Руководство по регистрации. Регистрация устройств iOS и iPadOS в Microsoft Intune
Личные и принадлежащие организации устройства можно регистрировать в Intune. После регистрации устройства получают созданные вами политики и профили. При регистрации устройств iOS/iPadOS доступны следующие варианты:
- Автоматическая регистрация устройств (ADE)
- Конфигуратор Apple
- BYOD: регистрация пользователей и устройств
В этой статье содержатся рекомендации по регистрации и общие сведения о задачах администратора и пользователя для каждого параметра iOS/iPadOS.
Также есть наглядное руководство по различным вариантам регистрации для каждой платформы:
Скачать версию PDF | Скачать версию Visio
Совет
Это пошаговое руководство. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными.
Подготовка к работе
Все необходимые компоненты и конфигурации Для intune, необходимые для подготовки клиента к регистрации, см. в статье Руководство по регистрации: Регистрация в Microsoft Intune.
Автоматическая регистрация устройств (ADE) (защищенная)
Ранее именовалась программой регистрации устройств Apple (DEP). Используйте на устройствах, принадлежащих вашей организации. Этот вариант позволяет настроить параметры с помощью Apple Business Manager (ABM) или Apple School Manager (ASM). Он регистрирует большое количество устройств, не требуя от вас брать в руки хоть одно из них. Эти устройства приобретаются у компании Apple, получают ваши предварительно настроенные параметры и могут быть отправлены непосредственно пользователям или в школы. Вы создаете профиль регистрации в Центре администрирования Intune и отправляете его на устройства.
Дополнительные сведения об этом типе регистрации см. по следующему разделу:
- Регистрация устройств Apple Business Manager
- Регистрация Apple School Manager. Дополнительные сведения об Apple School Manager см. на странице Apple Education (откроется веб-сайт Apple).
Функция | Используйте этот вариант регистрации, когда: |
---|---|
Вам нужен защищенный режим. | ✅ В защищенном режиме развертываются обновления программного обеспечения, ограничиваются функции, разрешаются и блокируются приложения и выполняется многое другое. |
Устройства принадлежат организации или школе. | ✅ |
У вас есть новые устройства. | ✅ |
Необходима регистрация множества устройств (массовая регистрация). | ✅ |
Устройства связаны с единственным пользователем. | ✅ |
Устройства не имеют пользователей — например, киоски или выделенные устройства. | ✅ |
Устройства являются личными или BYOD. | ❌ Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM (открывается другая статья Майкрософт) или регистрации пользователей и устройств (в этой статье). |
У вас уже есть устройства. | ❌ Уже имеющиеся устройства следует регистрировать с помощью Apple Configurator (раздел этой статьи). |
Устройства находятся под управлением другого поставщика MDM. | ❌ Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune. |
Вы используете учетную запись диспетчера регистрации устройств (DEM). | ❌ Учетная запись DEM не поддерживается. |
Задачи администраторов ADE
Этот список задач содержит общие сведения. Дополнительные сведения см. в разделе Регистрация Apple Business Manager или Регистрация Apple School Manager.
Убедитесь, что устройства поддерживаются.
Необходим доступ к порталу Apple Business Manager (ABM) или Apple School Manager (ASM).
Убедитесь, что активен токен Apple (.p7m). Дополнительные сведения см. в статье Получение токена Apple ADE.
Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.
Решите, как пользователи будут проходить проверку подлинности на своих устройствах: через приложение Корпоративный портал, Помощник по настройке (прежних версий) или Помощник по настройке с современной проверкой подлинности. Примите это решение перед созданием профиля регистрации. "Современной проверкой подлинности" считается использование приложения Корпоративный портал или Помощника по настройке с современной проверкой подлинности.
Выбирайте приложение Корпоративный портал в следующих случаях:
- Вы хотите очистить устройство.
- Вы хотите использовать многофакторную проверку подлинности (MFA).
- Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
- Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
- Требуется, чтобы устройства регистрировались в Идентификаторе Microsoft Entra. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, такие как условный доступ.
- Вы хотите установить приложение Корпоративный портал автоматически во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
- Пока приложение Корпоративный портал не будет установлено, рекомендуется заблокировать устройство. После установки пользователи входят в приложение корпоративного портала с учетной записью Microsoft Entra своей организации. При этом устройство разблокируется и его можно использовать.
