Intune'da otomatik cihaz kaydı için kimlik doğrulama yöntemleri

  • Makale

iOS/iPadOS için geçerlidir

Bu makalede, otomatik cihaz kaydı aracılığıyla Intune'a kaydedilen iOS/iPadOS cihazları için kullanılabilen kimlik doğrulama yöntemleri açıklanmaktadır. Kullanılabilir kimlik doğrulama yöntemleri şunlardır:

  • Intune Şirket Portalı uygulaması
  • Modern kimlik doğrulaması ile Kurulum Yardımcısı
  • Modern kimlik doğrulaması ile Kurulum Yardımcısı için Tam Zamanında (JIT) Kayıt
  • Kurulum Yardımcısı (eski)

Tüm yöntemler, kullanıcı benzimi olan ve Apple Business Manager veya Apple School Manager aracılığıyla satın alınan şirkete ait cihazlar için kullanılabilir.

1. Seçenek: uygulamayı Intune Şirket Portalı

Aşağıdakiler için kimlik doğrulama yöntemi olarak Intune Şirket Portalı uygulamasını kullanın:

  • Çok faktörlü kimlik doğrulamasını (MFA) kullanın.
  • Kullanıcılardan ilk oturum açtıklarında parolalarını değiştirmelerini iste.
  • Kayıt sırasında kullanıcılardan süresi dolan parolalarını sıfırlamalarını iste.
  • Cihazları Microsoft Entra ID kaydedin ve koşullu erişim gibi Microsoft Entra ID özellikleri kullanın.
  • Kayıt sırasında Şirket Portalı uygulamasını otomatik olarak yükleyin. Şirketiniz Toplu Satın Alma Programı'nı (VPP) kullanıyorsa, kayıt sırasında kullanıcı Apple kimlikleri olmadan Şirket Portalı uygulamayı otomatik olarak yükleyebilirsiniz.
  • Şirket Portalı uygulaması yüklenene kadar cihazı kilitlemek istiyorsunuz.

Dikkat

Cihaz kullanıcısı hesap temelli apple kullanıcı kaydı profil türüyle hedefleniyorsa, Intune bu kimlik doğrulama yöntemini kullanan bir kaydı engeller. Bu davranış beklenmektedir. Kullanıcı, hesabının Şirket Portalı uygulaması aracılığıyla kaydı desteklemediğini ve Şirket Portalı web sitesi üzerinden kaydolması gerektiğini belirten bir hata iletisi alır. Otomatik cihaz kaydı aracılığıyla kayıtların başarılı olmasını sağlamak için, hesap temelli Apple Kullanıcı Kaydı profil türleriyle çalışırken kimlik doğrulama yöntemi olarak modern kimlik doğrulaması ile Seçenek 2: Kurulum Yardımcısı'nı kullanın.

Seçenek 2: Modern kimlik doğrulaması ile Kurulum Yardımcısı

Bu seçenek Intune Şirket Portalı kimlik doğrulamasıyla aynı güvenliği sağlar, ancak Şirket Portalı yüklenmemiş olsa bile cihaz kullanıcısının cihazın bölümlerine erişmesine olanak sağladığından farklıdır. Aşağıdaki durumlarda kimlik doğrulaması için bu seçeneği kullanın:

  • Cihazı silin.
  • Çok faktörlü kimlik doğrulamasını (MFA) kullanın.
  • Kullanıcılardan ilk oturum açtıklarında parolalarını değiştirmelerini iste.
  • Kayıt sırasında kullanıcılardan süresi dolan parolalarını sıfırlamalarını iste.
  • Cihazları Microsoft Entra ID kaydedin ve koşullu erişim gibi Microsoft Entra ID özellikleri kullanın.
  • Kayıt sırasında Şirket Portalı uygulamasını otomatik olarak yükleyin. Şirketiniz Toplu Satın Alma Programı'nı (VPP) kullanıyorsa, kayıt sırasında kullanıcı Apple kimlikleri olmadan Şirket Portalı uygulamayı otomatik olarak yükleyebilirsiniz.
  • Şirket Portalı uygulaması yüklü olmasa bile kullanıcıların cihazı kullanmasına izin verin.

Modern kimlik doğrulamasına sahip Kurulum Yardımcısı, iOS/iPadOS 13.0 ve üzerini çalıştıran cihazlarda desteklenir. Bu profil türüne atanan eski iOS/iPadOS cihazları Kurulum Yardımcısı (eski) kimlik doğrulamasına geri döner.

Şirket Portalı uygulamasını otomatik olarak yükleme

Şirketiniz Toplu Satın Alma Programı'nı (VPP) kullanıyorsa, kayıt sırasında kullanıcı Apple kimlikleri olmadan Şirket Portalı uygulamasını otomatik olarak yükleyebilirsiniz. Kayıt profilinizde otomatik yüklemeyi etkinleştirmek için VPP ile yükleme Şirket Portalı için Evet'i seçin. Bu seçeneği kullanmanızı öneririz.

