部署指南:在部署中注册 iOS 和 iPadOS Microsoft Intune

可以在 Intune 中注册个人和组织拥有的设备。 注册后,这些设备将收到你创建的策略和配置文件。 注册 iOS/iPadOS 设备时,有以下选项可供选择:

本文提供有关要使用的 iOS/iPadOS 注册方法的建议, 并且概述了适用于每种注册类型的管理员和用户任务。

有关详细信息,请参阅注册 iOS/iPadOS 设备。 还有一个针对每个平台的不同注册选项的可视化指南:

各平台的 Intune 注册选项的可视化表示形式
下载 PDF 版本 | 下载 Visio 版本

提示

本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。

准备工作

有关概述(包括任何特定于 Intune 的先决条件),请参阅部署指南:在 Microsoft Intune 中注册设备

自动设备注册 (ADE)(受监督)

以前称为 Apple 设备注册计划 (DEP)。 在组织拥有的设备上使用。 此选项使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 来配置设置。 它能够自行注册大量设备,完全无需你操作设备。 这些设备是从 Apple 购买的,具有你预配置的设置,可以直接寄送给用户或学校。 在 Endpoint Manager 管理中心中创建注册配置文件,并将此配置文件推送到设备。

有关此注册类型的更多特定信息,请参阅:


功能 以下情况使用此注册选项
需要监督模式。 ✔️

监督模式可部署软件更新、限制功能、允许和阻止应用等。
设备归组织或学校所有。 ✔️
你有新设备。 ✔️
需要注册一些设备,或者注册大量设备(批量注册)。 ✔️
设备与一个用户关联。 ✔️
设备是“无用户的”,例如展台或专用设备。 ✔️
设备为个人设备或 BYOD。

不建议。 可以使用 MAM 管理 BYOD 或个人设备上的应用程序, (打开另一篇Microsoft文章) ,或者本文中的用户和设备注册 () 。
你有现有的设备。

现有设备应使用 Apple Configurator(在本文中)进行注册。
设备由另一个 MDM 提供商管理。

若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备是组织拥有的设备,建议在 Intune 中进行注册。
使用设备注册管理员 (DEM) 帐户。

不支持 DEM 帐户。

ADE 管理员任务

此任务列表提供了概述信息。 如需了解更具体的信息,请参阅 Apple Business Manager 注册Apple School Manager 注册

  • 请确保你的设备受支持

  • 需要访问 Apple Business Manager (ABM) 门户Apple School Manager (ASM) 门户

  • 请确保 Apple 令牌 (.p7m) 处于活动状态。 如需了解更具体的信息,请参阅获取 Apple ADE 令牌

  • 请确保 Apple MDM 推送证书已添加到 Intune,并且处于活动状态。 注册 iOS/iPadOS 设备需要此证书。 有关详细信息,请参阅获取 Apple MDM 推送证书

  • 确定用户将在其设备上进行身份验证的方式:公司门户应用、设置助理(旧版)或者使用新式身份验证的设置助理。 请在创建注册配置文件之前作出此决定。 如果使用公司门户应用或带新式验证的设置助理,则被视为新式验证

    • 如有以下情况,请选择公司门户应用:

      • 需要擦除设备。
      • 你想使用多重身份验证 (MFA)。
      • 你想在用户首次登录时提示其更新已过期的密码。
      • 你想在注册过程中提示用户重置其已过期的密码。
      • 你想在 Azure AD 中注册设备。 注册后,可以使用 Azure AD 提供的功能,如条件访问。
      • 你想在注册过程中自动安装公司门户应用。 如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用
      • 你想要锁定设备,直到安装公司门户应用为止。 安装后,用户使用其 Azure AD 组织帐户登录公司门户应用。 然后,设备会解锁,可供用户使用。
    • 如遇以下情况,请选择设置助理(旧版)

      • 需要擦除设备。

      • 你不想使用新式身份验证功能,如 MFA。

      • 你不想在 Azure AD 中注册设备。 设置助理(旧版)使用 Apple .p7m 令牌对用户进行身份验证。 如果你可以接受不在 Azure AD 中注册设备,则无需安装公司门户应用。 可继续使用设置助理(旧版)。

        如果要在 Azure AD 中注册设备,请安装公司门户应用。 创建注册配置文件并选择设置助理(旧版)时,可安装公司门户应用。 建议在注册过程中安装公司门户应用。

    • 如遇以下情况,请选择带新式验证的设置助理

      • 需要擦除设备。
      • 你想使用多重身份验证 (MFA)。
      • 你想在用户首次登录时提示其更新已过期的密码。
      • 你想在注册过程中提示用户重置其已过期的密码。
      • 你想在 Azure AD 中注册设备。 注册后,可以使用 Azure AD 提供的功能,如条件访问。
      • 你想在注册过程中自动安装公司门户应用。 如果你的公司使用 Volume Purchase Program (VPP),则无需用户的 Apple ID 即可在注册过程中自动安装公司门户应用
      • 你希望即使未安装公司门户应用,用户也可使用设备。

    注意

    为了对用户进行身份验证,Microsoft 建议使用公司门户应用或带新式验证的设置助理

    应该使用哪个选项? 这取决于:

    • 如果想要在安装公司门户应用之前使用设备,请使用带新式验证的设置助理

      在使用设置助理期间,用户必须输入其 Azure AD 组织凭据 (user@contoso.com)。 在他们输入凭据时,就开始注册并安装公司门户应用。 如果需要,用户还可输入其 Apple ID 来访问 Apple 专属功能,例如 Apple Pay。

      设置助理完成后,用户就可使用设备。 显示主屏幕时,表示已完成注册,并已建立用户关联。 设备未完全注册到 Azure AD,且在 Azure AD 的用户设备列表中显示为不合规。 设备在 Microsoft Endpoint Manager 管理中心内显示为合规。

      安装公司门户应用后(这需要一段时间),用户需打开公司门户应用,使用其 Azure AD 组织帐户 (user@contoso.com) 再次登录。 这是第二次登录,在此期间将评估所有条件访问策略,并完成 Azure AD 注册。 用户可安装和使用组织资源,包括 LOB 应用。 设备在 Azure AD 中显示为合规。

    • 如果不想在安装公司门户应用之前使用设备,请使用公司门户应用选项。 公司门户应用选项会锁定设备,直到安装公司门户应用为止。 安装完成时,公司门户应用会自动打开。 用户使用其 Azure AD 组织帐户 (user@contoso.com) 登录后即可使用设备。

  • 如果使用公司门户应用,请决定如何在设备上安装公司门户应用。 请在创建注册配置文件之前作出此决定。

    注意

    Microsoft 建议在使用公司门户应用进行身份验证时采用 Volume Purchase Program (VPP)。 这样可以提供更佳的最终用户体验。

    请勿从 App Store 在通过 ADE 注册的设备上直接安装公司门户应用。 改为使用以下选项安装公司门户应用:

    • VPP 令牌 + 注册新设备:如果你有 Volume Purchase Program (VPP),并且要注册新设备,则包括公司门户应用。 在 Endpoint Manager 管理中心创建注册配置文件时,请选择“使用 VPP 安装公司门户”。 无需其他步骤。

      此选项:

      • 包括正确的公司门户应用版本。
      • 无需创建其他策略即可将公司门户应用部署到设备。
      • 公司门户应用必须由你或你的用户手动更新。
    • 无 VPP 令牌 + 注册新设备:无管理员任务。 确保用户在设置助理中输入其 Apple ID。

      设置助理完成后,公司门户应用将尝试自动安装。 如果用户未输入其 Apple ID(user@iCloud.comuser@gmail.com),则系统会不断提示他们输入其 Apple ID。 用户必须输入其 Apple ID 才能在其设备上获取公司门户应用。 安装公司门户应用后,用户将其打开,然后输入其组织凭据 (user@contoso.com)。 用户进行身份验证时,可以安装和使用组织使用的应用,包括 LOB 应用。

