra id. Помощник по настройке (устаревшая версия) проверяет подлинность пользователя с помощью токена Apple .p7m. Если можно не регистрировать устройства в идентификаторе Microsoft Entra, устанавливать приложение Корпоративный портал не нужно. Используйте Помощник по настройке (прежних версий) и далее.

        Если вы хотите, чтобы устройства регистрировались в Microsoft Entra id, установите приложение Корпоративный портал. Вы можете установить приложение "Корпоративный портал", создав профиль регистрации и выбрав Помощник по настройке (прежних версий). Мы рекомендуем установить приложение Корпоративный портал во время регистрации.

    • Выбирайте Помощник по настройке с современной проверкой подлинности в следующих случаях:

      • Вы хотите очистить устройство.
      • Вы хотите использовать многофакторную проверку подлинности (MFA).
      • Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
      • Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
      • Требуется, чтобы устройства регистрировались в Microsoft Entra идентификаторе. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, например условный доступ.
      • Вы хотите установить приложение Корпоративный портал автоматически во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
      • Вы хотите предоставить пользователям доступ к устройству даже без установленного приложения "Корпоративный портал".

    Примечание.

    Для проверки подлинности пользователей корпорация Майкрософт рекомендует использовать приложение Корпоративный портал или Помощник по настройке с современной проверкой подлинности.

    Какой вариант выбрать? Это может зависеть от ряда факторов.

    • Если вы хотите работать на устройстве до установки приложения "Корпоративный портал", используйте Помощник по настройке с современной проверкой подлинности.

      Во время помощника по настройке пользователи должны ввести учетные данные своей организации Microsoft Entra (user@contoso.com). После ввода учетных данных начнется регистрация и будет выполнена установка приложения "Корпоративный портал". При необходимости пользователи также могут ввести свой Apple ID для доступа к предлагаемым Apple функциям, например Apple Pay.

      После завершения работы Помощника по настройке пользователи получат доступ к устройству. Когда отобразится начальный экран, регистрация будет завершена и будет установлено сопоставление пользователей. Устройство не полностью зарегистрировано с идентификатором Microsoft Entra и отображается как несоответствующее в списке устройств пользователя в Microsoft Entra id. Устройство отображается как соответствующее в Центре администрирования Microsoft Intune.

      После установки приложения Корпоративный портал, что занимает некоторое время, пользователи открывают приложение Корпоративный портал и снова выполняют вход с помощью учетной записи Microsoft Entra организации (user@contoso.com). Во время этого второго входа оцениваются все политики условного доступа и Microsoft Entra регистрация завершена. Пользователи получают возможность устанавливать и использовать ресурсы организации, в том числе бизнес-приложения. В идентификаторе Microsoft Entra устройство отображается как соответствующее.

    • Если вы не хотите работать на устройстве до установки приложения "Корпоративный портал", выберите вариант с приложением Корпоративный портал. Вариант с приложением Корпоративный портал блокирует устройство, пока это приложение не будет установлено. После завершения установки приложение "Корпоративный портал" автоматически откроется. Пользователи входят с помощью учетной записи Microsoft Entra организации (user@contoso.com) и могут использовать устройство.

  • Если вы используете приложение "Корпоративный портал", определите, как оно будет установлено на устройствах. Примите это решение перед созданием профиля регистрации.

    Примечание.

    При проверке подлинности с помощью приложения "Корпоративный портал" корпорация Майкрософт рекомендует использовать программу Volume Purchase Program (VPP). Она обеспечивает лучшее взаимодействие с пользователем.

    Не устанавливайте приложение "Корпоративный портал" прямо из магазина приложений на устройства, зарегистрированные в ADE. Вместо этого установите приложение "Корпоративный портал", используя следующие параметры:

    • Токен VPP + регистрация новых устройств. Если у вас есть программа Volume Purchase Program (VPP) и вы регистрируете новые устройства, приложение "Корпоративный портал" будет приложено. При создании профиля регистрации в Центре администрирования Intune выберите Установить Корпоративный портал с помощью VPP, сделайте его обязательным приложением и включите автоматическое обновление приложений.