Выбирайте Помощник по настройке (прежних версий) в следующих случаях:
Вы хотите очистить устройство.
Вы не хотите использовать современные функции проверки подлинности, такие как MFA.
Вы не хотите регистрировать устройства в Microsoft Entra ID. Помощник по настройке (устаревшая версия) проверяет подлинность пользователя с помощью токена Apple
.p7m
. Если можно не регистрировать устройства в Microsoft Entra ID, вам не нужно устанавливать приложение корпоративного портала. Используйте Помощник по настройке (прежних версий) и далее.Если вы хотите, чтобы устройства регистрировались в Microsoft Entra ID, установите приложение корпоративного портала . Вы можете установить приложение "Корпоративный портал", создав профиль регистрации и выбрав Помощник по настройке (прежних версий). Мы рекомендуем установить приложение Корпоративный портал во время регистрации.
Выбирайте Помощник по настройке с современной проверкой подлинности в следующих случаях:
- Вы хотите очистить устройство.
- Вы хотите использовать многофакторную проверку подлинности (MFA).
- Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
- Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
- Требуется, чтобы устройства регистрировались в Идентификаторе Microsoft Entra. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, такие как условный доступ.
- Вы хотите установить приложение Корпоративный портал автоматически во время регистрации. Если ваша компания использует Volume Purchase Program (VPP), можно автоматически установить приложение Корпоративный портал при регистрации без указания пользовательских Apple ID.
- Вы хотите предоставить пользователям доступ к устройству даже без установленного приложения "Корпоративный портал".
Примечание.
Для проверки подлинности пользователей корпорация Майкрософт рекомендует использовать приложение Корпоративный портал или Помощник по настройке с современной проверкой подлинности.
Какой вариант выбрать? Это может зависеть от ряда факторов.
Если вы хотите работать на устройстве до установки приложения "Корпоративный портал", используйте Помощник по настройке с современной проверкой подлинности.
Во время работы помощника по настройке пользователи должны ввести учетные данные своей организации Microsoft Entra (
[email protected]
). После ввода учетных данных начнется регистрация и будет выполнена установка приложения "Корпоративный портал". При желании пользователи также могут ввести свой идентификатор Apple ID для доступа к определенным функциям Apple, таким как Apple Pay.После завершения работы Помощника по настройке пользователи получат доступ к устройству. Когда отобразится начальный экран, регистрация будет завершена и будет установлено сопоставление пользователей. Устройство не полностью зарегистрировано с идентификатором Microsoft Entra и отображается как не соответствующее в списке устройств пользователя в Microsoft Entra ID. Устройство отображается как соответствующее в Центре администрирования Microsoft Intune.
После установки приложения "Корпоративный портал", что занимает некоторое время, пользователи открывают приложение корпоративного портала и снова входят в систему с учетной записью Microsoft Entra своей организации (
[email protected]
). Во время этого второго входа оцениваются все политики условного доступа, и регистрация Microsoft Entra завершается. Пользователи получают возможность устанавливать и использовать ресурсы организации, в том числе бизнес-приложения. Устройство отображается как соответствующее в идентификаторе Microsoft Entra.Если вы не хотите работать на устройстве до установки приложения "Корпоративный портал", выберите вариант с приложением Корпоративный портал. Вариант с приложением Корпоративный портал блокирует устройство, пока это приложение не будет установлено. После завершения установки приложение "Корпоративный портал" автоматически откроется. Пользователи входят с помощью учетной записи организации Microsoft Entra (
[email protected]
) и могут использовать устройство.
Если вы используете приложение Корпоративного портала, решите, как приложение корпоративного портала устанавливается на устройствах. Примите это решение перед созданием профиля регистрации.
Примечание.
При проверке подлинности с помощью приложения "Корпоративный портал" корпорация Майкрософт рекомендует использовать программу Volume Purchase Program (VPP). Она обеспечивает лучшее взаимодействие с пользователем.
Не устанавливайте приложение "Корпоративный портал" прямо из магазина приложений на устройства, зарегистрированные в ADE. Вместо этого установите приложение "Корпоративный портал", используя следующие параметры:
Токен VPP + регистрация новых устройств. Если у вас есть программа Volume Purchase Program (VPP) и вы регистрируете новые устройства, приложение "Корпоративный портал" будет приложено. При создании профиля регистрации в Центре администрирования Intune выберите Установить корпоративный портал с помощью VPP, сделайте его обязательным приложением и включите автоматическое обновление приложений.
Данный параметр:
- Включает правильную версию приложения "Корпоративный портал".
- Является однократной установкой приложения корпоративного портала.
- Использует функцию автоматического обновления приложений , чтобы Intune могла отправлять обновления приложений. Дополнительные сведения см. в статье Развертывание приложения корпоративного портала — ADE.
Токена VPP нет + регистрация новых устройств. Нет задач администратора. Убедитесь, что пользователи вводят их идентификатор Apple ID в помощнике по настройке.
После завершения работы помощника по настройке приложение "Корпоративный портал" пытается выполнить автоматическую установку. Если пользователи не вводят свои идентификаторы Apple ID (
[email protected]
или[email protected]
), они будут постоянно получать запрос на ввод их идентификаторов Apple ID. Пользователи должны вводить свои идентификаторы Apple ID для получения приложения "Корпоративный портал" на своих устройствах. После установки приложения "Корпоративный портал" пользователи открывают его и вводят свои учетные данные организации ([email protected]
). Пройдя проверку подлинности, пользователи могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.Устройства уже зарегистрированы. Если устройства уже зарегистрированы, вне зависимости от наличия VPP используйте политику конфигурации приложений:
- В Центре администрирования Intune добавьте приложение Корпоративного портала в качестве обязательного приложения и в качестве приложения с лицензией устройства.
- Создайте политику конфигурации приложений, которая включает приложение "Корпоративный портал" в качестве лицензированного приложения устройства. Дополнительные сведения см. в разделе Настройка приложения корпоративного портала для поддержки устройств DEP iOS и iPadOS.
- Разверните политику конфигурации приложений в той же группе устройств, что и профиль регистрации.
- Когда устройства синхронизируются со службой Intune, она получает ваш профиль и устанавливается приложение "Корпоративный портал" приложение.
Данный параметр:
- Включает правильную версию приложения "Корпоративный портал".
- Требует создания профиля регистрации приложений и создания политики конфигурации приложений. В политике конфигурации приложений сделайте ее обязательным приложением, чтобы вы узнали, что приложение будет развернуто на всех ваших устройствах.
- Приложение "Корпоративный портал" можно автоматически обновить, изменив существующую политику конфигурации приложений.
В Центре администрирования Intune создайте профиль регистрации:
- Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).
- Выберите, где пользователи будут проходить проверку подлинности: через приложение Корпоративный портал, Помощник по настройке (прежних версий) или Помощник по настройке с современной проверкой подлинности.
Дополнительные сведения и рекомендации см. в статье Автоматическая регистрация устройств Apple.
Задачи конечных пользователей ADE
При создании профиля регистрации в Центре администрирования Intune вы можете связать пользователя с устройством (регистрация с сопоставлением пользователей) или иметь общие устройства (Регистрация без сопоставления пользователей). Конкретные действия зависят от настройки профиля регистрации. На общем iPad после активации все панели помощника по настройке автоматически пропускаются.
Регистрация с сопоставлением пользователей + приложение "Корпоративный портал":
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
[email protected]
или[email protected]
). После ввода происходит автоматическая установка приложения "Корпоративный портал" из вашего профиля регистрации. Автоматическая установка приложения "Корпоративный портал" может занять некоторое время. - Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (
[email protected]
). При входе в систему начинается регистрация. По завершении регистрации, пользователи могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.
Пользователям может потребоваться ввести дополнительные сведения. Дополнительные действия для конечных пользователей см. в разделе Регистрация устройства iOS, предоставляемого организацией.
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
Регистрация с сопоставлением пользователей + Помощник по настройке (прежних версий) + приложение "Корпоративный портал":
При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
[email protected]
или[email protected]
).Помощник по настройке запрашивает информацию у пользователя.
Приложение "Корпоративный портал" автоматически открывается. Оно должно оставить устройство в несменяемом режиме киоска. Открытие приложения "Корпоративный портал" может занять некоторое время. Пользователи выполняют вход под своими корпоративными учетными данными(
[email protected]
), и устройство регистрируется в Intune.На этом шаге устройство регистрируется в идентификаторе Microsoft Entra. Пользователи теперь могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.
Регистрация с сопоставлением пользователей + Помощник по настройке (прежних версий) – приложение "Корпоративный портал":
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
[email protected]
или[email protected]
). - Помощник по настройке запрашивает информацию у пользователя и регистрирует устройство в Intune. Устройство не зарегистрировано в идентификаторе Microsoft Entra.
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
Регистрация с использованием сходства пользователей + Помощник по настройке с современной проверкой подлинности:
При включении устройства запустится помощник по настройке Apple. Пользователи вводят свой идентификатор Apple ID (
[email protected]
или[email protected]
) и учетные данные Организации Microsoft Entra ([email protected]
).Когда пользователи вводят свои учетные данные Microsoft Entra, начинается регистрация.
Помощник по настройке запросит у пользователя дополнительные сведения. Настройка завершена, когда появится начальный экран. Устройство полностью зарегистрировано, а сопоставление пользователей установлено. Пользователи могут использовать свои устройства и просматривать приложения и политики на своих устройствах.
На этом этапе устройство не полностью зарегистрировано с идентификатором Microsoft Entra и отображается как несоответствующее в Идентификаторе Microsoft Entra. Устройство показывает, что оно соответствует требованиям в Центре администрирования Microsoft Intune.
Если вы устанавливаете приложение "Корпоративный портал" с использованием VPP (рекомендуется), приложение "Корпоративный портал" устанавливается автоматически. Пользователи открывают приложение "Корпоративный портал" и повторно входят со своей рабочей или учебной учетной записью (
[email protected]
). Они завершают регистрацию Microsoft Entra в приложении корпоративного портала, которое полностью регистрирует устройство с идентификатором Microsoft Entra. Затем пользователи получают доступ к корпоративным ресурсам, защищенным политиками условного доступа, и устройство отображается как соответствующее в идентификаторе Microsoft Entra.Если вы не устанавливаете приложение "Корпоративный портал" с использованием VPP и хотите использовать приложение "Корпоративный портал":
Пользователям следует войти в Apple App Store с помощью своего Apple ID (
[email protected]
или[email protected]
). После их входа приложение "Корпоративный портал" устанавливается автоматически.Этот дополнительный шаг входа замедляет регистрацию, особенно если пользователи не входят сразу.
Если они не входят в App Store, приложение "Корпоративный портал" не устанавливается. Если приложение не установлено, пользователи не смогут зарегистрировать устройство в идентификаторе Microsoft Entra. Так как устройство не завершило регистрацию, в идентификаторе Microsoft Entra устройство отображается как несоответствующее. Все ресурсы, зависящие от условного доступа, недоступны.
Пользователи открывают приложение "Корпоративный портал" и повторно входят со своей рабочей или учебной учетной записью (
[email protected]
). Они завершают регистрацию Microsoft Entra в приложении корпоративного портала, которое полностью регистрирует устройство с идентификатором Microsoft Entra. При следующей проверке пользователи получают доступ к корпоративным ресурсам, защищенным политиками условного доступа.
Регистрация без сопоставления пользователей. Действия не требуются. Убедитесь, что они не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.
Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.
Регистрация в Apple Configurator
Используйте на устройствах, принадлежащих вашей организации. Включает в себя регистрацию без участия торгового посредника. Для этого варианта требуется физически подключить устройства с iOS/iPadOS к компьютеру Mac через порт USB.
Дополнительные сведения об этом типе регистрации см. в статье Регистрация Apple Configurator.
