Konfigurera automatisk enhetsregistrering i Intune

  • Artikel

Gäller för iOS/iPadOS

Företagsägda enheter som köpts via Apple Business Manager eller Apple School Manager kan registreras i Intune via automatisk enhetsregistrering. Det här registreringsalternativet tillämpar organisationens inställningar från Apple Business Manager och Apple School Manager och registrerar enheter utan att du behöver röra dem. iPhone och iPad kan skickas direkt till anställda och studenter. När de aktiverar sina enheter vägleder Apples installationsassistent dem genom konfiguration och registrering.

Den här artikeln beskriver hur du förbereder och konfigurerar automatisk enhetsregistrering i Microsoft Intune.

Översikt över funktioner

I följande tabell visas de funktioner och scenarier som stöds med automatisk enhetsregistrering.

Funktion Använd det här registreringsalternativet när
Du vill ha övervakat läge. ✔️

Övervakat läge distribuerar programuppdateringar, begränsar funktioner, tillåter och blockerar appar med mera.
Enheter ägs av organisationen eller skolan. ✔️
Du har nya enheter. ✔️
Du måste registrera några enheter eller ett stort antal enheter (massregistrering). ✔️
Enheter är associerade med en enskild användare. ✔️
Enheter är användarlösa, till exempel helskärmsläge eller dedikerad enhet. ✔️
Enheterna är i läget för delad enhet. ✔️
Enheter är personliga eller BYOD.

Rekommenderas inte. Program på BYOD eller personliga enheter kan hanteras med MAM eller registrering av användare och enheter.
Enheter hanteras av en annan MDM-provider.

För att kunna hanteras fullständigt av Intune måste användarna avregistrera sig från den aktuella MDM-providern och sedan registrera sig i Intune. Eller så kan du använda MAM för att hantera specifika appar på enheten. Eftersom dessa enheter ägs av organisationen rekommenderar vi att du registrerar dem i Intune.
Du använder kontot för enhetsregistreringshanteraren (DEM).

DEM-kontot stöds inte.

Förutsättningar

Innan du skapar registreringsprofilen måste du ha:

Innan du börjar

Läs igenom de här registreringskraven och metodtipsen för att förbereda för en lyckad installation och distribution.

Välj en autentiseringsmetod

Innan du skapar registreringsprofilen bestämmer du hur du vill att användarna ska autentisera på sina enheter: via Intune-företagsportal-appen, installationsassistenten (äldre) eller installationsassistenten med modern autentisering. Användning av Företagsportal-appen eller installationsassistenten med modern autentisering betraktas som modern autentisering och har funktioner som multifaktorautentisering.

Intune stöder även just-in-time-registrering för installationsassistenten med modern autentisering, vilket eliminerar behovet av Företagsportal-appen för Microsoft Entra registrering och efterlevnad. Om du vill använda JIT-registrering måste du skapa en enhetskonfigurationsprincip innan du skapar Apple-registreringsprofilen och konfigurerar installationsassistenten med modern autentisering.

Installationsassistenten med modern autentisering stöds på enheter som kör iOS/iPadOS 13.0 och senare. Äldre iOS/iPadOS-enheter med den här profilen använder i stället installationsassistenten (äldre) för autentisering.

Mer information om dina autentiseringsalternativ finns i Autentiseringsmetoder för automatisk enhetsregistrering.

Vad är övervakat läge?

Övervakat läge ger mer hanteringskontroll över företagsägda enheter, så att du kan göra saker som att blockera skärmdumpar och begränsa AirDrop.

Företagsägda enheter som kör iOS/iPadOS 11+ och som registreras via automatisk enhetsregistrering bör alltid vara i övervakat läge, vilket du kan aktivera i registreringsprofilen. Mer information om övervakat läge finns i Aktivera övervakat läge för iOS/iPadOS. Microsoft Intune ignorerar flaggan is_supervised för enheter som kör iOS/iPadOS 13.0 och senare eftersom enheterna automatiskt försätts i övervakat läge vid tidpunkten för registreringen.

Registrera enheter i läget för delad enhet

Du kan konfigurera automatisk enhetsregistrering för enheter i läget för delad enhet. Läget för delad enhet är en funktion i Microsoft Entra ID som gör det möjligt för medarbetare i frontlinjen att dela en enda enhet under dagen och logga in och ut efter behov. Mer information om hur du aktiverar registrering för enheter i Microsoft Entra läget för delad enhet finns i Automatisk enhetsregistrering för läget delad enhet.

Distribuera Företagsportal-appen

Viktigt

Vi rekommenderar inte att du använder App Store versionen av Företagsportal-appen eftersom den inte är kompatibel med automatisk enhetsregistrering och inte tillhandahåller automatiska uppdateringar och tillgänglighet som distributionen gör.

Att distribuera Intune-företagsportal-appen via Intune är det bästa sättet att tillhandahålla appen till användarna och det enda sättet att:

  • Se till att alla ADE-enheter, inklusive redan registrerade, tar emot appen.
  • Aktivera automatiska appuppdateringar för Företagsportal på ADE-enheter.

Distribuera appen som en obligatorisk VPP-app med enhetslicensiering. Information om hur du synkroniserar, tilldelar och hanterar en VPP-app finns i Tilldela en volyminköpt app.

Om du vill aktivera automatiska appuppdateringar för Företagsportal går du till inställningarna för apptoken i administrationscentret och ändrar Automatiska appuppdateringar till Ja. Se Ladda upp en Apple VPP- eller Apple Business Manager-platstoken för stegen för att komma åt dina tokeninställningar. Om du inte aktiverar automatiska uppdateringar måste enhetsanvändaren manuellt söka efter dem på egen hand.

