Я уже не знаю кого можно спросить, вдруг кто сталкивался... / iOS :: Операционная система :: Microsoft (Майкрософт) :: intune :: пидоры помогите (реактор помоги)

TyekanikTyekanik
пидоры помогите Microsoft intune iOS Операционная система 

Я уже не знаю кого можно спросить, вдруг кто сталкивался...

пидоры помогите,реактор помоги,Microsoft,Майкрософт,intune,iOS,Операционная система

Настраиваю iOS devices enrollment в Intune. Сделал профиль, все работает как должно, приложения скачиваются, все ок. Выяснилось что авторизацию сделал через Company Portal, а нужен Setup Assistant with Modern Authentication. Переключил - приложение Comp Portal не скачивается по VPP (>ლ) 

Все профили-сертификаты-настройки-устройства, все нафиг снес, сделал все по новой - не скачивается.

Стоило в профиле переключить на Company Portal, переустанавливаю айпад - мгновенно появляется Comp Portal зараза. Вот что делать?


Подробнее

пидоры помогите,реактор помоги,Microsoft,Майкрософт,intune,iOS,Операционная система
Еще на тему
пидоры помогите

пидоры помогите(7688)

Microsoft

Microsoft(828)

iOS

iOS(149)

Операционная система

Операционная система(683)

Развернуть
Комментарии 4004.03.202422:15ссылка-4.1
Это язык Мордора, ему не надо звучать здесь
koyama koyama 04.03.202422:20 ответить ссылка 21.1
Ты не пробовал к админам обратиться? С каких пор вообще энд юзеры настройкой бизнес дивайсов занимаются.
омич омич 04.03.202422:24 ответить ссылка 1.0
......OR........ GIVE IT TO YOUR MOM. SHE BETTER KNOWS. HOW TO DO IT
cityrat cityrat 04.03.202422:32 ответить ссылка 12.1
я здесь ближе всех к определению админ
Tyekanik Tyekanik 04.03.202422:46 ответить ссылка 2.6
В каком же ты отчаянии, раз спросил здесь
hehehohohaha hehehohohaha 04.03.202422:32 ответить ссылка 5.6
О! Привет пидор. Садись расскажу. Видов enrollment там дохуя и больше. 99.9% компаний используют классический MDM как раз на Company Portal. Нахуй тебе сторонние костыли?
Есть отдельная ветка 0,1% по ABM (apple business manager, аля автопилот для мобилок), но туда недо денег побольше и связи с производителями. Я работал практически со всеми видами и выбирать надо не по типу, а отталкиваясь от задач поставленных.
kuronokaras kuronokaras 04.03.202422:37 ответить ссылка 4.6
Ах да, если тебе как раз нужен OOBE (ля автопилот) для какого-то престейджа, то трижды подумай нахуя оно тебе надо. Это переосложненная штуковина, требующая больших сил администрирования. Зочем?!
Вот как раз с ADE пересечься не успел, но гибрид ABM+Hybrid Intune попробовать удалось. За-е-бал-ся. Тут тебе и с подедржкой ебаться, и с гибридом, и с престейджем, и с производителей (собственно с самим Аппле). Неужели это действительно необходимо?
kuronokaras kuronokaras 04.03.202422:41 ответить ссылка 3.4
Просто смотри, 99% заказчиков нужны довольно понятные вещи - шоб айфон не спиздили, шоб не ставили туда лишнего и игрулек, шоб сайты контролировались (белые/черные списки, в том числе приложений) и шоб что-то своё деплоить или свои конфиги ставить. Собственно покрывает все корпоративные хотелки на изи.
А автопилот заказывали ебанашки для киоск (или около киоск) режимов, на какие-нибудь склады, шоб QR коды пикать (да-да, айфонами, ебанутые) с максимальными анальными карами за любое вмешательство юзера или госструктуры. У тебя такой вариант?
kuronokaras kuronokaras 04.03.202422:48 ответить ссылка 1.6
Нет. У меня дохуя строительных площадок на которых броуновским движением перемещаются суперы, формены и шушера поменьше которым выдаются айпады-лаптопы. Эти пидарасы вместе с проект менеджерами никогда не сообщают что проект приостанавливается, что они на другом сайте, что кого-то уволили, а айпады эти ходят по рукам. Один раз блядь приехал на стройку - я с одного объекта(!!!) увез три айпада плять ничейных. Откуда они, кто ими пользовался - тайна сия великая есть. Аккаунты на уволенных давно людей. Один причем при мне привез какой-то чел из другой фирмы типа зырьте - это вроде ваш, кто-то из ваших забыл. А начальство каждый раз крокодиловыми слезами плачет что айпадов не хватает и что придется еще один-два покупать.
Tyekanik Tyekanik 04.03.202422:59 ответить ссылка 0.3
Так это тупо организационные вопросы - привязка девайса к пользователю! Тем более ты точно знаешь кто его энролил последним и чья фамилия на девайсе (надеюсь ты не сам это делаешь? это должен делать сотрудник под своей корпоративной учёткой!).
Причем вроде всё достаточно наглядно и просто администрируется, а дублирующей системой привязываем девайс к сотруднику (материальную ответственность).
kuronokaras kuronokaras 04.03.202423:03 ответить ссылка 0.9
+ это дело именно инвентаризации - если ее нет то это другая проблема
omgster omgster 04.03.202423:09 ответить ссылка 0.7
Видел коснтрукцию инвентаризации на основе интюна :)
Вот прям API вырываем с графа данные и кидаем в обновляемую базу на скуле. За одно и мониторить так можно и пиздить юзеров за проёбы.
kuronokaras kuronokaras 04.03.202423:11 ответить ссылка 0.6
Я только в страшном сне себе могу представить что эти австралопитеки будут регистрироваться сами под своей корпоративной учеткой. Ты представляешь себе южного сука реднека или негра без половины зубов которому нужно объяснить как настроить Company Portal? В гробу он это все видел, он проще развернется, пойдет к начальству и начнет ныть. Тут проект менеджеры не знают как самостоятельно принтер подключить, о чем ты. Они все приходят ко мне и я им настраиваю. Материальная ответственность ヾ(≧▽≦*)o
Что я им - трудовую не отдам или зп удержу? >___
Tyekanik Tyekanik 04.03.202423:22 ответить ссылка 0.1
Ну вот мы и пришли в самопричине.
Никто не посадит мартышку за токарный станок. Нахуя это делаешь ты?
Да и айпады явно выглядит как черезчур.
Так что правильный выход тут - объяснять начальству что:
- либо оно им нахуй на недо айпады эти и пусть ищут другие варианты
- либо нанимать не мартышек, а людей подороже
- либо поднимать ИТ штат и создавать хелпдеск команду, которой ты убдешь рулить как начальник

Так что ты не в том направлении воюешь, имхо. Что бы ты не сделал, ты просто добавишь себе работы и администрирования этого зоопарка. Даже привязка к серийникам, престеджинг, автоэнроллмент и запись девайсов на корпоративную эппл учетку с соответствующими сертификатами (платными от эппла в том же ABM - кстати в Росси и РБ уже невозможно) всё равно оставит тебе ебенячую организационную работу это всё переваривать, заказывать, менеджить. Да, сбрасывать ты будешь проще, но работы не убавится. Ну может толькое если у тебя до 50-100 девайсов. В любом другом слечае нужен фундаментальный подход как в пунктах выше.
kuronokaras kuronokaras 04.03.202423:32 ответить ссылка 0.2
ЭТО И ЕСТЬ ЛЮДИ ПОДОРОЖЕ.
Tyekanik Tyekanik 05.03.202400:08 ответить ссылка 0.8
Ну да. Вот за это и платят сисадмину-архитектору от 300 до 500к рублей в месяц в текущих условиях. Чтобы таких проёбов не было на стадии начального внедрения и проектирования.
kuronokaras kuronokaras 05.03.202400:11 ответить ссылка 0.6
Мне проще один раз настроить и забыть. С чем я заебался так с тем что до этого плять мы регистрировали айпады как личные, создавали личные apple accounts с привязкой к телефону, потом хуйпоймикогда этот айпад у меня оказывается на столе, код никто не знает, кто им пользовался не помнит, на офисный телефон регистрировал - тоже заебался, в какой-то момент эпл сказали что слишком дохуя устройств на один номер.
и сидеть по час-полтора с этими людоедами когда своей работы невпроворот, а он заявился из другого города и через полчаса ему назад ехать надо, срочно выдать, сделать, настроить, а потом по телефону мне мозги ебать что такое логин и почему I и l это разные символы я в гробу видел.
Tyekanik Tyekanik 04.03.202422:55 ответить ссылка -0.1
Вот сбросы всегда были болью и в моей жопе, но в случае если девайс жив и заэнролен (и мы знаем фамилию кто принёс или серийник), то можно сбросить прямо с порлата интюна. Это для корпоративных. Для личный - держи пятюню, это боль и так делать нельзя.
kuronokaras kuronokaras 04.03.202423:05 ответить ссылка 0.0
"дохуя устройств на один номер" - самая большая причина боли в твоей заднице. Ни в коем случае. Каждый сам на свой КОРПОРАТИВНЫЙ емейл и собственный номер телефона.
kuronokaras kuronokaras 04.03.202423:13 ответить ссылка 0.1
я на их почту и свой рабочий телефон регистрировал, больше никак.
Tyekanik Tyekanik 04.03.202423:23 ответить ссылка 0.0
Это неправильный подход. Помянем.
КАК они у тебя вообще не ёбнулись ещё из-за отсутствия интюн лицензий? Готовся, т.к если МС поправит багу с массовым энролом на одну учетку, то сдохнет вообще всё и сразу!!!
Каждый пользователь ОБЯЗАН иметь свою лицензию и энролить под свою учетку.
Либо так, либо жесткий энтерпрайз (престейдж, oobe, когда все девайсы принадлежат зареигстрированной фирме).
kuronokaras kuronokaras 04.03.202423:37 ответить ссылка 0.7
(а они уже планировали ввести лицензии на девайсы, и, кстати, на всякие мультифоны для переговорок и для сурфейсов уже сделали девайс-бейсд лицензии)
kuronokaras kuronokaras 04.03.202423:38 ответить ссылка 0.0
кстати поэтому и всё остальное баговалось, то имя твоё высвечивалось, то хрен пойми что во владельцем девайса
kuronokaras kuronokaras 04.03.202423:49 ответить ссылка 0.0
Company Portal хорошо пока супер на сайте от не хуй делать не снесет company portal с него... Сам он его потом не переустановит, мне не сообщит и через два года - хуяк, а куда айпад девался? Вроде ж был? Тут такой бардак что хоть как-то подстраховаться... Плюс Майкрософт его deprecatит с 21 года... Плюс меня раздражает что в Intune как ты Portal ни настраивай он если с нуля установлен то принадлежность девайса так и остается висеть unknown. Если уже на настроенный айпад потом установить то можно выбрать corporate, а так на первый взгляд хуй поймешь какой персональный, а какой на работе выдан....
Tyekanik Tyekanik 04.03.202422:51 ответить ссылка 0.0
Э не, персональный/корпоративный настраивается как раз профилями. Значит у тебя не полноценное управление девайсом а просто обычный джойн или несколько профилей смешалось или смешались группы. Смотри в эту сторону и разделяй, попутно вайпая каждый раз когда меняешь профиль (и проверяй девайс и его группы или группы юзера в ажурке, мало ли).
На моей памяти при полной настройке и джойне с мобилки 100% девайсов становятся именно корпоративными. Про "снести Portal" уже точно не помню, но вроде в корпоративном варианте это было невозможно. Он ставится именно самим профилем и никуда не денется (ты прям принудительно ставишь какие приложения обязательно деплоятся на айфон или айпад от организации и девайс становится принадлежать именно организации).
Попробуй поиграть разными профилями и ни в коем случае не смешивай группы!
kuronokaras kuronokaras 04.03.202422:59 ответить ссылка 0.0
https://learn.microsoft.com/en-us/mem/intune/enrollment/automated-device-enrollment-authentication#option-2-setup-assistant-with-modern-authentication
После переключения Authentication method нужно сбросить устройство. И как именно не работает? Обычно в Intune в устройстве можно в разделе Managed Apps посмотреть ошибку.
micronyaol micronyaol 04.03.202422:37 ответить ссылка 0.6

И ещё также можно посмотреть Last check-in time на странице устройства. Оно должно обновиться после входа пользователя на устройство. В Sing-in logs этого пользователя в Entra ID посмотри Conditional Access, не мешают ли какие-нибудь политики. Должно быть Success или Not Applied. Ну и раз у тебя MFA, то пользователь, который делает enrollment, должен быть включен в политику в Conditional Access, предусматривающую MFA. В этой политике в разделе Grant должно быть установлено Require multifactor authentication.

micronyaol micronyaol 04.03.202422:58 ответить ссылка 0.0
Вот, спасибо дорогой пидор, хорошо что ты попался, видно знаком с этой хуйней.
Last check-in, compliant, enrolled - все супер, все обновляется, все есть.
Entra - я туда вообще последний раз заходил только чтобы наш домен привязать, политик никаких нет, но проверил логи и sign in везде success. MFA включен у меня, да, но он у нас у всех сотрудников включен. Плюс само приложение Comp Portal Assignments настроено Required All devices, All users, должно устанавливаться само после скачивания remote configuration. Как оно и скачивается если переключить Authentication на Company Portal вместо Setup Assistant with modern Auth.
Tyekanik Tyekanik 04.03.202423:16 ответить ссылка 0.0

Required All devices, All users - здесь может быть конфликт. Попробуй оставить только all devices.

https://learn.microsoft.com/en-us/mem/intune/enrollment/device-enrollment-program-enroll-ios здесь есть такой абзац (нужное выделил звёздочками): During initial enrollment, Intune automatically pushes the app configuration policy settings for devices enrolled with Setup Assistant with modern authentication, configured in Configure the Company Portal app to support iOS and iPadOS devices enrolled with Automated Device Enrollment, when the enrollment profile setting Install Company Portal is set to yes. **This configuration should not be deployed manually to users because it will cause a conflict with the configuration sent during the initial enrollment.** If both are deployed, Intune will incorrectly prompt device users to sign in to Company Portal and download a management profile they've already installed.

Лучше всего конечно создать в Entra группу и в нее добавить твое устройство. Можно настроить группу типа dynamic и задать правила, чтобы туда все айпады попадали сами.

micronyaol micronyaol 04.03.202423:29 ответить ссылка 0.0
пробовал кстати оставить только all devices. не сработало. к тому же стоит только в профиле перекинуть авторизацию на Company Portal и сразу все работает, больше ничего не менял.
Кстати в этом документе меня смущает часть про"when the enrollment profile setting Install Company Portal is set to yes." - стоит переключить на Setup Assistant как эта опция пропадает.
То что звездочками- это понятно, я сначала когда еще не разобрался делал вручную, этой проблемы нет. Попробую в Entra поковыряться тогда, я уже не знаю...
Tyekanik Tyekanik 05.03.202400:12 ответить ссылка 0.0
Установка через VPP работает только если выбран Company portal. Для Setup Assistant with modern authentication нужна версия из аппстора. В этом же примечании есть ссылка "Configure the Company Portal app to support iOS and iPadOS devices enrolled with Automated Device Enrollment" https://learn.microsoft.com/en-us/mem/intune/apps/app-configuration-policies-use-ios#configure-the-company-portal-app-to-support-ios-and-ipados-devices-enrolled-with-automated-device-enrollment. В начале сразу написано "Apple's Automated Device Enrollments are not compatible with the app store version of the Company Portal app by default." Так что нужно добавить iOS store app "Intune Company Portal" и создать App configuration policy, как написано.
micronyaol micronyaol 05.03.202403:02 ответить ссылка 2.4
Я сейчас вчитался - ADE не совместим с Comp Portal из аппстора по умолчанию, но его можно настроить чтобы был и если Comp Portal все таки оттуда скачан.
Intune по умолчанию запрещает что-либо скачивать юзерам из Appstore в принципе. Не помню где было написано, но обойти этот запрет нельзя, такой функции не предусмотрено. Я бы не ебался с VPP если бы можно было просто разрешить скачивать. А для того чтобы вообще хоть что-то скачать из Appstore - нужен не корпоративный аккаунт, а я этого хочу избежать чтобы они не лазили по настройкам... Так что это не очень помогает... xml configuration policy я на всякий случай добавил, но это не помогло.
Tyekanik Tyekanik 05.03.202419:00 ответить ссылка 0.0
попробую завтра О_о
Tyekanik Tyekanik 05.03.202403:31 ответить ссылка 0.2
Спасибо, да, я уже это читал... И сбрасывал уже не раз... Ошибки мне не выдает, просто нету Comp Portal и все. Заходишь в Managed Apps - там Intune Company Portal Required install Waiting for install status и все. Никаких ошибок, все спокойно и никакого Comp Portal.
Tyekanik Tyekanik 04.03.202423:02 ответить ссылка 0.0
Если сделать Sync устройства, время check in меняется?
micronyaol micronyaol 04.03.202423:13 ответить ссылка 0.0
Да. Нет, с синхронизацией вопросов нет - он отвечает очень шустро, мне быстрее wipe сделать из intune вместо самого устройства например...
Tyekanik Tyekanik 05.03.202401:33 ответить ссылка 0.0
Вот, только что - удалил устройство в Intune, поменял в профиле authentication на company portal, wipe устройство, залогинился на нем во время установки и все приложения сразу на месте и скачиваются, не только comp portal.
Tyekanik Tyekanik 05.03.202401:36 ответить ссылка 0.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы
Apple

Apple

Linux

Linux

Windows

Windows

Android OS

Android OS

Windows 10

Windows 10

intune


Тренды

Новый Год
Похожие посты
КУПОН НА 1 помощь пидоры, помогите -Ü 05 С < Тиждень День ЕКРАННИЙ ЧАС Учора, 1 грудня 24г ПОКАЗАТИ СЬОГОДН! " " п В : Ч - с - н сер 12г О Спткування Розваги 24 г 1г22хв Ефективнють i фшанси бхв Оновлено сьогодш, 12:07 НАЙУЖИВАН1Ш1 ПОКАЗАТИ КАТ ЕГОР И Twitter > 24г
подробнее»

пидоры помогите,реактор помоги iphone iOS Операционная система twitter интернет баг или фича?

Тиждень День ЕКРАННИЙ ЧАС Учора, 1 грудня 24г ПОКАЗАТИ СЬОГОДН! " " п В : Ч - с - н сер 12г О Спткування Розваги 24 г 1г22хв Ефективнють i фшанси бхв Оновлено сьогодш, 12:07 НАЙУЖИВАН1Ш1 ПОКАЗАТИ КАТ ЕГОР И Twitter > 24г