      Данный параметр:

      • Включает правильную версию приложения "Корпоративный портал".
      • Однократная установка приложения Корпоративный портал.
      • Использует функцию автоматического обновления приложений , чтобы Intune могла отправлять обновления приложений. Дополнительные сведения см. в статье Развертывание приложения Корпоративный портал — ADE.
    • Токена VPP нет + регистрация новых устройств. Нет задач администратора. Убедитесь, что пользователи вводят их идентификатор Apple ID в помощнике по настройке.

      После завершения работы помощника по настройке приложение "Корпоративный портал" пытается выполнить автоматическую установку. Если пользователи не вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com), они будут постоянно получать запрос на ввод их идентификаторов Apple ID. Пользователи должны вводить свои идентификаторы Apple ID для получения приложения "Корпоративный портал" на своих устройствах. После установки приложения "Корпоративный портал" пользователи открывают его и вводят свои учетные данные организации (user@contoso.com). Пройдя проверку подлинности, пользователи могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.

    • Устройства уже зарегистрированы. Если устройства уже зарегистрированы, вне зависимости от наличия VPP используйте политику конфигурации приложений:

      1. В Центре администрирования Intune добавьте приложение Корпоративный портал в качестве обязательного приложения и в качестве приложения с лицензией устройства.
      2. Создайте политику конфигурации приложений, которая включает приложение "Корпоративный портал" в качестве лицензированного приложения устройства. Дополнительные сведения см. в разделе Настройка приложения "Корпоративный портал" для поддержки устройств с iOS и iPadOS DEP.
      3. Разверните политику конфигурации приложений в той же группе устройств, что и профиль регистрации.
      4. Когда устройства синхронизируются со службой Intune, она получает ваш профиль и устанавливается приложение "Корпоративный портал" приложение.

      Данный параметр:

      • Включает правильную версию приложения "Корпоративный портал".
      • Требует создания профиля регистрации приложений и создания политики конфигурации приложений. В политике конфигурации приложений сделайте ее обязательным приложением, чтобы вы узнали, что приложение будет развернуто на всех ваших устройствах.
      • Приложение "Корпоративный портал" можно автоматически обновить, изменив существующую политику конфигурации приложений.
  • В Центре администрирования Intune создайте профиль регистрации:

    • Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).
    • Выберите, где пользователи будут проходить проверку подлинности: через приложение Корпоративный портал, Помощник по настройке (прежних версий) или Помощник по настройке с современной проверкой подлинности.

    Более подробные сведения и предложения см. в статье Автоматизированная регистрация устройств Apple.

Задачи конечных пользователей ADE

При создании профиля регистрации в Центре администрирования Intune вы можете связать пользователя с устройством (регистрация с сопоставлением пользователей) или иметь общие устройства (Регистрация без сопоставления пользователей). Конкретные действия зависят от настройки профиля регистрации. На общем iPad после активации все панели помощника по настройке автоматически пропускаются.

  • Регистрация с сопоставлением пользователей + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей и используйте приложение Корпоративный портал для проверки подлинности.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com). После ввода происходит автоматическая установка приложения "Корпоративный портал" из вашего профиля регистрации. Автоматическая установка приложения "Корпоративный портал" может занять некоторое время.
    2. Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (user@contoso.com). При входе в систему начинается регистрация. По завершении регистрации, пользователи могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.

    Пользователям может потребоваться ввести дополнительные сведения. Более конкретное описание пользовательских действий приведено в разделе Регистрация корпоративного устройства iOS.

  • Регистрация с сопоставлением пользователей + Помощник по настройке (прежних версий) + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и установите приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com).

    2. Помощник по настройке запрашивает информацию у пользователя.

    3. Приложение "Корпоративный портал" автоматически открывается. Оно должно оставить устройство в несменяемом режиме киоска. Открытие приложения "Корпоративный портал" может занять некоторое время. Пользователи выполняют вход под своими корпоративными учетными данными(user@contoso.com), и устройство регистрируется в Intune.