VPP seçeneğini kullanmıyorsanız, cihaz kullanıcısının Kurulum Yardımcısı sırasında veya Intune Şirket Portalı yüklemeyi denediğinde Apple Kimliğini girmesi gerekir.

Her iki senaryoda da Şirket Portalı yükleme seçeneği cihaz kullanıcısından gizlenir ve Şirket Portalı cihazında gerekli bir uygulama haline gelir. Kullanıcı giriş ekranına ulaştığında, Intune cihaza otomatik olarak doğru uygulama yapılandırma ilkesini uygular.

Dikkat

Modern kimlik doğrulaması ile Kurulum Yardımcısı'na kaydolduktan sonra iOS/iPadOS cihazları için Şirket Portalı ayrı bir uygulama yapılandırma ilkesi göndermeyin. Bunun yapılması hataya neden olur.

Çok faktörlü kimlik doğrulaması

Çok faktörlü kimlik doğrulaması (MFA), bunu gerektiren bir koşullu erişim ilkesi kayıt sırasında veya Şirket Portalı oturum açma sırasında uygulanırsa gereklidir. Ancak MFA, hedeflenen koşullu erişim ilkesindeki Microsoft Entra ayarlarına bağlı olarak isteğe bağlıdır.

Kayıt sırasında MFA ekranını sunmak için 3. taraf bir MFA sağlayıcısı kullanıyorsanız MFA, modern kimlik doğrulaması ile Kurulum Yardımcısı için çalışmaz. Kayıt sırasında yalnızca Microsoft Entra çok faktörlü kimlik doğrulama ekranı çalışır.

Şirket Portalı eylemi gerekiyor

Kurulum Yardımcısı ekranlarını geçtikten sonra cihaz kullanıcısı giriş sayfasına iner. Bu noktada, kullanıcı benzitesi oluşturulur. Ancak, kullanıcı Microsoft Entra kimlik bilgilerini kullanarak Şirket Portalı oturum açıp Başlat'ı seçene kadar cihaz:

  • Microsoft Entra ID tam olarak kaydedilmez.
  • Microsoft Entra ID'da kullanıcının cihaz listesinde gösterilmez.
  • Koşullu erişimle korunan kaynaklara erişemez.
  • Cihaz uyumluluğu değerlendirilmez.
  • Kullanıcı koşullu erişimle korunan yönetilen uygulamaları açmaya çalışırsa, diğer uygulamalardan Şirket Portalı yönlendirilir.

Seçenek 3: Modern kimlik doğrulaması ile Kurulum Yardımcısı için Tam Zamanında Kayıt

Bu seçenek, Microsoft Entra kaydı veya uyumluluğu için Şirket Portalı gerekmeyecek olması dışında modern kimlik doğrulamasına sahip Kurulum Yardımcısı ile aynıdır. Bunun yerine, Microsoft Entra kayıt ve uyumluluk denetimleri, Apple çoklu oturum açma (SSO) uygulama uzantısıyla yapılandırılmış belirlenmiş bir Microsoft veya Microsoft dışı uygulamayla tamamen tümleştirilir. Uzantı, kimlik doğrulama istemlerini azaltır ve tüm cihaz genelinde SSO oluşturur. JIT Kaydı, kullanıcılardan iki kez kimlik doğrulaması ister:

  • Bir kimlik doğrulaması, kaydı ve kullanıcı-cihaz benceliğini işler ve cihaz kullanıcısı cihazını açıp Kurulum Yardımcısı'nda oturum açtığında gerçekleşir.
  • Başka bir kimlik doğrulaması Microsoft Entra kaydı işler ve kullanıcı belirlenen uygulamada oturum açtığında gerçekleşir. Uyumluluk denetimleri de bu uygulamada yapılır.

Not

Kuruluşunuz Uç Nokta için Microsoft Defender kullanıyorsa, JIT kaydı ve uyumluluk düzeltmesinin beklendiği gibi çalışması için Uç Nokta için Microsoft Defender uygulamasının kullanıcıların açtığı ilk uygulama olmadığından emin olun.

Cihaz kullanıcısı giriş ekranına ulaştığında, Microsoft Entra kayıt ve uyumluluk denetimlerini tamamlamak için SSO uzantısıyla yapılandırılmış herhangi bir iş veya okul uygulamasında oturum açabilir. SSO, kullanıcıyı SSO uzantısı ilkenizin bir parçası olan tüm uygulamalarda oturum açar. Bu noktada, SSO uzantısını kullanmak üzere yapılandırılmamış herhangi bir uygulamada da el ile oturum açabilirler.

Otomatik cihaz kaydıyla JIT Kaydını ayarlamak için:

  1. Bir cihaz yapılandırma ilkesi oluşturun ve Çoklu oturum açma uygulama uzantısı kategorisi altındaki ayarları yapılandırın. Adımlar için bkz. Tam zamanında kaydı ayarlama.

