共用方式為


Intune 中自動化裝置註冊的驗證方法

適用於 iOS/iPadOS

本文說明透過自動化裝置註冊在 Intune 中註冊的 iOS/iPadOS 裝置可用的驗證方法。 可用的驗證方法包括:

  • Intune 公司入口網站應用程式
  • 使用新式驗證設定助理
  • Just in Time (JIT) 使用新式驗證註冊設定助理
  • 設定助理 (舊版)

所有方法都適用於具有用戶親和性的公司擁有裝置,並透過 Apple Business Manager 或 Apple School Manager 購買。

選項 1:Intune 公司入口網站應用程式

如果您想要的話,請使用 Intune 公司入口網站應用程式作為驗證方法:

  • 使用多重要素驗證 (MFA) 。
  • 提示使用者在第一次登入時變更其密碼。
  • 提示用戶在註冊期間重設其過期的密碼。
  • 在 Microsoft Entra ID 中註冊裝置,並使用 Microsoft Entra ID 可用的功能,例如條件式存取。
  • 在註冊期間自動安裝公司入口網站應用程式。 如果您的公司使用大量採購方案 (VPP) ,您可以在註冊期間自動安裝公司入口網站應用程式,而不需要使用者 Apple 識別符。
  • 您想要鎖定裝置,直到安裝公司入口網站應用程式為止。

注意

如果裝置使用者是以 帳戶驅動的 Apple 用戶註冊配置檔類型為目標,Intune 將會封鎖使用此驗證方法的註冊。 這是預期的行為。 使用者收到錯誤訊息,指出其帳戶不支援透過公司入口網站應用程式註冊,而且需要透過公司入口網站註冊。 若要確保透過自動化裝置註冊成功註冊,請在使用帳戶驅動的Apple用戶註冊配置檔類型時,使用 選項2:設定助理搭配新式驗證 作為驗證方法。

選項 2:使用新式驗證設定助理

此選項提供與 Intune 公司入口網站驗證相同的安全性,但不同,因為它可讓裝置使用者存取裝置的元件,即使尚未安裝公司入口網站也一樣。 當您想要時,請使用此選項進行驗證:

  • 抹除裝置。
  • 使用多重要素驗證 (MFA) 。
  • 提示使用者在第一次登入時變更其密碼。
  • 提示用戶在註冊期間重設其過期的密碼。
  • 在 Microsoft Entra ID 中註冊裝置,並使用 Microsoft Entra ID 可用的功能,例如條件式存取。
  • 在註冊期間自動安裝公司入口網站應用程式。 如果您的公司使用大量採購方案 (VPP) ,您可以在註冊期間自動安裝公司入口網站應用程式,而不需要使用者 Apple 識別符。
  • 即使未安裝公司入口網站應用程式,也允許使用者使用裝置。

在執行 iOS/iPadOS 13.0 和更新版本的裝置上,支援使用新式驗證的設定助理。 已指派此類型配置檔的舊版 iOS/iPadOS 裝置,將會回復到 設定助理 (舊版) 驗證。

自動安裝公司入口網站應用程式

如果您的公司使用大量採購方案 (VPP) ,您可以在註冊期間自動安裝公司入口網站應用程式,而不需要使用者 Apple 識別符。 若要在您的註冊設定檔中啟用自動安裝,請針對 [使用 VPP 安裝公司入口網站] 選取 []。 建議您使用此選項。

如果您未使用 VPP 選項,裝置用戶必須在設定助理期間或 Intune 嘗試安裝公司入口網站時輸入其 Apple ID。

在這兩種情況下,裝置用戶都會隱藏公司入口網站安裝選項,而公司入口網站會成為其裝置上的必要應用程式。 當使用者到達主畫面時,Intune 會自動將正確的應用程式設定原則套用至裝置。

注意

使用新式驗證向設定助理註冊之後,請勿將個別的應用程式設定原則傳送至iOS/iPadOS裝置的公司入口網站。 這樣做會導致錯誤。

多重要素驗證

如果在註冊時或在公司入口網站登入期間套用需要 MFA) 的條件式存取原則, 則需要多重要素驗證 (MFA) 。 不過,根據目標條件式存取原則中的 Microsoft Entra 設定,MFA 是選擇性的。

Microsoft Entra ID 支援外部驗證方法,這表示您可以在裝置註冊期間使用慣用的 MFA 解決方案來加速 MFA。 如果您選擇使用第三方 MFA 提供者,請在將註冊配置檔部署至所有裝置之前,先執行測試回合,以確保Microsoft Entra MFA 畫面和 MFA 在註冊期間都能運作。 如需外部驗證方法的詳細資訊和支援詳細資訊,請參閱 公開預覽:Microsoft Entra ID 中的外部驗證方法

需要公司入口網站動作

當他們通過 [設定助理] 畫面之後,裝置使用者會登陸首頁。 此時,已建立其用戶親和性。 不過,在使用者使用其 Microsoft Entra 認證登入公司入口網站並選取 [開始] 之前,裝置:

  • 不會向 Microsoft Entra ID 完整註冊。
  • 不會顯示在用戶的裝置清單中的 Microsoft Entra ID。
  • 無法存取受條件式存取方式保護的資源。
  • 無法進行裝置合規性的評估。
  • 會從其他應用程式重新導向至公司入口網站,如果使用者嘗試開啟受條件式存取方式保護的任何受控應用程式。

選項 3:使用新式驗證設定助理的 Just In Time 註冊

此選項與具有新式驗證的設定助理相同,不同之處在於公司入口網站不需要Microsoft註冊或合規性。 相反地,Microsoft註冊和合規性檢查會完全整合到使用 Apple 單一登錄 (SSO) 應用程式延伸模組設定的指定Microsoft或非Microsoft應用程式中。 延伸模組可減少驗證提示,並在整個裝置上建立 SSO。 JIT 註冊會提示使用者驗證兩次:

  • 一個驗證會處理註冊和使用者裝置親和性,而且會在裝置用戶開啟其裝置並登入設定助理時發生。
  • 另一個驗證會處理Microsoft註冊,並在使用者登入指定的應用程式時發生。 合規性檢查也會在此應用程式中完成。

注意事項

如果您的組織使用適用於端點的 Microsoft Defender,若要讓 JIT 註冊和合規性補救如預期般運作,請確定 Microsoft Defender for Endpoint 應用程式 不是 第一個開啟的應用程式使用者。

一旦裝置使用者到達主畫面,他們可以登入任何使用 SSO 擴充功能設定的工作或學校應用程式,以完成Microsoft註冊和合規性檢查。 SSO 會將使用者登入屬於 SSO 擴充原則一部分的所有應用程式。 此時,他們也可以手動登入任何未設定為使用 SSO 擴充功能的應用程式。

若要使用自動化裝置註冊來設定 JIT 註冊:

  1. 建立裝置設定原則,並設定 [單一登錄應用程式延伸 模組] 類別下的設定。 如需步驟, 請參閱設定 Just-In-Time 註冊

  2. 建立 Apple 註冊設定檔 ,然後選取 [ 設定助理搭配新式驗證 ] 作為驗證方法。 Intune 中必須有來自 Apple Business Manager 或 Apple School Manager 的作用中自動化裝置註冊令牌,才能完成此步驟。

  3. 當您到達註冊配置檔中的 [指 ] 頁面時,請將配置檔指派給從 Apple Business Manager 和 Apple School Manager 同步的裝置。 指派配置檔之後,員工和學生就可以在其裝置上完成設定和驗證。

    注意事項

    公司入口網站仍會以必要的應用程式傳送至裝置,即使不需要Microsoft註冊或合規性也一樣。 如果裝置使用者在應用程式中遇到問題,則可以使用公司入口網站應用程式 來收集和上傳記錄

成功驗證的範例

下列事件序列描述使用 JIT 註冊搭配新式驗證之設定助理的成功驗證外觀範例。 您的組織體驗可能會因您的自動化裝置註冊設定而有所不同。

  1. 裝置用戶開啟裝置。

  2. [設定助理] 隨即開始。 裝置使用者會在安裝助理中使用其Microsoft Entra 認證進行驗證。

  3. 如果條件式存取原則中需要,裝置使用者會完成多重要素驗證。

  4. 裝置在 Intune 中完成註冊,並建立使用者裝置親和性。

  5. 裝置使用者登陸主畫面,並開啟Microsoft Teams 或其他 Office 應用程式,並使用其工作帳戶登入。 如果裝置符合所有合規性需求,裝置使用者將可立即存取其訊息和行事曆。

    注意事項

    在Microsoft註冊期間,裝置使用者可能會在Intune完成合規性檢查時看到簡短的微調器。 這是預期會發生的情況。

  6. SSO 擴充功能會在所有其他目標應用程式和所有Microsoft應用程式中建立單一登錄。

  7. 裝置會向 Microsoft Entra ID 註冊並符合規範。 您可以在系統管理中心檢視裝置的狀態,並Microsoft Entra ID。 裝置使用者可以在 Intune 公司入口網站中檢視狀態,並使用公司入口網站進行合規性、應用程式清查、裝置同步處理和記錄共用。

  8. 裝置用戶會開啟Teams並自動登入。

選項 4:設定助理 (舊版)

如果您想要讓用戶體驗 Apple 產品的一般全新體驗,請使用舊版設定助理。 當裝置在 Intune 中註冊時,此選項會安裝標準預先設定的設定。 當下列狀況下,請使用此選項進行驗證:

  • 您想要抹除裝置。
  • 您不想要新式驗證功能,例如多重要素驗證。
  • 您不想要在 Microsoft Entra ID 中註冊裝置。 設定助理 (舊版) 使用 Apple .p7m 令牌來驗證使用者。

如果您正在使用的是 Active Directory 同盟服務,而且您正在使用設定助理進行驗證,則需要 WS-Trust 1.3 的使用者名稱/混合端點。 如需詳細資訊,請參閱 Windows PowerShell 參考指南中的 Get-AdfsEndpoint

後續步驟

既然您已知道您使用的驗證方法,請 建立Apple註冊配置檔 ,並在出現提示時選取驗證方法。 Intune 中必須有來自 Apple Business Manager 或 Apple School Manager 的作用中自動化裝置註冊令牌,才能完成此步驟。