      На этом шаге устройство регистрируется в Microsoft Entra id. Пользователи теперь могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.

  • Регистрация с сопоставлением пользователей + Помощник по настройке (прежних версий) – приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и не устанавливайте приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com).
    2. Помощник по настройке запрашивает информацию у пользователя и регистрирует устройство в Intune. Устройство не зарегистрировано в идентификаторе Microsoft Entra.
  • Регистрация с использованием сходства пользователей + Помощник по настройке с современной проверкой подлинности:

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей и используйте помощник по настройке для проверки подлинности. Приложение Корпоративный портал устанавливается автоматически.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свой идентификатор Apple ID (user@iCloud.com или user@gmail.com) и свою организацию Microsoft Entra учетные данные (user@contoso.com).

      Когда пользователи вводят свои Microsoft Entra учетные данные, начинается регистрация.

    2. Помощник по настройке запросит у пользователя дополнительные сведения. Настройка завершена, когда появится начальный экран. Устройство полностью зарегистрировано, а сопоставление пользователей установлено. Пользователи могут использовать свои устройства и просматривать приложения и политики на своих устройствах.

      На этом этапе устройство не полностью зарегистрировано с идентификатором Microsoft Entra и отображается как несоответствующее в идентификаторе Microsoft Entra. Устройство отображает его соответствие в Центре администрирования Microsoft Intune.

    3. Если вы устанавливаете приложение "Корпоративный портал" с использованием VPP (рекомендуется), приложение "Корпоративный портал" устанавливается автоматически. Пользователи открывают приложение "Корпоративный портал" и повторно входят со своей рабочей или учебной учетной записью (user@contoso.com). Они завершают регистрацию Microsoft Entra в приложении Корпоративный портал, которое полностью регистрирует устройство с Microsoft Entra идентификатором. Затем пользователи получают доступ к корпоративным ресурсам, защищенным политиками условного доступа, и устройство отображается как соответствующее в Microsoft Entra id.

    4. Если вы не устанавливаете приложение "Корпоративный портал" с использованием VPP и хотите использовать приложение "Корпоративный портал":

      1. Пользователям следует войти в Apple App Store с помощью своего Apple ID (user@iCloud.com или user@gmail.com). После их входа приложение "Корпоративный портал" устанавливается автоматически.

        Этот дополнительный шаг входа замедляет регистрацию, особенно если пользователи не входят сразу.

        Если они не входят в App Store, приложение "Корпоративный портал" не устанавливается. Если приложение не установлено, пользователи не смогут зарегистрировать устройство в Microsoft Entra идентификаторе. Так как устройство не завершило регистрацию, в Microsoft Entra id устройство отображается как несоответствующее. Ресурсы с условным доступом будут недоступны.

      2. Пользователи открывают приложение "Корпоративный портал" и повторно входят со своей рабочей или учебной учетной записью (user@contoso.com). Они завершают регистрацию Microsoft Entra в приложении Корпоративный портал, которое полностью регистрирует устройство с Microsoft Entra идентификатором. При следующей синхронизации пользователи получат доступ к корпоративным ресурсам, защищенным политиками условного доступа.

  • Регистрация без сопоставления пользователей. Действия не требуются. Убедитесь, что они не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация без сопоставления пользователей.

Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.

Регистрация в Apple Configurator

Используйте на устройствах, принадлежащих вашей организации. Включает в себя регистрацию без участия торгового посредника. Для этого варианта требуется физически подключить устройства с iOS/iPadOS к компьютеру Mac через порт USB.

Более подробные сведения об этом типе регистрации см. в Регистрация Apple Configurator.


