Configurar a inscrição automatizada de dispositivos no Intune

  • Artigo

Aplica-se ao iOS/iPadOS

Os dispositivos pertencentes à empresa comprados através do Apple Business Manager ou do Apple School Manager podem ser inscritos no Intune através da inscrição automatizada de dispositivos. Esta opção de inscrição aplica as definições da sua organização a partir do Apple Business Manager e do Apple School Manager e inscreve dispositivos sem ter de os tocar. Os iPhones e iPads podem ser enviados diretamente para funcionários e estudantes. Quando ligam os respetivos dispositivos, o Assistente de Configuração da Apple orienta-os através da configuração e inscrição.

Este artigo descreve como preparar e configurar a inscrição automatizada de dispositivos no Microsoft Intune.

Descrição geral das funcionalidades

A tabela seguinte mostra as funcionalidades e cenários suportados com a inscrição automatizada de dispositivos.

Recurso Use essa opção de registro quando
Você deseja o modo supervisionado. ✔️

O modo supervisionado implanta atualizações de software, restringe recursos, permite e bloqueia aplicativos e muito mais.
Os dispositivos forem de propriedade da organização ou da escola. ✔️
Você tem novos dispositivos. ✔️
For necessário registrar poucos dispositivos ou um grande número deles (registro em massa). ✔️
Os dispositivos estiverem associados a um só usuário. ✔️
Alguns dispositivos, como os de quiosque ou dedicados, não têm usuários. ✔️
Os dispositivos estão no modo de dispositivo partilhado. ✔️
Os dispositivos são pessoais ou BYOD.

Não recomendado. As aplicações em dispositivos BYOD ou pessoais podem ser geridas através da MAM ou da inscrição de Utilizador e Dispositivo.
Os dispositivos forem gerenciados por outro provedor de MDM.

Para que os dispositivos sejam totalmente gerenciados pelo Intune, os usuários deverão cancelar o registro do provedor de MDM atual e fazer o registro no Intune. Ou você pode usar o MAM para gerenciar aplicativos específicos no dispositivo. Uma vez que estes dispositivos pertencem à organização, recomendamos que os inscreva no Intune.
Você usar uma conta do DEM (gerenciador de registros de dispositivos).

A conta do DEM não é compatível.

Pré-requisitos

Antes de criar o perfil de inscrição, tem de ter:

Antes de começar

Leia estes requisitos de inscrição e as melhores práticas para se preparar para uma configuração e implementação bem-sucedidas.

Escolher um método de autenticação

Antes de criar o perfil de inscrição, decida como pretende que os utilizadores se autentiquem nos respetivos dispositivos: através da aplicação Portal da Empresa do Intune, do Assistente de Configuração (legado) ou do Assistente de Configuração com autenticação moderna. A utilização da aplicação Portal da Empresa ou do Assistente de Configuração com autenticação moderna é considerada autenticação moderna e tem funcionalidades como a autenticação multifator.

O Intune também suporta o Registo Just-in-Time para o Assistente de Configuração com autenticação moderna, o que elimina a necessidade da aplicação Portal da Empresa para o registo e conformidade do Microsoft Entra. Para utilizar o Registo JIT, terá de criar uma política de configuração de dispositivos antes de criar o perfil de inscrição da Apple e configurar o Assistente de Configuração com autenticação moderna.

O Assistente de Configuração com autenticação moderna é suportado em dispositivos com o iOS/iPadOS 13.0 e posterior. Os dispositivos iOS/iPadOS mais antigos fornecidos com este perfil irão, em vez disso, utilizar o Assistente de Configuração (legado) para autenticação.

Para obter mais informações sobre as opções de autenticação, veja Métodos de autenticação para a inscrição automática de dispositivos.

O que é o modo supervisionado?

O modo supervisionado fornece mais controlo de gestão sobre os dispositivos pertencentes à empresa, para que possa fazer coisas como bloquear capturas de ecrã e restringir o AirDrop.

Os dispositivos pertencentes à empresa com o iOS/iPadOS 11+ e inscritos através da inscrição automática de dispositivos devem estar sempre no modo supervisionado, o que pode ativar no perfil de inscrição. Para obter mais informações sobre o modo supervisionado, consulte Ativar o modo supervisionado do iOS/iPadOS. O Microsoft Intune ignora o sinalizador is_supervised para dispositivos com o iOS/iPadOS 13.0 e posterior, porque estes dispositivos são automaticamente colocados no modo supervisionado no momento da inscrição.

Inscrever dispositivos no modo de dispositivo partilhado

Pode configurar a inscrição automatizada de dispositivos para dispositivos no modo de dispositivo partilhado. O modo de dispositivo partilhado é uma funcionalidade do Microsoft Entra ID que permite aos trabalhadores de primeira linha partilhar um único dispositivo ao longo do dia, iniciando e saindo conforme necessário. Para obter mais informações sobre como ativar a inscrição de dispositivos no modo de dispositivo partilhado do Microsoft Entra, veja Inscrição automatizada de dispositivos para o modo de dispositivo partilhado.

Implementar a aplicação Portal da Empresa

Importante

Não recomendamos a utilização da versão da App Store da aplicação Portal da Empresa porque não é compatível com a inscrição de dispositivos automatizada e não fornece as atualizações automáticas e a disponibilidade, tal como a implementação.

Implementar a aplicação Portal da Empresa do Intune através do Intune é a melhor forma de fornecer a aplicação aos utilizadores e a única forma de:

  • Certifique-se de que todos os dispositivos ADE, incluindo os já inscritos, recebem a aplicação.
  • Ative as atualizações automáticas de aplicações para o Portal da Empresa em dispositivos ADE.

Implemente a aplicação como uma aplicação VPP necessária com licenciamento de dispositivos. Para obter informações sobre como sincronizar, atribuir e gerir uma aplicação VPP, veja Atribuir uma aplicação comprada em volume.

