Udostępnij za pośrednictwem

Konfigurowanie automatycznej rejestracji urządzeń (ADE) dla systemu iOS/iPadOS

  • Artykuł

Dotyczy systemu iOS/iPadOS

Urządzenia należące do firmy zakupione za pośrednictwem programu Apple Business Manager lub Apple School Manager można zarejestrować w Intune za pośrednictwem automatycznej rejestracji urządzeń. Ta opcja rejestracji stosuje ustawienia organizacji z programu Apple Business Manager i Apple School Manager i rejestruje urządzenia bez konieczności ich dotykania. Telefony iPhone i iPad mogą być dostarczane bezpośrednio do pracowników i studentów. Po włączeniu urządzeń Asystent ustawień firmy Apple przeprowadzi ich przez proces konfiguracji i rejestracji.

W tym artykule opisano sposób przygotowywania i konfigurowania automatycznej rejestracji urządzeń w Microsoft Intune.

Omówienie funkcji

W poniższej tabeli przedstawiono funkcje i scenariusze obsługiwane przez automatyczne rejestrowanie urządzeń.

Funkcja Użyj tej opcji rejestracji, gdy
Chcesz tryb nadzorowany. ✔️

Tryb nadzorowany wdraża aktualizacje oprogramowania, ogranicza funkcje, zezwala i blokuje aplikacje i nie tylko.
Urządzenia są własnością organizacji lub szkoły. ✔️
Masz nowe urządzenia. ✔️
Należy zarejestrować kilka urządzeń lub dużą liczbę urządzeń (rejestracja zbiorcza). ✔️
Urządzenia są skojarzone z pojedynczym użytkownikiem. ✔️
Urządzenia są bez użytkownika, takie jak kiosk lub urządzenie dedykowane. ✔️
Urządzenia są w trybie urządzenia udostępnionego. ✔️
Urządzenia są osobiste lub własne (BYOD).

Niezalecane. Aplikacjami na urządzeniach BYOD lub osobistych można zarządzać przy użyciu zarządzania aplikacjami mobilnymi lub rejestracji użytkowników i urządzeń.
Urządzenia są zarządzane przez innego dostawcę mdm.

Jeśli chcesz w pełni zarządzać urządzeniem w Intune, użytkownicy muszą wyrejestrować się od bieżącego dostawcy mdm, a następnie zarejestrować się w Intune. Możesz też użyć funkcji ZARZĄDZANIA aplikacjami mobilnymi do zarządzania określonymi aplikacjami na urządzeniu. Ponieważ te urządzenia są własnością organizacji, zalecamy zarejestrowanie ich w Intune.
Używasz konta menedżera rejestracji urządzeń (DEM).

Konto DEM nie jest obsługiwane.

Certyfikaty

Ten typ rejestracji obsługuje protokół Automated Certificate Management Environment (ACME). Po zarejestrowaniu nowych urządzeń profil zarządzania z Intune otrzymuje certyfikat ACME. Protokół ACME zapewnia lepszą ochronę niż protokół SCEP przed nieautoryzowanym wystawianiem certyfikatów za pomocą niezawodnych mechanizmów weryfikacji i zautomatyzowanych procesów, co pomaga zmniejszyć liczbę błędów w zarządzaniu certyfikatami.

Urządzenia, które są już zarejestrowane, nie otrzymują certyfikatu ACME, chyba że zostaną ponownie zarejestrowane w Microsoft Intune. Narzędzie ACME jest obsługiwane na urządzeniach z systemem:

  • System iOS 16.0 lub nowszy

  • iPadOS 16.1 lub nowszy

Wymagania wstępne

Przed utworzeniem profilu rejestracji musisz mieć następujące elementy:

Przed rozpoczęciem

Zapoznaj się z tymi wymaganiami i najlepszymi rozwiązaniami dotyczącymi rejestracji, aby przygotować się do pomyślnej konfiguracji i wdrożenia.

Wybieranie metody uwierzytelniania

Przed utworzeniem profilu rejestracji zdecyduj, w jaki sposób użytkownicy mają uwierzytelniać się na swoich urządzeniach: za pośrednictwem aplikacji Intune — Portal firmy, Asystenta ustawień (starsza wersja) lub Asystenta ustawień z nowoczesnym uwierzytelnianiem. Korzystanie z aplikacji Portal firmy lub Asystenta ustawień z nowoczesnym uwierzytelnianiem jest uznawane za nowoczesne uwierzytelnianie i ma funkcje, takie jak uwierzytelnianie wieloskładnikowe.

Intune obsługuje również rejestrację just in time (rejestrację JIT) dla Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania, co eliminuje konieczność rejestracji i zgodności aplikacji Portal firmy w celu Microsoft Entra rejestracji i zgodności. Aby korzystać z rejestracji JIT, należy utworzyć zasady konfiguracji urządzenia przed utworzeniem profilu rejestracji firmy Apple i skonfigurować Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania.

Asystent ustawień z nowoczesnym uwierzytelnianiem jest obsługiwany na urządzeniach z systemem iOS/iPadOS 13.0 lub nowszym. Starsze urządzenia z systemem iOS/iPadOS z tym profilem będą zamiast tego używać Asystenta ustawień (starsza wersja) do uwierzytelniania.

Aby uzyskać więcej informacji na temat opcji uwierzytelniania, zobacz Metody uwierzytelniania na potrzeby automatycznej rejestracji urządzeń.

Co to jest tryb nadzorowany?

Tryb nadzorowany zapewnia większą kontrolę zarządzania nad urządzeniami należącymi do firmy, dzięki czemu można wykonywać takie czynności, jak przechwytywanie ekranu blokowego i ograniczanie funkcji AirDrop.

Urządzenia należące do firmy z systemem iOS/iPadOS 11 lub nowszym i zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń powinny zawsze być w trybie nadzorowanym, który można włączyć w profilu rejestracji. Aby uzyskać więcej informacji na temat trybu nadzorowanego, zobacz Włączanie trybu nadzorowanego systemu iOS/iPadOS. Microsoft Intune ignoruje flagę is_supervised dla urządzeń z systemem iOS/iPadOS 13.0 lub nowszym, ponieważ te urządzenia są automatycznie umieszczane w trybie nadzorowanym w momencie rejestracji.

Rejestrowanie urządzeń w trybie urządzenia udostępnionego

Możesz skonfigurować automatyczne rejestrowanie urządzeń dla urządzeń w trybie urządzenia udostępnionego. Tryb urządzenia udostępnionego to funkcja Tożsamość Microsoft Entra, która umożliwia pracownikom pierwszej linii udostępnianie jednego urządzenia przez cały dzień, logując się i w razie potrzeby. Aby uzyskać więcej informacji na temat włączania rejestracji urządzeń w trybie Microsoft Entra urządzenia udostępnionego, zobacz Automatyczne rejestrowanie urządzeń w trybie urządzenia udostępnionego.

Wdrażanie aplikacji Portal firmy

Ważna

Nie zalecamy używania App Store wersji aplikacji Portal firmy, ponieważ nie jest ona zgodna z automatyczną rejestracją urządzeń i nie zapewnia automatycznych aktualizacji i dostępności, tak jak w przypadku wdrożenia.