Функция Используйте этот вариант регистрации, когда:
Необходимо проводные подключения или имеются неполадки сети. ✔️
Ваша организация не хочет, чтобы администраторы использовали портал ABM или ASM или не хочет выполнять все необходимые настройки. ✔️

Смысл неиспользования портала ABM или ASM — предоставление администраторам меньшего уровня контроля.
Страна или регион не поддерживают Apple Business Manager (ABM) или Apple School Manager (ASM). ✔️

Если ваша страна или регион поддерживает ABS или ASM, устройства должны быть зарегистрированы с помощью автоматической регистрации устройств (в этой статье).
Устройства принадлежат организации или школе. ✔️
У вас имеются новые или существующие устройства. ✔️
Необходима регистрация множества устройств (массовая регистрация). ✔️

При наличии большого количества устройств этот метод займет некоторое время.
Устройства связаны с единственным пользователем. ✔️
Устройства не имеют пользователей — например, киоски или выделенные устройства. ✔️
Устройства являются личными или BYOD.

Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM (открывается другая статья Майкрософт) или регистрации пользователей и устройств (в этой статье).
Устройства находятся под управлением другого поставщика MDM.

Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune.
Вы используете учетную запись диспетчера регистрации устройств (DEM).

Учетная запись DEM не поддерживается.

Задачи администратора Apple Configurator

Этот список задач содержит общие сведения. Более подробные сведения см. в разделе Регистрация Apple Configurator.

  • Требуется доступ к компьютеру Mac с USB-портом.

  • Убедитесь, что устройства поддерживаются.

  • Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в разделе Получение сертификата push-уведомлений MDM Apple.

  • Определите, как пользователи будут проходить проверку подлинности на своих устройствах: через приложение Корпоративный портал или помощник по настройке. Примите это решение перед созданием профиля регистрации. Использование приложения "Корпоративный портал" считается более современной проверкой подлинности. Мы рекомендуем использовать приложение "Корпоративный портал".

    • Выбирайте приложение Корпоративный портал в следующих случаях:

      • Вы хотите использовать многофакторную проверку подлинности (MFA).
      • Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
      • Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
      • Требуется, чтобы устройства регистрировались в Microsoft Entra идентификаторе. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, например условный доступ.
      • Приложение Корпоративный портал желательно автоматически установить во время регистрации. Если в вашей компании используется программа Volume Purchase Program (VPP), вы можете автоматически установить приложение Корпоративный портал во время регистрации.
    • Выбирайте Помощник по настройке в следующих случаях:

      • Вы не хотите использовать современные функции проверки подлинности, например MFA.

      • Вы хотите очистить устройство.

      • Вы хотите импортировать серийные номера.

      • Вы не хотите регистрировать устройства в Microsoft Entra id. Помощник по настройке выполняет проверку подлинности пользователя с экспортированным профилем регистрации, который вы копируете на устройство. Если можно не регистрировать устройства в идентификаторе Microsoft Entra, устанавливать приложение Корпоративный портал не нужно. Продолжайте использовать помощник по настройке.

        Если вы хотите, чтобы устройства регистрировались в Microsoft Entra id, установите приложение Корпоративный портал. При создании профиля регистрации и выборе приложения помощника по настройке можно установить приложение "Корпоративный портал". Мы рекомендуем установить приложение Корпоративный портал во время регистрации.

  • Если вы используете приложение "Корпоративный портал", оно должно быть установлено на устройствах с помощью политики конфигурации приложений. Рекомендуется создать эту политику перед созданием профиля регистрации.

    Не устанавливайте приложение "Корпоративный портал" прямо из магазина приложений на устройства, зарегистрированные в Apple Configurator. Вместо этого установите приложение "Корпоративный портал", используя следующие параметры:

    • Регистрация новых устройств. Нет задач администратора. Убедитесь, что пользователи вводят их идентификатор Apple ID в помощнике по настройке.

      После завершения работы помощника по настройке приложение "Корпоративный портал" пытается выполнить автоматическую установку. Если пользователи не вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com), они будут постоянно получать запрос на ввод их идентификаторов Apple ID. Пользователи должны вводить свои идентификаторы Apple ID для получения приложения "Корпоративный портал" на своих устройствах. После установки приложения "Корпоративный портал" пользователи открывают его и вводят свои учетные данные организации (user@contoso.com). Пройдя проверку подлинности, пользователи могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.

