Microsoft Intune 中的 Apple 设备注册概述

Apple 设备注册 允许员工和学生为工作或学校注册新的和现有的个人设备。 它在 Microsoft Intune 管理中心为你解锁基本的 iOS/iPadOS 管理功能,同时保护员工和学生的个人数据。 本文概述了 Microsoft Intune 支持的 Apple 设备注册特性和功能。

基于应用或 Web 的注册

设备注册支持基于应用的注册体验和基于 Web 的注册体验。 在管理中心,设备注册选项包括:

  • 使用公司门户进行设备注册
  • 基于 Web 的设备注册

在管理中心中创建注册配置文件,以选择和配置注册类型。 转到 “设备>按平台>iOS/iPadOS>设备载入>注册” ,然后选择“ 注册类型”。

提示

我们建议为运行 iOS/iPadOS 15 及更高版本的设备启用基于 Web 的注册,因为它不需要员工和学生安装公司门户应用。 注册后功能与基于应用的注册相同。

基于 Web 的注册利用与 Apple 单一登录 (SSO) 扩展进行实时 (JIT) 注册,以方便员工的工作应用中Microsoft Entra 注册,并减少他们必须进行身份验证的次数。 若要在注册中启用 JIT 注册, 请使用 SSO 应用扩展策略创建设备配置文件。 无需将 JIT 注册与基于 Web 的注册配合使用,但我们建议使用它来更快、更轻松地为员工和学生提供注册体验。

下表提供了有关应用和基于 Web 的注册的详细信息。

规范 基于应用的注册 基于 Web 的注册
支持的版本 iOS/iPadOS 14 及更高版本 iOS/iPadOS 15 及更高版本
BYOD 和个人设备 ✔️ ✔️
与单个用户关联的设备 ✔️ ✔️
需要设备重置
由设备用户发起的注册 ✔️ ✔️
监督
实时注册 ✔️
必需应用 适用于 iOS 的 Intune 公司门户应用
Microsoft Authenticator
Microsoft Authenticator
注册位置 基于应用的注册在公司门户应用、Safari 和设备设置应用中进行。 基于 Web 的注册在 Safari 和设备设置应用中进行。

支持的设置

Microsoft Intune 支持通过 Apple 设备注册注册的设备的设备管理选项的子集。 如果将预先存在的配置文件应用于设备,则只有 Apple 设备注册支持的设置才会生效。

用户体验

员工和学生可以在 Intune 公司门户应用或公司门户网站上访问其个人设备的管理选项。 支持的操作包括:

  • 重命名
  • 删除
  • 远程锁定
  • 检查状态

注意

可供设备用户使用的 重命名 操作会更改公司门户中的显示名称。 它不会在 Intune 管理中心Microsoft重命名设备。

有关员工和学生如何在 Web 版本中访问这些操作的详细信息,请参阅 使用 Intune 公司门户网站

证书

此注册类型支持自动证书管理环境 (ACME) 协议。 新设备注册时,Intune 中的管理配置文件会收到 ACME 证书。 与 SCEP 协议相比,ACME 协议通过可靠的验证机制和自动化流程提供更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。

已注册的设备不会获取 ACME 证书,除非它们重新注册到 Microsoft Intune。 运行:

  • iOS 16.0 或更高版本

  • iPadOS 16.1 或更高版本

已知问题和限制

使用 Apple 设备注册进行 Intune 注册具有以下已知问题和限制。

  • 由于 Apple 限制,通过基于 Web 的设备注册的设备用户必须在 Safari 中下载管理配置文件。

  • 与公司门户注册一样,管理配置文件下载后,用户有有限的时间来转到“设置”应用并安装配置文件。 如果等待时间过长,必须再次下载管理配置文件才能继续。

  • 如果设备用户尝试在新注册的设备上登录,而Microsoft Authenticator 仍在尝试部署,则他们可能无法访问工作应用。 在 Authenticator 赶上 Intune 服务时,用户应等待几分钟,然后再次尝试登录到其工作应用。

  • 无需 JIT 注册即可使用基于 Web 的设备注册。 建议使用 Web 版本的公司门户(而不是适用于 iOS 的公司门户)将应用部署到设备。 如果计划使用公司门户应用进行应用部署,则必须在 Web 注册后将 MS Authenticator 和 SSO 扩展策略发送到设备。

  • 基于 Web 的注册和 JIT 注册存在一个已知问题,导致公司门户应用无法识别已注册的设备。 当用户尝试在没有 SSO 扩展策略的设备上登录到适用于 iOS 的公司门户时,公司门户无法确定设备是否已注册。 我们正在积极解决此问题。 若要避免此问题,建议将 SSO 扩展策略部署到注册设备。 或者,作为临时解决方法,可以为 Web 版本的公司门户部署 Web 剪辑,如 Web 注册的最佳做法中所述。

后续步骤

选择要用于注册设备的用户注册方法,然后创建注册配置文件。 有关如何在 Microsoft Intune 管理中心中启用基于 Web 的注册的详细信息,请参阅 设置基于 Web 的注册

有关 Apple 设备注册特性和功能的更多详细信息,请参阅 Apple 支持网站上的 设备注册和 MDM