注意事項
Intune 可能支援比本文所列設定更多的設定。 並非所有設定都會記錄在案,也不會記錄在案。 若要查看您可以設定的設定,請建立裝置組態原則,然後選取 [設定目錄]。 如需詳細資訊,請移至 [設定] 目錄。
Intune 包含一些內建設定,可讓 iOS/iPadOS 使用者在其裝置上使用不同的 Apple 功能。 例如,您可以控制 AirPrint 印表機、將應用程式和資料夾新增至 Dock 和主畫面頁面、顯示應用程式通知、在鎖定畫面上顯示資產標籤詳細資訊、使用單一登入驗證以及使用憑證驗證。
本功能適用於:
- iOS/iPadOS
使用這些功能來控制 iOS/iPadOS 裝置,作為行動裝置管理 (MDM) 解決方案的一部分。
本文列出這些設定,並說明每個設定的用途。 如需這些功能的詳細資訊,請移至 新增 iOS/iPadOS 或 macOS 裝置功能設定。
開始之前
注意事項
這些設定會套用至不同的註冊類型,某些設定會套用至所有註冊選項。 如需不同註冊類型的詳細資訊,請移至 iOS/iPadOS 註冊。
隔空列印
設定適用於:所有註冊類型
注意事項
請務必將所有印表機新增至相同的設定檔。 Apple 會防止多個 AirPrint 設定檔針對同一裝置。
IP 位址:輸入印表機的 IPv4 或 IPv6 位址。 如果您使用主機名稱來識別印表機,則可以透過在終端機中 ping 印表機來取得 IP 位址。 取得本文中的 IP 位址和路徑 () 提供更多詳細資訊。
資源路徑:此路徑通常
ipp/print適用於網路上的印表機。 取得本文中的 IP 位址和路徑 () 提供更多詳細資訊。連接埠:輸入 AirPrint 目的地的監聽連接埠。 如果您將此屬性保留空白,AirPrint 會使用預設連接埠。
本功能適用於:
- iOS 11.0+ 版本
- iPadOS 13.0+
強制 TLS: 停用 (預設) 不會保護使用 TLS 的 AirPrint 連線。 啟用具有 傳輸層安全性 (TLS) 的安全 AirPrint 連線。
本功能適用於:
- iOS 11.0+ 版本
- iPadOS 13.0+
若要加入 AirPrint 伺服器,你可以:
- 輸入印表機詳細資料,將 AirPrint 目的地新增至清單。 可以添加許多 AirPrint 服務器。
- 匯入 包含此資訊的逗號分隔檔案 (.csv) 。 或者, 匯出以 建立您新增的 AirPrint 伺服器清單。
取得伺服器 IP 位址、資源路徑和連接埠
要添加 AirPrinter 服務器,您需要打印機的 IP 地址、資源路徑和端口。 下列步驟說明如何取得此資訊。
在與 AirPrint 印表機連接至相同區域網路 (子網路) 的 Mac 上,從 /Applications/Utilities) (開啟「終端機」App。
在「終端機」App 中,輸入
ippfind,然後選取 Enter 鍵。記下印表機資訊。 例如,它可以傳回類似
ipp://myprinter.local.:631/ipp/port1. 第一部分是印表機的名稱。 ) (ipp/port1最後一部分是資源路徑。在「終端機」App 中,輸入
ping myprinter.local,然後選取 Enter 鍵。記下 IP 位址。 例如,它可以傳回類似
PING myprinter.local (10.50.25.21).使用 IP 位址和資源路徑值。 在本例中,IP地址為
10.50.25.21,資源路徑為/ipp/port1。
主畫面佈局
本功能適用於:
- iOS 9.3 或更高版本
- iPadOS 13.0 及更新版本
- 自動裝置註冊 (受監督的)
須知事項
只需將 App 新增至 Dock、頁面、頁面上的資料夾或 Dock 中的資料夾一次。 在任何兩個位置新增相同的應用程式可防止應用程式在裝置上顯示,並可能顯示報告錯誤。
例如,如果您將相機應用程式新增至停靠欄和頁面,則不會顯示相機應用程式,而且報告可能會顯示原則的錯誤。 若要將相機應用程式新增至主畫面佈局,請僅選擇停靠欄或頁面,而不是兩者。
當您套用主畫面版面配置時,它會覆寫任何使用者定義的版面配置。 因此,我們建議您在無使用者裝置上使用主螢幕佈局。
您可以在裝置上安裝未包含在主畫面版面配置設定中的預先存在的應用程式。 這些應用程式會依字母順序顯示在已設定的應用程式之後。
當你使用「主畫面」格線設定來加入頁面,或將頁面和 App 加入 Dock 時,主畫面和頁面上的圖像會鎖定。 它們無法移動或刪除。 此行為可能是 iOS/iPadOS 和 Apple 的 MDM 原則所設計。
在受控瀏覽器中開啟的 iOS/iPadOS 網頁剪輯不會以您在主畫面版面配置原則中輸入的順序顯示。
主畫面
使用此功能新增應用程式。 並且,查看這些應用程式在頁面、停靠欄和資料夾中的外觀。 它還向您顯示應用程序圖標。 大量購買計劃 (VPP) 應用程式、企業營運應用程式和 Web 連結應用程式 (Web 應用程式 URL) 從 您新增的用戶端應用程式填入。
網格大小:為裝置的主畫面選擇合適的網格大小。 應用程式或資料夾會在網格中佔據一個位置。 如果目標裝置不支援選取的大小,某些應用程式可能不適合,並會推送至新頁面上的下一個可用位置。 供參考:
- iPhone 5 支持 4 列 x 5 行
- iPhone 6 及更新機型支援 4 列 x 6 行
- iPad 支援 5 列 x 6 行
+:選取新增按鈕以新增應用程式。
建立資料夾或新增應用程式:新增 應用程式 或 資料夾:
應用程式:從清單中選取現有的應用程式。 此選項將應用程式新增至裝置上的主畫面。 如果您沒有任何應用程式,請將 應用程式新增至 Intune。
您也可以依應用程式名稱搜尋應用程式,例如
authenticator或drive。 或者,按應用程式發行者搜尋,例如或MicrosoftApple。資料夾:將資料夾新增至主畫面。 輸入 資料夾名稱,然後從清單中選取要放入資料夾的現有應用程式。 此資料夾名稱會顯示給裝置上的使用者。
您也可以依應用程式名稱搜尋應用程式,例如
authenticator或drive。 或者,按應用程式發行者搜尋,例如或MicrosoftApple。應用程式會從左到右排列,順序與所示相同。 應用程式可以移至其他位置。 資料夾中只能有一個頁面。 因應措施是將 9 個 (9 個) 或更多應用程式新增至資料夾。 應用程式會自動移至下一頁。 您可以新增 VPP 應用程式、Web 連結 (Web 應用程式) 、市集應用程式、企業營運應用程式和系統應用程式的任意組合。
碼頭
iPhone 最多可新增 4 (4 個) 項目,iPad 最多可新增 6 個 (6) 項目, (應用程式和資料夾組合) 螢幕上的底座。 許多裝置支援較少的專案。 例如,iPhone 裝置最多支援四個項目。 因此,只會顯示您新增的前四個項目。
+:選取「新增」按鈕,將應用程式或資料夾新增至停靠欄。
建立資料夾或新增應用程式:新增 應用程式 或 資料夾:
應用程式:從清單中選取現有的應用程式。 此選項將應用程式新增至螢幕上的停靠欄。 如果您沒有任何應用程式,請將 應用程式新增至 Intune。
您也可以依應用程式名稱搜尋應用程式,例如
authenticator或drive。 或者,按應用程式發行者搜尋,例如或MicrosoftApple。資料夾:將資料夾加入螢幕上的停靠欄。 輸入 資料夾名稱,然後從清單中選取要放入資料夾的現有應用程式。 此資料夾名稱會顯示給裝置上的使用者。
您也可以依應用程式名稱搜尋應用程式,例如
authenticator或drive。 或者,按應用程式發行者搜尋,例如或MicrosoftApple。應用程式會從左到右排列,順序與所示相同。 應用程式可以移至其他位置。 如果您新增的應用程式數量超過頁面的容納範圍,則應用程式會自動移至另一個頁面。 你最多可以在 Dock 上的資料夾中加入 20 個頁面。 您可以新增 VPP 應用程式、Web 連結 (Web 應用程式) 、市集應用程式、企業營運應用程式和系統應用程式的任意組合。
範例
在下列範例中,停靠畫面會顯示 Safari、郵件和 Stocks App。 選取「股票」App 以顯示其屬性:
當您將原則指派給 iPhone 時,擴充座看起來類似下圖:
應用程式通知
設定適用於:自動裝置註冊 (受監督)
