Microsoft Intune 中的 Apple 用戶註冊概觀
您可以利用 Apple 用戶註冊,在 Microsoft Intune 中註冊和管理使用者擁有的 iOS/iPadOS 裝置。 Apple 用戶註冊 是專用於自備裝置 (BYOD) 案例的註冊解決方案。 它會設定個人裝置,讓工作數據儲存在不同的磁碟區和受控應用程式中,而不會儲存使用者的個人資料和應用程式。 此註冊類型無法使用受監督模式。 身為系統管理員,您可以存取有限但適當的 Intune 管理選項和限制子集,以確保貴組織的數據保持安全。
本文提供 Apple 用戶註冊功能的概觀,以及 Microsoft Intune 所支援的功能。
Apple 用戶註冊方法
重要事項
使用 公司入口網站的 Apple 用戶註冊已被取代為註冊選項,且不再適用於新註冊的裝置。 Microsoft Intune產品和技術支援仍可供已具有註冊配置檔的裝置使用。 對於新的註冊,我們建議使用帳戶驅動用戶註冊。
Microsoft Intune 支援帳戶驅動的 Apple 用戶註冊和設定檔型 Apple 用戶註冊與 公司入口網站。
帳戶驅動用戶註冊:也稱為 帳戶型註冊。 裝置使用者會移至 [設定] 應用程式 >VPN & 裝置管理,並新增其公司或學校帳戶來起始註冊。 裝置使用者核准裝置管理之後,會以無訊息方式安裝註冊配置檔,並套用 Intune 原則。
具有 公司入口網站 的用戶註冊:也稱為配置檔型註冊。 裝置用戶藉由登入 Intune 公司入口網站 應用程式,並遵循一系列的畫面和提示來起始註冊。 它們會從應用程式重新導向至 Safari 以下載預先設定的註冊設定檔,然後移至 [設定 ] 應用程式以安裝設定檔。
下表提供每個方法的並存比較。
| 功能或案例 | 帳戶驅動用戶註冊 | 使用 公司入口網站 的用戶註冊 |
|---|---|---|
| Just-In-Time 註冊 | ✔️ | ❌ |
| BYOD 和個人裝置 | ✔️ | ✔️ |
| 與單一使用者相關聯的裝置 | ✔️ | ✔️ |
| 由裝置使用者起始的註冊 | ✔️ | ✔️ |
| 註冊位置 | 當使用者使用其工作帳戶登入應用程式時,系統會提示他們註冊裝置。 註冊會在裝置設定應用程式的單一畫面內進行。 | 當使用者使用其工作帳戶登入應用程式時,系統會提示他們註冊裝置。 註冊會在 公司入口網站 應用程式、Safari 網頁瀏覽器和裝置設定應用程式的一系列畫面上進行。 |
| 監督 | ❌ | ❌ |
| 版本 | iOS/iPadOS 15 或更新版本 | iOS 13 或更新版本 iPadOS 13.1 或更新版本 |
| 必要的應用程式 | Microsoft Authenticator | 適用於 iOS 的 Intune 公司入口網站 應用程式 Microsoft驗證器 |
支援的設定
Microsoft Intune 支援透過Apple用戶註冊註冊之裝置的特定裝置管理選項子集。 如果將既有的組態配置檔套用至裝置,則只有 Apple 用戶註冊支援的設定才會生效。 本節列出支持的設定和原則,也包含限制和不支援的功能。 這份清單並不詳盡,而且會繼續更新。
裝置設定和管理
支援的裝置設定原則和管理功能包括:
- VPN:用戶註冊僅限於個別應用程式 VPN。 如需詳細資訊,請參閱在 Intune 中設定iOS/iPadOS裝置的個別應用程式虛擬專用網 (VPN) 。 不支援Safari網域。
- Wi-Fi:如需詳細資訊,請參閱在 Microsoft Intune 中新增 iOS 和 iPadOS 裝置的 Wi-Fi 設定。
- 裝置限制:如需支援的裝置限制清單,請參閱 iOS 和 iPadOS 裝置設定,以使用 Intune 來允許或限制功能。
- 系統管理員的遠端動作:您可以淘汰、刪除、遠端鎖定和同步處理裝置。 如需這些動作及其運作方式的詳細資訊,請參閱使用 Microsoft Intune 管理裝置。
應用程式部署和管理
支援應用程式類型包括:
- 透過Apple大量採購方案 (VPP) 購買的使用者授權應用程式和自定義應用程式
- 企業營運 (LOB) 應用程式
- Web 應用程式
公司入口網站 動作
員工和學生可以在 Intune 公司入口網站 應用程式或 公司入口網站 網站上存取其個人裝置的管理選項。 支援的動作包括:
- 重新命名
- 移除
- 遠端鎖定
- 檢查狀態
注意事項
裝置使用者可以使用的重新命名動作會變更 公司入口網站 中的顯示名稱。 它不會在 Microsoft Intune 系統管理中心重新命名裝置。
如需員工和學生如何存取這些動作的詳細資訊,請參閱:
不支援限制和功能
使用 Apple 使用者註冊註冊裝置時,Intune 不會收集:
- 在 Managed Apple 檔案系統磁碟區外部的應用程式清查。
- 受控APFS磁碟區外部的憑證和布建配置檔清查。
- UDID 和其他永續性裝置標識碼,例如電話號碼、序號和 IMEI。
Intune 不支援:
- 主體名稱格式為序號的SCEP使用者配置檔。
- 將 Apple App Store 應用程式安裝為 Managed 應用程式。
- 受控APFS磁碟區外部應用程式的 MDM 控制。 應用程式防護 原則仍適用於這些應用程式。 不過,除非使用者從其裝置中刪除這些應用程式,否則您無法接管管理或部署這些應用程式的受控版本。
- 公司入口網站 中專供用戶註冊工作流程使用的自定義隱私權文字。 如果您自定義說明貴組織可看到和無法看到之內容的文字,則使用者會在 Apple 裝置註冊和 Apple 用戶註冊期間,在 公司入口網站 中看到相同的文字。
- 不支援的應用程式類型報告。
限制包括:
- 用戶註冊支援每個已註冊裝置的唯一註冊標識碼,但在使用者取消註冊裝置之後,此標識元不會保存。
- 如果在註冊期間,相同裝置上需要 mutli-Factor Authentication 文字或通話,則執行 iOS 15.5 版的裝置無法向 Apple 用戶註冊註冊。
- 透過 iOS 16.3 執行 iOS 15.7 版的裝置,在利用多重要素驗證 (透過文字進行 MFA) 時,無法使用 Apple 使用者註冊進行註冊。 如果在註冊期間相同裝置上需要 MFA,則必須使用通話選項進行註冊。
如果這些功能對您很重要,建議您針對 BYOD 案例使用 Apple 裝置註冊,或針對公司擁有的裝置使用 Apple 自動化裝置註冊。
後續步驟
在考慮支持的設定和註冊功能之後,請選擇您想要用來註冊裝置的用戶註冊方法。 下列文章說明如何在 Microsoft Intune 系統管理中心設定這些註冊方法:
如需 Apple 使用者註冊的詳細資訊,請參閱 Apple 支援網站上的 用戶註冊和 MDM 。