    • Устройства уже зарегистрированы. Если устройства уже зарегистрированы, используйте политику конфигурации приложений:

      1. В Центре администрирования Intune добавьте приложение Корпоративный портал в качестве обязательного приложения и в качестве приложения с лицензией устройства.
      2. Создайте политику конфигурации приложений, которая включает приложение "Корпоративный портал" в качестве лицензированного приложения устройства. Дополнительные сведения см. в разделе Настройка приложения "Корпоративный портал" для поддержки устройств с iOS и iPadOS DEP.
      3. Разверните политику конфигурации приложений в той же группе устройств, что и профиль регистрации.
      4. Когда устройства синхронизируются со службой Intune, она получает ваш профиль и устанавливается приложение "Корпоративный портал" приложение.

      Данный параметр:

      • Включает правильную версию приложения "Корпоративный портал".
      • Требует создания профиля регистрации приложений и создания политики конфигурации приложений. В политике конфигурации приложений сделайте ее обязательным приложением, чтобы вы узнали, что приложение будет развернуто на всех ваших устройствах.
      • Приложение "Корпоративный портал" можно автоматически обновить, изменив существующую политику конфигурации приложений.
  • В Центре администрирования Intune создайте профиль регистрации:

    • Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).

    • Если выбрать Регистрация без сопоставления пользователей, вы автоматически используете Прямую регистрацию. Помните:

      • Вы используете параметры из существующего профиля регистрации macOS.
      • Пользователи не могут использовать приложения, для которых требуется пользователь, включая приложение "Корпоративный портал". Приложение "Корпоративный портал" не используется, не требуется или поддерживается при регистрации без сопоставления пользователей. Убедитесь, что пользователи не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.
  • Когда профиль регистрации будет готов, USB подключит устройства к Mac и откроет приложение Apple Configurator. Когда приложение откроется, оно обнаружит подключенное USB-устройство и развернет созданный профиль регистрации Intune.

Более подробные сведения об этом типе регистрации и предварительных требованиях для него см. в разделе Регистрация Apple Configurator.

Задачи конечного пользователя в Apple Configurator

Задачи зависят от варианта, настроенного в профиле регистрации.

  • Регистрация с сопоставлением пользователей + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите регистрация с сопоставлением пользователей и используйте приложение Корпоративный портал для проверки подлинности.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com). После их ввода приложение "Корпоративный портал" автоматически устанавливается из магазина приложений. Автоматическая установка приложения "Корпоративный портал" может занять некоторое время.
    2. Откройте приложение "Корпоративный портал" и выполните вход с учетными данными организации (user@contoso.com). При входе пользователей в систему начинается регистрация. По завершении регистрации, пользователи могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.

    Пользователям может потребоваться ввести дополнительные сведения. Описание конкретных действий см. в Регистрация устройства iOS, предоставленного организацией

  • Регистрация с сопоставлением пользователей + помощник по настройке + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите зарегистрировать с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и установите приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (user@contoso.com). Этот шаг регистрирует устройство в Intune.
    2. Помощник по настройке запрашивает у пользователя информацию, включая Apple ID (user@iCloud.com или user@gmail.com).
    3. Приложение "Корпоративный портал" автоматически устанавливается из магазина приложений. Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (user@contoso.com). На этом шаге устройство регистрируется в Microsoft Entra id. Пользователи теперь могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.
  • Регистрация с сопоставлением пользователей + помощника по настройке – приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите регистрация с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и не устанавливайте приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (user@contoso.com). Этот шаг регистрирует устройство в Intune.
    2. Помощник по настройке запрашивает у пользователя информацию, включая Apple ID (user@iCloud.com или user@gmail.com). На этом шаге на устройство отправляется профиль управления Intune.
    3. Пользователи устанавливают профиль управления. Профиль обращается к службе Intune и регистрирует устройство. Устройство не зарегистрировано в идентификаторе Microsoft Entra.
  • Регистрация без сопоставления пользователей. Вы используете прямую регистрацию. Действия не требуются. Убедитесь, что они не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите регистрация без сопоставления пользователей.

Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.