Wdrażanie aplikacji Intune — Portal firmy za pośrednictwem Intune jest najlepszym sposobem udostępnienia aplikacji użytkownikom i jedynym sposobem na:

  • Upewnij się, że wszystkie urządzenia ADE, w tym już zarejestrowane, otrzymują aplikację.
  • Włącz automatyczne aktualizacje aplikacji dla Portal firmy na urządzeniach ADE.

Wdróż aplikację jako wymaganą aplikację VPP z licencjonowaniem urządzeń. Aby uzyskać informacje o sposobie synchronizacji, przypisywania aplikacji VPP i zarządzania nią, zobacz Przypisywanie aplikacji zakupionej zbiorczo.

Aby włączyć automatyczne aktualizacje aplikacji dla Portal firmy, przejdź do ustawień tokenu aplikacji w centrum administracyjnym i zmień opcję Automatyczne aktualizacje aplikacji na Tak. Aby uzyskać informacje o krokach uzyskiwania dostępu do ustawień tokenu , zobacz Przekazywanie tokenu lokalizacji programu Apple VPP lub Apple Business Manager . Jeśli nie włączysz aktualizacji automatycznych, użytkownik urządzenia musi ręcznie sprawdzić je samodzielnie.

Przemieszczanie urządzenia służy do przenoszenia urządzenia bez koligacji użytkownika do urządzenia z koligacją użytkownika. Aby przygotować urządzenie, skonfiguruj wdrożenie programu VPP zgodnie z opisem we wcześniejszej części tej sekcji. Następnie skonfiguruj i wdróż zasady konfiguracji aplikacji. Upewnij się, że zasady dotyczą tylko tych urządzeń ADE bez koligacji użytkownika.

Ważna

Podczas rejestracji początkowej Intune automatycznie wypycha ustawienia zasad konfiguracji aplikacji dla urządzeń zarejestrowanych przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem, skonfigurowane w aplikacji Configure the Portal firmy app to support iOS and iPadOS devices enrolled with Automated Device Enrollment (Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemem iOS i iPadOS zarejestrowanych w zautomatyzowanej rejestracji urządzeń), gdy ustawienie profilu rejestracji Zainstaluj Portal firmy jest ustawione na wartość tak. Tej konfiguracji nie należy wdrażać ręcznie dla użytkowników, ponieważ spowoduje to konflikt z konfiguracją wysłaną podczas początkowej rejestracji. Jeśli oba są wdrożone, Intune niepoprawnie monituje użytkowników urządzeń o zalogowanie się do Portal firmy i pobranie już zainstalowanego profilu zarządzania.

Limity

  • Maksymalna liczba profilów rejestracji na token: 1000
  • Maksymalna liczba urządzeń zautomatyzowanej rejestracji urządzeń na profil: 200 000 (tyle samo co maksymalna liczba urządzeń na token).
  • Maksymalna liczba tokenów automatycznej rejestracji urządzeń na konto Intune: 2000
  • Maksymalna liczba urządzeń automatycznej rejestracji urządzeń na token: 200 000
    • Zalecamy, aby nie przekraczać 200 000 urządzeń na token. W przeciwnym razie mogą wystąpić problemy z synchronizacją. Jeśli masz więcej niż 200 000 urządzeń, podziel urządzenia na wiele tokenów ADE.
    • Apple Business Manager i Apple School Manager synchronizuje około 3000 urządzeń z Intune na minutę. Zalecamy ponowne wstrzymanie ręcznej synchronizacji z centrum administracyjnego do czasu zakończenia synchronizacji wszystkich urządzeń (łączna liczba urządzeń/3000 urządzeń na minutę).

Rozwiązywanie problemów z rejestracją

Jeśli podczas procesu rejestracji występują problemy z synchronizacją, możesz poszukać rozwiązań w artykule Rozwiązywanie problemów z rejestracją urządzeń z systemem iOS/iPadOS.

Uzyskiwanie tokenu automatycznej rejestracji urządzeń firmy Apple

Przed zarejestrowaniem urządzeń z systemem iOS/iPadOS przy użyciu usługi ADE potrzebny jest zautomatyzowany token rejestracji urządzenia (plik p7m) firmy Apple. Ten token umożliwia Intune synchronizowanie informacji o urządzeniach ADE, których właścicielem jest Twoja organizacja. Umożliwia również Intune przekazywanie profilów rejestracji do firmy Apple i przypisywanie urządzeń do tych profilów.

Użyj programu Apple Business Manager (ABM) lub Apple School Manager (ASM), aby utworzyć token i przypisać urządzenia do Intune na potrzeby zarządzania.

Uwaga

Aby włączyć usługę ADE, możesz użyć jednego z portali firmy Apple. Pozostała część tego artykułu odnosi się do programu Apple Business Manager, ale kroki są takie same w przypadku programu Apple School Manager.

Krok 1. Pobieranie certyfikatu klucza publicznego Intune

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Rejestracja urządzeń>.

  2. Wybierz kartę Apple .

  3. Wybierz pozycję Tokeny> programu rejestracjiDodaj.

  4. Na karcie Podstawy :

    1. Wybierz pozycję Zgadzam się , aby udzielić firmie Microsoft uprawnień do wysyłania informacji o użytkowniku i urządzeniu do firmy Apple.

      Zrzut ekranu przedstawiający ekran Dodawanie tokenu programu rejestracji.

    2. Wybierz pozycję Pobierz certyfikat klucza publicznego Intune wymagany do utworzenia tokenu. Ten krok powoduje pobranie i zapisanie pliku klucza szyfrowania (pem) lokalnie. Plik pem służy do żądania certyfikatu relacji zaufania z portalu usługi Apple Business Manager.

      Później w kroku 2. Przejdź do portalu usługi Apple Business Manager, przekaż ten plik pem w programie Apple Business Manager.

    3. Pozostaw tę kartę przeglądarki internetowej i otwartą stronę. Jeśli zamkniesz kartę:

      • Pobrany certyfikat jest unieważniony.
      • Musisz powtórzyć kroki.
      • Na karcie Przeglądanie i tworzenie przycisk Utwórz jest niedostępny i nie można wykonać tej procedury.

Krok 2. Przejdź do portalu usługi Apple Business Manager

Użyj portalu usługi Apple Business Manager, aby utworzyć i odnowić token ADE (serwer MDM). Ten token jest dodawany do Intune i komunikuje się między Intune a firmą Apple.

Uwaga

W poniższych krokach opisano, co należy zrobić w programie Apple Business Manager. Aby zapoznać się z konkretnymi krokami, zapoznaj się z dokumentacją firmy Apple. Pomocny może być przewodnik użytkownika programu Apple Business Manager (w witrynie internetowej firmy Apple).

Pobieranie tokenu firmy Apple

  1. W programie Apple Business Manager zaloguj się przy użyciu identyfikatora Apple ID firmy.

  2. W tym portalu wykonaj następujące kroki:

    • W ustawieniach są wyświetlane wszystkie tokeny. Dodaj serwer MDM i przekaż certyfikat klucza publicznego (plik pem), który został pobrany z Intune w kroku 1. Pobieranie certyfikatu klucza publicznego Intune (w tym artykule).

      Użyj nazwy serwera, aby zidentyfikować serwer zarządzania urządzeniami przenośnymi (MDM). Nie jest to nazwa ani adres URL usługi Microsoft Intune.

    • Po zapisaniu serwera MDM wybierz go, a następnie pobierz token (plik p7m). Później, w kroku 4. Przekaż token i zakończ, przekaż token p7m w Intune.

