Does Microsoft Intune work on iOS devices?

Automatiseret iOS Enhedstilmelding til Intune

17/09/2022

Rating: 4.35 (7229 votes)

Automatiseret iOS Enhedstilmelding til Microsoft Intune: En Omfattende Guide

I en verden hvor mobile enheder er uundværlige værktøjer for moderne virksomheder, er effektiv styring af disse enheder afgørende. Microsoft Intune, som en del af Microsoft Endpoint Manager, tilbyder en robust løsning til at administrere enheder, herunder iPhones og iPads. En særlig kraftfuld metode til dette er Automated Device Enrollment (ADE), tidligere kendt som Device Enrollment Program (DEP), der integreres med Apple Business Manager (ABM) eller Apple School Manager (ASM). Denne artikel dykker dybt ned i, hvordan du kan udnytte ADE til at strømline din virksomheds iOS-enhedstilmelding og -håndtering.

What is InTune admin console?
The Intune Admin Console was used to monitor the devices for compliance, manage device lifecycle, and address any compliance issues. Devices' compliance status was regularly monitored. Profiles and policies were updated as necessary. Device health was continuously checked to ensure they met corporate security standards.
Indholdsfortegnelse

Hvad er Apple Device Enrollment (ADE)?

Apple Device Enrollment er et program designet til at forenkle masse-tilmelding af Apple-enheder til en organisations administrationssystem. Det kan betragtes som Apples svar på løsninger som Windows Autopilot, Samsung's Knox Mobile Enrollment (KME) eller Google's Zero-touch enrollment for Android Enterprise. Med ADE kan iPhones og iPads sendes direkte til slutbrugere og automatisk tilmeldes Intune som en del af den indledende opsætning (Out-of-Box Experience - OOBE). Dette giver IT-administratorer mulighed for at kontrollere og tilpasse OOBE-oplevelsen, strømline processen og anvende standardindstillinger, alt imens enhederne leveres direkte til medarbejderne.

Behovet for ADE og Supervised Mode

ADE er især værdifuldt for virksomheders masse-tilmelding. En central fordel ved ADE er muligheden for at sætte enheder i Supervised mode. Apple introducerede Supervised mode i iOS 5, hvilket giver administratorer en langt dybere kontrol over enhederne. I Supervised mode kan enheder administreres med udvidede kontroller, såsom:

  • Stillegående app-installation
  • Begrænset adgang til apps
  • Låsbar MDM-tilmelding
  • Kiosk-tilstand
  • Omgåelse af aktiveringslås
  • Deaktivering af AirDrop eller forhindring af adgang til App Store

Det er vigtigt at bemærke, at Apple deprecierede understøttelsen for usupervised DEP-enheder i iOS 11. Det betyder, at enheder konfigureret via ADE altid skal være i Supervised mode.

Sammenligning: Windows Autopilot vs. Apple ADE

Både Windows Autopilot og Apple ADE tjener et lignende formål: at automatisere og forenkle enhedsoprettelse og -tilmelding. Her er en hurtig sammenligning:

FunktionWindows AutopilotApple ADE (via ABM/ASM)
Tilpasning af OOBEJaJa
Nulstilling af eksisterende enhederNødvendigNødvendig
Tilmelding som del af OOBEJaJa
Tilstand: Bruger-affinitet/BrugerløsJaJa
Internetforbindelse til provisioneringNødvendigNødvendig
Ideel til provisionering af virksomhedsenhederJaJa
Upload af enhedsidentifikatorHardware hash/SerienummerSerienummer til ABM
TredjepartstjenesterIngen involveretKræver adgang til ABM-konsol
OmkostningerGratis for alle tenantsABM er teknisk set ikke gratis (DUNS-nummer kan medføre gebyrer i visse regioner)

Forståelse af Baggrundsflowet i ADE

ADE-tilmeldingen involverer et samspil mellem flere komponenter:

  • Apple Business Manager (ABM)/Apple School Manager (ASM): Apples portal til administration af enheder og apps.
  • Microsoft Intune: Microsofts cloud-baserede Mobile Device Management (MDM) service.
  • iOS-enhed: Brugerens iPhone eller iPad.
  • Apple Activation Service: Apples cloud-tjeneste, der aktiverer enheder, når de opretter forbindelse til internettet.

Lad os gennemgå trinene:

  1. Upload af Serienummer: Administratorer uploader enhedernes serienumre til deres specifikke ABM/ASM-instans. Dette kan gøres manuelt, via CSV-fil eller via API.
  2. Oprettelse af Tillid mellem ABM/ASM og Intune: For at Intune kan administrere enhederne via ABM/ASM, skal der etableres en forbindelse. Dette gøres ved at oprette en MDM-server i ABM/ASM og linke den til Intune via et ADE-token, der genereres i Intune-portalen. Dette sikrer, at de to systemer kan kommunikere.
  3. Tildeling af Enheder til MDM-server: I ABM/ASM tildeles de uploadede enheder til den oprettede MDM-server. Dette signalerer til Apple, at disse enheder skal administreres af den specifikke MDM-løsning (Intune).
  4. Synkronisering mellem ABM/ASM og Intune: Når enheder er tildelt MDM-serveren, synkroniseres disse oplysninger med Intune. Intune henter nu detaljer om de tildelte enheder.
  5. Oprettelse af ADE-profil i Intune: En ADE-profil oprettes i Intune. Denne profil definerer OOBE-oplevelsen, herunder hvilke skærmbilleder der skal vises eller springes over (f.eks. Apple ID, lokationstjenester). Hver enhed skal have en ADE-profil tildelt for succesfuld tilmelding.
  6. Tildeling af ADE-profil til Enhed: ADE-profilen tildeles specifikt til de enheder, der skal have den pågældende OOBE-oplevelse. Denne information synkroniseres tilbage til ABM/ASM.
  7. Brugeren Tænder for Enheden: Når slutbrugeren tænder for enheden, starter den standard OOBE-processen (sprog, lokation, internetforbindelse).
  8. Aktivering og MDM-kommunikation: Efter at have oprettet forbindelse til internettet, kontakter enheden Apple Activation Service. Enheden identificerer sig selv som en ADE-enhed og får tildelt sin profil og MDM-server (Intune) fra ABM/ASM.
  9. Tilmelding til Intune: Enheden kontakter nu Intune-servicen, downloader den tildelte ADE-profil og gennemgår den tilpassede OOBE-proces. Afhængigt af profilens indstillinger kan apps som Company Portal installeres, og brugeren kan logge ind for at fuldføre tilmeldingen.

ADE Tilmeldingsmetoder i Intune

Intune tilbyder flere metoder til ADE-tilmelding, som kan tilpasses forskellige scenarier:

1. Bruger-affinitet med Company Portal

Dette er en moderne metode, der understøtter multifaktor-godkendelse (MFA) og ændring af brugeradgangskoder ved første login. Company Portal-appen downloades automatisk via ADE-profilen. Brugeren skal dog selv tilføje sit Apple ID for at downloade appen og skal derefter åbne den for at fuldføre tilmeldingen. En potentiel ulempe er, at der ikke er en mekanisme, der tvinger brugeren til at åbne Company Portal, og nogle administratorer foretrækker ikke, at brugere bruger personlige Apple ID'er på virksomhedsenheder.

2. Bruger-affinitet med Company Portal via VPP (Volume Purchase Program)

Denne metode giver administratorer mulighed for at skubbe Company Portal-appen ud sammen med ADE-profilen uden at kræve, at brugeren tilføjer sit Apple ID. Dette giver fuld kontrol over installerede apps og muligheden for at tillade eller blokere App Store. Brugeren behøver ikke selv at downloade appen.

3. Bruger-affinitet med Company Portal via VPP og Single App Mode (Historisk)

En tidligere sikker metode, hvor Company Portal blev installeret via VPP, og enheden blev låst i Single App Mode (Guided Access), indtil tilmeldingen var fuldført. Dette tvang brugeren til at gennemføre processen. Bemærk: Denne specifikke funktion ('Run Company Portal in Single App Mode until authentication') er ved at blive fjernet af Apple og understøttes ikke længere fuldt ud for nye tilmeldingsprofiler pr. 2024.

4. Bruger-affinitet med Apple Setup Assistant

Dette er en ældre metode, der giver mulighed for at vælge, om enheden skal være Supervised eller ej (selvom usupervised ADE-enheder ikke længere understøttes). Company Portal er ikke obligatorisk, men er nødvendig for funktioner som Conditional Access.

Specielle Tilstande i ADE Tilmelding

1. Guided Mode

Ved at aktivere indstillingen 'Run Company Portal in Single app mode' aktiveres Guided Access. Dette sikrer, at enheden forbliver låst til Company Portal-appen, indtil brugeren logger ind og fuldfører tilmeldingen. Dette er en effektiv måde at sikre, at enheder bliver Azure AD-registreret, og at brugeren ikke kan omgå processen.

2. Await Final Configuration (ESP for iOS)

Denne tilstand kan sammenlignes med Windows' Enrollment Status Page (ESP). Enheden forbliver i en 'Awaiting final configuration'-tilstand, indtil administrator-definerede indstillinger og apps er installeret. Dette sikrer en sikker provisioneringsoplevelse, hvor alle nødvendige politikker og apps er på enheden, lige fra starten.

What is Apple device enrollment to Microsoft Intune?
In this article we are going to understand Apple Device Enrollment to Microsoft Intune in detail. Devices like iPhones and iPads can be shipped directly to users and enrolled to Intune as a part of oobe setup. Devices can be purchased from Apple reseller or existing devices can be converted.

Microsofts Anbefalede Metode

Microsoft anbefaler at bruge ADE-tilmelding med 'Setup Assistant with Modern Authentication'. Denne metode giver en strømlinet og sikker brugeroplevelse med moderne godkendelsesflow.

Vigtige Overvejelser og Seneste Ændringer

Hvis en ADE-profil er konfigureret til at ikke installere Company Portal, men brugeren senere installerer den manuelt, kan det føre til konflikter og fejl under registreringen. For at løse dette skal der oprettes en tilsvarende App Configuration policy i Intune til Company Portal. For nye enheder anbefales det at oprette en ny ADE-profil med 'Install Company Portal' sat til 'Yes'.

Intune Admin Console og Projektgennemgang

Intune Admin Console er det centrale sted for at administrere alle aspekter af din mobile enhedshåndtering. Gennem et projekt, der demonstrerer den komplette proces, kan man se, hvordan man:

  • Konfigurerer Intune-miljøet, MDM-myndighed og tilmeldingsindstillinger.
  • Registrerer iOS-enheder manuelt via Company Portal eller automatisk via ADE.
  • Integrerer PKI til sikker kommunikation og certifikatbaseret godkendelse.
  • Implementerer Microsoft Identity Manager (MIM) for identitets- og adgangsstyring.
  • Anvender compliance-politikker, distribuerer apps og overvåger enhedstilstand.
  • Sikrer en positiv brugeroplevelse og yder support.

Ved at følge disse trin kan virksomheder opnå en sikker og effektiv styring af deres iOS-enheder, hvilket sikrer overholdelse af sikkerhedspolitikker og forbedrer produktiviteten.

Ofte Stillede Spørgsmål (FAQ)

Hvad er forskellen mellem DEP og ADE?

DEP (Device Enrollment Program) er det tidligere navn for Apples program. ADE (Automated Device Enrollment) er det nuværende og mere præcise navn, der dækker programmet og dets funktionalitet.

Skal jeg have et Apple Developer Enterprise Program-abonnement?

Nej, til ADE behøver du et Apple Business Manager (ABM) eller Apple School Manager (ASM) konto. Apple Developer Enterprise Program er til distribution af interne apps.

Hvor ofte synkroniserer Intune med ABM/ASM?

Intune synkroniserer automatisk med ABM/ASM hver 15. minut. Du kan også manuelt initiere en synkronisering fra Intune-portalen.

Kan jeg migrere eksisterende, ikke-ADE-enheder til ADE?

Nej, ADE virker kun for enheder, der er købt direkte fra Apple eller autoriserede forhandlere og registreret i ABM/ASM fra starten. Eksisterende enheder skal tilmeldes via andre metoder (f.eks. manuel tilmelding via Company Portal).

Hvad sker der, hvis en enhed mister sin internetforbindelse under OOBE?

Enheden vil pause OOBE-processen, indtil en stabil internetforbindelse er genetableret, hvorefter den vil fortsætte fra det punkt, hvor den stoppede.

Hvis du vil læse andre artikler, der ligner Automatiseret iOS Enhedstilmelding til Intune, kan du besøge kategorien Mobil.

Go up