註冊指南:在 Microsoft Intune 中註冊 iOS 和 iPadOS 裝置
您可以在 Intune 中註冊個人和組織擁有的裝置。 註冊之後,他們會收到您建立的原則和設定檔。 註冊 iOS/iPadOS 裝置時,您有下列選項:
本文提供註冊建議,並包含每個 iOS/iPadOS 選項的系統管理員和使用者工作概觀。
每個平臺也有不同註冊選項的視覺化指南:
提示
本指南是一件即時的工作。 因此,請務必新增或更新您發現有用的現有秘訣和指引。
開始之前
如需準備租使用者進行註冊所需的所有 Intune 特定必要條件和設定,請參閱註冊指南:Microsoft Intune註冊。
自動化裝置註冊 (ADE) (受監督)
先前稱為 Apple 裝置註冊計畫 (DEP) 。 在您組織所擁有的裝置上使用 。 此選項會使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 來設定設定。 它會註冊大量裝置,而不需要您觸碰裝置。 這些裝置是從 Apple 購買、具有預先設定的設定,而且可以直接寄送給使用者或學校。 您會在 Intune 系統管理中心建立註冊設定檔,並將此設定檔推送至裝置。
如需此註冊類型的更具體資訊,請參閱:
- Apple Business Manager 註冊
- Apple School Manager 註冊:如需 Apple School Manager 的詳細資訊,請參閱 Apple 教育 版 (開啟 Apple 的網站) 。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 您想要受監督模式。 | ✔️ 受監督模式會部署軟體更新、限制功能、允許和封鎖應用程式等等。 |
| 裝置是由組織或學校所擁有。 | ✔️ |
| 您有新的裝置。 | ✔️ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✔️ |
| 裝置會與單一使用者相關聯。 | ✔️ |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ✔️ |
| 裝置為個人或 BYOD。 | ❌ 不建議。 您可以使用 MAM 管理 BYOD 或個人裝置上的應用程式 (開啟另一個 Microsoft 文章) ,或本文中的使用者 和裝置註冊 () 。 |
| 您有現有的裝置。 | ❌ 本文) 應使用 Apple Configurator (註冊現有的裝置。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 若要完全由 Intune 管理,使用者必須從目前的 MDM 提供者取消註冊,然後在 Intune 中註冊。 或者,您可以使用 MAM 來管理裝置上的特定應用程式。 由於這些裝置是組織擁有的,因此建議您在 Intune 中註冊。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ❌ 不支援 DEM 帳戶。 |
ADE 系統管理員工作
此工作清單提供概觀。 如需更具體的資訊,請參閱 Apple Business Manager 註冊 或 Apple School Manager 註冊。
請確定您的裝置 受到支援。
需要存取 Apple Business Manager (ABM) 入口網站或 Apple School Manager (ASM) 入口網站。
請確定 Apple 權杖 (.p7m) 作用中。 如需更具體的資訊,請參閱 取得 Apple ADE 權杖。
請確定 Apple MDM 推播憑證 已新增至 Intune,且為使用中狀態。 註冊 iOS/iPadOS 裝置需要此憑證。 如需詳細資訊,請 參閱取得 Apple MDM 推播憑證。
決定使用者如何在其裝置上進行驗證:公司入口網站應用程式、設定助理 (舊版) ,或使用新式驗證設定助理。 建立註冊設定檔之前,請先做出此決定。 使用公司入口網站應用程式或設定助理搭配新式驗證,被視為新式驗證。
選取公司入口網站應用程式的時機:
- 您想要抹除裝置。
- 您想要使用多重要素驗證 (MFA) 。
- 您想要提示使用者在第一次登入時更新其過期的密碼。
- 您想要提示使用者在註冊期間重設其過期的密碼。
- 您想要在Microsoft Entra識別碼中註冊裝置。 註冊它們時,您可以使用Microsoft Entra識別碼可用的功能,例如條件式存取。
- 您想要在註冊期間自動安裝公司入口網站應用程式。 如果您的公司使用大量採購方案 (VPP) ,您可以在註冊期間自動安裝公司入口網站應用程式,而不需要使用者 Apple 識別碼。
- 您想要鎖定裝置,直到公司入口網站應用程式安裝為止。 安裝之後,使用者會使用其組織Microsoft Entra帳戶登入公司入口網站應用程式。 然後,裝置會解除鎖定,且使用者可以使用它。
選取 [設定助理] (舊版) ::
您想要抹除裝置。
您不想要使用新式驗證功能,例如 MFA。
您不想在Microsoft Entra識別碼中註冊裝置。 設定助理 (舊版) 使用 Apple
.p7m權杖來驗證使用者。 如果無法在Microsoft Entra識別碼中註冊裝置是可接受的,則您不需要安裝公司入口網站應用程式。 繼續使用設定助理 (舊版) 。如果您想要以Microsoft Entra識別碼註冊裝置,請安裝公司入口網站應用程式。 當您建立註冊設定檔並選取 [設定助理] (舊版) 時,您可以安裝公司入口網站應用程式。 建議您在註冊期間安裝公司入口網站應用程式。
選取具有 新式驗證的設定助理 ,時機如下:
- 您想要抹除裝置。
- 您想要使用多重要素驗證 (MFA) 。
- 您想要提示使用者在第一次登入時更新其過期的密碼。
- 您想要提示使用者在註冊期間重設其過期的密碼。
- 您想要在Microsoft Entra識別碼中註冊裝置。 註冊它們時,您可以使用Microsoft Entra識別碼可用的功能,例如條件式存取。
- 您想要在註冊期間自動安裝公司入口網站應用程式。 如果您的公司使用大量採購方案 (VPP) ,您可以在註冊期間自動安裝公司入口網站應用程式,而不需要使用者 Apple 識別碼。
- 您希望使用者使用裝置,即使未安裝公司入口網站應用程式也一般。
注意事項
若要驗證使用者,Microsoft 建議使用公司入口網站應用程式或設定助理搭配新式驗證。
您應該使用哪一個選項? 這取決於:
如果您想要在安裝公司入口網站應用程式之前使用裝置,請使用Setup Assistant 搭配新式驗證。
在設定助理期間,使用者必須輸入其組織Microsoft Entra認證 (
user@contoso.com) 。 當他們輸入認證時,就會開始註冊,並安裝公司入口網站應用程式。 如有需要,使用者也可以輸入其 Apple ID 來存取 Apple 特定功能,例如 Apple Pay。安裝助理完成之後,使用者就可以使用裝置。 當主畫面顯示時,註冊完成,並建立使用者親和性。 裝置未以Microsoft Entra識別碼完整註冊,且在使用者的裝置清單中顯示為不符合Microsoft Entra識別碼。 裝置在Microsoft Intune系統管理中心顯示為符合規範。
安裝公司入口網站應用程式之後,使用者需要一些時間才能開啟公司入口網站應用程式,然後再次向其組織Microsoft Entra帳戶 (
user@contoso.com) 。 在第二次登入期間,會評估任何條件式存取原則,並Microsoft Entra完成註冊。 使用者可以安裝和使用組織資源,包括 LOB 應用程式。 裝置在Microsoft Entra識別碼中顯示為符合規範。如果您不想在安裝公司入口網站應用程式之前使用裝置,請使用[公司入口網站應用程式] 選項。 公司入口網站應用程式選項會鎖定裝置,直到安裝公司入口網站應用程式為止。 安裝完成時,公司入口網站應用程式會自動開啟。 使用者使用其Microsoft Entra組織帳戶登入 (
user@contoso.com) ,而且可以使用裝置。
如果您使用公司入口網站應用程式,請決定如何在裝置上安裝公司入口網站應用程式。 建立註冊設定檔之前,請先做出此決定。
注意事項
Microsoft 建議在使用公司入口網站應用程式進行驗證時,使用大量採購方案 (VPP) 。 這是更好的使用者體驗。
請勿直接在已註冊 ADE 的裝置上,從應用程式市集安裝公司入口網站應用程式。 請改用下列選項來安裝公司入口網站應用程式:
VPP 權杖 + 註冊新裝置:如果您有大量採購方案 (VPP) ,而且您正在註冊新的裝置,則會包含公司入口網站應用程式。 當您在Intune 系統管理中心建立註冊設定檔時,請選取 [使用 VPP 安裝公司入口網站]、將它設為必要的應用程式,然後啟用自動應用程式更新。
此選項:
- 包含正確的公司入口網站應用程式版本。
- 這是公司入口網站應用程式的一次性安裝。
- 使用 自動應用程式更新 功能,讓 Intune 可以推送應用程式更新。 如需詳細資訊,請移至部署公司入口網站應用程式 - ADE。
沒有 VPP 權杖 + 註冊新裝置:沒有系統管理員工作。 請確定使用者在設定助理中輸入其 Apple ID。
安裝助理完成時,公司入口網站應用程式會嘗試自動安裝。 如果使用者未輸入其 Apple ID (