Para ativar as atualizações automáticas de aplicações para o Portal da Empresa, aceda às definições do token de aplicação no centro de administração e altere Atualizações automáticas da aplicação para Sim. Consulte Carregar um token de localização apple VPP ou Apple Business Manager para obter os passos para aceder às definições do token. Se não ativar as atualizações automáticas, o utilizador do dispositivo terá de as procurar manualmente.

O teste de dispositivos é utilizado para fazer a transição de um dispositivo sem afinidade de utilizador para um dispositivo com afinidade de utilizador. Para preparar um dispositivo, configure a implementação VPP conforme descrito anteriormente nesta secção. Em seguida, configure e implemente uma política de configuração de aplicações. Certifique-se de que a política destina-se apenas a esses dispositivos ADE sem afinidade de utilizador.

Importante

Durante a inscrição inicial, o Intune envia automaticamente as definições de política de configuração da aplicação para dispositivos inscritos com o Assistente de Configuração com autenticação moderna, configurada na aplicação Configurar o Portal da Empresa para suportar dispositivos iOS e iPadOS inscritos com Inscrição de Dispositivos Automatizada, quando a definição de perfil de inscrição Instalar Portal da Empresa estiver definida como sim. Esta configuração não deve ser implementada manualmente para os utilizadores porque causará um conflito com a configuração enviada durante a inscrição inicial. Se ambos forem implementados, o Intune irá pedir incorretamente aos utilizadores do dispositivo que iniciem sessão no Portal da Empresa e transfiram um perfil de gestão que já tenham instalado.

Limites

  • Máximo de perfis de inscrição por token: 1000
  • Máximo de dispositivos de Inscrição de Dispositivos Automatizados por perfil: 200 000 (o mesmo que o número máximo de dispositivos por token).
  • Máximo de tokens de Inscrição de Dispositivos Automatizados por conta do Intune: 2000
  • Máximo de dispositivos de Inscrição de Dispositivos Automatizados por token: 200 000
    • Recomendamos que não exceda 200 000 dispositivos por token. Caso contrário, poderá ter problemas de sincronização. Se você tiver mais de 200 mil dispositivos, divida-os em vários tokens ADE.
    • O Apple Business Manager e o Apple School Manager sincronizam cerca de 3000 dispositivos com o Intune por minuto. Recomendamos que mantenha a sincronização manual do centro de administração novamente até que seja passado tempo suficiente para que todos os dispositivos terminem a sincronização (número total de dispositivos/3000 dispositivos por minuto).

Solucionar problemas de registro

Se tiver problemas de sincronização durante o processo de registro, procure soluções em Solucionar problemas de registro de dispositivo iOS/iPadOS.

Obter um token de inscrição de dispositivos automatizado da Apple

Antes de poder inscrever dispositivos iOS/iPadOS com a ADE, precisa de um token de inscrição de dispositivos automatizado (ficheiro .p7m) da Apple. Este token permite que o Intune sincronize informações sobre dispositivos ADE que a sua organização possui. Ele também permite que o Intune carregue perfis de registro para a Apple e atribua dispositivos a esses perfis.

Utilize o Apple Business Manager (ABM) ou o Apple School Manager (ASM) para criar um token e atribuir dispositivos ao Intune para gestão.

Observação

Você pode usar o portal do ABM ou do ASM para habilitar o ADE. O restante deste artigo refere-se ao portal do ABM, mas as etapas são as mesmas para os dois portais.

Etapa 1: Baixar o certificado de chave pública do Intune

  1. No centro de administração do Microsoft Intune, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Selecione Tokens do Programa de Registro>Adicionar.

  4. Na guia Noções Básicas:

    1. Selecione Concordo em conceder permissão à Microsoft para enviar informações de utilizadores e dispositivos para a Apple.

      Captura de tela que mostra a tela Adicionar token do programa de registro.

    2. Selecione Baixar o certificado de chave pública do Intune necessário para criar o token. Esta etapa baixa e salva o arquivo da chave de criptografia (.pem) localmente. O arquivo .pem é usado para solicitar um certificado de relação de confiança do portal do Apple Business Manager.

      Você irá carregar esse arquivo .pem no Apple Business Manager na Etapa 2: Ir para o portal do Apple Business Manager (neste artigo).

    3. Mantenha esta guia e a página do navegador da web abertas. Se você fechar a guia:

      • O certificado que você baixou foi invalidado.
      • Você precisará repetir as etapas.
      • Na guia Rever + criar, o botão Criar ficará indisponível e você não poderá concluir esse procedimento.

Etapa 2: Ir para o portal do Apple Business Manager

Use o portal do Apple Business Manager para criar e renovar seu token ADE (servidor MDM). Esse token é adicionado ao Intune e estabelece a comunicação entre o Intune e a Apple.

Observação

As etapas a seguir descrevem o que você precisa fazer no Apple Business Manager. Para obter as etapas específicas, consulte a documentação da Apple. O Guia de Utilizador do Apple Business Manager (no site da Apple) pode ser útil.

Baixar o token da Apple

  1. No Apple Business Manager, entre com a ID da Apple de sua empresa.

  2. Neste portal, conclua os seguintes passos:

    • Em configurações, são mostrados todos os tokens. Adicione um servidor MDM e carregue o certificado de chave pública (arquivo.pem) que você baixou do Intune na Etapa 1: Baixar o certificado de chave pública do Intune (neste artigo).

      Use o nome do servidor para identificar o servidor de gerenciamento de dispositivo móvel (MDM). Não é o nome ou URL do serviço Microsoft Intune.

    • Após salvar o servidor MDM, selecione-o e baixe o token (arquivo .p7m). Você irá carregar esse arquivo esse token .p7m no Intune na Etapa 4: Carregar seu token e finalizar (neste artigo).

Atribuir dispositivos ao token da Apple (servidor MDM)

  1. Em Apple Business Manager>Dispositivos, selecione os dispositivos que deseja atribuir a esse token. Você pode classificar de acordo com várias propriedades do dispositivo, como o número de série. Você também pode selecionar vários dispositivos simultaneamente.
  2. Edite o gerenciamento de dispositivos e selecione o servidor MDM que você acabou de adicionar. Esta etapa atribui dispositivos ao token.

Etapa 3: Salvar a ID da Apple

  1. No navegador da web, volte para a página Adicionar o token do programa de registro no Intune. Você deve ter mantido essa página aberta, conforme observado na Etapa 1: Baixar o certificado de chave pública do Intune (neste artigo).

  2. Em ID da Apple, insira sua ID. Esta etapa salva a ID. Ela poderá ser usada no futuro.

    Captura de tela que mostra a caixa ID da Apple na guia Básico.

Etapa 4: Carregar seu token e finalizar

  1. Em Token da Apple, navegue até o arquivo de certificado .p7m e selecione Abrir.

    Você baixou esse token .p7m na Etapa 2: Ir para o portal do Apple Business Manager.

  2. Selecione Avançar.

  3. Na guia Rever + criar selecione Criar.

Com o certificado por push, o Intune pode registrar e gerenciar dispositivos iOS/iPadOS enviando por push políticas para os dispositivos móveis registrados. O Intune sincroniza automaticamente com a Apple para acessar sua conta do programa de registro.

Criar um perfil de registro da Apple

Agora que instalou o token, pode criar um perfil de inscrição para a inscrição automática de dispositivos. Um perfil de registro de dispositivo define as configurações aplicadas a um grupo de dispositivos durante o registro. Existe um limite de 1000 perfis de inscrição por token de inscrição.

Observação

Os dispositivos serão bloqueados de inscrição se não existirem licenças suficientes do Portal da Empresa para um token VPP ou se o token expirar. O Intune alerta quando um token está prestes a expirar ou as licenças estão acabando.

  1. No centro de administração do Microsoft Intune, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Selecione Tokens do Programa de Inscrição.

  4. Escolha um token e, em seguida, selecione Perfis.

  5. Selecione Criar perfil>iOS/iPadOS.

  6. Para Noções básicas, dê ao perfil um Nome e Descrição para fins administrativos. Os usuários não veem esses detalhes.

  7. Selecione Avançar.

    Importante

    Se fizer alterações a um perfil de inscrição existente, as novas definições não entrarão em vigor nos dispositivos atribuídos até que os dispositivos sejam repostos para as definições de fábrica e reativados. A definição do modelo de nome de dispositivo é a única definição que pode alterar que não requer uma reposição de fábrica para entrar em vigor. As alterações ao modelo de nomenclatura entrarão em vigor na próxima entrada.

  8. Na lista Afinidade de Usuário, selecione uma opção que determina se dispositivos com esse perfil devem ser registrados com ou sem um usuário atribuído.

    • Inscrever com Afinidade de Utilizador: selecione esta opção para dispositivos que pertencem a utilizadores que pretendam utilizar o Portal da Empresa para serviços como a instalação de aplicações.

    • Inscrever sem Afinidade de Utilizador: selecione esta opção para dispositivos que não estejam afiliados a um único utilizador. Use esta opção para dispositivos que não acessam dados de usuário local. Esta opção é normalmente usada para quiosque, POS (ponto de venda) ou dispositivos de utilitário compartilhado.

      Em algumas situações, poderá querer associar um utilizador principal a dispositivos inscritos sem afinidade de utilizador. Para executar essa tarefa, você pode enviar a chave IntuneUDAUserlessDevice para o aplicativo Portal da Empresa em uma política de configuração de aplicativo para dispositivos gerenciados. O primeiro usuário que entrar no aplicativo Portal da Empresa é estabelecido como o usuário primário. Se o primeiro usuário sair e um segundo entrar, o primeiro continuará sendo o usuário primário do dispositivo. Para obter mais informações, confira o artigo Configurar o aplicativo Portal da Empresa para dar suporte a dispositivos de ADE com iOS e iPadOS.

    • Inscrever-se no modo partilhado do Microsoft Entra ID: selecione esta opção para inscrever dispositivos que estarão no modo partilhado.

  9. Se tiver selecionado Inscrever com Afinidade de Utilizador para o campo Afinidade de Utilizador , tem de escolher o método de autenticação que os funcionários têm de utilizar. Para obter mais informações sobre cada método de autenticação, veja Métodos de autenticação para a inscrição automatizada de dispositivos.

    Captura de tela das opções do método de autenticação.

    Suas opções:

    • Portal da Empresa
    • Assistente de Configuração (legado)
    • Assistente de Configuração com autenticação moderna

  10. Se selecionou Assistente de Configuração (legado) para o método de autenticação, mas também quer utilizar o Acesso Condicional ou implementar aplicações da empresa nos dispositivos, tem de instalar o Portal da Empresa nos dispositivos e iniciar sessão para concluir o registo do Microsoft Entra. Para isso, selecione Sim para Instalar o Portal da Empresa. Se quiser que os utilizadores recebam o Portal da Empresa sem terem de se autenticar na App Store, em Instalar o Portal da Empresa com o VPP, selecione um token VPP. Verifique se o token não expira e se você tem licenças de dispositivo suficientes para que o aplicativo Portal da Empresa seja implantado corretamente.

  11. Se você selecionou um token para Instalar o Portal da Empresa com o VPP, pode bloquear o dispositivo no Modo de Aplicativo Único (especificamente, o aplicativo Portal da Empresa) logo após a conclusão do Assistente de Configuração. Selecione Sim para Executar Portal da Empresa no Modo de Aplicativo Único até a autenticação para definir essa opção. Para utilizar o dispositivo, o utilizador tem primeiro de se autenticar ao iniciar sessão no Portal da Empresa.

    Observação

    Não há suporte para a autenticação multifator em um dispositivo único bloqueado no Modo de Aplicativo Único. Essa limitação existe porque o dispositivo não pode alternar para um aplicativo diferente a fim de concluir o segundo fator de autenticação. Se você quiser ter autenticação multifator em um dispositivo no Modo de Aplicativo Único, o segundo fator precisará estar em um dispositivo diferente.

    Esse recurso tem suporte somente no iOS/iPadOS 11.3.1 e posteriores.

    Captura de tela que mostra a opção Executar Portal da Empresa no Modo de Aplicativo Único.

  12. Se pretender que os dispositivos que utilizam este perfil sejam supervisionados, selecione Sim na lista Supervisionado .

    Captura de tela que mostra a opção Supervisionado.

    Os dispositivos supervisionados permitem mais opções de gerenciamento e desabilitam o Bloqueio de Ativação por padrão. A Microsoft recomenda usar o ADE como o mecanismo para habilitar o modo supervisionado, especialmente se você estiver implantando grandes números de dispositivos iOS/iPadOS. Os dispositivos Apple Shared iPad for Business precisam ser supervisionados.

    Os utilizadores são notificados de que os respetivos dispositivos são supervisionados na aplicação Definições . Na aplicação na parte superior do ecrã, uma mensagem estática indica-lhes Este iPhone é supervisionado e gerido pelo <your organization>.

    Observação

    Se um dispositivo estiver registrado sem supervisão, você precisará usar o Apple Configurator para configurá-lo como supervisionado. Para redefinir o dispositivo dessa forma, você precisa conectá-lo a um Mac com um cabo USB. Para saber mais, confira a Ajuda do Apple Configurator.

  13. Na lista Registro Bloqueado, selecione Sim ou Não. A inscrição bloqueada desativa as definições do iOS/iPadOS que permitem remover o perfil de gestão. Se ativar a inscrição bloqueada, o botão na aplicação Definições que permite aos utilizadores remover um perfil de gestão será ocultado e os utilizadores não poderão anular a inscrição do respetivo dispositivo. Se estiver a configurar dispositivos no modo partilhado do Microsoft Entra ID, selecione Sim.

    A inscrição bloqueada funciona de forma ligeiramente diferente, inicialmente, em dispositivos não adquiridos originalmente através do Apple Business Manager, mas posteriormente adicionados para fazerem parte da inscrição automática de dispositivos: os utilizadores nestes dispositivos verão o botão remover gestão na aplicação Definições durante os primeiros 30 dias após a ativação do dispositivo. Após esse período provisório, a opção será ocultada. Para obter mais informações, consulte Preparar dispositivos manualmente (abre documentos de Ajuda do Apple Configurator).

    Importante

    Esta definição é diferente das opções de remoção e reposição na aplicação Portal da Empresa. Independentemente da forma como configurar a inscrição bloqueada, as opções Remover Dispositivo ou Reposição de Fábrica na aplicação Portal da Empresa permanecem indisponíveis nos dispositivos inscritos através da inscrição automática de dispositivos. Os utilizadores também não poderão remover o dispositivo no site do Portal da Empresa. Para obter mais informações sobre as ações self-service disponíveis em dispositivos inscritos, veja Self-service actions (Ações self-service).

  14. Se você selecionou Registrar sem Afinidade de Usuário e Supervisionado nas etapas anteriores, precisa decidir se deseja configurar os dispositivos para serem Dispositivos Apple Shared iPad for Business. Selecione Sim para Shared iPad para permitir que vários usuários entrem em um único dispositivo. Os usuários serão autenticados usando as respectivas IDs Gerenciadas da Apple e contas de autenticação federada ou usando uma sessão temporária (como a conta de Convidado). Esta opção exige o iOS/iPadOS 13.4 ou posterior. Com o Shared iPad, todos os painéis do Assistente de Instalação são ignorados automaticamente após a ativação.

    Observação

    • Um apagamento de dispositivo será necessário se um perfil de registro de iOS/iPadOS com o Shared iPad habilitado for enviado para um dispositivo sem suporte. Os dispositivos sem suporte incluem modelos de iPhone e iPads executando o iPadOS/iOS 13.3 e anteriores. Os dispositivos com suporte incluem iPads executando o iPadOS 13.3 e posteriores.
    • Se quiser configurar o Apple Shared iPad for Business, defina as seguintes configurações:
      • Na lista Afinidade de Usuário, selecione Registrar sem Afinidade de Usuário.
      • Na lista Supervisionado, selecione Sim.
      • Na lista do Shared iPad, selecione Sim.

    Se estiver configurando o Apple Shared iPad for Business, configure também:

    • Máximo de usuários armazenados em cache: insira o número de usuários que você acredita que usarão o Shared iPad. Você pode armazenar em cache até 24 usuários em um dispositivo de 32 ou de 64 GB. Se você escolher um número baixo, poderá levar algum tempo para que os dados dos usuários sejam exibidos nos dispositivos após entrarem. Se você escolher um número alto, seus usuários poderão ficar sem espaço em disco.

    • Máximo de segundos após o bloqueio de ecrã antes de a palavra-passe ser exigida: introduza o período de tempo em segundos. Os valores aceites incluem: 0, 60, 300, 900, 3600 e 14400. Se o bloqueio de tela exceder este tempo, uma senha de dispositivo será necessária para desbloquear o dispositivo. Disponível para dispositivos no modo Shared iPad executando o iPadOS 13.0 e posterior.

    • Máximo de segundos de inatividade até que a sessão do usuário seja desconectada: o valor mínimo permitido para essa configuração é 30. Se não houver atividade após o período definido, a sessão do utilizador termina e termina a sessão do utilizador. Se deixar a entrada em branco ou a definir como zero (0), a sessão não terminará devido a inatividade. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

    • Solicitar somente sessão temporária do iPad Compartilhado: configura o dispositivo para que os usuários vejam apenas a versão de convidado da experiência de entrada e devem entrar como convidados. Não podem entrar com uma ID gerenciada da Apple. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

      Quando definida como Sim, esta definição cancela as seguintes definições de iPad partilhado, uma vez que não são aplicáveis em sessões temporárias:

      • Máximo de usuários armazenados em cache
      • Máximo de segundos após o bloqueio da tela antes que a senha seja solicitada
      • Máximo de segundos de inatividade até que a sessão do usuário seja desconectada

    • Máximo de segundos de inatividade até que a sessão temporária seja desconectada: o valor mínimo permitido para essa configuração é 30. Se não houver atividade após o período definido, a sessão temporária termina e termina a sessão do utilizador. Se deixar a entrada em branco ou a definir como zero (0), a sessão não terminará devido a inatividade. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

      Esta configuração estará disponível quando a configuração Requerer apenas uma sessão Shared iPad temporária estiver definida como Sim.

    Observação

    • Se as sessões temporárias estiverem habilitadas, todos os dados do usuário serão excluídos quando saírem da sessão. Isso significa que todas as políticas e aplicativos visados chegarão ao usuário quando ele entrar e serão apagados quando sair.
    • Para alterar uma configuração de iPads compartilhados para não ter sessões temporárias, o dispositivo precisará ser totalmente redefinido e um novo perfil de registro com as configurações atualizadas precisará ser enviado para o iPad.

  15. Na lista Sincronizar com computadores, selecione uma opção para os dispositivos que usam esse perfil. Se selecionar Permitir Apple Configurator por certificado, você precisará selecionar um certificado em Certificados do Apple Configurator.

    Observação

    Se você definir Sincronizar com computadores como Negar todos, a porta ficará limitada nos dispositivos iOS e iPadOS. A porta será limitada somente ao carregamento. Ela será impedida de usar o iTunes ou o Apple Configurator 2.

    Se você definir Sincronizar com computadores como Permitir o Apple Configurator por certificado, tenha uma cópia local do certificado que você possa usar posteriormente. Você não conseguirá fazer alterações na cópia carregada, e é importante manter uma cópia desse certificado. Se quiser ligar-se ao dispositivo iOS/iPadOS a partir de um dispositivo Mac, o mesmo certificado tem de ser instalado no dispositivo que faz a ligação ao dispositivo iOS/iPadOS.

  16. Se você selecionou Permitir Apple Configurator por certificado na etapa anterior, escolha um certificado em Certificados do Apple Configurator para importar. O limite é de 10 certificados.

  17. Para Aguardar configuração final, as suas opções são:

    • Sim: ative uma experiência bloqueada no final do Assistente de Configuração para garantir que as políticas de configuração de dispositivos mais críticas estão instaladas no dispositivo. Imediatamente antes de o ecrã principal ser carregado, o Assistente de Configuração é colocado em pausa e permite que o Intune dê entrada com o dispositivo. A experiência do utilizador final bloqueia enquanto os utilizadores aguardam configurações finais.

      A quantidade de tempo que os utilizadores são mantidos no ecrã Aguardar configuração final varia e depende do número total de políticas e aplicações que aplicar ao dispositivo. Quanto mais políticas e aplicações forem atribuídas ao dispositivo, mais tempo de espera será. Nem o Assistente de Configuração nem o Intune impõem um limite de tempo mínimo ou máximo durante esta parte da configuração. Durante a validação do produto, a maioria dos dispositivos que testámos foram libertados e conseguiram aceder ao ecrã principal no prazo de quinze minutos. Se ativar esta funcionalidade e estiver a utilizar terceiros para o ajudar a aprovisionar dispositivos, informe-os sobre o potencial de aumento do tempo de aprovisionamento. Tenha em atenção que apenas as políticas de configuração de dispositivos começam a ser instaladas durante o ecrã de configuração final que aguarda e as aplicações não estão incluídas neste.

      A experiência bloqueada funciona em dispositivos direcionados com perfis de inscrição novos e existentes. Os dispositivos com suporte incluem:

      • Dispositivos iOS/iPadOS 13+ inscritos com o Assistente de Configuração com autenticação moderna
      • Dispositivos iOS/iPadOS 13+ inscritos sem afinidade de utilizador
      • Dispositivos iOS/iPadOS 13+ inscritos no modo partilhado do Microsoft Entra ID

      Esta definição é aplicada uma vez durante a experiência de inscrição automática de dispositivos no Assistente de Configuração. O utilizador do dispositivo não volta a experimentá-lo, a menos que volte a inscrever o dispositivo. Sim é a predefinição para novos perfis de inscrição.

    • Não: o dispositivo é lançado para o ecrã principal quando o Assistente de Configuração termina, independentemente do estado de instalação da política. Os utilizadores do dispositivo poderão aceder ao ecrã principal ou alterar as definições do dispositivo antes de todas as políticas serem instaladas. Não é a predefinição para perfis de inscrição existentes.

    A definição de configuração a aguardar não está disponível em perfis com esta combinação de configurações:

    • Afinidade de utilizador: inscrever sem afinidade de utilizador (Passo 6 nesta secção)
    • IPad partilhado: Sim (Passo 12 nesta secção)

  18. Opcionalmente, crie um modelo de nome de dispositivo para identificar rapidamente os dispositivos atribuídos a este perfil no centro de administração. O Intune utiliza o seu modelo para criar e formatar nomes de dispositivos. Os nomes são atribuídos aos dispositivos quando são inscritos e em cada entrada sucessiva. Para criar um modelo:

  19. Em Aplicar modelo de nome de dispositivo, selecione Sim .

  20. Na caixa Modelo de Nome do Dispositivo , introduza o modelo que pretende utilizar para construir nomes de dispositivos. O modelo pode incluir o tipo de dispositivo e o número de série. Não pode conter mais de 63 carateres, incluindo as variáveis. Exemplo: {{DEVICETYPE}}-{{SERIAL}}

  21. Você pode ativar um plano de dados de celular. Essa configuração se aplica a dispositivos que executam iOS/iPadOS 13.0 e posterior. A configuração desta opção enviará um comando para ativar os planos de dados de celular para seus dispositivos celulares habilitados para eSim. Sua operadora deve provisionar ativações para seus dispositivos antes que você possa ativar planos de dados usando este comando. Para ativar o plano de dados de celular, clique em Sim e insira a URL do servidor de ativação da sua operadora.

  22. Selecione Avançar.

  23. Na guia Assistente de Configuração, defina as seguintes configurações de perfil:

    Configuração do departamento Descrição
    Departamento Aparece quando os usuários tocam em Sobre a Configuração durante a ativação.
    Telefone do Departamento Aparece quando os usuários tocam no botão Precisa de Ajuda durante a ativação.

    Pode ocultar os ecrãs do Assistente de Configuração no dispositivo durante a configuração do utilizador. Para obter uma descrição de todos os ecrãs, consulte Referência de ecrã do Assistente de Configuração (neste artigo).

    • Se você selecionar Ocultar, a tela não será exibida durante a instalação. Após configurar o dispositivo, o usuário continua podendo acessar o menu Configurações para configurar o recurso.
    • Se você selecionar Mostrar, a tela será exibida durante a instalação, mas somente se houver etapas a serem concluídas após a restauração ou a atualização de software. Às vezes, os usuários podem ignorar a tela sem executar nenhuma ação. Podem acessar o menu Configurações do dispositivo mais tarde para configurar o recurso.
    • Com o Shared iPad, todos os painéis do Assistente de Instalação são ignorados automaticamente após a ativação, independentemente da configuração.

  24. Selecione Avançar.

  25. Selecione Criar para salvar o perfil.

Grupos dinâmicos no Microsoft Entra ID

Pode utilizar o campo Nome da inscrição para criar um grupo dinâmico no Microsoft Entra ID. Para obter mais informações, consulte Grupos dinâmicos do Microsoft Entra.

Você pode usar o nome do perfil para definir o parâmetro enrollmentProfileName e atribuir dispositivos com este perfil de registro.

Antes da configuração do dispositivo e para garantir a entrega rápida a dispositivos com afinidade de utilizador, certifique-se de que o utilizador inscrito é membro de um grupo de utilizadores do Microsoft Entra.

Se você atribuir grupos dinâmicos a perfis de registro, poderá haver um atraso no fornecimento de aplicativos e políticas para dispositivos após o registro.

Referência de ecrã do Assistente de Configuração

A tabela seguinte descreve os ecrãs do Assistente de Configuração apresentados durante a inscrição automatizada de dispositivos para iOS/iPadOS. Pode mostrar ou ocultar estes ecrãs em dispositivos suportados durante a inscrição.

Ecrã assistente de configuração O que acontece quando visível
Senha Solicita uma senha ao usuário. Sempre exija uma senha para dispositivos não protegidos, a menos que o acesso seja controlado de alguma outra maneira. (por exemplo, uma configuração de modo quiosque que restringe o dispositivo a um aplicativo). Para iOS/iPadOS 7.0 e posterior.
Serviços de Localização Solicita a localização ao usuário. Para macOS 10.11 e posteriores e iOS/iPadOS 7.0 e posteriores.
Restore Exibe a tela Aplicativos e Dados. Esta tela fornece aos usuários a opção de restaurar ou transferir dados do Backup do iCloud quando eles configuram o dispositivo. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
ID Apple Dá ao usuário as opções de entrar com o ID da Apple e usar o iCloud. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Termos e condições Exige que o usuário aceite os termos e condições da Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Touch ID e Face ID Dê ao usuário a opção de configurar impressão digital ou identificação facial no seu dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 8.1 e posterior. No iOS/iPadOS 14.5 e posterior, as telas do Assistente de Configuração de Senha e da ID de Toque durante a instalação do dispositivo não estão funcionando. Se você usar a versão 14.5+, não configure as telas Assistente de Configuração de Senha e da ID de Toque. Se você precisar de uma senha em dispositivos, use uma política de configuração de dispositivo ou uma política de conformidade. Depois que o usuário se registrar e receber a política, será solicitado que ele receba uma senha.
Apple Pay Dá ao usuário a opção de configurar o Apple Pay no dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 7.0 e posterior.
Ampliar Dará ao usuário a opção de aplicar zoom na exibição quando configurar o dispositivo. Para iOS/iPadOS 8.3 e posterior.
Siri Dá ao usuário a opção de configurar a Siri. Para macOS 10.12 e posterior e iOS/iPadOS 7.0 e posterior.
Dados de Diagnóstico Exibirá a tela Diagnóstico. Essa tela dá ao usuário a opção de enviar dados de diagnóstico à Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Tom da Tela Dá ao usuário a opção de ativar o Tom da Tela. Para macOS 10.13.6 e posterior e iOS/iPadOS 9.3.2 e posterior.
Privacidade Exibirá a tela Privacidade. Para macOS 10.13.4 e posterior e iOS/iPadOS 11.3 e posterior.
Migração do Android Dá ao usuário a opção de migrar dados de um dispositivo Android. Para iOS/iPadOS 9.0 e posterior.
iMessage e FaceTime Dá ao usuário a opção de configurar o iMessage e o FaceTime. Para iOS/iPadOS 9.0 e posterior.
Integração Exibirá telas informativas de integração para informar o usuário, como Folha de Rosto, Multitarefa e Centro de Controle. Para iOS/iPadOS 11.0 e posterior.
Tempo de Tela Exibe a tela Tempo de Tela. Para macOS 10.15 e posterior e iOS/iPadOS 12.0 e posterior.
Configuração do SIM Dá ao usuário a opção de adicionar um plano de celular. Para iOS/iPadOS 12.0 e posterior.
Atualização de Software Exibe a tela de atualização de software obrigatória. Para iOS/iPadOS 12.0 e posterior.
Migração de Relógio Dá ao usuário a opção de migrar dados de um relógio. Para iOS/iPadOS 11.0 e posterior.
Aparência Exibirá a tela Aparência. Para macOS 10.14 e posterior e iOS/iPadOS 13.0 e posterior.
Migração de Dispositivo para Dispositivo Dê ao utilizador a opção de transferir dados de um dispositivo antigo para este dispositivo. A opção para transferir dados diretamente de um dispositivo não está disponível para dispositivos ADE com o iOS 13 ou posterior.
Restauração Concluída Mostra aos usuários a tela Restauração Concluída após a realização de um backup e restauração durante o Assistente de Configuração.
Atualização de Software Concluída Mostra ao usuário todas as atualizações de software que acontecem durante o Assistente de Configuração.
Introdução Mostra aos usuários a tela de boas-vindas de Introdução.
Termos de Endereço Dê ao utilizador a opção de escolher como quer ser abordado em todo o sistema: feminino, masculino ou neutro. Esta funcionalidade da Apple está disponível para idiomas selecionados. Para obter mais informações, consulte Funcionalidades Principais e Melhoramentos (abre o site da Apple). Para iOS/iPadOS 16.0 e posterior.

Sincronizar dispositivos gerenciados

Agora que o Intune tem permissão para gerenciar seus dispositivos, você pode sincronizar o Intune com a Apple para ver os dispositivos gerenciados no Intune no Portal do Azure.

  1. No centro de administração do Microsoft Intune, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Selecione Tokens do Programa de Inscrição.

  4. Selecione um token na lista e, em seguida, selecioneSincronização de Dispositivos>.

    Captura de tela que mostra como sincronizar dispositivos iOS e iPadOS com um token do programa de registro.

    Para cumprir os termos da Apple com relação ao tráfego aceitável do programa de registro, o Intune impõe as seguintes restrições:

    • Uma sincronização completa pode ser executada, no máximo, uma vez a cada sete dias. Durante uma sincronização completa, o Intune busca a lista atualizada completa de números de série atribuídos ao servidor Apple MDM conectado ao Intune.

      Importante

      Se um dispositivo for excluído do Intune, mas permanecer atribuído ao token de inscrição ADE no portal ASM/ABM, ele reaparecerá no Intune na próxima sincronização completa. Se você não quiser que o dispositivo reapareça no Intune, cancele a atribuição do servidor Apple MDM no portal ABM/ASM.

    • Se um dispositivo for liberado do ABM/ASM, poderá levar até 45 dias para que ele seja excluído automaticamente da página de dispositivos no Intune. Se necessário, você pode excluir manualmente e de forma individual os dispositivos liberados do Intune. Os dispositivos lançados serão comunicados com precisão como sendo Removidos da ABM/ASM no Intune até serem eliminados automaticamente no prazo de 30 a 45 dias.
    • A sincronização delta é executada automaticamente a cada 12 horas. Você também pode disparar uma sincronização delta selecionando o botão Sincronizar (no máximo uma vez a cada 15 minutos). Todas as solicitações de sincronização têm 15 minutos para terminar. O botão Sincronizar fica desativado até que a sincronização seja concluída. Essa sincronização atualizará o status existente do dispositivo e importará novos dispositivos atribuídos ao servidor MDM da Apple. Se uma sincronização delta falhar por qualquer motivo, a próxima sincronização será completa para, esperamos, resolver quaisquer problemas.

Atribuir um perfil de registro aos dispositivos

Antes de os dispositivos poderem ser inscritos, tem de lhes atribuir um perfil de inscrição.

Observação

Você também pode atribuir números de série aos perfis no painel Números de Série da Apple.

  1. No centro de administração do Microsoft Intune, aceda aInscrição de Dispositivos>.
  2. Selecione o separador Apple .
  3. Selecione Tokens do programa de inscrição.
  4. Selecione um token de inscrição.
  5. Selecione Dispositivos.
  6. Selecione todos os dispositivos que pretende atribuir e, em seguida, selecione Atribuir perfil.
  7. Em Atribuir perfil, selecione o perfil de inscrição de dispositivos automatizado que criou para os dispositivos e, em seguida, selecione Atribuir.

Atribuir um perfil padrão

Você pode escolher um perfil padrão a ser aplicado a todos os dispositivos que forem registrados com um token específico.

  1. No centro de administração, regresse aos tokens do programa de inscrição.
  2. Selecione um token de inscrição.
  3. Selecione Predefinir Perfil.
  4. Selecione um perfil na lista e, em seguida, selecione Guardar. O perfil será aplicado a todos os dispositivos inscritos com o token de inscrição selecionado.

Observação

Verifique se as Restrições de Tipos de Dispositivos em Restrições de Registro não têm a política padrão Todos os Usuários definida para bloquear a plataforma iOS/iPadOS. Essa configuração causará falha no registro automatizado e seu dispositivo será exibido como Perfil Inválido, independentemente do atestado do usuário. Para permitir o registro somente por dispositivos gerenciados pela empresa, bloqueie somente dispositivos de propriedade pessoal, o que permitirá que os dispositivos corporativos se registrem. A Microsoft define um dispositivo corporativo como um dispositivo registrado por meio de um Programa de registro de dispositivos ou de um dispositivo inserido manualmente em Identificadores de dispositivos corporativos.

Distribuir dispositivos

Você habilitou o gerenciamento e a sincronização entre a Apple e o Intune e atribuiu um perfil para que os dispositivos do ADE possam ser registrados. Você está pronto para distribuir dispositivos para os usuários. Algumas coisas que você precisa saber:

  • Dispositivos registrados com afinidade de usuário exigem que uma licença do Intune seja atribuída a cada usuário.

  • Os dispositivos registrados sem afinidade de usuário normalmente não têm nenhum usuário associado. Esses dispositivos precisam ter uma licença de dispositivo do Intune. Se os dispositivos registrados sem afinidade de usuário forem usados por um usuário licenciado pelo Intune, não será necessária uma licença de dispositivo.

    Para resumir, se um dispositivo tiver um usuário, o usuário precisará ter uma licença do Intune atribuída. Se não tiver um usuário licenciado pelo Intune, o dispositivo precisará ter uma licença de dispositivo do Intune.

    Para obter mais informações sobre o licenciamento do Intune, confira Licenciamento do Microsoft Intune e o Guia de planejamento do Intune.

  • Um dispositivo ativado precisa ser apagado para que possa ser inscrito no Intune adequadamente usando ADE. Depois de ser apagado, mas antes da reativação, o perfil de inscrição pode ser aplicado. Confira Configurar um iPhone, iPad ou iPod touch existente

  • Se estiver fazendo o registro com o ADE e afinidade de usuário, o seguinte erro poderá ocorrer durante a configuração:

    The SCEP server returned an invalid response.

    É possível resolver esse erro tentando baixar o gerenciamento novamente dentro de 15 minutos. Se mais de 15 minutos se passarem, para resolver esse erro, você precisará realizar a redefinição de fábrica do dispositivo. Esse erro ocorre em razão de um limite de 15 minutos para certificados SCEP, que é imposto por motivos de segurança.

Para saber mais sobre a experiência do usuário final, confira Registrar seu dispositivo iOS/iPadOS no Intune usando o ADE.

Inscrever novamente um dispositivo

Conclua estes passos para inscrever novamente um dispositivo que já tenha passado pela inscrição automatizada de dispositivos.

  1. Existem duas opções para repor o dispositivo:
    • Elimine o dispositivo no centro de administração do Microsoft Intune.
    • Retire o dispositivo no centro de administração e, em seguida, reponha as definições de fábrica do dispositivo com a aplicação Definições, o Apple Configurator 2 ou o iTunes.
  2. Ative o dispositivo e siga os passos apresentados no ecrã no Assistente de Configuração para obter o perfil de gestão remota.

Renovar um token do Registro de Dispositivo Automatizado

Às vezes, você precisará renovar seus tokens:

  • Renove seu token ADE anualmente. O centro de administração do Intune mostra a data de expiração.
  • Se a senha da ID da Apple for alterada para o usuário que configurou o token no Apple Business Manager, renove o token do programa de registro no Intune e no Apple Business Manager.
  • Se o usuário que configurou o token no Apple Business Manager sair da organização, renove o token do programa de registro no Intune e no Apple Business Manager.
  • Se alterar o ID Apple utilizado para criar o token do ADE, a alteração não afetará os dispositivos atualmente inscritos com esse token até que se reinscrevam. Isto é diferente do certificado do Serviço Apple Push Notification (APNS) utilizado para o inquilino, que não pode ser alterado sem exigir que todos os dispositivos sejam novamente inscritos, a menos que contacte o Suporte da Apple para efetuar a alteração no back-end.

Renovar seus tokens

  1. Acesse business.apple.com e entre com uma conta que tenha função de Administrador ou de Gerenciador de Registros de Dispositivo.

  2. Selecione Configurações. Em Servidores MDM, selecione o servidor MDM associado ao arquivo de token que deseja renovar. Selecione Transferir Token.

    Captura de tela que mostra como renovar e baixar um token da Apple no Apple Business Manager.

  3. Selecione Baixar Token do Servidor.

    Observação

    Conforme informado no prompt, não selecione Baixar Token do Servidor se você não pretende renovar o token. Fazer isso invalidará o token que está sendo usado pelo Intune (ou por qualquer outra solução de MDM). Se você já baixou o token, prossiga com as próximas etapas até que ele seja renovado.

  4. Depois de transferir o token, aceda ao centro de administração do Microsoft Intune.

  5. SelecioneInscriçãode Dispositivos>.

  6. Selecione Tokens do programa de inscrição.

  7. Selecione o token.

  8. Selecione Renovar token. Insira a ID da Apple usada para criar o token original (se não tiver sido preenchida automaticamente):

    Captura de tela que mostra a página Renovar token.

  9. Carregue o token recém-baixado.

  10. Selecione Avançar para ir para a página Marcas de escopo. Atribua marcas de escopo se desejar.

  11. Selecione Renovar token. Verá uma confirmação de que o token foi renovado.

    Captura de tela que mostra a mensagem de confirmação.

Excluir um token do Registro de Dispositivo Automatizado do Intune

Você pode excluir um token do perfil de registro do Intune, desde que:

  • Nenhum dispositivo esteja atribuído ao token.
  • Nenhum dispositivo esteja atribuído ao perfil padrão.
  • Não há nenhum perfil de registro nesse token.

Para excluir um token do perfil de registro:

  1. No centro de administração do Microsoft Intune, aceda aInscrição de Dispositivos>.
  2. Selecione o separador Apple .
  3. Escolher Tokens do Programa de Inscrição
  4. Selecione o token e selecione Dispositivos.
  5. Exclua todos os dispositivos atribuídos ao token.
  6. Regresse aos tokens do programa de inscrição. Selecione o token e selecione Perfis.
  7. Se houver um perfil padrão ou qualquer outro perfil de registro, todos eles deverão ser excluídos.
  8. Regresse aos tokens do programa de inscrição. Selecione o token e selecione Excluir.

Próximas etapas

Para obter uma descrição geral do que é necessário para os utilizadores do dispositivo, veja Tarefas de utilizador final da ADE.