Настройка автоматической регистрации устройств для iOS/iPadOS

Применимо к iOS/iPadOS

В этой статье описывается создание политики регистрации для автоматической регистрации устройств iOS/iPadOS в Microsoft Intune. Общие сведения о ADE и настройке предварительных требований см. в статье Обзор автоматической регистрации устройств Apple.

Предварительные условия

Связанные конфигурации

Если ваша организация использует управление доступом Apple, при необходимости можно настроить параметры управления доступом Apple в Apple Business или Apple School Manager, чтобы управлять устройствами iOS/iPadOS, на которые пользователи могут выполнять вход с помощью учетных записей Apple, а также какие приложения и службы доступны. Эти параметры настраиваются в Apple и применяются Microsoft Intune после регистрации. Они не требуются для завершения настройки ADE. Дополнительные сведения см. в статье Настройка доступа к службе для учетных записей Apple.

Развертывание приложения Корпоративный портал

При использовании автоматической регистрации устройств (ADE) разверните приложение Корпоративный портал Intune с помощью Intune, а не через App Store. Развертывание с помощью Intune — это единственный способ:

• Убедитесь, что все устройства ADE, включая уже зарегистрированные, получают приложение.
• Включите автоматическое обновление приложений для Корпоративный портал на устройствах ADE.

Развертывание Корпоративный портал в качестве приложения VPP

Разверните приложение в качестве обязательного приложения VPP с лицензированием устройства. Сведения о синхронизации, назначении и управлении приложением VPP см. в разделе Назначение приложения, приобретенного томом.

Чтобы включить автоматическое обновление приложений для Корпоративный портал, перейдите к параметрам маркера приложения в Центре администрирования и измените значение Автоматические обновления приложений на Да. Инструкции по доступу к параметрам маркера маркера для доступа к параметрам маркера см. в разделе Отправка токена Apple VPP или Apple Business . Если автоматическое обновление не включено, пользователь устройства должен вручную проверка для них.

Этап устройства (переход от сходства пользователей к сходству пользователей)

Промежуточное устройство используется для перехода устройства без сопоставления пользователей к устройству с сходством пользователей. Чтобы подготовить устройство, настройте развертывание VPP, как описано ранее. Затем настройте и разверните политику конфигурации приложений. Убедитесь, что политика предназначена только для тех устройств ADE без сопоставления пользователей.

Создание политики регистрации Apple

Создайте политику регистрации для автоматической регистрации устройств. Политика регистрации устройств определяет параметры, применяемые к группе устройств во время регистрации. Существует ограничение в 1000 политик регистрации на каждый токен регистрации.

1. В центре администрирования Microsoft Intune перейдите в раздел Устройства.

2. Разверните узел Подключение устройств, а затем выберите Регистрация.

3. Перейдите на вкладку Apple mobile (Мобильные устройства Apple ).

4. Выберите Токены программы регистрации.

5. Выберите маркер, а затем выберите Политики регистрации.

6. Выберите Создать политику>iOS/iPadOS.

7. В разделе Основные сведения присвойте политике имя и описание для административных целей. Эти сведения не отображаются для пользователей.

8. Нажмите кнопку Далее.

   Важно!

   Прежде чем устройства станут активными, необходимо назначить политику регистрации. Рекомендуется как можно скорее настроить политику регистрации по умолчанию, чтобы при синхронизации устройств из Apple Business или Apple School Manager они могли правильно регистрироваться с помощью автоматической регистрации устройств. Если устройству, синхронизированному из Apple, не назначена политика регистрации и кто-то включает ее, чтобы настроить ее, регистрация завершается ошибкой.

   Важно!

   Если вы внесете изменения в существующую политику регистрации, новые параметры не вступают в силу на назначенных устройствах до тех пор, пока устройства не вернутся к заводским параметрам и не активируются повторно. Параметр шаблона имени устройства является единственным параметром, который можно изменить, который не требует сброса до заводских настроек. Изменения в шаблоне именования вступают в силу на следующем проверка.

9. В списке Сопоставление пользователей выберите параметр, определяющий, должны ли устройства с этой политикой регистрироваться с назначенным пользователем или без нее.

   • Регистрация с сопоставлением пользователей. Выберите этот параметр для устройств, принадлежащих пользователям, которые хотят использовать Корпоративный портал для таких служб, как установка приложений. Регистрация с сопоставлением пользователей также называется регистрацией с пользователем.