user@iCloud.com或user@gmail.com) ,則會持續提示他們輸入其 Apple ID。 使用者必須輸入其 Apple ID,才能在其裝置上取得公司入口網站應用程式。 當公司入口網站應用程式安裝時,使用者會開啟它,並輸入其組織認證 (user@contoso.com) 。 當使用者進行驗證時,使用者可以安裝和使用您組織所使用的應用程式,包括 LOB 應用程式。已註冊的裝置:如果裝置已註冊,如果您是否有 VPP,請使用應用程式設定原則:
- 在Intune 系統管理中心,將公司入口網站應用程式新增為必要的應用程式,並新增為裝置授權應用程式。
- 建立應用程式設定原則,其中包含公司入口網站應用程式作為裝置授權應用程式。 如需更具體的資訊,請參閱設定公司入口網站應用程式以支援 iOS 和 iPadOS DEP 裝置。
- 將應用程式設定原則部署到與註冊設定檔相同的裝置群組。
- 當裝置使用 Intune 服務簽入時,它會接收您的設定檔,並安裝公司入口網站應用程式。
此選項:
- 包含正確的公司入口網站應用程式版本。
- 要求您建立註冊設定檔,並建立應用程式設定原則。 在您的應用程式設定原則中,將它設為必要的應用程式,讓您知道應用程式會部署到所有裝置。
- 變更現有的應用程式設定原則,即可自動更新公司入口網站應用程式。
在 Intune 系統管理中心中,建立註冊設定檔:
- 選擇 [ 使用使用者親和性 註冊], (將使用者與裝置) 建立關聯,或 (無使用者裝置或共用裝置) , 在沒有使用者親和性的情況下 註冊。
- 選擇使用者驗證的位置:公司入口網站應用程式、設定助理 (舊版) 或具有新式驗證的設定助理。
如需更具體的資訊和建議,請參閱 Apple 的自動裝置註冊。
ADE 終端使用者工作
當您在 Intune 系統管理中心建立註冊設定檔時,您可以選擇將使用者與裝置建立關聯 (註冊 與使用者親和性) ,或讓共用裝置 (註冊,而不需要使用者親和性) 。 特定步驟取決於您如何設定註冊設定檔。 使用共用 iPad 時,啟用之後,會自動略過所有設定助理窗格。
使用使用者親和性 + 公司入口網站 應用程式註冊:
![在 Intune 系統管理中心和Microsoft Intune中,使用自動裝置註冊 (ADE) 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊],然後使用公司入口網站應用程式進行驗證。](media/deployment-guide-enrollment-ios-ipados/ade-user-affinity-company-portal-app.png)
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) 。 一旦輸入,公司入口網站應用程式就會自動從您的註冊設定檔安裝。 公司入口網站應用程式可能需要一些時間才能自動安裝。 - 使用者開啟公司入口網站應用程式,並使用其組織認證 ()
user@contoso.com登入。 當他們登入時,就會開始註冊。 註冊完成時,使用者可以安裝和使用組織所使用的應用程式,包括 LOB 應用程式。
使用者可能必須輸入詳細資訊。 如需更具體的使用者步驟,請 參閱註冊您組織提供的 iOS 裝置。
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
使用使用者親和性註冊 + 設定助理 (舊版) + 公司入口網站應用程式:
![在 Intune 系統管理中心和Microsoft Intune中,使用自動裝置註冊 (ADE) 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊]、使用設定助理進行驗證,然後安裝公司入口網站應用程式。](media/deployment-guide-enrollment-ios-ipados/ade-user-affinity-setup-assistant-legacy-company-portal-app.png)
當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) 。設定助理會提示使用者提供資訊。
公司入口網站應用程式會自動開啟,且應該以 kiosk 樣式模式鎖定裝置。 公司入口網站應用程式可能需要一些時間才能開啟。 使用者使用其組織認證登入 (
user@contoso.com) ,且裝置已在 Intune 中註冊。此步驟會以Microsoft Entra識別碼註冊裝置。 使用者可以安裝和使用組織所使用的應用程式,包括 LOB 應用程式。
使用使用者親和性註冊 + 設定助理 (舊版) - 公司入口網站 應用程式:
