重要

此功能目前提供公共预览版。 有关详细信息，请参阅 Microsoft Intune 中的公共预览版。

为在 Microsoft Intune 中注册的个人设备设置帐户驱动的 Apple 用户注册。 与使用公司门户的用户注册相比，帐户驱动的用户注册提供了更快、更方便用户的注册体验。 设备用户通过在“设置”应用中登录到其工作帐户来启动注册。 用户批准设备管理后，注册配置文件会在后台静默安装，并应用Intune策略。 Intune使用实时注册和 Microsoft Authenticator 应用进行身份验证，以减少用户在注册期间和访问工作应用时必须登录的次数。

本文介绍如何在 Microsoft Intune 中设置帐户驱动的 Apple 用户注册。 你将执行以下操作：

Microsoft Intune支持在运行 iOS/iPadOS 版本 15 或更高版本的设备上进行帐户驱动的 Apple 用户注册。 如果将帐户驱动的用户注册配置文件分配给运行 iOS/iPadOS 14.9 或更早版本的设备用户，Microsoft Intune将通过用户注册和公司门户自动注册他们。

在开始设置之前，请完成以下任务：

还需要设置服务发现，以便 Apple 可以访问Intune服务并检索注册信息。 为此，请在员工登录的同一域中设置并发布 HTTP 已知资源文件。 Apple 通过 HTTP GET 请求检索 “https://contoso.com/.well-known/com.apple.remotemanagement”文件，并将组织的域替换为 contoso.com。 在可以处理 HTTP GET 请求的域中发布文件。

创建 JSON 格式的文件，并将内容类型设置为 application/json。 我们提供了以下 JSON 示例，你可以将其复制并粘贴到文件中。 使用与环境一致的那个。 将示例中的 aadTenantID 变量替换为组织的 Azure AD 租户 ID。

Microsoft Intune环境： {"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=*aadTenantID*" }]}

美国政府环境的Microsoft Intune： {"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=*aadTenantID*" }]}

Microsoft Intune由 21 Vianet 在中国环境中运营： {"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=*aadTenantID*" }]}

JSON 示例的其余部分填充了所需的所有信息，包括：

建议进行额外的配置，以帮助改善设备用户的注册体验。 本部分提供有关每个建议的详细信息。

部署 Intune 公司门户 网站的 Web 应用版本，以便用户可以快速访问设备状态、设备操作和符合性信息。 Web 应用显示在员工主屏幕上，充当指向公司门户网站的链接。 如果没有 Web 应用，设备用户仍然可以访问公司门户网站，但必须打开浏览器并在搜索字段中键入地址。 有关如何添加 Web 应用的详细信息，请参阅将 Web 应用添加到Microsoft Intune。

使用联合身份验证将 Apple Business Manager 与 Azure AD 链接。 Apple 用户注册通常需要创建托管 Apple ID 并将其提供给注册用户。 如果启用联合身份验证，则无需为每个用户创建并提供唯一的 Apple ID。 相反，设备用户可以使用用于其工作帐户的相同凭据登录到其应用。 有关详细信息，请参阅 Apple Business Manager 用户指南中的联合身份验证与 Apple Business Manager。

重要

此功能目前提供公共预览版。 有关详细信息，请参阅 Microsoft Intune 中的公共预览版。

在帐户驱动用户注册期间，Microsoft Intune使用 Microsoft Authenticator 作为应用的身份验证机构。 在 Microsoft Intune 管理中心完成这些步骤，以配置实时注册并将 Microsoft Authenticator 分配为所需应用。

登录到Microsoft Intune管理中心。

在“设备功能>类别>单一登录应用扩展”下创建 iOS/iPadOS 设备配置策略。

对于“SSO 应用扩展类型”，请选择“Microsoft Azure AD”。

使用单一登录 (SSO) 为任何非 Microsoft 应用添加 应用捆绑 ID 。 SSO 扩展会自动应用于所有 Microsoft 应用，因此为了避免身份验证问题，请不要将 Microsoft 应用添加到策略。

也不要将 Microsoft Authenticator 应用添加到 SSO 扩展。 此过程稍后在应用策略中完成。

在“ 其他配置”下，添加所需的键值对。 删除值和键前后的尾随空格。 否则，实时注册将不起作用。

(建议) 添加在 Safari 浏览器中为策略中的所有应用启用 SSO 的键值对。 删除值和键前后的尾随空格。 否则，JIT 注册将不起作用。

选择“下一步”。

对于 “分配”，请将配置文件分配给所有用户，或选择特定组。

选择“下一步”。

在“ 查看 + 创建 ”页上，查看你的选择，然后选择“ 创建 ”以完成配置文件的创建。

转到 “应用>”“所有应用” ，并将 Microsoft Authenticator 作为所需应用分配到组。 用户注册支持用户许可的批量购买应用。 有关详细信息，请参阅 分配批量购买的应用。

为通过帐户驱动的用户注册进行注册的设备创建注册配置文件。 注册配置文件会触发设备用户的注册体验，并使他们能够从“设置”应用启动注册。

若要在个人设备上启动设备注册，设备所有者必须转到“设置”应用并使用其工作或学校帐户登录。 如果他们尝试使用其工作或学校帐户登录应用，应用将提醒他们注册要求并指导他们如何继续。

本部分介绍设备用户的注册步骤。 建议在组织的设备载入文档中或进行故障排除和支持时使用此信息。

Intune按优先顺序应用注册配置文件。 若要更改它们的应用顺序，请执行以下操作：

如果由于为用户分配了多个配置文件而发生冲突，Intune应用具有较高优先级的配置文件。

设备从Intune取消注册时，将擦除为管理设备上的工作数据而创建的卷和加密密钥。

有关 Microsoft Intune 中支持的 Apple 用户注册功能和管理操作的概述，请参阅 Microsoft Intune 中的 Apple 用户注册概述。

有关故障排除，请参阅排查 Microsoft Intune 中的 iOS/iPadOS 设备注册错误。

有关Intune设备配置配置文件中支持的设置，请参阅：