Функция | Используйте этот вариант регистрации, когда: |
---|---|
Необходимо проводные подключения или имеются неполадки сети. | ✅ |
Ваша организация не хочет, чтобы администраторы использовали портал ABM или ASM или не хочет выполнять все необходимые настройки. | ✅ Смысл неиспользования портала ABM или ASM — предоставление администраторам меньшего уровня контроля. |
Страна или регион не поддерживают Apple Business Manager (ABM) или Apple School Manager (ASM). | ✅ Если ваша страна или регион поддерживает ABS или ASM, устройства должны быть зарегистрированы с помощью автоматической регистрации устройств (в этой статье). |
Устройства принадлежат организации или школе. | ✅ |
У вас имеются новые или существующие устройства. | ✅ |
Необходима регистрация множества устройств (массовая регистрация). | ✅ При наличии большого количества устройств этот метод занимает некоторое время. |
Устройства связаны с единственным пользователем. | ✅ |
Устройства не имеют пользователей — например, киоски или выделенные устройства. | ✅ |
Устройства являются личными или BYOD. | ❌ Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM (открывается другая статья Майкрософт) или регистрации пользователей и устройств (в этой статье). |
Устройства находятся под управлением другого поставщика MDM. | ❌ Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune. |
Вы используете учетную запись диспетчера регистрации устройств (DEM). | ❌ Учетная запись DEM не поддерживается. |
Задачи администратора Apple Configurator
Этот список задач содержит общие сведения. Дополнительные сведения см. в статье Регистрация Apple Configurator.
Требуется доступ к компьютеру Mac с USB-портом.
Убедитесь, что устройства поддерживаются.
Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.
Определите, как пользователи будут проходить проверку подлинности на своих устройствах: через приложение Корпоративный портал или помощник по настройке. Примите это решение перед созданием профиля регистрации. Использование приложения "Корпоративный портал" считается более современной проверкой подлинности. Мы рекомендуем использовать приложение "Корпоративный портал".
Выбирайте приложение Корпоративный портал в следующих случаях:
- Вы хотите использовать многофакторную проверку подлинности (MFA).
- Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
- Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
- Требуется, чтобы устройства регистрировались в Идентификаторе Microsoft Entra. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, такие как условный доступ.
- Приложение Корпоративный портал желательно автоматически установить во время регистрации. Если в вашей компании используется программа Volume Purchase Program (VPP), вы можете автоматически установить приложение Корпоративный портал во время регистрации.
Выбирайте Помощник по настройке в следующих случаях:
Вы не хотите использовать современные функции проверки подлинности, такие как MFA.
Вы хотите очистить устройство.
Вы хотите импортировать серийные номера.
Вы не хотите регистрировать устройства в Microsoft Entra ID. Помощник по настройке выполняет проверку подлинности пользователя с экспортированным профилем регистрации, который вы копируете на устройство. Если можно не регистрировать устройства в Microsoft Entra ID, вам не нужно устанавливать приложение корпоративного портала. Продолжайте использовать помощник по настройке.
Если вы хотите, чтобы устройства регистрировались в Microsoft Entra ID, установите приложение корпоративного портала . При создании профиля регистрации и выборе приложения помощника по настройке можно установить приложение "Корпоративный портал". Мы рекомендуем установить приложение Корпоративный портал во время регистрации.
Если вы используете приложение "Корпоративный портал", оно должно быть установлено на устройствах с помощью политики конфигурации приложений. Рекомендуется создать эту политику перед созданием профиля регистрации.
Не устанавливайте приложение "Корпоративный портал" прямо из магазина приложений на устройства, зарегистрированные в Apple Configurator. Вместо этого установите приложение "Корпоративный портал", используя следующие параметры:
Регистрация новых устройств. Нет задач администратора. Убедитесь, что пользователи вводят их идентификатор Apple ID в помощнике по настройке.
После завершения работы помощника по настройке приложение "Корпоративный портал" пытается выполнить автоматическую установку. Если пользователи не вводят свои идентификаторы Apple ID (
[email protected]
или[email protected]
), они будут постоянно получать запрос на ввод их идентификаторов Apple ID. Пользователи должны вводить свои идентификаторы Apple ID для получения приложения "Корпоративный портал" на своих устройствах. После установки приложения "Корпоративный портал" пользователи открывают его и вводят свои учетные данные организации ([email protected]
). Пройдя проверку подлинности, пользователи могут устанавливать и использовать приложения, применяемые вашей организацией, включая бизнес-приложения.Устройства уже зарегистрированы. Если устройства уже зарегистрированы, используйте политику конфигурации приложений:
- В Центре администрирования Intune добавьте приложение Корпоративного портала в качестве обязательного приложения и в качестве приложения с лицензией устройства.
- Создайте политику конфигурации приложений, которая включает приложение "Корпоративный портал" в качестве лицензированного приложения устройства. Дополнительные сведения см. в разделе Настройка приложения корпоративного портала для поддержки устройств DEP iOS и iPadOS.
