Руководство по регистрации. Регистрация мобильных устройств Apple в Microsoft Intune

Личные и принадлежащие организации устройства можно регистрировать в Intune. После регистрации они получат создаваемые вами политики. Мобильные устройства Apple включают следующие платформы:

  • iOS/iPadOS
  • tvOS
  • visionOS

При регистрации мобильных устройств Apple доступны следующие варианты:

В этой статье содержатся рекомендации по регистрации и общие сведения о задачах администратора и пользователя для каждого варианта.  

Также есть наглядное руководство по различным вариантам регистрации для каждой платформы:

Визуальное представление параметров регистрации Intune по платформе
Скачать версию PDF | Скачать версию Visio

Совет

Подготовка к работе

Все необходимые Intune предварительные требования и конфигурации, необходимые для подготовки клиента к регистрации, см. в статье Руководство по регистрации: Microsoft Intune регистрации.

Примечание.

Для новых и существующих клиентов может произойти однократный сбой при завершении Microsoft Entra ID присоединения. Эту проблему можно устранить, вручную синхронизируя устройство из центра администрирования Intune либо с устройства на веб-сайте Корпоративный портал Intune или в приложении Корпоративный портал. Если произойдет сбой, это произойдет только с одним устройством, завершив Microsoft Entra ID регистрации для клиента. Ручная синхронизация позволит устранить эту проблему для всех будущих регистраций. Кроме того, в качестве обходного решения добавьте в клиент рабочее приложение центра сертификации Microsoft Intune. Для этого администратор Microsoft Entra должен создать объект субъекта-службы с идентификатором приложения 3dde09a2-ff4f-4ebd-9b9a-d24a7a819b6f в PowerShell или Microsoft Graph.

Автоматическая регистрация устройств (ADE) (защищенная)

Используйте на устройствах, принадлежащих вашей организации. Этот параметр настраивает параметры с помощью Apple Business или Apple School Manager (ASM). Он регистрирует большое количество устройств, не требуя от вас брать в руки хоть одно из них. Эти устройства приобретаются у компании Apple, получают ваши предварительно настроенные параметры и могут быть отправлены непосредственно пользователям или в школы. Вы создаете политику регистрации в Центре администрирования Intune и отправляете ее на устройства.

Дополнительные сведения об этом типе регистрации см. по следующему разделу:

Функция Используйте этот вариант регистрации, когда:
Вам нужен защищенный режим.

В защищенном режиме развертываются обновления программного обеспечения, ограничиваются функции, разрешаются и блокируются приложения и выполняется многое другое.
Устройства принадлежат организации или школе.
У вас есть новые устройства.
Необходима регистрация множества устройств (массовая регистрация).
Устройства связаны с единственным пользователем.

Поддерживается для iOS/iPadOS. не tvOS или visionOS.
Устройства не имеют пользователей — например, киоски или выделенные устройства.
Устройства являются личными или BYOD.

Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM (открывается другая статья Майкрософт) или регистрации пользователей и устройств (в этой статье).
У вас уже есть устройства.

Уже имеющиеся устройства следует регистрировать с помощью Apple Configurator (раздел этой статьи).
Устройства находятся под управлением другого поставщика MDM.

Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Вы также можете использовать MAM для управления определенными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune.
Вы используете учетную запись диспетчера регистрации устройств (DEM).

Учетная запись DEM не поддерживается.

Задачи администраторов ADE

Этот список задач содержит общие сведения. Дополнительные сведения см. в разделе Регистрация в Apple Business или Регистрация в Apple School Manager.

  • Убедитесь, что устройства поддерживаются.

  • Требуется доступ к порталу Apple Business или порталу Apple School Manager (ASM).

  • Убедитесь, что активен токен Apple (.p7m). Дополнительные сведения см. в разделе Настройка токена ADE для мобильных устройств Apple.

  • Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации мобильных устройств Apple. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.

  • Определите, как пользователи будут проходить проверку подлинности на устройствах iOS/iPadOS: помощник по настройке с современной проверкой подлинности (рекомендуется) или Корпоративный портал приложение. Это решение необходимо принять перед созданием политики регистрации. "Современной проверкой подлинности" считается использование приложения Корпоративный портал или Помощника по настройке с современной проверкой подлинности. Сходство пользователей не поддерживается в tvOS и visionOS, поэтому вам не нужно выбирать метод проверки подлинности для этих устройств.