Mellanlagring av enheter används för att överföra en enhet utan användartillhörighet till en enhet med användartillhörighet. Om du vill mellanlagra en enhet konfigurerar du VPP-distributionen enligt beskrivningen tidigare i det här avsnittet. Konfigurera och distribuera sedan en appkonfigurationsprincip. Kontrollera att principen endast riktar sig mot dessa ADE-enheter utan användartillhörighet.

Viktigt

Under den första registreringen skickar Intune automatiskt inställningarna för appkonfigurationsprinciper för enheter som registrerats med installationsassistenten med modern autentisering, konfigurerade i Konfigurera Företagsportal-appen för att stödja iOS- och iPadOS-enheter som registrerats med automatisk enhetsregistrering, när inställningen Installera Företagsportal är inställd på ja. Den här konfigurationen bör inte distribueras manuellt till användare eftersom den orsakar en konflikt med konfigurationen som skickas under den första registreringen. Om båda distribueras uppmanar Intune felaktigt enhetsanvändare att logga in på Företagsportal och ladda ned en hanteringsprofil som de redan har installerat.

Gränser

  • Maximalt antal registreringsprofiler per token: 1 000
  • Maximalt antal enheter för automatisk enhetsregistrering per profil: 200 000 (samma som det maximala antalet enheter per token).
  • Maximalt antal token för automatisk enhetsregistrering per Intune konto: 2 000
  • Maximalt antal enheter för automatisk enhetsregistrering per token: 200 000
    • Vi rekommenderar att du inte överskrider 200 000 enheter per token. Annars kan synkroniseringsproblem uppstå. Om du har fler än 200 000 enheter delar du upp enheterna i flera ADE-token.
    • Apple Business Manager och Apple School Manager synkroniserar cirka 3 000 enheter till Intune per minut. Vi rekommenderar att du behåller synkroniseringen manuellt från administrationscentret igen tills tillräckligt med tid har passerat för att alla enheter ska slutföra synkroniseringen (totalt antal enheter/3 000 enheter per minut).

Felsöka registrering

Om du upplever synkroniseringsproblem under registreringsprocessen kan du söka efter lösningar i Felsöka problem med registrering av iOS/iPadOS-enheter.

Hämta en apple-token för automatisk enhetsregistrering

Innan du kan registrera iOS/iPadOS-enheter med ADE behöver du en automatisk enhetsregistreringstoken (.p7m-fil) från Apple. Med den här token kan Intune synkronisera information om ADE-enheter som din organisation äger. Det gör också att Intune kan ladda upp registreringsprofiler till Apple och tilldela enheter till dessa profiler.

Använd Apple Business Manager (ABM) eller Apple School Manager (ASM) för att skapa en token och tilldela enheter till Intune för hantering.

Obs!

Du kan använda antingen ABM-portalen eller ASM-portalen för att aktivera ADE. Resten av den här artikeln refererar till ABM-portalen, men stegen är desamma för båda portalerna.

Steg 1: Ladda ned certifikatet för Intune offentlig nyckel

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.

  2. Välj fliken Apple .

  3. Välj Registreringsprogramtoken Lägg>till.

  4. På fliken Grunder :

    1. Välj Jag godkänner att ge Microsoft behörighet att skicka användar- och enhetsinformation till Apple:

      Skärmbild som visar skärmen Lägg till token för registreringsprogram.

    2. Välj Ladda ned Intune offentligt nyckelcertifikat som krävs för att skapa token. Det här steget laddar ned och sparar krypteringsnyckelfilen (.pem) lokalt. .pem-filen används för att begära ett certifikat för förtroenderelation från Apple Business Manager-portalen.

      Du laddar upp .pem-filen i Apple Business Manager i steg 2: Gå till Apple Business Manager-portalen (i den här artikeln).

    3. Behåll den här webbläsarfliken och sidan öppen. Om du stänger fliken:

      • Certifikatet som du laddade ned är ogiltigt.
      • Du måste upprepa stegen.
      • På fliken Granska + skapa är knappen Skapa inte tillgänglig och du kan inte slutföra den här proceduren.

Steg 2: Gå till Apple Business Manager-portalen

Använd Apple Business Manager-portalen för att skapa och förnya din ADE-token (MDM-server). Denna token läggs till i Intune och kommunicerar mellan Intune och Apple.

Obs!

Följande steg beskriver vad du behöver göra i Apple Business Manager. De specifika stegen finns i Apples dokumentation. Apple Business Manager-användarhandboken (på Apples webbplats) kan vara till hjälp.

Ladda ned Apple-token

  1. Logga in med ditt företags Apple-ID i Apple Business Manager.

  2. Slutför följande steg i den här portalen.

    • I inställningarna visas alla token. Lägg till en MDM-server och ladda upp det offentliga nyckelcertifikatet (.pem-filen) som du laddade ned från Intune i steg 1: Ladda ned det Intune offentliga nyckelcertifikatet (i den här artikeln).

      Använd servernamnet för att identifiera MDM-servern (hantering av mobila enheter). Det är inte namnet eller URL:en för Microsoft Intune-tjänsten.

    • När du har sparat MDM-servern väljer du den och laddar sedan ned token (.p7m-filen). Du laddar upp denna .p7m-token i Intune i steg 4: Ladda upp din token och slutför (i den här artikeln).