![在 Intune 系統管理中心和Microsoft Intune中,使用自動裝置註冊 (ADE) 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊]、使用 [設定助理] 進行驗證,而不要安裝公司入口網站應用程式。](media/deployment-guide-enrollment-ios-ipados/ade-user-affinity-setup-assistant-legacy-no-company-portal-app.png)
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) 。 - 設定助理會提示使用者提供資訊,並在 Intune 中註冊裝置。 裝置未在Microsoft Entra識別碼中註冊。
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
使用使用者親和性註冊 + 使用新式驗證的設定助理:
![在 Intune 系統管理中心和Microsoft Intune中,使用自動裝置註冊 (ADE) 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊],然後使用設定助理進行驗證。公司入口網站應用程式會自動安裝。](media/deployment-guide-enrollment-ios-ipados/ade-user-affinity-setup-assistant-modern-authentication.png)
當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) ,而其組織Microsoft Entra認證 (user@contoso.com) 。當使用者輸入其Microsoft Entra認證時,就會開始註冊。
設定助理會提示使用者提供其他資訊。 當主畫面出現時,安裝程式已完成。 裝置已完全註冊,且已建立使用者裝置親和性。 使用者可以使用他們的裝置,並在其裝置上查看您的應用程式和原則。
此時,裝置未完全向Microsoft Entra識別碼註冊,且在Microsoft Entra識別碼中顯示為不符合規範。 裝置會在Microsoft Intune系統管理中心顯示其相容。
如果您使用建議) (VPP安裝公司入口網站應用程式,則會自動安裝公司入口網站應用程式。 使用者開啟公司入口網站應用程式,並使用其公司或學校帳戶
user@contoso.com(再次) 登入。 他們會在公司入口網站應用程式中完成Microsoft Entra註冊,這會以Microsoft Entra識別碼完整註冊裝置。 使用者接著可以存取受條件式存取原則保護的公司資源,而裝置會在Microsoft Entra識別碼中顯示為符合規範。如果您未使用VPP 安裝公司入口網站應用程式,而且想要使用公司入口網站應用程式,則:
使用者使用其 Apple ID (或
user@gmail.com)user@iCloud.com登入 Apple App Store。 當他們登入時,公司入口網站應用程式會自動安裝。這個額外的登入步驟會降低註冊速度,尤其是在使用者未立即登入時。
如果他們未登入應用程式市集,則不會安裝公司入口網站應用程式。 如果未安裝應用程式,則使用者無法在Microsoft Entra識別碼中註冊裝置。 由於裝置尚未完成註冊,因此裝置在Microsoft Entra識別碼中顯示為不符合規範。 根據條件式存取而定的任何資源都無法使用。
使用者開啟公司入口網站應用程式,並使用其公司或學校帳戶
user@contoso.com(再次) 登入。 他們會在公司入口網站應用程式中完成Microsoft Entra註冊,這會以Microsoft Entra識別碼完整註冊裝置。 在下一次簽入時,使用者會取得受條件式存取原則保護的公司資源存取權。
註冊時沒有使用者親和性:沒有動作。 請確定其不會從 Apple App Store 安裝公司入口網站應用程式。
![在 Intune 系統管理中心和Microsoft Intune中,使用自動裝置註冊 (ADE) 註冊 iOS/iPadOS 裝置。選取 [不使用使用者親和性註冊]。](media/deployment-guide-enrollment-ios-ipados/ade-enroll-without-user-affinity.png)
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與使用者通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計畫。
Apple Configurator 註冊
在您組織所擁有的裝置上使用,並包含 直接註冊。 此選項需要您使用 USB 埠,將 iOS/iPadOS 裝置實際連線到 Mac 電腦。
如需此註冊類型的更具體資訊,請參閱 Apple Configurator 註冊。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 您需要有線連線,或發生網路問題。 | ✔️ |
| 您的組織不希望系統管理員使用 ABM 或 ASM 入口網站,或不想設定所有需求。 | ✔️ 不使用 ABM 或 ASM 入口網站的概念是讓系統管理員的控制權降低。 |
| 國家/地區不支援 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 。 | ✔️ 如果您的國家/地區支援 ABS 或 ASM,則應使用本文中的 自動裝置註冊 (註冊裝置) 。 |
| 裝置是由組織或學校所擁有。 | ✔️ |
| 您有新的或現有的裝置。 | ✔️ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✔️ 如果您有大量的裝置,則此方法需要一些時間。 |
| 裝置會與單一使用者相關聯。 | ✔️ |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ✔️ |
| 裝置為個人或 BYOD。 | ❌ 不建議。 您可以使用 MAM 管理 BYOD 或個人裝置上的應用程式 (開啟另一個 Microsoft 文章) ,或本文中的使用者 和裝置註冊 () 。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 若要完全由 Intune 管理,使用者必須從目前的 MDM 提供者取消註冊,然後在 Intune 中註冊。 或者,您可以使用 MAM 來管理裝置上的特定應用程式。 由於這些裝置是組織擁有的,因此建議您在 Intune 中註冊。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ❌ 不支援 DEM 帳戶。 |
Apple Configurator 系統管理員工作
此工作清單提供概觀。 如需更具體的資訊,請參閱 Apple Configurator 註冊。
需要存取具有 USB 埠的 Mac 電腦。
請確定您的裝置 受到支援。
請確定 Apple MDM 推播憑證 已新增至 Intune,且為使用中狀態。 註冊 iOS/iPadOS 裝置需要此憑證。 如需詳細資訊,請 參閱取得 Apple MDM 推播憑證。
決定使用者在其裝置上驗證的方式:公司入口網站應用程式或設定助理。 建立註冊設定檔之前,請先做出此決定。 使用公司入口網站應用程式會被視為新式驗證。 建議您使用公司入口網站應用程式。
選取公司入口網站應用程式的時機:
- 您想要使用多重要素驗證 (MFA) 。
- 您想要提示使用者在第一次登入時更新其過期的密碼。
- 您想要提示使用者在註冊期間重設其過期的密碼。
- 您想要在Microsoft Entra識別碼中註冊裝置。 註冊它們時,您可以使用Microsoft Entra識別碼可用的功能,例如條件式存取。
- 您想要在註冊期間自動安裝公司入口網站應用程式。 如果您的公司使用大量採購方案 (VPP) ,您可以在註冊期間自動安裝公司入口網站應用程式。
選取 設定助理 時:
您不想要使用新式驗證功能,例如 MFA。
您想要抹除裝置。
您想要匯入序號。
您不想在Microsoft Entra識別碼中註冊裝置。 設定助理會使用您複製到裝置的匯出註冊設定檔來驗證使用者。 如果無法在Microsoft Entra識別碼中註冊裝置是可接受的,則您不需要安裝公司入口網站應用程式。 繼續使用設定助理。
如果您想要以Microsoft Entra識別碼註冊裝置,請安裝公司入口網站應用程式。 當您建立註冊設定檔並選取 [設定助理] 時,您可以安裝公司入口網站應用程式。 建議您在註冊期間安裝公司入口網站應用程式。
如果您使用公司入口網站應用程式,則必須使用應用程式設定原則將公司入口網站應用程式安裝在裝置上。 建議您在建立註冊設定檔之前先建立此原則。
請勿直接在 Apple Configurator 註冊的裝置上,從應用程式市集安裝公司入口網站應用程式。 請改用下列選項來安裝公司入口網站應用程式:
註冊新裝置:無系統管理員工作。 請確定使用者在設定助理中輸入其 Apple ID。
安裝助理完成時,公司入口網站應用程式會嘗試自動安裝。 如果使用者未輸入其 Apple ID (
user@iCloud.com或user@gmail.com) ,則會持續提示他們輸入其 Apple ID。 使用者必須輸入其 Apple ID,才能在其裝置上取得公司入口網站應用程式。 當公司入口網站應用程式安裝時,使用者會開啟它,並輸入其組織認證 (user@contoso.com) 。 當使用者進行驗證時,使用者可以安裝和使用您組織所使用的應用程式,包括 LOB 應用程式。已註冊的裝置:如果裝置已註冊,請使用應用程式設定原則:
- 在Intune 系統管理中心,將公司入口網站應用程式新增為必要的應用程式,並新增為裝置授權應用程式。
- 建立應用程式設定原則,其中包含公司入口網站應用程式作為裝置授權應用程式。 如需更具體的資訊,請參閱設定公司入口網站應用程式以支援 iOS 和 iPadOS DEP 裝置。
- 將應用程式設定原則部署到與註冊設定檔相同的裝置群組。
- 當裝置使用 Intune 服務簽入時,它會接收您的設定檔,並安裝公司入口網站應用程式。
此選項:
- 包含正確的公司入口網站應用程式版本。
- 要求您建立註冊設定檔,並建立應用程式設定原則。 在您的應用程式設定原則中,將它設為必要的應用程式,讓您知道應用程式會部署到所有裝置。
- 變更現有的應用程式設定原則,即可自動更新公司入口網站應用程式。
在 Intune 系統管理中心中,建立註冊設定檔:
選擇 [ 使用使用者親和性 註冊], (將使用者與裝置) 建立關聯,或 (無使用者裝置或共用裝置) , 在沒有使用者親和性的情況下 註冊。
如果您選擇 [不使用使用者親和性註冊],則會自動使用 直接註冊。 請記住:
- 您使用的是現有 macOS 註冊設定檔中的設定。
- 使用者無法使用需要使用者的應用程式,包括公司入口網站應用程式。 在沒有使用者親和性的註冊上,不會使用、需要或支援公司入口網站應用程式。 請確定使用者不會從 Apple 應用程式市集安裝公司入口網站應用程式。
註冊設定檔準備就緒時,USB 會將裝置連線到 Mac,然後開啟 Apple Configurator 應用程式。 當應用程式開啟時,它會偵測 USB 連線的裝置,並部署您建立的 Intune 註冊設定檔。
如需此註冊選項及其必要條件的詳細資訊,請參閱 Apple Configurator 註冊。
Apple Configurator 使用者工作
工作取決於您在註冊設定檔中設定的選項。
使用使用者親和性 + 公司入口網站 應用程式註冊:
![在 Intune 系統管理中心和Microsoft Intune中,使用 Apple Configurator 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊],然後使用公司入口網站應用程式進行驗證。](media/deployment-guide-enrollment-ios-ipados/configurator-user-affinity-company-portal-app.png)
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) 。 一旦輸入,公司入口網站應用程式就會自動從應用程式市集安裝。 公司入口網站應用程式可能需要一些時間才能自動安裝。 - 開啟公司入口網站應用程式,並使用其組織認證 ()
user@contoso.com登入。 當使用者登入時,註冊就會開始。 註冊完成時,使用者可以安裝和使用組織所使用的應用程式,包括 LOB 應用程式。
使用者可能必須輸入詳細資訊。 如需更具體的步驟,請 參閱註冊您組織提供的 iOS 裝置。
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
使用使用者親和性註冊 + 設定助理 + 公司入口網站應用程式:
![在 Intune 系統管理中心和Microsoft Intune中,使用 Apple Configurator 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊]、使用設定助理進行驗證,然後安裝公司入口網站應用程式。](media/deployment-guide-enrollment-ios-ipados/configurator-user-affinity-setup-assistant-company-portal-app.png)
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者在) (
user@contoso.com輸入其組織認證。 此步驟會在 Intune 中註冊裝置。 - 設定助理會提示使用者提供資訊,包括 Apple ID (
user@iCloud.com或user@gmail.com) 。 - 公司入口網站應用程式會自動從應用程式市集安裝。 使用者開啟公司入口網站應用程式,並使用其組織認證 ()
user@contoso.com登入。 此步驟會以Microsoft Entra識別碼註冊裝置。 使用者可以安裝和使用組織所使用的應用程式,包括 LOB 應用程式。
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者在) (