BYOD: регистрация пользователей и устройств

Эти устройства iOS и iPadOS являются личными устройствами или устройствами BYOD ("принеси свое устройство"), которые могут получать доступ к электронной почте, приложениям и другим данным организации. Начиная с iOS 13 и более новых версий этот параметр регистрации предназначен для пользователей или устройств. Он не требуется для сброса устройств.

При создании профиля регистрации вам будет предложено выбрать Регистрация пользователей с помощью Корпоративный портал, Регистрация устройств с помощью Корпоративный портал, Регистрация пользователей, управляемых учетной записью, или Определить на основе выбора пользователя.

Конкретные шаги регистрации и предварительные требования см. в разделах Настройка регистрации пользователей iOS/iPadOS и Настройка регистрации устройств iOS/iPadOS.


Функция Используйте этот вариант регистрации, когда:
Устройства являются личными или BYOD. ✔️
Вы хотите защитить определенную функцию на устройстве, например VPN для каждого приложения. ✔️
У вас имеются новые или существующие устройства. ✔️
Необходима регистрация множества устройств (массовая регистрация). ✔️
Устройства связаны с единственным пользователем. ✔️
Устройства находятся под управлением другого поставщика MDM.

При регистрации устройства поставщики MDM устанавливают сертификаты и другие файлы. Эти файлы необходимо удалить. Самый быстрый способ — отменить регистрацию или сбросить устройства до заводских настроек. Если вы не хотите сбрасывать до заводских настроек, обратитесь к поставщику MDM.
Вы используете учетную запись диспетчера регистрации устройств (DEM). ✔️
Устройства принадлежат организации или школе.

Это делать не рекомендуется. Корпоративные устройства необходимо регистрировать через Автоматическую регистрацию устройств или Apple Configurator (разделы этой статьи).
Устройства не имеют пользователей — например, киоски или выделенные устройства.

Как правило, устройства, не имеющие пользователей, или общие устройства принадлежат организации. Эти устройства необходимо регистрировать через Автоматическую регистрацию устройств или Apple Configurator (разделы этой статьи).

Задачи администраторов по регистрации пользователей и устройств

Этот список задач содержит общие сведения. Дополнительные сведения см. в разделе Настройка регистрации пользователей iOS/iPadOS и iPadOS.

  • Убедитесь, что устройства поддерживаются.

  • Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в разделе Получение сертификата Apple MDM Push Certificate.

  • В Центре администрирования Intune создайте профиль регистрации. При создании профиля регистрации доступны следующие варианты.

    • Регистрация устройств с помощью Корпоративный портал. Этот параметр является типичной регистрацией в приложении Корпоративный портал для личных устройств. Управляемым является устройство, а не только конкретные приложения или функции. При использовании этого варианта учитывайте следующее:

      • Можно развернуть сертификаты, которые применяются ко всему устройству.
      • Пользователи должны устанавливать обновления. Только устройства, зарегистрированные с помощью автоматической регистрации устройств (ADE), могут получать обновления с помощью политик или профилей MDM.
      • Пользователь должен быть связан с устройством. Пользователь может быть учетной записью менеджера регистрации устройств.
    • Регистрация устройств через Интернет: начиная с iOS 15 и более поздней версии. Этот вариант похож на регистрацию устройства с помощью Корпоративный портал, но регистрация выполняется в веб-версии Корпоративный портал Intune, что устраняет необходимость в приложении. Кроме того, этот параметр позволяет сотрудникам и учащимся без управляемых идентификаторов Apple ID регистрировать устройства и получать доступ к приложениям, приобретенным по объему.

    • Определять в соответствии с выбором пользователя. Предоставляет конечным пользователям возможность выбора при регистрации. В зависимости от выбора используется регистрация пользователей или регистрация устройств.

    • Регистрация пользователей. Начиная с iOS 13 и более поздних версий. Этот вариант позволяет настроить конкретный набор компонентов и приложений организации, таких как пароль, VPN на уровне приложения, Wi-Fi и Siri. При использовании регистрации пользователей для защиты приложений и их данных рекомендуется также использовать политики защиты приложений.

