用于在 Intune 中使用常见 iOS/iPadOS 功能的 iOS 和 iPadOS 设备设置
注意
Intune 支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录。
Intune 包括一些内置设置,允许 iOS/iPadOS 用户在其设备上使用不同的 Apple 功能。 例如,可以控制 AirPrint 打印机、将应用和文件夹添加到扩展坞和主屏幕页面、显示应用通知、在锁屏界面上显示资产标记详细信息、使用单一登录身份验证以及使用证书身份验证。
此功能适用于:
- iOS/iPadOS
使用这些功能控制 iOS/iPadOS 设备,作为移动设备管理 (MDM) 解决方案的一部分。
本文列出了这些设置,并介绍了每个设置的作用。 有关这些功能的详细信息,请转到 添加 iOS/iPadOS 或 macOS 设备功能设置。
开始之前
注意
这些设置适用于不同的注册类型,某些设置适用于所有注册选项。 有关不同注册类型的详细信息,请转到 iOS/iPadOS 注册。
AirPrint
设置适用于:所有注册类型
注意
请确保将所有打印机添加到同一配置文件。 Apple 会阻止多个 AirPrint 配置文件面向同一设备。
IP 地址:输入打印机的 IPv4 或 IPv6 地址。 如果使用主机名来标识打印机,可以通过在终端中 ping 打印机来获取 IP 地址。 获取本文中的 IP 地址和路径 (,) 提供了更多详细信息。
资源路径:该路径通常
ipp/print
适用于网络上的打印机。 获取本文中的 IP 地址和路径 (,) 提供了更多详细信息。端口:输入 AirPrint 目标的侦听端口。 如果将此属性留空,则 AirPrint 将使用默认端口。
此功能适用于:
- iOS 11.0+
- iPadOS 13.0+
强制 TLS: 禁用 (默认) 无法使用 TLS 保护 AirPrint 连接。 使用 传输层安全性 (TLS) 启用安全 AirPrint 连接。
此功能适用于:
- iOS 11.0+
- iPadOS 13.0+
若要添加 AirPrint 服务器,可以:
- 输入打印机详细信息以将 AirPrint 目标添加到列表中。 可以添加许多 AirPrint 服务器。
- 使用此信息导入 逗号分隔的文件 (.csv) 。 或者, 导出 以创建添加的 AirPrint 服务器的列表。
获取服务器 IP 地址、资源路径和端口
若要添加 AirPrinter 服务器,需要打印机的 IP 地址、资源路径和端口。 以下步骤演示如何获取此信息。
在连接到与 AirPrint 打印机相同的本地网络 (子网) 的 Mac 上,从 /Applications/Utilities) 打开终端应用 (。
在终端应用中,输入
ippfind
,然后选择 Enter。记下打印机信息。 例如,它可以返回类似
ipp://myprinter.local.:631/ipp/port1
的内容。 第一部分是打印机的名称。 ) (ipp/port1
最后一部分是资源路径。在终端应用中,输入
ping myprinter.local
,然后选择 Enter。记下 IP 地址。 例如,它可以返回类似
PING myprinter.local (10.50.25.21)
的内容。使用 IP 地址和资源路径值。 在此示例中,IP 地址为
10.50.25.21
,资源路径为/ipp/port1
。
主屏幕布局
此功能适用于:
- iOS 9.3 或更高版本
- iPadOS 13.0 及更高版本
- 自动化设备注册 (监督)
须知内容
仅向扩展坞、页面、页面上的文件夹或扩展坞中的文件夹添加一次应用。 在任意两个位置添加同一应用会阻止应用在设备上显示,并且可能会显示报告错误。
例如,如果将相机应用添加到扩展坞和页面,则不会显示相机应用,并且报告可能会显示策略的错误。 若要将相机应用添加到主屏幕布局,请仅选择停靠或页面,而不是同时选择两者。
应用主屏幕布局时,它会覆盖任何用户定义的布局。 因此,我们建议在无用户设备上使用主屏幕布局。
可以在设备上安装未包含在主屏幕布局配置中的预先存在的应用。 这些应用在配置的应用后按字母顺序显示。
使用主屏幕网格设置添加页面或将页面和应用添加到停靠时,主屏幕上的图标和页面将锁定。 无法移动或删除它们。 此行为可能是使用 iOS/iPadOS 和 Apple 的 MDM 策略设计的。
在托管浏览器中打开所需的 iOS/iPadOS Web 剪辑不会按你在主屏幕布局策略中输入的顺序显示。