Tilldela enheter till Apple-token (MDM-server)

  1. I Apple BusinessManager-enheter> väljer du de enheter som du vill tilldela den här token. Du kan sortera efter olika enhetsegenskaper, till exempel serienummer. Du kan också välja flera enheter samtidigt.
  2. Redigera enhetshantering och välj den MDM-server som du nyss lade till. Det här steget tilldelar enheter till token.

Steg 3: Spara Apple-ID:t

  1. Gå tillbaka till sidan Lägg till programtoken för registrering i Intune i webbläsaren. Du bör ha hållit den här sidan öppen, enligt beskrivningen i Steg 1: Ladda ned Intune offentliga nyckelcertifikatet (i den här artikeln).

  2. I Apple-ID anger du ditt ID. Det här steget sparar ID:t. ID:t kan användas i framtiden.

    Bild som visar rutan Apple-ID på fliken Grunder.

Steg 4: Ladda upp din token och slutför

  1. I Apple-token bläddrar du till .p7m-certifikatfilen och väljer sedan Öppna.

    Du laddade ned denna .p7m-token i steg 2: Gå till Apple Business Manager-portalen.

  2. Välj Nästa.

  3. På fliken Granska + skapa väljer du Skapa.

Med push-certifikatet kan Intune registrera och hantera iOS/iPadOS-enheter genom att push-överföra principer till registrerade mobila enheter. Intune synkroniseras automatiskt med Apple för att få åtkomst till ditt registreringsprogramkonto.

Skapa en Apple-registreringsprofil

Nu när du har installerat din token kan du skapa en registreringsprofil för automatisk enhetsregistrering. En enhetsregistreringsprofil definierar inställningarna som tillämpas på en grupp av enheter vid registreringen. Det finns en gräns på 1 000 registreringsprofiler per registreringstoken.

Obs!

Enheter blockeras från att registreras om det inte finns tillräckligt med Företagsportal licenser för en VPP-token eller om token upphör att gälla. Intune varnar dig när en token håller på att upphöra att gälla eller om licenserna börjar ta slut.

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.

  2. Välj fliken Apple .

  3. Välj Token för registreringsprogram.

  4. Välj en token och välj sedan Profiler.

  5. Välj Skapa profil>iOS/iPadOS.

  6. För Grundläggande ger du profilen ett namn och en beskrivning för administrativa ändamål. Användarna ser inte den här informationen.

  7. Välj Nästa.

    Viktigt

    Om du gör ändringar i en befintlig registreringsprofil börjar de nya inställningarna inte gälla på tilldelade enheter förrän enheterna återställs till fabriksinställningarna och återaktiveras. Inställningen för enhetsnamnmallen är den enda inställning som du kan ändra och som inte kräver någon fabriksåterställning för att börja gälla. Ändringar i namngivningsmallen börjar gälla vid nästa incheckning.

  8. I listan Användartillhörighet väljer du ett alternativ som avgör om enheter med den här profilen måste registreras med eller utan en tilldelad användare.

    • Registrera med användartillhörighet: Välj det här alternativet för enheter som tillhör användare som vill använda Företagsportal för tjänster som att installera appar.

    • Registrera utan användartillhörighet: Välj det här alternativet för enheter som inte är kopplade till en enda användare. Använd det här alternativet för enheter som inte har åtkomst till lokala användardata. Det här alternativet används vanligtvis för kioskenheter, pos-enheter (point of sale) eller enheter med delade verktyg.

      I vissa fall kanske du vill associera en primär användare på enheter som registrerats utan användartillhörighet. Om du vill göra det kan du skicka IntuneUDAUserlessDevice nyckeln till Företagsportal-appen i en appkonfigurationsprincip för hanterade enheter. Den första användaren som loggar in på Företagsportal-appen upprättas som primär användare. Om den första användaren loggar ut och en andra användare loggar in förblir den första användaren enhetens primära användare. Mer information finns i Konfigurera Företagsportal-appen så att den stöder iOS- och iPadOS ADE-enheter.

    • Registrera med Microsoft Entra ID delat läge: Välj det här alternativet för att registrera enheter som ska vara i delat läge.

  9. Om du har valt Registrera med användartillhörighet för fältet Användartillhörighet har du möjlighet att välja den autentiseringsmetod som anställda måste använda. Mer information om varje autentiseringsmetod finns i Autentiseringsmetoder för automatisk enhetsregistrering.

    Skärmbild av alternativ för autentiseringsmetod.

    Dina alternativ:

    • Företagsportal
    • Installationsassistenten (äldre)
    • Installationsassistent med modern autentisering

  10. Om du har valt Installationsassistenten (äldre) för autentiseringsmetoden men även vill använda villkorsstyrd åtkomst eller distribuera företagsappar på enheterna måste du installera Företagsportal på enheterna och logga in för att slutföra Microsoft Entra registreringen. Det gör du genom att välja Ja för Installera Företagsportal. Om du vill att användarna ska få Företagsportal utan att behöva autentisera sig i App Store går du till Installera Företagsportal med VPP och väljer en VPP-token. Kontrollera att token inte upphör att gälla och att du har tillräckligt med enhetslicenser för att Företagsportal appen ska kunna distribueras korrekt.

  11. Om du väljer en token för Installera Företagsportal med VPP kan du låsa enheten i enkelt appläge (särskilt Företagsportal app) direkt efter att installationsassistenten har slutförts. Välj Ja för Kör Företagsportal i enkelt appläge tills autentisering för att ange det här alternativet. Om du vill använda enheten måste användaren först autentisera genom att logga in med Företagsportal.

    Obs!