    • 已注册的设备:如果设备已注册,无论你是否有 VPP,都使用应用配置策略:

      1. Endpoint Manager 管理中心,将公司门户应用添加为必需应用和设备授权应用。
      2. 创建应用配置策略,将公司门户应用包括为设备授权应用。 有关更多特定信息,请参阅配置公司门户应用以支持 iOS 和 iPadOS DEP 设备
      3. 将应用配置策略部署到与注册配置文件相同的设备组。
      4. 当设备向 Intune 服务签入时,它会收到你的配置文件,并安装公司门户应用。

      此选项:

      • 包括正确的公司门户应用版本。
      • 要求创建注册配置文件和应用配置策略。 在应用配置策略中,将其设为必需应用,这样你就知道该应用会部署到所有设备。
      • 可以通过更改现有应用配置策略来自动更新公司门户应用。
  • Endpoint Manager 管理中心创建一个注册配置文件:

    • 选择“注册时进行用户关联”(将用户关联到设备),或选择“注册时不进行用户关联”(“无用户”设备或共享设备)。
    • 选择用户进行身份验证的位置:公司门户应用、设置助理(旧版)或者带新式验证的设置助理(

    有关更多特定信息和建议,请参阅 Apple 的自动设备注册

ADE 最终用户任务

Endpoint Manager 管理中心创建注册配置文件时,选择将用户与设备关联(注册时进行用户关联),或使用共享设备(注册时不进行用户关联)。 具体步骤取决于配置注册配置文件的方式。 使用共享 iPad,激活后,将自动跳过所有“设置助理”窗格。

  • 注册时进行用户关联 + 公司门户应用

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用自动设备注册(ADE)注册 iOS/iPadOS 设备。选择使用用户关联注册,并使用公司门户应用进行身份验证。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。 输入后,将从注册配置文件自动安装公司门户应用。 公司门户应用可能需要一些时间才能自动安装。
    2. 用户打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 用户登录后,便开始注册。 注册完成后,用户可以安装和使用组织使用的应用,包括 LOB 应用。

    用户可能需要输入更多信息。 有关更具体的最终用户步骤,请查看注册组织提供的 iOS 设备

  • 注册时进行用户关联 + 设置助理(旧版)+ 公司门户应用

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用自动设备注册(ADE)注册 iOS/iPadOS 设备。选择使用用户关联注册、使用设置助理进行身份验证,并安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。

    2. 设置助理会提示用户输入信息。

    3. 公司门户应用会自动打开,并且应在展台样式模式下锁定设备。 公司门户应用可能需要一些时间才能打开。 用户使用其组织凭据 (user@contoso.com) 登录,然后设备就会在 Intune 中进行注册。

      此步骤在 Azure AD 中注册设备。 用户可以安装和使用组织使用的应用,包括 LOB 应用。

  • 注册时进行用户关联 + 设置助理(旧版)- 公司门户应用

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用自动设备注册(ADE)注册 iOS/iPadOS 设备。选择使用用户关联注册、使用设置助理进行身份验证,且不安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。
    2. 设置助理会提示用户输入信息,并在 Intune 中注册设备。 不在 Azure AD 中注册设备。
  • 注册时进行用户关联 + 带新式验证的设置助理

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用自动设备注册(ADE)注册 iOS/iPadOS 设备。选择使用用户关联注册,并使用设置助理进行身份验。公司门户应用会自动安装。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID (user@iCloud.com,或者输入 user@gmail.com) 和 Azure AD 组织凭据 (user@contoso.com)。

      用户输入其 Azure AD 凭据后,将开始注册。

    2. 设置助理会提示用户输入其他信息。 当主屏幕出现时,设置已完成。 设备已完全注册,且已建立用户关联。 用户可以使用他们的设备,并在设备上查看你的应用和策略。

      此时,设备未完全注册到 Azure AD,且在 Azure AD 中显示为不合规。 设备在 Microsoft Endpoint Manager 管理中心显示其合规性。

    3. 如果 使用 VPP 安装公司门户应用(推荐),则公司门户应用会自动安装。 用户打开公司门户应用,并再次使用工作或学校帐户(user@contoso.com)登录。 他们在公司门户应用中完成 Azure AD 注册,这会将设备完全注册到 Azure AD。 然后,用户可以访问受条件访问策略保护的企业资源,且设备在 Azure AD 中显示为合规。

    4. 如果不 使用 VPP 安装公司门户应用,且想要使用公司门户应用,则:

      1. 用户使用其 Apple ID (user@iCloud.comuser@gmail.com) 登录到 Apple 应用商店。 当他们登录时,公司门户应用会自动安装。

        此额外的登录步骤会减慢注册速度,尤其是在用户未立即登录的情况下。

        如果用户未登录到应用商店,则公司门户应用不会安装。 如果未安装该应用,则用户无法在 Azure AD 中注册设备。 由于设备尚未完成注册,因此其在 Azure AD 中显示为不合规。 此时任何资源都不可用,具体取决于条件访问。

      2. 用户打开公司门户应用,并再次使用工作或学校帐户(user@contoso.com)登录。 他们在公司门户应用中完成 Azure AD 注册,这会将设备完全注册到 Azure AD。 在下一次签入时,用户可以访问受条件访问策略保护的企业资源。

  • 注册时不进行用户关联:无操作。 确保用户不从 Apple App Store 安装公司门户应用。

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用自动设备注册(ADE)注册 iOS/iPadOS 设备。选择不使用用户关联进行注册。

用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅规划指南 :任务 5:创建推出计划

Apple 配置器注册

在组织拥有的设备上使用,包括直接许可登记表。 此选项要求使用 USB 端口通过物理方式将 iOS/iPadOS 设备连接到 Mac 计算机。

有关此注册类型的更多特定信息,请参阅 Apple Configurator 注册


功能 以下情况使用此注册选项
需要有线连接,或者遇到网络问题。 ✔️
你的组织不希望管理员使用 ABM 或 ASM 门户,或者不想设置所有需求。 ✔️

不考虑使用 ABM 或 ASM 门户,是为了缩减管理员的控制权
国家/地区不支持 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 。 ✔️

如果你的国家/地区支持 ABS 或 ASM,则应使用本文) 中的 自动设备注册 (注册设备。
设备归组织或学校所有。 ✔️
你有新设备或现有设备。 ✔️
需要注册一些设备,或者注册大量设备(批量注册)。 ✔️

如果拥有大量设备,则此方法将花费一些时间。
设备与一个用户关联。 ✔️
设备是“无用户的”,例如展台或专用设备。 ✔️
设备为个人设备或 BYOD。

不建议。 可以使用 MAM 管理 BYOD 或个人设备上的应用程序, (打开另一篇Microsoft文章) ,或者本文中的用户和设备注册 () 。
设备由另一个 MDM 提供商管理。

若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备是组织拥有的设备,建议在 Intune 中进行注册。
使用设备注册管理员 (DEM) 帐户。

不支持 DEM 帐户。

Apple Configurator 管理员任务

此任务列表提供了概述信息。 有关更多特定信息,请参阅 Apple Configurator 注册

  • 需要通过 USB 端口访问 Mac 计算机。

  • 请确保你的设备受支持

  • 请确保 Apple MDM 推送证书已添加到 Intune,并且处于活动状态。 注册 iOS/iPadOS 设备需要此证书。 有关详细信息,请参阅获取 Apple MDM Push Certificate

  • 确定用户在其设备上如何进行身份验证:公司门户应用或设置助理。 请在创建注册配置文件之前作出此决定。 使用公司门户应用被视为一种新式身份验证方式。 建议使用公司门户应用。