主屏幕
使用此功能添加应用。 并查看这些应用在页面、停靠和文件夹中的外观。 它还显示应用图标。 批量购买计划 (VPP) 应用、业务线应用和 Web 链接应用 (Web 应用 URL) 从 你添加的客户端应用填充。
网格大小:为设备的主屏幕选择适当的网格大小。 应用或文件夹在网格中占据一个位置。 如果目标设备不支持所选大小,某些应用可能不适合,并且会推送到新页面上的下一个可用位置。 参考:
- iPhone 5 支持 4 列 x 5 行
- iPhone 6 及更高版本支持 4 列 x 6 行
- iPad 支持 5 列 x 6 行
+:选择“添加”按钮以添加应用。
创建文件夹或添加应用:添加 应用 或 文件夹:
应用:从列表中选择现有应用。 此选项将应用添加到设备上的主屏幕。 如果没有任何应用,则 向 Intune 添加应用。
还可以按应用名称(如
authenticator
或drive
)搜索应用。 或者,按应用发布者搜索,例如Microsoft
或Apple
。文件夹:将文件夹添加到主屏幕。 输入 文件夹名称,并从列表中选择现有应用以转到文件夹。 此文件夹名称在其设备上向用户显示。
还可以按应用名称(如
authenticator
或drive
)搜索应用。 或者,按应用发布者搜索,例如Microsoft
或Apple
。应用从左到右排列,顺序与所示的顺序相同。 可将应用移动到其他位置。 一个文件夹中只能有一个页面。 作为解决方法,请将 9 个 (9 个) 或更多应用添加到文件夹。 应用会自动移动到下一页。 可以添加 VPP 应用、Web 链接 (Web 应用) 、应用商店应用、业务线应用和系统应用的任意组合。
码头
为 iPhone 添加最多 4 个 (4 个) 项,以及多达 6 (个用于 iPad (应用和文件夹的 6 个) 项,) 组合到屏幕上的扩展坞。 许多设备支持较少的项。 例如,iPhone 设备最多支持四项。 因此,仅显示添加的前四个项。
+:选择“添加”按钮,将应用或文件夹添加到扩展坞。
创建文件夹或添加应用:添加 应用 或 文件夹:
应用:从列表中选择现有应用。 此选项将应用添加到屏幕上的扩展坞。 如果没有任何应用,则 向 Intune 添加应用。
还可以按应用名称(如
authenticator
或drive
)搜索应用。 或者,按应用发布者搜索,例如Microsoft
或Apple
。文件夹:将文件夹添加到屏幕上的扩展坞。 输入 文件夹名称,并从列表中选择现有应用以转到文件夹。 此文件夹名称在其设备上向用户显示。
还可以按应用名称(如
authenticator
或drive
)搜索应用。 或者,按应用发布者搜索,例如Microsoft
或Apple
。应用从左到右排列,顺序与所示的顺序相同。 可将应用移动到其他位置。 如果添加的应用数超过一个页面上可以容纳的应用数,则应用会自动移动到另一个页面。 最多可在扩展坞上的文件夹中添加 20 个页面。 可以添加 VPP 应用、Web 链接 (Web 应用) 、应用商店应用、业务线应用和系统应用的任意组合。
示例
在以下示例中,停靠屏幕显示 Safari、邮件和股票应用。 选择“股票”应用以显示其属性:
将策略分配给 iPhone 时,扩展坞如下图所示:
应用通知
设置适用于:自动化设备注册 (监督)
添加:为应用添加通知:
应用程序包 ID:输入要添加的应用的应用 捆绑 ID 。
若要获取应用捆绑包 ID,请执行以下操作:
- 有关一些示例,请转到 内置 iOS/iPadOS 应用的捆绑 ID。
- 对于添加到 Intune 的应用, 可以使用 Intune 管理中心。
设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。
应用名称:输入要添加的应用的名称。 此名称用于在 Microsoft Intune 管理中心中引用。 它不会显示在设备上。 设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。
发布者:输入要添加的应用的发布者。 此名称用于在 Microsoft Intune 管理中心中引用。 它不会显示在设备上。 设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。
通知:启用或禁用应用向设备发送通知。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
设置为 “启用”时,还要配置:
在通知中心显示: 启用 允许应用在设备通知中心显示通知。 禁用 可阻止应用在通知中心显示通知。 设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。
在锁屏界面上显示: “启用” 在设备锁屏界面上显示应用通知。 禁用 可阻止应用在锁屏界面上显示通知。 设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。
警报类型:解锁设备时,选择通知的显示方式。 选项包括:
- 无:不显示通知。
- 横幅:带有通知的横幅短暂显示。 此设置可能也称为“临时横幅”。
- 模式:显示通知,用户必须先手动关闭它,然后才能继续使用设备。 此设置可能也称为“持久横幅”。
应用图标上的锁屏提醒: “启用” 会将锁屏提醒添加到应用图标。 锁屏提醒表示应用发送了通知。 禁用 不会向应用图标添加锁屏提醒。 设置为 “未配置”时,Intune 不会更改或更新此设置。
启用声音: 启用 在发送通知时播放声音。 传递 通知时,禁用不会播放声音。 设置为 “未配置”时,Intune 不会更改或更新此设置。
显示预览:显示最近应用通知的预览。 选择何时显示预览。 所选值将替代设备上用户配置的值, (设置 > 通知 > 显示预览) 。 选项包括:
- 未配置:Intune 不会更改或更新此设置。
- 解锁时:预览仅在设备解锁时显示。
- 始终:预览始终显示在锁屏界面上。
- 从不显示:预览从不显示。
此功能适用于:
- iOS/iPadOS 14.0 及更新版
锁屏界面消息
此功能适用于:
- iOS 9.3 及更高版本
- iPadOS 13.0 及更高版本
设置适用于:自动化设备注册 (监督)
“如果丢失,请返回到...”消息:如果设备丢失或被盗,请输入有助于在找到设备时返回的备注。 可以输入所需的任何文本。 例如,输入类似于
If found, call Contoso at ...
的内容。输入的文本显示在设备的登录窗口和锁屏界面上。
资产标记信息:输入有关设备资产标记的信息。 例如,输入
Owned by Contoso Corp
或Serial Number: {{serialnumber}}
。设备令牌还可用于向这些字段添加特定于设备的信息。 例如,若要显示序列号,请输入
Serial Number: {{serialnumber}}
或Device ID: {{DEVICEID}}
。 在锁屏界面上,文本显示类似于Serial Number 123456789ABC
。 输入变量时,请务必使用大括号{{ }}
。支持以下设备信息变量。 变量不会在 UI 中验证,并且区分大小写。 如果输入的变量不正确,可以看到使用不正确的输入保存的配置文件。 例如,如果输入
{{DeviceID}}
而不是{{deviceid}}
或{{DEVICEID}}
,则显示文本字符串而不是设备的唯一 ID。 请务必输入正确的信息。 支持所有小写或所有大写变量,但不支持混合变量。-
{{AADDeviceId}}
:Microsoft Entra 设备 ID -
{{AccountId}}
:Intune 租户 ID 或帐户 ID -
{{AccountName}}
:Intune 租户名称或帐户名称 -
{{AppleId}}
:用户的 Apple ID -
{{Department}}
:在设置助理期间分配的部门 -
{{DeviceId}}
:Intune 设备 ID -
{{DeviceName}}
:Intune 设备名称 -
{{domain}}
:域名 -
{{EASID}}
:Exchange 活动同步 ID -
{{EDUUserType}}
:用户类型 -
{{IMEI}}
:设备的 IMEI -
{{mail}}
:用户的电子邮件地址 -
{{ManagedAppleId}}
:用户的托管 Apple ID -
{{MEID}}
:设备的 MEID -
{{partialUPN}}
:@ 符号前的 UPN 前缀 -
{{SearchableDeviceKey}}
:NGC 密钥 ID -
{{SerialNumber}}
:设备序列号 -
{{SerialNumberLast4Digits}}
:设备序列号的最后 4 位数字 -
{{SIGNEDDEVICEID}}
:在公司门户注册期间分配给客户端的设备 ID Blob -
{{SignedDeviceIdWithUserId}}
:在 Apple 设置助手期间分配给具有用户相关性的客户端的设备 ID blob -
{{UDID}}
:设备 UDID -
{{UDIDLast4Digits}}
:设备 UDID 的最后 4 位数字 -
{{UserId}}
:Intune 用户 ID -
{{UserName}}
:用户名 -
{{userPrincipalName}}
:用户的 UPN
-
单一登录
设置适用于:设备注册、自动设备注册 (监督)
Microsoft Entra 用户名属性:Intune 在 Entra ID Microsoft中查找每个用户的此属性。 然后,Intune 会填充相应的字段 (,例如 UPN) ,然后生成安装在设备上的 XML。 选项包括:
未配置:Intune 不会更改或更新此设置。 默认情况下,当配置文件部署到设备时,OS 会提示用户输入 Kerberos 主体名称。 MDM 需要主体名称才能安装 SSO 配置文件。
用户主体名称:按以下方式分析 UPN) (用户主体名称:
还可以使用在“领域”文本框中输入的文本覆盖 领域 。
例如,Contoso 有多个区域,包括欧洲、亚洲和北美。 Contoso 希望其亚洲用户使用 SSO,并且应用需要采用 格式的
username@asia.contoso.com
UPN。 选择“ 用户主体名称”时,每个用户的领域取自Microsoft Entra ID,即contoso.com
。 因此,对于亚洲用户,请选择“ 用户主体名称”,然后输入asia.contoso.com
。 用户的 UPN 变为username@asia.contoso.com
,而不是username@contoso.com
。Intune 设备 ID:Intune 自动选择 Intune 设备 ID。 默认情况下:
- 应用只需使用设备 ID。 但是,如果你的应用使用领域和设备 ID,则可以在“领域”文本框中输入 领域 。
- 如果使用设备 ID,请将领域保留为空。
Azure AD 设备 ID:Microsoft Entra 设备 ID
SAM 帐户名称:Intune (SAM) 帐户名称填充本地安全帐户管理器。
领域:输入 URL 的域部分。 例如,输入
contoso.com
。URL: 添加 组织中需要用户单一登录 (SSO) 身份验证的任何 URL。
例如,当用户连接到这些站点中的任何一个时,iOS/iPadOS 设备将使用 SSO 凭据。 用户无需再次输入凭据。 如果启用了多重身份验证 (MFA) ,则需要用户输入第二个身份验证。
此外:
这些 URL 的格式必须正确设置 FQDN。 Apple 要求 URL 采用 格式
http://<yourURL.domain>
。URL 匹配模式必须以
http://
或https://
开头。 运行简单的字符串匹配,因此http://www.contoso.com/
URL 前缀与 不匹配http://www.contoso.com:80/
。 使用 iOS 10.0+ 和 iPadOS 13.0+ 时,单个通配符 * 可用于输入所有匹配值。 例如,http://*.contoso.com/
匹配http://store.contoso.com/
和http://www.contoso.com
。http://.com
和https://.com
模式分别匹配所有 HTTP 和 HTTPS URL。
应用: 在 可以使用单一登录的用户设备上添加应用。
数组
AppIdentifierMatches
必须包含与应用捆绑包 ID 匹配的字符串。 这些字符串可以是完全匹配项(如com.contoso.myapp
),也可以使用通配符在捆绑 ID*
上输入前缀匹配项。 通配符必须出现在句点字符 (.) 之后,并且只能在字符串末尾出现一次,如com.contoso.*
。 如果包含通配符,则向捆绑包 ID 以前缀开头的任何应用授予对该帐户的访问权限。使用 应用名称 输入用户友好名称,以帮助你标识捆绑包 ID。
凭据续订证书:如果使用证书进行身份验证 (而不是密码) ,请选择现有的 SCEP 或 PFX 证书作为身份验证证书。 通常,此证书与为其他配置文件(如 VPN、Wi-Fi 或电子邮件)部署到用户的证书相同。
Web 内容筛选器
设置适用于:自动化设备注册 (监督)
这些设置使用 Apple 的 Web 内容筛选器设置。 有关这些设置的详细信息,请转到 Apple 的平台部署网站 , () 打开 Apple 网站。
筛选器类型:选择以允许特定网站。 选项包括:
未配置:Intune 不会更改或更新此设置。
配置 URL:使用 Apple 的内置 Web 筛选器来查找成人术语,包括亵渎和露骨性语言。 此功能会在加载时评估每个网页,并识别并阻止不合适的内容。 还可以添加不想通过筛选器检查的 URL。 或者,阻止特定 URL,而不考虑 Apple 的筛选器设置。
允许的 URL: 添加 要允许的 URL。 这些 URL 绕过 Apple 的 Web 筛选器。
输入的 URL 是你不希望由 Apple Web 筛选器评估的 URL。 这些 URL 不是允许的网站列表。 若要创建允许的网站列表,请将 “筛选器类型 ”设置为 “仅特定网站”。
阻止的 URL: 添加 要停止打开的 URL,而不考虑 Apple Web 筛选器设置。
特定网站仅 (Safari Web 浏览器仅) :这些 URL 将添加到 Safari 浏览器的书签中。 用户只能访问这些网站:不能打开其他站点。 仅当知道用户可以访问的 URL 的确切列表时,才使用此选项。
-
URL:输入要允许的网站 URL。 例如,输入
https://www.contoso.com
。 - 书签路径:Apple 更改了此设置。 所有书签都进入“ 允许的站点” 文件夹。 书签不会进入输入的书签路径。
- 标题:输入书签的描述性标题。
如果未输入任何 URL,则用户无法访问除 、
microsoft.net
和apple.com
之外microsoft.com
的任何网站。 Intune 自动允许这些 URL。-
URL:输入要允许的网站 URL。 例如,输入
单一登录应用扩展
此功能适用于:
- iOS13.0 及更高版本
- iPadOS 13.0 及更高版本
设置适用于:所有注册类型
SSO 应用扩展类型:选择 SSO 应用扩展的类型。 选项包括:
未配置:Intune 不会更改或更新此设置。 默认情况下,OS 不使用应用扩展。 若要禁用应用扩展,可以将 SSO 应用扩展类型切换为 “未配置”。
Microsoft Entra ID:使用 Microsoft Entra ID Enterprise SSO 插件,它是重定向类型的 SSO 应用扩展。 此插件为支持 Apple 企业单一登录 功能的所有应用程序提供本地 Active Directory 帐户的 SSO。 使用此 SSO 应用扩展类型可在使用 Microsoft Entra ID 进行身份验证的 Microsoft 应用、组织应用和网站上启用 SSO。
SSO 插件充当高级身份验证代理,可提供安全性和用户体验改进。 使用 Microsoft Authenticator 应用进行身份验证的所有应用将继续使用 适用于 Apple 设备的 Microsoft Enterprise SSO 插件获取 SSO。
重要
若要使用 Microsoft Entra SSO 应用扩展类型实现 SSO,请先在设备上安装 iOS/iPadOS Microsoft Authenticator 应用。 Authenticator 应用向设备提供Microsoft企业 SSO 插件,MDM SSO 应用扩展设置将激活插件。 在设备上安装 Authenticator 和 SSO 应用扩展配置文件后,用户必须输入其凭据才能登录,并在其设备上建立会话。 然后,跨不同的应用程序使用此会话,而无需用户再次进行身份验证。 有关 Authenticator 的详细信息,请转到 什么是Microsoft Authenticator 应用。
有关详细信息,请转到 在 iOS/iPadOS 设备上使用 Microsoft Enterprise SSO 插件。
重定向:使用通用的可自定义重定向应用扩展将 SSO 与新式身份验证流配合使用。 请确保知道组织的应用扩展的扩展 ID。
凭据:使用通用的可自定义凭据应用扩展将 SSO 与质询和响应身份验证流配合使用。 请确保知道组织的应用扩展的扩展 ID。
Kerberos:使用 Apple 的内置 Kerberos 扩展,该扩展包含在 iOS 13.0+ 和 iPadOS 13.0+ 上。 此选项是特定于 Kerberos 的 凭据 应用扩展版本。
提示
使用 重定向 和 凭据 类型,可以添加自己的配置值以传递扩展。 如果使用的是 凭据,请考虑在 Kerberos 类型中使用 Apple 提供的内置配置设置。
用户成功登录到 Authenticator 应用后,不会提示他们登录到使用 SSO 扩展的其他应用。 用户首次打开不使用 SSO 扩展的托管应用时,系统会提示用户选择已登录的帐户。
仅) 启用共享设备模式 (Microsoft Entra ID:如果要将 Microsoft Enterprise SSO 插件部署到为 Microsoft Entra 共享设备模式功能配置的 iOS/iPadOS 设备,请选择 “是 ”。 共享模式下的设备允许许多用户全局登录和注销支持共享设备模式的应用程序。 设置为 “未配置”时,Intune 不会更改或更新此设置。 默认情况下,iOS/iPadOS 设备不应在多个用户之间共享。
有关共享设备模式以及如何启用它的详细信息,请转到 iOS 设备的共享设备模式 和 共享设备模式概述。
此功能适用于:
- iOS/iPadOS 13.5 及更新版
扩展 ID (重定向和凭据) :输入标识 SSO 应用扩展的捆绑标识符,如
com.apple.extensiblesso
。团队 ID (重定向和凭据) :输入 SSO 应用扩展的团队标识符。 团队标识符是一个 10 个字符的字母数字 (数字和字母) Apple 生成的字符串,如
ABCDE12345
。 不需要团队 ID。找到团队 ID (打开 Apple 网站,) 了解详细信息。
领域 (凭据和 Kerberos) :输入身份验证领域的名称。 领域名称应大写,如
CONTOSO.COM
。 通常,你的领域名称与 DNS 域名相同,但全部大写。域 (凭据和 Kerberos) :输入可通过 SSO 进行身份验证的站点的域或主机名。 例如,如果网站为
mysite.contoso.com
,则mysite
为主机名,.contoso.com
为域名。 当用户连接到这些站点中的任何一个时,应用扩展将处理身份验证质询。 此身份验证允许用户使用人脸 ID、触控 ID 或 Apple pincode/密码登录。- 单一登录应用扩展 Intune 配置文件中的所有域都必须是唯一的。 即使使用的是不同类型的 SSO 应用扩展,也不能在任何登录应用扩展配置文件中重复域。
- 这些域不区分大小写。
- 域必须以句点 ()
.
开头。
仅重定向) (URL:输入重定向应用扩展代表其使用 SSO 的标识提供者的 URL 前缀。 当用户重定向到这些 URL 时,SSO 应用扩展会进行干预并提示 SSO。
- Intune 单一登录应用扩展配置文件中的所有 URL 都必须是唯一的。 即使使用不同类型的 SSO 应用扩展,也不能在任何 SSO 应用扩展配置文件中重复域。
- URL 必须以
http://
或https://
开头。
其他配置 (Microsoft Entra ID、重定向和凭据) :输入更多特定于扩展的数据以传递给 SSO 应用扩展:
键:输入要添加的项的名称,例如
user name
或AppAllowList
。类型:输入数据类型。 选项包括:
- String
- 布尔值:在 “配置”值中,输入
True
或False
。 - 整数:在 “配置值”中,输入数字。
值:输入数据。
添加:选择以添加配置密钥。
阻止密钥链使用 (Kerberos 仅) : “是 ”会阻止在密钥链中保存和存储密码。 如果被阻止,则不会提示用户保存其密码,并且需要在 Kerberos 票证过期时重新输入密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许在密钥链中保存和存储密码。 票证过期时,系统不会提示用户重新输入其密码。
仅) 要求 (Kerberos 的人脸 ID、触控 ID 或密码:“是”,当需要凭据来刷新 Kerberos 票证时,强制用户输入其人脸 ID、触控 ID 或设备密码。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不要求用户使用生物识别或设备密码来刷新 Kerberos 票证。 如果阻止 使用密钥链 ,则此设置不适用。
设置为默认领域 (Kerberos 仅) :是将输入的 Realm 值设置为默认领域。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能不会设置默认领域。
- 如果要在组织中配置多个 Kerberos SSO 应用扩展,请选择“ 是”。
- 如果使用的是多个领域,请选择“ 是”。 它将输入的 Realm 值设置为默认领域。
- 如果只有一个领域,请选择“ 未配置 ” (默认) 。
阻止自动发现 (Kerberos 仅) : “是 ”会阻止 Kerberos 扩展自动使用 LDAP 和 DNS 来确定其 Active Directory 站点名称。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