新增:新增應用程式的通知:
App Bundle ID:輸入您要新增的應用程式的 App Bundle ID 。
若要取得 App Bundle ID:
- 如需一些範例,請移至 內建 iOS/iPadOS 應用程式的套件組合識別碼。
- 針對新增至 Intune 的應用程式, 您可以使用 Intune 系統管理中心。
設定為 [ 未設定 ] 或保留空白時,Intune 不會變更或更新此設定。
應用程式名稱:輸入您要新增的應用程式名稱。 此名稱會用於您在 Microsoft Intune 系統管理中心中參考。 它 不會 顯示在裝置上。 設定為 [ 未設定 ] 或保留空白時,Intune 不會變更或更新此設定。
發行者:輸入您要新增的應用程式的發行者。 此名稱會用於您在 Microsoft Intune 系統管理中心中參考。 它 不會 顯示在裝置上。 設定為 [ 未設定 ] 或保留空白時,Intune 不會變更或更新此設定。
通知: 啟用 或 停用 應用程式向裝置傳送通知。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
當設定為 啟用時,也設定:
在通知中心顯示:啟用可讓應用程式在裝置通知中心顯示通知。 停用可 防止應用程式在通知中心顯示通知。 設定為 [ 未設定 ] 或保留空白時,Intune 不會變更或更新此設定。
在鎖定畫面上顯示:啟用 在裝置鎖定畫面上顯示應用程式通知。 停用可 防止應用程式在鎖定畫面上顯示通知。 設定為 [ 未設定 ] 或保留空白時,Intune 不會變更或更新此設定。
警示類型:裝置解鎖時,選擇通知的顯示方式。 選項包括:
- 無:不顯示任何通知。
- 橫幅:通知會簡短地顯示橫幅。 此設定也可能稱為 臨時橫幅。
- 強制回應:系統會顯示通知,使用者必須先手動關閉通知,才能繼續使用裝置。 此設定也可能稱為 [持續橫幅]。
應用程式圖示上的徽章: 啟用 會將 徽章新增至應用程式圖示。 徽章表示應用程式已傳送通知。 停用不會 將徽章新增至應用程式圖示。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。
啟用聲音: 啟用 會在 傳送通知時播放聲音。 停用 在 傳送通知時不會播放音效。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。
顯示預覽:顯示最近 App 通知的預覽。 選取顯示預覽的時間。 您選擇的值會覆寫裝置上使用者設定的值 (設定 > 通知 顯示 > 預覽) 。 選項包括:
- 未設定:Intune 不會變更或更新此設定。
- 解鎖時:預覽僅在設備解鎖時顯示。
- 一律:預覽一律顯示在鎖定畫面上。
- 從不:預覽永遠不會顯示。
本功能適用於:
- iOS/iPadOS 14.0 和更新版本
鎖定畫面訊息
本功能適用於:
- iOS 9.3 和更新版本
- iPadOS 13.0 及更新版本
設定適用於:自動裝置註冊 (受監督)
「如果迷路了,就回到......」訊息:如果裝置遺失或遭竊,請輸入備註,以便在找到裝置時可能有助於歸還裝置。 您可以輸入任何您想要的文字。 例如,輸入類似
If found, call Contoso at ...的 。您輸入的文字會顯示在裝置上的登入視窗和鎖定畫面上。
資產標籤資訊:輸入有關裝置資產標籤的資訊。 例如,輸入
Owned by Contoso Corp或Serial Number: {{serialnumber}}。裝置權杖也可用於將裝置特定資訊新增至這些欄位。 例如,若要顯示序號,請輸入
Serial Number: {{serialnumber}}或Device ID: {{DEVICEID}}。 在鎖定畫面上,文字顯示類似於Serial Number 123456789ABC。 輸入變數時,請務必使用大括號{{ }}。支援下列裝置資訊變數。 變數不會在 UI 中驗證,而且會區分大小寫。 如果您輸入不正確的變數,則可以看到使用不正確的輸入儲存的設定檔。 例如,如果您輸入