    • Выбирайте приложение Корпоративный портал в следующих случаях:

      • Вы хотите очистить устройство.
      • Вы хотите использовать многофакторную проверку подлинности (MFA).
      • Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
      • Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
      • Требуется, чтобы устройства регистрировались в Microsoft Entra ID. После регистрации вы можете использовать функции, доступные для Microsoft Entra ID, такие как условный доступ.
      • Вы хотите установить приложение Корпоративный портал автоматически во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
      • Пока приложение Корпоративный портал не будет установлено, рекомендуется заблокировать устройство. После установки пользователи входят в приложение Корпоративный портал с помощью учетной записи Microsoft Entra организации. При этом устройство разблокируется и его можно использовать.

    • Выбирайте Помощник по настройке с современной проверкой подлинности в следующих случаях:

      • Вы хотите очистить устройство.

      • Вы хотите использовать многофакторную проверку подлинности (MFA).

      • Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.

      • Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.

      • Требуется, чтобы устройства регистрировались в Microsoft Entra ID. После регистрации вы можете использовать функции, доступные для Microsoft Entra ID, такие как условный доступ.

      • Вы хотите установить приложение Корпоративный портал автоматически во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.

      • Вы хотите предоставить пользователям доступ к устройству даже без установленного приложения "Корпоративный портал".

        Если вы хотите, чтобы устройства регистрировались в Microsoft Entra ID, установите приложение Корпоративный портал. При создании политики регистрации и выборе помощника по настройке (устаревшая версия) можно установить приложение Корпоративный портал. Мы рекомендуем установить приложение Корпоративный портал во время регистрации.

    Примечание.

    Для проверки подлинности пользователей корпорация Майкрософт рекомендует использовать приложение Корпоративный портал или Помощник по настройке с современной проверкой подлинности.

    Какой вариант выбрать? Это может зависеть от ряда факторов.

    • Если вы хотите работать на устройстве до установки приложения "Корпоративный портал", используйте Помощник по настройке с современной проверкой подлинности.

      Во время помощника по настройке пользователи должны ввести учетные данные своей организации Microsoft Entra (user@contoso.com). После ввода учетных данных начнется регистрация и будет выполнена установка приложения "Корпоративный портал". При желании пользователи также могут ввести свой идентификатор Apple ID для доступа к определенным функциям Apple, таким как Apple Pay.

      После завершения работы Помощника по настройке пользователи получат доступ к устройству. Когда отобразится начальный экран, регистрация будет завершена и будет установлено сопоставление пользователей. Устройство не полностью зарегистрировано в Microsoft Entra ID и отображается как несоответствующее в списке устройств пользователя в Microsoft Entra ID. Устройство отображается как соответствующее в Центре администрирования Microsoft Intune.

      После установки приложения Корпоративный портал, что занимает некоторое время, пользователи открывают приложение Корпоративный портал и снова войдите с помощью учетной записи организации Microsoft Entra (user@contoso.com). Во время этого второго входа оцениваются все политики условного доступа и Microsoft Entra регистрация завершена. Пользователи получают возможность устанавливать и использовать ресурсы организации, в том числе бизнес-приложения. В Microsoft Entra ID устройство отображается как соответствующее.

    • Если вы не хотите работать на устройстве до установки приложения "Корпоративный портал", выберите вариант с приложением Корпоративный портал. Вариант с приложением Корпоративный портал блокирует устройство, пока это приложение не будет установлено. После завершения установки приложение "Корпоративный портал" автоматически откроется. Пользователи входят с помощью учетной записи Microsoft Entra организации (user@contoso.com) и могут использовать устройство.

  • Если вы используете приложение Корпоративный портал, решите, как приложение Корпоративный портал будет установлено на устройствах. Это решение необходимо принять перед созданием политики регистрации.

    Примечание.

    При проверке подлинности с помощью приложения "Корпоративный портал" корпорация Майкрософт рекомендует использовать программу Volume Purchase Program (VPP). Она обеспечивает лучшее взаимодействие с пользователем.

    Не устанавливайте приложение "Корпоративный портал" прямо из магазина приложений на устройства, зарегистрированные в ADE. Вместо этого установите приложение "Корпоративный портал", используя следующие параметры:

    • Токен VPP + регистрация новых устройств. Если у вас есть программа Volume Purchase Program (VPP) и вы регистрируете новые устройства, приложение "Корпоративный портал" будет приложено. При создании политики регистрации в Центре администрирования Intune выберите Установить Корпоративный портал с помощью VPP, сделать его обязательным и включить автоматическое обновление приложений.