- Разверните политику конфигурации приложений в той же группе устройств, что и профиль регистрации.
- Когда устройства синхронизируются со службой Intune, она получает ваш профиль и устанавливается приложение "Корпоративный портал" приложение.
Данный параметр:
- Включает правильную версию приложения "Корпоративный портал".
- Требует создания профиля регистрации приложений и создания политики конфигурации приложений. В политике конфигурации приложений сделайте ее обязательным приложением, чтобы вы узнали, что приложение будет развернуто на всех ваших устройствах.
- Приложение "Корпоративный портал" можно автоматически обновить, изменив существующую политику конфигурации приложений.
В Центре администрирования Intune создайте профиль регистрации:
Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).
Если выбрать Регистрация без сопоставления пользователей, вы автоматически используете Прямую регистрацию. Помните:
- Вы используете параметры из существующего профиля регистрации macOS.
- Пользователи не могут использовать приложения, для которых требуется пользователь, включая приложение "Корпоративный портал". Приложение "Корпоративный портал" не используется, не требуется или поддерживается при регистрации без сопоставления пользователей. Убедитесь, что пользователи не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.
Когда профиль регистрации будет готов, USB подключит устройства к Mac и откроет приложение Apple Configurator. Когда приложение откроется, оно обнаружит подключенное USB-устройство и развернет созданный профиль регистрации Intune.
Дополнительные сведения об этом параметре регистрации и его предварительных требованиях см. в статье Регистрация Apple Configurator.
Задачи конечного пользователя в Apple Configurator
Задачи зависят от варианта, настроенного в профиле регистрации.
Регистрация с сопоставлением пользователей + приложение "Корпоративный портал":
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
[email protected]
или[email protected]
). После их ввода приложение "Корпоративный портал" автоматически устанавливается из магазина приложений. Автоматическая установка приложения "Корпоративный портал" может занять некоторое время. - Откройте приложение "Корпоративный портал" и выполните вход с учетными данными организации (
[email protected]
). При входе пользователей в систему начинается регистрация. По завершении регистрации, пользователи могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.
Пользователям может потребоваться ввести дополнительные сведения. Дополнительные действия см. в разделе Регистрация устройства iOS, предоставляемого организацией.
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
Регистрация с сопоставлением пользователей + помощник по настройке + приложение "Корпоративный портал":
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (
[email protected]
). Этот шаг регистрирует устройство в Intune. - Помощник по настройке запрашивает у пользователя информацию, включая Apple ID (
[email protected]
или[email protected]
). - Приложение "Корпоративный портал" автоматически устанавливается из магазина приложений. Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (
[email protected]
). На этом шаге устройство регистрируется в идентификаторе Microsoft Entra. Пользователи теперь могут устанавливать и использовать приложения, используемые вашей организацией, включая бизнес-приложения.
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (
Регистрация с сопоставлением пользователей + помощника по настройке – приложение "Корпоративный портал":
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (
[email protected]
). Этот шаг регистрирует устройство в Intune. - Помощник по настройке запрашивает у пользователя информацию, включая Apple ID (
[email protected]
или[email protected]
). На этом шаге на устройство отправляется профиль управления Intune. - Пользователи устанавливают профиль управления. Профиль регистрируется в службе Intune и регистрирует устройство. Устройство не зарегистрировано в идентификаторе Microsoft Entra.
- При включении устройства запустится помощник по настройке Apple. Пользователи вводят учетные данные своей организации (
Регистрация без сопоставления пользователей. Вы используете прямую регистрацию. Действия не требуются. Убедитесь, что они не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.
Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.
BYOD: регистрация пользователей и устройств
Эти устройства iOS и iPadOS являются личными устройствами или устройствами BYOD ("принеси свое устройство"), которые могут получать доступ к электронной почте, приложениям и другим данным организации. Начиная с iOS 13 и более новых версий этот параметр регистрации предназначен для пользователей или устройств. Он не требуется для сброса устройств.
При создании профиля регистрации вам будет предложено выбрать Регистрация пользователей на корпоративном портале, Регистрация устройств с помощью корпоративного портала, Регистрация пользователей, управляемых учетной записью, или Определить на основе выбора пользователя.
Сведения о конкретных шагах регистрации и ее предварительных требованиях см. в разделах Настройка регистрации пользователей iOS/iPadOS и Настройка регистрации устройств iOS/iPadOS.
Функция | Используйте этот вариант регистрации, когда: |
---|---|
Устройства являются личными или BYOD. | ✅ |
Вы хотите защитить определенную функцию на устройстве, например VPN для каждого приложения. | ✅ |
У вас имеются новые или существующие устройства. | ✅ |
Необходима регистрация множества устройств (массовая регистрация). | ✅ |
Устройства связаны с единственным пользователем. | ✅ |
Устройства находятся под управлением другого поставщика MDM. | ❌ При регистрации устройства поставщики MDM устанавливают сертификаты и другие файлы. Эти файлы необходимо удалить. Самым быстрым способом может быть отмена регистрации или сброс до заводских настроек устройств. Если вы не хотите сбрасывать до заводских настроек, обратитесь к поставщику MDM. |
Вы используете учетную запись диспетчера регистрации устройств (DEM). | ✅ |
Устройства принадлежат организации или школе. | ❌ Это делать не рекомендуется. Корпоративные устройства необходимо регистрировать через Автоматическую регистрацию устройств или Apple Configurator (разделы этой статьи). |
Устройства не имеют пользователей — например, киоски или выделенные устройства. | ❌ Как правило, устройства, не имеющие пользователей, или общие устройства принадлежат организации. Эти устройства необходимо регистрировать через Автоматическую регистрацию устройств или Apple Configurator (разделы этой статьи). |
Задачи администраторов по регистрации пользователей и устройств
Этот список задач содержит общие сведения. Дополнительные сведения см. в статье Настройка регистрации пользователей iOS/iPadOS и iPadOS.
Убедитесь, что устройства поддерживаются.
Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств iOS и iPadOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.
В Центре администрирования Intune создайте профиль регистрации. При создании профиля регистрации доступны следующие варианты.
Регистрация устройств с помощью корпоративного портала. Этот параметр является типичной регистрацией в приложении корпоративного портала для личных устройств. Управляемым является устройство, а не только конкретные приложения или функции. При использовании этого варианта учитывайте следующее:
- Можно развернуть сертификаты, которые применяются ко всему устройству.
- Пользователи должны устанавливать обновления. Только устройства, зарегистрированные с помощью автоматической регистрации устройств (ADE), могут получать обновления с помощью политик или профилей MDM.
- Пользователь должен быть связан с устройством. Пользователь может быть учетной записью менеджера регистрации устройств.
Регистрация устройств через Интернет: начиная с iOS 15 и более поздней версии. Этот вариант похож на регистрацию устройств на корпоративном портале, но регистрация выполняется в веб-версии корпоративного портала Intune, что устраняет необходимость в приложении. Кроме того, этот параметр позволяет сотрудникам и учащимся без управляемых идентификаторов Apple ID регистрировать устройства и получать доступ к приложениям, приобретенным по объему.
Определять в соответствии с выбором пользователя. Предоставляет конечным пользователям возможность выбора при регистрации. В зависимости от выбора используется регистрация пользователей или регистрация устройств.
Регистрация пользователей. Начиная с iOS 13 и более поздних версий. Этот параметр настраивает определенный набор функций и приложений организации, таких как пароль, VPN для каждого приложения, Wi-Fi и Siri. При использовании регистрации пользователей для защиты приложений и их данных рекомендуется также использовать политики защиты приложений.
Полный список действий, которые можно и не удается сделать, см. в разделе Действия и параметры Intune, поддерживаемые регистрацией пользователей Apple. Инструкции по регистрации пользователей см. в разделе Настройка регистрации пользователей iOS/iPadOS.
Примечание.
BYOD могут стать устройствами, принадлежащими организации. Чтобы сделать эти устройства корпоративными, перейдите в раздел Определение устройств как корпоративных.
Регистрация пользователей считается более удобной для конечных пользователей. Но он может не предоставлять набор функций и функции безопасности, необходимые администраторам. В некоторых сценариях регистрация пользователей может быть не лучшим вариантом. Рассмотрим следующие сценарии.
