Implementatiehandleiding: iOS- en iPadOS-apparaten inschrijven bij Microsoft Intune

  • Artikel
  • 23 minuten om te lezen

U kunt apparaten van uzelf en van een organisatie inschrijven bij Intune. Zodra ze zijn ingeschreven, ontvangen ze het beleid en de profielen die u maakt. U hebt de volgende opties voor het inschrijven van iOS/iPadOS-apparaten:

In dit artikel worden aanbevelingen gedaan voor de te gebruiken iOS/iPadOS-inschrijvingsmethode. Het bevat ook een overzicht van de beheerders- en gebruikerstaken voor elk inschrijvingstype. Zie macOS-apparaten inschrijven voor meer specifieke informatie.

Tip

Deze handleiding is een dynamisch document. Zorg dus dat u bestaande tips en richtlijnen die u nuttig vindt, bijwerkt of zelf nieuwe items toevoegt.

Voordat u begint

Zie voor een overzicht met onder meer Intune-specifieke vereisten Implementatierichtlijnen: Apparaten inschrijven in Microsoft Intune.

Automatische apparaatinschrijving (ADE) (onder toezicht)

Voorheen Apple Device Enrollment Program (DEP) genoemd. Te gebruiken op apparaten die eigendom zijn van uw organisatie. Met deze optie configureert u instellingen met behulp van Apple Business Manager (ABM) of Apple School Manager (ASM). Hiermee wordt een groot aantal apparaten ingeschreven zonder dat u ooit de apparaten aanraakt. Deze apparaten worden gekocht bij Apple, hebben uw vooraf geconfigureerde instellingen en kunnen rechtstreeks naar gebruikers of scholen worden verzonden. U kunt een inschrijvingsprofiel maken in het Endpoint Manager-beheercentrum en dit profiel naar de apparaten pushen.

Zie voor meer specifieke informatie over dit inschrijvingstype:

Functie Gebruik deze inschrijvingsoptie wanneer
U wilt de supervisiemodus. ✔️

In de supervisiemodus kunt u software-updates implementeren, functies beperken, apps toestaan en blokkeren, enzovoort.
De apparaten zijn eigendom van de organisatie of school. ✔️
U hebt nieuwe apparaten. ✔️
Er moeten enkele apparaten of een groot aantal apparaten (bulkinschrijving) worden ingeschreven. ✔️
De apparaten zijn gekoppeld aan één gebruiker. ✔️
De apparaten zijn zonder gebruiker, zoals een kiosk of een toegewezen apparaat. ✔️
De apparaten zijn persoonlijk of BYOD.

Niet aanbevolen. BYOD- of persoonlijke apparaten moeten worden ingeschreven met MAM-WE (hiermee opent u een ander Microsoft-artikel) of gebruikers- en apparaatinschrijving (in dit artikel).
U hebt al bestaande apparaten.

Bestaande apparaten moeten worden ingeschreven met Apple Configurator (in dit artikel).
Apparaten worden beheerd door een andere MDM-provider.

Voor een volledig beheer door Intune moeten gebruikers de inschrijving van de huidige MDM-provider ongedaan maken en zich vervolgens inschrijven bij Intune. U kunt ook MAM-WE gebruiken om specifieke apps op het apparaat te beheren. Aangezien deze apparaten in eigendom zijn van een organisatie, wordt u aangeraden om in te schrijven bij Intune.
U gebruikt het account van de apparaatinschrijvingsmanager (DEM).

Het DEM-account wordt niet ondersteund.

Beheerderstaken ADE

Deze takenlijst biedt een overzicht. Zie Apple Business Manager-inschrijving of Apple School Manager-inschrijving voor meer specifieke informatie.

  • Controleer of uw apparaten worden ondersteund.

  • Er is toegang nodig tot de Apple Business Manager-portal (ABM) of de Apple School Manager-portal (ASM).

  • Controleer of het Apple-token (.p7m) actief is. Zie Een Apple ADE-token ophalen voor meer specifieke informatie.

  • Controleer of het Apple MDM-pushcertificaat aan Endpoint Manager is toegevoegd en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Zie Een Apple MDM-pushcertificaat ophalen voor meer informatie.

  • Bepaal hoe gebruikers zich op hun apparaten verifiëren: de Bedrijfsportal-app, Configuratieassistent (verouderd) of Configuratieassistent met moderne verificatie. Neem deze beslissing voordat u het inschrijvingsprofiel maakt. Het gebruik Bedrijfsportal app of configuratieassistent met moderne verificatie wordt beschouwd als moderne verificatie.

    • Selecteer de Bedrijfsportal-app wanneer:

      • U het apparaat wilt wissen.
      • U meervoudige verificatie (MFA) wilt gebruiken.
      • U gebruikers wilt vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
      • U gebruikers wilt vragen om hun verlopen wachtwoorden tijdens het inschrijven te herstellen.
      • U wilt dat apparaten bij Azure AD zijn geregistreerd. Wanneer ze zijn geregistreerd, kunt u gebruikmaken van functies die beschikbaar zijn in Azure AD, zoals voorwaardelijke toegang.
      • U wilt de app automatisch Bedrijfsportal installeren tijdens de inschrijving. Als uw bedrijf het Volume Purchase Program (VPP) gebruikt, kunt u automatisch een Bedrijfsportal installeren tijdens de inschrijving zonder apple-ID's van de gebruiker.
      • U wilt het apparaat vergrendelen totdat de Bedrijfsportal app wordt geïnstalleerd. Nadat de app is geïnstalleerd, melden gebruikers zich aan bij de Bedrijfsportal app met hun Azure AD-account van hun organisatie. Vervolgens wordt het apparaat ontgrendeld en kunnen gebruikers het gebruiken.

