Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Автоматическая регистрация устройств (ADE) — это метод регистрации Apple для корпоративных устройств, приобретенных через Apple Business или Apple School Manager. С помощью ADE вы настраиваете и развертываете политики регистрации на устройствах по беспроводной сети, не касаясь устройств. Когда кто-то включает устройство в первый раз, помощник по настройке Apple поможет им автоматически выполнить настройку и регистрацию.
Примечание.
Действия в статьях ADE одинаковы, независимо от того, используете ли вы Apple Business или Apple School Manager. Для краткости эти статьи относятся только к Apple Business , за исключением случаев, когда необходимо уточнение.
Поддерживаемые платформы
Microsoft Intune поддерживает автоматическую регистрацию устройств для мобильных устройств Apple, включая iOS/iPadOS, tvOS и visionOS. Администратор может создавать, изменять, удалять и назначать устройствам политику автоматической регистрации устройств, зависят от платформы.
| Платформа | Статья о настройке | Описание |
|---|---|---|
| iOS/iPadOS | Создание политики регистрации для iOS/iPadOS | Сходство пользователей, нет сопоставления пользователей |
| tvOS | Создание политики регистрации для tvOS | Нет сопоставления пользователей |
| visionOS | Создание политики регистрации для VisionOS | Нет сопоставления пользователей |
tvOS и visionOS поддерживают автоматическую регистрацию устройств без сходства пользователей. Эти платформы регистрируются с помощью модели подготовки без пользователей и поддерживают политики управления, предназначенные для устройств. Настройка устройства выполняется с помощью Помощника по настройке Apple, а политики, предназначенные для устройств, применяются после регистрации.
Сведения о macOS см. в статье Обзор автоматической регистрации устройств Apple для macOS.
Поддерживаемые сценарии
| Сценарий | Поддерживается |
|---|---|
| защищенном режиме; | ✅ Устройства ADE находятся под контролем по умолчанию, что дает вам больший контроль управления. |
| Корпоративные устройства | ✅ Предназначен для устройств, приобретенных через Apple Business или Apple School Manager. |
| Развертывание с нулевым касанием | ✅ Устройства могут отправляться непосредственно пользователям. Регистрация начинается, когда устройство включается. |
| Массовая регистрация | ✅ Зарегистрируйте несколько устройств или тысячи устройств с помощью одной политики регистрации. |
| Устройства с одним назначенным пользователем | ✅ Поддерживается в iOS/iPadOS, а не в tvOS или visionOS. |
| Устройства без пользователей (киоск, совместное использование) | ✅ Поддерживается на всех мобильных платформах Apple. |
| Microsoft Entra режиме общего устройства | ✅ Поддерживается в iOS/iPadOS для рабочих сценариев первой линии. |
| Apple Shared iPad | ✅ Поддерживается в iPadOS. |
| BYOD или личные устройства | ❌ Не поддерживается. Вместо этого используйте MAM или регистрацию пользователей и устройств . |
| Учетные записи диспетчера регистрации устройств (DEM) | ❌ Не поддерживается. |
| Устройства, управляемые другим поставщиком MDM | ❌Пользователи должны отменить регистрацию у текущего поставщика MDM перед регистрацией в Intune. Сведения о переносе устройств см. в статье Apple, упрощающая миграцию устройств на Microsoft Intune с предстоящим выпуском ОС 26 в Центре сообщества Майкрософт. |
Принцип работы ADE
Настройка ADE в Intune включает три основных задачи:
Получение маркера программы регистрации. Создайте отношения доверия между Intune и Apple Business. Обычно это одноразовая задача настройки для каждого маркера. Дополнительные сведения см. в разделе Настройка токена регистрации.
Создание и назначение политики регистрации. Настройте интерфейс регистрации для устройств, включая сопоставление пользователей, метод проверки подлинности и экраны помощника по настройке. Затем назначьте политику группам устройств.