Регистрация пользователя создает рабочий раздел на устройствах. Функции и безопасность, настроенные в профиле регистрации пользователя, существуют только в рабочем разделе. Они не существуют в пользовательском разделе. Пользователи не могут сбрасывать рабочий раздел по заводским настройкам; администраторы могут. Пользователи могут сбрасывать личный раздел по заводским настройкам; администраторы не могут.
Если пользователи в основном используют приложения Майкрософт или приложения, созданные с помощью пакета SDK для приложений Intune, пользователи должны скачать эти приложения из магазина Apple App Store. Затем используйте политики защиты приложений для защиты этих приложений. В этом сценарии регистрация пользователя не требуется.
Для бизнес-приложений (LOB) регистрация пользователей может быть вариантом, так как эти приложения развертываются в рабочей секции. Управление мобильными приложениями (MAM) не поддерживает бизнес-приложения. Поэтому, если требуются бизнес-приложения, используйте регистрацию пользователей.
Когда устройства регистрируются с помощью регистрации пользователей, вы не можете переключиться на регистрацию устройств. При регистрации пользователей невозможно переместить приложение из неуправляемого в управляемое. Пользователям необходимо отменять регистрацию после регистрации пользователей, а затем повторно регистрироваться для регистрации устройств.
Приложения, установленные до применения профиля регистрации пользователя, не защищены и не управляются через этот профиль.
Например, пользователь загружает приложение Outlook из магазина Apple App Store. Приложение автоматически устанавливается в раздел пользователя на устройстве. Пользователь настраивает Outlook для личной электронной почты. Когда пользователи настраивают электронную почту организации, они блокируются условным доступом и получают запрос на регистрацию. Пользователь регистрируется, и развертывается профиль регистрации пользователя.
Так как приложение Outlook было установлено до создания профиля регистрации пользователя, профиль регистрации пользователя не срабатывает. Приложение Outlook не управляется, так как оно установлено и настроено в разделе пользователя, а не в рабочем разделе. Пользователь должен вручную удалить приложение Outlook.
После удаления пользователь сможет синхронизировать устройство вручную и, возможно, повторно применить профиль регистрации пользователя. Кроме того, вам может потребоваться создать политику конфигурации приложения для развертывания Outlook и сделать его обязательным приложением. Затем разверните политику защиты приложений, чтобы защитить приложение и его данные.
Назначайте профиля регистрации группам пользователей. Не назначайте его группам устройств.
Задачи конечных пользователей при регистрации пользователей и устройств
Пользователи должны выполнить следующие действия. Чтобы зарегистрировать устройство, перейдите к конкретному пользовательскому интерфейсу.
Перейдите в магазин Apple App Store и установите приложение "Корпоративный портал" Intune.
Откройте приложение "Корпоративный портал" и выполните вход с учетными данными организации (
[email protected]
). После входа в систему профиль регистрации применяется к устройству.Пользователям может потребоваться ввести дополнительные сведения. Дополнительные действия см. в разделе Регистрация устройства.
Пользователи с включенными уведомлениями приложений получают запрос на возврат к приложению корпоративного портала для завершения необходимой регистрации устройства. Пользователи с отключенными уведомлениями приложений не оповещаются об этом требовании. Если вы используете динамические группы, которые используют регистрацию устройств для работы, важно, чтобы пользователи завершили регистрацию устройства. Запланируйте информирование пользователей об этих шагах. Если вы используете политики условного доступа (ЦС), никаких действий не требуется, так как любые пользователи приложения, защищенные ЦС, пытаются войти в систему, будут предлагать им вернуться на корпоративный портал для завершения регистрации устройства.
По завершении регистрации Intune автоматически устанавливает на устройство сертификат подписи профиля. Этот сертификат действителен в течение одного года. По истечении года, когда срок действия сертификата истекает, Intune продлевает сертификат. Если этот процесс обновления завершается сбоем, на устройстве для параметра >Приложение "Параметры" общий>VPN-&состояние"Профиль управления устройствами>" отображается значение Не проверено. При этом состоянии конечные пользователи не затрагиваются, и устройства продолжают ходить в Intune и получать обновления политики.
Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.
Совет
Существует краткое видео с пошаговыми инструкциями, помогающее пользователям зарегистрировать свои устройства в Intune: