Intune 中自动设备注册的身份验证方法

  • 项目

适用于 iOS/iPadOS

本文介绍通过自动设备注册在 Intune 中注册的 iOS/iPadOS 设备可用的身份验证方法。 可用的身份验证方法包括:

  • Intune 公司门户应用
  • 具有新式身份验证的设置助手
  • 实时 (JIT) 使用新式身份验证注册设置助手
  • 设置助理 (旧版)

所有方法都可用于具有用户相关性的公司拥有的设备,并通过 Apple Business Manager 或 Apple School Manager 购买。

选项 1:Intune 公司门户应用

如果想要:请使用 Intune 公司门户 应用作为身份验证方法:

  • 使用多重身份验证 (MFA) 。
  • 提示用户在首次登录时更改其密码。
  • 提示用户在注册期间重置过期的密码。
  • 在 Microsoft Entra ID 中注册设备,并使用Microsoft Entra ID提供的功能,例如条件访问。
  • 在注册期间自动安装 公司门户 应用。 如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用。
  • 你想要锁定设备,直到安装公司门户应用为止。

警告

如果设备用户以 帐户驱动的 Apple 用户注册配置文件类型为目标,则 Intune 将阻止使用此身份验证方法的注册。 此行为在意料之中。 用户收到一条错误消息,指出其帐户不支持通过公司门户应用注册,并且他们需要通过公司门户网站注册。 若要确保通过自动设备注册成功注册,请在使用帐户驱动的 Apple 用户注册配置文件类型时,使用 选项 2:具有新式身份验证的设置助手 作为身份验证方法。

选项 2:使用新式身份验证的设置助手

此选项提供与Intune 公司门户身份验证相同的安全性,但不同,因为它允许设备用户访问设备的各个部分,即使尚未安装公司门户。 在需要以下情况下使用此选项进行身份验证:

  • 擦除设备。
  • 使用多重身份验证 (MFA) 。
  • 提示用户在首次登录时更改其密码。
  • 提示用户在注册期间重置过期的密码。
  • 在 Microsoft Entra ID 中注册设备,并使用Microsoft Entra ID提供的功能,例如条件访问。
  • 在注册期间自动安装 公司门户 应用。 如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用。
  • 即使未安装 公司门户 应用,也允许用户使用设备。

运行 iOS/iPadOS 13.0 及更高版本的设备支持具有新式身份验证的设置助手。 分配有此类配置文件的较旧 iOS/iPadOS 设备将回退到 设置助理 (旧版) 身份验证。

自动安装公司门户应用

如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用。 若要在注册配置文件中启用自动安装,请为“使用 VPP 安装公司门户”选择“”。 建议使用此选项。

如果不使用 VPP 选项,设备用户必须在设置助理期间或 Intune 尝试安装公司门户时输入其 Apple ID。

在这两种情况下,公司门户安装选项对设备用户隐藏,并且公司门户成为其设备上的必需应用。 当用户到达主屏幕时,Intune 会自动将正确的应用配置策略应用于设备。

警告

使用具有新式身份验证的设置助理完成注册后,请不要向用于 iOS/iPadOS 设备的公司门户发送单独的应用配置策略。 这样做将导致错误。

多重身份验证

如果在注册时或在公司门户登录期间应用了要求它的条件访问策略,则需要多重身份验证 (MFA) 。 但是,根据目标条件访问策略中的Microsoft Entra设置,MFA 是可选的。

现在,如果使用第三方 MFA 提供程序在注册过程中显示 MFA 屏幕,则 MFA 不适用于使用新式身份验证的安装助手。 在注册期间,只有Microsoft Entra多重身份验证屏幕有效。

需要公司门户操作

浏览设置助理屏幕后,设备用户将登陆主页。 此时,已建立其用户相关性。 但是,在用户使用其Microsoft Entra凭据登录到公司门户并选择“开始”之前,设备会:

  • 不会完全注册到 Microsoft Entra ID。
  • 不会在Microsoft Entra ID的用户设备列表中显示。
  • 不能访问受条件访问保护的资源。
  • 不会接受设备合规性评估。
  • 从其他应用重定向到公司门户(如果用户尝试打开受条件访问保护的任何托管应用)。