      Данный параметр:

      • Включает правильную версию приложения "Корпоративный портал".
      • Однократная установка приложения Корпоративный портал.
      • Использует функцию автоматического обновления приложений, чтобы Intune могли отправлять обновления приложений. Дополнительные сведения см. в статье Развертывание приложения Корпоративный портал — ADE.

    • Токена VPP нет + регистрация новых устройств. Нет задач администратора. Убедитесь, что пользователи вводят их идентификатор Apple ID в помощнике по настройке.

      После завершения работы помощника по настройке приложение "Корпоративный портал" пытается выполнить автоматическую установку. Если пользователи не вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com), они будут постоянно получать запрос на ввод их идентификаторов Apple ID. Пользователи должны вводить свои идентификаторы Apple ID для получения приложения "Корпоративный портал" на своих устройствах. После установки приложения "Корпоративный портал" пользователи открывают его и вводят свои учетные данные организации (user@contoso.com). Пройдя проверку подлинности, пользователи могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.

    • Устройства уже зарегистрированы. Если устройства уже зарегистрированы, вне зависимости от наличия VPP используйте политику конфигурации приложений:

      1. В Центре администрирования Intune добавьте приложение Корпоративный портал в качестве обязательного приложения и в качестве приложения с лицензией устройства.
      2. Создайте политику конфигурации приложений, которая включает приложение "Корпоративный портал" в качестве лицензированного приложения устройства. Дополнительные сведения см. в разделе Настройка приложения Корпоративный портал для поддержки устройств DEP iOS и iPadOS.
      3. Разверните политику конфигурации приложений в той же группе устройств, что и политика регистрации.
      4. Когда устройства проверка со службой Intune, они получают вашу политику, а приложение Корпоративный портал устанавливается.

      Данный параметр:

      • Включает правильную версию приложения "Корпоративный портал".
      • Требуется создать политику регистрации и политику конфигурации приложений. В политике конфигурации приложений сделайте ее обязательным приложением, чтобы вы узнали, что приложение будет развернуто на всех ваших устройствах.
      • Приложение "Корпоративный портал" можно автоматически обновить, изменив существующую политику конфигурации приложений.

  • В Центре администрирования Intune создайте политику регистрации:

    • Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).
    • Выберите, где пользователи проходят проверку подлинности: помощник по настройке с современной проверкой подлинности (рекомендуется), приложение Корпоративный портал или помощник по настройке (устаревшая версия) (не рекомендуется).

    Дополнительные сведения и рекомендации см. в статье Автоматическая регистрация устройств Apple.

Задачи конечных пользователей ADE

При создании политики регистрации в Центре администрирования Intune вы можете связать пользователя с устройством (регистрация с сопоставлением пользователей) или иметь общие устройства (регистрация без сопоставления пользователей). Конкретные шаги зависят от того, как вы настраиваете политику регистрации. На общем iPad после активации все панели помощника по настройке автоматически пропускаются.

  • Регистрация с сопоставлением пользователей + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей и используйте приложение Корпоративный портал для проверки подлинности.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com). После ввода приложение Корпоративный портал автоматически устанавливается из политики регистрации. Автоматическая установка приложения "Корпоративный портал" может занять некоторое время.
    2. Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (user@contoso.com). При входе в систему начинается регистрация. По завершении регистрации, пользователи могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.

    Пользователям может потребоваться ввести дополнительные сведения. Дополнительные действия для конечных пользователей см. в разделе Регистрация устройства iOS, предоставляемого организацией.

  • Регистрация с сопоставлением пользователей + Помощник по настройке (прежних версий) + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и установите приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com).

    2. Помощник по настройке запрашивает информацию у пользователя.

    3. Приложение "Корпоративный портал" автоматически открывается. Оно должно оставить устройство в несменяемом режиме киоска. Открытие приложения "Корпоративный портал" может занять некоторое время. Пользователи выполняют вход под своими корпоративными учетными данными(user@contoso.com), и устройство регистрируется в Intune.

      На этом шаге устройство регистрируется в Microsoft Entra ID. Пользователи теперь могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.

  • Регистрация с сопоставлением пользователей + Помощник по настройке (прежних версий) – приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и не устанавливайте приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com).
    2. Помощник по настройке запрашивает информацию у пользователя и регистрирует устройство в Intune. Устройство не зарегистрировано в Microsoft Entra ID.

