設定帳戶驅動的Apple用戶註冊
針對在 Microsoft Intune 中註冊的個人裝置,設定帳戶驅動的 Apple 用戶註冊。 帳戶驅動的用戶註冊提供比使用 公司入口網站 進行用戶註冊更快且更方便使用的註冊體驗。 裝置使用者會在 [設定] 應用程式中登入其工作帳戶來起始註冊。 使用者核准裝置管理之後,會以無訊息方式安裝註冊配置檔,並套用 Intune 原則。 Intune 使用 Just-In-Time (JIT) 註冊和Microsoft Authenticator 應用程式進行驗證,以減少使用者在註冊期間和存取工作應用程式時必須登入的次數。
本文說明如何在 Microsoft Intune 中設定帳戶驅動的Apple用戶註冊。 您將會:
- 設定 JIT 註冊。
- 建立註冊配置檔。
- 準備員工和學生進行註冊。
必要條件
Microsoft Intune 支援執行 iOS/iPadOS 第 15 版或更新版本之裝置上的帳戶驅動 Apple 用戶註冊。 如果您將帳戶驅動的用戶註冊配置檔指派給執行 iOS/iPadOS 14.9 或更早版本的裝置使用者,Microsoft Intune 透過 公司入口網站 的使用者註冊自動註冊它們。
開始安裝之前,請先完成下列工作:
- 設定行動裝置管理 (MDM) 授權單位
- 取得 Apple MDM 推播憑證
- 為裝置使用者建立受控 Apple 識別 碼 (開啟 Apple 支援網站)
您也需要設定服務探索,讓 Apple 能夠連線到 Intune 服務並擷取註冊資訊。 若要完成此必要條件,請在員工登入的相同網域上設定併發佈 HTTP 已知資源檔。 Apple 會透過對 的 HTTP GET 要求 “https://contoso.com/.well-known/com.apple.remotemanagement”
擷取檔案,並取代您的組織網域 contoso.com
。 在可處理 HTTP GET 要求的網域上發佈檔案。
注意事項
必須儲存已知的資源檔,而不使用擴展名,例如.json,才能正確運作。
以 JSON 格式建立檔案,並將內容類型設定為 application/json
。 我們提供下列 JSON 範例,您可以將這些範例複製並貼到檔案中。 使用與您的環境一致的 。 將基底 URL 中的 YourAADTenantID 變數取代為您組織的 Microsoft Entra 租使用者識別碼。
Microsoft Intune 環境:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
適用於美國政府環境的 Microsoft Intune:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune 由 21 Vianet 在中國環境中運作:
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
其餘的 JSON 範例會填入您所需的所有資訊,包括:
- 版本:伺服器版本為
mdm-byod
。 - BaseURL:此 URL 是 Intune 服務所在的位置。
提示
如需服務探索技術需求的詳細資訊,請參閱Apple開發人員檔中的實作 簡單驗證用戶註冊流程 。
最佳做法
建議您進行額外的設定,以協助改善裝置用戶的註冊體驗。 本節提供每個建議的詳細資訊。
部署 公司入口網站 Web 應用程式
部署 Intune 公司入口網站 網站的 Web 應用程式版本,讓使用者可以快速存取裝置狀態、裝置動作和合規性資訊。 Web 應用程式會出現在主畫面上,並作為 公司入口網站 網站的連結。 如果沒有 Web 應用程式,裝置使用者仍然可以存取 公司入口網站 網站,但必須開啟瀏覽器,並在搜尋欄位中輸入位址。 如需如何新增 Web 應用程式的詳細資訊,請參閱將 Web 應用程式新增至 Microsoft Intune。
啟用同盟驗證
Apple 用戶註冊需要您建立受控 Apple 識別符,並提供註冊使用者。 如果您啟用同盟驗證,其中包含連結 Apple Business Manager 與 Microsoft Entra ID,則不需要建立唯一的 Apple 標識符,並提供唯一的 Apple 標識符給每個使用者。 相反地,裝置使用者可以使用他們用於其工作帳戶的相同認證來登入其應用程式。 如需詳細資訊,請參閱Apple Business Manager使用者指南中的 使用Apple Business Manager 進行同盟驗證的簡介 。
步驟 1:設定 Just-In-Time 註冊並指派Microsoft驗證器
設定 Just-In-Time 註冊,並將 Microsoft Authenticator 指派為必要的應用程式。 如需步驟,請參閱在 Intune 中設定 JIT 註冊。 完成後,請返回本文,以便繼續進行下一個步驟。
步驟 2:建立註冊配置檔
為透過帳戶驅動用戶註冊註冊的裝置建立註冊配置檔。 註冊配置檔會觸發裝置用戶的註冊體驗,並可讓他們從 [設定] 應用程式起始註冊。
在 Microsoft Intune 系統管理中心,移至 [裝置>註冊]。
選取 [Apple] 索引 標籤。
在 [ 註冊選項] 下,選擇 [ 註冊類型]。
選 取 [建立配置檔>iOS/iPadOS]。
在 [ 基本概念] 頁面上,輸入配置檔的名稱和描述,以便與系統管理中心的其他配置文件區別。 裝置使用者看不到這些詳細數據。
選取 [下一步]。
在 [ 設定] 頁面上 ,針對 [ 註冊類型] 選取您要如何註冊裝置。 您可以選擇註冊方法,或允許使用者自行選擇。 其選擇決定 Microsoft Intune 執行的註冊程式。它也會反映在 Microsoft Intune 中的裝置擁有權屬性中。 若要深入瞭解用戶的體驗,以及他們在註冊期間在螢幕上看到的內容,請參閱 設定公司或學校的個人 iOS 裝置。
選項包括:
帳戶驅動用戶註冊:起始註冊的指派用戶會透過帳戶驅動用戶註冊進行註冊。
根據用戶選擇來決定:起始註冊的指派使用者可以選取其要如何註冊其裝置。 其選項:
我擁有此裝置: 此選取項目會顯示更多設定。 用戶可以選擇保護其整個裝置,或僅保護工作相關的應用程式和數據。
(公司) 擁有此裝置: 裝置會透過 Apple 裝置註冊進行註冊。 如需此註冊方法的詳細資訊,請參閱 Apple 支援網站上的 裝置註冊和 MDM 。
選取 [下一步]。
在 [ 指派] 頁面上,將配置檔指派給所有使用者,或選取特定群組。 用戶註冊案例不支援裝置群組,因為用戶註冊需要使用者身分識別。
選取 [下一步]。
在 [ 檢閱 + 建立] 頁面上,檢閱您的選擇,然後選取 [ 建立 ] 以完成配置檔的建立。
步驟 3:準備員工進行註冊
若要在個人裝置上起始裝置註冊,裝置擁有者必須移至 [設定] 應用程式,並使用其公司或學校帳戶登入。 如果他們嘗試使用其公司或學校帳戶登入應用程式,應用程式會向他們發出註冊需求的警示,並告知他們如何繼續。
本節說明裝置用戶的註冊步驟。 建議您在組織的裝置上線檔中使用這項資訊,或進行疑難解答和支援。
- 在您的裝置上開啟 [設定 ] 應用程式。
- 選取 [一般]。
- 選取 [VPN & 裝置管理]。
- 使用您的公司或學校帳戶登入,或使用組織提供給您的 Apple ID 登入。
- 選 取 [登入 iCloud]。
- 輸入螢幕上顯示之使用者名稱的密碼。 然後選取 [ 繼續]。
- 選 取 [允許遠端管理]。
- 設定裝置並安裝管理配置檔時,請稍候幾分鐘。
- 若要確認您的裝置已準備好用於工作,請移至 VPN & 裝置管理。 確認您的工作帳戶列在 [受 控帳戶] 底下。
- Microsoft需要 Authenticator 才能存取工作應用程式。 註冊之後等候幾分鐘,驗證器才會安裝在您的裝置上。 如果您嘗試登入沒有 Authenticator 的工作應用程式,就會出現錯誤訊息。
- 您可能會收到更多提示,要求您核准安裝工作應用程式。 選 取 [安裝 ] 以核准安裝。
配置檔優先順序
Intune 會依照您設定其優先順序的順序來套用註冊配置檔。 若要變更套用它們的順序:
- 返回 至註冊類型以檢視您的配置檔。
- 拖放清單中的配置檔,以重新排列其優先順序。
如果因為使用者被指派一個以上的配置檔而發生衝突,Intune 以較高的優先順序套用配置檔。
從管理中移除裝置
當裝置從 Intune 取消註冊時,會清除為管理裝置上工作數據所建立的磁碟區和密碼編譯密鑰。
已知問題
本節說明帳戶驅動 Apple 用戶註冊和 Microsoft Intune 的目前已知問題。
註冊因為註冊 SSO 應用程式而失敗
如果Microsoft驗證器應用程式在註冊開始之前已在裝置上,當裝置用戶嘗試使用其公司或學校帳戶在 [設定] 應用程式中登入時,註冊將會失敗。 他們收到的訊息會顯示:
- 標題:登入失敗
- 描述:註冊 SSO 應用程式已安裝在裝置上。
若要解決此問題,裝置用戶必須卸載 Microsoft Authenticator 應用程式並重新啟動註冊。
後續步驟
如需 Microsoft Intune 中支援的 Apple 用戶註冊功能和管理動作概觀,請參閱 Microsoft Intune 中的 Apple 用戶註冊概觀。
如需 Apple 使用者註冊的詳細資訊,請參閱 Apple 支援網站上的 用戶註冊和 MDM 。
如需疑難解答,請參閱針對 Microsoft Intune 中的iOS/iPadOS裝置註冊錯誤進行疑難解答。
如需 Intune 裝置組態配置檔中支持的設定,請參閱: