Nastavení zařízení s iOSem a iPadOS pro použití běžných funkcí iOS/iPadOS v Intune

  • Článek

Poznámka

Intune může podporovat více nastavení než nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.

Intune obsahuje některá integrovaná nastavení, která uživatelům iOS/iPadOS umožňují používat na svých zařízeních různé funkce Apple. Můžete například ovládat tiskárny AirPrint, přidávat aplikace a složky na stránky docku a domovské obrazovky, zobrazovat oznámení aplikací, zobrazovat podrobnosti o značkách prostředků na zamykací obrazovce, používat ověřování pomocí jednotného přihlašování a používat ověřování certifikátů.

Tato funkce platí pro:

  • iOS/iPadOS

Pomocí těchto funkcí můžete řídit zařízení s iOS/iPadOS jako součást řešení správy mobilních zařízení (MDM).

Tento článek obsahuje seznam těchto nastavení a popisuje, co jednotlivá nastavení dělá. Další informace o těchto funkcích najdete v článku Přidání nastavení funkcí zařízení s iOS/iPadOS nebo macOS.

Než začnete

Create konfigurační profil zařízení s iOS/iPadOS.

Poznámka

Tato nastavení platí pro různé typy registrací, přičemž některá nastavení platí pro všechny možnosti registrace. Další informace o různých typech registrace najdete v tématu Registrace iOS/iPadOS.

Airprint

Nastavení platí pro: Všechny typy registrací

Poznámka

Nezapomeňte přidat všechny tiskárny do stejného profilu. Apple zabraňuje cílení více profilů AirPrint na stejné zařízení.

  • IP adresa: Zadejte adresu IPv4 nebo IPv6 tiskárny. Pokud k identifikaci tiskáren používáte názvy hostitelů, můžete ip adresu získat příkazem Ping na tiskárnu v terminálu. Další podrobnosti najdete v části Získání IP adresy a cesty (v tomto článku).

  • Cesta k prostředku: Cesta je obvykle určená pro tiskárny ipp/print ve vaší síti. Další podrobnosti najdete v části Získání IP adresy a cesty (v tomto článku).

  • Port: Zadejte naslouchací port cílového airprintu. Pokud tuto vlastnost ponecháte prázdnou, použije AirPrint výchozí port.

    Tato funkce platí pro:

    • iOS 11.0 nebo novější
    • iPadOS 13.0 nebo novější

  • Vynucení protokolu TLS: Možnost Zakázat (výchozí) nezabezpečí připojení AirPrint pomocí protokolu TLS. Povolení zabezpečuje připojení AirPrint pomocí protokolu TLS (Transport Layer Security).

    Tato funkce platí pro:

    • iOS 11.0 nebo novější
    • iPadOS 13.0 nebo novější

Pokud chcete přidat servery AirPrint, můžete:

  • Zadejte podrobnosti o tiskárně a přidejte cíl airprintu do seznamu. Je možné přidat mnoho serverů AirPrint.
  • Naimportujte soubor oddělený čárkami (.csv) s touto informací. Nebo exportem vytvořte seznam serverů AirPrint, které jste přidali.

Získání IP adresy serveru, cesty k prostředku a portu

Pokud chcete přidat servery AirPrinter, potřebujete IP adresu tiskárny, cestu k prostředku a port. Následující postup ukazuje, jak tyto informace získat.

  1. Na počítači Mac, který se připojuje ke stejné místní síti (podsíti) jako tiskárny AirPrint, otevřete aplikaci Terminál (z /Applications/Utilities).

  2. V aplikaci Terminál zadejte ippfinda vyberte Enter.

    Poznamenejte si informace o tiskárně. Může například vrátit něco jako ipp://myprinter.local.:631/ipp/port1. První část je název tiskárny. Poslední část (ipp/port1) je cesta k prostředku.

  3. V aplikaci Terminál zadejte ping myprinter.locala vyberte Enter.

    Poznamenejte si IP adresu. Může například vrátit něco jako PING myprinter.local (10.50.25.21).

  4. Použijte HODNOTY IP adresy a cesty k prostředku. V tomto příkladu je 10.50.25.21IP adresa a cesta k prostředku je /ipp/port1.

Rozložení domovské obrazovky

Tato funkce platí pro:

  • iOS 9.3 nebo novější
  • iPadOS 13.0 a novější
  • Automatizovaná registrace zařízení (pod dohledem)

Co potřebujete vědět

  • Do docku, stránky, složky na stránce nebo do složky v docku přidejte aplikaci jenom jednou. Když přidáte stejnou aplikaci na libovolném dvou místech, zabráníte tomu, aby se aplikace zobrazovala na zařízeních a může se zobrazovat hlášení chyb.

    Pokud například přidáte aplikaci kamera do docku a na stránku, aplikace kamera se nezobrazí a může se zobrazit chyba zásady. Pokud chcete přidat aplikaci Kamera do rozložení domovské obrazovky, zvolte jenom dok nebo stránku, ne obojí.

  • Když použijete rozložení domovské obrazovky, přepíše se všechna rozložení definovaná uživatelem. Proto doporučujeme používat rozložení domovské obrazovky na zařízeních bez uživatelů.

  • Na zařízení můžete mít nainstalované existující aplikace, které nejsou součástí konfigurace rozložení domovské obrazovky. Tyto aplikace se zobrazují v abecedním pořadí po nakonfigurovaných aplikacích.

  • Když použijete nastavení mřížky domovská obrazovka k přidání stránek nebo přidáte stránky a aplikace do docku, ikony na domovské obrazovce a stránky se zamknou. Nelze je přesunout ani odstranit. Toto chování může být záměrně u zásad MDM pro iOS/iPadOS.

Domovská obrazovka

Pomocí této funkce můžete přidávat aplikace. A podívejte se, jak tyto aplikace vypadají na stránkách, v docku a ve složkách. Zobrazí se také ikony aplikací. Aplikace programu VPP (Volume Purchase Program), obchodní aplikace a aplikace s webovými odkazy (adresy URL webových aplikací) se naplní z klientských aplikací, které přidáte.

  • Velikost mřížky: Zvolte vhodnou velikost mřížky pro domovskou obrazovku zařízení. Aplikace nebo složka zabírá jedno místo v mřížce. Pokud cílové zařízení vybranou velikost nepodporuje, můžou se některé aplikace nevejdou a budou nasdílené na další dostupnou pozici na nové stránce. Pro referenci:

    • iPhone 5 podporuje 4 sloupce x 5 řádků
    • iPhone 6 a novější podporuje 4 sloupce x 6 řádků
    • iPady podporují 5 sloupců x 6 řádků

  • +: Vyberte tlačítko Přidat a přidejte aplikace.

  • Create složku nebo přidat aplikace: Přidejte aplikaci nebo složku:

    • Aplikace: V seznamu vyberte existující aplikace. Tato možnost přidá aplikace na domovskou obrazovku na zařízeních. Pokud nemáte žádné aplikace, pak přidejte aplikace do Intune.

      Aplikace můžete také hledat podle názvu aplikace, například authenticator nebo drive. Nebo můžete hledat podle vydavatele aplikace, například Microsoft nebo Apple.

    • Složka: Přidá složku na domovskou obrazovku. Zadejte název složky a výběrem existujících aplikací ze seznamu přejděte do složky. Tento název složky se zobrazuje uživatelům na jejich zařízeních.

      Aplikace můžete také hledat podle názvu aplikace, například authenticator nebo drive. Nebo můžete hledat podle vydavatele aplikace, například Microsoft nebo Apple.

      Aplikace jsou uspořádané zleva doprava a ve stejném pořadí jako na obrázku. Aplikace je možné přesunout do jiných pozic. Ve složce můžete mít jenom jednu stránku. Jako alternativní řešení přidejte do složky devět (9) nebo více aplikací. Aplikace se automaticky přesunou na další stránku. Můžete přidat libovolnou kombinaci aplikací VPP, webových odkazů (webových aplikací), aplikací pro Store, obchodních aplikací a systémových aplikací.

Dock

Přidejte až čtyři (4) položky pro iPhony a až šest (6) položek pro iPady (aplikace a složky dohromady) do docku na obrazovce. Mnoho zařízení podporuje méně položek. Například zařízení iPhone podporují až čtyři položky. Zobrazí se tedy pouze první čtyři položky, které přidáte.

  • +: Výběrem tlačítka Přidat přidejte aplikace nebo složky do docku.

  • Create složku nebo přidat aplikace: Přidejte aplikaci nebo složku:

    • Aplikace: V seznamu vyberte existující aplikace. Tato možnost přidá aplikace do docku na obrazovce. Pokud nemáte žádné aplikace, pak přidejte aplikace do Intune.

      Aplikace můžete také hledat podle názvu aplikace, například authenticator nebo drive. Nebo můžete hledat podle vydavatele aplikace, například Microsoft nebo Apple.

    • Složka: Přidá složku do docku na obrazovce. Zadejte název složky a výběrem existujících aplikací ze seznamu přejděte do složky. Tento název složky se zobrazuje uživatelům na jejich zařízeních.

      Aplikace můžete také hledat podle názvu aplikace, například authenticator nebo drive. Nebo můžete hledat podle vydavatele aplikace, například Microsoft nebo Apple.

      Aplikace jsou uspořádané zleva doprava a ve stejném pořadí jako na obrázku. Aplikace je možné přesunout do jiných pozic. Pokud přidáte více aplikací, než se vejde na stránku, aplikace se automaticky přesunou na jinou stránku. Do složky v docku můžete přidat až 20 stránek. Můžete přidat libovolnou kombinaci aplikací VPP, webových odkazů (webových aplikací), aplikací pro Store, obchodních aplikací a systémových aplikací.

Příklad

V následujícím příkladu se na obrazovce docku zobrazují aplikace Safari, Mail a Akcie. Aplikace Akcie je vybraná, aby se zobrazily její vlastnosti:

Ukázková nastavení rozložení domovské obrazovky pro iOS/iPadOS v Microsoft Intune

Když přiřadíte zásadu k iPhonu, bude dok vypadat podobně jako na následujícím obrázku:

Ukázkové rozložení docku pro iOS/iPadOS na zařízení iPhone

Oznámení aplikací

Nastavení platí pro: Automatizovaná registrace zařízení (pod dohledem)

  • Přidat: Přidání oznámení pro aplikace:

    Přidání oznámení aplikace do konfiguračního profilu funkcí zařízení s iOS/iPadOS v Microsoft Intune

    • ID sady aplikací: Zadejte ID sady aplikací aplikace, kterou chcete přidat.

      Id sady aplikací získáte tak, že:

      Pokud je nastavení nenakonfigurováno nebo ponecháno prázdné, Intune toto nastavení nezmění ani neaktualizuje.

    • Název aplikace: Zadejte název aplikace, kterou chcete přidat. Tento název se používá pro referenci v Centru pro správu Microsoft Intune. Na zařízeních se nezobrazuje . Pokud je nastavení nenakonfigurováno nebo ponecháno prázdné, Intune toto nastavení nezmění ani neaktualizuje.

    • Vydavatel: Zadejte vydavatele aplikace, kterou přidáváte. Tento název se používá pro referenci v Centru pro správu Microsoft Intune. Na zařízeních se nezobrazuje . Pokud je nastavení nenakonfigurováno nebo ponecháno prázdné, Intune toto nastavení nezmění ani neaktualizuje.

    • Oznámení: Povolte nebo zakažte aplikaci odesílání oznámení do zařízení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje.

      Pokud je nastavená možnost Povolit, nakonfigurujte také:

      • Zobrazit v centru oznámení: Povolit umožňuje aplikaci zobrazovat oznámení v Centru oznámení zařízení. Zakázat zabrání aplikaci zobrazovat oznámení v Centru oznámení. Pokud je nastavení nenakonfigurováno nebo ponecháno prázdné, Intune toto nastavení nezmění ani neaktualizuje.

      • Zobrazit na zamykací obrazovce: Povolit zobrazuje oznámení aplikací na zamykací obrazovce zařízení. Zakázat zabrání aplikaci zobrazovat oznámení na zamykací obrazovce. Pokud je nastavení nenakonfigurováno nebo ponecháno prázdné, Intune toto nastavení nezmění ani neaktualizuje.

      • Typ upozornění: Když jsou zařízení odemknutá, zvolte, jak se má oznámení zobrazovat. Možnosti:

        • Žádné: Nezobrazuje se žádné oznámení.
        • Banner: Krátce se zobrazí banner s oznámením. Toto nastavení může být také známé jako dočasný banner.
        • Modální: Oznámení se zobrazí a uživatelé ho musí před dalším používáním zařízení ručně zavřít. Toto nastavení může být také známé jako trvalý banner.

      • Odznáček na ikoně aplikace: Povolit přidá k ikoně aplikace odznáček. Odznak znamená, že aplikace odeslala oznámení. Možnost Zakázat nepřidá k ikoně aplikace odznáček. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.

      • Povolit zvuky: Povolit přehraje zvuk při doručení oznámení. Funkce Disable nepřehrává zvuk při doručení oznámení. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje.

      • Zobrazit náhledy: Zobrazuje náhled nedávných oznámení aplikací. Vyberte, kdy se má náhled zobrazit. Zvolená hodnota přepíše hodnotu nakonfigurovanou uživatelem v zařízení (Oznámení > nastavení > zobrazují náhledy). Možnosti:

        • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.
        • Když je odemknuté: Náhled se zobrazí, jenom když je zařízení odemknuté.
        • Vždy: Náhled se vždy zobrazí na zamykací obrazovce.
        • Nikdy: Náhled se nikdy nezobrazí.

        Tato funkce platí pro:

        • iOS/iPadOS 14.0 a novější

Zpráva zamykací obrazovky

Tato funkce platí pro:

  • iOS 9.3 nebo novější
  • iPadOS 13.0 a novější

Nastavení platí pro: Automatizovaná registrace zařízení (pod dohledem)

  • "Při ztrátě se vraťte do..." Zpráva: Pokud dojde ke ztrátě nebo odcizení zařízení, zadejte poznámku, která by mohla pomoct zařízení vrátit, pokud je najde. Můžete zadat libovolný text. Zadejte například .If found, call Contoso at ...

    Zadaný text se zobrazí v přihlašovacím okně a na zamykací obrazovce na zařízeních.

  • Informace o značce majetku: Zadejte informace o značce prostředku zařízení. Zadejte Owned by Contoso Corp například nebo Serial Number: {{serialnumber}}.

    Tokeny zařízení lze také použít k přidání informací specifických pro zařízení do těchto polí. Pokud chcete například zobrazit sériové číslo, zadejte Serial Number: {{serialnumber}} nebo Device ID: {{DEVICEID}}. Na zamykací obrazovce se text zobrazuje podobně jako Serial Number 123456789ABC. Při zadávání proměnných nezapomeňte použít složené závorky {{ }}.

    Podporují se následující proměnné informací o zařízeních. Proměnné se v uživatelském rozhraní neověřují a rozlišují se u jich velká a malá písmena. Pokud zadáte nesprávnou proměnnou, zobrazí se profily uložené s nesprávným vstupem. Pokud například místo {{deviceid}}{{DEVICEID}}nebo zadáte {{DeviceID}} , zobrazí se řetězec literálu místo jedinečného ID zařízení. Nezapomeňte zadat správné informace. Podporují se všechna malá nebo všechna velká písmena, ale ne kombinace.

    • {{AADDeviceId}}: Microsoft Entra ID zařízení
    • {{AccountId}}: Intune ID tenanta nebo id účtu
    • {{AccountName}}: Intune název tenanta nebo název účtu
    • {{AppleId}}: Apple ID uživatele
    • {{Department}}: Oddělení přiřazené během pomocníka s nastavením
    • {{DeviceId}}: Intune ID zařízení
    • {{DeviceName}}: Intune název zařízení
    • {{domain}}: Název domény
    • {{EASID}}: ID exchange active sync
    • {{EDUUserType}}: Typ uživatele
    • {{IMEI}}: IMEI zařízení
    • {{mail}}: Email adresa uživatele
    • {{ManagedAppleId}}: Spravované Apple ID uživatele
    • {{MEID}}: MEID zařízení
    • {{partialUPN}}: Předpona hlavního názvu uživatele (UPN) před symbolem @
    • {{SearchableDeviceKey}}: ZÁSADNÍ ID klíče
    • {{SerialNumber}}: Sériové číslo zařízení
    • {{SerialNumberLast4Digits}}: Poslední 4 číslice sériového čísla zařízení
    • {{SIGNEDDEVICEID}}: Objekt blob ID zařízení přiřazený klientovi během registrace Portál společnosti
    • {{SignedDeviceIdWithUserId}}: Objekt blob id zařízení přiřazený klientovi s přidružením uživatele během Průvodce nastavením Apple
    • {{UDID}}: UDID zařízení
    • {{UDIDLast4Digits}}: Poslední 4 číslice UDID zařízení
    • {{UserId}}: Intune ID uživatele
    • {{UserName}}: Uživatelské jméno
    • {{userPrincipalName}}: Hlavní název uživatele (UPN)

Jednotné přihlašování

Nastavení platí pro: Registrace zařízení, Automatizovaná registrace zařízení (pod dohledem)

  • Microsoft Entra atribut uživatelského jména: Intune hledá tento atribut pro každého uživatele v Microsoft Entra ID. Intune pak před vygenerováním souboru XML, který se nainstaluje na zařízení, vyplní příslušné pole (například hlavní název uživatele). Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení operační systém vyzve uživatele k zadání hlavního názvu Kerberos při nasazení profilu do zařízení. K instalaci profilů jednotného přihlašování se vyžaduje hlavní název mdm.

    • Hlavní název uživatele: Hlavní název uživatele (UPN) se analyzuje následujícím způsobem:

      Atribut jednotného přihlašování uživatelského jména pro iOS/iPadOS v Microsoft Intune

      Sféru můžete také přepsat textem, který zadáte do textového pole Sféra .

      Contoso má například několik oblastí, včetně Evropy, Asie a Severní Amerika. Společnost Contoso chce, aby uživatelé v Asii používali jednotné přihlašování, a aplikace vyžaduje hlavní název uživatele (UPN) ve username@asia.contoso.com formátu . Když vyberete hlavní název uživatele, bude sféra pro každého uživatele převzata z Microsoft Entra ID, což je contoso.com. Takže pro uživatele v Asii vyberte Hlavní název uživatele a zadejte asia.contoso.com. Hlavní název uživatele (UPN) se změní username@asia.contoso.comna , a ne na username@contoso.com.

    • Intune ID zařízení: Intune automaticky vybere id Intune zařízení. Ve výchozím nastavení:

      • Aplikace musí používat jenom ID zařízení. Pokud ale vaše aplikace používá sféru a ID zařízení, můžete ji zadat do textového pole Sféra .
      • Pokud používáte ID zařízení, ponechte sféru prázdnou.

    • Azure AD ID zařízení: ID zařízení Microsoft Entra

    • Název účtu SAM: Intune naplní název místního účtu SAM (Security Accounts Manager).

  • Sféra: Zadejte doménovou část adresy URL. Zadejte contoso.comnapříklad .

  • Adresy URL: Přidejte všechny adresy URL ve vaší organizaci, které vyžadují ověřování jednotným přihlašováním uživatelů.

    Když se například uživatel připojí k některému z těchto webů, zařízení s iOS/iPadOS použije přihlašovací údaje pro jednotné přihlašování. Uživatelé nemusí znovu zadávat přihlašovací údaje. Pokud je povolené vícefaktorové ověřování (MFA), musí uživatelé zadat druhé ověřování.

    Také:

    • Tyto adresy URL musí být správně naformátované plně kvalifikovaný název domény. Apple vyžaduje, aby adresy URL byly http://<yourURL.domain> ve formátu .

    • Vzory porovnávání adres URL musí začínat na nebo http://https://. Spustí se jednoduchá shoda řetězců, takže předpona http://www.contoso.com/ adresy URL neodpovídá http://www.contoso.com:80/. V iOSu 10.0+ a iPadOS 13.0+ můžete k zadání všech odpovídajících hodnot použít jeden zástupný znak *. Například odpovídá oběma http://store.contoso.com/http://www.contoso.coma http://*.contoso.com/ .

      Vzory http://.com a https://.com odpovídají všem adresám URL http a HTTPS v uvedeném pořadí.

  • Aplikace: Přidejte aplikace na zařízení uživatelů, kteří můžou používat jednotné přihlašování.

    Pole AppIdentifierMatches musí obsahovat řetězce, které odpovídají ID sady aplikací. Tyto řetězce můžou být přesné shody, například com.contoso.myapp, nebo zadat shodu předpony v ID sady pomocí zástupné * znaky. Zástupný znak se musí objevit za znakem tečky (.) a může se zobrazit jenom jednou, a to na konci řetězce, například com.contoso.*. Pokud je zahrnutý zástupný znak, má každá aplikace, jejíž ID sady prostředků začíná předponou, udělen přístup k účtu.

    Pomocí názvu aplikace zadejte popisný název, který vám pomůže identifikovat ID sady.

  • Certifikát pro prodloužení platnosti přihlašovacích údajů: Pokud k ověřování používáte certifikáty (ne hesla), vyberte jako ověřovací certifikát existující certifikát SCEP nebo PFX . Tento certifikát je obvykle stejný certifikát, který se nasazuje uživatelům pro jiné profily, jako je VPN, Wi-Fi nebo e-mail.

Filtr webového obsahu

Nastavení platí pro: Automatizovaná registrace zařízení (pod dohledem)

Tato nastavení používají nastavení filtru webového obsahu společnosti Apple. Další informace o těchto nastaveních najdete na webu Nasazení platformy společnosti Apple (otevře web společnosti Apple).

  • Typ filtru: Umožňuje povolit konkrétní weby. Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.

    • Konfigurace adres URL: Použijte integrovaný webový filtr společnosti Apple, který hledá výrazy pro dospělé, včetně vulgárních výrazů a sexuálně explicitních výrazů. Tato funkce vyhodnocuje každou webovou stránku při načítání a identifikuje a blokuje nevhodný obsah. Můžete také přidat adresy URL, které nechcete filtrem kontrolovat. Nebo můžete blokovat konkrétní adresy URL bez ohledu na nastavení filtru společnosti Apple.

      • Povolené adresy URL: Přidejte adresy URL, které chcete povolit. Tyto adresy URL obcházejí webový filtr Společnosti Apple.

        Adresy URL, které zadáte, jsou adresy URL, které nechcete vyhodnocovat webovým filtrem Apple. Tyto adresy URL nejsou seznamem povolených webů. Pokud chcete vytvořit seznam povolených webů, nastavte Typ filtru na Jenom konkrétní weby.

      • Blokované adresy URL: Přidejte adresy URL, které chcete přestat otevírat, bez ohledu na nastavení webového filtru Apple.

    • Jenom konkrétní weby (jenom pro webový prohlížeč Safari): Tyto adresy URL se přidají do záložek prohlížeče Safari. Uživatelé mohou navštěvovat pouze tyto weby; žádné jiné weby nelze otevřít. Tuto možnost použijte jenom v případě, že znáte přesný seznam adres URL, ke kterým mají uživatelé přístup.

      • Adresa URL: Zadejte adresu URL webu, který chcete povolit. Zadejte https://www.contoso.comnapříklad .
      • Cesta k záložce: Apple toto nastavení změnil. Všechny záložky se přejdou do složky Povolené weby . Záložky nepřecházejí do cesty záložky, kterou zadáte.
      • Název: Zadejte popisný název záložky.

      Pokud nezadáte žádné adresy URL, uživatelé nebudou mít přístup k žádným webům kromě microsoft.com, microsoft.neta apple.com. Intune tyto adresy URL automaticky povolí.

Rozšíření aplikace pro jednotné přihlašování

Tato funkce platí pro:

  • iOS 13.0 a novější
  • iPadOS 13.0 a novější

Nastavení platí pro: Všechny typy registrací

  • Typ rozšíření aplikace s jednotným přihlašováním: Zvolte typ rozšíření aplikace pro jednotné přihlašování. Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení operační systém nepoužívá rozšíření aplikací. Pokud chcete zakázat rozšíření aplikace, můžete přepnout typ rozšíření aplikace jednotného přihlašování na Nenakonfigurováno.

    • Microsoft Entra ID: Používá modul plug-in Microsoft Entra ID Podnikové jednotné přihlašování, což je rozšíření aplikace jednotného přihlašování typu přesměrování. Tento modul plug-in poskytuje jednotné přihlašování pro účty místní Active Directory ve všech aplikacích, které podporují funkci podnikového jednotného přihlašování společnosti Apple. Pomocí tohoto typu rozšíření aplikace s jednotným přihlašováním povolte jednotné přihlašování v aplikacích Microsoftu, aplikacích organizace a webech, které se ověřují pomocí Microsoft Entra ID.

      Modul plug-in jednotného přihlašování funguje jako pokročilý zprostředkovatel ověřování, který nabízí vylepšení zabezpečení a uživatelského prostředí. Všechny aplikace, které k ověřování používají aplikaci Microsoft Authenticator, budou dál dostávat jednotné přihlašování pomocí modulu plug-in Microsoft Enterprise SSO pro zařízení Apple.

      Důležité

      Pokud chcete dosáhnout jednotného přihlašování pomocí Microsoft Entra typu rozšíření aplikace jednotného přihlašování, nainstalujte nejprve na zařízení aplikaci Microsoft Authenticator pro iOS/iPadOS. Aplikace Authenticator dodává do zařízení modul plug-in Microsoft Enterprise SSO a nastavení rozšíření aplikace MDM jednotné přihlašování aktivuje modul plug-in. Jakmile se na zařízení nainstaluje Authenticator a profil rozšíření aplikace SSO, musí uživatelé zadat svoje přihlašovací údaje, aby se mohli přihlásit a vytvořit relaci na svých zařízeních. Tato relace se pak používá v různých aplikacích, aniž by se uživatelé museli znovu ověřovat. Další informace o aplikaci Authenticator najdete v tématu Co je aplikace Microsoft Authenticator.

      Další informace najdete v článku Použití modulu plug-in Microsoft Enterprise SSO na zařízeních s iOS/iPadOS.

    • Přesměrování: Pokud chcete používat jednotné přihlašování s moderními toky ověřování, použijte obecné, přizpůsobitelné rozšíření aplikace pro přesměrování. Ujistěte se, že znáte ID rozšíření aplikace vaší organizace.

    • Přihlašovací údaje: K použití jednotného přihlašování s toky ověřování výzvy a odpovědi použijte obecné, přizpůsobitelné rozšíření aplikace přihlašovacích údajů. Ujistěte se, že znáte ID rozšíření aplikace vaší organizace.

    • Kerberos: Použijte integrované rozšíření Kerberos od společnosti Apple, které je součástí iOS 13.0+ a iPadOS 13.0+. Tato možnost je verze rozšíření aplikace Credential specifická pro Kerberos.

    Tip

    Pomocí typů Redirect (Přesměrování ) a Credential (Přihlašovací údaje ) přidáte vlastní konfigurační hodnoty, které budou předány rozšířením. Pokud používáte přihlašovací údaje, zvažte použití integrovaného nastavení konfigurace poskytovaného společností Apple v typu Kerberos .

    Po úspěšném přihlášení k aplikaci Authenticator se uživatelům nezobrazí výzva k přihlášení k jiným aplikacím, které používají rozšíření jednotného přihlašování. Když uživatelé poprvé otevřou spravované aplikace, které nepoužívají rozšíření jednotného přihlašování, zobrazí se uživatelům výzva, aby vybrali účet, který je přihlášený.

  • Povolit režim sdíleného zařízení (jenom Microsoft Entra ID): Pokud nasazujete modul plug-in Microsoft Enterprise SSO na zařízení s iOS/iPadOS nakonfigurovaným pro funkci režimu sdíleného zařízení Microsoft Entra, zvolte Ano. Zařízení ve sdíleném režimu umožňují mnoha uživatelům globální přihlášení a odhlášení z aplikací, které podporují režim sdíleného zařízení. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nejsou zařízení s iOS/iPadOS určená ke sdílení mezi více uživateli.

    Další informace o režimu sdíleného zařízení a jeho povolení najdete v tématu Přehled režimu sdíleného zařízení a Režim sdíleného zařízení pro zařízení s iOSem.

    Tato funkce platí pro:

    • iOS/iPadOS 13.5 a novější

  • ID rozšíření (přesměrování a přihlašovací údaje): Zadejte identifikátor sady, který identifikuje rozšíření aplikace jednotného přihlašování, například com.apple.extensiblesso.

  • ID týmu (přesměrování a přihlašovací údaje): Zadejte identifikátor týmu rozšíření aplikace s jednotným přihlašováním. Identifikátor týmu je 10místný alfanumerický řetězec (čísla a písmena) vygenerovaný společností Apple, například ABCDE12345. ID týmu se nevyžaduje.

    Další informace najdete v části Id vašeho týmu (otevře web společnosti Apple).

  • Sféra (Credential a Kerberos): Zadejte název sféry ověřování. Název sféry by měl být velkými písmeny, například CONTOSO.COM. Název vaší sféry je obvykle stejný jako název domény DNS, ale obsahuje všechna velká písmena.

  • Domény (Přihlašovací údaje a Kerberos): Zadejte názvy domén nebo hostitelů webů, které se můžou ověřovat prostřednictvím jednotného přihlašování. Pokud je mysite.contoso.comnapříklad váš web , je mysite název hostitele a .contoso.com je to název domény. Když se uživatelé připojí k některému z těchto webů, rozšíření aplikace zvládá ověřovací výzvu. Toto ověřování umožňuje uživatelům používat k přihlášení Face ID, Touch ID nebo Pincode nebo Apple Pincode.

    • Všechny domény v rozšíření aplikace pro jednotné přihlašování Intune profily musí být jedinečné. Doménu nemůžete opakovat v žádném profilu rozšíření aplikace pro přihlášení, a to ani v případě, že používáte různé typy rozšíření aplikací s jednotným přihlašováním.
    • U těchto domén se nerozlišují malá a velká písmena.
    • Doména musí začínat tečkou (.).

  • Adresy URL (jenom přesměrování): Zadejte předpony adres URL zprostředkovatelů identity, jejichž jménem rozšíření aplikace pro přesměrování používá jednotné přihlašování. Když jsou uživatelé přesměrováni na tyto adresy URL, rozšíření aplikace s jednotným přihlašováním zasáhne a vyzve SSO.

    • Všechny adresy URL v profilech rozšíření aplikace pro jednotné přihlašování Intune musí být jedinečné. Doménu nemůžete opakovat v žádném profilu rozšíření aplikace s jednotným přihlašováním, a to ani v případě, že používáte různé typy rozšíření aplikací s jednotným přihlašováním.
    • Adresy URL musí začínat nebo http://https://.

  • Další konfigurace (Microsoft Entra ID, přesměrování a přihlašovací údaje): Zadejte další data specifická pro rozšíření rozšíření aplikace s jednotným přihlašováním:

    • Klíč: Zadejte název položky, kterou chcete přidat, například user name nebo AppAllowList.

    • Typ: Zadejte typ dat. Možnosti:

      • String
      • Logická hodnota: Do pole Hodnota konfigurace zadejte True nebo False.
      • Celé číslo: Do pole Hodnota konfigurace zadejte číslo.

    • Hodnota: Zadejte data.

    • Přidat: Vyberte, pokud chcete přidat konfigurační klíče.

  • Blokovat použití řetězce klíčů (jenom Kerberos): Ano zabraňuje ukládání hesel do řetězce klíčů. Pokud se zablokuje, nebudou uživatelé vyzváni k uložení hesla a po vypršení platnosti lístku Protokolu Kerberos ho budou muset zadat znovu. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém umožňovat ukládání a ukládání hesel do řetězce klíčů. Po vypršení platnosti lístku se uživatelům nezobrazí výzva k opětovnému zadání hesla.

  • Vyžadovat Face ID, Touch ID nebo heslo (jenom Kerberos): Ano vynutí, aby uživatelé zadali své Face ID, Touch ID nebo heslo zařízení, když jsou k aktualizaci lístku Kerberos potřeba přihlašovací údaje. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém vyžadovat, aby uživatelé k aktualizaci lístku Protokolu Kerberos používali biometriku nebo heslo zařízení. Pokud je použití řetězce klíčů zablokované, toto nastavení se nepoužije.

  • Nastavit jako výchozí sféru (jenom Kerberos): Ano nastaví hodnotu sféry , kterou jste zadali jako výchozí sféru. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém nastavit výchozí sféru.

    • Pokud ve vaší organizaci konfigurujete více rozšíření aplikací s jednotným přihlašováním Kerberos, vyberte Ano.
    • Pokud používáte více sfér, vyberte Ano. Nastaví hodnotu sféry , kterou jste zadali jako výchozí sféru.
    • Pokud máte jenom jednu sféru, vyberte Nenakonfigurováno (výchozí).

  • Blokovat automatickou konfiguraci (jenom Kerberos): Ano zabrání rozšíření Kerberos v automatickém používání protokolu LDAP a DNS k určení názvu lokality služby Active Directory. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje.

  • Povolit jenom spravované aplikace (jenom Kerberos): Pokud je nastavené na Ano, rozšíření Kerberos umožňuje přístup k přihlašovacím údajům jenom spravovaným aplikacím a všem aplikacím zadaným s ID sady aplikací. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit nespravovaným aplikacím přístup k přihlašovacím údajům.

    Tato funkce platí pro:

    • iOS/iPadOS 14 a novější

  • Hlavní název (jenom Kerberos): Zadejte uživatelské jméno objektu zabezpečení Kerberos. Nemusíte uvádět název sféry. Například v user@contoso.com, user je hlavní název a contoso.com je název sféry.

    • Proměnné v hlavním názvu můžete použít také zadáním složených závorek {{ }}. Pokud chcete například zobrazit uživatelské jméno, zadejte Username: {{username}}.
    • Při nahrazování proměnných buďte opatrní. Proměnné se v uživatelském rozhraní neověřují a rozlišují se u nich velká a malá písmena. Nezapomeňte zadat správné informace.

  • Kód lokality služby Active Directory (jenom Kerberos): Zadejte název lokality služby Active Directory, kterou má rozšíření Kerberos používat. Tuto hodnotu možná nebudete muset měnit, protože rozšíření Kerberos dokáže automaticky najít kód lokality služby Active Directory.

  • Název mezipaměti (jenom Kerberos): Zadejte název služby GSS (Generic Security Services) mezipaměti Protokolu Kerberos. Tuto hodnotu pravděpodobně nebudete muset nastavovat.

  • Text okna přihlášení (jenom Kerberos): Zadejte text zobrazený uživatelům v přihlašovacím okně Kerberos.

    Tato funkce platí pro:

    • iOS/iPadOS 14 a novější

  • ID sad aplikací (Microsoft Entra ID, Kerberos): Zadejte ID sady všech ostatních aplikací, které by měly získat jednotné přihlašování prostřednictvím rozšíření na vašich zařízeních. Pokud chcete získat ID sady prostředků aplikace přidané do Intune, můžete použít centrum pro správu Intune.

    Pokud používáte Microsoft Entra ID typ rozšíření aplikace s jednotným přihlašováním, pak:

    • Tyto aplikace používají modul plug-in Microsoft Enterprise SSO k ověření uživatele bez nutnosti přihlášení.

    • ID sady aplikací, které zadáte, mají oprávnění používat rozšíření aplikace Microsoft Entra jednotného přihlašování, pokud nepoužívají žádné knihovny Microsoftu, jako je Microsoft Authentication Library (MSAL).

      Prostředí těchto aplikací nemusí být v porovnání s knihovnami Microsoftu tak bezproblémové. Starší aplikace, které používají ověřování MSAL, nebo aplikace, které nepoužívají nejnovější knihovny Microsoftu, musí být přidány do tohoto seznamu, aby správně fungovaly s rozšířením aplikace Microsoft Azure SSO.

    Pokud používáte typ rozšíření aplikace s jednotným přihlašováním Kerberos , pak tyto aplikace:

    • Mít přístup k lístku pro udělování lístku Kerberos
    • Mít přístup k lístku ověřování
    • Ověření uživatelů ve službách, ke kterým mají oprávnění k přístupu

  • Mapování sféry domény (jenom Kerberos): Zadejte přípony DNS domény, které se mají namapovat na vaši sféru. Toto nastavení použijte, pokud názvy DNS hostitelů neodpovídají názvu sféry. Toto vlastní mapování domény na sféru pravděpodobně nebudete muset vytvářet.

  • Certifikát PKINIT (jenom Kerberos): Vyberte certifikát PKINIT (Public Key Cryptography for Initial Authentication), který se dá použít k ověřování protokolem Kerberos. Můžete si vybrat z certifikátů PKCS nebo SCEP, které jste přidali v Intune.

    Další informace o certifikátech najdete v tématu Použití certifikátů k ověřování v Microsoft Intune.

Tapety

Při přiřazení profilu bez obrázku k zařízením s existující imagí může docházet k neočekávanému chování. Můžete například vytvořit profil bez obrázku. Tento profil je přiřazen k zařízením, která už image mají. V tomto scénáři se image může změnit na výchozí nastavení zařízení nebo původní image zůstane na zařízení. Toto chování řídí a omezuje platforma MDM společnosti Apple.

Nastavení platí pro: Automatizovaná registrace zařízení (pod dohledem)

  • Umístění zobrazení tapety: Zvolte umístění na zařízeních, která obrázek zobrazují. Možnosti:
    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Vlastní image se do zařízení nepřidá. Ve výchozím nastavení může operační systém nastavit vlastní image.
    • Zamykací obrazovka: Přidá obrázek na zamykací obrazovku.
    • Domovská obrazovka: Přidá obrázek na domovskou obrazovku.
    • Zamykací obrazovka a domovská obrazovka: Používá stejný obrázek na zamykací i domovské obrazovce.
  • Obrázek tapety: Nahrajte existující .png, .jpg nebo .jpeg obrázek, který chcete použít. Ujistěte se, že velikost souboru je menší než 750 kB. Můžete také odebrat obrázek, který jste přidali.

Tip

  • Při konfiguraci zásad tapety microsoft doporučuje povolit nastavení Blokovat úpravu tapety . Toto nastavení zabrání uživatelům ve změně tapety.
  • Pokud chcete zobrazit různé obrázky na zamykací a domovské obrazovce, vytvořte profil s obrázkem zamykací obrazovky. Create jiný profil s obrázkem domovské obrazovky. Přiřaďte oba profily ke skupinám uživatelů nebo zařízení s iOS/iPadOS.