      Полный список возможных и недопустимых действий см. в разделе Действия и параметры Intune, поддерживаемые при регистрации пользователей Apple. Конкретные шаги по регистрации пользователей см. в разделе Настройка регистрации пользователей iOS/iPadOS.

      Примечание.

      BYOD могут стать устройствами, принадлежащими организации. Чтобы сделать эти устройства корпоративными, см. Определение устройств как корпоративных.

      Регистрация пользователей считается более удобной для конечных пользователей. Но она может не предоставлять набор функций и компонентов безопасности, которые необходимы администраторам. В некоторых случаях регистрация пользователей может быть не лучшим вариантом. Рассмотрим следующие сценарии.

      • Регистрация пользователя создает рабочий раздел на устройствах. Функции и безопасность, настроенные в профиле регистрации пользователя, существуют только в рабочем разделе. Они не существуют в пользовательском разделе. Пользователи не могут сбросить настройки рабочего раздела к заводским значениям. Администраторы могут. Пользователи могут сбросить настройки личного раздела к заводским значениям. Администраторы не могут.

      • Если пользователи в основном используют приложения Майкрософт или приложения, созданные с помощью пакета SDK для приложений Intune, пользователи должны скачать эти приложения из магазина Apple App Store. Затем используйте политики защиты приложений для защиты этих приложений. В этом сценарии регистрация пользователя не требуется.

      • Для бизнес-приложений регистрация пользователя может быть одним из вариантов, так как при ней эти приложения будут развернуты в рабочем разделе. Управление мобильными приложениями (MAM) не поддерживает бизнес-приложения. Поэтому, если требуются бизнес-приложения, используйте регистрацию пользователей.

      • Когда устройства регистрируются с помощью регистрации пользователей, вы не можете переключиться на регистрацию устройств. При регистрации пользователей невозможно переместить приложение из неуправляемого в управляемое. Пользователям необходимо отменять регистрацию после регистрации пользователей, а затем повторно регистрироваться для регистрации устройств.

      • Приложения, установленные до применения профиля регистрации пользователя, не защищены и не управляются через этот профиль.

        Например, пользователь загружает приложение Outlook из магазина Apple App Store. Приложение автоматически устанавливается в раздел пользователя на устройстве. Пользователь настраивает Outlook для личной электронной почты. Когда пользователи настраивают электронную почту своей организации, они блокируются условным доступом и получают запрос на регистрацию. Пользователь регистрируется, и развертывается профиль регистрации пользователя.

        Так как приложение Outlook было установлено до создания профиля регистрации пользователя, профиль регистрации пользователя не срабатывает. Приложение Outlook не управляется, так как оно установлено и настроено в разделе пользователя, а не в рабочем разделе. Пользователь должен вручную удалить приложение Outlook.

        После удаления пользователь сможет синхронизировать устройство вручную и, возможно, повторно применить профиль регистрации пользователя. Ими может потребоваться создать политику конфигурации приложений для развертывания Outlook и сделать ее обязательным приложением. Затем разверните политику защиты приложений, чтобы защитить приложение и его данные.
        Этот параметр является типичной регистрацией для личных устройств. Управляемым является устройство, а не только конкретные приложения или функции. При использовании этого варианта учитывайте следующее:

  • Назначайте профиля регистрации группам пользователей. Не назначайте его группам устройств.

Задачи конечных пользователей при регистрации пользователей и устройств

Пользователи должны выполнить следующие действия. Конкретные сведения о взаимодействии с пользователем см. в параметре регистрация устройства.

  1. Перейдите в магазин Apple App Store и установите приложение "Корпоративный портал" Intune.

  2. Откройте приложение "Корпоративный портал" и выполните вход с учетными данными организации (user@contoso.com). После входа в систему профиль регистрации применяется к устройству.

    Пользователям может потребоваться ввести дополнительные сведения. Конкретные сведения см. в разделе о регистрации устройства.

Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.

Совет

Существует краткое видео с пошаговыми инструкциями, помогающее пользователям зарегистрировать свои устройства в Intune:

Регистрация устройства iOS/iPadOS

Дальнейшие действия