{{DeviceID}}instead than{{deviceid}}or{{DEVICEID}},則會顯示常值字串,而不是裝置的唯一 ID。 請務必輸入正確的資訊。 支援所有小寫或所有大寫變數,但不能混合使用。-
{{AADDeviceId}}:Microsoft Entra 裝置識別碼 -
{{AccountId}}:Intune 租用戶識別碼或帳戶識別碼 -
{{AccountName}}:Intune 租用戶名稱或帳戶名稱 -
{{AppleId}}:使用者的 Apple ID -
{{Department}}:設定助理期間指派的部門 -
{{DeviceId}}:Intune 裝置識別碼 -
{{DeviceName}}:Intune 裝置名稱 -
{{domain}}:網域名稱 -
{{EASID}}:Exchange Active Sync ID -
{{EDUUserType}}:使用者類型 -
{{IMEI}}:設備的 IMEI -
{{mail}}:使用者的 Email 位址 -
{{ManagedAppleId}}:使用者的管理式 Apple ID -
{{MEID}}:裝置的 MEID -
{{partialUPN}}:@ 符號之前的 UPN 前置詞 -
{{SearchableDeviceKey}}編號:NGC Key ID -
{{SerialNumber}}:設備序號 -
{{SerialNumberLast4Digits}}:裝置序號的最後 4 位數字 -
{{SIGNEDDEVICEID}}:在公司入口網站註冊期間指派給用戶端的裝置識別碼 Blob -
{{SignedDeviceIdWithUserId}}:在 Apple 設定助理期間,將裝置識別碼 blob 指派給具有使用者親和性的用戶端 -
{{UDID}}:裝置 UDID -
{{UDIDLast4Digits}}:裝置UDID的最後4位數字 -
{{UserId}}:Intune 使用者識別碼 -
{{UserName}}:使用者名稱 -
{{userPrincipalName}}:使用者的UPN
-
單一登入
設定適用於:裝置註冊、自動裝置註冊 (受監督)
Microsoft Entra 使用者名稱屬性:Intune 會在 Microsoft Entra ID 中尋找每個使用者的此屬性。 然後,Intune 會填入個別的欄位 (,例如 UPN) ,再產生安裝在裝置上的 XML。 選項包括:
未設定:Intune 不會變更或更新此設定。 根據預設,當配置檔部署至裝置時,OS 會提示使用者輸入 Kerberos 主體名稱。 MDM 需要主體名稱才能安裝 SSO 設定檔。
使用者主體名稱:使用者主體名稱 (UPN) 會以下列方式剖析:
您也可以使用您在 Realm 文字方塊中輸入的文字來覆寫網域範圍。
例如,Contoso 有數個區域,包括歐洲、亞洲和北美洲。 Contoso 希望其亞洲使用者使用 SSO,而應用程式需要格式
username@asia.contoso.com中的 UPN。 當您選取 [使用者主體名稱] 時,每個使用者的領域都會取自 Microsoft Entra ID,即contoso.com。 因此,對於亞洲的使用者,請選取 使用者主體名稱,然後輸入asia.contoso.com。 使用者的 UPN 會變成username@asia.contoso.com,而不是username@contoso.com。Intune 裝置識別碼:Intune 會自動選取 Intune 裝置識別碼。 依預設:
- 應用程式只需要使用裝置 ID。 但是,如果您的應用程式使用領域和裝置 ID,則可以在 Realm 文字方塊中輸入領域。
- 如果您使用裝置 ID,請將網域範圍保持空白。
Azure AD 裝置識別碼:Microsoft Entra 裝置識別碼
SAM 帳戶名稱:Intune 會填入內部部署安全性帳戶管理員 (SAM) 帳戶名稱。
Realm:輸入URL的網域部分。 例如,輸入
contoso.com。URL:在組織中 新增 任何需要使用者單一登入 (SSO) 驗證的 URL。
例如,當使用者連線到其中任何網站時,iOS/iPadOS 裝置會使用 SSO 認證。 使用者不需要再次輸入認證。 如果啟用多重要素驗證 (MFA) ,則使用者必須輸入第二個驗證。
亦:
這些 URL 的格式必須正確 FQDN。 Apple 要求 URL
http://<yourURL.domain>採用URL 比對型樣必須以
http://或https://開頭。 會執行簡單的字串比對,因此http://www.contoso.com/URL 前置詞不相符http://www.contoso.com:80/。 在 iOS 10.0+ 和 iPadOS 13.0+ 中,可以使用單一萬用字元 * 來輸入所有相符的值。 例如,http://*.contoso.com/同時符合http://store.contoso.com/和http://www.contoso.com。和 型
http://.comhttps://.com樣分別符合所有 HTTP 和 HTTPS URL。
應用程式:在使用者裝置上 新增 可使用單一登入的應用程式。
陣列必須
AppIdentifierMatches包含符合 App Bundle ID 的字串。 這些字串可以是完全相符的,例如com.contoso.myapp,或使用萬用字元在*套件組合 ID 上輸入字首相符。 萬用字元必須出現在句點字元 (.) 之後,而且只能出現在字串結尾,例如com.contoso.*。 包含萬用字元時,任何套件組合 ID 以前置詞開頭的應用程式都會被授予帳戶的存取權。使用 [應用程式名稱 ] 輸入使用者易記的名稱,以協助您識別套件組合 ID。
認證更新憑證:如果使用憑證進行驗證 (而不是密碼) ,請選取現有的 SCEP 或 PFX 憑證作為驗證憑證。 一般而言,此憑證與部署給其他設定檔使用者的憑證相同,例如 VPN、Wi-Fi 或電子郵件。
網頁內容篩選器
設定適用於:自動裝置註冊 (受監督)
這些設定使用 Apple 的 Web 內容篩選器設定。 如需這些設定的詳細資訊,請移至 Apple 的平台部署網站 (開啟 Apple 的網站) 。
篩選類型:選擇允許特定網站。 選項包括:
未設定:Intune 不會變更或更新此設定。
配置 URL: 使用 Apple 的內置網絡過濾器來查找成人術語,包括褻瀆和色情語言。 此功能會在載入時評估每個網頁,並識別並阻止不合適的內容。 您也可以新增您不想由篩選器檢查的網址。 或者,阻止特定 URL,無論 Apple 的過濾器設置如何。
允許的 URL: 新增 您要允許的 URL。 這些 URL 繞過 Apple 的 Web 過濾器。
您輸入的 URL 是您不希望 Apple Web 篩選器評估的 URL。 這些 URL 不是允許的網站清單。 若要建立允許的網站清單,請將 篩選類型 設定為 僅限特定網站。
封鎖的 URL: 新增 您要停止開啟的 URL,無論 Apple 網頁篩選器設定為何。
僅限 Safari 網頁瀏覽器 (的特定網站) :這些 URL 會新增至 Safari 瀏覽器的書籤。 用戶 只能 訪問這些網站;無法開啟其他網站。 只有在您知道使用者可以存取的確切 URL 清單時,才使用此選項。
-
URL:輸入您要允許的網站的 URL。 例如,輸入
https://www.contoso.com。 - 書籤路徑:Apple 更改了此設置。 所有書籤都會進入 [允許的網站 ] 資料夾。 書籤不會進入您輸入的書籤路徑。
- 標題:輸入書籤的描述性標題。
如果您未輸入任何 URL,則使用者無法存取任何網站,
microsoft.com但 、microsoft.net和apple.com。 Intune 會自動允許這些 URL。-
URL:輸入您要允許的網站的 URL。 例如,輸入
單一登入應用程式延伸模組
本功能適用於:
- iOS 13.0 及更高版本
- iPadOS 13.0 和更新版本
設定適用於:所有註冊類型
SSO 應用程式擴充功能類型:選擇 SSO 應用程式擴充功能的類型。 選項包括:
未設定:Intune 不會變更或更新此設定。 根據預設,OS 不會使用應用程式延伸模組。 若要停用應用程式延伸模組,您可以將 SSO 應用程式延伸模組類型切換為 [ 未設定]。