    Multifaktorautentisering stöds inte på en enda enhet som är låst i enappsläge. Den här begränsningen finns eftersom enheten inte kan växla till en annan app för att slutföra den andra autentiseringsfaktorn. Om du vill ha multifaktorautentisering på en enhet i enkelt appläge måste den andra faktorn finnas på en annan enhet.

    Den här funktionen stöds endast för iOS/iPadOS 11.3.1 och senare.

    Skärmbild som visar alternativet Kör Företagsportal i enkelt appläge.

  12. Om du vill att enheter som använder den här profilen ska övervakas väljer du Ja i listan Övervakad :

    Skärmbild som visar alternativet Övervakat.

    Övervakade enheter ger dig fler hanteringsalternativ och inaktiverar aktiveringslåset som standard. Microsoft rekommenderar att du använder ADE som mekanism för att aktivera övervakat läge, särskilt om du distribuerar ett stort antal iOS/iPadOS-enheter. Apple Shared iPad for Business-enheter måste övervakas.

    Användarna meddelas att deras enheter övervakas i appen Inställningar . I appen överst på skärmen visas ett statiskt meddelande om att Den här iPhone övervakas och hanteras av <your organization>.

    Obs!

    Om en enhet registreras utan övervakning måste du använda Apple Configurator om du vill ställa in den på övervakad. Om du vill återställa enheten på det här sättet måste du ansluta den till en Mac med en USB-kabel. Mer information finns i Hjälp om Apple Configurator.

  13. I listan Låst registrering väljer du Ja eller Nej. Låst registrering inaktiverar iOS/iPadOS-inställningar som gör att hanteringsprofilen kan tas bort. Om du aktiverar låst registrering döljs knappen i appen Inställningar som låter användare ta bort en hanteringsprofil och användarna kan inte avregistrera sin enhet. Om du konfigurerar enheter i Microsoft Entra ID delat läge väljer du Ja.

    Låst registrering fungerar till en början lite annorlunda på enheter som inte ursprungligen köpts via Apple Business Manager, men som senare läggs till som en del av automatisk enhetsregistrering. Användare på dessa enheter ser knappen ta bort hantering i appen Inställningar under de första 30 dagarna efter aktiveringen av enheten. Efter den preliminära perioden kommer alternativet att döljas. Mer information finns i Förbereda enheter manuellt (öppnar hjälpdokumenten för Apple Configurator).

    Viktigt

    Den här inställningen skiljer sig från alternativen för att ta bort och återställa i Företagsportal-appen. Oavsett hur du konfigurerar låst registrering förblir alternativen Ta bort enhet eller Fabriksåterställning i Företagsportal-appen otillgängliga på enheter som registrerats via automatisk enhetsregistrering. Användarna kan inte heller ta bort enheten på Företagsportal webbplats. Mer information om självbetjäningsåtgärder som är tillgängliga på registrerade enheter finns i Självbetjäningsåtgärder.

  14. Om du valde Registrera utan användartillhörighet och Övervakad i föregående steg måste du bestämma om enheterna ska konfigureras som Apple Shared iPad for Business-enheter. Välj Ja för Delad iPad så att flera användare kan logga in på en enda enhet. Användarna autentiseras med hjälp av sina hanterade Apple-ID:t och federerade autentiseringskonton eller med hjälp av en tillfällig session (till exempel gästkontot). Det här alternativet kräver iOS/iPadOS 13.4 eller senare. Med Delad iPad hoppas alla installationsassistentfönster efter aktiveringen över automatiskt.

    Obs!

    • En enhetsrensning krävs om en iOS/iPadOS-registreringsprofil med delad iPad aktiverad skickas till en enhet som inte stöds. Enheter som inte stöds inkluderar iPhone-modeller och iPad-enheter som kör iPadOS/iOS 13.3 och tidigare. Enheter som stöds är iPad-enheter som kör iPadOS 13.3 och senare.
    • Konfigurera följande inställningar för att konfigurera Apple Shared iPad för företag:
      • I listan Användartillhörighet väljer du Registrera utan användartillhörighet.
      • I listan Övervakad väljer du Ja.
      • I listan Delad iPad väljer du Ja.

    Om du konfigurerar Apple Shared iPad för företag-enheter konfigurerar du även:

    • Maximalt antal cachelagrade användare: Ange det antal användare som du förväntar dig att använda den delade iPad-enheten. Du kan cachelagrat upp till 24 användare på en enhet på 32 GB eller 64 GB. Om du väljer ett lågt tal kan det ta en stund innan användarnas data visas på deras enheter när de har loggat in. Om du väljer ett högt antal kan dina användare få slut på diskutrymme.

    • Maximalt antal sekunder efter skärmlås innan lösenord krävs: Ange hur lång tid i sekunder. Godkända värden är: 0, 60, 300, 900, 3600 och 14400. Om skärmlåset överskrider den här tiden krävs ett enhetslösenord för att låsa upp enheten. Tillgängligt för enheter i delat iPad-läge som kör iPadOS 13.0 och senare.

    • Maximalt antal sekunder av inaktivitet tills användarsessionen loggas ut: Det minsta tillåtna värdet för den här inställningen är 30. Om det inte finns någon aktivitet efter den definierade perioden avslutas användarsessionen och användaren loggas ut. Om du lämnar posten tom eller ställer in den på noll (0) avslutas inte sessionen på grund av inaktivitet. Tillgängligt för enheter i delat iPad-läge som kör iPadOS 14.5 och senare.

    • Kräv endast delad tillfällig iPad-session: Konfigurerar enheten så att användarna bara ser gästversionen av inloggningsupplevelsen och måste logga in som gäster. De kan inte logga in med ett hanterat Apple-ID. Tillgängligt för enheter i delat iPad-läge som kör iPadOS 14.5 och senare.

