Zelfstudie: Microsoft Intune-inschrijving instellen voor iOS-/iPadOS-apparaten in Apple Business Manager

Gebruik Apple Business Manager met Microsoft Intune om apparaatinschrijving te vereenvoudigen en te automatiseren voor iOS-/iPadOS-apparaten die zijn aangeschaft via Apple Business Manager. Geautomatiseerde apparaatinschrijving, die we in deze zelfstudie gaan instellen, maakt beveiligde automatische inschrijving mogelijk wanneer de gebruiker het apparaat de eerste keer inschakelt door het inschrijvingsprofiel via de air te implementeren op het apparaat.

In deze zelfstudie leert u het volgende:

• Een Apple-apparaatinschrijvingstoken ophalen
• Beheerde apparaten synchroniseren met Intune
• Een inschrijvingsprofiel maken
• Het inschrijvingsprofiel toewijzen aan apparaten

Aan het einde van deze zelfstudie kunnen apparaten worden gedistribueerd voor inschrijving.

Vereisten

• Mdm-instantie (Mobile Device Management) instellen.
• Apple MDM-pushcertificaat ophalen.
• Nieuwe of gewiste apparaten laten aanschaffen bij Apple Business Manager.
• Voeg aankoopgegevens toe onder instellingen voor apparaatbeheer in Apple Business Manager.

Als u geen Intune-abonnement hebt, meldt u zich aan voor een gratis proefaccount.

Stap 1: MDM-server toevoegen

Maak een MDM-serverprofiel voor Microsoft Intune in Apple Business Manager. Met het token dat u in deze stap downloadt, wordt de verbinding tussen Microsoft Intune en Apple Business Manager in een latere stap ingeschakeld.

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Ga naar Apparaten>iOS/iPadOS>iOS/iPadOS-inschrijving.

3. Selecteer Tokens voor het inschrijvingsprogramma.

4. Kies Toevoegen.

5. Selecteer Ik ga akkoord om Microsoft toestemming te geven om gebruikers- en apparaatgegevens naar Apple te verzenden.

6. Selecteer Uw openbare sleutel downloaden om het openbare sleutelcertificaat van de server (een PEM-bestand) te downloaden naar uw lokale station.

7. Selecteer Een token maken via Apple Business Manager en meld u aan bij Apple Business Manager met de Apple ID van uw bedrijf.

   Belangrijk

   Sluit het browsertabblad niet met Microsoft Intune terwijl u Apple Business Manager gebruikt. U komt er later op terug.

8. Voeg een MDM-server met de naam TestMDMServer toe en download het servertoken hiervoor in Apple Business Manager. Zie Koppelen met een MDM-server van derden (apple Business Manager-gebruikershandleiding wordt geopend) voor meer informatie en instructies. Sla het servertoken lokaal op als een P7M-bestand (.p7m). Ga vervolgens verder met Stap 2: Apparaten toewijzen.

Stap 2: Apparaten toewijzen

Terwijl u in Apple Business Manager werkt, wijst u apparaten toe aan uw nieuwe MDM-server (TestMDMServer of hoe u het ook hebt genoemd). Zie Apparaten toewijzen, opnieuw toewijzen of de toewijzing opheffen in Apple Business Manager (gebruikershandleiding voor Apple Business Manager) voor meer informatie en instructies. Wanneer u klaar bent met het toewijzen van apparaten, gaat u verder met Stap 3: MDM-servertoken uploaden.

Stap 3: MDM-servertoken uploaden

Ga terug naar het Microsoft Intune-beheercentrum om het MDM-servertoken te uploaden naar Intune. Nadat u het token hebt geüpload, kunt Microsoft Intune iOS-/iPadOS-apparaten synchroniseren en inschrijven die zijn toegewezen aan TestMDMServer.

1. Voer voor Apple ID de Apple-id in die u hebt gebruikt om het token te maken.
2. Upload onder Apple-token het servertoken dat u eerder hebt opgeslagen. Het bestand moet de P7M-indeling hebben.
3. Selecteer Volgende.
4. U kunt desgewenst bereiktags toepassen op het inschrijvingstoken om te voorkomen dat andere beheerders toegang krijgen tot het token of er wijzigingen in aanbrengen. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.
5. Selecteer Volgende.
6. Selecteer bij Beoordelen en makende optie Maken om het koppelen van Microsoft Intune en Apple Business Manager te voltooien.

Microsoft Intune wordt automatisch gesynchroniseerd met Apple Business Manager. Het kan tot 12 uur duren voordat apparaten worden weergegeven in het beheercentrum. U kunt wachten tot deze apparaten zijn gesynchroniseerd of de synchronisatie handmatig starten. Als u de synchronisatie zelf wilt starten, selecteert u uw token in de lijst in het beheercentrum en kiest u vervolgens Apparaten>synchroniseren.

Stap 4: Een Apple-inschrijvingsprofiel maken

Maak een inschrijvingsprofiel voor iOS-/iPadOS-apparaten in bedrijfseigendom. Met een inschrijvingsprofiel voor apparaten worden de instellingen gedefinieerd die worden toegepast op een groep apparaten tijdens de inschrijving.

1. Selecteer uw token in het beheercentrum en kies> profielenProfiel maken>iOS/iPadOS.

2. Voer op de pagina BasisbeginselenTestProfile in voor Naam en ADE testen voor iOS-/iPadOS-apparaten voor Beschrijving. Gebruikers zien deze details niet.

3. Selecteer Volgende.

4. Bepaal op de pagina Beheerinstellingen of u uw apparaten wilt inschrijven met of zonder gebruikersaffiniteit. Gebruikersaffiniteit is ontworpen voor apparaten die door bepaalde gebruikers worden gebruikt. Als uw gebruikers de Bedrijfsportal willen gebruiken voor services zoals het installeren van apps, kiest u Inschrijven met gebruikersaffiniteit. Als uw gebruikers de Bedrijfsportal niet nodig hebben of als u het apparaat voor veel gebruikers wilt inrichten, kiest u Inschrijven zonder gebruikersaffiniteit.

5. Als u ervoor kiest om u in te schrijven met Gebruikersaffiniteit, wordt de optie Selecteren waar gebruikers moeten verifiëren weergegeven. Bepaal of u zich wilt verifiëren met Bedrijfsportal of Apple Setup Assistant.

   • Bedrijfsportal: selecteer deze optie om Multi-Factor Authentication te gebruiken, gebruikers toe te staan wachtwoorden te wijzigen bij de eerste aanmelding of om gebruikers te vragen hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving. Als u wilt dat de Bedrijfsportal-toepassing automatisch wordt bijgewerkt op de apparaten van eindgebruikers, implementeert u de Bedrijfsportal afzonderlijk als een vereiste app voor deze gebruikers via het Volume Purchasing Program (VPP) van Apple.
   • Configuratieassistent: selecteer deze optie om de door Apple verstrekte basis-HTTP-verificatie via Apple Setup Assistant te gebruiken

6. Als u ervoor kiest om u in te schrijven met Gebruikersaffiniteit en Verifiëren met Bedrijfsportal, wordt de optie Installeren Bedrijfsportal met VPP weergegeven. Als u de Bedrijfsportal installeert met een VPP-token, hoeft uw gebruiker geen Apple ID en wachtwoord in te voeren om de Bedrijfsportal te downloaden uit de App Store tijdens de inschrijving. Kies Token gebruiken: onder Bedrijfsportal installeren met VPP om een VPP-token te selecteren waarvoor gratis licenties van de Bedrijfsportal beschikbaar zijn. Als u VPP niet wilt gebruiken om de Bedrijfsportal te implementeren, kiest u VPP niet gebruiken.

7. Als u ervoor kiest om u in te schrijven met Gebruikersaffiniteit, Verifiëren met Bedrijfsportal en Bedrijfsportal installeren met VPP, besluit u of u de Bedrijfsportal in de modus voor één app wilt uitvoeren tot verificatie. Met deze instelling kunt u ervoor zorgen dat de gebruiker geen toegang heeft tot andere apps totdat de bedrijfsinschrijving is voltooid. Als u de gebruiker wilt beperken tot deze stroom totdat de inschrijving is voltooid, kiest u Ja onder Uitvoeren Bedrijfsportal in modus voor één app totdat de verificatie is voltooid.

8. Kies onder Apparaatbeheer Instellingende optie Ja onder Supervisie (als u Inschrijven met gebruikersaffiniteit hebt gekozen, wordt dit automatisch ingesteld op Ja). Apparaten onder supervisie bieden u de meeste beheeropties voor uw zakelijke iOS-/iPadOS-apparaten.

9. Kies Ja onder Vergrendelde inschrijving om ervoor te zorgen dat uw gebruikers het beheer van het bedrijfsapparaat niet kunnen verwijderen.

10. Kies een optie onder Synchroniseren met computers om te bepalen of de iOS-/iPadOS-apparaten kunnen worden gesynchroniseerd met computers.

11. Apple noemt het apparaat standaard met het apparaattype, zoals iPad. Als u een andere naamsjabloon wilt opgeven, kiest u Ja onder Sjabloon voor apparaatnaam toepassen. Voer de naam in die u wilt toepassen op de apparaten, waarbij de tekenreeksen {{SERIAL}} en {{DEVICETYPE}} het serienummer en het apparaattype van elk apparaat vervangen. Kies anders Nee onder Apparaatnaamsjabloon toepassen.

12. Kies Volgende.

13. Op de pagina Configuratieassistent , afdeling Zelfstudie voor Afdelingsnaam. Deze tekenreeks is wat gebruikers zien wanneer ze tijdens het activeren van het apparaat op Over configuratie tikken.

14. Voer onder Afdelingstelefoon een telefoonnummer in. Dit nummer wordt weergegeven wanneer gebruikers tijdens de activering op de knop Hulp nodig tikken.

15. U kunt verschillende schermen weergeven of verbergen tijdens het activeren van het apparaat. Voor de meest naadloze registratie-ervaring stelt u alle schermen in op Verbergen.

16. Kies Volgende om naar de pagina Controleren en maken te gaan. Selecteer Maken.

Stap 5: een inschrijvingsprofiel toewijzen aan iOS-/iPadOS-apparaten

U moet een profiel voor een inschrijvingsprogramma aan apparaten toewijzen voordat deze kunnen worden ingeschreven. Deze apparaten worden vanuit Apple gesynchroniseerd met Intune en moeten worden toegewezen aan het juiste MDM-servertoken in de ABM-, ASM- of ADE-portal.

1. Kies in het beheercentrum uw token in de lijst.
2. Selecteer Apparaten en kies de apparaten die u wilt toewijzen.
3. Selecteer Profiel toewijzen.
4. Kies onder Profiel toewijzen een profiel voor de apparaten >Toewijzen.

Opmerking

Zorg ervoor dat apparaattypebeperkingen onder Inschrijvingsbeperkingen niet het standaardbeleid Alle gebruikers heeft ingesteld om het iOS-/iPadOS-platform te blokkeren. Deze instelling zorgt ervoor dat automatische inschrijving mislukt en uw apparaat wordt weergegeven als Ongeldig profiel, ongeacht de gebruikersverklaring. Als u alleen inschrijving wilt toestaan door apparaten die door het bedrijf worden beheerd, blokkeert u alleen apparaten in persoonlijk eigendom, waardoor bedrijfsapparaten kunnen worden ingeschreven. Microsoft definieert een bedrijfsapparaat als een apparaat dat is ingeschreven via een Device Enrollment Program of een apparaat dat handmatig wordt ingevoerd onder Bedrijfsapparaat-id's.

Stap 6: apparaten distribueren naar gebruikers

U hebt beheer en synchronisatie tussen Apple en Intune ingesteld en een profiel toegewezen om uw ADE-apparaten in te schrijven. De apparaten kunnen nu worden gedistribueerd aan de gebruikers. Voor apparaten met gebruikersaffiniteit moet aan elke gebruiker een Intune-licentie worden toegewezen.

Volgende stappen

U vindt meer informatie over andere opties die beschikbaar zijn voor het inschrijven van iOS-/iPadOS-apparaten.

Technische documenten voor geautomatiseerde apparaatinschrijving voor iOS/iPadOS