  2. Bir Apple kayıt profili oluşturun ve kimlik doğrulama yöntemi olarak modern kimlik doğrulaması ile Kurulum Yardımcısı'nı seçin. Bu adımı tamamlamak için Intune'da Apple Business Manager veya Apple School Manager'dan etkin bir otomatik cihaz kayıt belirteci bulunmalıdır.

  3. Kayıt profilindeki Ödevler sayfasına gittiğinizde, profili Apple Business Manager ve Apple School Manager'dan eşitlenen cihazlara atayın. Profili atadıktan sonra, çalışanlar ve öğrenciler cihazlarında kurulumu ve kimlik doğrulamasını tamamlayabilir.

    Not

    Şirket Portalı, Microsoft Entra kaydı veya uyumluluğu için gerekli olmasa bile cihazlara gerekli bir uygulama olarak gönderilmeye devam eder. Cihaz kullanıcıları, uygulamada sorun yaşarlarsa günlükleri toplamak ve karşıya yüklemek için Şirket Portalı uygulamasını kullanabilir.

Başarılı kimlik doğrulaması örneği

Aşağıdaki olay dizisi, modern kimlik doğrulaması ile Kurulum Yardımcısı için JIT Kaydı ile başarılı bir kimlik doğrulamasının nasıl göründüğüne ilişkin bir örnek açıklar. Kuruluşunuzun deneyimi, otomatik cihaz kayıt yapılandırmalarınıza bağlı olarak farklı olabilir.

  1. Cihaz kullanıcısı cihazı açar.

  2. Kurulum Yardımcısı başlar. Cihaz kullanıcısı Kurulum Yardımcısı'nda Microsoft Entra kimlik bilgileriyle kimlik doğrulaması yapar.

  3. Cihaz kullanıcısı, Koşullu Erişim ilkesinde gerekliyse çok faktörlü kimlik doğrulamasını tamamlar.

  4. Cihaz Intune'a kaydolmayı tamamlar ve kullanıcı-cihaz benzitesi oluşturulur.

  5. Cihaz kullanıcısı giriş ekranına iner ve Microsoft Teams'i veya başka bir Office uygulamasını açar ve iş hesabıyla oturum açar. Cihaz tüm uyumluluk gereksinimlerini karşılıyorsa, cihaz kullanıcısı iletilerine ve takvimine hemen erişebilir.

    Not

    Microsoft Entra kayıt sırasında, Intune uyumluluk denetimlerini tamamlarken cihaz kullanıcısı kısa bir değiştirici görebilir. Bu beklenen davranıştır.

  6. SSO uzantısı, diğer tüm hedeflenen uygulamalarda ve tüm Microsoft uygulamalarında çoklu oturum açma kurar.

  7. Cihaz Microsoft Entra ID ve uyumlu olarak kaydedilir. Cihazın durumunu yönetim merkezinden ve Microsoft Entra ID görüntüleyebilirsiniz. Cihaz kullanıcısı durumu Intune Şirket Portalı görüntüleyebilir ve uyumluluk, uygulama envanteri, cihaz eşitlemeleri ve günlük paylaşımı için Şirket Portalı kullanabilir.

  8. Cihaz kullanıcısı Teams'i açar ve otomatik olarak oturum açar.

Seçenek 4: Kurulum Yardımcısı (eski)

Kullanıcıların Apple ürünleri için tipik, kullanıma hazır deneyimi yaşamasını istiyorsanız eski Kurulum Yardımcısı'nı kullanın. Bu seçenek, cihaz Intune'a kaydolduğunda standart önceden yapılandırılmış ayarları yükler. Kimlik doğrulaması için şu durumlarda bu seçeneği kullanın:

  • Bir cihazı silmek istiyorsunuz.
  • Çok faktörlü kimlik doğrulaması gibi modern kimlik doğrulama özelliklerini istemezsiniz.
  • Cihazları Microsoft Entra ID kaydetmek istemezsiniz. Kurulum Yardımcısı (eski), Apple .p7m belirteci ile kullanıcının kimliğini doğrular.

Active Directory Federasyon Hizmetleri (AD FS) kullanıyorsanız ve kimlik doğrulaması için Kurulum Yardımcısı kullanıyorsanız WS-Trust 1.3 Kullanıcı Adı/Karma uç noktası gerekir. Daha fazla bilgi için Windows PowerShell Başvuru kılavuzumuzda Get-AdfsEndpoint bölümüne bakın.

Sonraki adımlar

Hangi kimlik doğrulama yöntemini kullandığınızı öğrendiğinize göre , bir Apple kayıt profili oluşturun ve istendiğinde kimlik doğrulama yöntemini seçin. Bu adımı tamamlamak için Intune'da Apple Business Manager veya Apple School Manager'dan etkin bir otomatik cihaz kayıt belirteci bulunmalıdır.