  • Регистрация с использованием сходства пользователей + Помощник по настройке с современной проверкой подлинности:

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация с сопоставлением пользователей и используйте помощник по настройке для проверки подлинности. Приложение Корпоративный портал устанавливается автоматически.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свой идентификатор Apple ID (user@iCloud.com или user@gmail.com) и свою организацию Microsoft Entra учетные данные (user@contoso.com).

      Когда пользователи вводят свои Microsoft Entra учетные данные, начинается регистрация.

    2. Помощник по настройке запросит у пользователя дополнительные сведения. Настройка завершена, когда появится начальный экран. Устройство полностью зарегистрировано, а сопоставление пользователей установлено. Пользователи могут использовать свои устройства и просматривать приложения и политики на своих устройствах.

      На этом этапе устройство не полностью зарегистрировано в Microsoft Entra ID и отображается как несоответствующее в Microsoft Entra ID. Устройство отображает его соответствие в Центре администрирования Microsoft Intune.

    3. Если вы устанавливаете приложение "Корпоративный портал" с использованием VPP (рекомендуется), приложение "Корпоративный портал" устанавливается автоматически. Пользователи открывают приложение "Корпоративный портал" и повторно входят со своей рабочей или учебной учетной записью (user@contoso.com). Они завершают регистрацию Microsoft Entra в приложении Корпоративный портал, которое полностью регистрирует устройство с помощью Microsoft Entra ID. Затем пользователи получают доступ к корпоративным ресурсам, защищенным политиками условного доступа, и устройство отображается как соответствующее в Microsoft Entra ID.

    4. Если вы не устанавливаете приложение "Корпоративный портал" с использованием VPP и хотите использовать приложение "Корпоративный портал":

      1. Пользователи входят в App Store Apple с помощью идентификатора Apple ID (user@iCloud.com или user@gmail.com). После их входа приложение "Корпоративный портал" устанавливается автоматически.

        Этот дополнительный шаг входа замедляет регистрацию, особенно если пользователи не входят сразу.

        Если они не входят в App Store, приложение "Корпоративный портал" не устанавливается. Если приложение не установлено, пользователи не смогут зарегистрировать устройство в Microsoft Entra ID. Так как устройство не завершило регистрацию, в Microsoft Entra ID устройство отображается как несоответствующее. Все ресурсы, зависящие от условного доступа, недоступны.

      2. Пользователи открывают приложение "Корпоративный портал" и повторно входят со своей рабочей или учебной учетной записью (user@contoso.com). Они завершают регистрацию Microsoft Entra в приложении Корпоративный портал, которое полностью регистрирует устройство с помощью Microsoft Entra ID. На следующем проверка пользователи получают доступ к корпоративным ресурсам, защищенным политиками условного доступа.

  • Регистрация без сопоставления пользователей. Действия не требуются. Убедитесь, что приложение Корпоративный портал не устанавливается из App Store Apple.

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью автоматической регистрации устройств (ADE). Выберите регистрация без сопоставления пользователей.

Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.

Регистрация в Apple Configurator

Используйте на устройствах, принадлежащих вашей организации. Включает в себя регистрацию без участия торгового посредника. Для этого варианта требуется физически подключить устройства с iOS/iPadOS к компьютеру Mac через порт USB.

Дополнительные сведения об этом типе регистрации см. в статье Регистрация Apple Configurator.

Функция Используйте этот вариант регистрации, когда:
Необходимо проводные подключения или имеются неполадки сети.
Ваша организация не хочет, чтобы администраторы использовали порталы Apple Business или ASM, или не хочет настраивать все требования.

Идея не использовать порталы Apple Business или ASM заключается в том, чтобы предоставить администраторам меньше контроля.
Страна или регион не поддерживают Apple Business или Apple School Manager (ASM).

Если ваша страна или регион поддерживает ABS или ASM, устройства должны быть зарегистрированы с помощью автоматической регистрации устройств (в этой статье).
Устройства принадлежат организации или школе.
У вас имеются новые или существующие устройства.
Необходима регистрация множества устройств (массовая регистрация).

При наличии большого количества устройств этот метод занимает некоторое время.
Устройства связаны с единственным пользователем.
Устройства не имеют пользователей — например, киоски или выделенные устройства.
Устройства являются личными или BYOD.

Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM (открывается другая статья Майкрософт) или регистрации пользователей и устройств (в этой статье).
Устройства находятся под управлением другого поставщика MDM.

Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Вы также можете использовать MAM для управления определенными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune.
Вы используете учетную запись диспетчера регистрации устройств (DEM).

Учетная запись DEM не поддерживается.

Задачи администратора Apple Configurator

Этот список задач содержит общие сведения. Дополнительные сведения см. в статье Регистрация Apple Configurator.

  • Требуется доступ к компьютеру Mac с USB-портом.

  • Убедитесь, что устройства поддерживаются.

  • Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.

  • Определите, как пользователи будут проходить проверку подлинности на своих устройствах: через приложение Корпоративный портал или помощник по настройке. Это решение необходимо принять перед созданием политики регистрации. Использование приложения "Корпоративный портал" считается более современной проверкой подлинности. Мы рекомендуем использовать приложение "Корпоративный портал".

    • Выбирайте приложение Корпоративный портал в следующих случаях:

      • Вы хотите использовать многофакторную проверку подлинности (MFA).
      • Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
      • Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
      • Требуется, чтобы устройства регистрировались в Microsoft Entra ID. После регистрации вы можете использовать функции, доступные для Microsoft Entra ID, такие как условный доступ.
      • Приложение Корпоративный портал желательно автоматически установить во время регистрации. Если в вашей компании используется программа Volume Purchase Program (VPP), вы можете автоматически установить приложение Корпоративный портал во время регистрации.

    • Выбирайте Помощник по настройке в следующих случаях:

      • Вы не хотите использовать современные функции проверки подлинности, такие как MFA.

      • Вы хотите очистить устройство.

      • Вы хотите импортировать серийные номера.

      • Вы не хотите регистрировать устройства в Microsoft Entra ID. Помощник по настройке проверяет подлинность пользователя с помощью экспортируемой политики регистрации, которую вы копируете на устройство. Если можно не регистрировать устройства в Microsoft Entra ID, вам не нужно устанавливать приложение Корпоративный портал. Продолжайте использовать помощник по настройке.

        Если вы хотите, чтобы устройства регистрировались в Microsoft Entra ID, установите приложение Корпоративный портал. При создании политики регистрации и выборе помощника по настройке можно установить приложение Корпоративный портал. Мы рекомендуем установить приложение Корпоративный портал во время регистрации.

  • Если вы используете приложение "Корпоративный портал", оно должно быть установлено на устройствах с помощью политики конфигурации приложений. Мы рекомендуем создать эту политику перед созданием политики регистрации.

    Не устанавливайте приложение "Корпоративный портал" прямо из магазина приложений на устройства, зарегистрированные в Apple Configurator. Вместо этого установите приложение "Корпоративный портал", используя следующие параметры:

    • Регистрация новых устройств. Нет задач администратора. Убедитесь, что пользователи вводят их идентификатор Apple ID в помощнике по настройке.

      После завершения работы помощника по настройке приложение "Корпоративный портал" пытается выполнить автоматическую установку. Если пользователи не вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com), они будут постоянно получать запрос на ввод их идентификаторов Apple ID. Пользователи должны вводить свои идентификаторы Apple ID для получения приложения "Корпоративный портал" на своих устройствах. После установки приложения "Корпоративный портал" пользователи открывают его и вводят свои учетные данные организации (user@contoso.com). Пройдя проверку подлинности, пользователи могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.

    • Устройства уже зарегистрированы. Если устройства уже зарегистрированы, используйте политику конфигурации приложений:

      1. В Центре администрирования Intune добавьте приложение Корпоративный портал в качестве обязательного приложения и в качестве приложения с лицензией устройства.
      2. Создайте политику конфигурации приложений, которая включает приложение "Корпоративный портал" в качестве лицензированного приложения устройства. Дополнительные сведения см. в разделе Настройка приложения Корпоративный портал для поддержки устройств DEP iOS и iPadOS.
      3. Разверните политику конфигурации приложений в той же группе устройств, что и политика регистрации.
      4. Когда устройства проверка со службой Intune, они получают вашу политику, а приложение Корпоративный портал устанавливается.

      Данный параметр:

      • Включает правильную версию приложения "Корпоративный портал".
      • Требуется создать политику регистрации и политику конфигурации приложений. В политике конфигурации приложений сделайте ее обязательным приложением, чтобы вы узнали, что приложение будет развернуто на всех ваших устройствах.
      • Приложение "Корпоративный портал" можно автоматически обновить, изменив существующую политику конфигурации приложений.