Microsoft Entra ID:使用 Microsoft Entra ID 企業 SSO 外掛程式,這是重新導向類型的 SSO 應用程式延伸模組。 此外掛程式為支援 Apple 企業單一登入功能的所有應用程式的內部部署的 Active Directory 帳戶提供 SSO。 使用此 SSO 應用程式延伸模組類型,可在使用 Microsoft Entra ID 進行驗證的 Microsoft 應用程式、組織應用程式和網站上啟用 SSO。
SSO 外掛程式可作為進階驗證代理程式,提供安全性和使用者體驗改進。 所有使用 Microsoft Authenticator 應用程式進行驗證的應用程式,都會繼續使用 Apple 裝置的 Microsoft Enterprise SSO 外掛程式取得 SSO。
重要事項
若要使用 Microsoft Entra SSO 應用程式延伸模組類型達成 SSO,請先在裝置上安裝 iOS/iPadOS Microsoft Authenticator 應用程式。 驗證器應用程式會將 Microsoft 企業 SSO 外掛程式傳遞至裝置,而 MDM SSO 應用程式延伸模組設定會啟用外掛程式。 在裝置上安裝驗證器和 SSO 應用程式延伸模組設定檔之後,使用者必須輸入其認證才能登入,並在其裝置上建立工作階段。 然後,此階段作業會在不同的應用程式中使用,而不需要使用者再次驗證。 如需 Authenticator 的詳細資訊,請移至 什麼是 Microsoft Authenticator 應用程式。
如需詳細資訊,請移至 在 iOS/iPadOS 裝置上使用 Microsoft Enterprise SSO 外掛程式。
重新導向:使用通用、可自訂的重新導向應用程式擴充功能,將 SSO 與新式驗證流程搭配使用。 請確定您知道組織應用程式延伸模組的延伸模組識別碼。
認證:使用通用、可自訂的認證應用程式延伸模組,將 SSO 與質詢和回應驗證流程搭配使用。 請確定您知道組織應用程式延伸模組的延伸模組識別碼。
Kerberos:使用 Apple 內建的 Kerberos 擴充功能,該擴充功能包含在 iOS 13.0+ 和 iPadOS 13.0+ 中。 此選項是 認證 應用程式延伸模組的 Kerberos 特定版本。
提示
使用 重新導向 和 認證 型別,您可以新增自己的組態值以傳遞延伸模組。 如果您使用 認證,請考慮使用 Apple 提供的 Kerberos 類型內建組態設定。
使用者成功登入驗證器應用程式之後,系統不會提示他們登入使用 SSO 延伸模組的其他應用程式。 當使用者第一次開啟未使用 SSO 延伸模組的受控應用程式時,系統會提示使用者選取已登入的帳戶。
啟用共用裝置模式 (Microsoft Entra ID) :如果您要將 Microsoft Enterprise SSO 外掛程式部署至針對共用裝置模式功能設定的 iOS/iPadOS 裝置Microsoft Entra請選擇 [是]。 共用模式的裝置可讓許多使用者全域登入和登出支援共用裝置模式的應用程式。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。 根據預設,iOS/iPadOS 裝置不打算在多個使用者之間共用。
如需共用裝置模式以及如何啟用的詳細資訊,請移至 共用 裝置模式概觀 和 iOS 裝置的共用裝置模式。
本功能適用於:
- iOS/iPadOS 13.5 和更新版本
延伸模組 ID (重新導向和認證) :輸入識別 SSO 應用程式延伸模組的套件組合識別碼,例如
com.apple.extensiblesso。團隊 ID (重新導向和認證) :輸入 SSO 應用程式擴充功能的團隊識別碼。 團隊識別碼是 Apple 產生的 10 個字元的字母數字, (數字和字母) 字串,例如
ABCDE12345。 不需要團隊 ID。找到您的團隊 ID (打開 Apple 網站) 其中包含更多信息。
網域範圍 (認證和 Kerberos) :輸入驗證網域範圍的名稱。 領域名稱應該大寫,例如
