操作实例：使用 iOS 设备加入工作区

重要

此方法仅适用于完全的本地客户。 混合或仅限云的客户不能使用此方法注册其 iOS 设备。 当本地客户决定迁移到云时，此方法不兼容。 必须注销设备并将其注册到云中。

本主题在 iOS 设备上演示“工作区加入”。 你必须先完成为 Windows Server 2012 R2 中的 AD FS 设置实验室环境部分中的步骤，然后才能尝试执行此演练。 你可以使用该设备来访问你在：使用 Windows 设备加入工作区中访问的同一公司 Web 应用程序。

使用“工作区加入”加入 iOS 设备

重要

在配置本地 DRS 时，iOS 设备必须信任在 Step 2: Configure the federation server (ADFS1) with Device Registration Service中用于配置 Active Directory 联合身份验证服务 (AD FS) 的安全套接字层 (SSL) 证书，才能成功执行“工作区加入”。

• 如果 AD FS SSL 证书由测试证书颁发机构 (CA) 颁发，则必须在 iOS 设备上安装证书颁发机构证书。
• 如果你的证书颁发机构证书已发布在网站上，可以从你的 iOS 设备浏览到该网站并安装该证书。

在此演示中，你将设备加入到工作区。

将 iOS 设备加入到工作区

1. • 如果已配置的 DRS 是 Microsoft Entra ID 设备注册服务：打开 Apple Safari 并导航到 iOS 设备的 Microsoft Entra 设备注册服务无线配置文件终结点 <https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/<yourdomainname>，其中的 <yourdomainname> 是你通过 Azure Active Directory 配置的域名。 例如，如果你的域名为 contoso.com，则 URL 将为：https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/contoso.com

   • 如果已配置的 DRS 是本地 DRS：打开 Apple Safari 并导航到 iOS 设备的设备注册服务 (DRS) 无线配置文件终结点 https://adf1s.contoso.com/enrollmentserver/otaprofile

   将此 URL 传播给用户的方式有很多。 建议的方法之一是在 AD FS 中，将此 URL 发布在自定义的应用程序访问被拒绝消息中。 后面的部分中介绍了此方式： 创建应用程序访问策略和自定义访问被拒消息

2. 使用公司域帐户 roberth@contoso.com 和密码 P@ssword 登录到网页。

3. 系统会提示你安装配置文件。 在“安装配置文件”屏幕上，单击“安装”。

4. 当系统提示确认安装配置文件时，请单击“立即安装”。

5. 如果你的设备需要一个 PIN 来解锁，系统会提示你输入 PIN。

6. 当你看到“配置文件已安装”屏幕时，表示配置文件安装已完成。 单击“Done”（完成） 。

   返回到 Safari。 显示一条消息，通知你可以关闭或退出 Safari。

提示

若要查看或删除“工作区加入”配置文件，请浏览到“设置”，单击“常规”，然后单击 iOS 设备上的“配置文件”。

另请参阅

• 跨公司应用程序从任一设备加入工作区以实现 SSO 和无缝第二重身份验证
• 为 Windows Server 2012 R2 中的 AD FS 设置实验室环境
• 演练：使用 Windows 设备加入工作区