Все профили-сертификаты-настройки-устройства, все нафиг снес, сделал все по новой - не скачивается.
Стоило в профиле переключить на Company Portal, переустанавливаю айпад - мгновенно появляется Comp Portal зараза. Вот что делать?
|
|
|
|
|
 | WindowsРейтинг: 15,656.1 |
 | LinuxРейтинг: 4,170.2 |
 | Android OSРейтинг: 1,796.0 |
 | iOSРейтинг: 769.9 |
 | Linux vs WindowsРейтинг: 456.9 |
 | UbuntuРейтинг: 299.6 |
 | mac OSРейтинг: 47.9 |
Есть отдельная ветка 0,1% по ABM (apple business manager, аля автопилот для мобилок), но туда недо денег побольше и связи с производителями. Я работал практически со всеми видами и выбирать надо не по типу, а отталкиваясь от задач поставленных.
Вот как раз с ADE пересечься не успел, но гибрид ABM+Hybrid Intune попробовать удалось. За-е-бал-ся. Тут тебе и с подедржкой ебаться, и с гибридом, и с престейджем, и с производителей (собственно с самим Аппле). Неужели это действительно необходимо?
А автопилот заказывали ебанашки для киоск (или около киоск) режимов, на какие-нибудь склады, шоб QR коды пикать (да-да, айфонами, ебанутые) с максимальными анальными карами за любое вмешательство юзера или госструктуры. У тебя такой вариант?
Причем вроде всё достаточно наглядно и просто администрируется, а дублирующей системой привязываем девайс к сотруднику (материальную ответственность).
Вот прям API вырываем с графа данные и кидаем в обновляемую базу на скуле. За одно и мониторить так можно и пиздить юзеров за проёбы.
Что я им - трудовую не отдам или зп удержу? >___
Никто не посадит мартышку за токарный станок. Нахуя это делаешь ты?
Да и айпады явно выглядит как черезчур.
Так что правильный выход тут - объяснять начальству что:
- либо оно им нахуй на недо айпады эти и пусть ищут другие варианты
- либо нанимать не мартышек, а людей подороже
- либо поднимать ИТ штат и создавать хелпдеск команду, которой ты убдешь рулить как начальник
Так что ты не в том направлении воюешь, имхо. Что бы ты не сделал, ты просто добавишь себе работы и администрирования этого зоопарка. Даже привязка к серийникам, престеджинг, автоэнроллмент и запись девайсов на корпоративную эппл учетку с соответствующими сертификатами (платными от эппла в том же ABM - кстати в Росси и РБ уже невозможно) всё равно оставит тебе ебенячую организационную работу это всё переваривать, заказывать, менеджить. Да, сбрасывать ты будешь проще, но работы не убавится. Ну может толькое если у тебя до 50-100 девайсов. В любом другом слечае нужен фундаментальный подход как в пунктах выше.
и сидеть по час-полтора с этими людоедами когда своей работы невпроворот, а он заявился из другого города и через полчаса ему назад ехать надо, срочно выдать, сделать, настроить, а потом по телефону мне мозги ебать что такое логин и почему I и l это разные символы я в гробу видел.
КАК они у тебя вообще не ёбнулись ещё из-за отсутствия интюн лицензий? Готовся, т.к если МС поправит багу с массовым энролом на одну учетку, то сдохнет вообще всё и сразу!!!
Каждый пользователь ОБЯЗАН иметь свою лицензию и энролить под свою учетку.
Либо так, либо жесткий энтерпрайз (престейдж, oobe, когда все девайсы принадлежат зареигстрированной фирме).
На моей памяти при полной настройке и джойне с мобилки 100% девайсов становятся именно корпоративными. Про "снести Portal" уже точно не помню, но вроде в корпоративном варианте это было невозможно. Он ставится именно самим профилем и никуда не денется (ты прям принудительно ставишь какие приложения обязательно деплоятся на айфон или айпад от организации и девайс становится принадлежать именно организации).
Попробуй поиграть разными профилями и ни в коем случае не смешивай группы!
После переключения Authentication method нужно сбросить устройство. И как именно не работает? Обычно в Intune в устройстве можно в разделе Managed Apps посмотреть ошибку.
И ещё также можно посмотреть Last check-in time на странице устройства. Оно должно обновиться после входа пользователя на устройство. В Sing-in logs этого пользователя в Entra ID посмотри Conditional Access, не мешают ли какие-нибудь политики. Должно быть Success или Not Applied. Ну и раз у тебя MFA, то пользователь, который делает enrollment, должен быть включен в политику в Conditional Access, предусматривающую MFA. В этой политике в разделе Grant должно быть установлено Require multifactor authentication.
Last check-in, compliant, enrolled - все супер, все обновляется, все есть.
Entra - я туда вообще последний раз заходил только чтобы наш домен привязать, политик никаких нет, но проверил логи и sign in везде success. MFA включен у меня, да, но он у нас у всех сотрудников включен. Плюс само приложение Comp Portal Assignments настроено Required All devices, All users, должно устанавливаться само после скачивания remote configuration. Как оно и скачивается если переключить Authentication на Company Portal вместо Setup Assistant with modern Auth.
Required All devices, All users - здесь может быть конфликт. Попробуй оставить только all devices.
https://learn.microsoft.com/en-us/mem/intune/enrollment/device-enrollment-program-enroll-ios здесь есть такой абзац (нужное выделил звёздочками): During initial enrollment, Intune automatically pushes the app configuration policy settings for devices enrolled with Setup Assistant with modern authentication, configured in Configure the Company Portal app to support iOS and iPadOS devices enrolled with Automated Device Enrollment, when the enrollment profile setting Install Company Portal is set to yes. **This configuration should not be deployed manually to users because it will cause a conflict with the configuration sent during the initial enrollment.** If both are deployed, Intune will incorrectly prompt device users to sign in to Company Portal and download a management profile they've already installed.
Лучше всего конечно создать в Entra группу и в нее добавить твое устройство. Можно настроить группу типа dynamic и задать правила, чтобы туда все айпады попадали сами.
Кстати в этом документе меня смущает часть про"when the enrollment profile setting Install Company Portal is set to yes." - стоит переключить на Setup Assistant как эта опция пропадает.
То что звездочками- это понятно, я сначала когда еще не разобрался делал вручную, этой проблемы нет. Попробую в Entra поковыряться тогда, я уже не знаю...
Intune по умолчанию запрещает что-либо скачивать юзерам из Appstore в принципе. Не помню где было написано, но обойти этот запрет нельзя, такой функции не предусмотрено. Я бы не ебался с VPP если бы можно было просто разрешить скачивать. А для того чтобы вообще хоть что-то скачать из Appstore - нужен не корпоративный аккаунт, а я этого хочу избежать чтобы они не лазили по настройкам... Так что это не очень помогает... xml configuration policy я на всякий случай добавил, но это не помогло.