Konfigurera kontodriven Apple-användarregistrering

Konfigurera kontodriven Apple-användarregistrering för personliga enheter som registreras i Microsoft Intune. Kontodriven användarregistrering ger en snabbare och mer användarvänlig registreringsupplevelse än användarregistrering med Företagsportal. Enhetsanvändaren initierar registreringen genom att logga in på sitt arbetskonto i appen Inställningar. När användaren har godkänt enhetshantering installeras registreringsprofilen tyst och Intune principer tillämpas. Intune använder just-in-time-registrering och Microsoft Authenticator-appen för autentisering för att minska antalet gånger som användarna måste logga in under registreringen och vid åtkomst till arbetsappar.

Den här artikeln beskriver hur du konfigurerar kontodriven Apple-användarregistrering i Microsoft Intune. Du kommer att:

• Konfigurera JIT-registrering.
• Skapa en registreringsprofil.
• Förbered anställda och studenter för registrering.

Förhandskrav

Microsoft Intune stöder kontodriven Apple-användarregistrering på enheter som kör iOS/iPadOS version 15 eller senare. Om du tilldelar en kontodriven användarregistreringsprofil till enhetsanvändare som kör iOS/iPadOS 14.9 eller tidigare registrerar Microsoft Intune dem automatiskt via användarregistrering med Företagsportal.

Slutför följande uppgifter innan du påbörjar installationen:

• Ange utfärdare för hantering av mobila enheter (MDM)
• Hämta Apple MDM-pushcertifikat
• Skapa hanterade Apple-ID:n för enhetsanvändare (Öppnar Apple-supportwebbplatsen)

Du måste också konfigurera tjänstidentifiering så att Apple kan nå Intune-tjänsten och hämta registreringsinformation. Det gör du genom att konfigurera och publicera en http-välkänd resursfil på samma domän som anställda loggar in på. Apple hämtar filen via en HTTP GET-begäran till “https://contoso.com/.well-known/com.apple.remotemanagement”, med organisationens domän i stället för contoso.com. Publicera filen på en domän som kan hantera HTTP GET-begäranden.

Skapa filen i JSON-format med innehållstypen inställd på application/json. Vi har angett följande JSON-exempel som du kan kopiera och klistra in i filen. Använd den som överensstämmer med din miljö. Ersätt variabeln YourAADTenantID i bas-URL:en med organisationens Microsoft Entra klientorganisations-ID.

Microsoft Intune miljöer:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune för amerikanska myndighetsmiljöer:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune drivs av 21 Vianet i Kina miljöer:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Resten av JSON-exemplet fylls i med all information du behöver, inklusive:

• Version: Serverversionen är mdm-byod.
• BaseURL: Den här URL:en är den plats där Intune-tjänsten finns.

Metodtips

Vi rekommenderar extra konfigurationer för att förbättra registreringsupplevelsen för enhetsanvändare. Det här avsnittet innehåller mer information om varje rekommendation.

Distribuera Företagsportal webbapp

Distribuera webbappversionen av Intune-företagsportal webbplats så att användarna snabbt kan komma åt enhetsstatus, enhetsåtgärder och efterlevnadsinformation. Webbappen visas på startskärmen och fungerar som en länk till Företagsportal webbplats. Utan webbappen kan enheter som användare fortfarande har åtkomst till Företagsportal webbplats, men de måste öppna webbläsaren och ange adressen i sökfältet. Mer information om hur du lägger till en webbapp finns i Lägga till webbappar i Microsoft Intune.

Aktivera federerad autentisering

Apple-användarregistrering kräver att du skapar och tillhandahåller hanterade Apple-ID:er för att registrera användare. Om du aktiverar federerad autentisering, som består av att länka Apple Business Manager till Microsoft Entra ID, behöver du inte skapa och tillhandahålla unika Apple-ID:t för varje användare. I stället kan en enhetsanvändare logga in på sina appar med samma autentiseringsuppgifter som de använder för sitt arbetskonto. Mer information finns i Introduktion till federerad autentisering med Apple Business Manager i användarhandboken för Apple Business Manager.

Steg 1: Konfigurera just-in-time-registrering och tilldela Microsoft Authenticator

Konfigurera just-in-time-registrering och tilldela Microsoft Authenticator som en obligatorisk app. Anvisningar finns i Konfigurera JIT-registrering i Intune. Gå tillbaka till den här artikeln när du är klar så att du kan fortsätta till nästa steg.

Steg 2: Skapa registreringsprofil

Skapa en registreringsprofil för enheter som registreras via kontodriven användarregistrering. Registreringsprofilen utlöser enhetsanvändarens registreringsupplevelse och gör det möjligt för dem att initiera registreringen från appen Inställningar.