使用使用者親和性註冊 + 設定助理 - 公司入口網站應用程式:
![在 Intune 系統管理中心和Microsoft Intune中,使用 Apple Configurator 註冊 iOS/iPadOS 裝置。選取 [使用使用者親和性註冊]、使用 [設定助理] 進行驗證,而不要安裝公司入口網站應用程式。](media/deployment-guide-enrollment-ios-ipados/configurator-user-affinity-setup-assistant-no-company-portal-app.png)
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者在) (
user@contoso.com輸入其組織認證。 此步驟會在 Intune 中註冊裝置。 - 設定助理會提示使用者提供資訊,包括 Apple ID (
user@iCloud.com或user@gmail.com) 。 此步驟會將 Intune 管理設定檔推送至裝置。 - 使用者安裝管理設定檔。 設定檔會向 Intune 服務簽入,並註冊裝置。 裝置未在Microsoft Entra識別碼中註冊。
- 當裝置開啟時,會執行 Apple Setup Assistant。 使用者在) (
無使用者親和性註冊:您使用直接註冊。 沒有動作。 請確定其不會從 Apple App Store 安裝公司入口網站應用程式。
![在 Intune 系統管理中心和Microsoft Intune中,使用 Apple Configurator 註冊 iOS/iPadOS 裝置。選取 [不使用使用者親和性註冊]。](media/deployment-guide-enrollment-ios-ipados/configurator-enroll-without-user-affinity.png)
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與使用者通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計畫。
BYOD:使用者和裝置註冊
這些 iOS/iPadOS 裝置是個人或 BYOD (自備裝置) 可存取組織電子郵件、應用程式和其他資料的裝置。 從 iOS 13 和更新版本開始,此註冊選項以使用者或目標裝置為目標。 不需要重設裝置。
當您建立註冊設定檔時,系統會要求您選擇 [具有公司入口網站的使用者註冊]、[具有公司入口網站的裝置註冊]、[帳戶驅動的使用者註冊],或 [根據使用者選擇決定]。
如需特定註冊步驟及其必要條件,請參閱 設定 iOS/iPadOS 使用者註冊 和 設定 iOS/iPadOS 裝置註冊。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 裝置為個人或 BYOD。 | ✔️ |
| 您想要協助保護裝置上的特定功能,例如個別應用程式 VPN。 | ✔️ |
| 您有新的或現有的裝置。 | ✔️ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✔️ |
| 裝置會與單一使用者相關聯。 | ✔️ |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 當裝置註冊時,MDM 提供者會安裝憑證和其他檔案。 必須移除這些檔案。 最快速的方式可能是取消註冊或將裝置重設為原廠。 如果您不想重設出廠預設值,請連絡 MDM 提供者。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ✔️ |
| 裝置是由組織或學校所擁有。 | ❌ 不建議。 組織擁有的裝置應使用本文中的 自動裝置註冊 (註冊,) 或本文中的 Apple Configurator () 。 |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ❌ 一般而言,無使用者或共用裝置是組織擁有的。 這些裝置應該使用本文中的 自動裝置註冊 (註冊,) 或本文中的 Apple Configurator () 。 |
使用者和裝置註冊系統管理員工作
此工作清單提供概觀。 如需更具體的資訊, 請參閱設定 iOS/iPadOS 和 iPadOS 使用者註冊。
請確定您的裝置 受到支援。
請確定 Apple MDM 推播憑證 已新增至 Intune,且為使用中狀態。 註冊 iOS/iPadOS 裝置需要此憑證。 如需詳細資訊,請 參閱取得 Apple MDM 推播憑證。
在 Intune 系統管理中心中,建立註冊設定檔。 當您建立註冊設定檔時,您有下列選項:
使用公司入口網站進行裝置註冊:此選項是個人裝置公司入口網站應用程式中的一般註冊。 裝置會受到管理,而不只是特定的應用程式或功能。 使用此選項,請考慮下列資訊:
- 您可以部署套用至整個裝置的憑證。
- 使用者必須安裝更新。 只有使用自動裝置註冊 (ADE) 註冊的裝置才能使用 MDM 原則或設定檔來接收更新。
- 使用者必須與裝置相關聯。 此使用者可以是 DEM) 帳戶 (裝置註冊管理員。
Web 型裝置註冊:從 iOS 15 和更新版本開始。 此選項與使用 公司入口網站 的裝置註冊一樣,但註冊會在 Web 版本的 Intune 公司入口網站上進行,因此不需要應用程式。 此外,此選項可讓沒有受控 Apple 識別碼的員工和學生註冊裝置並存取大量採購的應用程式。
根據使用者選擇來決定:在使用者註冊時提供選擇。 視選取專案而定,會使用 使用者註冊 或 裝置註冊 。
使用者註冊:從 iOS 13 和更新版本開始。 此選項會設定一組特定的功能和組織應用程式,例如密碼、個別應用程式 VPN、Wi-Fi 和 Siri。 如果您使用使用者註冊,並協助保護應用程式及其資料,則建議您也使用應用程式保護原則。
如需您可以和無法執行之動作的完整清單,請參閱 Apple 使用者註冊支援的 Intune 動作和選項。 如需特定使用者註冊步驟,請 參閱設定 iOS/iPadOS 使用者註冊。
注意事項
BYOD 可以變成組織擁有的裝置。 若要讓這些裝置成為公司,請參閱將裝置識別為公司擁有。
使用者註冊會被視為對終端使用者更友善。 但是,它可能無法提供系統管理員所需的功能集和安全性功能。 在某些情況下,使用者註冊可能不是最佳選項。 請考量下列案例:
使用者註冊會在裝置上建立工作分割區。 您在使用者註冊設定檔中設定的功能和安全性只存在於工作分割區中。 它們不存在於使用者磁碟分割中。 使用者無法將工作磁碟分割重設為原廠預設值。 系統管理員可以。 使用者可以將個人磁碟分割重設為原廠預設值。 系統管理員無法。
如果使用者主要使用 Microsoft 應用程式,或使用 以 Intune App SDK 建立的應用程式,則使用者應該從 Apple App Store 下載這些應用程式。 然後,使用應用程式保護原則來保護這些應用程式。 在此案例中,您不需要使用者註冊。
針對企業營運 (LOB) 應用程式,使用者註冊可能是一個選項,因為它會將這些應用程式部署到工作分割區。 應用程式管理 (MAM) 不支援 LOB 應用程式。 因此,如果您需要 LOB 應用程式,請使用使用者註冊。
使用使用者註冊註冊裝置時,您無法切換至裝置註冊。 透過使用者註冊,您無法將應用程式從 Unmanaged 移至受控。 使用者必須取消註冊使用者註冊,然後重新註冊裝置註冊。
如果您在套用使用者註冊設定檔之前安裝應用程式,則這些應用程式不會受到使用者註冊設定檔的保護或管理。
例如,使用者從 Apple App Store 下載 Outlook 應用程式。 應用程式會自動安裝到裝置上的使用者磁碟分割。 使用者為其個人電子郵件設定 Outlook。 當使用者設定其組織電子郵件時,會遭到條件式存取封鎖,並要求註冊。 他們會註冊,並部署使用者註冊設定檔。
由於 Outlook 應用程式是在使用者註冊設定檔之前安裝的,因此使用者註冊設定檔會失敗。 無法管理 Outlook 應用程式,因為它已在使用者磁碟分割中安裝和設定,而不是工作分割區。 使用者必須手動卸載 Outlook 應用程式。
卸載之後,使用者可以手動同步處理裝置,並可能重新套用使用者註冊設定檔。 或者,您可能必須建立應用程式設定原則來部署 Outlook,並使其成為必要的應用程式。 然後,部署應用程式保護原則來保護應用程式及其資料。
此選項是個人裝置的一般註冊。 裝置會受到管理,而不只是特定的應用程式或功能。 使用此選項,請考慮下列資訊:
將註冊設定檔指派給使用者群組。 請勿指派給裝置群組。
使用者和裝置註冊終端使用者工作
您的使用者必須執行下列步驟。 如需特定使用者體驗,請 參閱註冊裝置。
移至 Apple App Store,並安裝Intune 公司入口網站應用程式。
開啟公司入口網站應用程式,並使用其組織認證 ()
user@contoso.com登入。 登入之後,您的註冊設定檔會套用至裝置。使用者可能必須輸入詳細資訊。 如需更具體的步驟,請 參閱註冊裝置。
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與使用者通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計畫。
後續步驟
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: