Métodos de autenticação para a inscrição automática de dispositivos no Intune

  • Artigo

Aplica-se ao iOS/iPadOS

Este artigo descreve os métodos de autenticação disponíveis para dispositivos iOS/iPadOS inscritos no Intune através da inscrição automatizada de dispositivos. Os métodos de autenticação disponíveis incluem:

  • Aplicativo Portal da Empresa do Intune
  • Assistente de Configuração com autenticação moderna
  • Registo Just-in-Time (JIT) do Assistente de Configuração com autenticação moderna
  • Assistente de Configuração (legado)

Todos os métodos estão disponíveis para dispositivos pertencentes à empresa com afinidade de utilizador e comprados através do Apple Business Manager ou do Apple School Manager.

Opção 1: aplicação Portal da Empresa do Intune

Utilize a aplicação Portal da Empresa do Intune como método de autenticação se quiser:

  • Utilize a autenticação multifator (MFA).
  • Solicitar que os usuários alterem a senha quando entrarem pela primeira vez.
  • Solicitar que os usuários redefinam senhas expiradas durante o registro.
  • Registe dispositivos no Microsoft Entra ID e utilize as funcionalidades disponíveis com o Microsoft Entra ID, como o acesso condicional.
  • Instale automaticamente a aplicação Portal da Empresa durante a inscrição. Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário.
  • Você quiser bloquear o dispositivo até que o aplicativo Portal da Empresa seja instalado.

Cuidado

O Intune bloqueará uma inscrição que utilize este método de autenticação se o utilizador do dispositivo for visado por um tipo de perfil de inscrição de utilizador da Apple orientado por uma conta. Esse comportamento é esperado. O utilizador recebe uma mensagem de erro a indicar que a conta não suporta a inscrição através da aplicação Portal da Empresa e que tem de se inscrever através do site do Portal da Empresa. Para garantir inscrições bem-sucedidas através da inscrição automatizada de dispositivos, utilize a Opção 2: Assistente de Configuração com autenticação moderna como método de autenticação ao trabalhar com tipos de perfil de Inscrição de Utilizador da Apple baseados na conta.

Opção 2: Assistente de Configuração com autenticação moderna

Esta opção fornece a mesma segurança que a autenticação do Portal da Empresa do Intune, mas é diferente porque permite que o utilizador do dispositivo aceda a partes do dispositivo, mesmo que o Portal da Empresa não tenha sido instalado. Utilize esta opção para autenticação quando quiser:

  • Limpe o dispositivo.
  • Utilize a autenticação multifator (MFA).
  • Solicitar que os usuários alterem a senha quando entrarem pela primeira vez.
  • Solicitar que os usuários redefinam senhas expiradas durante o registro.
  • Registe dispositivos no Microsoft Entra ID e utilize as funcionalidades disponíveis com o Microsoft Entra ID, como o acesso condicional.
  • Instale automaticamente a aplicação Portal da Empresa durante a inscrição. Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário.
  • Permitir que os utilizadores utilizem o dispositivo mesmo quando a aplicação Portal da Empresa não está instalada.

O Assistente de Configuração com autenticação moderna é suportado em dispositivos com o iOS/iPadOS 13.0 e posterior. Os dispositivos iOS/iPadOS mais antigos atribuídos a este tipo de perfil reverterão para a autenticação do Assistente de Configuração (legado ).

Instalar automaticamente a aplicação Portal da Empresa

Se a sua empresa usa o VPP (Volume Purchase Program), você pode instalar automaticamente o aplicativo Portal da Empresa durante o registro sem as IDs da Apple do usuário. Para ativar a instalação automática no perfil de inscrição, selecione Sim para Instalar o Portal da Empresa com o VPP. Recomendamos que utilize esta opção.

Se não utilizar a opção VPP, o utilizador do dispositivo tem de introduzir o ID Apple durante o Assistente de Configuração ou quando o Intune tentar instalar o Portal da Empresa.

Em ambos os cenários, a opção de instalação do Portal da Empresa está oculta do utilizador do dispositivo e o Portal da Empresa torna-se uma aplicação necessária no respetivo dispositivo. Quando o utilizador chega ao ecrã principal, o Intune aplica automaticamente a política de configuração de aplicações correta ao dispositivo.

Cuidado

Não envie uma política de configuração de aplicativo separada para o Portal da Empresa para dispositivos iOS/iPadOS após o registro com o assistente de configuração com autenticação moderna. Fazer isso resultará em um erro.

Autenticação de vários fatores

A autenticação multifator (MFA) será necessária se uma política de acesso condicional que exija que seja aplicada na inscrição ou durante o início de sessão no Portal da Empresa. No entanto, a MFA é opcional, com base nas definições do Microsoft Entra na política de acesso condicional direcionada.

Os métodos de autenticação externos são suportados no ID do Microsoft Entra, o que significa que pode utilizar a sua solução de MFA preferida para facilitar a MFA durante a inscrição de dispositivos. Se optar por utilizar um fornecedor de MFA de terceiros, antes de implementar perfis de inscrição em todos os dispositivos, execute um teste para garantir que tanto o ecrã MFA do Microsoft Entra como a MFA funcionam durante a inscrição. Para obter mais informações e detalhes de suporte sobre métodos de autenticação externos, veja Pré-visualização pública: Métodos de autenticação externos no Microsoft Entra ID.

Ação do Portal da Empresa necessária

Depois de percorrer os ecrãs do Assistente de Configuração, o utilizador do dispositivo chega à home page. Neste momento, a respetiva afinidade de utilizador é estabelecida. No entanto, até o utilizador iniciar sessão no Portal da Empresa com as respetivas credenciais do Microsoft Entra e selecionar Começar, o dispositivo:

  • Não será totalmente registado com o Microsoft Entra ID.
  • Não será apresentado na lista de dispositivos do utilizador no ID do Microsoft Entra.
  • Não terá acesso aos recursos protegidos pelo acesso condicional.
  • Não serão avaliados quanto à conformidade do dispositivo.
  • Será redirecionado para o Portal da Empresa de outros aplicativos se o usuário tentar abrir aplicativos gerenciados protegidos pelo acesso condicional.

Opção 3: Registo Just-in-Time do Assistente de Configuração com autenticação moderna

Esta opção é a mesma que o Assistente de Configuração com autenticação moderna, exceto que o Portal da Empresa não é necessário para o registo ou conformidade do Microsoft Entra. Em vez disso, as verificações de registo e conformidade do Microsoft Entra estão totalmente integradas numa aplicação designada da Microsoft ou não microsoft configurada com a extensão de aplicação de início de sessão único (SSO) da Apple. A extensão reduz os pedidos de autenticação e estabelece o SSO em todo o dispositivo. O Registo JIT pede aos utilizadores para se autenticarem duas vezes:

  • Uma autenticação processa a inscrição e a afinidade utilizador-dispositivo e ocorre quando o utilizador do dispositivo liga o dispositivo e inicia sessão no Assistente de Configuração.
  • Outra autenticação processa o registo do Microsoft Entra e ocorre quando o utilizador inicia sessão na aplicação designada. As verificações de conformidade também são efetuadas nesta aplicação.

Observação

Se a sua organização utilizar o Microsoft Defender para Endpoint, para que a remediação de conformidade e registo JIT funcione conforme esperado, certifique-se de que a aplicação Microsoft Defender para Endpoint não é a primeira aplicação aberta pelos utilizadores.

Assim que o utilizador do dispositivo chegar ao ecrã principal, pode iniciar sessão em qualquer aplicação escolar ou profissional configurada com a extensão SSO para concluir as verificações de registo e conformidade do Microsoft Entra. O SSO assina o utilizador em todas as aplicações que fazem parte da sua política de extensão SSO. Nessa altura, também podem iniciar sessão manualmente em qualquer aplicação que não esteja configurada para utilizar a extensão SSO.

Para configurar o Registo JIT com a inscrição automática de dispositivos:

  1. Crie uma política de configuração de dispositivos e configure as definições na categoria Extensão de aplicação de início de sessão único. Para obter os passos, veja Configurar o registo just-in-time.

  2. Crie um perfil de inscrição da Apple e selecione Assistente de Configuração com autenticação moderna como método de autenticação. Para concluir este passo, tem de estar presente no Intune um token de inscrição de dispositivos automatizado ativo do Apple Business Manager ou do Apple School Manager.

  3. Quando aceder à página Tarefas no perfil de inscrição, atribua o perfil aos dispositivos sincronizados a partir do Apple Business Manager e do Apple School Manager. Depois de atribuir o perfil, os funcionários e estudantes podem concluir a configuração e autenticação nos respetivos dispositivos.

    Observação

    O Portal da Empresa continua a ser enviado para os dispositivos como uma aplicação necessária, mesmo que não seja necessário para o registo ou conformidade do Microsoft Entra. Os utilizadores do dispositivo podem utilizar a aplicação Portal da Empresa para recolher e carregar registos se tiverem problemas na aplicação.

Exemplo de autenticação com êxito

A seguinte sequência de eventos descreve um exemplo do aspeto de uma autenticação com êxito com o Registo JIT do Assistente de Configuração com autenticação moderna. A experiência da sua organização pode ser diferente consoante as configurações de inscrição de dispositivos automatizadas.

  1. O utilizador do dispositivo liga o dispositivo.

  2. O Assistente de Configuração começa. O utilizador do dispositivo autentica-se com as respetivas credenciais do Microsoft Entra no Assistente de Configuração.

  3. O utilizador do dispositivo conclui a autenticação multifator, se tal for necessário na política de Acesso Condicional.

  4. O dispositivo termina a inscrição no Intune e a afinidade utilizador-dispositivo é estabelecida.

  5. O utilizador do dispositivo chega ao ecrã principal e abre o Microsoft Teams ou outra aplicação do Office e inicia sessão com a respetiva conta profissional. Se o dispositivo cumprir todos os requisitos de conformidade, o utilizador do dispositivo terá acesso imediatamente às respetivas mensagens e calendário.

    Observação

    Durante o registo do Microsoft Entra, o utilizador do dispositivo poderá ver uma pequena rotação enquanto o Intune termina as verificações de compatibilidade. Esse é um comportamento esperado.

  6. A extensão SSO estabelece o início de sessão único em todas as outras aplicações direcionadas e em todas as aplicações da Microsoft.

  7. O dispositivo está registado com o Microsoft Entra ID e está em conformidade. Pode ver o estado do dispositivo no centro de administração e no Microsoft Entra ID. O utilizador do dispositivo pode ver o estado no Portal da Empresa do Intune e utilizar o Portal da Empresa para conformidade, inventário de aplicações, sincronizações de dispositivos e partilha de registos.

  8. O utilizador do dispositivo abre o Teams e tem sessão iniciada automaticamente.

Opção 4: Assistente de Configuração (legado)

Utilize o Assistente de Configuração legado se quiser que os utilizadores experimentem a experiência típica e inicial dos produtos Apple. Esta opção instala definições pré-configuradas padrão quando o dispositivo é inscrito no Intune. Utilize esta opção para autenticação quando:

  • Quer apagar um dispositivo.
  • Não quer funcionalidades de autenticação modernas, como a autenticação multifator.
  • Não quer registar dispositivos no Microsoft Entra ID. O Assistente de Configuração (legado) autentica o utilizador com o token .p7m da Apple.

Se estiver usando os Serviços de Federação do Active Directory e o Assistente de Configuração para se autenticar, você precisará de um Nome de usuário/Ponto de extremidade misto do WS-Trust 1.3. Para obter mais informações, veja Get-AdfsEndpoint no nosso Guia de Referência do Windows PowerShell.

Próximas etapas

Agora que sabe que método de autenticação está a utilizar, crie um perfil de inscrição da Apple e selecione o método de autenticação quando lhe for pedido. Para concluir este passo, tem de estar presente no Intune um token de inscrição de dispositivos automatizado ativo do Apple Business Manager ou do Apple School Manager.