Синхронизация и распространение устройств. Синхронизация записей устройств из Apple Business в Intune, а затем распространение устройств среди пользователей. Регистрация начинается автоматически с помощью Помощника по настройке Apple, когда устройство включено. Дополнительные сведения см. в статье Управляемые мобильные устройства и токены Apple.
Что такое защищенный режим
Защищенный режим обеспечивает больший контроль над корпоративными устройствами, поэтому вы можете выполнять такие действия, как блокировка захвата экрана и ограничение AirDrop.
Корпоративные устройства под управлением iOS/iPadOS 11 и более поздних версий, зарегистрированные с помощью автоматической регистрации устройств, всегда должны находиться в защищенном режиме, который можно включить в политике регистрации. Дополнительные сведения о защищенном режиме см. в разделе Включение защищенного режима. Microsoft Intune игнорирует флаг is_supervised для устройств под управлением iOS/iPadOS 13.0 и более поздних версий, так как эти устройства автоматически переводятся в защищенный режим во время регистрации.
Сертификаты
Этот тип регистрации поддерживает протокол ACME. При регистрации новых устройств профиль управления из Intune получает сертификат ACME. ACME обеспечивает лучшую защиту от несанкционированной выдачи сертификатов по сравнению с протоколом SCEP с помощью надежных механизмов проверки и автоматизированных процессов, что помогает сократить количество ошибок при управлении сертификатами.
ACME поддерживается в следующих службах:
- iOS 16.0 или более поздней версии
- iPadOS 16.1 или более поздней версии
- tvOS 26.0 или более поздней версии
- visionOS 26.0 или более поздней версии
Регистрация устройств в режиме общего устройства
Вы можете настроить автоматическую регистрацию устройств в режиме общего устройства. Режим общего устройства — это функция Microsoft Entra ID, которая позволяет сотрудникам переднего плана совместно использовать одно устройство в течение дня, вход и выход по мере необходимости. Дополнительные сведения о том, как включить регистрацию для устройств в режиме Microsoft Entra общего устройства, см. в статье Автоматическая регистрация устройств в режиме общего устройства.
Подготовка к работе
Перед настройкой ADE в Intune убедитесь, что на всех платформах используется следующее:
-
лицензирование Microsoft Intune Suite.
- Microsoft Intune план 2 требуется для управления устройствами tvOS и visionOS.
- Microsoft Intune (план 1) является минимальным требованием для управления устройствами iOS/iPadOS.
- Доступ к Apple Business или Apple School Manager.
- Push-сертификат Apple MDM в Intune.
- Активный токен ADE (P7m-файл), связывающий учетную запись Apple Business или Apple School Manager с Intune. Инструкции см. в разделе Настройка маркера ADE.
- Новые или уничтоженные корпоративные устройства, добавленные в Apple Business или Apple School Manager.
Кроме того, определите, как пользователи будут проходить проверку подлинности:
Помощник по настройке с современной проверкой подлинности (рекомендуется):
- Поддерживается в iOS/iPadOS 13.0 и более поздних версиях.
- Поддерживает многофакторную проверку подлинности и JIT-регистрацию, устраняя необходимость в Корпоративный портал приложения при настройке с помощью политики конфигурации устройства.
приложение Корпоративный портал Intune:
- Также поддерживает современную проверку подлинности и многофакторную проверку подлинности.
- По-прежнему требуется, чтобы пользователи завершили регистрацию Microsoft Entra через приложение.
Помощник по настройке (устаревшая версия):
- Поддерживает устройства под управлением iOS/iPadOS более ранней версии, чем 13.0.
- Не рекомендуется или не поддерживается.
Важно!
Мы рекомендуем использовать помощник по настройке с современной проверкой подлинности для всех сценариев автоматической регистрации устройств (ADE) с сопоставлением пользователей и устройств. Избегайте использования устаревшей проверки подлинности.
Регистрация tvOS и visionOS происходит без сходства пользователей. Для этих типов устройств выбор проверки подлинности не требуется. Дополнительные сведения о параметрах проверки подлинности см. в статье Методы проверки подлинности для автоматической регистрации устройств.