Inschrijving van iOS-/iPadOS-apparaten instellen met Apple School Manager

  • Artikel

U kunt Intune instellen om iOS-/iPadOS-apparaten in te schrijven die zijn aangeschaft via het Apple School Manager-programma. Met Intune met Apple School Manager kunt u grote aantallen iOS-/iPadOS-apparaten inschrijven zonder ze ooit aan te raken. Wanneer een leerling of docent het apparaat inschakelt, wordt configuratieassistent uitgevoerd met vooraf geconfigureerde instellingen en wordt het apparaat ingeschreven voor beheer.

Als u Apple School Manager-inschrijving wilt inschakelen, gebruikt u zowel de Intune- als de Apple School Manager-portal. Een lijst met serienummers of een inkoopordernummer is vereist, zodat u apparaten kunt toewijzen aan Intune voor beheer. U maakt ADE-inschrijvingsprofielen (Automated Device Enrollment) met instellingen die tijdens de inschrijving op apparaten zijn toegepast.

Apple School Manager-inschrijving kan niet worden gebruikt met de apparaatinschrijvingsmanager.

Vereisten

Een Apple-token ophalen en apparaten toewijzen

Voordat u iOS-/iPadOS-apparaten in bedrijfseigendom kunt inschrijven met Apple School Manager, hebt u een tokenbestand (.p7m) van Apple nodig. Met dit token kan Intune informatie synchroniseren over apparaten die deelnemen aan Apple School Manager. Het stelt Intune ook in staat om inschrijvingsprofieluploads uit te voeren naar Apple en apparaten toe te wijzen aan deze profielen. Terwijl u zich in de Apple-portal bevindt, kunt u ook serienummers van apparaten toewijzen om te beheren.

Stap 1: Download het Intune openbare-sleutelcertificaat dat is vereist om een Apple-token te maken

  1. Ga in het Microsoft Intune-beheercentrum naarApparaatinschrijving>.
  2. Selecteer het tabblad Apple .
  3. Kies Tokens voor het inschrijvingsprogramma.
  4. Kies Toevoegen.
  5. Selecteer Uw openbare sleutel downloaden om het versleutelingssleutelbestand (.pem) lokaal te downloaden en op te slaan. Het PEM-bestand wordt gebruikt om een vertrouwensrelatiecertificaat aan te vragen bij de Apple School Manager-portal.

Stap 2: Een token downloaden en apparaten toewijzen

  1. Kies Creatie een token via Apple School Manager en meld u aan bij Apple School met de Apple ID van uw bedrijf. U kunt deze Apple ID gebruiken om uw Apple School Manager-token te vernieuwen.
  2. Ga in de Apple School Manager-portal naar MDM-servers en kies vervolgens MDM-server toevoegen (rechtsboven).
  3. Voer de naam van de MDM-server in. De servernaam is voor eigen referentie en dient om de MDM-server te identificeren. Dit is niet de naam of URL van de Microsoft Intune server.
  4. Kies Bestand uploaden... in de Apple-portal, blader naar het PEM-bestand en kies MDM-server opslaan (rechtsonder).
  5. Kies Token ophalen en download het servertokenbestand (.p7m) naar uw computer.
  6. Ga naar Apparaattoewijzingen. Kies uw apparaten door hun serienummers of ordernummer handmatig in te voeren.
  7. Kies de actie Toewijzen aan server en kies de MDM-server die u hebt gemaakt.
  8. Geef op hoe apparaten moeten worden gekozen en geef vervolgens apparaatgegevens en -details op.
  9. Kies Toewijzen aan server, kies de <servernaam> die is opgegeven voor Microsoft Intune en kies vervolgens OK.

Stap 3: sla de Apple-id op die is gebruikt om dit token te maken

Ga terug naar het beheercentrum en voer de Apple-id in.

Schermopname met de Apple-id die is gebruikt voor het maken van het token voor het inschrijvingsprogramma en het uploaden van het token.

Stap 4: uw token uploaden

Ga in het venster Apple-token naar het certificaatbestand (.pem), kies Openen en vervolgens Maken. Met het pushcertificaat kunt Intune iOS-/iPadOS-apparaten inschrijven en beheren door beleid te pushen naar geregistreerde mobiele apparaten. Intune synchroniseert automatisch uw Apple School Manager-apparaten van Apple.

Een Apple-inschrijvingsprofiel maken

Nu u uw token hebt geïnstalleerd, kunt u een inschrijvingsprofiel maken voor Apple School-apparaten. Met een inschrijvingsprofiel voor apparaten worden de instellingen gedefinieerd die worden toegepast op een groep apparaten tijdens de inschrijving.

  1. Ga in het Microsoft Intune-beheercentrum naarApparaatinschrijving>.

  2. Selecteer het tabblad Apple .

  3. Kies onder Bulkinschrijvingsmethodende optie Inschrijvingsprogrammatokens.

  4. Selecteer een token.

  5. Selecteer Profielen>Creatie profiel>iOS/iPadOS.

  6. Voer onder Creatie Profiel een naam en beschrijving in voor het profiel voor beheerdoeleinden. Gebruikers zien deze details niet. U kunt dit veld Naam gebruiken om een dynamische groep te maken in Microsoft Entra ID. Gebruik de profielnaam om de parameter enrollmentProfileName te definiëren om apparaten aan dit inschrijvingsprofiel toe te wijzen. Meer informatie over dynamische Microsoft Entra groepen.

    Naam en beschrijving van het profiel.

  7. Kies voor Gebruikersaffiniteit of apparaten met dit profiel moeten worden ingeschreven met of zonder toegewezen gebruiker.

    • Inschrijven met gebruikersaffiniteit : kies deze optie voor apparaten die eigendom zijn van gebruikers en die de bedrijfsportal willen gebruiken voor services zoals het installeren van apps. Met deze optie kunnen gebruikers ook hun apparaten verifiëren met behulp van de bedrijfsportal. Als u ADFS gebruikt, vereist gebruikersaffiniteit WS-Trust 1.3 gebruikersnaam/gemengd eindpunt. Meer informatie. Voor de modus Gedeelde iPad van Apple School Manager moet de gebruiker zich inschrijven zonder gebruikersaffiniteit.

    • Inschrijven zonder gebruikersaffiniteit : kies deze optie voor apparaten die niet zijn gekoppeld aan één gebruiker, zoals een gedeeld apparaat. Gebruik deze optie voor apparaten die taken uitvoeren zonder toegang te krijgen tot lokale gebruikersgegevens. Apps als de Bedrijfsportal-app werken niet.

  8. Als u kiest voor Inschrijven met gebruikersaffiniteit, kunt u gebruikers laten verifiëren met Bedrijfsportal, Configuratieassistent (verouderd) en Configuratieassistent met moderne verificatie. Selecteer de optie. Zie Verificatiemethoden voor geautomatiseerde apparaatinschrijving in Intune voor meer informatie over verificatiemethoden.

    Opmerking

    Als u een van de volgende handelingen wilt uitvoeren, stelt u Verifiëren met Bedrijfsportal in plaats van Apple Setup Assistant in op Ja.

    • meervoudige verificatie gebruiken
    • vragen aan gebruikers die hun wachtwoord moeten wijzigen wanneer ze zich voor het eerst aanmelden
    • gebruikers vragen hun verlopen wachtwoorden opnieuw in te stellen tijdens de inschrijving

    Deze worden niet ondersteund bij verificatie met Apple Setup Assistant.

  9. Kies Apparaatbeheer Instellingen en kies of u wilt dat apparaten die dit profiel gebruiken onder supervisie staan. Apparaten onder supervisie bieden u meer beheeropties en activeringsvergrendeling standaard uitgeschakeld. Microsoft raadt het gebruik van ADE aan als mechanisme voor het inschakelen van de supervisiemodus van Intune, met name voor organisaties die grote aantallen iOS-/iPadOS-apparaten implementeren.

    Gebruikers krijgen een melding dat hun apparaten op twee manieren onder supervisie staan:

    • Op het vergrendelingsscherm staat: 'Deze iPhone wordt beheerd door Contoso'.

    • Op het scherm Instellingen>algemeen>over staat: 'Deze iPhone staat onder supervisie. Contoso kan uw internetverkeer bewaken en dit apparaat vinden.

      Opmerking

      Een apparaat dat zonder toezicht is ingeschreven, kan alleen opnieuw worden ingesteld op supervisie met behulp van De Apple Configurator. Als u het apparaat op deze manier opnieuw wilt instellen, moet u een iOS-/iPadOS-apparaat met een USB-kabel aansluiten op een Mac. Meer informatie hierover vindt u in Apple Configurator-documenten.

  10. Kies of u vergrendelde inschrijving wilt voor apparaten die dit profiel gebruiken. Vergrendelde inschrijving schakelt iOS-/iPadOS-instellingen uit waarmee het beheerprofiel kan worden verwijderd uit het menu Instellingen . Na de apparaatinschrijving kunt u deze instelling niet wijzigen zonder het apparaat te wissen. Op dergelijke apparaten moet de supervisiebeheermodus zijn ingesteld op Ja.

  11. U kunt meerdere gebruikers toestaan zich aan te melden bij ingeschreven iPads met behulp van een beheerde Apple-id. Hiervoor kiest u Ja onder Gedeelde iPad (voor deze optie moet u inschrijven zonder gebruikersaffiniteit en de supervisiemodus zijn ingesteld op Ja.) Beheerde Apple-id's worden gemaakt in de Apple School Manager-portal. Meer informatie over gedeelde iPad en de vereisten voor gedeelde iPads van Apple.

  12. Kies of u wilt dat de apparaten die dit profiel gebruiken, kunnen worden gesynchroniseerd met computers. Alles weigeren betekent dat alle apparaten die dit profiel gebruiken, niet kunnen worden gesynchroniseerd met gegevens op een computer. Als u Apple Configurator per certificaat toestaan kiest, moet u een certificaat kiezen onder Apple Configurator-certificaten.

  13. Als u In de vorige stap Apple Configurator per certificaat toestaan hebt gekozen, kiest u een Apple Configurator-certificaat dat u wilt importeren.

  14. U kunt een naamgevingsindeling opgeven voor apparaten die automatisch wordt toegepast wanneer ze worden ingeschreven. Hiervoor selecteert u Ja onder Apparaatnaamsjabloon toepassen. Voer vervolgens in het vak Apparaatnaamsjabloon de sjabloon in die moet worden gebruikt voor de namen die dit profiel gebruiken. U kunt een sjabloonindeling opgeven die het apparaattype en het serienummer bevat.

  15. Kies OK.

  16. Kies Instellingen voor Configuratieassistent om de volgende profielinstellingen te configureren:

    Instelling Omschrijving
    Naam afdeling Wordt weergegeven wanneer de gebruiker tijdens de activering op Over configuratie tikt.
    Telefoonnummer van afdeling Wordt weergegeven wanneer de gebruiker tijdens de activering de knop Hulp nodig klikt.
    Opties voor Configuratieassistent De volgende optionele instellingen kunnen later worden ingesteld in het menu iOS -/iPadOS-instellingen.
    Wachtwoord Vraag om wachtwoordcode tijdens de activering. Altijd een wachtwoordcode vereisen voor niet-beveiligde apparaten, tenzij de toegang op een andere manier wordt beheerd (zoals de kioskmodus die het apparaat beperkt tot één app).
    Locatieservices Als deze optie is ingeschakeld, wordt tijdens de activering om de service gevraagd.
    Herstellen Als deze optie is ingeschakeld, wordt tijdens de activering gevraagd om een iCloud-back-up.
    iCloud en Apple ID Als deze optie is ingeschakeld, vraagt de configuratieassistent de gebruiker om zich aan te melden bij een Apple-id. In het scherm Apps & Gegevens kan het apparaat worden hersteld vanuit een iCloud-back-up.
    Voorwaarden Als deze optie is ingeschakeld, worden gebruikers tijdens de activering gevraagd de voorwaarden van Apple te accepteren.
    Touch-id Als deze optie is ingeschakeld, wordt tijdens de activering om deze service gevraagd.
    Apple Pay Als deze optie is ingeschakeld, wordt tijdens de activering om deze service gevraagd.
    Zoom Als deze optie is ingeschakeld, wordt tijdens de activering om deze service gevraagd.
    Siri Als deze optie is ingeschakeld, wordt tijdens de activering om deze service gevraagd.
    Diagnostische gegevens Als deze optie is ingeschakeld, wordt tijdens de activering om deze service gevraagd.

  17. Kies OK.

  18. Kies Maken om een profiel op te slaan.

Beheerde apparaten synchroniseren

Nadat Intune toestemming heeft gekregen om uw Apple School Manager-apparaten te beheren, synchroniseert u Intune met de Apple-service om uw beheerde apparaten in Intune weer te geven.

  1. Ga terug naar Tokens voor het inschrijvingsprogramma.
  2. Selecteer een token in de lijst.
  3. Selecteer Apparaten>synchroniseren.
    Schermopname van het knooppunt Apparaten voor het inschrijvingsprogramma en de koppeling Synchroniseren.

Als u de voorwaarden van Apple wilt volgen voor acceptabel verkeer van het inschrijvingsprogramma, legt Intune de volgende beperkingen op:

  • Een volledige synchronisatie kan niet vaker dan eens in de zeven dagen worden uitgevoerd. Tijdens een volledige synchronisatie vernieuwt Intune elk Apple-serienummer dat is toegewezen aan Intune. Als een volledige synchronisatie wordt geprobeerd binnen zeven dagen na de vorige volledige synchronisatie, worden Intune alleen serienummers vernieuwd die nog niet worden vermeld in Intune.
  • Elke synchronisatieaanvraag krijgt 15 minuten om te voltooien. Gedurende deze periode of totdat de aanvraag is geslaagd, wordt de knop Synchroniseren uitgeschakeld.
  • Intune synchroniseert elke 24 uur nieuwe en verwijderde apparaten met Apple.

Opmerking

U kunt ook Apple School Manager-serienummers toewijzen aan profielen vanaf de blade Apparaten voor het inschrijvingsprogramma .

Een profiel toewijzen aan apparaten

Apple School Manager-apparaten die worden beheerd door Intune moeten een inschrijvingsprofiel krijgen voordat ze worden ingeschreven.

  1. Ga terug naar Tokens voor het inschrijvingsprogramma.
  2. Selecteer een token in de lijst.
  3. Selecteer Apparaten en kies uw apparaten.
  4. Selecteer Profiel toewijzen. Selecteer vervolgens een profiel voor de apparaten.
  5. Selecteer Toewijzen.

Apparaten distribueren naar gebruikers

U hebt beheer en synchronisatie tussen Apple en Intune ingeschakeld en een profiel toegewezen om uw Apple School-apparaten te laten inschrijven. De apparaten kunnen nu worden gedistribueerd aan de gebruikers. Wanneer een iOS-/iPadOS Apple School Manager-apparaat is ingeschakeld, wordt dit door Intune ingeschreven voor beheer. Profielen kunnen pas worden toegepast op geactiveerde apparaten die momenteel in gebruik zijn als het apparaat is gewist.