1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.
2. Välj fliken Apple .
3. Under Registreringsalternativ väljer du Registreringstyper.
4. Välj Skapa profil>iOS/iPadOS.
5. På sidan Grundläggande anger du ett namn och en beskrivning för profilen så att du kan skilja den från andra profiler i administrationscentret. Enhetsanvändare ser inte den här informationen.
6. Välj Nästa.
7. På sidan Inställningar går du till Registreringstyp och väljer Kontodriven användarregistrering.
8. Välj Nästa.
9. På sidan Tilldelningar tilldelar du profilen till alla användare eller väljer specifika grupper. Enhetsgrupper stöds inte i användarregistreringsscenarier eftersom användarregistrering kräver användaridentiteter.
10. Välj Nästa.
11. På sidan Granska + skapa granskar du dina val och väljer sedan Skapa för att slutföra skapandet av profilen.

Steg 3: Förbereda anställda för registrering

Om du vill initiera enhetsregistrering på en personlig enhet måste enhetens ägare gå till appen Inställningar och logga in med sitt arbets- eller skolkonto. Om de försöker logga in på en app med sitt arbets- eller skolkonto varnar appen dem om registreringskravet och talar om för dem hur de ska fortsätta.

I det här avsnittet beskrivs registreringsstegen för enhetsanvändare. Vi rekommenderar att du använder den här informationen i organisationens dokumentation om enhetsregistrering eller för felsökning och support.

1. Öppna appen Inställningar på enheten.
2. Välj Allmänt.
3. Välj VPN-& Enhetshantering.
4. Logga in med ditt arbets- eller skolkonto eller med det Apple-ID som tillhandahålls av din organisation.
5. Välj Logga in på iCloud.
6. Ange lösenordet för användarnamnet som visas på skärmen. Välj sedan Fortsätt.
7. Välj Tillåt fjärrhantering.
8. Vänta några minuter medan enheten är konfigurerad och hanteringsprofilen är installerad.
9. Om du vill bekräfta att enheten är redo att användas i arbetet går du till VPN-& Enhetshantering. Bekräfta att ditt arbetskonto visas under HANTERAT KONTO.
10. Microsoft Authenticator krävs för åtkomst till arbetsappar. Vänta några minuter efter registreringen för Authenticator för att installera på enheten. Ett felmeddelande visas om du försöker logga in på en arbetsapp utan Authenticator.
11. Du kan få fler frågor om ditt godkännande för att installera arbetsappar. Välj Installera för att godkänna installationen.

Profilprioritet

Intune tillämpar registreringsprofiler i den ordning du prioriterar dem. Så här ändrar du i vilken ordning de tillämpas:

1. Gå tillbaka till Registreringstyper för att visa dina profiler.
2. Dra och släpp profilerna i listan för att ändra prioriteten.

Om en konflikt uppstår eftersom en användare har tilldelats mer än en profil Intune tillämpar profilen med högre prioritet.

Ta bort enheten från hanteringen

Volym- och kryptografiska nycklar som skapats för att hantera arbetsdata på enheten raderas när enheten avregistreras från Intune.

Kända problem

I det här avsnittet beskrivs de aktuella kända problemen med kontodriven Apple-användarregistrering och Microsoft Intune.

Registreringen misslyckas på grund av registrering av SSO-program

Om Microsoft Authenticator-appen finns på enheten innan registreringen börjar misslyckas registreringen när enhetsanvändaren försöker logga in med sitt arbets- eller skolkonto i appen Inställningar. Meddelandet de får säger:

• Rubrik: Inloggningen misslyckades
• Beskrivning: Registreringsprogrammet för enkel inloggning har installerats på enheten.

För att komma runt det här problemet måste enhetsanvändaren avinstallera Microsoft Authenticator-appen och starta om registreringen.

Nästa steg

• En översikt över funktioner och hanteringsåtgärder för Apple-användarregistrering som stöds i Microsoft Intune finns i Översikt över Apple-användarregistrering i Microsoft Intune.

• Mer information om Apple-användarregistrering finns i Användarregistrering och MDM på Apples supportwebbplats.

• Felsökning finns i Felsöka iOS/iPadOS-enhetsregistreringsfel i Microsoft Intune.

• Inställningar som stöds i Intune enhetskonfigurationsprofiler finns i:

  • Enhetsbegränsningar för iOS och iPadOS
  • Enhetsfunktioner för iOS och iPadOS
  • Konfigurera virtuellt privat nätverk per app (VPN)