Configurações de dispositivo iOS e iPadOS para usar recursos comuns do iOS/iPadOS em Intune

Observação

Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.

Intune inclui algumas configurações internas para permitir que usuários iOS/iPadOS usem diferentes recursos da Apple em seus dispositivos. Por exemplo, você pode controlar impressoras AirPrint, adicionar aplicativos e pastas às páginas de encaixe e tela inicial, mostrar notificações do aplicativo, mostrar detalhes da marca de ativo na tela de bloqueio, usar autenticação de logon único e usar autenticação de certificado.

Esse recurso aplica-se a:

• iOS/iPadOS

Use esses recursos para controlar dispositivos iOS/iPadOS como parte da solução MDM (gerenciamento de dispositivo móvel).

Este artigo lista essas configurações e descreve o que cada configuração faz. Para obter mais informações sobre esses recursos, acesse Adicionar configurações de recursos do dispositivo iOS/iPadOS ou macOS.

Antes de começar

Crie um perfil de configuração de recursos de dispositivo iOS/iPadOS.

Observação

Essas configurações se aplicam a diferentes tipos de registro, com algumas configurações se aplicando a todas as opções de registro. Para obter mais informações sobre os diferentes tipos de registro, acesse registro iOS/iPadOS.

Airprint

As configurações se aplicam a: Todos os tipos de registro

Observação

Certifique-se de adicionar todas as impressoras ao mesmo perfil. A Apple impede que vários perfis do AirPrint direcionem o mesmo dispositivo.

• Endereço IP: insira o endereço IPv4 ou IPv6 da impressora. Se você usar nomes de host para identificar impressoras, poderá obter o endereço IP pingando a impressora no terminal. Obter o endereço IP e o caminho (neste artigo) fornece mais detalhes.

• Caminho do recurso: o caminho normalmente ipp/print é para impressoras em sua rede. Obter o endereço IP e o caminho (neste artigo) fornece mais detalhes.

• Porta: insira a porta de escuta do destino AirPrint. Se você deixar essa propriedade em branco, o AirPrint usará a porta padrão.

  Esse recurso aplica-se a:

  • iOS 11.0+
  • iPadOS 13.0+

• Force TLS: Desabilitar (padrão) não protege conexões airprint com TLS. Habilitar conexões airprint seguras com o TLS (Transport Layer Security).

  Esse recurso aplica-se a:

  • iOS 11.0+
  • iPadOS 13.0+

Para adicionar servidores AirPrint, você pode:

• Insira detalhes da impressora para adicionar um destino AirPrint à lista. Muitos servidores AirPrint podem ser adicionados.
• Importe um arquivo separado por vírgulas (.csv) com essas informações. Ou exportar para criar uma lista dos servidores AirPrint adicionados.

Obter endereço IP do servidor, caminho do recurso e porta

Para adicionar servidores AirPrinter, você precisa do endereço IP da impressora, do caminho do recurso e da porta. As etapas a seguir mostram como obter essas informações.

1. Em um Mac que se conecta à mesma rede local (sub-rede) que as impressoras AirPrint, abra o aplicativo Terminal (de /Aplicativos/Utilitários).

2. No aplicativo Terminal, insira ippfinde selecione inserir.

   Observe as informações da impressora. Por exemplo, ele pode retornar algo como ipp://myprinter.local.:631/ipp/port1. A primeira parte é o nome da impressora. A última parte (ipp/port1) é o caminho do recurso.

3. No aplicativo Terminal, insira ping myprinter.locale selecione inserir.

   Observe o endereço IP. Por exemplo, ele pode retornar algo como PING myprinter.local (10.50.25.21).

4. Use os valores de endereço IP e caminho de recurso. Neste exemplo, o endereço IP é 10.50.25.21, e o caminho do recurso é /ipp/port1.

Layout da tela inicial

Esse recurso aplica-se a:

• iOS 9.3 ou mais recente
• iPadOS 13.0 e versões mais recentes
• Registro automatizado de dispositivo (supervisionado)

O que você precisa saber

• Adicione apenas um aplicativo uma vez ao dock, página, pasta em uma página ou pasta no dock. A adição do mesmo aplicativo em dois lugares impede que o aplicativo seja exibido em dispositivos e pode mostrar erros de relatório.

  Por exemplo, se você adicionar o aplicativo de câmera a um dock e a uma página, o aplicativo de câmera não será mostrado e os relatórios poderão mostrar um erro para a política. Para adicionar o aplicativo de câmera ao layout da tela inicial, escolha apenas o dock ou uma página, não ambos.

• Quando você aplica um layout de tela inicial, ele substitui qualquer layout definido pelo usuário. Portanto, recomendamos que você use layouts de tela inicial em dispositivos sem usuário.

• Você pode ter aplicativos pré-existentes instalados no dispositivo que não estão incluídos na configuração do layout da tela inicial. Esses aplicativos são mostrados em ordem alfabética após os aplicativos configurados.

• Quando você usa as configurações de grade da Tela Inicial para adicionar páginas ou adicionar páginas e aplicativos ao dock, os ícones na Tela Inicial e páginas são bloqueados. Eles não podem ser movidos ou excluídos. Esse comportamento pode ser por design com políticas iOS/iPadOS e MDM da Apple.

Tela inicial

Use esse recurso para adicionar aplicativos. E veja como esses aplicativos ficam em páginas, no dock e nas pastas. Ele também mostra os ícones do aplicativo. Aplicativos VPP (Programa de Compra de Volume), aplicativos de linha de negócios e aplicativos de link web (URLs de aplicativo Web) são preenchidos dos aplicativos cliente que você adiciona.

• Tamanho da grade: escolha um tamanho de grade apropriado para a tela inicial do dispositivo. Um aplicativo ou pasta ocupa um lugar na grade. Se o dispositivo de destino não der suporte ao tamanho selecionado, alguns aplicativos poderão não se encaixar e são enviados para a próxima posição disponível em uma nova página. Para referência:

  • O iPhone 5 dá suporte a 4 colunas x 5 linhas
  • iPhone 6 e posterior dão suporte a 4 colunas x 6 linhas
  • IPads dão suporte a 5 colunas x 6 linhas

• +: selecione o botão adicionar para adicionar aplicativos.

• Criar pasta ou adicionar aplicativos: adicionar um aplicativo ou uma pasta:

  • Aplicativo: selecione aplicativos existentes na lista. Essa opção adiciona aplicativos à tela inicial em dispositivos. Se você não tiver nenhum aplicativo, adicione aplicativos a Intune.

    Você também pode pesquisar aplicativos pelo nome do aplicativo, como authenticator ou drive. Ou pesquise pelo editor de aplicativos, como Microsoft ou Apple.

  • Pasta: adiciona uma pasta à tela inicial. Insira o nome da pasta e selecione aplicativos existentes na lista para ir na pasta. Esse nome da pasta é mostrado aos usuários em seus dispositivos.

    Você também pode pesquisar aplicativos pelo nome do aplicativo, como authenticator ou drive. Ou pesquise pelo editor de aplicativos, como Microsoft ou Apple.

    Os aplicativos são organizados da esquerda para a direita e na mesma ordem mostrada. Os aplicativos podem ser movidos para outras posições. Você só pode ter uma página em uma pasta. Como uma solução alternativa, adicione nove (9) ou mais aplicativos à pasta. Os aplicativos são movidos automaticamente para a próxima página. Você pode adicionar qualquer combinação de aplicativos VPP, links Web (aplicativos Web), aplicativos de loja, aplicativos de linha de negócios e aplicativos do sistema.

Doca

Adicione quatro (4) itens para iPhones e até seis (6) itens para iPads (aplicativos e pastas combinados) ao encaixe na tela. Muitos dispositivos dão suporte a menos itens. Por exemplo, os dispositivos iPhone dão suporte a até quatro itens. Portanto, apenas os quatro primeiros itens que você adiciona são mostrados.

• +: selecione o botão adicionar para adicionar aplicativos ou pastas ao dock.

• Criar pasta ou adicionar aplicativos: adicionar um aplicativo ou uma pasta:

  • Aplicativo: selecione aplicativos existentes na lista. Essa opção adiciona aplicativos ao dock na tela. Se você não tiver nenhum aplicativo, adicione aplicativos a Intune.

    Você também pode pesquisar aplicativos pelo nome do aplicativo, como authenticator ou drive. Ou pesquise pelo editor de aplicativos, como Microsoft ou Apple.

  • Pasta: adiciona uma pasta ao encaixe na tela. Insira o nome da pasta e selecione aplicativos existentes na lista para ir na pasta. Esse nome da pasta é mostrado aos usuários em seus dispositivos.

    Você também pode pesquisar aplicativos pelo nome do aplicativo, como authenticator ou drive. Ou pesquise pelo editor de aplicativos, como Microsoft ou Apple.

    Os aplicativos são organizados da esquerda para a direita e na mesma ordem mostrada. Os aplicativos podem ser movidos para outras posições. Se você adicionar mais aplicativos do que pode caber em uma página, os aplicativos serão movidos automaticamente para outra página. Você pode adicionar até 20 páginas em uma pasta no dock. Você pode adicionar qualquer combinação de aplicativos VPP, links Web (aplicativos Web), aplicativos de loja, aplicativos de linha de negócios e aplicativos do sistema.

Exemplo

No exemplo a seguir, a tela do dock mostra os aplicativos Safari, Mail e Stocks. O aplicativo Stocks está selecionado para mostrar suas propriedades:

Quando você atribui a política a um iPhone, o dock é semelhante à seguinte imagem:

Notificações de aplicativos

As configurações se aplicam a: registro automatizado de dispositivo (supervisionado)

• Adicionar: adicionar notificações para aplicativos:

  

  • ID do pacote de aplicativos: insira a ID do Pacote de Aplicativos do aplicativo que você deseja adicionar. Consulte IDs de pacote para aplicativos iOS/iPadOS internos para alguns exemplos. Quando definido como Não configurado ou deixado em branco, Intune não altera nem atualiza essa configuração.

  • Nome do aplicativo: insira o nome do aplicativo que você deseja adicionar. Esse nome é usado para sua referência no centro de administração Microsoft Intune. Ele não é mostrado em dispositivos. Quando definido como Não configurado ou deixado em branco, Intune não altera nem atualiza essa configuração.

  • Publicador: insira o editor do aplicativo que você está adicionando. Esse nome é usado para sua referência no centro de administração Microsoft Intune. Ele não é mostrado em dispositivos. Quando definido como Não configurado ou deixado em branco, Intune não altera nem atualiza essa configuração.

  • Notificações: habilitar ou desabilitar o aplicativo do envio de notificações para dispositivos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

    Quando definido como Habilitar, também configure:

    • Mostrar no centro de notificações: habilitar permite que o aplicativo mostre notificações na Central de Notificação do dispositivo. Desabilitar impede que o aplicativo mostre notificações na Central de Notificações. Quando definido como Não configurado ou deixado em branco, Intune não altera nem atualiza essa configuração.

    • Mostrar na Tela de Bloqueio: Habilitar mostra as notificações do aplicativo na tela de bloqueio do dispositivo. Desabilitar impede que o aplicativo mostre notificações na tela de bloqueio. Quando definido como Não configurado ou deixado em branco, Intune não altera nem atualiza essa configuração.

    • Tipo de alerta: quando os dispositivos são desbloqueados, escolha como a notificação é mostrada. Suas opções:

      • Nenhuma: nenhuma notificação é mostrada.
      • Banner: um banner é mostrado brevemente com a notificação. Essa configuração também pode ser conhecida como Banner Temporário.
      • Modal: a notificação é mostrada e os usuários devem descartá-la manualmente antes de continuar a usar o dispositivo. Essa configuração também pode ser conhecida como Banner Persistente.

    • Selo no ícone do aplicativo: Habilitar adiciona um selo ao ícone do aplicativo. O selo significa que o aplicativo enviou uma notificação. Desabilitar não adiciona um selo ao ícone do aplicativo. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

    • Habilitar sons: habilitar reproduz um som quando uma notificação é entregue. Desabilitar não reproduz um som quando uma notificação é entregue. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

    • Mostrar visualizações: mostra uma versão prévia das notificações recentes do aplicativo. Selecione quando mostrar a visualização. O valor escolhido substitui o valor configurado pelo usuário no dispositivo (Configurações > Notificações > Mostram Visualizações). Suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração.
      • Quando desbloqueado: a visualização só mostra quando o dispositivo é desbloqueado.
      • Sempre: a visualização sempre é exibida na tela de bloqueio.
      • Nunca: a versão prévia nunca é exibida.

      Esse recurso aplica-se a:

      • iOS/iPadOS 14.0 e mais recente

Mensagem da tela de bloqueio

Esse recurso aplica-se a:

• iOS 9.3 e posterior
• iPadOS 13.0 e versões mais recentes

As configurações se aplicam a: registro automatizado de dispositivo (supervisionado)

• "Se perdido, volte para..." Mensagem: se os dispositivos forem perdidos ou roubados, insira uma nota que possa ajudar a obter o dispositivo retornado se encontrado. Você pode inserir qualquer texto desejado. Por exemplo, insira algo como If found, call Contoso at ....

  O texto inserido é mostrado na janela de entrada e na tela de bloqueio em dispositivos.

• Informações de marca de ativo: insira informações sobre a marca de ativo do dispositivo. Por exemplo, insira Owned by Contoso Corp ou Serial Number: {{serialnumber}}.

  Tokens de dispositivo também podem ser usados para adicionar informações específicas do dispositivo a esses campos. Por exemplo, para mostrar o número de série, insira Serial Number: {{serialnumber}} ou Device ID: {{DEVICEID}}. Na tela de bloqueio, o texto mostra semelhante a Serial Number 123456789ABC. Ao inserir variáveis, use colchetes {{ }}encaracolados .

  Há suporte para as seguintes variáveis de informações do dispositivo. As variáveis não são validadas na interface do usuário e são sensíveis a casos. Se você inserir uma variável incorreta, poderá ver perfis salvos com entrada incorreta. Por exemplo, se você inserir {{DeviceID}} em vez de {{deviceid}} ou {{DEVICEID}}, a cadeia de caracteres literal será mostrada em vez da ID exclusiva do dispositivo. Insira as informações corretas. Todas as variáveis minúsculas ou todas as maiúsculas têm suporte, mas não uma mistura.

  • {{AADDeviceId}}: Microsoft Entra ID do dispositivo
  • {{AccountId}}: Intune ID do locatário ou ID da conta
  • {{AccountName}}: Intune nome do locatário ou nome da conta
  • {{AppleId}}: ID da Apple do usuário
  • {{Department}}: Departamento atribuído durante o Assistente de Instalação
  • {{DeviceId}}: Intune ID do dispositivo
  • {{DeviceName}}: Intune nome do dispositivo
  • {{domain}}: Nome do domínio
  • {{EASID}}: ID do Exchange Active Sync
  • {{EDUUserType}}: tipo de usuário
  • {{IMEI}}: IMEI do dispositivo
  • {{mail}}: Email endereço do usuário
  • {{ManagedAppleId}}: ID da Apple gerenciada do usuário
  • {{MEID}}: MEID do dispositivo
  • {{partialUPN}}: prefixo UPN antes do símbolo @
  • {{SearchableDeviceKey}}: ID da chave NGC
  • {{SerialNumber}}: número de série do dispositivo
  • {{SerialNumberLast4Digits}}: últimos 4 dígitos do número de série do dispositivo
  • {{SIGNEDDEVICEID}}: Blob de ID do dispositivo atribuído ao cliente durante Portal da Empresa registro
  • {{SignedDeviceIdWithUserId}}: Blob de ID do dispositivo atribuído ao cliente com afinidade de usuário durante o Assistente de Instalação da Apple
  • {{UDID}}: UDID do dispositivo
  • {{UDIDLast4Digits}}: últimos 4 dígitos do dispositivo UDID
  • {{UserId}}: Intune ID do usuário
  • {{UserName}}: Nome de usuário
  • {{userPrincipalName}}: UPN do usuário

Logon único

As configurações se aplicam a: Registro de dispositivo, registro automatizado de dispositivo (supervisionado)

• Microsoft Entra atributo de nome de usuário: Intune procura esse atributo para cada usuário no Microsoft Entra ID. Intune então popula o respectivo campo (como o UPN) antes de gerar o XML instalado em dispositivos. Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional solicita aos usuários um nome de entidade Kerberos quando o perfil é implantado em dispositivos. Um nome principal é necessário para que MDMs instalem perfis SSO.

  • Nome da entidade de usuário: o UPN (nome da entidade de usuário) é analisado da seguinte maneira:

    

    Você também pode substituir o reino com o texto inserido na caixa de texto Realm .

    Por exemplo, a Contoso tem várias regiões, incluindo Europa, Ásia e América do Norte. A Contoso quer que seus usuários asiáticos usem o SSO e o aplicativo requer o UPN no username@asia.contoso.com formato. Quando você seleciona Nome da Entidade de Usuário, o reino para cada usuário é retirado de Microsoft Entra ID, que é contoso.com. Portanto, para usuários na Ásia, selecione Nome da Entidade de Usuário e insira asia.contoso.com. O UPN do usuário se torna username@asia.contoso.com, em vez de username@contoso.com.

  • Intune ID do dispositivo: Intune seleciona automaticamente a ID do dispositivo Intune. Por padrão:

    • Os aplicativos só precisam usar a ID do dispositivo. Mas se o aplicativo usar o reino e a ID do dispositivo, você poderá inserir o reino na caixa de texto Realm .
    • Se você usar a ID do dispositivo, mantenha o reino vazio.

  • Azure AD ID do dispositivo: A ID do dispositivo Microsoft Entra

  • Nome da conta SAM: Intune preenche o nome da conta SAM (Gerenciador de Contas de Segurança) local.

• Realm: insira a parte de domínio da URL. Por exemplo, digite contoso.com.

• URLs: adicione todas as URLs em sua organização que exijam autenticação de SSO (logon único) do usuário.

  Por exemplo, quando um usuário se conecta a qualquer um desses sites, o dispositivo iOS/iPadOS usa as credenciais SSO. Os usuários não precisam inserir credenciais novamente. Se a MFA (autenticação multifator) estiver habilitada, os usuários serão obrigados a inserir a segunda autenticação.

  Também:

  • Essas URLs devem ser formatadas corretamente FQDN. A Apple exige que as URLs estejam no http://<yourURL.domain> formato.

  • Os padrões de correspondência de URL devem começar com http:// ou https://. Uma correspondência de cadeia de caracteres simples é executada, para que o http://www.contoso.com/ prefixo de URL não corresponda http://www.contoso.com:80/. Com o iOS 10.0+ e o iPadOS 13.0+, um único curinga * pode ser usado para inserir todos os valores correspondentes. Por exemplo, http://*.contoso.com/ corresponde a ambos http://store.contoso.com/ e http://www.contoso.com.

    Os http://.com padrões e https://.com correspondem a todas as URLs HTTP e HTTPS, respectivamente.

• Aplicativos: adicionar aplicativos em dispositivos de usuários que podem usar logon único.

  A AppIdentifierMatches matriz deve incluir cadeias de caracteres que correspondam às IDs do pacote de aplicativo. Essas cadeias de caracteres podem ser correspondências exatas, como com.contoso.myapp, ou inserir uma correspondência de prefixo na ID do pacote usando o * caractere curinga. O caractere curinga deve aparecer após um caractere de período (.) e pode aparecer apenas uma vez, no final da cadeia de caracteres, como com.contoso.*. Quando um curinga é incluído, qualquer aplicativo cuja ID do pacote começa com o prefixo recebe acesso à conta.

  Use o Nome do Aplicativo para inserir um nome amigável ao usuário para ajudar você a identificar a ID do pacote.

• Certificado de renovação de credencial: se usar certificados para autenticação (não senhas), selecione o certificado SCEP ou PFX existente como o certificado de autenticação. Normalmente, esse certificado é o mesmo certificado implantado para usuários de outros perfis, como VPN, Wi-Fi ou email.

Filtro de conteúdo da Web

As configurações se aplicam a: registro automatizado de dispositivo (supervisionado)

Essas configurações usam as configurações do Filtro de Conteúdo Web da Apple. Para obter mais informações sobre essas configurações, acesse o site de Implantação de Plataforma da Apple (abre o site da Apple).

• Tipo de filtro: escolha permitir sites específicos. Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração.

  • Configurar URLs: use o filtro web interno da Apple que procura termos adultos, incluindo palavrões e linguagem sexualmente explícita. Esse recurso avalia cada página da Web à medida que é carregada e identifica e bloqueia conteúdo inadequado. Você também pode adicionar URLs que você não deseja verificar pelo filtro. Ou bloqueie URLs específicas, independentemente das configurações de filtro da Apple.

    • URLs permitidas: adicione as URLs que você deseja permitir. Essas URLs ignoram o filtro web da Apple.

      As URLs inseridas são as URLs que você não deseja avaliar pelo filtro Web da Apple. Essas URLs não são uma lista de sites permitidos. Para criar uma lista de sites permitidos, defina o Tipo de Filtroapenas como Sites específicos.

    • URLs bloqueadas: adicione as URLs que você deseja impedir de abrir, independentemente das configurações do filtro da Web da Apple.

  • Somente sites específicos (somente para navegador da Web Safari): essas URLs são adicionadas aos indicadores do navegador Safari. Os usuários só podem visitar esses sites; nenhum outro site pode ser aberto. Use essa opção somente se você souber a lista exata de URLs que os usuários podem acessar.

    • URL: insira a URL do site que você deseja permitir. Por exemplo, digite https://www.contoso.com.
    • Caminho do indicador: a Apple alterou essa configuração. Todos os indicadores vão para a pasta Sites Permitidos . Os indicadores não entram no caminho do indicador que você insere.
    • Título: insira um título descritivo para o indicador.

    Se você não inserir urls, os usuários não poderão acessar nenhum site, exceto microsoft.com, microsoft.nete apple.com. Intune permite automaticamente essas URLs.

Extensão do aplicativo de logon único

Esse recurso aplica-se a:

• iOS 13.0 e posterior
• iPadOS 13.0 e posterior

As configurações se aplicam a: Todos os tipos de registro

• Tipo de extensão de aplicativo SSO: escolha o tipo de extensão de aplicativo SSO. Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional não usa extensões de aplicativo. Para desabilitar uma extensão de aplicativo, você pode alternar o tipo de extensão de aplicativo SSO para Não configurado.

  • Microsoft Entra ID: usa o plug-in Microsoft Entra ID Enterprise SSO, que é uma extensão de aplicativo SSO do tipo redirecionamento. Esse plug-in fornece SSO para contas Active Directory local em todos os aplicativos que dão suporte ao recurso de logon único enterprise da Apple. Use esse tipo de extensão de aplicativo SSO para habilitar o SSO em aplicativos da Microsoft, aplicativos de organização e sites que se autenticam usando Microsoft Entra ID.

    O plug-in do SSO atua como um agente avançado de autenticação que oferece melhorias de segurança e experiência do usuário. Todos os aplicativos que usam o aplicativo Microsoft Authenticator para autenticação continuam a obter SSO com o plug-in do Microsoft Enterprise SSO para dispositivos Apple.

    Importante

    Para obter o SSO com o tipo de extensão de aplicativo SSO Microsoft Entra, primeiro instale o aplicativo iOS/iPadOS Microsoft Authenticator em dispositivos. O aplicativo Authenticator fornece o plug-in do Microsoft Enterprise SSO para dispositivos e as configurações de extensão de aplicativo SSO do MDM ativam o plug-in. Depois que o Authenticator e o perfil de extensão do aplicativo SSO forem instalados em dispositivos, os usuários devem inserir suas credenciais para entrar e estabelecer uma sessão em seus dispositivos. Essa sessão é usada em diferentes aplicativos sem exigir que os usuários se autentiquem novamente. Para obter mais informações sobre o Authenticator, acesse O que é o aplicativo Microsoft Authenticator.

    Para obter mais informações, acesse Usar o plug-in do Microsoft Enterprise SSO em dispositivos iOS/iPadOS.

  • Redirecionamento: use uma extensão de aplicativo de redirecionamento genérico e personalizável para usar o SSO com fluxos de autenticação modernos. Certifique-se de saber a ID de extensão para a extensão de aplicativo da sua organização.

  • Credencial: use uma extensão de aplicativo de credencial genérica e personalizável para usar o SSO com fluxos de autenticação de desafio e resposta. Certifique-se de saber a ID de extensão para a extensão de aplicativo da sua organização.

  • Kerberos: use a extensão kerberos interna da Apple, que está incluída no iOS 13.0+ e no iPadOS 13.0+. Essa opção é uma versão específica do Kerberos da extensão do aplicativo Credential .

  Dica

  Com os tipos redirecionamento e credencial , você adiciona seus próprios valores de configuração para passar pela extensão. Se você estiver usando a Credencial, considere usar configurações internas fornecidas pela Apple no tipo Kerberos .

  Depois que os usuários entrarem com êxito no aplicativo Authenticator, eles não são solicitados a entrar em outros aplicativos que usam a extensão SSO. Na primeira vez que os usuários abrem aplicativos gerenciados que não usam a extensão SSO, os usuários são solicitados a selecionar a conta que está conectado.

• Habilitar o modo de dispositivo compartilhado (somente Microsoft Entra ID): escolha Sim se você estiver implantando o plug-in do Microsoft Enterprise SSO em dispositivos iOS/iPadOS configurados para Microsoft Entra recurso de modo de dispositivo compartilhado. Dispositivos no modo compartilhado permitem que muitos usuários entrem e saiam globalmente de aplicativos que dão suporte ao modo de dispositivo compartilhado. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração. Por padrão, os dispositivos iOS/iPadOS não devem ser compartilhados entre vários usuários.

  Para obter mais informações sobre o modo de dispositivo compartilhado e como habilitá-lo, acesse Visão geral do modo de dispositivo compartilhado e modo de dispositivo compartilhado para dispositivos iOS.

  Esse recurso aplica-se a:

  • iOS/iPadOS 13.5 e mais recente

• ID de extensão (redirecionamento e credencial): insira o identificador de pacote que identifica sua extensão de aplicativo SSO, como com.apple.extensiblesso.

• ID da equipe (Redirecionamento e Credencial): insira o identificador de equipe da extensão do aplicativo SSO. Um identificador de equipe é uma cadeia de caracteres alfanumérica de 10 caracteres (números e letras) gerada pela Apple, como ABCDE12345. A ID da equipe não é necessária.

  Localizar sua ID da Equipe (abre o site da Apple) tem mais informações.

• Realm (Credential e Kerberos): insira o nome do seu reino de autenticação. O nome do reino deve ser capitalizado, como CONTOSO.COM. Normalmente, seu nome de reino é o mesmo que seu nome de domínio DNS, mas em todas as maiúsculas.

• Domínios (Credencial e Kerberos): insira os nomes de domínio ou host dos sites que podem ser autenticados por meio do SSO. Por exemplo, se o site for mysite.contoso.com, o mysite nome do host será e .contoso.com o nome do domínio. Quando os usuários se conectam a qualquer um desses sites, a extensão do aplicativo lida com o desafio de autenticação. Essa autenticação permite que os usuários usem a ID facial, a ID do Toque ou a senha/senha da Apple para entrar.

  • Todos os domínios em sua extensão de aplicativo de logon único Intune perfis devem ser exclusivos. Você não pode repetir um domínio em nenhum perfil de extensão de aplicativo de logon, mesmo que esteja usando diferentes tipos de extensões de aplicativo SSO.
  • Esses domínios não são sensíveis a casos.
  • O domínio deve começar com um período (.).

• URLs (somente redirecionamento): insira os prefixos de URL de seus provedores de identidade em cujo nome a extensão do aplicativo de redirecionamento usa SSO. Quando os usuários são redirecionados para essas URLs, a extensão do aplicativo SSO intervém e solicita o SSO.

  • Todas as URLs em seu Intune perfis de extensão de aplicativo de logon único devem ser exclusivas. Você não pode repetir um domínio em nenhum perfil de extensão de aplicativo SSO, mesmo que esteja usando diferentes tipos de extensões de aplicativo SSO.
  • As URLs devem começar com http:// ou https://.

• Configuração adicional (Microsoft Entra ID, Redirecionamento e Credencial): insira mais dados específicos da extensão para passar para a extensão do aplicativo SSO:

  • Chave: insira o nome do item que você deseja adicionar, como user name ou AppAllowList.

  • Tipo: insira o tipo de dados. Suas opções:

    • Cadeia de caracteres
    • Boolean: no valor de configuração, insira True ou False.
    • Inteiro: no valor de configuração, insira um número.

  • Valor: insira os dados.

  • Adicionar: selecione para adicionar suas chaves de configuração.

• Bloquear keychain uso (somente Kerberos): Sim impede que senhas sejam salvas e armazenadas no keychain. Se bloqueado, os usuários não serão solicitados a salvar sua senha e precisam reentrada na senha quando o tíquete Kerberos expirar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que senhas sejam salvas e armazenadas no keychain. Os usuários não são solicitados a reentrada em sua senha quando o tíquete expirar.

• Exigir iD facial, ID de toque ou senha (somente Kerberos): Sim força os usuários a inserir sua ID facial, ID de toque ou senha do dispositivo quando a credencial for necessária para atualizar o tíquete Kerberos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir que os usuários usem a biometria ou a senha do dispositivo para atualizar o tíquete Kerberos. Se o uso do Keychain for bloqueado, essa configuração não se aplicará.

• Definir como realm padrão (somente Kerberos): Sim define o valor realm que você inseriu como o reino padrão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não definir um reino padrão.

  • Se você estiver configurando várias extensões de aplicativo SSO kerberos em sua organização, selecione Sim.
  • Se você estiver usando vários reinos, selecione Sim. Ele define o valor realm que você inseriu como o reino padrão.
  • Se você tiver apenas um reino, selecione Não configurado (padrão).

• Bloquear Autodiscover (somente Kerberos): Sim impede que a extensão Kerberos use automaticamente LDAP e DNS para determinar o nome do site do Active Directory. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

• Permitir apenas aplicativos gerenciados (somente Kerberos): quando definido como Sim, a extensão Kerberos permite apenas aplicativos gerenciados e todos os aplicativos inseridos com a ID do pacote de aplicativos para acessar a credencial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que aplicativos não gerenciados acessem a credencial.

  Esse recurso aplica-se a:

  • iOS/iPadOS 14 e mais recentes

• Nome da entidade (somente Kerberos): insira o nome de usuário da entidade Kerberos. Você não precisa incluir o nome do reino. Por exemplo, em user@contoso.com, user é o nome principal e contoso.com é o nome do reino.

  • Você também pode usar variáveis no nome principal inserindo colchetes {{ }}encaracolados . Por exemplo, para mostrar o nome de usuário, insira Username: {{username}}.
  • Tenha cuidado com a substituição de variável. As variáveis não são validadas na interface do usuário e são sensíveis a casos. Insira as informações corretas.

• Código do site do Active Directory (somente Kerberos): insira o nome do site do Active Directory que a extensão Kerberos deve usar. Talvez você não precise alterar esse valor, pois a extensão Kerberos pode localizar automaticamente o código do site do Active Directory.

• Nome do cache (somente Kerberos): insira o nome GSS (Generic Security Services) do cache Kerberos. Você provavelmente não precisa definir esse valor.

• Texto da janela de entrada (somente Kerberos): insira o texto mostrado aos usuários na janela de entrada Kerberos.

  Esse recurso aplica-se a:

  • iOS/iPadOS 14 e mais recentes

• IDs do pacote de aplicativos (Microsoft Entra ID, Kerberos): insira as IDs do pacote de quaisquer outros aplicativos que devem obter logon único por meio de uma extensão em seus dispositivos.

  Se você usar o tipo de extensão de aplicativo SSO Microsoft Entra ID, em seguida:

  • Esses aplicativos usam o plug-in do Microsoft Enterprise SSO para autenticar o usuário sem precisar de uma entrada.

  • As IDs do pacote de aplicativos inseridas têm permissão para usar a extensão de aplicativo SSO Microsoft Entra se não usarem bibliotecas da Microsoft, como a MSAL (Biblioteca de Autenticação da Microsoft).

    A experiência para esses aplicativos pode não ser tão perfeita em comparação com as bibliotecas da Microsoft. Aplicativos mais antigos que usam a autenticação MSAL ou aplicativos que não usam as bibliotecas mais recentes da Microsoft devem ser adicionados a essa lista para funcionar corretamente com a extensão de aplicativo SSO do Microsoft Azure.

  Se você usar o tipo de extensão de aplicativo SSO kerberos , esses aplicativos:

  • Ter acesso ao Tíquete de Concessão de Tíquete Kerberos
  • Ter acesso ao tíquete de autenticação
  • Autenticar usuários em serviços que eles estão autorizados a acessar

• Mapeamento de domínio (somente Kerberos): insira os sufixos DNS de domínio que devem ser mapeados para o seu reino. Use essa configuração quando os nomes DNS dos hosts não corresponderem ao nome do reino. Você provavelmente não precisa criar esse mapeamento personalizado de domínio para reino.

• Certificado PKINIT (somente Kerberos): selecione o certificado PKINIT (Criptografia de Chave Pública para Autenticação Inicial) que pode ser usado para autenticação Kerberos. Você pode escolher entre certificados PKCS ou SCEP que você adicionou no Intune.

  Para obter mais informações sobre certificados, acesse Usar certificados para autenticação no Microsoft Intune.

Papel de parede

Você pode experimentar um comportamento inesperado quando um perfil sem imagem é atribuído a dispositivos com uma imagem existente. Por exemplo, você cria um perfil sem uma imagem. Esse perfil é atribuído a dispositivos que já têm uma imagem. Nesse cenário, a imagem pode ser alterada para o padrão do dispositivo ou a imagem original pode permanecer no dispositivo. Esse comportamento é controlado e limitado pela plataforma MDM da Apple.

As configurações se aplicam a: registro automatizado de dispositivo (supervisionado)

• Local de exibição do papel de parede: escolha um local em dispositivos que mostra a imagem. Suas opções:
  • Não configurado: o Intune não altera nem atualiza essa configuração. Uma imagem personalizada não é adicionada aos dispositivos. Por padrão, o sistema operacional pode definir sua própria imagem.
  • Tela de bloqueio: adiciona a imagem à tela de bloqueio.
  • Tela inicial: adiciona a imagem à tela inicial.
  • Tela de bloqueio e tela inicial: usa a mesma imagem na tela inicial e na tela inicial.
• Imagem de papel de parede: carregar uma imagem de .png, .jpg ou .jpeg existente que você deseja usar. Certifique-se de que o tamanho do arquivo seja menor que 750 KB. Você também pode remover uma imagem que você adicionou.

Dica

• Ao configurar uma política de papel de parede, a Microsoft recomenda habilitar a configuração Bloquear modificação do Papel de Parede . Essa configuração impede que os usuários alterem o papel de parede.
• Para exibir imagens diferentes na tela inicial e na tela inicial, crie um perfil com a imagem de tela de bloqueio. Crie outro perfil com a imagem da tela inicial. Atribua ambos os perfis a seus grupos de usuários ou dispositivos iOS/iPadOS.

Artigos relacionados

• Atribuir o perfil e monitorar seu status.

• Crie perfis de configuração de recursos de dispositivo para dispositivos macOS .