Przypisywanie urządzeń do tokenu firmy Apple (serwer MDM)

  1. W obszarzeUrządzeniaprogramu Apple Business Manager> wybierz urządzenia, które chcesz przypisać do tego tokenu. Możesz sortować według różnych właściwości urządzenia, takich jak numer seryjny. Można również wybrać wiele urządzeń jednocześnie.
  2. Edytuj zarządzanie urządzeniami i wybierz właśnie dodany serwer MDM. Ten krok przypisuje urządzenia do tokenu.

Krok 3. Zapisywanie identyfikatora Apple ID

  1. W przeglądarce internetowej wróć do karty zawierającej stronę Microsoft Intune Dodawanie tokenu programu rejestracji, na której rozpoczęto pracę w kroku 1. Pobieranie certyfikatu klucza publicznego Intune.

  2. W polu Apple ID wprowadź swój identyfikator. Ten krok zapisuje identyfikator. Identyfikator może być używany w przyszłości.

    Sreenshot, który pokazuje pole Apple ID na karcie Podstawy.

Krok 4. Przekazywanie tokenu i zakończenie

  1. W tokenie firmy Apple przejdź do pliku certyfikatu p7m, a następnie wybierz pozycję Otwórz.

    Porada

    Token został pobrany w kroku 2. Przejdź do portalu usługi Apple Business Manager.

  2. Wybierz pozycję Dalej.

  3. Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

Za pomocą certyfikatu wypychania Intune może rejestrować urządzenia z systemem iOS/iPadOS i zarządzać nimi, wypychając zasady do zarejestrowanych urządzeń przenośnych. Intune automatycznie synchronizuje się z firmą Apple w celu uzyskania dostępu do konta programu rejestracji.

Tworzenie profilu rejestracji firmy Apple

Po zainstalowaniu tokenu możesz utworzyć profil rejestracji na potrzeby automatycznej rejestracji urządzeń. Profil rejestracji urządzeń określa ustawienia stosowane do grupy urządzeń podczas rejestracji. Istnieje limit 1000 profilów rejestracji na token rejestracji.

Uwaga

Rejestracja urządzeń zostanie zablokowana, jeśli nie ma wystarczającej liczby licencji Portal firmy dla tokenu programu VPP lub jeśli token wygaśnie. Intune alerty, gdy token wkrótce wygaśnie lub licencje są na wyczerpaniu.

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.

  2. Wybierz kartę Apple .

  3. Wybierz pozycję Tokeny programu rejestracji.

  4. Wybierz token, a następnie wybierz pozycję Profile.

  5. Wybierz pozycję Utwórz profil>dla systemu iOS/iPadOS.

  6. W obszarze Podstawy nadaj profilowi nazwę i opis do celów administracyjnych. Użytkownicy nie widzą tych szczegółów.

  7. Wybierz pozycję Dalej.

    Ważna

    Jeśli wprowadzisz zmiany w istniejącym profilu rejestracji, nowe ustawienia nie będą obowiązywać na przypisanych urządzeniach, dopóki urządzenia nie zostaną przywrócone do ustawień fabrycznych i zostaną ponownie aktywowane. Ustawienie szablonu nazwy urządzenia jest jedynym ustawieniem, które można zmienić, które nie wymaga resetowania do ustawień fabrycznych. Zmiany szablonu nazewnictwa wejdą w życie podczas następnego zaewidencjonowania.

  8. Na liście Koligacja użytkownika wybierz opcję, która określa, czy urządzenia z tym profilem muszą zostać zarejestrowane u przypisanego użytkownika lub bez niego.

    • Rejestrowanie przy użyciu koligacji użytkownika: wybierz tę opcję dla urządzeń należących do użytkowników, którzy chcą korzystać z Portal firmy usług, takich jak instalowanie aplikacji.

    • Rejestrowanie bez koligacji użytkownika: wybierz tę opcję dla urządzeń, które nie są powiązane z jednym użytkownikiem. Użyj tej opcji dla urządzeń, które nie uzyskują dostępu do danych użytkowników lokalnych. Ta opcja jest zwykle używana w przypadku kiosku, punktu sprzedaży (POS) lub urządzeń z udostępnionymi narzędziami.

      W niektórych sytuacjach możesz chcieć skojarzyć użytkownika podstawowego z urządzeniami zarejestrowanymi bez koligacji użytkownika. Aby wykonać to zadanie, możesz wysłać IntuneUDAUserlessDevice klucz do aplikacji Portal firmy w zasadach konfiguracji aplikacji dla urządzeń zarządzanych. Pierwszy użytkownik, który loguje się do aplikacji Portal firmy, jest ustanawiany jako użytkownik podstawowy. Jeśli pierwszy użytkownik wyloguje się, a drugi zaloguje się, pierwszy użytkownik pozostanie podstawowym użytkownikiem urządzenia. Aby uzyskać więcej informacji, zobacz Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemami iOS i iPadOS ADE.

    • Zarejestruj w Tożsamość Microsoft Entra trybie udostępnionym: wybierz tę opcję, aby zarejestrować urządzenia, które będą w trybie udostępnionym.

  9. Jeśli wybrano pozycję Zarejestruj przy użyciu koligacji użytkownika dla pola Koligacja użytkownika , masz możliwość wybrania metody uwierzytelniania, która musi być używana przez pracowników. Aby uzyskać więcej informacji o każdej metodzie uwierzytelniania, zobacz Metody uwierzytelniania dla automatycznej rejestracji urządzeń.

    Zrzut ekranu przedstawiający opcje metody uwierzytelniania.

    Dostępne opcje:

    • Portal firmy
    • Asystent ustawień (starsza wersja)
    • Asystent ustawień z nowoczesnym uwierzytelnianiem

  10. Jeśli wybrano Asystenta ustawień (starsza wersja) dla metody uwierzytelniania, ale chcesz również użyć dostępu warunkowego lub wdrożyć aplikacje firmowe na urządzeniach, musisz zainstalować Portal firmy na urządzeniach i zalogować się, aby ukończyć rejestrację Microsoft Entra. W tym celu wybierz pozycję Tak, aby zainstalować Portal firmy. Jeśli chcesz, aby użytkownicy otrzymywali Portal firmy bez konieczności uwierzytelniania w App Store, w obszarze Instalowanie Portal firmy za pomocą programu VPP wybierz token programu VPP. Upewnij się, że token nie wygaśnie i że masz wystarczającą liczbę licencji urządzeń, aby aplikacja Portal firmy mogła zostać prawidłowo wdrożona.

  11. Jeśli wybierzesz token na potrzeby instalacji Portal firmy przy użyciu programu VPP, możesz zablokować urządzenie w trybie pojedynczej aplikacji (w szczególności w aplikacji Portal firmy) bezpośrednio po zakończeniu pracy Asystenta ustawień. Wybierz pozycję Tak, aby uruchomić Portal firmy w trybie pojedynczej aplikacji, dopóki uwierzytelnianie nie ustawi tej opcji. Aby korzystać z urządzenia, użytkownik musi najpierw uwierzytelnić się, logując się do Portal firmy.

    Uwaga

    Uwierzytelnianie wieloskładnikowe nie jest obsługiwane na jednym urządzeniu zablokowanym w trybie pojedynczej aplikacji. To ograniczenie istnieje, ponieważ urządzenie nie może przełączyć się do innej aplikacji w celu ukończenia drugiego czynnika uwierzytelniania. Jeśli chcesz korzystać z uwierzytelniania wieloskładnikowego na urządzeniu z trybem pojedynczej aplikacji, drugi czynnik musi znajdować się na innym urządzeniu.

    Ta funkcja jest obsługiwana tylko w systemie iOS/iPadOS 11.3.1 lub nowszym.

    Zrzut ekranu przedstawiający opcję Uruchom Portal firmy w trybie pojedynczej aplikacji.

  12. Jeśli chcesz, aby urządzenia korzystające z tego profilu były nadzorowane, wybierz pozycję Tak na liście Nadzorowane .

    Zrzut ekranu przedstawiający opcję Nadzorowane.

    Urządzenia nadzorowane zapewniają więcej opcji zarządzania i domyślnie wyłączoną blokadę aktywacji. Firma Microsoft zaleca używanie usługi ADE jako mechanizmu włączania trybu nadzorowanego, zwłaszcza jeśli wdrażasz dużą liczbę urządzeń z systemem iOS/iPadOS. Urządzenia Apple Shared iPad dla firm muszą być nadzorowane.

    Użytkownicy są powiadamiani, że ich urządzenia są nadzorowane w aplikacji Ustawienia . W aplikacji w górnej części ekranu jest wyświetlany komunikat statyczny informujący o tym, że ten iPhone jest nadzorowany i zarządzany przez <your organization>program .

    Uwaga

    Jeśli urządzenie jest zarejestrowane bez nadzoru, musisz użyć programu Apple Configurator, jeśli chcesz ustawić je na nadzorowane. Aby zresetować urządzenie w ten sposób, należy podłączyć je do komputera Mac za pomocą USB. Aby uzyskać więcej informacji, zobacz Pomoc programu Apple Configurator.

  13. Na liście Rejestracja zablokowana wybierz pozycję Tak lub Nie. Rejestracja zablokowana wyłącza ustawienia systemu iOS/iPadOS, które umożliwiają usunięcie profilu zarządzania. Jeśli włączysz rejestrację zablokowaną, przycisk w aplikacji Ustawienia, który umożliwia użytkownikom usunięcie profilu zarządzania, będzie ukryty, a użytkownicy nie będą mogli wyrejestrować urządzenia. Jeśli konfigurujesz urządzenia w trybie Tożsamość Microsoft Entra udostępnionym, wybierz pozycję Tak.

    Rejestracja zablokowana działa nieco inaczej, na początku na urządzeniach, które nie zostały pierwotnie zakupione za pośrednictwem programu Apple Business Manager, ale później zostały dodane jako część automatycznej rejestracji urządzeń: użytkownicy na tych urządzeniach mogą zobaczyć przycisk usuwania zarządzania w aplikacji Ustawienia przez pierwsze 30 dni po aktywowaniu urządzenia. Po upływie tego okresu tymczasowego ta opcja jest ukryta. Aby uzyskać więcej informacji, zobacz Przygotowywanie urządzeń ręcznie (otwiera dokumentację pomocy programu Apple Configurator).

    Ważna

    To ustawienie różni się od opcji usuwania i resetowania w aplikacji Portal firmy. Niezależnie od sposobu konfigurowania zablokowanej rejestracji opcje Usuń urządzenie lub Resetowanie do ustawień fabrycznych w aplikacji Portal firmy pozostają niedostępne na urządzeniach zarejestrowanych w ramach automatycznej rejestracji urządzeń. Użytkownicy również nie będą mogli usunąć urządzenia w witrynie internetowej Portal firmy. Aby uzyskać więcej informacji na temat akcji samoobsługowych dostępnych na zarejestrowanych urządzeniach, zobacz Akcje samoobsługowe.

  14. Jeśli w poprzednich krokach wybrano pozycję Zarejestruj bez koligacji użytkownika i nadzorowane , musisz zdecydować, czy urządzenia mają być urządzeniami udostępnionymi apple iPad dla firm. Wybierz pozycję Tak dla udostępnionego tabletu iPad , aby umożliwić wielu użytkownikom logowanie się na jednym urządzeniu. Użytkownicy uwierzytelniają się przy użyciu zarządzanych identyfikatorów Apple ID i kont uwierzytelniania federacyjnego lub za pomocą sesji tymczasowej (takiej jak konto gościa). Ta opcja wymaga systemu iOS/iPadOS 13.4 lub nowszego. W przypadku udostępnionego tabletu iPad wszystkie okienka Asystenta ustawień po aktywacji są automatycznie pomijane.

    Uwaga

    • Czyszczenie urządzenia będzie wymagane, jeśli profil rejestracji systemu iOS/iPadOS z włączonym udostępnionym tabletem iPad zostanie wysłany do nieobsługiwanego urządzenia. Nieobsługiwanymi urządzeniami są wszystkie modele telefonów iPhone i tablety iPad z systemem iPadOS/iOS 13.3 lub starszym. Obsługiwane urządzenia obejmują tablety iPad z systemem iPadOS 13.3 lub nowszym.
    • Aby skonfigurować udostępniony tablet iPad firmy Apple dla firm, skonfiguruj następujące ustawienia:
      • Na liście Koligacja użytkownika wybierz pozycję Zarejestruj bez koligacji użytkownika.
      • Na liście Nadzorowane wybierz pozycję Tak.
      • Na liście Udostępnione tablety iPad wybierz pozycję Tak.

    Jeśli konfigurujesz urządzenia Apple Shared iPad for Business, skonfiguruj również:

    • Maksymalna liczba buforowanych użytkowników: wprowadź liczbę użytkowników, którzy mają korzystać z udostępnionego tabletu iPad. Możesz buforować maksymalnie 24 użytkowników na urządzeniu o pojemności 32 GB lub 64 GB. Jeśli wybierzesz małą liczbę, wyświetlenie danych użytkowników na ich urządzeniach po zalogowaniu się może trochę potrwać. Jeśli wybierzesz dużą liczbę, użytkownikom może zabraknąć miejsca na dysku.

    • Maksymalna liczba sekund po zablokowaniu ekranu przed wprowadzeniem hasła: wprowadź czas w sekundach. Akceptowane wartości to: 0, 60, 300, 900, 3600 i 14400. Jeśli blokada ekranu przekroczy ten czas, do odblokowania urządzenia będzie wymagane hasło urządzenia. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 13.0 lub nowszym.

    • Maksymalna liczba sekund braku aktywności do momentu wylogowania sesji użytkownika: minimalna dozwolona wartość dla tego ustawienia wynosi 30. Jeśli po zdefiniowanym okresie nie ma żadnych działań, sesja użytkownika kończy się i wylogowuje użytkownika. Jeśli pozostawisz wpis pusty lub ustawisz go na zero (0), sesja nigdy nie zakończy się z powodu braku aktywności. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 14.5 lub nowszym.

    • Wymagaj tylko sesji tymczasowej udostępnionego tabletu iPad: konfiguruje urządzenie tak, aby użytkownicy widzieli tylko wersję gościa środowiska logowania i musieli zalogować się jako goście. Nie mogą zalogować się przy użyciu zarządzanego identyfikatora Apple ID. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 14.5 lub nowszym.

      Po ustawieniu opcji Tak to ustawienie anuluje następujące ustawienia udostępnionego tabletu iPad, ponieważ nie mają one zastosowania w sesjach tymczasowych:

      • Maksymalna liczba buforowanych użytkowników
      • Maksymalna liczba sekund po zablokowaniu ekranu przed wymaganiem hasła
      • Maksymalna liczba sekund braku aktywności do momentu wylogowania sesji użytkownika

    • Maksymalna liczba sekund braku aktywności do momentu wylogowania sesji tymczasowej: minimalna dozwolona wartość dla tego ustawienia wynosi 30. Jeśli po zdefiniowanym okresie nie ma żadnych działań, sesja tymczasowa kończy się i wylogowuje użytkownika. Jeśli pozostawisz wpis pusty lub ustawisz go na zero (0), sesja nigdy nie zakończy się z powodu braku aktywności. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 14.5 lub nowszym.

      To ustawienie jest dostępne, gdy ustawienie Wymagaj sesji tymczasowej udostępnionego tabletu iPad ma ustawioną wartość Tak.

    Uwaga

    • Jeśli sesje tymczasowe są włączone, wszystkie dane użytkownika są usuwane podczas wylogowywania się z sesji. Oznacza to, że wszystkie docelowe zasady i aplikacje będą sprowadzane do użytkownika podczas logowania i zostaną usunięte po wylogowyniu użytkownika.
    • Aby zmienić konfigurację udostępnionych tabletów iPad tak, aby nie miały sesji tymczasowych, urządzenie będzie musiało zostać w pełni zresetowane, a nowy profil rejestracji ze zaktualizowanymi konfiguracjami będzie musiał zostać wysłany do tabletu iPad.

  15. Na liście Synchronizuj z komputerami wybierz opcję dla urządzeń korzystających z tego profilu. Jeśli wybierzesz pozycję Zezwalaj na program Apple Configurator według certyfikatu, musisz wybrać certyfikat w obszarze Certyfikaty programu Apple Configurator.

    Uwaga

    Jeśli ustawisz opcję Synchronizuj z komputerami na wartość Odmów wszystkim, port będzie ograniczony na urządzeniach z systemami iOS i iPadOS. Port będzie ograniczony tylko do ładowania. Korzystanie z programu iTunes lub Programu Apple Configurator 2 zostanie zablokowane.

    Jeśli ustawisz opcję Synchronizuj z komputerami na wartość Zezwalaj na program Apple Configurator według certyfikatu, upewnij się, że masz lokalną kopię certyfikatu, którego można użyć później. Nie będzie można wprowadzać zmian w przekazanej kopii i ważne jest zachowanie kopii tego certyfikatu. Jeśli chcesz nawiązać połączenie z urządzeniem z systemem iOS/iPadOS z urządzenia mac, ten sam certyfikat musi być zainstalowany na urządzeniu nawiązującym połączenie z urządzeniem z systemem iOS/iPadOS.

  16. Jeśli w poprzednim kroku wybrano pozycję Zezwalaj na program Apple Configurator według certyfikatu , wybierz certyfikat programu Apple Configurator do zaimportowania. Limit wynosi 10 certyfikatów.

  17. W przypadku ostatecznej konfiguracji Await dostępne są następujące opcje:

    • Tak: włącz zablokowane środowisko na końcu Asystenta ustawień, aby upewnić się, że na urządzeniu są zainstalowane najważniejsze zasady konfiguracji urządzeń. Tuż przed załadowaniem ekranu głównego Asystent ustawień wstrzymuje działanie i umożliwia Intune zaewidencjonowania przy użyciu urządzenia. Środowisko użytkownika końcowego blokuje się, gdy użytkownicy czekają na końcowe konfiguracje.

      Czas, przez który użytkownicy są przetrzymywani na ekranie Oczekiwanie na ostateczną konfigurację, jest różny i zależy od całkowitej liczby zasad i aplikacji stosowanych do urządzenia. Więcej zasad i aplikacji przypisanych do urządzenia, tym dłuższy czas oczekiwania. Asystent ustawień i Microsoft Intune nie wymuszają minimalnego lub maksymalnego limitu czasu podczas tej części konfiguracji. Podczas walidacji produktu większość przetestowanych urządzeń została wydana i mogła uzyskać dostęp do ekranu głównego w ciągu 15 minut. Jeśli włączysz tę funkcję i użyjesz osoby spoza firmy Microsoft, aby ułatwić aprowizowanie urządzeń, poinformuj ją o możliwości wydłużenia czasu aprowizacji.

      Uwaga

      Podczas oczekiwania na końcowy ekran konfiguracji zaczynają być instalowane tylko zasady konfiguracji urządzeń, a aplikacje nie są w tym uwzględniane.

      Zablokowane środowisko działa na urządzeniach docelowych z nowymi i istniejącymi profilami rejestracji. Obsługiwane urządzenia obejmują:

      • Urządzenia z systemem iOS/iPadOS 13+ rejestrujące się przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem
      • Urządzenia z systemem iOS/iPadOS 13+ rejestrujące się bez koligacji użytkownika
      • Urządzenia z systemem iOS/iPadOS 13+ rejestrujące się w trybie udostępnionym Tożsamość Microsoft Entra

      To ustawienie jest stosowane raz podczas wbudowanego środowiska automatycznej rejestracji urządzeń w Asystentze ustawień. Użytkownik urządzenia nie wystąpi ponownie, chyba że ponownie zarejestruje swoje urządzenie. Tak jest ustawieniem domyślnym dla nowych profilów rejestracji.

    • Nie: urządzenie zostanie wydane na ekranie głównym po zakończeniu pracy Asystenta ustawień, niezależnie od stanu instalacji zasad. Użytkownicy urządzeń mogą mieć dostęp do ekranu głównego lub zmienić ustawienia urządzenia przed zainstalowaniem wszystkich zasad. Ustawienie Nie jest ustawieniem domyślnym dla istniejących profilów rejestracji.

    Ustawienie konfiguracji await jest niedostępne w profilach z tą kombinacją konfiguracji:

    • Koligacja użytkownika: rejestrowanie bez koligacji użytkownika (krok 6 w tej sekcji)
    • Udostępniony tablet iPad: Tak (krok 12 w tej sekcji)

  18. Opcjonalnie utwórz szablon nazwy urządzenia, aby szybko zidentyfikować urządzenia przypisane do tego profilu w centrum administracyjnym. Intune używa szablonu do tworzenia i formatowania nazw urządzeń. Nazwy są nadane urządzeniom podczas rejestracji i po każdym kolejnym zaewidencjonowaniu. Aby utworzyć szablon:

  19. W obszarze Zastosuj szablon nazwy urządzenia wybierz pozycję Tak .

  20. W polu Szablon nazwy urządzenia wprowadź szablon, którego chcesz użyć do konstruowania nazw urządzeń. Szablon może zawierać typ urządzenia i numer seryjny. Nie może zawierać więcej niż 63 znaków, w tym zmiennych. Przykład: {{DEVICETYPE}}-{{SERIAL}}

  21. Możesz aktywować plan danych komórkowych. To ustawienie dotyczy urządzeń z systemem iOS/iPadOS 13.0 lub nowszym. Skonfigurowanie tej opcji powoduje wysłanie polecenia w celu aktywowania planów danych komórkowych dla urządzeń komórkowych z obsługą karty eSim. Aby można było aktywować plany danych za pomocą tego polecenia, przewoźnik musi zainicjować aktywację urządzeń. Aby aktywować plan danych komórkowych, wybierz pozycję Tak, a następnie wprowadź adres URL serwera aktywacji operatora.

  22. Wybierz pozycję Dalej.

  23. Na karcie Asystent ustawień skonfiguruj następujące ustawienia profilu:

    Ustawienie działu Opis
    Department Wyświetlane, gdy użytkownicy klikną pozycję Informacje o konfiguracji podczas aktywacji.
    Telefon działu Pojawia się, gdy użytkownicy naciskają przycisk Potrzebna pomoc podczas aktywacji.

    Ekrany Asystenta ustawień można ukryć na urządzeniu podczas konfigurowania użytkownika. Aby uzyskać opis wszystkich ekranów, zobacz Dokumentacja ekranu Asystenta ustawień (w tym artykule).

    • Jeśli wybierzesz pozycję Ukryj, ekran nie będzie wyświetlany podczas instalacji. Po skonfigurowaniu urządzenia użytkownik nadal może przejść do menu Ustawienia , aby skonfigurować tę funkcję.
    • Jeśli wybierzesz pozycję Pokaż, ekran zostanie wyświetlony podczas instalacji, ale tylko wtedy, gdy po przywróceniu lub po aktualizacji oprogramowania zostaną ukończone kroki. Użytkownicy mogą czasami pomijać ekran bez podejmowania akcji. Następnie mogą przejść do menu Ustawienia urządzenia, aby skonfigurować tę funkcję.
    • W przypadku udostępnionego tabletu iPad wszystkie okienka Asystenta ustawień po aktywacji są automatycznie pomijane niezależnie od konfiguracji.

  24. Wybierz pozycję Dalej.

  25. Aby zapisać profil, wybierz pozycję Utwórz.

Grupy dynamiczne w Tożsamość Microsoft Entra

Za pomocą pola Nazwa rejestracji możesz utworzyć grupę dynamiczną w Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Microsoft Entra grupy dynamiczne.

Możesz użyć nazwy profilu, aby zdefiniować parametr enrollmentProfileName w celu przypisania urządzeń z tym profilem rejestracji.

Przed instalacją urządzenia i aby zapewnić szybkie dostarczanie do urządzeń z koligacją użytkownika, upewnij się, że zarejestrowany użytkownik należy do Microsoft Entra grupy użytkowników.

W przypadku przypisywania grup dynamicznych do profilów rejestracji może wystąpić opóźnienie w dostarczaniu aplikacji i zasad do urządzeń po rejestracji.

Dokumentacja ekranu Asystenta ustawień

W poniższej tabeli opisano ekrany Asystenta ustawień wyświetlane podczas automatycznej rejestracji urządzeń z systemem iOS/iPadOS. Te ekrany można wyświetlać lub ukrywać na obsługiwanych urządzeniach podczas rejestracji. Aby uzyskać więcej informacji o tym, jak każdy ekran Asystenta ustawień wpływa na środowisko użytkownika, zobacz następujące zasoby firmy Apple:

Ekran Asystenta ustawień Co się dzieje, gdy jest widoczny
Kod dostępu Pokazuje użytkownikom okienko kodu dostępu i blokady hasła oraz monituje użytkowników o podanie kodu dostępu. Zawsze wymagaj kodu dostępu dla niezabezpieczonych urządzeń, chyba że dostęp jest kontrolowany w inny sposób (na przykład za pośrednictwem konfiguracji trybu kiosku, która ogranicza urządzenie do jednej aplikacji). Ten ekran jest dostępny dla systemu iOS/iPadOS w wersji 7.0 lub nowszej z pewnymi ograniczeniami. Aby uzyskać więcej informacji, zobacz Ograniczenia w tym artykule.
Usługi lokalizacyjne Pokazuje okienko konfiguracji usług lokalizacyjnych, w którym użytkownicy mogą włączać usługi lokalizacyjne na swoim urządzeniu. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Przywróć Pokazuje okienko konfiguracji aplikacji i danych. Na tym ekranie użytkownicy konfigurując urządzenia mogą przywracać lub przesyłać dane z usługi iCloud Backup. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Identyfikator firmy Apple Pokazuje okienko konfiguracji identyfikatora Apple ID, które umożliwia użytkownikom logowanie się przy użyciu identyfikatora Apple ID i korzystanie z usługi iCloud. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Warunki i postanowienia Pokazuje okienko Warunki i postanowienia firmy Apple i wymaga od użytkowników ich zaakceptowania. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Touch ID i Face ID Pokazuje okienko konfiguracji biometrycznej, które umożliwia użytkownikom skonfigurowanie identyfikacji odcisku palca lub twarzy na swoich urządzeniach. W przypadku systemu iOS/iPadOS 8.1 i nowszych z pewnymi ograniczeniami. Aby uzyskać więcej informacji, zobacz Ograniczenia w tym artykule.
Apple Pay Pokazuje okienko konfiguracji usługi Apple Pay, które umożliwia użytkownikom skonfigurowanie usługi Apple Pay na swoich urządzeniach. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Powiększenia Pokazuje okienko konfiguracji powiększenia, które umożliwia użytkownikom skonfigurowanie ustawień powiększenia. W systemie iOS/iPadOS 8.3 lub nowszym i przestarzałe w systemie iOS/iPadOS 17.
Siri Pokazuje użytkownikom okienko konfiguracji Siri. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Dane diagnostyczne Pokazuje okienko diagnostyki, w którym użytkownicy mogą wyrazić zgodę na wysyłanie danych diagnostycznych do firmy Apple. W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Wyświetlanie sygnału Pokazuje okienko konfiguracji tonu wyświetlania, w którym użytkownicy mogą skonfigurować ustawienia balansu bieli na ekranie. W systemie iOS/iPadOS 9.3.2 lub nowszym i przestarzałe w systemie iOS/iPadOS 15.
Prywatność Pokazuje użytkownikowi okienko konfiguracji prywatności. W przypadku systemu iOS/iPadOS w wersji 11.3 lub nowszej.
Migracja systemu Android Pokazuje okienko konfiguracji przeznaczone dla poprzednich użytkowników systemu Android. Na tym ekranie użytkownicy mogą migrować dane z urządzenia z systemem Android. W systemie iOS/iPadOS 9.0 i nowszych wersjach.
iMessage & FaceTime Pokazuje okienko konfiguracji dla usług iMessage i FaceTime. W systemie iOS/iPadOS 9.0 i nowszych wersjach.
Dołączanie Pokazuje ekrany informacyjne dołączania dla edukacji użytkowników, takie jak Arkusz tytułowy i Wielozadaniowość i Centrum sterowania. W przypadku systemu iOS/iPadOS w wersji 11.0 lub nowszej.
Czas przed ekranem Pokazuje ekran Czas ekranu. W przypadku systemu iOS/iPadOS w wersji 12.0 lub nowszej.
Konfiguracja karty SIM Pokazuje okienko konfiguracji sieci komórkowej, w którym użytkownicy mogą dodać plan komórkowy. W przypadku systemu iOS/iPadOS w wersji 12.0 lub nowszej.
Aktualizacja oprogramowania Pokazuje obowiązkowy ekran aktualizacji oprogramowania. W przypadku systemu iOS/iPadOS w wersji 12.0 lub nowszej.
Obejrzyj migrację Pokazuje okienko migracji Apple Watch, w którym użytkownicy mogą migrować dane z Apple Watch. W przypadku systemu iOS/iPadOS w wersji 11.0 lub nowszej.
Wygląd Pokazuje okienko konfiguracji wyglądu. W przypadku systemu iOS/iPadOS w wersji 13.0 lub nowszej.
Migracja urządzenia do urządzenia Pokazuje okienko migracji urządzenia do urządzenia. Na tym ekranie użytkownicy mogą przesyłać dane ze starego urządzenia do bieżącego urządzenia. Opcja transferu danych bezpośrednio z urządzenia nie jest dostępna dla urządzeń z systemem iOS 13 lub nowszym.
Zakończono przywracanie Pokazuje użytkownikom ekran Przywracanie ukończone po wykonaniu kopii zapasowej i przywracania podczas Asystenta ustawień.
Ukończono aktualizację oprogramowania Pokazuje użytkownikom wszystkie aktualizacje oprogramowania, które mają miejsce podczas asystenta ustawień.
Rozpocząć Pokazuje użytkownikom ekran powitalny Wprowadzenie.
Warunki adresu Pokazuje terminy okienka adresów, które daje użytkownikom możliwość wyboru sposobu, w jaki mają być rozwiązywane w całym systemie: kobiece, męskie lub neutralne. Ta funkcja firmy Apple jest dostępna dla wybranych języków. Aby uzyskać więcej informacji, zobacz Kluczowe funkcje i ulepszenia (otwiera witrynę internetową firmy Apple). Dla systemu iOS/iPadOS w wersji 16.0 lub nowszej.
Awaryjne sosy Pokazuje okienko konfiguracji zabezpieczeń. Dla systemu iOS/iPadOS w wersji 16.0 lub nowszej.
Przycisk akcji Pokazuje okienko konfiguracji dla przycisku akcji. W przypadku systemu iOS/iPadOS w wersji 17.0 lub nowszej.
Analiza Pokazuje okienko konfiguracji usługi Apple Intelligence, w którym użytkownicy mogą konfigurować funkcje usługi Apple Intelligence. Dla systemu iOS/iPadOS w wersji 18.0 lub nowszej.

Synchronizowanie urządzeń zarządzanych

Gdy usługa Intune ma uprawnienia do zarządzania urządzeniami, można ją zsynchronizować z danymi firmy Apple, aby wyświetlić zarządzane urządzenia w usłudze Intune w witrynie Azure Portal.

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.

  2. Wybierz kartę Apple .

  3. Wybierz pozycję Tokeny programu rejestracji.

  4. Wybierz token z listy, a następnie wybierz pozycję Synchronizacja urządzeń>.

    Zrzut ekranu przedstawiający sposób synchronizowania urządzeń z systemem iOS i iPadOS z tokenem programu rejestracji.

    Aby postępować zgodnie z warunkami firmy Apple dotyczącymi akceptowalnego ruchu w programie rejestracji, Intune nakłada następujące ograniczenia:

    • Pełną synchronizację można uruchamiać nie częściej niż co siedem dni. Podczas pełnej synchronizacji usługa Intune pobiera pełną zaktualizowaną listę numerów seryjnych przypisanych do serwera MDM firmy Apple połączonego z usługą Intune.

      Ważna

      Jeśli urządzenie zostanie usunięte z Intune, ale pozostanie przypisane do tokenu rejestracji ADE w portalu ASM/ABM, pojawi się ponownie w Intune podczas następnej pełnej synchronizacji. Jeśli nie chcesz, aby urządzenie pojawiło się ponownie w Intune, usuń przypisanie go z serwera MDM firmy Apple w portalu ABM/ASM.

    • Jeśli urządzenie zostanie zwolnione z usługi ABM/ASM, może upłynąć do 45 dni, aż zostanie ono automatycznie usunięte ze strony urządzeń w usłudze Intune. W razie potrzeby można ręcznie usunąć zwolnione urządzenia z usługi Intune pojedynczo. Wydane urządzenia są dokładnie zgłaszane jako usunięte z usługi ABM/ASM w Intune, dopóki nie zostaną automatycznie usunięte w ciągu 30–45 dni.
    • Synchronizacja różnic jest uruchamiana automatycznie co 12 godzin. Możesz również wyzwolić synchronizację różnicową, wybierając przycisk Synchronizuj (nie więcej niż raz na 15 minut). Wszystkie żądania synchronizacji mają 15 minut na zakończenie. Przycisk Synchronizacja staje się nieaktywny do momentu zakończenia synchronizacji. Synchronizacja odświeża istniejący stan urządzenia i importuje nowe urządzenia przypisane do serwera MDM firmy Apple. Jeśli synchronizacja różnic nie powiedzie się z jakiegokolwiek powodu, następna synchronizacja jest pełną synchronizacją i może rozwiązać wszelkie problemy.

Przypisywanie profilu rejestracji do urządzeń

Przed zarejestrowaniem urządzeń należy przypisać do nich profil rejestracji.

Uwaga

Numery seryjne można również przypisać do profilów w okienku Numery seryjne firmy Apple .

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.
  2. Wybierz kartę Apple .
  3. Wybierz pozycję Tokeny programu rejestracji.
  4. Wybierz token rejestracji.
  5. Wybierz pozycję Urządzenia.
  6. Wybierz wszystkie urządzenia, które chcesz przypisać, a następnie wybierz pozycję Przypisz profil.
  7. W obszarze Przypisywanie profilu wybierz profil automatycznej rejestracji urządzeń utworzony dla urządzeń, a następnie wybierz pozycję Przypisz.

Przypisywanie profilu domyślnego

Możesz wybrać profil domyślny, który ma zostać zastosowany do wszystkich urządzeń, które rejestrują się przy użyciu określonego tokenu.

  1. W centrum administracyjnym wróć do tokenów programu Rejestracji.
  2. Wybierz token rejestracji.
  3. Wybierz pozycję Ustaw profil domyślny.
  4. Wybierz profil na liście, a następnie wybierz pozycję Zapisz. W tym miejscu Intune stosuje profil do wszystkich urządzeń, które rejestrują się przy użyciu wybranego tokenu rejestracji.

Uwaga

Upewnij się, że ograniczenia typu urządzenia w obszarze Ograniczenia rejestracji nie mają domyślnych zasad Wszyscy użytkownicy ustawionych na blokowanie platformy systemu iOS/iPadOS. To ustawienie spowoduje niepowodzenie automatycznej rejestracji, a urządzenie będzie wyświetlane jako Nieprawidłowy profil, niezależnie od zaświadczania użytkownika. Aby zezwolić na rejestrację tylko przez urządzenia zarządzane przez firmę, zablokuj tylko urządzenia należące do użytkownika, co umożliwi rejestrowanie urządzeń firmowych. Firma Microsoft definiuje urządzenie firmowe jako urządzenie zarejestrowane za pośrednictwem programu Device Enrollment Program lub urządzenia ręcznie wprowadzonego w obszarze Identyfikatory urządzeń firmowych.

Dystrybuowanie urządzeń

Włączono zarządzanie i synchronizację między firmą Apple i Intune oraz przypisano profil, aby można było zarejestrować urządzenia ADE. Teraz możesz już dystrybuować urządzenia do użytkowników. Niektóre rzeczy, które należy wiedzieć:

  • Aby używać urządzeń zarejestrowanych z koligacją użytkownika, użytkownicy muszą mieć przypisaną licencję Intune.

  • Urządzenia zarejestrowane bez koligacji użytkownika zazwyczaj nie mają żadnych skojarzonych użytkowników. Te urządzenia muszą mieć licencję Intune urządzenia. Jeśli urządzenie bez koligacji użytkownika jest używane przez użytkownika z licencją Intune, licencja urządzenia nie jest wymagana.

    Podsumowując, jeśli urządzenie ma użytkownika, użytkownik musi mieć przypisaną licencję Intune. Jeśli urządzenie nie ma użytkownika z licencją Intune, urządzenie musi mieć licencję Intune urządzenia.

    Aby uzyskać więcej informacji na temat licencjonowania Intune, zobacz Microsoft Intune licensing and the Intune planning guide (Licencjonowanie Microsoft Intune i przewodnik planowania Intune).

  • Urządzenie, które zostało już aktywowane, musi zostać wyczyszczone, zanim będzie można je poprawnie zarejestrować przy użyciu automatycznej rejestracji urządzeń. Po wyczyszczeniu go, ale przed ponownym aktywowaniem, można zastosować profil rejestracji. Zobacz Konfigurowanie istniejącego telefonu iPhone, tabletu iPad lub iPoda touch

  • Jeśli rejestrujesz się przy użyciu usługi ADE i koligacji użytkownika, podczas instalacji może wystąpić następujący błąd:

    The SCEP server returned an invalid response.

    Ten błąd można rozwiązać, próbując ponownie pobrać zarządzanie w ciągu 15 minut. Po 15 minutach musisz zresetować urządzenie do ustawień fabrycznych, aby usunąć błąd. Ten błąd występuje z powodu 15-minutowego limitu czasu dla certyfikatów SCEP, który jest wymuszany dla zabezpieczeń.

Aby uzyskać informacje na temat środowiska użytkownika końcowego, zobacz Rejestrowanie urządzenia z systemem iOS/iPadOS w Intune przy użyciu usługi ADE.

Ponowne rejestrowanie urządzenia

Wykonaj te kroki, aby ponownie zarejestrować urządzenie, które zostało już przeszło przez zautomatyzowaną rejestrację urządzenia.

  1. Istnieją dwie opcje resetowania urządzenia:
    • Wyczyść urządzenie w centrum administracyjnym Microsoft Intune.
    • Wycofaj urządzenie w centrum administracyjnym, a następnie zresetuj urządzenie do ustawień fabrycznych przy użyciu aplikacji Ustawienia, programu Apple Configurator 2 lub programu iTunes.
  2. Włącz urządzenie i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie w Asystentze ustawień, aby pobrać profil zarządzania zdalnego.

Odnawianie tokenu automatycznej rejestracji urządzeń

Ważne jest, aby co roku odnawiać token programu rejestracji. W centrum administracyjnym Intune jest wyświetlana data wygaśnięcia.

  • Jeśli hasło identyfikatora Apple ID zmieni się dla użytkownika, który skonfigurował token w programie Apple Business Manager, odnów token programu rejestracji w usługach Intune i Apple Business Manager.
  • Jeśli użytkownik, który skonfigurował token w programie Apple Business Manager, opuści organizację, odnów token programu rejestracji w programie Intune i apple Business Manager.
  • Po zmianie identyfikatora Apple ID użytego do utworzenia tokenu ADE zmiana nie ma wpływu na aktualnie zarejestrowane urządzenia z tym tokenem, dopóki nie zostaną ponownie zarejestrowane. To zachowanie różni się od certyfikatu usługi Apple Push Notification Service (APNS) używanego dla dzierżawy. Certyfikat APNS można zmienić za pomocą pomocy technicznej firmy Apple. W przeciwnym razie, aby wprowadzić zmiany, wszystkie urządzenia muszą zostać ponownie zarejestrowane.

Odnawianie tokenów

  1. Przejdź do business.apple.com i zaloguj się przy użyciu konta z rolą Administrator lub Menedżer rejestracji urządzeń.

  2. Wybierz pozycję Ustawienia. W obszarze Serwery MDM wybierz serwer MDM skojarzony z plikiem tokenu, który chcesz odnowić. Wybierz pozycję Pobierz token.

    Zrzut ekranu przedstawiający sposób odnawiania i pobierania tokenu firmy Apple w programie Apple Business Manager.

  3. Wybierz pozycję Pobierz token serwera.

    Uwaga

    Jak czytamy w wierszu polecenia, nie wybieraj pozycji Pobierz token serwera , jeśli nie zamierzasz odnawiać tokenu. Spowoduje to unieważnienie tokenu używanego przez Intune (lub inne rozwiązanie MDM). Jeśli token został już pobrany, pamiętaj, aby kontynuować kolejne kroki do momentu odnowienia tokenu.

  4. Po pobraniu tokenu przejdź do Microsoft Intune centrum administracyjnego.

  5. Wybierz pozycję Rejestrowanie urządzeń>.

  6. Wybierz pozycję Tokeny programu rejestracji.

  7. Wybierz token.

  8. Wybierz pozycję Odnów token. Wprowadź identyfikator Apple ID użyty do utworzenia oryginalnego tokenu (jeśli nie został jeszcze wypełniony):

    Zrzut ekranu przedstawiający stronę Odnawianie tokenu.

  9. Przekaż nowo pobrany token.

  10. Wybierz pozycję Dalej , aby przejść do strony Tagi zakresu . Jeśli chcesz, przypisz tagi zakresu.

  11. Wybierz pozycję Odnów token. Poczekaj na potwierdzenie, że trwa odnawianie tokenu.

    Zrzut ekranu przedstawiający komunikat potwierdzający.

Usuwanie tokenu automatycznej rejestracji urządzeń z Intune

Token profilu rejestracji można usunąć z Intune, o ile:

  • Do tokenu nie przypisano żadnych urządzeń.
  • Żadne urządzenia nie są przypisane do profilu domyślnego.
  • Brak profilów rejestracji w ramach tego tokenu.

Aby usunąć token profilu rejestracji:

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.
  2. Wybierz kartę Apple .
  3. Wybieranie tokenów programu rejestracji
  4. Wybierz token, a następnie wybierz pozycję Urządzenia.
  5. Usuń wszystkie urządzenia przypisane do tokenu.
  6. Wróć do tokenów programu Rejestracji. Wybierz token, a następnie wybierz pozycję Profile.
  7. Jeśli istnieje profil domyślny lub jakikolwiek inny profil rejestracji, wszystkie muszą zostać usunięte.
  8. Wróć do tokenów programu Rejestracji. Wybierz token, a następnie wybierz pozycję Usuń.

Ograniczenia

Te ekrany Asystenta ustawień nie działają poprawnie na urządzeniach z systemem iOS/iPadOS 14.5 lub nowszym:

  • Kod dostępu
  • Touch ID i Face ID

Ukryj oba ekrany na urządzeniach z systemem iOS/iPadOS 14.5 lub nowszym. Jeśli chcesz wymagać kodów dostępu na tych urządzeniach, utwórz zasady konfiguracji urządzenia lub zasady zgodności z wymaganiami dotyczącymi kodu dostępu. Po zarejestrowaniu i odebraniu zasad przez użytkownika zostanie uruchomione wymaganie dotyczące kodu dostępu.

Następne kroki

Aby zapoznać się z omówieniem wymagań dla użytkowników urządzeń, zobacz Zadania użytkowników końcowych usługi ADE.