仅允许 (Kerberos 托管应用) :设置为 “是”时,Kerberos 扩展仅允许托管应用,以及使用应用捆绑包 ID 输入的任何应用来访问凭据。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。 默认情况下,OS 可能允许非托管应用访问凭据。
此功能适用于:
- iOS/iPadOS 14 及更新版
主体名称 (Kerberos 仅) :输入 Kerberos 主体的用户名。 无需包含领域名称。 例如,在 中
user@contoso.com
user
,是主体名称,是contoso.com
领域名称。- 还可以通过输入大括号
{{ }}
在主体名称中使用变量。 例如,若要显示用户名,请输入Username: {{username}}
。 - 请注意变量替换。 变量不会在 UI 中验证,并且区分大小写。 请务必输入正确的信息。
- 还可以通过输入大括号
Active Directory 站点代码 仅 (Kerberos) :输入 Kerberos 扩展应使用的 Active Directory 站点的名称。 你可能不需要更改此值,因为 Kerberos 扩展可以自动找到 Active Directory 站点代码。
仅) (Kerberos 缓存名称:输入 Kerberos 缓存的通用安全服务 (GSS) 名称。 很可能不需要设置此值。
登录窗口文本 (Kerberos 仅) :输入在 Kerberos 登录窗口中向用户显示的文本。
此功能适用于:
- iOS/iPadOS 14 及更新版
应用捆绑 ID (Microsoft Entra ID、Kerberos) :输入应通过设备上的扩展获取单一登录的任何其他应用的捆绑 ID。 若要获取添加到 Intune 的应用的捆绑 ID, 可以使用 Intune 管理中心。
如果使用 Microsoft Entra ID SSO 应用扩展类型,则:
这些应用使用 Microsoft Enterprise SSO 插件对用户进行身份验证,而无需登录。
如果输入的应用捆绑 ID 不使用任何Microsoft库(如 Microsoft 身份验证库 (MSAL) ),则它们有权使用 Microsoft Entra SSO 应用扩展。
与Microsoft库相比,这些应用的体验可能不太无缝。 必须将使用 MSAL 身份验证的较旧应用或不使用最新Microsoft库的应用添加到此列表中,才能正常使用 Microsoft Azure SSO 应用扩展。
如果使用 Kerberos SSO 应用扩展 类型,则以下应用:
- 有权访问 Kerberos 票证授予票证
- 有权访问身份验证票证
- 对有权访问的服务的用户进行身份验证
域领域映射 (Kerberos 仅) :输入应映射到你的领域的域 DNS 后缀。 当主机的 DNS 名称与领域名称不匹配时,请使用此设置。 你很可能不需要创建此自定义域到领域映射。
PKINIT 证书 仅 (Kerberos) : 选择 可用于 Kerberos 身份验证 (PKINIT) 证书进行初始身份验证的公钥加密。 可以从 Intune 中添加的 PKCS 或 SCEP 证书中进行选择。
有关证书的详细信息,请转到 在 Microsoft Intune 中使用证书进行身份验证。
壁纸
将没有映像的配置文件分配给具有现有映像的设备时,可能会遇到意外行为。 例如,创建没有映像的配置文件。 此配置文件分配给已有映像的设备。 在这种情况下,映像可以更改为设备默认值,或者原始映像可以保留在设备上。 此行为受 Apple MDM 平台控制和限制。
设置适用于:自动化设备注册 (监督)
-
壁纸显示位置:在显示图像的设备上选择一个位置。 选项包括:
- 未配置:Intune 不会更改或更新此设置。 自定义映像不会添加到设备。 默认情况下,OS 可能会设置自己的映像。
- 锁屏界面:将图像添加到锁屏界面。
- 主屏幕:将图像添加到主屏幕。
- 锁屏界面和主屏幕:在锁屏界面和主屏幕上使用相同的图像。
- 壁纸图像:上传要使用的现有 .png、.jpg 或.jpeg图像。 请确保文件大小小于 750 KB。 还可以 删除 添加的映像。
提示
- 配置壁纸策略时,Microsoft建议启用 “阻止修改壁纸” 设置。 此设置可防止用户更改壁纸。
- 若要在锁屏界面和主屏幕上显示不同的图像,请使用锁屏界面图像创建配置文件。 使用主屏幕图像创建另一个配置文件。 将这两个配置文件分配给 iOS/iPadOS 用户或设备组。