  • В Центре администрирования Intune создайте политику регистрации:

    • Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).

    • Если выбрать Регистрация без сопоставления пользователей, вы автоматически используете Прямую регистрацию. Помните:

      • Вы используете параметры из существующей политики регистрации macOS.
      • Пользователи не могут использовать приложения, для которых требуется пользователь, включая приложение "Корпоративный портал". Приложение "Корпоративный портал" не используется, не требуется или поддерживается при регистрации без сопоставления пользователей. Убедитесь, что пользователи не устанавливают приложение Корпоративный портал из App Store Apple.

  • Когда политика регистрации будет готова, usb подключите устройства к Mac и откройте приложение Apple Configurator . Когда приложение откроется, оно обнаруживает устройство, подключенное к USB, и развертывает созданную вами политику регистрации Intune.

Дополнительные сведения об этом параметре регистрации и его предварительных требованиях см. в статье Регистрация Apple Configurator.

Задачи конечного пользователя в Apple Configurator

Задачи зависят от параметра, настроенного в политике регистрации.

  • Регистрация с сопоставлением пользователей + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите регистрация с сопоставлением пользователей и используйте приложение Корпоративный портал для проверки подлинности.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (user@iCloud.com или user@gmail.com). После их ввода приложение "Корпоративный портал" автоматически устанавливается из магазина приложений. Автоматическая установка приложения "Корпоративный портал" может занять некоторое время.
    2. Откройте приложение "Корпоративный портал" и выполните вход с учетными данными организации (user@contoso.com). При входе пользователей в систему начинается регистрация. По завершении регистрации, пользователи могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.

    Пользователям может потребоваться ввести дополнительные сведения. Дополнительные действия см. в разделе Регистрация устройства iOS, предоставляемого организацией.

  • Регистрация с сопоставлением пользователей + помощник по настройке + приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите зарегистрировать с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и установите приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (user@contoso.com). Этот шаг регистрирует устройство в Intune.
    2. Помощник по настройке запрашивает у пользователя информацию, включая Apple ID (user@iCloud.com или user@gmail.com).
    3. Приложение "Корпоративный портал" автоматически устанавливается из магазина приложений. Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (user@contoso.com). На этом шаге устройство регистрируется в Microsoft Entra ID. Пользователи теперь могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.

  • Регистрация с сопоставлением пользователей + помощника по настройке – приложение "Корпоративный портал":

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите регистрация с сопоставлением пользователей, используйте помощник по настройке для проверки подлинности и не устанавливайте приложение Корпоративный портал.

    1. При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (user@contoso.com). Этот шаг регистрирует устройство в Intune.
    2. Помощник по настройке запрашивает у пользователя информацию, включая Apple ID (user@iCloud.com или user@gmail.com). На этом шаге на устройство отправляется профиль управления Intune.
    3. Пользователи устанавливают профиль управления. Профиль регистрируется в службе Intune и регистрирует устройство. Устройство не зарегистрировано в Microsoft Entra ID.

  • Регистрация без сопоставления пользователей. Вы используете прямую регистрацию. Действия не требуются. Убедитесь, что приложение Корпоративный портал не устанавливается из App Store Apple.

    В Центре администрирования Intune и Microsoft Intune зарегистрируйте устройства iOS/iPadOS с помощью Apple Configurator. Выберите регистрация без сопоставления пользователей.

Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.

BYOD: регистрация пользователей и устройств

Эти устройства iOS и iPadOS являются личными устройствами или устройствами BYOD ("принеси свое устройство"), которые могут получать доступ к электронной почте, приложениям и другим данным организации. Начиная с iOS 13 и более новых версий этот параметр регистрации предназначен для пользователей или устройств. Он не требуется для сброса устройств.

При создании политики регистрации вам будет предложено выбрать Регистрация устройства с помощью Корпоративный портал, Регистрация на основе учетной записи пользователя или Определить на основе выбора пользователя.

Конкретные шаги регистрации и их предварительные требования см. в разделах Настройка регистрации пользователей на основе учетной записи и Настройка регистрации устройств iOS/iPadOS.

Функция Используйте этот вариант регистрации, когда:
Устройства являются личными или BYOD.
Вы хотите защитить определенную функцию на устройстве, например VPN для каждого приложения.
У вас имеются новые или существующие устройства.
Необходима регистрация множества устройств (массовая регистрация).
Устройства связаны с единственным пользователем.
Устройства находятся под управлением другого поставщика MDM.

При регистрации устройства поставщики MDM устанавливают сертификаты и другие файлы. Эти файлы необходимо удалить. Самым быстрым способом может быть отмена регистрации или сброс до заводских настроек устройств. Если вы не хотите сбрасывать до заводских настроек, обратитесь к поставщику MDM.
Вы используете учетную запись диспетчера регистрации устройств (DEM).
Устройства принадлежат организации или школе.

Это делать не рекомендуется. Корпоративные устройства необходимо регистрировать через Автоматическую регистрацию устройств или Apple Configurator (разделы этой статьи).
Устройства не имеют пользователей — например, киоски или выделенные устройства.

Как правило, устройства, не имеющие пользователей, или общие устройства принадлежат организации. Эти устройства необходимо регистрировать через Автоматическую регистрацию устройств или Apple Configurator (разделы этой статьи).

Задачи администраторов по регистрации пользователей и устройств

В этом списке представлены общие сведения о задачах, необходимых администраторам.

  • Убедитесь, что устройства поддерживаются.

  • Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.

  • В центре администрирования Intune создайте политику регистрации. При создании политики регистрации у вас есть следующие варианты:

    • Регистрация устройств с помощью Корпоративный портал. Этот параметр является типичной регистрацией в приложении Корпоративный портал для личных устройств. Устройство управляется, а не только определенными приложениями или функциями. При использовании этого варианта учитывайте следующее:

      • Можно развернуть сертификаты, которые применяются ко всему устройству.
      • Пользователи должны устанавливать обновления. Только устройства, зарегистрированные с помощью автоматической регистрации устройств (ADE), могут получать обновления с помощью политик или профилей MDM.
      • Пользователь должен быть связан с устройством. Пользователь может быть учетной записью менеджера регистрации устройств.

    • Регистрация устройств через Интернет: начиная с iOS 15 и более поздней версии. Этот вариант похож на регистрацию устройства с помощью Корпоративный портал, но регистрация выполняется в веб-версии Корпоративный портал Intune, что устраняет необходимость в приложении. Кроме того, этот параметр позволяет сотрудникам и учащимся без управляемых идентификаторов Apple ID регистрировать устройства и получать доступ к приложениям, приобретенным по объему.

    • Определять в соответствии с выбором пользователя. Предоставляет конечным пользователям возможность выбора при регистрации. В зависимости от выбранного параметра используется регистрация пользователей на основе учетной записи или регистрация устройства .

    • Регистрация пользователей на основе учетной записи: начиная с iOS 13 и более новых версий. Этот параметр настраивает определенный набор функций и приложений организации, таких как пароль, VPN для каждого приложения, Wi-Fi и Siri. Если вы используете этот метод и для защиты приложений и их данных, рекомендуется также использовать политики защиты приложений.

      Полный список действий, которые можно и не удается сделать, см. в статье Обзор регистрации пользователей Apple в Microsoft Intune.

      Примечание.

      BYOD могут стать устройствами, принадлежащими организации. Чтобы сделать эти устройства корпоративными, перейдите в раздел Определение устройств как корпоративных.

      Регистрация на основе учетной записи считается более дружественной для конечных пользователей. Но он может не предоставлять набор функций и функции безопасности, необходимые администраторам. В некоторых сценариях регистрация пользователей на основе учетной записи может быть не лучшим вариантом. Рассмотрим следующие сценарии.

      • Регистрация пользователей на основе учетной записи создает рабочую секцию на устройствах. Функции и безопасность, настроенные в политике регистрации пользователей, существуют только в рабочей секции. Они не существуют в пользовательском разделе. Пользователи не могут сбрасывать рабочий раздел по заводским настройкам; администраторы могут. Пользователи могут сбрасывать личный раздел по заводским настройкам; администраторы не могут.

      • Если пользователи в основном используют приложения Майкрософт или приложения, созданные с помощью пакета SDK для приложений Intune, пользователи должны скачать эти приложения из App Store Apple. Затем используйте политики защиты приложений для защиты этих приложений. В этом сценарии регистрация пользователей на основе учетной записи не требуется.

      • Для бизнес-приложений (LOB) регистрация пользователей на основе учетной записи может быть вариантом, так как эти приложения развертываются в рабочей секции. Управление мобильными приложениями (MAM) не поддерживает бизнес-приложения. Поэтому, если вам нужны бизнес-приложения, используйте регистрацию пользователей на основе учетной записи.