   • Регистрация без сопоставления пользователей. Выберите этот параметр для устройств, которые не связаны с одним пользователем. Этот параметр подходит для устройств, у которых нет доступа к локальным данным пользователя. Этот вариант обычно используется для киосков, точек продаж (POS) или служебных устройств общего пользования. Регистрация без сопоставления пользователей также называется регистрацией без пользователей.

     В некоторых ситуациях может потребоваться связать основного пользователя с устройствами, зарегистрированными без сопоставления пользователей. Для этого вы можете отправить ключ IntuneUDAUserlessDevice в приложение Корпоративного портала в политике конфигурации приложения для управляемых устройств. Первый пользователь, который входит в приложение Корпоративного портала, задается как основной пользователь. Если первый пользователь выполняет выход, а второй пользователь — вход, основным пользователем устройства будет первый пользователь. См. раздел Настройка приложения корпоративного портала для поддержки устройств с iOS и iPadOS ADE.

   • Регистрация с Microsoft Entra ID режиме общего доступа. Выберите этот параметр, чтобы зарегистрировать устройства, которые будут находиться в режиме общего доступа.

10. Если для поля Сходство пользователей выбран параметр Зарегистрироваться с сопоставлением пользователей, можно выбрать метод проверки подлинности, который должны использовать сотрудники. Дополнительные сведения о каждом методе проверки подлинности см. в разделе Методы проверки подлинности для автоматической регистрации устройств.

    

    Доступны следующие параметры:

    • Корпоративный портал
    • Помощник по настройке с современной проверкой подлинности

    Важно!

    Мы рекомендуем использовать помощник по настройке с современной проверкой подлинности для устройств Apple для сценариев ADE (автоматическая регистрация устройств) с сопоставлением пользователей. Хотя использование устаревшей проверки подлинности остается доступным, мы не рекомендуем использовать ее.

11. Если для метода проверки подлинности выбран помощник по настройке (устаревшая версия), но вы также хотите использовать условный доступ или развернуть корпоративные приложения на устройствах, необходимо установить Корпоративный портал на устройствах и войти в систему, чтобы завершить регистрацию Microsoft Entra. Для этого выберите Да для параметра Установить Корпоративный портал. Если вы хотите, чтобы пользователи получали Корпоративный портал без проверки подлинности в App Store, в разделе Установка Корпоративный портал с помощью VPP выберите токен VPP. Для успешного развертывания убедитесь, что срок действия токена не истекает и у вас достаточно лицензий на приложение "Корпоративный портал" для устройств.

12. Если вы выбрали токен для варианта Установить приложение "Корпоративный портал" по токену VPP, вы можете блокировать устройства в режиме одиночного приложения (в частности, приложения "Корпоративный портал") сразу после завершения работы помощника по настройке. Выберите вариант Да для варианта Запускать Корпоративный портал в режиме одиночного приложения до проверки подлинности, чтобы установить этот параметр. Чтобы использовать устройство, пользователь должен сначала пройти проверку подлинности, войдя в Корпоративный портал.

    Примечание.

    Многофакторная проверка подлинности не поддерживается на одном устройстве, заблокированном в режиме одиночного приложения. Это ограничение существует, так как устройство не может переключиться на другое приложение для выполнения второго фактора проверки подлинности. Если требуется многофакторная проверка подлинности на устройстве в режиме одиночного приложения, второй фактор должен находиться на другом устройстве.

    Эта функция поддерживается только для iOS и iPadOS версии 11.3.1 и выше.

    

13. Если вы хотите, чтобы устройства, использующие эту политику, были защищенными, выберите Да в списке Защищенные .

    

    Для защищенных устройств поддерживается больше возможностей управления, а также по умолчанию отключена блокировка активации. Рекомендуется использовать ADE в качестве механизма включения защищенного режима, особенно если вы развертываете большое количество устройств iOS/iPadOS. Общие устройства Apple iPad для бизнеса должны быть защищены.

    Пользователи получают уведомления о том, что их устройства находятся под контролем в приложении "Параметры ". В приложении в верхней части экрана статическое сообщение сообщает, что этот iPhone контролируется и управляется <your organization>.

    Примечание.

    Если устройство зарегистрировано без защиты, необходимо использовать конфигуратор Apple, чтобы включить защищенный режим. Чтобы сбросить устройство таким образом, необходимо подключить его к компьютеру Mac с помощью USB-кабеля. Дополнительные сведения см. в справке по конфигуратору Apple.

14. В списке Регистрация заблокирована выберите Да или Нет. Заблокированная регистрация отключает параметры iOS/iPadOS, которые позволяют удалять профиль управления. Если включить заблокированную регистрацию, кнопка в приложении "Параметры", которая позволяет пользователям удалять профиль управления, будет скрыта, и пользователи не смогут отменить регистрацию устройства. Если вы настраиваете устройства в режиме Microsoft Entra ID общего доступа, нажмите кнопку Да.

    Заблокированная регистрация работает немного иначе, сначала на устройствах, которые изначально не были приобретены через Apple Business, но позже добавлены в состав автоматической регистрации устройств: пользователи на этих устройствах могут видеть кнопку "Удалить управление" в приложении "Параметры" в течение первых 30 дней после активации устройства. По истечении этого предварительного периода этот параметр будет скрыт. Дополнительные сведения см. в разделе Подготовка устройств вручную (откроется справка Apple Configurator).

    Важно!

    Этот параметр отличается от параметров удаления и сброса в приложении Корпоративный портал. Независимо от того, как вы настраиваете заблокированную регистрацию, параметры Удалить устройство или Сброс заводских настроек в приложении Корпоративный портал остаются недоступными на устройствах, зарегистрированных с помощью автоматической регистрации устройств. Пользователи также не смогут удалить устройство на веб-сайте Корпоративный портал. Дополнительные сведения о действиях самообслуживания, доступных на зарегистрированных устройствах, см. в разделе Действия самообслуживания.

15. Если вы выбрали Регистрация без сопоставления пользователей и Защищено, необходимо решить, следует ли настроить устройства как общие устройства Apple iPad для бизнеса. Выберите Да для параметра Общий iPad, чтобы несколько пользователей могли входить в систему с одного устройства. Пользователи проходят проверку подлинности с помощью управляемых идентификаторов Apple ИД и учетных записей федеративной проверки подлинности или с помощью временного сеанса (например, гостевой учетной записи). Для этого параметра требуется iOS/iPadOS 13.4 или более поздней версии. На общем iPad все панели помощника по настройке после активации автоматически пропускаются.

    Примечание.

    • Очистка устройства потребуется, если политика регистрации iOS/iPadOS с включенным общим iPad отправляется на неподдерживаемое устройство. К неподдерживаемым устройствам относятся любые модели iPhone и устройства iPad под управлением iPadOS/iOS 13.3 и более ранних версий. К поддерживаемым устройствам относятся iPad под управлением iPadOS 13.3 и более поздней версии.
    • Для настройки общего устройства Apple iPad для бизнеса, задайте следующие параметры:
      • В списке Сопоставление пользователей выберите Регистрация без сопоставления пользователей.
      • В списке Защищено выберите Да.
      • В списке Общий iPad выберите Да.

    Если вы настраиваете общее устройство Apple iPad для бизнеса, также настройте:

    • Максимальное число пользователей в кэше: задайте для этого параметра число пользователей, которые будут использовать общий iPad. Вы можете кэшировать до 24 пользователей на устройстве с объемом памяти 32 ГБ или 64 ГБ. Если указать небольшое число, может потребоваться некоторое время, чтобы данные пользователей отобразились на устройствах после входа. При выборе слишком большого значения у пользователей может закончится место на диске.

    • Максимальное количество секунд после блокировки экрана до ввода пароля. Введите время в секундах. Допустимые значения: 0, 60, 300, 900, 3600 и 14400. Если блокировка экрана превышает это время, для разблокировки устройства потребуется пароль устройства. Доступно для устройств в режиме общего iPad под управлением iPadOS 13.0 и более поздних версий.

    • Максимальное время бездействия (в секундах) до завершения сеанса пользователя: минимально допустимое значение для этого параметра — 30. Если после определенного периода действия нет, сеанс пользователя завершается и выходит из него. Если оставить запись пустой или задать для нее значение нуля (0), сеанс никогда не завершится из-за бездействия. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

    • Требовать только временный сеанс общего устройства iPad: настраивает устройства так, что пользователям отображается только гостевая версия интерфейса входа и им требуется входить как гостям. Пользователи не могут войти с помощью управляемого Apple ID. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

      Если задано значение Да, этот параметр отменяет следующие общие параметры iPad, так как они не применяются во временных сеансах:

      • Максимальное число пользователей в кэше
      • Максимальное время (в секундах) после блокировки экрана, по истечении которого запрашивается пароль
      • Максимальное время бездействия (в секундах) до завершения сеанса пользователя

    • Максимальное время бездействия (в секундах) до завершения временного сеанса: минимально допустимое значение для этого параметра — 30. Если по истечении определенного периода действия нет, временный сеанс завершается и выходит из него. Если оставить запись пустой или задать для нее значение нуля (0), сеанс никогда не завершится из-за бездействия. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

      Этот параметр доступен, если для параметра Требовать только временный сеанс общего устройства iPad установлено значение Да.