CONTOSO.COM。 通常,您的網域範圍名稱與您的 DNS 網域名稱相同,但全部為大寫。網域 ( 認證和 Kerberos) :輸入可透過 SSO 進行驗證的網站的網域或主機名稱。 例如,如果您的網站是
mysite.contoso.com,則mysite是主機名稱,.contoso.com並且是網域名稱。 當使用者連線到這些網站中的任何一個時,應用程式延伸模組會處理驗證挑戰。 此身份驗證允許用戶使用 Face ID、Touch ID 或 Apple 密碼/密碼登錄。- 單一登入應用程式延伸模組 Intune 配置檔中的所有網域都必須是唯一的。 您無法在任何登入應用程式擴充功能設定檔中重複網域,即使您使用不同類型的 SSO 應用程式擴充功能也一樣。
- 這些網域不區分大小寫。
- 網域必須以句點 (
.) 開頭。
僅 (重新導向) 的URL:輸入身分識別提供者的URL前置詞,重新導向應用程式延伸模組代表其使用SSO。 當使用者重新導向至這些 URL 時,SSO 應用程式擴充功能會介入並提示 SSO。
- Intune 單一登入應用程式延伸模組配置檔中的所有 URL 都必須是唯一的。 您無法在任何 SSO 應用程式擴充功能設定檔中重複網域,即使您使用不同類型的 SSO 應用程式擴充功能也一樣。
- URL 必須以
http://或https://開頭。
其他設定 (Microsoft Entra ID、重新導向和認證) :輸入更多擴充功能特定的資料,以傳遞至 SSO 應用程式擴充功能:
鍵:輸入您要新增的項目名稱,按讚
user name或AppAllowList。類型:輸入資料類型。 選項包括:
- 字串
- 布林值:在 組態值中,輸入
True或False。 - 整數:在 組態值中,輸入一個數字。
值:輸入資料。
新增:選取以新增您的組態金鑰。
僅限 Kerberos (封鎖鑰匙圈使用) :是 可防止密碼儲存並儲存在鑰匙圈中。 如果遭到封鎖,系統不會提示使用者儲存密碼,而且需要在 Kerberos 票證到期時重新輸入密碼。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許將密碼儲存並儲存在鑰匙圈中。 票證到期時,系統不會提示使用者重新輸入密碼。
僅) Kerberos (需要 Face ID、Touch ID 或密碼:當需要認證來重新整理 Kerberos 票證時,「是」會強制使用者輸入其 Face ID、Touch ID 或裝置密碼。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要使用者使用生物特徵辨識或裝置密碼來重新整理 Kerberos 票證。 如果 鑰匙圈使用 遭到封鎖,則此設定不適用。
僅) (Kerberos 設定為預設網域範圍:是將您輸入的網域範圍值設定為預設網域範圍。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會設定預設領域。
- 如果您要在組織中設定多個 Kerberos SSO 應用程式延伸模組,請選取 [ 是]。
- 如果您使用多個領域,請選取 [ 是]。 它會將您輸入的 Realm 值設定為預設網域範圍。
- 如果您只有一個網域範圍,請選取 [ 未設定] (預設) 。
僅封鎖 Kerberos (自動探索) :是 可防止 Kerberos 延伸模組自動使用 LDAP 和 DNS 來判斷其 Active Directory 網站名稱。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
僅允許受控應用程式 (Kerberos) :設定為 [是] 時,Kerberos 延伸模組只允許受控應用程式,以及使用 App Bundle ID 輸入的任何應用程式存取認證。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許非受控應用程式存取認證。
本功能適用於:
- iOS/iPadOS 14 和更新版本
僅限 Kerberos (主體名稱) :輸入 Kerberos 主體的使用者名稱。 您不需要包含領域名稱。 例如,in
user@contoso.com是user主體名稱,而contoso.com是領域名稱。- 您也可以輸入大括號
{{ }},在主體名稱中使用變數。 例如,若要顯示使用者名稱,請輸入Username: {{username}}。 - 小心變數替換。 變數不會在 UI 中驗證,而且會區分大小寫。 請務必輸入正確的資訊。
- 您也可以輸入大括號
Active Directory 網站代碼 (Kerberos 僅限) :輸入 Kerberos 延伸模組應該使用的 Active Directory 網站名稱。 您可能不需要變更此值,因為 Kerberos 延伸模組可以自動尋找 Active Directory 網站代碼。
僅限 Kerberos (快取名稱) :輸入 Kerberos 快取的通用安全服務 (GSS) 名稱。 您很可能不需要設定此值。
僅限 Kerberos (登入視窗文字) :輸入在 Kerberos 登入視窗中向使用者顯示的文字。
本功能適用於:
- iOS/iPadOS 14 和更新版本
應用程式套件組合 ID (Microsoft Entra ID、Kerberos) :輸入任何其他應用程式的套件組合 ID,這些應用程式應透過裝置上的擴充功能取得單一登入。 若要取得新增至 Intune 之應用程式的套件組合識別碼, 您可以使用 Intune 系統管理中心。
如果您使用 Microsoft Entra ID SSO 應用程式延伸模組類型,則:
這些應用程式會使用 Microsoft Enterprise SSO 外掛程式來驗證使用者,而不需要登入。
如果您輸入的應用程式套件組合識別碼未使用任何Microsoft程式庫Microsoft,例如驗證程式庫 (MSAL) ,則具有使用 Microsoft Entra SSO 應用程式延伸模組的許可權。
與 Microsoft 庫相比,這些應用程序的體驗可能不那麼無縫。 必須將使用 MSAL 驗證的舊版應用程式,或未使用最新 Microsoft 程式庫的應用程式新增至此清單,才能與 Microsoft Azure SSO 應用程式延伸模組正常運作。
如果您使用 Kerberos SSO 應用程式延伸模組 類型,則這些應用程式:
- 可存取 Kerberos 票證授與票證
- 有權存取驗證票證
- 驗證使用者有權存取的服務
僅限 Kerberos (網域領域對應) :輸入應對應至您的網域範圍的網域 DNS 尾碼。 當主機的 DNS 名稱與網域範圍名稱不符時,請使用此設定。 您很可能不需要建立此自訂網域到網域範圍的對應。
僅限 Kerberos (PKINIT 憑證) :選取可用於 Kerberos 驗證的 PKINIT) 憑證 (初始驗證的公開金鑰加密。 您可以從您在 Intune 中新增的 PKCS 或 SCEP 憑證中進行選擇。
如需憑證的詳細資訊,請移至 在 Microsoft Intune 中使用憑證進行驗證。
壁紙
當沒有映像的設定檔指派給具有現有映像的裝置時,您可能會遇到非預期的行為。 例如,您建立的設定檔沒有影像。 此設定檔會指派給已具有映像的裝置。 在此案例中,映像可以變更為裝置預設值,或原始映像可以保留在裝置上。 這種行為受到 Apple 的 MDM 平台的控制和限制。
設定適用於:自動裝置註冊 (受監督)
-
桌布顯示位置:選擇裝置上顯示影像的位置。 選項包括:
- 未設定:Intune 不會變更或更新此設定。 自訂映像不會新增至裝置。 根據預設,OS 可能會設定自己的映像。
- 鎖定畫面:將影像新增至鎖定畫面。
- 主畫面:將影像新增至主畫面。
- 鎖定畫面和主畫面:在鎖定畫面和主畫面上使用相同的影像。
- 桌布圖片:上傳您要使用的現有 .png、.jpg 或.jpeg圖片。 請確定檔案大小小於 750 KB。 您也可以 移除 已新增的影像。
提示
- 設定桌布原則時,Microsoft 建議啟用 [封鎖修改桌布 ] 設定。 此設定可防止使用者變更桌布。
- 若要在鎖定畫面和主畫面上顯示不同的影像,請使用鎖定畫面影像建立設定檔。 使用主屏幕圖像創建另一個配置文件。 將這兩個配置檔指派給您的 iOS/iPadOS 使用者或裝置群組。