    • 如有以下情况,请选择公司门户应用

      • 你想使用多重身份验证 (MFA)。
      • 你想在用户首次登录时提示其更新已过期的密码。
      • 你想在注册过程中提示用户重置其已过期的密码。
      • 你想在 Azure AD 中注册设备。 注册后,可以使用 Azure AD 提供的功能,如条件访问。
      • 你想在注册过程中自动安装公司门户应用。 如果你的公司使用 Volume Purchase Program (VPP),则在注册过程中自动安装公司门户应用
    • 如有以下情况,请选择设置助理

      • 你不想使用新式身份验证功能,如 MFA。

      • 需要擦除设备。

      • 要导入序列号。

      • 你不想在 Azure AD 中注册设备。 设置助理使用你复制到设备的导出注册配置文件对用户进行身份验证。 如果你可以接受不在 Azure AD 中注册设备,则无需安装公司门户应用。 可继续使用设置助理。

        如果要在 Azure AD 中注册设备,请安装公司门户应用。 创建注册配置文件并选择“设置助理”时,可以安装公司门户应用。 建议在注册过程中安装公司门户应用

  • 如果使用公司门户应用,则必须使用应用配置策略在设备上安装公司门户应用。 建议在创建注册配置文件之前创建此策略。

    请勿从 App Store 在通过 Apple Configurator 注册的设备上直接安装公司门户应用。 改为使用以下选项安装公司门户应用:

    • 注册新设备:无管理员任务。 确保用户在设置助理中输入其 Apple ID。

      设置助理完成后,公司门户应用将尝试自动安装。 如果用户未输入其 Apple ID(user@iCloud.comuser@gmail.com),则系统会不断提示他们输入其 Apple ID。 用户必须输入其 Apple ID 才能在其设备上获取公司门户应用。 安装公司门户应用后,用户将其打开,然后输入其组织凭据 (user@contoso.com)。 用户进行身份验证时,可以安装和使用组织使用的应用,包括 LOB 应用。

    • 已注册设备:如果设备已注册,则使用应用配置策略:

      1. Endpoint Manager 管理中心,将公司门户应用添加为必需应用和设备授权应用。
      2. 创建应用配置策略,将公司门户应用包括为设备授权应用。 有关更多特定信息,请参阅配置公司门户应用以支持 iOS 和 iPadOS DEP 设备
      3. 将应用配置策略部署到与注册配置文件相同的设备组。
      4. 当设备向 Intune 服务签入时,它会收到你的配置文件,并安装公司门户应用。

      此选项:

      • 包括正确的公司门户应用版本。
      • 要求创建注册配置文件和应用配置策略。 在应用配置策略中,将其设为必需应用,这样你就知道该应用会部署到所有设备。
      • 可以通过更改现有应用配置策略来自动更新公司门户应用。
  • Endpoint Manager 管理中心创建一个注册配置文件:

    • 选择“注册时进行用户关联”(将用户关联到设备),或选择“注册时不进行用户关联”(“无用户”设备或共享设备)

    • 如果选择“注册时不进行用户关联”,则自动使用“直接许可登记表”。 请注意:

      • 正在使用现有 macOS 注册配置文件中的设置。
      • 用户不能使用需要用户的应用,包括公司门户应用。 在不进行用户关联的情况下,不使用、不需要或不支持公司门户应用。 确保用户不从 Apple App Store 安装公司门户应用。
  • 完成注册配置文件后,通过 USB 接口将设备连接到 Mac,然后打开 Apple Configurator 应用。 打开该应用时,它会检测通过 USB 连接的设备,并部署你创建的 Intune 注册配置文件。

有关此注册选项的详细信息及其先决条件,请参阅 Apple Configurator 注册

Apple Configurator 最终用户任务

任务取决于在注册配置文件中配置的选项。

  • 注册时进行用户关联 + 公司门户应用

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择使用用户关联注册,并使用公司门户应用进行身份验证。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(user@iCloud.comuser@gmail.com)。 输入后,将从 App Store 自动安装公司门户应用。 公司门户应用可能需要一些时间才能自动安装。
    2. 打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 用户登录后,便开始注册。 注册完成后,用户可以安装和使用组织使用的应用,包括 LOB 应用。

    用户可能需要输入更多信息。 有关更具体的步骤,请参阅注册组织提供的 iOS 设备

  • 注册时进行用户关联 + 设置助理 + 公司门户应用

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择使用用户关联注册、使用设置助理进行身份验证,并安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其组织凭据 (user@contoso.com)。 此步骤在 Intune 中注册设备。
    2. 设置助理会提示用户输入信息,包括 Apple ID(user@iCloud.comuser@gmail.com)。
    3. 将从 App Store 自动安装公司门户应用。 用户打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 此步骤在 Azure AD 中注册设备。 用户可以安装和使用组织使用的应用,包括 LOB 应用。
  • 注册时进行用户关联 + 设置助理 - 公司门户应用

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择使用用户关联注册、使用设置助理进行身份验证,且不安装公司门户应用。

    1. 启动设备后,Apple 设置助理开始运行。 用户输入其组织凭据 (user@contoso.com)。 此步骤在 Intune 中注册设备。
    2. 设置助理会提示用户输入信息,包括 Apple ID(user@iCloud.comuser@gmail.com)。 此步骤会将 Intune 管理配置文件推送到设备。
    3. 用户安装管理配置文件。 配置文件会向 Intune 服务签入并注册设备。 不在 Azure AD 中注册设备。
  • 注册时不进行用户关联:你正在使用直接注册。 无操作。 确保用户不从 Apple App Store 安装公司门户应用。

    在 Endpoint Manager 管理中心和 Microsoft Intune 中,使用 Apple Configurator 注册 iOS/iPadOS 设备。选择不使用用户关联进行注册。

用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅规划指南 :任务 5:创建推出计划

BYOD:用户和设备注册

这些 iOS/iPadOS 设备是可访问组织电子邮件、应用和其他数据的个人设备或 BYOD(自带设备办公)设备。 在从 iOS 13 开始的版本中,此注册选项可以用户或设备为目标。 不需要重置设备。

创建注册配置文件时,系统会要求你选择“用户注册”、“设备注册”或“基于用户选择进行确定”

有关特定的注册步骤及其先决条件,请参阅设置 iOS/iPadOS 用户或设备注册


功能 以下情况使用此注册选项
设备为个人设备或 BYOD。 ✔️
你想帮助保护设备上的特定功能,例如每应用 VPN。 ✔️
你有新设备或现有设备。 ✔️
需要注册一些设备,或者注册大量设备(批量注册)。 ✔️
设备与一个用户关联。 ✔️
设备由另一个 MDM 提供商管理。

注册设备时,MDM 提供商将安装证书和其他文件。 必须删除这些文件。 最快的方法可能是取消注册或恢复设备出厂设置。 如果不想恢复出厂设置,请与 MDM 提供商联系。
使用设备注册管理员 (DEM) 帐户。 ✔️
设备归组织或学校所有。

不建议。 组织自有设备应使用自动设备注册(在本文中)或 Apple Configurator(在本文中)进行注册。
设备是“无用户的”,例如展台或专用设备。

通常,“无用户”设备或共享设备是组织拥有的设备。 这些设备应使用自动设备注册(在本文中)或 Apple Configurator(在本文中)进行注册。

用户和设备注册管理员任务

此任务列表提供了概述信息。 有关更具体的信息,请参阅设置 iOS/iPadOS 和 iPadOS 用户注册

  • 请确保你的设备受支持

  • 请确保 Apple MDM 推送证书已添加到 Intune,并且处于活动状态。 注册 iOS/iPadOS 设备需要此证书。 有关详细信息,请参阅获取 Apple MDM Push Certificate

  • Endpoint Manager 管理中心创建一个注册配置文件。 创建注册配置文件时,有下列选项:

    • 设备注册:此选项是用于个人设备的典型注册方式。 受管理的是设备,而不仅仅是特定的应用或功能。 使用此选项,请考虑以下信息:

      • 可以部署适用于整个设备的证书。
      • 用户必须安装更新。 只有通过自动设备注册 (ADE) 进行注册的设备才能通过 MDM 策略或配置文件接收更新。
      • 用户必须与设备关联。 此用户可以是设备注册管理员 (DEM) 帐户。
    • 基于用户选择进行确定:在最终用户注册时为他们提供选择。 根据用户的选择,使用“用户注册”或“设备注册”。

    • 用户注册:从 iOS 13 及更高版本开始。 此选项可配置一组特定的功能和组织应用,例如密码、每应用 VPN、Wi-Fi 和 Siri。 如果使用用户注册并帮助保护应用及其数据,建议同时使用应用保护策略。

      有关可执行和不可执行的操作的完整列表,请参阅 Apple 用户注册支持的 Intune 操作和选项。 有关特定的用户注册步骤,请参阅设置 iOS/iPadOS 用户注册

      注意

      可将 BYOD 设备转变为组织拥有的设备。 若要将这类设备转变为公司拥有的设备,请参阅将设备标识为公司拥有

      用户注册被视为对最终用户更友好。 但它可能无法提供管理员所需的功能集和安全功能。 在某些情况下,用户注册可能不是最佳选择。 请考虑以下方案:

      • 用户注册会在设备上创建工作分区。 在用户注册配置文件中配置的功能和安全性仅存在于工作分区中, 而不存在于用户分区中。 用户无法将工作分区恢复出厂设置, 但管理员可以。 用户可以将个人分区恢复出厂设置, 但管理员不能。

      • 如果用户主要使用 Microsoft 应用,或使用通过 Intune App SDK 创建的应用,则用户应从 Apple App Store 下载这些应用。 然后,使用应用保护策略来保护这些应用。 在这种情况下,不需要用户注册。

      • 对于业务线 (LOB) 应用,可以选择用户注册,因为这种方法会将这些应用部署到工作分区。 应用管理 (MAM) 不支持 LOB 应用。 因此,如果需要 LOB 应用,请使用“用户注册”。

      • 使用用户注册来注册设备后,无法切换到设备注册。 使用用户注册,无法将应用从非托管应用转变为托管应用。 用户必须从用户注册中取消注册,然后重新注册到设备注册。

      • 如果在应用用户注册配置文件之前安装应用,那么这些应用不受用户注册配置文件保护或管理。

        例如,用户从 Apple App Store 下载 Outlook 应用。 此应用自动安装到设备上的用户分区。 用户将 Outlook 配置用于其个人电子邮件。 当用户配置其组织电子邮件时,系统会阻止他们进行条件访问,并要求他们进行注册。 用户注册并部署用户注册配置文件。

        由于 Outlook 应用是在用户注册配置文件之前安装的,用户注册配置文件会部署失败。 无法管理 Outlook 应用,因为它是在用户分区(而不是工作分区)中安装和配置的。 用户必须手动卸载 Outlook 应用。

        卸载后,用户可以手动同步设备,并且可以重新应用用户注册配置文件。 或者,可能需要创建应用配置策略来部署 Outlook,并将其设置为必需应用。 然后,部署应用保护策略以保护应用及其数据。

  • 请将注册配置文件分配给用户组, 而不要将其分配给设备组。

用户和设备注册最终用户任务

用户必须执行以下步骤。 有关特定的用户体验,请参阅注册设备

  1. 转到 Apple App Store,然后安装 Intune 公司门户应用

  2. 打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 登录后,注册配置文件将应用到相应设备。

    用户可能需要输入更多信息。 有关更多特定步骤,请参阅注册设备

用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅规划指南 :任务 5:创建推出计划

提示

下面提供了一个分步指南短视频,可帮助你的用户在 Intune 中注册其设备:

注册 iOS/iPadOS 设备

后续步骤