为共享设备模式下的设备设置注册
适用于 iOS/iPadOS
为 处于共享设备模式的设备设置自动设备注册。 共享设备模式 是Microsoft Entra ID 的一项功能,它使一线员工能够全天安全地共享单个设备,并根据需要登录和注销。 此体验利用 Microsoft Enterprise SSO 插件 来限制员工在会话期间必须登录的次数。
通过 Apple Business Manager 或 Apple School Manager 购买的公司自有设备可以通过自动设备注册在 Intune 中注册。 Microsoft Intune 支持对共享设备模式下的设备进行零接触预配,这意味着,只需与一线工作人员交互最少,即可在 Intune 中设置和注册设备。
在本文中,你将:
- 创建 Apple 注册策略
- 为自动分组创建动态Microsoft Entra 组
- 创建分配筛选器以快速预配
- 为单一登录创建设备配置策略 (SSO) 应用扩展
- (VPP 版本) 分配Microsoft Authenticator 应用
先决条件
在 Microsoft Intune 中创建注册策略之前:
- 完成 Apple 自动设备注册的所有先决条件。
- 有关自动设备注册的最佳做法和建议,请阅读 “开始之前 ”。
步骤 1:创建 Apple 注册策略
在 Microsoft Intune 中为在共享设备模式下注册的设备创建 Apple 自动设备注册策略。 包括以下配置:
- 用户相关性:使用 Microsoft Entra ID 共享模式注册
- 锁定的注册:是
- 应用设备名称模板:是 (可选)
- 设备名称模板 (可选) :{{DEVICETYPE}}-{{SERIAL}}
- 切换所有 (可选) :隐藏
虽然是可选的,但我们建议使用建议的格式应用设备名称模板。 还可以隐藏所有或部分设置助理屏幕,以加快预配和用户加入速度。 配置完注册配置文件的其余部分后,将其分配给设备。
有关如何创建注册策略的详细信息,请参阅 创建 Apple 注册配置文件。
步骤 2:创建动态Microsoft Entra 组
使用 属性创建动态Microsoft Entra 组, enrollmentProfileName 以自动对使用特定注册策略进行注册的设备分组。 在这种情况下,我们希望对处于共享设备模式且使用步骤 1 中创建的策略注册的设备进行分组。 在动态组策略中包括以下配置:
- 组类型:安全性
- 成员身份类型: 动态设备
- 使用以下规则添加动态查询:
- 属性:enrollmentProfileName
- 运算符:等于
- 值:输入为共享设备模式下的设备创建的注册策略的名称。
有关如何在 Entra ID 中为共享设备创建动态组 Microsoft的详细信息,请参阅 创建组成员身份规则。
步骤 3:创建分配筛选器
创建分配筛选器以快速定位分配给注册策略的设备。 添加具有以下参数的规则:
- 属性:enrollmentProfileName
- 运算符:等于
- 值:输入在共享设备模式下为设备创建的注册配置文件的名称。
有关如何创建分配筛选器规则的详细信息,请参阅 创建筛选器。
步骤 4:创建设备配置策略
为共享设备模式配置单一登录 (SSO) 应用扩展策略。 创建设备配置策略并包含以下配置:
- 配置文件类型:模板
- 模板名称:设备功能
- 展开 “单一登录应用扩展”,然后配置:
- SSO 应用扩展类型:Microsoft Entra ID
- 启用共享设备模式:是
- 键:device_registration
- 类型:字符串
- 值:{{DEVICEREGISTRATION}}
可以配置策略的其余部分以满足组织的需求。 配置完策略后,将其分配给 “所有设备” ,然后添加在 步骤 3 中创建的分配筛选器。
有关创建 SSO 应用扩展策略的详细信息,请参阅:
步骤 5:分配Microsoft Authenticator 应用
将Microsoft Authenticator 应用分配给目标设备。 根据需要将应用分配给“所有设备”。 然后添加在 步骤 3 中创建的分配筛选器。 您必须通过 Apple 批量购买计划购买了 Microsoft Authenticator 应用。
有关分配批量购买的应用的详细信息,请参阅 分配批量购买的应用。
步骤 6:分发设备
在没有用户相关性的情况下注册的共享设备需要与一线工作人员进行最少的用户交互。 收到设备后,一线工作人员需要打开Microsoft Authenticator 应用,以确保设备处于共享设备模式。
用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅 规划指南:步骤 5 - 创建推出计划。