通过

设置帐户驱动的 Apple 用户注册

  • 项目

重要

此功能目前提供公共预览版。 有关详细信息,请参阅 Microsoft Intune 中的公共预览版

为在 Microsoft Intune 中注册的个人设备设置帐户驱动的 Apple 用户注册。 与使用公司门户的用户注册相比,帐户驱动的用户注册提供了更快、更方便用户的注册体验。 设备用户通过在“设置”应用中登录到其工作帐户来启动注册。 用户批准设备管理后,注册配置文件将静默安装并应用 Intune 策略。 Intune 使用实时注册和 Microsoft Authenticator 应用进行身份验证,以减少用户在注册期间和访问工作应用时必须登录的次数。

本文介绍如何在 Microsoft Intune 中设置帐户驱动的 Apple 用户注册。 你将执行以下操作:

  • 设置 JIT 注册。
  • 创建注册配置文件。
  • 准备员工和学生进行注册。

先决条件

Microsoft Intune支持在运行 iOS/iPadOS 版本 15 或更高版本的设备上进行帐户驱动的 Apple 用户注册。 如果将帐户驱动的用户注册配置文件分配给运行 iOS/iPadOS 14.9 或更早版本的设备用户,Microsoft Intune将通过用户注册和公司门户自动注册他们。

在开始设置之前,请完成以下任务:

还需要设置服务发现,以便 Apple 可以访问 Intune 服务并检索注册信息。 为此,请在员工登录的同一域中设置并发布 HTTP 已知资源文件。 Apple 通过 HTTP GET 请求检索 “https://contoso.com/.well-known/com.apple.remotemanagement”文件,并将组织的域替换为 contoso.com。 在可以处理 HTTP GET 请求的域中发布文件。

创建 JSON 格式的文件,并将内容类型设置为 application/json。 我们提供了以下 JSON 示例,你可以将其复制并粘贴到文件中。 使用与环境一致的那个。 将基 URL 中的 YourAADTenantID 变量替换为组织的Microsoft Entra租户 ID。

Microsoft Intune环境:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

美国政府环境的Microsoft Intune:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune由 21 Vianet 在中国环境中运营:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

JSON 示例的其余部分填充了所需的所有信息,包括:

  • 版本:服务器版本为 mdm-byod
  • BaseURL:此 URL 是 Intune 服务所在的位置。

最佳做法

建议进行额外的配置,以帮助改善设备用户的注册体验。 本部分提供有关每个建议的详细信息。

部署公司门户 Web 应用

部署 Intune 公司门户 网站的 Web 应用版本,以便用户可以快速访问设备状态、设备操作和符合性信息。 Web 应用显示在主屏幕上,并充当指向公司门户网站的链接。 如果没有 Web 应用,设备用户仍然可以访问公司门户网站,但必须打开浏览器并在搜索字段中键入地址。 有关如何添加 Web 应用的详细信息,请参阅将 Web 应用添加到Microsoft Intune

启用联合身份验证

Apple 用户注册要求创建托管 Apple ID 并将其提供给注册用户。 如果启用联合身份验证(包括将 Apple Business Manager 与Microsoft Entra ID链接),则无需为每个用户创建并提供唯一的 Apple ID。 相反,设备用户可以使用用于其工作帐户的相同凭据登录到其应用。 有关详细信息,请参阅 Apple Business Manager 用户指南中的联合身份验证简介。

步骤 1:设置实时注册并分配 Microsoft Authenticator

重要

此功能目前提供公共预览版。 有关详细信息,请参阅 Microsoft Intune 中的公共预览版

配置实时注册,并将 Microsoft Authenticator 分配为所需应用。 有关步骤,请参阅 在 Intune 中设置 JIT 注册。 完成后,请返回本文,以便继续执行下一步。

步骤 2:创建注册配置文件

为通过帐户驱动的用户注册进行注册的设备创建注册配置文件。 注册配置文件会触发设备用户的注册体验,并使他们能够从“设置”应用启动注册。

  1. 在Microsoft Intune管理中心,转到“设备>注册”。
  2. 选择“ Apple ”选项卡。
  3. “注册选项”下,选择“ 注册类型”。
  4. 选择“ 创建配置文件>iOS/iPadOS”。
  5. “基本信息 ”页上,输入配置文件的名称和说明,以便将其与管理中心中的其他配置文件区分开来。 设备用户看不到这些详细信息。
  6. 选择“下一步”。
  7. “设置” 页上,对于 “注册类型”,选择“ 帐户驱动用户注册”。
  8. 选择“下一步”。
  9. “分配” 页上,将配置文件分配给所有用户,或选择特定组。 用户注册方案中不支持设备组,因为用户注册需要用户标识。
  10. 选择“下一步”。
  11. 在“ 查看 + 创建 ”页上,查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

步骤 3:准备员工进行注册

若要在个人设备上启动设备注册,设备所有者必须转到“设置”应用并使用其工作或学校帐户登录。 如果他们尝试使用其工作或学校帐户登录应用,应用会提醒他们注册要求,并告知他们如何继续。

本部分介绍设备用户的注册步骤。 建议在组织的设备载入文档中或进行故障排除和支持时使用此信息。

  1. 在设备上打开 “设置” 应用。
  2. 选择“常规”
  3. 选择“VPN & 设备管理”。
  4. 使用工作或学校帐户或组织提供给你的 Apple ID 登录。
  5. 选择 “登录到 iCloud”。
  6. 输入屏幕上显示的用户名的密码。 然后,选择“继续”
  7. 选择 “允许远程管理”。
  8. 配置设备并安装管理配置文件时等待几分钟。
  9. 若要确认设备已准备好用于工作,请转到 VPN & 设备管理。 确认工作帐户在 “托管帐户”下列出。
  10. 需要 Microsoft Authenticator 才能访问工作应用。 注册后等待几分钟,以便在设备上安装 Authenticator。 如果尝试在没有 Authenticator 的情况下登录工作应用,将显示错误消息。
  11. 你可能会收到更多提示,要求你批准安装工作应用。 选择“ 安装” 以批准安装。

配置文件优先级

Intune 按你确定其优先级的顺序应用注册配置文件。 若要更改它们的应用顺序,请执行以下操作:

  1. 返回注册类型以查看配置文件。
  2. 拖放列表中的配置文件以对其优先级进行重新排序。

如果由于为用户分配了多个配置文件而发生冲突,Intune 将应用优先级更高的配置文件。

从管理中删除设备

当设备从 Intune 取消注册时,将擦除为管理设备上的工作数据而创建的卷和加密密钥。

已知问题

本部分介绍帐户驱动的 Apple 用户注册和Microsoft Intune的当前已知问题。

由于注册 SSO 应用程序,注册失败

如果 Microsoft Authenticator 应用在注册开始前在设备上,则当设备用户尝试在“设置”应用中使用其工作或学校帐户登录时,注册将失败。 他们收到的消息显示:

  • 标题:登录失败
  • 说明:已在设备上安装注册 SSO 应用程序。

若要解决此问题,设备用户必须卸载 Microsoft Authenticator 应用并重启注册。

后续步骤