      När inställningen är inställd på Ja avbryts följande delade iPad-inställningar eftersom de inte är tillämpliga i tillfälliga sessioner:

      • Maximalt antal cachelagrade användare
      • Maximalt antal sekunder efter skärmlås innan lösenord krävs
      • Maximalt antal sekunder av inaktivitet tills användarsessionen loggas ut

    • Maximalt antal sekunder av inaktivitet tills den tillfälliga sessionen loggas ut: Det minsta tillåtna värdet för den här inställningen är 30. Om det inte finns någon aktivitet efter den definierade perioden avslutas den tillfälliga sessionen och användaren loggas ut. Om du lämnar posten tom eller ställer in den på noll (0) avslutas inte sessionen på grund av inaktivitet. Tillgängligt för enheter i delat iPad-läge som kör iPadOS 14.5 och senare.

      Den här inställningen är tillgänglig när Kräv endast delad iPad-tillfällig session är inställd på Ja.

    Obs!

    • Om tillfälliga sessioner är aktiverade tas alla användarens data bort när de loggar ut från sessionen. Det innebär att alla riktade principer och appar kommer till användaren när de loggar in, och de raderas när användaren loggar ut.
    • Om du vill ändra en delad iPad-konfiguration så att den inte har tillfälliga sessioner måste enheten återställas helt och en ny registreringsprofil med de uppdaterade konfigurationerna måste skickas ned till iPad.

  15. I listan Synkronisera med datorer väljer du ett alternativ för de enheter som använder den här profilen. Om du väljer Tillåt Apple Configurator efter certifikat måste du välja ett certifikat under Apple Configurator-certifikat.

    Obs!

    Om du ställer in Synkronisera med datorerNeka alla begränsas porten på iOS- och iPadOS-enheter. Porten begränsas till endast laddning. Det kommer att blockeras från att använda iTunes eller Apple Configurator 2.

    Om du ställer in Synkronisera med datorerTillåt Apple Configurator efter certifikat kontrollerar du att du har en lokal kopia av certifikatet som du kan använda senare. Du kommer inte att kunna göra ändringar i den uppladdade kopian och det är viktigt att behålla en kopia av det här certifikatet. Om du vill ansluta till iOS/iPadOS-enheten från en Mac-enhet måste samma certifikat vara installerat på enheten som upprättar anslutningen till iOS/iPadOS-enheten.

  16. Om du valde Tillåt Apple Configurator efter certifikat i föregående steg väljer du ett Apple Configurator-certifikat som ska importeras.

  17. För Await final configuration (Vänta på slutlig konfiguration) är alternativen:

    • Ja: Aktivera en låst upplevelse i slutet av installationsassistenten för att säkerställa att dina viktigaste enhetskonfigurationsprinciper är installerade på enheten. Precis innan startskärmen läses in pausar installationsassistenten och låter Intune checka in med enheten. Slutanvändarupplevelsen låse medan användarna väntar på slutgiltiga konfigurationer.

      Hur lång tid användarna hålls på skärmen Väntar på slutlig konfiguration varierar och beror på det totala antalet principer och appar som du tillämpar på enheten. Ju fler principer och appar som tilldelats enheten, desto längre väntetid. Varken installationsassistenten eller Intune framtvinga en minsta eller högsta tidsgräns under den här delen av installationen. Under produktvalidering släpptes de flesta enheter som vi testade och kunde komma åt startskärmen inom 15 minuter. Om du aktiverar den här funktionen och använder en tredje part för att hjälpa dig att etablera enheter kan du berätta om potentialen för ökad etableringstid.

      Den låsta upplevelsen fungerar på enheter som är mål för nya och befintliga registreringsprofiler. Enheter som stöds är:

      • iOS/iPadOS 13+-enheter registreras med installationsassistenten med modern autentisering
      • iOS/iPadOS 13+-enheter registreras utan användartillhörighet
      • iOS/iPadOS 13+-enheter som registreras med Microsoft Entra ID delat läge

      Den här inställningen tillämpas en gång under den färdiga automatiska enhetsregistreringen i installationsassistenten. Enhetsanvändaren upplever det inte igen om de inte registrerar sin enhet på nytt. Ja är standardinställningen för nya registreringsprofiler.

    • Nej: Enheten släpps på startskärmen när installationsassistenten slutar, oavsett status för principinstallation. Enhetsanvändare kan komma åt startskärmen eller ändra enhetsinställningarna innan alla principer installeras. Nej är standardinställningen för befintliga registreringsprofiler.

    Konfigurationsinställningen await är inte tillgänglig i profiler med den här kombinationen av konfigurationer:

    • Användartillhörighet: Registrera utan användartillhörighet (steg 6 i det här avsnittet)
    • Delad iPad: Ja (steg 12 i det här avsnittet)

  18. Du kan också skapa en mall för enhetsnamn för att snabbt identifiera enheter som tilldelats den här profilen i administrationscentret. Intune använder mallen för att skapa och formatera enhetsnamn. Namnen ges till enheter när de registreras och vid varje efterföljande incheckning. Så här skapar du en mall:

  19. Under Använd mall för enhetsnamn väljer du Ja .

  20. I rutan Enhetsnamnmall anger du den mall som du vill använda för att konstruera enhetsnamn. Mallen kan innehålla enhetstyp och serienummer. Den får inte innehålla fler än 63 tecken, inklusive variablerna. Exempel: {{DEVICETYPE}}-{{SERIAL}}

  21. Du kan aktivera en mobildataplan. Den här inställningen gäller för enheter som kör iOS/iPadOS 13.0 och senare. Om du konfigurerar det här alternativet skickas ett kommando för att aktivera mobildataplaner för dina eSim-aktiverade mobila enheter. Din operatör måste etablera aktiveringar för dina enheter innan du kan aktivera dataplaner med det här kommandot. Om du vill aktivera mobildataplanen klickar du på Ja och anger sedan operatörens aktiveringsserver-URL.

