Dela via


Distributionsguide: Hantera iOS-/iPadOS-enheter i Microsoft Intune

Intune stöder hantering av mobila enheter (MDM) för iPad och iPhone och ger användarna säker åtkomst till e-post, data och appar för arbetet. Den här guiden innehåller iOS-specifik vägledning som hjälper dig att konfigurera registrering och distribuera appar och principer till användare och enheter.

Förutsättningar

Innan du börjar måste du slutföra dessa krav för att aktivera iOS/iPadOS-enhetshantering i Intune. Mer detaljerad information om hur du konfigurerar, registrerar eller flyttar till Intune finns i distributionsguiden för Intune-konfiguration.

Information om Roller och behörigheter för Microsoft Intune finns i RBAC med Microsoft Intune. Rollerna Global administratör och Intune-administratör i Microsoft Entra har fullständiga rättigheter i Microsoft Intune. Den globala administratören har fler behörigheter än vad som behövs för många enhetshanteringsuppgifter i Microsoft Intune. Vi rekommenderar att du använder den minst privilegierade roll som krävs för att utföra uppgifter. Den minst privilegierade roll som kan utföra enhetsregistreringsuppgifter är till exempel Princip- och profilhanteraren, en inbyggd Intune-roll.

Planera för distributionen

Planeringsguiden för Microsoft Intune ger vägledning och råd som hjälper dig att fastställa mål, användningsfall och krav. Den beskriver också hur du skapar planer för distribution, kommunikation, support, testning och validering.

Skapa efterlevnadsregler

Använd efterlevnadsprinciper för att definiera de regler och villkor som användare och enheter ska uppfylla för att få åtkomst till dina skyddade resurser. Om du använder villkorsstyrd åtkomst kan principerna för villkorsstyrd åtkomst använda resultaten från enhetsefterlevnad för att blockera åtkomst till resurser från inkompatibla enheter. En detaljerad förklaring om efterlevnadsprinciper och hur du kommer igång finns i Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune.

Uppgift Beskrivning
Skapa en efterlevnadsprincip Få stegvisa anvisningar om hur du skapar och tilldelar en efterlevnadsprincip till användar- och enhetsgrupper.
Lägg till åtgärder vid inkompatibilitet Välj vad som ska hända när enheter inte längre uppfyller villkoren i din efterlevnadsprincip. Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar efterlevnadsprinciper för enheter, eller senare genom att redigera principen.
Skapa en enhetsbaserad eller appbaserad princip för villkorsstyrd åtkomst Ange den app eller de tjänster som du vill skydda och definiera villkoren för åtkomst.
Blockera åtkomst till appar som inte använder modern autentisering Skapa en appbaserad princip för villkorsstyrd åtkomst för att blockera appar som använder andra autentiseringsmetoder än OAuth2; till exempel de appar som använder grundläggande och formulärbaserad autentisering. Innan du blockerar åtkomst loggar du dock in på Microsoft Entra-ID och granskar aktivitetsrapporten för autentiseringsmetoder för att se om användarna använder grundläggande autentisering för att få åtkomst till viktiga saker som du har glömt bort eller inte känner till. Till exempel används grundläggande autentisering för till exempel kalender för mötesrum.

Konfigurera slutpunktsskydd

Använd intune-slutpunktssäkerhetsfunktionerna för att konfigurera enhetssäkerhet och hantera säkerhetsuppgifter för enheter i farozonen.

Uppgift Beskrivning
Hantera enheter med säkerhetsfunktioner för slutpunkter Använd inställningarna för slutpunktssäkerhet i Intune för att effektivt hantera enhetssäkerhet och åtgärda problem för enheter.
Aktivera MTD-anslutningsprogram (Mobile Threat Defense) för oregistrerade enheter Aktivera MTD-anslutningen i Intune så att MTD-partnerappar kan fungera med Intune och dina principer. Om du inte använder Microsoft Defender för Endpoint kan du aktivera anslutningsappen så att du kan använda en annan lösning för skydd mot mobilhot.
Skapa MTD-appskyddsprincip Skapa en Intune-appskyddsprincip som utvärderar risker och begränsar en enhets företagsåtkomst baserat på hotnivån.
Lägg till MTD-appar på oregistrerade enheter Gör MTD-appar tillgängliga för personer i organisationen och konfigurera Microsoft Authenticator för iOS/iPadOS.
Amvänd villkorsstyrd åtkomst för att begränsa åtkomsten till Microsoft Tunnel Använd villkorsstyrda åtkomstprinciper för att ge enheten åtkomst till din Microsoft Tunnel VPN-gateway.

Konfigurera enhetsinställningar

Använd Microsoft Intune för att aktivera eller inaktivera inställningar och funktioner på iOS/iPadOS-enheter. Om du vill konfigurera och framtvinga de här inställningarna skapar du en enhetskonfigurationsprofil och tilldelar sedan profilen till grupper i organisationen. Enheterna får profilen när de har registrerats.

Uppgift Beskrivning
Skapa en enhetsprofil i Microsoft Intune Läs mer om de olika typer av enhetsprofiler som du kan skapa för din organisation.
Konfigurera enhetsfunktioner Konfigurera vanliga iOS/iPadOS-funktioner för en arbets- eller skolkontext. En beskrivning av inställningarna i det här området finns i referensen enhetsfunktioner.
Konfigurera Wi-Fi profil Med den här profilen kan personer hitta och ansluta till organisationens Wi-Fi-nätverk. En beskrivning av inställningarna i det här området finns i referensen för Wi-Fi-inställningar.
Konfigurera VPN-profil Konfigurera ett säkert VPN-alternativ, till exempel Microsoft Tunnel, för personer som ansluter till organisationens nätverk. Du kan också skapa en VPN-princip per app att kräva att användare loggar in på vissa appar via en VPN-anslutning. En beskrivning av inställningarna i det här området finns i referensen för VPN-inställningar.
Konfigurera e-postprofil Konfigurera e-postinställningar så att personer kan ansluta till en e-postserver och komma åt sin e-post på arbetet eller skolan. En beskrivning av inställningarna i det här området finns i referensen för e-postinställningar.
Begränsa enhetsfunktioner Skydda användare från obehörig åtkomst och distraktioner genom att begränsa vilka enhetsfunktioner de kan använda på jobbet eller i skolan. En beskrivning av inställningarna i det här området finns i referensen för enhetsbegränsningar.
Konfigurera anpassad profil Lägg till och tilldela enhetsinställningar och -funktioner som inte är inbyggda i Intune.
Anpassa varumärkes- och registreringsupplevelse Anpassa Intune-företagsportal- och Microsoft Intune-appupplevelsen med organisationens egna ord, varumärkesanpassning, skärminställningar och kontaktinformation.
Konfigurera princip för programvaruuppdatering Schemalägg automatiska uppdateringar och installationer av operativsystem för övervakade iOS/iPadOS-enheter.

Konfigurera säkra autentiseringsmetoder

Konfigurera autentiseringsmetoder i Intune för att säkerställa att endast behöriga personer får åtkomst till dina interna resurser. Intune stöder multifaktorautentisering, certifikat och härledda autentiseringsuppgifter. Certifikat kan också användas för signering och kryptering av e-post med hjälp av S/MIME.

Uppgift Beskrivning
Kräv multifaktorautentisering (MFA) Kräv att personer anger två former av autentiseringsuppgifter vid tidpunkten för registreringen.
Skapa en betrodd certifikatprofil Skapa och distribuera en betrodd certifikatprofil innan du skapar en SCEP-, PKCS- eller PKCS-importerad certifikatprofil. Den betrodda certifikatprofilen distribuerar det betrodda rotcertifikatet till enheter och användare med scep-, PKCS- och PKCS-importerade certifikat.
Använda SCEP-certifikat med Intune Ta reda på vad som krävs för att använda SCEP-certifikat med Intune och konfigurera den nödvändiga infrastrukturen. När du gör det kan du skapa en SCEP-certifikatprofil eller konfigurera en certifikatutfärdare från tredje part med SCEP.
Använda PKCS-certifikat med Intune Konfigurera nödvändig infrastruktur (till exempel lokala certifikatkopplingar), exportera ett PKCS-certifikat och lägg till certifikatet i en Intune-enhetskonfigurationsprofil.
Använda importerade PKCS-certifikat med Intune Konfigurera importerade PKCS-certifikat som gör att du kan konfigurera och använda S/MIME för att kryptera e-post.
Konfigurera en utfärdare för härledda autentiseringsuppgifter Etablera iOS/iPadOS-enheter med certifikat som härleds från användarens smartkort.

Distribuera appar

När du konfigurerar appar och appprinciper bör du tänka på organisationens krav, till exempel de plattformar som du stöder, de uppgifter som personer behöver utföra, vilken typ av appar de behöver för att slutföra dessa uppgifter och slutligen de grupper som behöver dessa appar. Du kan använda Intune för att hantera hela enheten (inklusive appar) eller använda Intune för att endast hantera apparna.

Uppgift Beskrivning
Lägg till Store-appar Lägg till iOS/iPadOS-appar från App Store till Intune och tilldela till grupper.
Lägg till webbappar Lägg till webbappar i Intune och tilldela till grupper.
Lägg till inbyggda appar Lägg till inbyggda appar i Intune och tilldela grupper.
Lägg till verksamhetsspecifika appar Lägg till verksamhetsspecifika iOS/iPadOS-appar (LOB) i Intune och tilldela till grupper.
Tilldela appar till grupper Tilldela appar till användare och enheter.
Inkludera och exkludera apptilldelningar Kontrollera åtkomst och tillgänglighet för en app genom att inkludera och exkludera valda grupper från tilldelning.
Hantera iOS/iPadOS-appar som köpts via Apple Business Manager Synkronisera, hantera och tilldela appar som köpts via Apple Business Manager.
Hantera e-böcker för iOS/iPadOS som köpts via Apple Business Manager Synkronisera, hantera och tilldela böcker som köpts via Apple Business Manager.
Skapa en iOS/iPadOS-appskyddsprincip Behåll organisationens data i hanterade appar som Outlook och Word. Mer information om varje inställning finns i Inställningar för iOS/iPadOS-appskyddsprinciper.
Skapa en profil för programetablering Förhindra att appcertifikat upphör att gälla genom att proaktivt tilldela nya etableringsprofiler till enheter som har appar som snart upphör att gälla.
Skapa en appkonfigurationsprincip Använd anpassade konfigurationsinställningar för iOS/iPadOS-appar på registrerade enheter. Du kan också tillämpa de här typerna av principer på hanterade appar utan enhetsregistrering.
Konfigurera Microsoft Edge Använd Intunes policyer för appsäkerhet och konfigurering med Edge för iOS/iPadOS till att skydda åtkomsten till företagets webbplatser.
Konfigurera Microsoft Office appar Använd programskydds- och konfigurationsprinciper för Intune med Office-appar för att säkerställa att företagsfiler kommers åt med säkerhetsåtgärder.
Konfigurera Microsoft Teams Använd programskydds- och konfigurationsprinciperna för Intune med Teams för att säkerställa att samarbetsgruppfunktioner används med säkerhetsåtgärder.
Konfigurera Microsoft Outlook Använd programskydds- och konfigurationsprinciper för Intune med Outlook för att se till att företags-e-post och -kalendrar skyddas.

Registrera enheter

Genom att registrera enheter kan de ta emot de principer som du skapar, så förbered dina Microsoft Entra-användargrupper och enhetsgrupper.

Information om varje registreringsmetod och hur du väljer en som passar din organisation finns i Registreringsguiden för iOS/iPadOS-enheter för Microsoft Intune.

Uppgift Beskrivning
Konfigurera automatisk enhetsregistrering för Apple (ADE) i Intune Konfigurera en direkt registreringsupplevelse för företagsägda enheter som köpts via Apple School Manager eller Apple Business Manager. Använd Apples funktioner för registrering av företagsenheter i Apple Business Manager (ABM) för att registrera iOS-/iPadOS-enheter
Konfigurera Apple School Manager i Intune Konfigurera Intune för att registrera enheter som du har köpt via Apple School Manager-programmet.
Konfigurera registrering av enheter med Apple Configurator Skapa en Apple Configurator-profil för att registrera företagsägda enheter (utan användartillhörigheter) via direktregistrering. eller registrera rensade eller nya enheter (med användarens tillhörighet) via installationsassistenten. Du måste exportera Apple Configurator-profilen från Intune, vilket kräver en USB-anslutning till en Mac-dator med Apple Configurator.
Identifiera enheter som företagsägda Tilldela företagsägd status till enheter för att aktivera fler hanterings- och identifieringsfunktioner i Intune. Företagsägd status kan inte tilldelas till enheter som registreras via Apple Business Manager.
Konfigurera Apple-användarregistrering Skapa en profil för användarregistrering för att distribuera Apples användarregistreringsupplevelse till enheter med hjälp av ett hanterat Apple-ID.
Konfigurera delade iPad-enheter Konfigurera enheter så att de kan användas av mer än en person (den typ av konfiguration som visas i ett bibliotek eller en utbildningsmiljö).
Enheter för säkerhetskopiering och återställning Säkerhetskopiera och återställ en enhet för att förbereda den för registrering eller migrering i Intune, till exempel under installationen av automatisk enhetsregistrering.
Ändra enhetsägande När en enhet har registrerats kan du ändra ägarskapsetiketten i Intune till företagsägd eller personligt ägd. Den här justeringen ändrar hur du kan hantera enheten.
Felsök registreringsproblem Felsök och hitta lösningar på problem som uppstår under registreringen.

Kör fjärråtgärder

När enheterna har konfigurerats kan du använda fjärråtgärder i Intune för att hantera och felsöka enheter på avstånd. Tillgängligheten varierar beroende på enhetsplattform. Om en åtgärd saknas eller är inaktiverad i portalen stöds den inte på enheten.

Uppgift Beskrivning
Vidta fjärråtgärder på enheter Lär dig att öka detaljnivån och fjärrhantera och felsöka enskilda enheter i Intune. I den här artikeln visas alla fjärråtgärder som är tillgängliga i Intune och länkar till dessa procedurer.
Fjärradministrera Intune-enheter med TeamViewer Konfigurera TeamViewer i Intune och lär dig hur du kan administrera en enhet via fjärrstyrning.
Använd Intune för att åtgärda sårbarheter som upptäckts av Microsoft Defender för Endpoint Integrera Intune med Microsoft Defender för Endpoint för att dra nytta av Defender for Endpoints hot- och sårbarhetshantering och använda Intune för att åtgärda sårbarheter i slutpunkter som identifieras av Defenders sårbarhetshanteringsfunktion.

Nästa steg

I de här självstudiekurserna för registrering får du lära dig hur du utför några av de viktigaste uppgifterna i Intune. Självstudiekurserna är innehåll på 100–200 nivåer för personer som är nybörjare i Intune eller ett visst scenario.

Android-versionen av den här guiden finns i Distributionsguide: Hantera Android-enheter i Microsoft Intune.