Nastavení registrace uživatelů Apple řízené účtem

Nastavte registraci uživatelů Apple řízenou účtem pro osobní zařízení zaregistrovaná v Microsoft Intune. Registrace uživatelů řízená účtem poskytuje rychlejší a uživatelsky přívětivější prostředí pro registraci než registrace uživatelů pomocí Portál společnosti. Uživatel zařízení zahájí registraci přihlášením ke svému pracovnímu účtu v aplikaci Nastavení. Poté, co uživatel schválí správu zařízení, registrační profil bezobslužně nainstaluje a Intune zásady se použijí. Intune používá k ověřování registraci za běhu a aplikaci Microsoft Authenticator, aby se snížil počet přihlášení uživatelů během registrace a přístupu k pracovním aplikacím.

Tento článek popisuje, jak nastavit registraci uživatelů Apple řízenou účtem v Microsoft Intune. Budete:

• Nastavte registraci JIT.
• Vytvořte registrační profil.
• Připravte zaměstnance a studenty na registraci.

Požadavky

Microsoft Intune podporuje registraci uživatelů Apple řízenou účtem na zařízeních s iOS/iPadOS verze 15 nebo novější. Pokud uživatelům zařízení se systémem iOS/iPadOS 14.9 nebo starším přiřadíte registrační profil uživatele řízený účtem, Microsoft Intune je automaticky zaregistruje prostřednictvím registrace uživatele pomocí Portál společnosti.

Před zahájením instalace proveďte následující úlohy:

• Nastavení autority správy mobilních zařízení (MDM)
• Získání certifikátu Apple MDM Push Certificate
• Vytváření spravovaných Apple ID pro uživatele zařízení (otevře web podpory Apple)

Musíte také nastavit zjišťování služeb, aby se Apple mohl spojit se službou Intune a načíst informace o registraci. Uděláte to tak, že nastavíte a publikujete známý soubor prostředků HTTP ve stejné doméně, ke které se zaměstnanci přihlašují. Apple tento soubor načte prostřednictvím požadavku HTTP GET na “https://contoso.com/.well-known/com.apple.remotemanagement”adresu s doménou vaší organizace místo contoso.com. Publikujte soubor v doméně, která dokáže zpracovávat požadavky HTTP GET.

Vytvořte soubor ve formátu JSON s typem obsahu nastaveným na application/json. Poskytli jsme následující ukázky JSON, které můžete zkopírovat a vložit do souboru. Použijte ten, který je v souladu s vaším prostředím. Nahraďte proměnnou YourADTenantID v základní adrese URL Microsoft Entra ID tenanta vaší organizace.

Microsoft Intune prostředí:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune pro prostředí státní správy USA:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune provozovaná společností 21 Vianet v čínských prostředích:

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Zbytek ukázky JSON se naplní všemi informacemi, které potřebujete, včetně následujících:

• Verze: Verze serveru je mdm-byod.
• BaseURL: Tato adresa URL je umístění, kde se nachází služba Intune.

Osvědčené postupy

Doporučujeme další konfigurace, které uživatelům zařízení pomůžou zlepšit prostředí registrace. Tato část obsahuje další informace o jednotlivých doporučeních.

Nasazení webové aplikace Portál společnosti

Nasaďte verzi webové aplikace Portál společnosti Intune webu, aby uživatelé měli rychlý přístup ke stavu zařízení, akcím zařízení a informacím o dodržování předpisů. Webová aplikace se zobrazí na domovské obrazovce a funguje jako odkaz na Portál společnosti web. Bez webové aplikace mají uživatelé zařízení stále přístup k Portál společnosti webu, ale musí otevřít prohlížeč a zadat adresu do vyhledávacího pole. Další informace o tom, jak přidat webovou aplikaci, najdete v tématu Přidání webových aplikací do Microsoft Intune.

Povolení federovaného ověřování

Registrace uživatelů Apple vyžaduje, abyste registračním uživatelům vytvořili a poskytli spravovaná Apple ID. Pokud povolíte federované ověřování, které se skládá z propojení Apple Business Manageru s Microsoft Entra ID, nemusíte vytvářet a poskytovat jedinečná Apple ID každému uživateli. Místo toho se uživatel zařízení může přihlásit ke svým aplikacím pomocí stejných přihlašovacích údajů, které používá pro svůj pracovní účet. Další informace najdete v části Úvod do federovaného ověřování pomocí Apple Business Manageru v uživatelské příručce k Apple Business Manageru.

Krok 1: Nastavení registrace podle časového limitu a přiřazení aplikace Microsoft Authenticator

Nakonfigurujte registraci za běhu a přiřaďte aplikaci Microsoft Authenticator jako požadovanou aplikaci. Postup najdete v tématu Nastavení registrace JIT v Intune. Až budete hotovi, vraťte se k tomuto článku, abyste mohli pokračovat k dalšímu kroku.

Krok 2: Vytvoření registračního profilu

Vytvořte registrační profil pro zařízení, která se registruje prostřednictvím registrace uživatelů řízené účty. Registrační profil aktivuje prostředí registrace uživatele zařízení a umožní mu zahájit registraci z aplikace Nastavení.

1. V Centru pro správu Microsoft Intune přejděte na Registrace zařízení>.
2. Vyberte kartu Apple .
3. V části Možnosti registrace zvolte Typy registrace.
4. Vyberte Vytvořit profil>iOS/iPadOS.
5. Na stránce Základy zadejte název a popis profilu, abyste ho mohli odlišit od ostatních profilů v Centru pro správu. Uživatelé zařízení tyto podrobnosti nevidí.
6. Vyberte Další.
7. Na stránce Nastavení jako Typ registrace vyberte Registrace uživatelů řízená účtem.
8. Vyberte Další.
9. Na stránce Přiřazení přiřaďte profil všem uživatelům nebo vyberte konkrétní skupiny. Skupiny zařízení se ve scénářích registrace uživatelů nepodporují, protože registrace uživatelů vyžaduje identity uživatelů.
10. Vyberte Další.
11. Na stránce Zkontrolovat a vytvořit zkontrolujte své volby a pak vyberte Vytvořit a dokončete vytváření profilu.

Krok 3: Příprava zaměstnanců na registraci

Pokud chcete zahájit registraci zařízení na osobním zařízení, musí vlastník zařízení přejít do aplikace Nastavení a přihlásit se pomocí svého pracovního nebo školního účtu. Pokud se pokusí přihlásit k aplikaci pomocí svého pracovního nebo školního účtu, aplikace je upozorní na požadavek registrace a řekne jim, jak postupovat.

Tato část popisuje postup registrace pro uživatele zařízení. Tyto informace doporučujeme použít v dokumentaci k onboardingu zařízení vaší organizace nebo pro řešení potíží a podporu.

1. Na zařízení otevřete aplikaci Nastavení .
2. Vyberte Obecné.
3. Vyberte & Správa zařízení VPN.
4. Přihlaste se pomocí svého pracovního nebo školního účtu nebo pomocí Apple ID, které vám poskytla vaše organizace.
5. Vyberte Přihlásit se k iCloudu.
6. Zadejte heslo pro uživatelské jméno, které se zobrazuje na obrazovce. Pak vyberte Pokračovat.
7. Vyberte Povolit vzdálenou správu.
8. Počkejte několik minut, než se vaše zařízení nakonfiguruje a nainstaluje profil správy.
9. Pokud chcete ověřit, že je vaše zařízení připravené k použití pro práci, přejděte na & Správa zařízení VPN. Ověřte, že je váš pracovní účet uvedený v části SPRAVOVANÝ ÚČET.
10. Pro přístup k pracovním aplikacím se vyžaduje Microsoft Authenticator. Počkejte několik minut po registraci, než se na vaše zařízení nainstaluje authenticator. Pokud se pokusíte přihlásit k pracovní aplikaci bez authenticatoru, zobrazí se chybová zpráva.
11. Můžou se zobrazit další výzvy s žádostí o schválení instalace pracovních aplikací. Pokud chcete instalaci schválit, vyberte Nainstalovat .

Priorita profilu

Intune použije registrační profily v pořadí, v jakém jim nastavíte prioritu. Pokud chcete změnit pořadí, ve kterém se použijí:

1. Zpět k typům registrace a zobrazte si profily.
2. Přetažením profilů v seznamu změníte pořadí jejich priority.

Pokud dojde ke konfliktu, protože uživateli je přiřazeno více než jeden profil, Intune použije profil s vyšší prioritou.

Odebrání zařízení ze správy

Svazky a kryptografické klíče vytvořené pro správu pracovních dat v zařízení se vymažou, když zařízení zruší registraci z Intune.

Známé problémy

Tato část popisuje aktuální známé problémy s registrací uživatelů Apple řízenou účtem a Microsoft Intune.

Registrace selže kvůli aplikaci jednotného přihlašování k registraci

Pokud je aplikace Microsoft Authenticator na zařízení před zahájením registrace, registrace selže, když se uživatel zařízení pokusí přihlásit pomocí svého pracovního nebo školního účtu v aplikaci Nastavení. Zpráva, kterou obdrží, říká:

• Název: Přihlášení selhalo
• Popis: Na zařízení je nainstalovaná aplikace jednotného přihlašování k registraci.

Aby se tento problém vyřešil, musí uživatel zařízení odinstalovat aplikaci Microsoft Authenticator a restartovat registraci.

Další kroky

• Přehled podporovaných funkcí registrace uživatelů Apple a akcí správy v Microsoft Intune najdete v tématu Přehled registrace uživatelů Apple v Microsoft Intune.

• Další informace o registraci uživatelů Apple najdete v tématu Registrace uživatelů a MDM na webu podpory Apple.

• Informace o řešení potíží najdete v tématu Řešení potíží s chybami registrace zařízení s iOS/iPadOS v Microsoft Intune.

• Podporovaná nastavení v profilech konfigurace zařízení Intune najdete tady:

  • Omezení zařízení s iOSem a iPadOS
  • Funkce zařízení s iOSem a iPadOS
  • Nastavení virtuální privátní sítě (VPN) pro jednotlivé aplikace