  22. Välj Nästa.

  23. Konfigurera följande profilinställningar på fliken Installationsassistenten :

    Avdelningsinställning Beskrivning
    Department Visas när användare trycker på Om konfiguration vid aktiveringen.
    Avdelningens telefonnummer Visas när användarna trycker på knappen Behöver hjälp under aktiveringen.

    Du kan dölja installationsassistentens skärmar på enheten under användarkonfigurationen. En beskrivning av alla skärmar finns i Skärmreferens för installationsassistenten (i den här artikeln).

    • Om du väljer Dölj visas inte skärmen under installationen. När du har konfigurerat enheten kan användaren fortfarande gå till menyn Inställningar för att konfigurera funktionen.
    • Om du väljer Visa visas skärmen under installationen, men bara om det finns steg att slutföra efter återställningen eller efter programuppdateringen. Användare kan ibland hoppa över skärmen utan att vidta åtgärder. De kan sedan senare gå till enhetens inställningsmeny för att konfigurera funktionen.
    • Med Delad iPad hoppas alla installationsassistentfönster efter aktiveringen automatiskt över oavsett konfiguration.

  24. Välj Nästa.

  25. Spara profilen genom att välja Skapa.

Dynamiska grupper i Microsoft Entra ID

Du kan använda fältet Registreringsnamn för att skapa en dynamisk grupp i Microsoft Entra ID. Mer information finns i Microsoft Entra dynamiska grupper.

Du kan använda profilnamnet för att definiera parametern enrollmentProfileName för att tilldela enheter med den här registreringsprofilen.

Innan enhetskonfigurationen och för att säkerställa snabb leverans till enheter med användartillhörighet kontrollerar du att den registrerade användaren är medlem i en Microsoft Entra användargrupp.

Om du tilldelar dynamiska grupper till registreringsprofiler kan det uppstå en fördröjning i leveransen av program och principer till enheter efter registreringen.

Skärmreferens för installationsassistenten

I följande tabell beskrivs skärmarna i installationsassistenten som visas under automatisk enhetsregistrering för iOS/iPadOS. Du kan visa eller dölja dessa skärmar på enheter som stöds under registreringen.

Skärmen Installationsassistent Vad händer när det visas
Lösenord Fråga användaren om ett lösenord. Kräv alltid ett lösenord för oskyddade enheter om inte åtkomsten styrs på något annat sätt. (Till exempel en konfiguration av helskärmsläge som begränsar enheten till en app.) För iOS/iPadOS 7.0 och senare.
Platstjänster Fråga användaren om deras platsinformation. För macOS 10.11 och senare och iOS/iPadOS 7.0 och senare.
Återställ Visa skärmen Appar och data. Den här skärmen ger användarna möjlighet att återställa eller överföra data från iCloud Backup när de konfigurerar enheten. För macOS 10.9 och senare samt iOS/iPadOS 7.0 och senare.
Apple-ID Ge användaren möjlighet att logga in med sitt Apple-ID och använda iCloud. För macOS 10.9 och senare samt iOS/iPadOS 7.0 och senare.
Allmänna villkor Kräv att användaren godkänner Apples allmänna villkor. För macOS 10.9 och senare samt iOS/iPadOS 7.0 och senare.
Touch-ID och ansikts-ID Ge användaren möjlighet att konfigurera fingeravtryck eller ansiktsidentifiering på enheten. För macOS 10.12.4 och senare samt iOS/iPadOS 8.1 och senare. På iOS/iPadOS 14.5 och senare fungerar inte skärmarna Lösenords- och Touch ID-installationsassistenten under enhetskonfigurationen. Om du använder version 14.5+ konfigurerar du inte skärmarna lösenords- eller Touch ID-installationsassistenten. Om du behöver ett lösenord på enheter använder du en enhetskonfigurationsprincip eller en efterlevnadsprincip. När användaren har registrerats och de har fått principen uppmanas de att ange ett lösenord.
Apple Pay Ge användaren möjlighet att konfigurera Apple Pay på enheten. För macOS 10.12.4 och senare samt iOS/iPadOS 7.0 och senare.
Zoom Ge användaren möjlighet att zooma skärmen när de konfigurerar enheten. För iOS/iPadOS 8.3 och senare.
Siri Ge användaren möjlighet att konfigurera Siri. För macOS 10.12 och senare samt iOS/iPadOS 7.0 och senare.
Diagnostikdata Visa skärmen Diagnostik. På den här skärmen kan användaren välja att skicka diagnostikdata till Apple. För macOS 10.9 och senare samt iOS/iPadOS 7.0 och senare.
Visningston Ge användaren möjlighet att aktivera Visningston. För macOS 10.13.6 och senare samt iOS/iPadOS 9.3.2 och senare.
Sekretess Visa skärmen Sekretess. För macOS 10.13.4 och senare samt iOS/iPadOS 11.3 och senare.
Android-migrering Ge användaren möjlighet att migrera data från en Android-enhet. För iOS/iPadOS 9.0 och senare.
iMessage & FaceTime Ge användaren möjlighet att konfigurera iMessage och FaceTime. För iOS/iPadOS 9.0 och senare.
Introduktioner Visa informationsskärmar för registrering för användarutbildning, till exempel Försättsblad och Multitasking och Control Center. För iOS/iPadOS 11.0 och senare.
Skärmtid Visa skärmen Skärmtid. För macOS 10.15 och senare samt iOS/iPadOS 12.0 och senare.
SIM-installation Ge användaren möjlighet att lägga till en mobilplan. För iOS/iPadOS 12.0 och senare.
Programuppdatering Visa den obligatoriska skärmen för programuppdatering. För iOS/iPadOS 12.0 och senare.
Titta på migrering Ge användaren möjlighet att migrera data från en watch enhet. För iOS/iPadOS 11.0 och senare.
Utseende Visa skärmen Utseende. För macOS 10.14 och senare samt iOS/iPadOS 13.0 och senare.
Migrering från enhet till enhet Ge användaren möjlighet att överföra data från en gammal enhet till den här enheten. Alternativet att överföra data direkt från en enhet är inte tillgängligt för ADE-enheter som kör iOS 13 eller senare.
Återställningen har slutförts Visar användarna skärmen Återställ slutförd efter att en säkerhetskopia och återställning har utförts under installationsassistenten.
Programuppdateringen har slutförts Visar användaren alla programuppdateringar som inträffar under installationsassistenten.
Kom igång Visar användarna välkomstskärmen Kom igång.
Adressvillkor Ge användaren möjlighet att välja hur de vill hanteras i hela systemet: feminina, maskulina eller neutrala. Den här Apple-funktionen är tillgänglig för utvalda språk. Mer information finns i Viktiga funktioner och förbättringar (öppnar Apples webbplats). För iOS/iPadOS 16.0 och senare.

Synkronisera hanterade enheter

Nu när Intune har fått behörighet att hantera dina enheter kan du synkronisera Intune med Apple och se dina hanterade enheter i Intune på Microsoft Azure-portalen.

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.

  2. Välj fliken Apple .

  3. Välj Token för registreringsprogram.

  4. Välj en token i listan och välj sedan Enheter>Synkronisera:

    Skärmbild som visar hur du synkroniserar iOS- och iPadOS-enheter till en token för registreringsprogram.

    Om du vill följa Apples villkor för acceptabel registreringsprogramtrafik inför Intune följande begränsningar:

    • En fullständig synkronisering kan inte köras oftare än en gång var sjunde dag. Under en fullständig synkronisering hämtar Intune den fullständigt uppdaterade listan med serienummer som tilldelats den Apple MDM-server som är ansluten till Intune.

      Viktigt

      Om en enhet tas bort från Intune, men förblir tilldelad till ADE-registreringstoken i ASM/ABM-portalen, visas den igen i Intune vid nästa fullständiga synkronisering. Om du inte vill att enheten ska visas igen i Intune avtilldela den från Apple MDM-servern i ABM/ASM-portalen.

    • Om en enhet frigörs från ABM/ASM kan det ta upp till 45 dagar innan den tas bort automatiskt från enhetssidan i Intune. Du kan ta bort frigjorda enheter manuellt från Intune en i taget om det behövs. Utgivna enheter rapporteras korrekt som borttagna från ABM/ASM i Intune tills de tas bort automatiskt inom 30–45 dagar.
    • En deltasynkronisering körs automatiskt var 12:e timme. Du kan också utlösa en deltasynkronisering genom att välja knappen Synkronisera (högst en gång var 15:e minut). Alla synkroniseringsbegäranden ges 15 minuter att slutföras. Synkronisera-knappen är inaktiverad tills att en synkronisering har slutförts. Synkroniseringen kommer att uppdatera statusen för befintliga enheter och importera nya enheter som tilldelats till Apple MDM-servern. Om en deltasynkronisering misslyckas av någon anledning blir nästa synkronisering en fullständig synkronisering för att förhoppningsvis lösa eventuella problem.

Tilldela enheterna en registreringsprofil

Innan enheterna kan registreras måste du tilldela dem en registreringsprofil.

Obs!

Du kan också tilldela serienummer till profiler i fönstret Apple-serienummer .

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.
  2. Välj fliken Apple .
  3. Välj Token för registreringsprogram.
  4. Välj en registreringstoken.
  5. Välj Enheter.
  6. Markera alla enheter som du vill tilldela och välj sedan Tilldela profil.
  7. Under Tilldela profil väljer du den automatiska enhetsregistreringsprofil som du skapade för enheterna och väljer sedan Tilldela.

Ange som standardprofil

Du kan välja en standardprofil som ska tillämpas på alla enheter som registreras med en specifik token.

  1. Gå tillbaka till Token för registreringsprogram i administrationscentret.
  2. Välj en registreringstoken.
  3. Välj Ange standardprofil.
  4. Välj en profil i listan och välj sedan Spara. Profilen tillämpas på alla enheter som registreras med den valda registreringstoken.

Obs!

Kontrollera att begränsningar för enhetstyp under Registreringsbegränsningar inte har standardprincipen Alla användare inställd på att blockera iOS/iPadOS-plattformen. Den här inställningen gör att automatisk registrering misslyckas och enheten visas som ogiltig profil, oavsett användarattestering. Om du endast vill tillåta registrering av företagshanterade enheter blockerar du endast personligt ägda enheter, vilket gör att företagets enheter kan registreras. Microsoft definierar en företagsenhet som en enhet som har registrerats via ett program för enhetsregistrering eller en enhet som anges manuellt under Företagsenhetsidentifierare.

Distribuera enheter

Du har aktiverat hantering och synkronisering mellan Apple och Intune och tilldelat en profil så att dina ADE-enheter kan registreras. Nu är du redo att distribuera enheter till användare. Några saker att veta:

  • Enheter som har registrerats med användartillhörighet kräver att varje användare tilldelas en Intune licens.

  • Enheter som registrerats utan användartillhörighet har vanligtvis inga associerade användare. Dessa enheter måste ha en Intune enhetslicens. Om enheter som registrerats utan användartillhörighet används av en Intune-licensierad användare behövs ingen enhetslicens.

    Sammanfattningsvis måste användaren ha en tilldelad Intune licens om en enhet har en användare. Om enheten inte har en Intune-licensierad användare måste enheten ha en Intune enhetslicens.

    Mer information om Intune licensiering finns i Microsoft Intune licensiering och planeringsguiden för Intune.

  • En enhet som har aktiverats måste rensas innan den kan registreras korrekt med hjälp av ADE i Intune. När den har rensats, men innan du aktiverar den igen, kan du använda registreringsprofilen. Se Konfigurera en befintlig iPhone, iPad eller iPod Touch

  • Om du registrerar med ADE och användartillhörighet kan följande fel inträffa under installationen:

    The SCEP server returned an invalid response.

    Du kan lösa det här felet genom att försöka ladda ned hanteringen igen inom 15 minuter. Om det har gått mer än 15 minuter måste du fabriksåterställa enheten för att lösa det här felet. Det här felet uppstår på grund av en tidsgräns på 15 minuter för SCEP-certifikat, som tillämpas för säkerhet.

Information om slutanvändarupplevelsen finns i Registrera din iOS/iPadOS-enhet i Intune med hjälp av ADE.

Registrera om en enhet

Slutför de här stegen för att omregistrera en enhet som redan har genomgått automatisk enhetsregistrering.

  1. Det finns två alternativ för att återställa enheten:
    • Rensa enheten i Microsoft Intune administrationscenter.
    • Dra tillbaka enheten i administrationscentret och återställ sedan enheten till fabriksinställningarna med hjälp av appen Inställningar, Apple Configurator 2 eller iTunes.
  2. Aktivera enheten och följ anvisningarna på skärmen i installationsassistenten för att hämta fjärrhanteringsprofilen.

Förnya en token för automatisk enhetsregistrering

Ibland behöver du förnya dina token:

  • Förnya din ADE-token varje år. I Intune administrationscenter visas förfallodatumet.
  • Om Lösenordet för Apple-ID ändras för den användare som konfigurerade token i Apple Business Manager förnyar du din programtoken för registrering i Intune och Apple Business Manager.
  • Om användaren som konfigurerade token i Apple Business Manager lämnar organisationen förnyar du din token för registreringsprogram i Intune och Apple Business Manager.
  • Om du ändrar det Apple-ID som används för att skapa ADE-token påverkar ändringen inte för närvarande registrerade enheter med denna token förrän de registreras igen. Detta skiljer sig från apns-certifikatet (Apple Push Notification Service) som används för klientorganisationen och som inte kan ändras utan att alla enheter måste omregistreras om du inte kontaktar Apple Support för att utföra ändringen på serverdelen.

Förnya dina token

  1. Gå till business.apple.com och logga in med ett konto som har rollen Administratör eller Enhetsregistreringshanterare.

  2. Välj Inställningar. Under MDM-servrar väljer du den MDM-server som är associerad med den tokenfil som du vill förnya. Välj Ladda ned token:

    Skärmbild som visar hur du förnyar och laddar ned en Apple-token i Apple Business Manager.

  3. Välj Ladda ned servertoken.

    Obs!

    Som det står i prompten ska du inte välja Ladda ned servertoken om du inte tänker förnya token. Om du gör det ogiltigförklaras den token som används av Intune (eller någon annan MDM-lösning). Om du redan har laddat ned token måste du fortsätta med nästa steg tills token förnyas.

  4. När du har laddat ned token går du till Microsoft Intune administrationscenter.

  5. Välj Enhetsregistrering>.

  6. Välj Token för registreringsprogram.

  7. Välj token.

  8. Välj Förnya token. Ange det Apple-ID som användes för att skapa den ursprungliga token (om den inte fylls i automatiskt):

    Skärmbild som visar sidan Förnya token.

  9. Ladda upp den nyligen nedladdade token.

  10. Välj Nästa för att gå till sidan Omfångstaggar . Tilldela omfångstaggar om du vill.

  11. Välj Förnya token. Du ser en bekräftelse på att token förnyas:

    Skärmbild som visar bekräftelsemeddelandet.

Ta bort en token för automatisk enhetsregistrering från Intune

Du kan ta bort en registreringsprofiltoken från Intune så länge:

  • Inga enheter har tilldelats till token.
  • Inga enheter har tilldelats till standardprofilen.
  • Det finns inga registreringsprofiler under denna token.

Så här tar du bort en registreringsprofiltoken:

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.
  2. Välj fliken Apple .
  3. Välj token för registreringsprogram
  4. Välj token och välj sedan Enheter.
  5. Ta bort alla enheter som har tilldelats till token.
  6. Gå tillbaka till token för registreringsprogram. Välj token och välj sedan Profiler.
  7. Om det finns en standardprofil eller någon annan registreringsprofil måste alla tas bort.
  8. Gå tillbaka till token för registreringsprogram. Välj token och välj sedan Ta bort.

Nästa steg

En översikt över vad som krävs av enhetsanvändare finns i ADE-slutanvändaruppgifter.