    Примечание.

    • Если временные сеансы включены, все данные пользователя удаляются при выходе из сеанса. Это означает, что все целевые политики и приложения будут переходить к пользователю при входе и будут удаляться при выходе.
    • Чтобы изменить конфигурацию общих iPad, чтобы не было временных сеансов, устройство должно быть полностью сброшено, а новая политика регистрации с обновленными конфигурациями должна быть отправлена на iPad.

16. Для окончательной конфигурации Await доступны следующие параметры:

    • Да. Включите заблокированный интерфейс в конце помощника по настройке, чтобы убедиться, что на устройстве установлены наиболее важные политики конфигурации устройства. Непосредственно перед загрузкой начального экрана помощник по настройке приостанавливает работу и позволяет Intune проверка с устройством. Взаимодействие с конечными пользователями блокируется, пока пользователи ожидают окончательных конфигураций.

      Время, в течение которого пользователи находятся на экране ожидания окончательной конфигурации, зависит от общего количества политик и приложений, применяемых к устройству. Чем больше политик и приложений назначено устройству, тем больше время ожидания. Помощник по настройке и Microsoft Intune не применяют минимальное или максимальное ограничение времени во время этой части установки. Во время проверки продукта большинство протестированных устройств были выпущены и получили доступ к начальной странице в течение 15 минут. Если вы включили эту функцию и используете пользователей за пределами Корпорации Майкрософт для подготовки устройств, сообщите им о возможности увеличения времени подготовки.

      Примечание.

      Только политики конфигурации устройств начинают устанавливаться на экране ожидания окончательной конфигурации, и приложения не включаются в этот процесс.

      Заблокированный интерфейс работает на устройствах с новыми и существующими политиками регистрации. Поддерживаемые устройства включают:

      • Устройства iOS/iPadOS 13 и более поздних версий, зарегистрированные с помощью помощника по настройке с современной проверкой подлинности
      • Устройства iOS/iPadOS 13 и более поздних версий, зарегистрированные без сопоставления пользователей
      • Устройства iOS/iPadOS 13 и более поздних версий, зарегистрированные в Microsoft Entra ID общем режиме

      Этот параметр применяется один раз во время встроенной автоматической регистрации устройств в помощнике по настройке. Пользователь устройства не будет испытывать его снова, если он не повторно зарегистрировать свое устройство. Да — это параметр по умолчанию для новых политик регистрации.

    • Нет. Устройство освобождается на начальном экране после завершения работы помощника по настройке, независимо от состояния установки политики. Пользователи устройств могут получить доступ к начальнму экрану или изменить параметры устройства до установки всех политик. No — это параметр по умолчанию для существующих политик регистрации.

    Параметр конфигурации await недоступен в политиках с таким сочетанием конфигураций:

    • Сходство пользователей: регистрация без сопоставления пользователей (шаг 6 в этом разделе)
    • Общий iPad: да (шаг 12 в этом разделе)

17. При необходимости создайте шаблон имени устройства, чтобы быстро определить устройства, назначаемые этой политике, в Центре администрирования. Intune использует шаблон для создания и форматирования имен устройств. Имена присваиваются устройствам при регистрации и при каждом последующем проверка входа. Чтобы создать шаблон, выполните приведенные далее действия.

18. В разделе Применить шаблон имени устройства выберите Да .

19. В поле Шаблон имени устройства введите шаблон, который вы хотите использовать для создания имен устройств. Шаблон может включать тип устройства и серийный номер. Он не может содержать более 63 символов, включая переменные. Пример: {{DEVICETYPE}}-{{SERIAL}}

20. Вы можете активировать тарифный план передачи данных. Этот параметр применяется к устройствам под управлением iOS/iPadOS 13.0 и более поздних версий. При настройке этого параметра отправляется команда для активации тарифных планов передачи данных для мобильных устройств с поддержкой eSim. Ваш оператор должен предоставить активацию для ваших устройств, прежде чем вы сможете активировать тарифные планы с помощью этой команды. Чтобы активировать тарифный план, выберите Да, а затем введите URL-адрес сервера активации оператора.

21. Нажмите кнопку Далее.

22. На вкладке Помощник по настройке настройте следующие параметры политики:

    Параметры отдела	Описание
    Department	Отображается, когда пользователь выбирает пункт О конфигурации во время активации.
    Телефон отдела	Отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.

    Экраны помощника по настройке можно скрыть на устройстве во время настройки пользователя. Описание всех экранов см. в справочнике по экрану помощника по настройке (в этой статье).

    • Если нажать кнопку Скрыть, экран не будет отображаться во время установки. После настройки устройства пользователь по-прежнему может перейти в меню Параметры, чтобы настроить эту функцию.
    • Если нажать кнопку Показать, экран отображается во время установки, но только при наличии шагов, которые необходимо выполнить после восстановления или после обновления программного обеспечения. Иногда пользователь может пропустить экран без выполнения действия. Позже он может открыть меню Параметры, чтобы настроить эту функцию.
    • На общем iPad все панели помощника по настройке после активации автоматически пропускаются независимо от конфигурации.

23. Нажмите кнопку Далее.

24. Чтобы сохранить политику, выберите Создать.

Динамические группы в Microsoft Entra ID

Поле Имя регистрации можно использовать для создания динамической группы в Microsoft Entra ID. Дополнительные сведения см. в разделе Microsoft Entra динамических групп.

Имя политики можно использовать для определения параметра enrollmentProfileName для назначения устройств с этой политикой регистрации.

Перед настройкой устройства и, чтобы обеспечить быструю доставку на устройства с сопоставлением пользователей, убедитесь, что зарегистрированный пользователь является членом Microsoft Entra группы пользователей.

При назначении динамических групп политикам регистрации может возникнуть задержка при доставке приложений и политик на устройства после регистрации.

Справочник по экрану помощника по настройке

В следующей таблице описаны экраны помощника по настройке, отображаемые во время автоматической регистрации устройств для iOS/iPadOS. Эти экраны можно отобразить или скрыть на поддерживаемых устройствах во время регистрации. Дополнительные сведения о том, как каждый экран помощника по настройке влияет на взаимодействие с пользователем, см. в следующих ресурсах Apple:

• Руководство по развертыванию платформы Apple. Управление помощником по настройке для устройств Apple
• Документация для разработчиков Apple: SkipKeys

Назначение политики регистрации устройствам

Перед регистрацией устройств необходимо назначить им политику регистрации.

1. В центре администрирования Microsoft Intune перейдите в раздел Устройства.
2. Разверните узел Подключение устройств, а затем выберите Регистрация.
3. Перейдите на вкладку Apple .
4. Выберите Токены программы регистрации.
5. Выберите токен регистрации.
6. Выберите Устройства.
7. Выберите все устройства, которые вы хотите назначить, а затем выберите Назначить политику.
8. В разделе Назначение политики выберите политику автоматической регистрации устройств, созданную для устройств, а затем щелкните Назначить.

Назначение политики по умолчанию

Вы можете выбрать политику по умолчанию, которая будет применяться ко всем устройствам, зарегистрированным с помощью определенного маркера.

1. В Центре администрирования вернитесь к разделу Токены программы регистрации.
2. Выберите токен регистрации.
3. Выберите Задать политику по умолчанию.
4. Выберите политику в списке и нажмите кнопку Сохранить. Здесь Intune применяет политику ко всем устройствам, зарегистрированным с помощью выбранного маркера регистрации.

Ограничения

Эти экраны помощника по настройке неправильно работают на устройствах под управлением iOS/iPadOS 14.5 и более поздних версий:

• Секретный код
• Touch ID и Face ID

Скрыть оба экрана на устройствах под управлением iOS/iPadOS 14.5 и более поздних версий. Если вы хотите требовать секретные коды на этих устройствах, создайте политику конфигурации устройства или политику соответствия требованиям к секретным кодам. После того как пользователь регистрируется и получает политику, вступает в силу требование секретного кода.

Дальнейшие действия

• Сведения о синхронизации устройств, назначении политик регистрации и распространении устройств среди пользователей см. в разделе Управление устройствами ADE.
• Сведения о продлении или удалении маркера программы регистрации см. в статье Настройка маркера ADE.
• Сведения об устранении неполадок см. в статье Устранение неполадок с регистрацией устройств iOS/iPadOS.