    • Selecteer configuratieassistent (verouderd) wanneer:

      • U het apparaat wilt wissen.

      • U geen moderne verificatiefuncties wilt gebruiken, zoals MFA.

      • U geen apparaten wilt registreren bij Azure AD. Configuratieassistent (verouderd) verifieert de gebruiker met het .p7m Apple-token. Als het toegestaan is om apparaten niet bij Azure AD te registreren, hoeft u de Bedrijfsportal-app niet te installeren. Gebruik de Configuratieassistent (verouderd).

        Als u apparaten wilt registreren bij Azure AD, installeert u de Bedrijfsportal-app. Wanneer u het inschrijvingsprofiel maakt en Configuratieassistent (verouderd) selecteert, kunt u de app Bedrijfsportal installeren. U kunt het beste de Bedrijfsportal-app installeren tijdens de inschrijving.

    • Selecteer configuratieassistent met moderne verificatie wanneer:

      • U het apparaat wilt wissen.
      • U meervoudige verificatie (MFA) wilt gebruiken.
      • U gebruikers wilt vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
      • U gebruikers wilt vragen om hun verlopen wachtwoorden tijdens het inschrijven te herstellen.
      • U wilt dat apparaten bij Azure AD zijn geregistreerd. Wanneer ze zijn geregistreerd, kunt u gebruikmaken van functies die beschikbaar zijn in Azure AD, zoals voorwaardelijke toegang.
      • U wilt de app automatisch Bedrijfsportal installeren tijdens de inschrijving. Als uw bedrijf het Volume Purchase Program (VPP) gebruikt, kunt u de Bedrijfsportal-app automatisch installeren tijdens de inschrijving zonder apple-ID's van gebruikers.
      • U wilt dat gebruikers het apparaat gebruiken, zelfs wanneer de Bedrijfsportal app niet is geïnstalleerd.

    Notitie

    Als u gebruikers wilt verifiëren, raadt Microsoft u aan de Bedrijfsportal app of configuratieassistent met moderne verificatie te gebruiken.

    Welke optie moet u gebruiken? Dit hangt ervan af:

    • Als u het apparaat wilt gebruiken voordat de Bedrijfsportal app wordt geïnstalleerd, gebruikt u configuratieassistent met moderne verificatie.

      Tijdens de Configuratieassistent moeten gebruikers de Azure AD-referenties van hun organisatie invoeren ( user@contoso.com ). Wanneer ze hun referenties invoeren, wordt de inschrijving gestart en wordt Bedrijfsportal app geïnstalleerd. Als u wilt, kunnen gebruikers ook hun Apple ID invoeren voor toegang tot specifieke Apple-functies, zoals Apple Pay.

      Nadat de Configuratieassistent is voltooid, kunnen gebruikers het apparaat gebruiken. Wanneer het startscherm wordt weergegeven, is de inschrijving voltooid en wordt gebruikers-affiniteit tot stand gebracht. Het apparaat is niet volledig geregistreerd bij Azure AD en wordt niet weergegeven in de apparatenlijst van een gebruiker in Azure AD.

      Nadat de Bedrijfsportal app is geïnstalleerd, wat enige tijd duurt, openen gebruikers de Bedrijfsportal-app en melden ze zich opnieuw aan met hun Azure AD-account van hun organisatie ( user@contoso.com ). Tijdens deze tweede aanmelding worden alle beleidsregels voor voorwaardelijke toegang geëvalueerd en is de Azure AD-registratie voltooid. Gebruikers kunnen organisatiebronnen, waaronder LOB-apps, installeren en gebruiken.

    • Als u het apparaat niet wilt gebruiken voordat de Bedrijfsportal app wordt geïnstalleerd, gebruikt u de optie Bedrijfsportal app. Met Bedrijfsportal app wordt het apparaat vergrendeld totdat de Bedrijfsportal app wordt geïnstalleerd. Wanneer de installatie is voltooid, wordt Bedrijfsportal app automatisch geopend. Gebruikers melden zich aan met hun Azure AD-organisatieaccount ( user@contoso.com ) en kunnen het apparaat gebruiken.

  • Als u de Bedrijfsportal-app gebruikt, moet u vervolgens bepalen hoe de Bedrijfsportal-app op de apparaten wordt geïnstalleerd. Neem deze beslissing voordat u het inschrijvingsprofiel maakt.

    Notitie

    Microsoft raadt u aan het Volume Purchase Program (VPP) te gebruiken wanneer u de Bedrijfsportal-app gebruikt voor verificatie. Dit biedt de eindgebruiker een betere ervaring.

    Installeer de Bedrijfsportal-app niet rechtstreeks vanuit de App Store op apparaten die via ADE zijn ingeschreven. Installeer in plaats daarvan de Bedrijfsportal-app met behulp van de volgende opties:

    • VPP-token + Nieuwe apparaten inschrijven: Als u het Volume Purchase Program (VPP) hebt en u nieuwe apparaten inschrijft, wordt de Bedrijfsportal-app daarin opgenomen. Wanneer u het inschrijvingsprofiel maakt in het Endpoint Manager-beheercentrum, selecteert u Bedrijfsportal installeren met VPP. Er zijn geen andere stappen nodig.

      Deze optie:

      • Bevat de juiste Bedrijfsportal-app-versie.
      • U hoeft geen ander beleid te maken om de Bedrijfsportal-app op apparaten te implementeren.
      • De Bedrijfsportal-app moet handmatig worden bijgewerkt door u of uw gebruikers.

    • Geen VPP-token + Nieuwe apparaten inschrijven: Geen beheerderstaken. Zorg ervoor dat gebruikers hun Apple ID invoeren in de Configuratieassistent.

      Wanneer de Configuratieassistent is voltooid, vindt de installatie van de Bedrijfsportal-app automatisch plaats. Als gebruikers hun Apple ID (user@iCloud.com of user@gmail.com) niet invoeren, wordt hen voortdurend gevraagd hun Apple ID in te voeren. Gebruikers moeten hun Apple ID invoeren om de Bedrijfsportal-app op hun apparaten te krijgen. Wanneer de Bedrijfsportal-app wordt geïnstalleerd, kunnen gebruikers deze openen en de aanmeldingsgegevens van hun organisatie (user@contoso.com) invoeren. Wanneer gebruikers worden geverifieerd, kunnen deze apps installeren en gebruiken die door uw organisatie worden gebruikt, waaronder LOB-apps.

    • Al ingeschreven apparaten: Als apparaten al zijn ingeschreven, kunt u een app-configuratiebeleid gebruiken, ongeacht of u nu wel of niet VPP hebt:

      1. Voeg in het Endpoint Manager-beheercentrum de Bedrijfsportal-app toe als vereiste app en als app met een apparaatlicentie.
      2. Maak een app-configuratiebeleid dat de Bedrijfsportal-app bevat als app met een apparaatlicentie. Zie De Bedrijfsportal-app configureren voor ondersteuning van iOS en iPadOS DEP-apparaten voor meer specifieke informatie.
      3. Implementeer het app-configuratiebeleid op dezelfde apparaatgroep als het inschrijvingsprofiel.
      4. Wanneer apparaten inchecken bij de Intune-service, ontvangen deze uw profiel en wordt de Bedrijfsportal-app geïnstalleerd.

      Deze optie:

      • Bevat de juiste Bedrijfsportal-app-versie.
      • Verplicht u tot het maken van een inschrijvingsprofiel en een app-configuratiebeleid. Maak in het app-configuratiebeleid hiervan een vereiste app, zodat u weet dat de app op al uw apparaten wordt geïmplementeerd.
      • De Bedrijfsportal-app kan automatisch worden bijgewerkt door het bestaande app-configuratiebeleid te wijzigen.

  • Maak in het Endpoint Manager-beheercentrum een inschrijvingsprofiel:

    • Kies voor Inschrijven met gebruikersaffiniteit (een gebruiker aan het apparaat koppelen) of Inschrijven zonder gebruikersaffiniteit (apparaten zonder gebruiker of gedeelde apparaten).
    • Kies waar gebruikers zich verifiëren: de Bedrijfsportal app, Configuratieassistent (verouderd) of Configuratieassistent met moderne verificatie.

    Zie Automatische apparaatinschrijving van Apple voor meer informatie en suggesties.

Eindgebruikerstaken ADE

Wanneer u een inschrijvingsprofiel maakt in het Endpoint Manager-beheercentrum, kiest u ervoor om een gebruiker aan het apparaat te koppelen (Inschrijven met gebruikersaffiniteit) of over gedeelde apparaten te beschikken (Inschrijven zonder gebruikersaffiniteit). De specifieke stappen zijn afhankelijk van hoe u het inschrijvingsprofiel configureert.

  • Inschrijven met gebruikersaffiniteit + Bedrijfsportal-app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in. Zodra de app is Bedrijfsportal, wordt deze automatisch geïnstalleerd vanuit uw inschrijvingsprofiel. Het kan enige tijd duren voordat de Bedrijfsportal-app automatisch wordt geïnstalleerd.
    2. Gebruikers kunnen de Bedrijfsportal-app openen en zich aanmelden met de aanmeldingsgegevens van hun organisatie (user@contoso.com). Wanneer ze zich aanmelden, wordt de inschrijving gestart. Wanneer de inschrijving is voltooid, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, waaronder LOB-apps.

    Gebruikers moeten mogelijk meer informatie invoeren. Zie Door uw organisatie verstrekte iOS-apparaatinschrijven voor specifiekere stappen voor eindgebruikers.

  • Inschrijven met gebruikers affiniteit + Configuratieassistent (verouderd) + Bedrijfsportal app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in.

    2. De Configuratieassistent vraagt de gebruiker om informatie.

    3. De Bedrijfsportal-app wordt automatisch geopend en zorgt ervoor dat het apparaat wordt vergrendeld in de kioskmodus. Het kan enige tijd duren voordat de Bedrijfsportal-app wordt geopend. Gebruikers melden zich aan met hun organisatiereferenties ( user@contoso.com ) en het apparaat is ingeschreven bij Intune.

      Met deze stap wordt het apparaat geregistreerd bij Azure AD. Gebruikers kunnen apps installeren en gebruiken die door uw organisatie worden gebruikt, waaronder LOB-apps.

  • Inschrijven met gebruikers affiniteit + Configuratieassistent (verouderd) - Bedrijfsportal app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in.
    2. De Configuratieassistent vraagt de gebruiker om informatie en schrijft het apparaat in bij Intune. Het apparaat wordt niet geregistreerd bij Azure AD.

  • Inschrijven met gebruikers affiniteit + Configuratieassistent met moderne verificatie + Bedrijfsportal app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID ( user@iCloud.com of ) in en de Azure user@gmail.com AD-referenties van hun organisatie ( user@contoso.com ).

      Wanneer gebruikers hun Azure AD-referenties invoeren, wordt de inschrijving gestart.

    2. De configuratieassistent vraagt de gebruiker om aanvullende informatie. Wanneer dit is voltooid, kunnen gebruikers het apparaat gebruiken. Wanneer het startscherm wordt weergegeven, is de inschrijving voltooid. Gebruikers zien uw apps en beleidsregels op het apparaat.

    3. De Bedrijfsportal app wordt automatisch geïnstalleerd. Dit duurt enige tijd. Gebruikers openen de Bedrijfsportal app en melden zich opnieuw aan met hun organisatiereferenties ( user@contoso.com ).

  • Inschrijven met gebruikers affiniteit + Configuratieassistent met moderne verificatie - Bedrijfsportal app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID ( of ) en de Azure AD-referenties van hun user@iCloud.com user@gmail.com organisatie in.

      Wanneer gebruikers hun Azure AD-referenties invoeren, wordt de inschrijving gestart.

    2. De configuratieassistent vraagt de gebruiker om aanvullende informatie. Wanneer dit is voltooid, kunnen gebruikers het apparaat gebruiken. Wanneer het startscherm wordt weergegeven, is de inschrijving voltooid. Gebruikers zien uw apps en beleidsregels op het apparaat.

    3. De Bedrijfsportal-app wordt automatisch geïnstalleerd. Gebruikers hoeven de app niet te Bedrijfsportal of zich aan te melden bij de app. Als ze zich niet aanmelden, wordt het apparaat niet geregistreerd bij Azure AD en wordt het niet weergegeven in de apparatenlijst van een gebruiker in Azure AD. Resources die afhankelijk zijn van voorwaardelijke toegang, zijn niet beschikbaar.

  • Inschrijven zonder gebruikersaffiniteit: Geen acties. Zorg ervoor dat ze de Bedrijfsportal-app niet installeren vanuit de Apple App Store.

Doorgaans willen gebruikers liever niet zichzelf inschrijven, en mogelijk zijn ze niet bekend met de Bedrijfsportal-app. Zorg ervoor dat u richtlijnen verstrekt, waaronder de informatie die moet worden ingevoerd. Zie voor een aantal richtlijnen voor het communiceren met uw gebruikers Planningsgids: Taak 5: Een implementatieplan ontwikkelen.

Apple Configurator-inschrijving

Te gebruiken op apparaten die eigendom zijn van uw organisatie. Deze omvat directe enrollment. Bij deze optie moet u macOS-apparaten fysiek verbinden met een Mac-computer via de USB-poort.

Zie Apple Configurator-inschrijving voor meer specifieke informatie over dit inschrijvingstype.

Functie Gebruik deze inschrijvingsoptie wanneer
U hebt een bekabelde verbinding nodig, of u hebt een netwerkprobleem. ✔️
Uw organisatie wil niet dat beheerders de ABM- of ASM-portals gebruiken, of wil niet alle vereisten instellen. ✔️

Het niet gebruiken van de ABM-of ASM-portals is bedoeld om beheerders minder controle te geven.
Een land biedt geen ondersteuning voor de Apple Business Manager (ABM) of Apple School Manager (ASM). ✔️

Als uw land ondersteuning biedt voor ABS of ASM, moeten de apparaten worden ingeschreven met automatische apparaatinschrijving.
De apparaten zijn eigendom van de organisatie of school. ✔️
U hebt nieuwe of al bestaande apparaten. ✔️
Er moeten enkele apparaten of een groot aantal apparaten (bulkinschrijving) worden ingeschreven. ✔️

Als u een groot aantal apparaten hebt, kan deze methode enige tijd in beslag nemen.
De apparaten zijn gekoppeld aan één gebruiker. ✔️
De apparaten zijn zonder gebruiker, zoals een kiosk of een toegewezen apparaat. ✔️
De apparaten zijn persoonlijk of BYOD.

Niet aanbevolen. BYOD- of persoonlijke apparaten moeten worden ingeschreven met MAM-WE (hiermee opent u een ander Microsoft-artikel) of gebruikers- en apparaatinschrijving (in dit artikel).
Apparaten worden beheerd door een andere MDM-provider.

Voor een volledig beheer door Intune moeten gebruikers de inschrijving van de huidige MDM-provider ongedaan maken en zich vervolgens inschrijven bij Intune. U kunt ook MAM-WE gebruiken om specifieke apps op het apparaat te beheren. Aangezien deze apparaten in eigendom zijn van een organisatie, wordt u aangeraden om in te schrijven bij Intune.
U gebruikt het account van de apparaatinschrijvingsmanager (DEM).

Het DEM-account wordt niet ondersteund.

Beheerderstaken Apple Configurator

Deze takenlijst biedt een overzicht. Zie Apple Configurator-inschrijving voor meer specifieke informatie.

  • Hiervoor is toegang tot een Mac-computer met een USB-poort vereist.

  • Controleer of uw apparaten worden ondersteund.

  • Controleer of het Apple MDM-pushcertificaat aan Endpoint Manager is toegevoegd en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Zie Een Apple MDM-pushcertificaat ophalen voor meer informatie.

  • Bepaal hoe gebruikers zich verifiëren op hun apparaten: de Bedrijfsportal-app of Configuratieassistent. Neem deze beslissing voordat u het inschrijvingsprofiel maakt. Het gebruik van de Bedrijfsportal-app wordt beschouwd als moderne verificatie. Het is raadzaam om de Bedrijfsportal-app te gebruiken.

    • Selecteer de Bedrijfsportal-app wanneer:

      • U meervoudige verificatie (MFA) wilt gebruiken.
      • U gebruikers wilt vragen hun verlopen wachtwoord bij te werken wanneer ze zich voor het eerst aanmelden.
      • U gebruikers wilt vragen om hun verlopen wachtwoorden tijdens het inschrijven te herstellen.
      • U wilt dat apparaten bij Azure AD zijn geregistreerd. Wanneer ze zijn geregistreerd, kunt u gebruikmaken van functies die beschikbaar zijn in Azure AD, zoals voorwaardelijke toegang.
      • U de Bedrijfsportal-app automatisch wilt installeren tijdens de inschrijving. Als uw bedrijf gebruikmaakt van het Volume Purchase Program (VPP), kunt u de Bedrijfsportal-app automatisch installeren tijdens de inschrijving.

    • Selecteer de Configuratieassistent wanneer:

      • U geen moderne verificatiefuncties wilt gebruiken, zoals MFA.

      • U het apparaat wilt wissen.

      • U serienummers wilt importeren.

      • U geen apparaten wilt registreren bij Azure AD. De Configuratieassistent verifieert de gebruiker met het geëxporteerde inschrijvingsprofiel dat u naar het apparaat kopieert. Als het toegestaan is om apparaten niet bij Azure AD te registreren, hoeft u de Bedrijfsportal-app niet te installeren. Blijf de Configuratieassistent gebruiken.

        Als u apparaten wilt registreren bij Azure AD, installeert u de Bedrijfsportal-app. Wanneer u het inschrijvingsprofiel maakt en Configuratieassistent selecteert, kunt u de Bedrijfsportal-app installeren. U kunt het beste de Bedrijfsportal-app installeren tijdens de inschrijving.

  • Als u de Bedrijfsportal-app gebruikt, moet deze op apparaten zijn geïnstalleerd met behulp van een app-configuratiebeleid. U kunt dit beleid het beste maken voordat u het inschrijvingsprofiel maakt.

    Installeer de Bedrijfsportal-app niet rechtstreeks vanuit de App Store op apparaten die via Apple Configurator zijn ingeschreven. Installeer in plaats daarvan de Bedrijfsportal-app met behulp van de volgende opties:

    • Nieuwe apparaten inschrijven: Geen beheerderstaken. Zorg ervoor dat gebruikers hun Apple ID invoeren in de Configuratieassistent.

      Wanneer de Configuratieassistent is voltooid, vindt de installatie van de Bedrijfsportal-app automatisch plaats. Als gebruikers hun Apple ID (user@iCloud.com of user@gmail.com) niet invoeren, wordt hen voortdurend gevraagd hun Apple ID in te voeren. Gebruikers moeten hun Apple ID invoeren om de Bedrijfsportal-app op hun apparaten te krijgen. Wanneer de Bedrijfsportal-app wordt geïnstalleerd, kunnen gebruikers deze openen en de aanmeldingsgegevens van hun organisatie (user@contoso.com) invoeren. Wanneer gebruikers worden geverifieerd, kunnen deze apps installeren en gebruiken die door uw organisatie worden gebruikt, waaronder LOB-apps.

    • Al ingeschreven apparaten: Gebruik, als apparaten al zijn ingeschreven, een app-configuratiebeleid:

      1. Voeg in het Endpoint Manager-beheercentrum de Bedrijfsportal-app toe als vereiste app en als app met een apparaatlicentie.
      2. Maak een app-configuratiebeleid dat de Bedrijfsportal-app bevat als app met een apparaatlicentie. Zie De Bedrijfsportal-app configureren voor ondersteuning van iOS en iPadOS DEP-apparaten voor meer specifieke informatie.
      3. Implementeer het app-configuratiebeleid op dezelfde apparaatgroep als het inschrijvingsprofiel.
      4. Wanneer apparaten inchecken bij de Intune-service, ontvangen deze uw profiel en wordt de Bedrijfsportal-app geïnstalleerd.

      Deze optie:

      • Bevat de juiste Bedrijfsportal-app-versie.
      • Verplicht u tot het maken van een inschrijvingsprofiel en een app-configuratiebeleid. Maak in het app-configuratiebeleid hiervan een vereiste app, zodat u weet dat de app op al uw apparaten wordt geïmplementeerd.
      • De Bedrijfsportal-app kan automatisch worden bijgewerkt door het bestaande app-configuratiebeleid te wijzigen.

  • Maak in het Endpoint Manager-beheercentrum een inschrijvingsprofiel:

    • Kies voor Inschrijven met gebruikersaffiniteit (een gebruiker aan het apparaat koppelen) of Inschrijven zonder gebruikersaffiniteit (apparaten zonder gebruiker of gedeelde apparaten).

    • Als u kiest voor Inschrijven zonder gebruikersaffiniteit, gebruikt u automatisch directe enrollment. Belangrijk:

      • U gebruikt de instellingen van een bestaand macOS-inschrijvingsprofiel.
      • Gebruikers kunnen geen apps gebruiken waarvoor een gebruiker is vereist, met inbegrip van de Bedrijfsportal-app. De Bedrijfsportal-app wordt niet gebruikt, is niet vereist of wordt niet ondersteund voor inschrijvingen zonder gebruikersaffiniteit. Zorg ervoor dat gebruikers de Bedrijfsportal-app niet installeren vanuit de Apple App Store.

  • Wanneer het inschrijvingsprofiel gereed is, worden de apparaten via USB op de Mac aangesloten en wordt de Apple Configurator-app geopend. Wanneer de app wordt geopend, detecteert deze het via USB verbonden apparaat en wordt het door u gemaakte Intune-inschrijvingsprofiel geïmplementeerd.

Zie Inschrijving Apple Configurator voor meer specifieke informatie over deze inschrijvingsoptie en de vereisten ervoor.

Eindgebruikerstaken Apple Configurator

De taken zijn afhankelijk van de optie die u hebt geconfigureerd in het inschrijvingsprofiel.

  • Inschrijven met gebruikersaffiniteit + Bedrijfsportal-app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren hun Apple ID (user@iCloud.com of user@gmail.com) in. Zodra deze is ingevoerd, wordt de Bedrijfsportal-app automatisch vanuit de App Store geïnstalleerd. Het kan enige tijd duren voordat de Bedrijfsportal-app automatisch wordt geïnstalleerd.
    2. Open de Bedrijfsportal-app en meld u aan met de aanmeldingsgegevens van uw organisatie (user@contoso.com). Wanneer gebruikers zich aanmelden, wordt de inschrijving gestart. Wanneer de inschrijving is voltooid, kunnen gebruikers apps installeren en gebruiken die door uw organisatie worden gebruikt, waaronder LOB-apps.

    Gebruikers moeten mogelijk meer informatie invoeren. Zie Het door uw organisatie verstrekte iOS-apparaat inschrijven voor meer specifieke stappen.

  • Inschrijven met gebruikersaffiniteit + Configuratieassistent + Bedrijfsportal-app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren de aanmeldingsgegevens van hun organisatie in (user@contoso.com). Met deze stap wordt het apparaat ingeschreven bij Intune.
    2. De Configuratieassistent vraagt de gebruiker om informatie, met inbegrip van de Apple ID (user@iCloud.com of user@gmail.com).
    3. De Bedrijfsportal-app wordt automatisch geïnstalleerd vanuit de App Store. Gebruikers kunnen de Bedrijfsportal-app openen en zich aanmelden met de aanmeldingsgegevens van hun organisatie (user@contoso.com). Met deze stap wordt het apparaat geregistreerd bij Azure AD. Gebruikers kunnen apps installeren en gebruiken die door uw organisatie worden gebruikt, waaronder LOB-apps.

  • Inschrijven met gebruikersaffiniteit + Configuratieassistent - Bedrijfsportal-app:

    1. Wanneer het apparaat wordt ingeschakeld, wordt de Apple Configuratieassistent uitgevoerd. Gebruikers voeren de aanmeldingsgegevens van hun organisatie in (user@contoso.com). Met deze stap wordt het apparaat ingeschreven bij Intune.
    2. De Configuratieassistent vraagt de gebruiker om informatie, met inbegrip van de Apple ID (user@iCloud.com of user@gmail.com). Met deze stap wordt het Intune-beheerprofiel naar het apparaat gepusht.
    3. Gebruikers installeren het beheerprofiel. Het profiel wordt ingecheckt bij de Intune-service, waarna het apparaat wordt ingeschreven. Het apparaat wordt niet geregistreerd bij Azure AD.

  • Inschrijven zonder gebruikersaffiniteit: U gebruikt directe enrollment. Er zijn geen acties. Zorg ervoor dat ze de Bedrijfsportal-app niet installeren vanuit de Apple App Store.

Doorgaans willen gebruikers liever niet zichzelf inschrijven, en mogelijk zijn ze niet bekend met de Bedrijfsportal-app. Zorg ervoor dat u richtlijnen verstrekt, waaronder de informatie die moet worden ingevoerd. Zie voor een aantal richtlijnen voor het communiceren met uw gebruikers Planningsgids: Taak 5: Een implementatieplan ontwikkelen.

BYOD: Gebruiker- en apparaatinschrijving

Deze iOS/iPadOS-apparaten zijn persoonlijke of BYOD-apparaten (Bring Your Own Device) die toegang hebben tot de e-mail, apps en andere gegevens van de organisatie. Vanaf iOS 13 en hoger is deze inschrijvingsoptie gericht op gebruikers of apparaten. Het is niet nodig om de apparaten opnieuw in te stellen.

Wanneer u het inschrijvingsprofiel maakt, wordt u gevraagd Gebruikersinschrijving Apparaatinschrijving of Bepalen op basis van de keuze van de gebruiker te kiezen.

Zie Inschrijving van iOS/iPadOS-gebruikers of -apparaten instellen voor de specifieke inschrijvingsstappen en de vereisten ervan.

Functie Gebruik deze inschrijvingsoptie wanneer
De apparaten zijn persoonlijk of BYOD. ✔️
U wilt een specifieke functie op het apparaat beter beveiligen, zoals VPN per app. ✔️
U hebt nieuwe of al bestaande apparaten. ✔️
U moet een aantal apparaten of een groot aantal apparaten (bulkinschrijving) inschrijven. ✔️
De apparaten zijn gekoppeld aan één gebruiker. ✔️
Apparaten worden beheerd door een andere MDM-provider.

Wanneer een apparaat wordt ingeschreven, installeren MDM-providers certificaten en andere bestanden. Deze bestanden moeten worden verwijderd. Mogelijk moet u de inschrijving van de apparaten ongedaan maken of de fabrieksinstellingen herstellen. Als u de fabrieksinstellingen niet wilt herstellen, neemt u contact op met de MDM-provider.
U gebruikt het account van de apparaatinschrijvingsmanager (DEM). ✔️
De apparaten zijn eigendom van de organisatie of school.

Niet aanbevolen. Apparaten die eigendom zijn van de organisatie moeten worden ingeschreven met behulp van Automatische apparaatinschrijving (in dit artikel) of Apple Configurator (in dit artikel).
De apparaten zijn zonder gebruiker, zoals een kiosk of een toegewezen apparaat.

Normaal gesproken zijn apparaten zonder gebruiker of gedeelde apparaten eigendom van een organisatie. Deze apparaten moeten worden ingeschreven met automatische apparaatinschrijving (in dit artikel) of Apple Configurator (in dit artikel).

Beheerderstaken gebruiker- en apparaatinschrijving

Deze takenlijst biedt een overzicht. Zie Inschrijving van iOS/iPadOS- en iPadOS-gebruikers instellen voor meer specifieke informatie.

  • Controleer of uw apparaten worden ondersteund.

  • Controleer of het Apple MDM-pushcertificaat aan Endpoint Manager is toegevoegd en actief is. Dit certificaat is vereist voor het inschrijven van iOS-/iPadOS-apparaten. Zie Een Apple MDM-pushcertificaat ophalen voor meer informatie.

  • Maak in het Endpoint Manager-beheercentrum het inschrijvingsprofiel. Wanneer u het inschrijvingsprofiel maakt, hebt u de volgende opties:

    • Apparaatinschrijving: Deze optie is een typische inschrijving voor persoonlijke apparaten. Het apparaat wordt beheerd, niet alleen specifieke apps of functies. Bij deze optie moet u rekening houden met de volgende informatie:

      • U kunt certificaten implementeren die van toepassing zijn op het hele apparaat.
      • Gebruikers moeten updates installeren. Alleen apparaten die zijn ingeschreven met behulp van automatische apparaatinschrijving (ADE) kunnen updates ontvangen via MDM-beleid of -profielen.
      • Er moet een gebruiker aan het apparaat zijn gekoppeld. Deze gebruiker kan een DEM-account (apparaatinschrijvingsmanager) zijn.

    • Bepalen op basis van gebruikerskeuze: Hierbij krijgen eindgebruikers een keuze bij het inschrijven. Afhankelijk van hun selectie wordt gebruikersinschrijving of apparaatinschrijving gebruikt.

    • Gebruikersinschrijving: Vanaf iOS 13 en hoger. Met deze optie configureert u een specifieke set functies en organisatie-apps, zoals wachtwoord, VPN per app, Wi-Fi en Siri. Als u gebruikersinschrijving gebruikt en apps en gegevens beter wilt beveiligen, is het raadzaam om ook app-beveiligingsbeleid te gebruiken.

      Zie Intune-acties en -opties die worden ondersteund bij Apple-gebruikersinschrijving voor een volledige lijst met wat u wel en niet kunt doen. Zie Gebruikersinschrijving voor iOS/iPadOS instellen voor de specifieke stappen voor gebruikersinschrijving.

      Notitie

      BYOD kunnen apparaten worden in eigendom van de organisatie. Zie Apparaten identificeren als bedrijfseigendom als u deze apparaten bedrijfseigendom wilt maken.

      Gebruikersinschrijving wordt beschouwd als vriendelijker voor eindgebruikers, maar bevat mogelijk niet de functieset en beveiligingsfuncties die beheerders nodig hebben. In sommige gevallen is gebruikersinschrijving mogelijk niet de beste optie. Neem de volgende scenario's:

      • Met gebruikersinschrijving wordt op de apparaten een werkpartitie gemaakt. De functies en beveiliging die u configureert in het profiel voor gebruikersinschrijving betreffen alleen de werkpartitie. Ze betreffen niet de gebruikerspartitie. Gebruikers kunnen de fabrieksinstellingen van de werkpartitie niet herstellen. Beheerders kunnen dat wel. Gebruikers kunnen de fabrieksinstellingen van de persoonlijke partitie wel herstellen. Beheerders kunnen dat niet.

      • Als gebruikers voornamelijk gebruikmaken van Microsoft-apps of apps gebruiken die zijn gemaakt met de Intune App SDK, moeten gebruikers deze apps downloaden uit de Apple App Store. Gebruik vervolgens het app-beveiligingsbeleid om deze apps te beveiligen. In dit scenario hebt u geen gebruikersinschrijving nodig.

      • Voor Line-Of-Business-apps (LOB) kan gebruikersinschrijving een optie zijn, omdat deze apps worden geïmplementeerd op de werkpartitie. Application Management (MAM) biedt geen ondersteuning voor LOB-apps. Als u dus LOB-apps nodig hebt, gebruikt u gebruikersinschrijving.

      • Wanneer apparaten zijn ingeschreven via gebruikersinschrijving, kunt u niet overschakelen naar apparaatinschrijving. Met gebruikersinschrijving kunt u een app niet van niet-beheerd naar beheerd overplaatsen. Gebruikers moeten de gebruikersinschrijving ongedaan maken en zich vervolgens opnieuw inschrijven bij apparaatinschrijving.

      • Als u apps installeert voordat het gebruikersinschrijvingsprofiel wordt toegepast, worden deze apps niet beveiligd of beheerd door het gebruikersinschrijvingsprofiel.

        Een gebruiker downloadt bijvoorbeeld de Outlook-app uit de Apple App Store. De app wordt automatisch geïnstalleerd op de gebruikerspartitie op het apparaat. De gebruiker configureert Outlook voor zijn/haar persoonlijke e-mail adres. Bij het configureren van het e-mailadres van de organisatie wordt de gebruiker geblokkeerd door voorwaardelijke toegang en wordt deze gevraagd om zich in te schrijven. Hij/zij schrijft zich in, waarna een gebruikersinschrijvingsprofiel wordt geïmplementeerd.

        Omdat de Outlook-app is geïnstalleerd vóór het gebruikersinschrijvingsprofiel, mislukt dit inschrijvingsprofiel. De Outlook-app kan niet worden beheerd omdat deze is geïnstalleerd en geconfigureerd in de gebruikerspartitie, niet op de werkpartitie. Gebruikers moeten de installatie van Outlook-app handmatig ongedaan maken.

        Nadat de installatie ongedaan is gemaakt, kunnen gebruikers het apparaat handmatig synchroniseren en het gebruikersinschrijvingsprofiel mogelijk opnieuw toepassen. Het is ook mogelijk dat u een app-configuratiebeleid moet maken om Outlook te implementeren, en hiervan een vereiste app maakt. Implementeer vervolgens een app-beveiligingsbeleid om de app en de bijbehorende gegevens te beveiligen.

  • Wijs het inschrijvingsprofiel toe aan gebruikersgroepen. Wijs dit niet toe aan apparaatgroepen.

Eindgebruikerstaken bij gebruiker- en apparaatinschrijving

Uw gebruikers moeten de volgende stappen uitvoeren. Zie Het apparaat inschrijven voor de specifieke gebruikerservaring.

  1. Ga naar de Apple App Store en installeer de Intune-bedrijfsportal-app.

  2. Open de Bedrijfsportal-app en meld u aan met de aanmeldingsgegevens van uw organisatie (user@contoso.com). Nadat zij zich hebben aangemeld, is uw inschrijvingsprofiel van toepassing op het apparaat.

    Gebruikers moeten mogelijk meer informatie invoeren. Zie Het apparaat inschrijven voor meer specifieke stappen.

Doorgaans willen gebruikers liever niet zichzelf inschrijven, en mogelijk zijn ze niet bekend met de Bedrijfsportal-app. Zorg ervoor dat u richtlijnen verstrekt, waaronder de informatie die moet worden ingevoerd. Zie voor een aantal richtlijnen voor het communiceren met uw gebruikers Planningsgids: Taak 5: Een implementatieplan ontwikkelen.

Tip

Er is een korte stapsgewijse video om uw gebruikers te helpen hun apparaten in te schrijven bij Intune:

Uw iOS-/iPadOS-apparaten inschrijven

Volgende stappen