Konfigurowanie rejestracji urządzeń z systemem iOS/iPadOS przy użyciu programu Apple School Manager

  • Artykuł

Możesz skonfigurować Intune do rejestrowania urządzeń z systemem iOS/iPadOS zakupionych w ramach programu Apple School Manager. Korzystając Intune z programem Apple School Manager, możesz zarejestrować dużą liczbę urządzeń z systemem iOS/iPadOS bez ich dotykania. Gdy uczeń lub nauczyciel włączy urządzenie, asystent ustawień zostanie uruchomiony ze wstępnie skonfigurowanymi ustawieniami, a urządzenie zostanie zarejestrowane do zarządzania.

Aby włączyć rejestrację w programie Apple School Manager, należy użyć portali Intune i Apple School Manager. Wymagana jest lista numerów seryjnych lub numer zamówienia zakupu, aby można było przypisać urządzenia do Intune do zarządzania. Tworzysz profile rejestracji zautomatyzowanej rejestracji urządzeń (ADE) zawierające ustawienia stosowane do urządzeń podczas rejestracji.

Nie można używać rejestracji w programie Apple School Manager z menedżerem rejestracji urządzeń.

Wymagania wstępne

Pobieranie tokenu firmy Apple i przypisywanie urządzeń

Przed zarejestrowaniem firmowych urządzeń z systemem iOS/iPadOS przy użyciu programu Apple School Manager potrzebny jest plik tokenu (p7m) firmy Apple. Ten token umożliwia Intune synchronizowanie informacji o urządzeniach uczestniczących w programie Apple School Manager. Pozwala również Intune na przekazywanie profilów rejestracji do firmy Apple i przypisywanie urządzeń do tych profilów. Będąc w portalu firmy Apple, możesz również przypisać numery seryjne urządzeń do zarządzania.

Krok 1. Pobieranie certyfikatu klucza publicznego Intune wymaganego do utworzenia tokenu firmy Apple

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Rejestracja urządzeń>.
  2. Wybierz kartę Apple .
  3. Wybierz pozycję Tokeny programu rejestracji.
  4. Wybierz opcję Dodaj.
  5. Wybierz pozycję Pobierz klucz publiczny , aby pobrać i zapisać plik klucza szyfrowania (pem) lokalnie. Plik pem jest używany do żądania certyfikatu relacji zaufania z portalu usługi Apple School Manager.

Krok 2. Pobieranie tokenu i przypisywanie urządzeń

  1. Wybierz Twórca token za pośrednictwem usługi Apple School Manager i zaloguj się do usługi Apple School przy użyciu firmowego identyfikatora Apple ID. Ten identyfikator Apple ID umożliwia odnowienie tokenu usługi Apple School Manager.
  2. W portalu usługi Apple School Manager przejdź do pozycji Serwery MDM, a następnie wybierz pozycję Dodaj serwer MDM (w prawym górnym rogu).
  3. Wprowadź nazwę serwera MDM. Nazwa serwera służy użytkownikowi do identyfikowania serwera MDM. Nie jest to nazwa ani adres URL serwera Microsoft Intune.
  4. Wybierz pozycję Przekaż plik... w portalu firmy Apple, przejdź do pliku pem i wybierz pozycję Zapisz serwer MDM (w prawym dolnym rogu).
  5. Wybierz pozycję Pobierz token, a następnie pobierz plik tokenu serwera (p7m) na komputer.
  6. Przejdź do obszaru Przypisania urządzeń. Wybierz urządzenia, ręcznie wprowadzając ich numery seryjne lub numer zamówienia.
  7. Wybierz akcję Przypisz do serwera i wybierz utworzony serwer MDM .
  8. Określ sposób wybierania urządzeń, a następnie podaj informacje o urządzeniu i szczegóły.
  9. Wybierz pozycję Przypisz do serwera i wybierz <nazwę serwera> określoną dla Microsoft Intune, a następnie wybierz przycisk OK.

Krok 3. Zapisywanie identyfikatora Apple ID użytego do utworzenia tego tokenu

Wróć do centrum administracyjnego i wprowadź identyfikator Apple ID.

Zrzut ekranu przedstawiający wprowadzanie identyfikatora Apple ID używanego do utworzenia tokenu programu rejestracji i przechodzenie do tokenu programu rejestracji.

Krok 4. Przekazywanie tokenu

W polu Token firmy Apple przejdź do pliku certyfikatu (.pem), wybierz pozycję Otwórz, a następnie kliknij Utwórz. Za pomocą certyfikatu wypychania Intune może rejestrować urządzenia z systemem iOS/iPadOS i zarządzać nimi, wypychając zasady do zarejestrowanych urządzeń przenośnych. Intune automatycznie synchronizuje urządzenia apple school manager z firmy Apple.

Tworzenie profilu rejestracji firmy Apple

Po zainstalowaniu tokenu możesz utworzyć profil rejestracji dla urządzeń Apple School. Profil rejestracji urządzeń określa ustawienia stosowane do grupy urządzeń podczas rejestracji.

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Rejestracja urządzeń>.

  2. Wybierz kartę Apple .

  3. W obszarze Metody rejestracji zbiorczej wybierz pozycję Tokeny programu rejestracji.

  4. Wybierz token.

  5. Wybierz pozycję Profile>Twórca profil>iOS/iPadOS.

  6. W obszarze Twórca Profil wprowadź nazwę i opis profilu do celów administracyjnych. Użytkownicy nie widzą tych szczegółów. To pole Nazwa umożliwia utworzenie grupy dynamicznej w Tożsamość Microsoft Entra. Nazwa profilu umożliwia zdefiniowanie parametru enrollmentProfileName w celu przypisania urządzeń z tym profilem rejestracji. Dowiedz się więcej o Microsoft Entra grup dynamicznych.

    Nazwa i opis profilu.

  7. W obszarze Koligacja użytkownika wybierz, czy urządzenia z tym profilem muszą być zarejestrowane u przypisanego użytkownika, czy bez niego.

    • Rejestrowanie przy użyciu koligacji użytkownika — wybierz tę opcję dla urządzeń należących do użytkowników, które chcą korzystać z portalu firmy dla usług, takich jak instalowanie aplikacji. Ta opcja umożliwia również użytkownikom uwierzytelnianie urządzeń przy użyciu portalu firmy. W przypadku korzystania z usług ADFS koligacja użytkownika wymaga nazwy użytkownika protokołu WS-Trust 1.3/mieszanego punktu końcowego. Dowiedz się więcej. Tryb udostępnionego tabletu iPad programu Apple School Manager wymaga zarejestrowania użytkownika bez koligacji użytkownika.

    • Rejestrowanie bez koligacji użytkownika — wybierz tę opcję dla urządzeń niepowiązanych z pojedynczym użytkownikiem, takich jak urządzenie udostępnione. Ta opcja jest używana w przypadku urządzeń, które wykonują zadania bez uzyskiwania dostępu do danych użytkowników lokalnych. Aplikacje, takie jak Portal firmy, nie działają.

  8. Jeśli wybrano opcję Zarejestruj przy użyciu koligacji użytkownika, możesz zezwolić użytkownikom na uwierzytelnianie przy użyciu Portal firmy, Asystenta ustawień (starsza wersja) i Asystenta ustawień z nowoczesnym uwierzytelnianiem. Wybierz opcję. Aby uzyskać więcej informacji na temat metod uwierzytelniania, zobacz Metody uwierzytelniania dla automatycznej rejestracji urządzeń w Intune.

    Uwaga

    Jeśli chcesz wykonać dowolną z poniższych czynności, ustaw opcję Uwierzytelnij przy użyciu Portal firmy zamiast Asystenta ustawień firmy Apple na wartość Tak.

    • używanie uwierzytelniania wieloskładnikowego
    • monitowanie użytkowników, którzy muszą zmienić hasło podczas pierwszego logowania
    • monitowanie użytkowników o zresetowanie wygasłych haseł podczas rejestracji

    Nie są one obsługiwane podczas uwierzytelniania przy użyciu Asystenta ustawień firmy Apple.

  9. Wybierz Zarządzanie urządzeniami Ustawienia i wybierz, czy urządzenia korzystające z tego profilu mają być nadzorowane. Urządzenia nadzorowane zapewniają więcej opcji zarządzania i domyślnie wyłączoną blokadę aktywacji. Firma Microsoft zaleca używanie usługi ADE jako mechanizmu włączania trybu nadzorowanego Intune, szczególnie w przypadku organizacji wdrażających dużą liczbę urządzeń z systemem iOS/iPadOS.

    Użytkownicy są powiadamiani, że ich urządzenia są nadzorowane na dwa sposoby:

    • Ekran blokady mówi: "Ten iPhone jest zarządzany przez Firmę Contoso".

    • Ekran Ustawienia>Ogólne>informacje mówi: "Ten iPhone jest nadzorowany. Firma Contoso może monitorować ruch internetowy i zlokalizować to urządzenie.

      Uwaga

      Urządzenie zarejestrowane bez nadzoru można zresetować tylko do nadzorowanego urządzenia przy użyciu programu Apple Configurator. Zresetowanie urządzenia w ten sposób wymaga połączenia urządzenia z systemem iOS/iPadOS z komputerem Mac za pomocą kabla USB. Dowiedz się więcej na ten temat w dokumentacji programu Apple Configurator.

  10. Wybierz, czy chcesz zablokować rejestrację dla urządzeń korzystających z tego profilu. Rejestracja zablokowana wyłącza ustawienia systemu iOS/iPadOS, które umożliwiają usunięcie profilu zarządzania z menu Ustawienia . Po zarejestrowaniu urządzenia nie można zmienić tego ustawienia bez wyczyszczenia urządzenia. Takie urządzenia muszą mieć tryb nadzorowanego zarządzania ustawiony na Wartość Tak.

  11. Możesz zezwolić wielu użytkownikom na logowanie się do zarejestrowanych tabletów iPad przy użyciu zarządzanego identyfikatora Apple ID. W tym celu wybierz pozycję Tak w obszarze Udostępniony tablet iPad (ta opcja wymaga ustawienia Zarejestruj bez koligacji użytkownika i trybu nadzorowanego na wartość Tak). Zarządzane identyfikatory Apple ID są tworzone w portalu usługi Apple School Manager. Dowiedz się więcej na temat udostępnionych urządzeń iPad i udostępnionych urządzeń iPad firmy Apple.

  12. Wybierz, czy chcesz, aby urządzenia korzystające z tego profilu mogły synchronizować się z komputerami. Odmowa wszystkich oznacza, że wszystkie urządzenia korzystające z tego profilu nie będą mogły synchronizować z żadnymi danymi na żadnym komputerze. Jeśli wybierzesz opcję Zezwalaj programowi Apple Configurator według certyfikatu, musisz wybrać certyfikat w obszarze Certyfikaty programu Apple Configurator.

  13. Jeśli w poprzednim kroku wybrano pozycję Zezwalaj na program Apple Configurator według certyfikatu , wybierz certyfikat programu Apple Configurator do zaimportowania.

  14. Można określić format nazewnictwa dla urządzeń, które są automatycznie stosowane podczas rejestracji. W tym celu wybierz pozycję Tak w obszarze Zastosuj szablon nazwy urządzenia. Następnie w polu Szablon nazwy urządzenia wprowadź szablon do użycia dla nazw korzystających z tego profilu. Można określić format szablonu zawierający typ urządzenia i numer seryjny.

  15. Wybierz pozycję OK.

  16. Wybierz pozycję Ustawienia Asystenta ustawień , aby skonfigurować następujące ustawienia profilu:

    Ustawienie Opis
    Nazwa działu Wyświetlane, gdy użytkownicy klikną pozycję Informacje o konfiguracji podczas aktywacji.
    Telefon działu Jest wyświetlany, gdy użytkownik kliknie podczas aktywacji przycisk Potrzebna pomoc.
    Opcje Asystenta ustawień Następujące ustawienia opcjonalne można skonfigurować w dalszej części menu Ustawienia systemu iOS/iPadOS.
    Kod Monituj o kod dostępu podczas aktywacji. Zawsze wymagaj kodu dostępu dla niezabezpieczonych urządzeń, chyba że dostęp jest kontrolowany w inny sposób (na przykład w trybie kiosku, który ogranicza urządzenie do jednej aplikacji).
    Usługi lokalizacyjne Jeśli ta opcja jest włączona, Asystent ustawień monituje o usługę podczas aktywacji.
    Przywróć Jeśli ta opcja jest włączona, Asystent ustawień monituje o utworzenie kopii zapasowej w usłudze iCloud podczas aktywacji.
    iCloud i Apple ID Jeśli ta opcja jest włączona, Asystent ustawień monituje użytkownika o zalogowanie się do konta Apple ID, a ekran Aplikacje & Dane umożliwi przywrócenie urządzenia z kopii zapasowej usługi iCloud.
    Warunki i postanowienia Jeśli ta opcja jest włączona, Asystent ustawień monituje użytkowników o zaakceptowanie warunków i postanowień firmy Apple podczas aktywacji.
    Touch ID Jeśli jest włączona, Asystent ustawień monituje o tę usługę podczas aktywacji.
    Apple Pay Jeśli jest włączona, Asystent ustawień monituje o tę usługę podczas aktywacji.
    Powiększenia Jeśli jest włączona, Asystent ustawień monituje o tę usługę podczas aktywacji.
    Siri Jeśli jest włączona, Asystent ustawień monituje o tę usługę podczas aktywacji.
    Dane diagnostyczne Jeśli jest włączona, Asystent ustawień monituje o tę usługę podczas aktywacji.

  17. Wybierz pozycję OK.

  18. Abu zapisać profil, wybierz pozycję Utwórz.

Synchronizowanie urządzeń zarządzanych

Po przypisaniu Intune uprawnienia do zarządzania urządzeniami programu Apple School Manager zsynchronizuj Intune z usługą Firmy Apple, aby wyświetlić urządzenia zarządzane w Intune.

  1. Wróć do tokenów programu Enrollment Program.
  2. Wybierz token na liście.
  3. Wybierz pozycję Synchronizacja urządzeń>.
    Zrzut ekranu przedstawiający węzeł Urządzenia programu Enrollment Program i link Synchronizacja.

Aby postępować zgodnie z warunkami firmy Apple dotyczącymi akceptowalnego ruchu w programie rejestracji, Intune nakłada następujące ograniczenia:

  • Pełną synchronizację można uruchamiać nie częściej niż co siedem dni. Podczas pełnej synchronizacji Intune odświeża każdy numer seryjny firmy Apple przypisany do Intune. Jeśli próba pełnej synchronizacji zostanie podjęta w ciągu siedmiu dni od poprzedniej pełnej synchronizacji, Intune odświeża tylko numery seryjne, które nie zostały jeszcze wymienione w Intune.
  • Każde żądanie synchronizacji ma 15 minut na zakończenie. W tym czasie lub do momentu powodzenia żądania przycisk Synchronizacja jest wyłączony.
  • Intune synchronizuje nowe i usunięte urządzenia z firmą Apple co 24 godziny.

Uwaga

Numery seryjne programu Apple School Manager można również przypisać do profilów w bloku Urządzenia programu Enrollment Program .

Przypisywanie profilu do urządzeń

Urządzenia programu Apple School Manager zarządzane przez Intune muszą mieć przypisany profil rejestracji przed ich zarejestrowaniem.

  1. Wróć do tokenów programu Enrollment Program.
  2. Wybierz token na liście.
  3. Wybierz pozycję Urządzenia i wybierz swoje urządzenia.
  4. Wybierz pozycję Przypisz profil. Następnie wybierz profil dla urządzeń.
  5. Wybierz pozycję Przypisz.

Dystrybuowanie urządzeń do użytkowników

Włączono zarządzanie i synchronizację między firmami Apple i Intune oraz przypisano profil umożliwiający rejestrowanie urządzeń ze szkoły Apple School. Możesz teraz przekazać urządzenia użytkownikom. Gdy urządzenie Apple School Manager z systemem iOS/iPadOS jest włączone, jest rejestrowane do zarządzania przez Intune. Profilów nie można stosować do aktywowanych urządzeń aktualnie używanych do momentu wyczyszczenia urządzenia.