      • Когда устройства регистрируются с помощью регистрации пользователей, управляемых учетной записью, вы не сможете переключиться на регистрацию устройств. С помощью регистрации пользователей, управляемой учетной записью, вы не сможете переместить приложение из неуправляемого в управляемое. Пользователям необходимо отменять регистрацию после регистрации пользователей, а затем повторно регистрироваться для регистрации устройств.

      • Если вы устанавливаете приложения до применения политики регистрации пользователей, то эти приложения не защищены и не управляются политикой регистрации пользователей.

        Например, пользователь скачивает приложение Outlook из App Store Apple. Приложение автоматически устанавливается в раздел пользователя на устройстве. Пользователь настраивает Outlook для личной электронной почты. Когда пользователи настраивают электронную почту организации, они блокируются условным доступом и получают запрос на регистрацию. Они регистрируются, и развертывается политика регистрации пользователей.

        Так как приложение Outlook было установлено до политики регистрации пользователей, политика регистрации пользователей завершается сбоем. Приложение Outlook не управляется, так как оно установлено и настроено в разделе пользователя, а не в рабочем разделе. Пользователь должен вручную удалить приложение Outlook.

        После удаления пользователи могут синхронизировать устройство вручную и, возможно, повторно применить политику регистрации пользователей. Кроме того, вам может потребоваться создать политику конфигурации приложения для развертывания Outlook и сделать его обязательным приложением. Затем разверните политику защиты приложений, чтобы защитить приложение и его данные.

  • Назначьте политику регистрации группам пользователей. Не назначайте его группам устройств.

Задачи конечных пользователей при регистрации устройств

Пользователи должны выполнить следующие действия.

  1. Перейдите на App Store Apple и установите приложение Корпоративный портал Intune.

  2. Откройте приложение Корпоративный портал и войдите с помощью рабочей или учебной учетной записи (user@contoso.com). После входа к устройству применяется политика регистрации.

    Пользователям может потребоваться ввести дополнительные сведения. Дополнительные действия см. в разделе Регистрация устройства.

Пользователи с включенными уведомлениями приложений получают запрос на возврат к приложению Корпоративный портал для завершения необходимой регистрации устройства. Пользователи с отключенными уведомлениями приложений не оповещаются об этом требовании. Если вы используете динамические группы, которые используют регистрацию устройств для работы, важно, чтобы пользователи завершили регистрацию устройства. Запланируйте информирование пользователей об этих шагах. Если вы используете политики условного доступа (ЦС), никаких действий не требуется, так как все пользователи приложений, защищенных ЦС, пытаются войти в систему, будут предлагать им вернуться в Корпоративный портал для завершения регистрации устройства.

После завершения регистрации Intune автоматически устанавливает на устройство сертификат подписи профиля. Этот сертификат действителен в течение одного года. В конце года, когда срок действия сертификата истекает, Intune продлевает сертификат. Если продление не удается, в параметрах vpn-& управления профилем управления> устройствами на устройстве отображается состояние "Не проверено". При этом состоянии конечные пользователи не затрагиваются, и устройства продолжают проверка с Intune и получать обновления политики.

Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.

Совет

Существует краткое видео с пошаговыми инструкциями, помогающее пользователям зарегистрировать свои устройства в Intune:

Регистрация устройства iOS/iPadOS

Задачи конечных пользователей при пользовательской регистрации

Пользователи должны выполнить следующие действия во время регистрации пользователей, управляемых учетной записью.

  1. Откройте приложение "Параметры" и перейдите в раздел Общие>& Управление устройствами VPN.
  2. Войдите в рабочую или учебную учетную запись.
  3. Следуйте инструкциям на экране и разрешите удаленное управление.
  4. Введите секретный код устройства, чтобы настроить удаленное управление.

После завершения регистрации Intune автоматически устанавливает на устройство сертификат подписи профиля. Этот сертификат действителен в течение одного года. В конце года, когда срок действия сертификата истекает, Intune продлевает сертификат. Если продление не удается, в параметрах vpn-& управления профилем управления> устройствами на устройстве отображается состояние "Не проверено". При этом состоянии конечные пользователи не затрагиваются, и устройства продолжают проверка с Intune и получать обновления политики.

Дополнительные сведения о пользовательском интерфейсе см. в статье Подготовка сотрудников к регистрации.

  • Last updated on