选项 3:使用新式身份验证对设置助理进行实时注册

此选项与具有新式身份验证的设置助手相同,只不过Microsoft Entra注册或符合性不需要公司门户。 相反,Microsoft Entra注册和合规性检查完全集成到配置了 Apple 单一登录 (SSO) 应用扩展的指定 Microsoft 或非 Microsoft 应用中。 该扩展可减少身份验证提示,并跨整个设备建立 SSO。 JIT 注册会提示用户进行身份验证两次:

  • 一种身份验证处理注册和用户设备相关性,并在设备用户打开其设备并登录到设置助理时发生。
  • 另一个身份验证处理Microsoft Entra注册,并在用户登录到指定应用时发生。 合规性检查也在此应用中完成。

注意

如果你的组织使用 Microsoft Defender for Endpoint,为了使 JIT 注册和合规性修正按预期工作,请确保Microsoft Defender for Endpoint应用不是用户打开的第一个应用。

设备用户到达主屏幕后,可以登录到配置了 SSO 扩展的任何工作或学校应用,以完成Microsoft Entra注册和合规性检查。 SSO 将用户登录到属于 SSO 扩展策略的所有应用。 此时,他们还可以手动登录到任何未配置为使用 SSO 扩展的应用。

若要使用自动设备注册设置 JIT 注册,请执行以下操作:

  1. 创建设备配置策略,并在 “单一登录应用扩展 ”类别下配置设置。 有关步骤,请参阅 设置实时注册

  2. 创建 Apple 注册配置文件 ,并选择 “使用新式身份验证的设置助理 ”作为身份验证方法。 Intune 中必须存在 Apple Business Manager 或 Apple School Manager 的活动自动设备注册令牌才能完成此步骤。

  3. 访问注册配置文件中的 “分配” 页时,将配置文件分配给从 Apple Business Manager 和 Apple School Manager 同步的设备。 分配配置文件后,员工和学生可以在其设备上完成设置和身份验证。

    注意

    公司门户仍作为所需应用发送到设备,即使Microsoft Entra注册或符合性不需要它。 如果设备用户在应用中遇到问题,可以使用 公司门户 应用来收集和上传日志

成功身份验证的示例

以下事件序列描述了使用新式身份验证的 JIT 注册设置助手成功身份验证的示例。 根据自动化设备注册配置,组织的体验可能会有所不同。

  1. 设备用户打开设备。

  2. 设置助手开始。 设备用户在设置助理中使用其Microsoft Entra凭据进行身份验证。

  3. 如果条件访问策略中要求,设备用户完成多重身份验证。

  4. 设备在 Intune 中完成注册并建立用户设备相关性。

  5. 设备用户进入主屏幕,打开 Microsoft Teams 或其他 Office 应用,并使用其工作帐户登录。 如果设备满足所有合规性要求,设备用户将有权立即访问其邮件和日历。

    注意

    在Microsoft Entra注册期间,设备用户可能会在 Intune 完成合规性检查时看到一个简短的微调器。 这是正常现象。

  6. SSO 扩展在所有其他目标应用和所有 Microsoft 应用中建立单一登录。

  7. 设备已注册Microsoft Entra ID且合规。 可以在管理中心查看设备的状态,并Microsoft Entra ID。 设备用户可以在 Intune 公司门户 中查看状态,并使用公司门户进行合规性、应用清单、设备同步和日志共享。

  8. 设备用户打开 Teams 并自动登录。

选项 4:设置助手 (旧)

如果希望用户体验 Apple 产品的典型开箱即用体验,请使用旧版设置助手。 当设备在 Intune 中注册时,此选项将安装标准预配置设置。 在以下情况下使用此选项进行身份验证:

  • 你想要擦除设备。
  • 你不希望使用多重身份验证等新式身份验证功能。
  • 你不想在 Microsoft Entra ID 中注册设备。 设置助理 (旧版) 使用 Apple .p7m 令牌对用户进行身份验证。

如果使用的是 Active Directory 联合身份验证服务,且使用设置助理进行身份验证,则需要 WS-Trust 1.3 用户名/混合终结点。 有关详细信息,请参阅我们的Windows PowerShell参考指南中的 Get-AdfsEndpoint

后续步骤

现在,你已知道正在使用哪种身份验证方法, 请创建一个 Apple 注册配置文件 ,并在出现提示时选择身份验证方法。 Intune 中必须存在 Apple Business Manager 或 Apple School Manager 的活动自动设备注册令牌才能完成此步骤。