Samouczek: konfigurowanie rejestracji Microsoft Intune dla urządzeń z systemem iOS/iPadOS w programie Apple Business Manager

Użyj programu Apple Business Manager z Microsoft Intune, aby uprościć i zautomatyzować rejestrację urządzeń z systemem iOS/iPadOS za pośrednictwem programu Apple Business Manager. Automatyczna rejestracja urządzeń, którą skonfigurujemy w tym samouczku, umożliwia bezpieczną rejestrację automatyczną po pierwszym włączeniu urządzenia przez wdrożenie profilu rejestracji na urządzeniu w trybie over-the-air.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Uzyskiwanie tokenu rejestracji urządzenia firmy Apple
• Synchronizowanie zarządzanych urządzeń z usługą Intune
• Tworzenie profilu rejestracji
• Przypisywanie profilu rejestracji do urządzeń

Na końcu tego samouczka urządzenia będą gotowe do dystrybucji na potrzeby rejestracji.

Wymagania wstępne

• Ustaw urząd zarządzania urządzeniami przenośnymi (MDM).
• Pobierz certyfikat wypychania mdm firmy Apple.
• Posiadanie nowych lub wyczyszczonych urządzeń zakupionych w programie Apple Business Manager.
• Dodaj informacje o zakupie w obszarze ustawienia zarządzania urządzeniami w programie Apple Business Manager.

Jeśli nie masz subskrypcji usługi Intune, utwórz konto bezpłatnej wersji próbnej.

Krok 1. Dodawanie serwera MDM

Utwórz profil serwera MDM dla Microsoft Intune w programie Apple Business Manager. Token pobrany w tym kroku umożliwi połączenie między Microsoft Intune a programem Apple Business Manager w późniejszym kroku.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Przejdź do pozycji Urządzenia> z systememiOS/iPadOS>iOS/iPadOS.

3. Wybierz pozycję Tokeny programu rejestracji.

4. Wybierz opcję Dodaj.

5. Wybierz pozycję Zgadzam się , aby udzielić firmie Microsoft uprawnień do wysyłania informacji o użytkownikach i urządzeniach do firmy Apple.

6. Wybierz pozycję Pobierz klucz publiczny , aby pobrać certyfikat klucza publicznego serwera (plik pem) na dysk lokalny.

7. Wybierz pozycję Utwórz token za pośrednictwem usługi Apple Business Manager i zaloguj się do usługi Apple Business Manager przy użyciu firmowego identyfikatora Apple ID.

   Ważna

   Jeśli jesteś w programie Apple Business Manager, nie zamykaj karty przeglądarki przy użyciu Microsoft Intune. Wrócisz do niego później.

8. Dodaj serwer MDM o nazwie TestMDMServer i pobierz token serwera dla niego w programie Apple Business Manager. Aby uzyskać szczegółowe informacje i instrukcje, zobacz Link do serwera MDM innej firmy (otwiera podręcznik użytkownika programu Apple Business Manager). Zapisz token serwera lokalnie jako plik P7M (p7m). Następnie przejdź do kroku 2: Przypisywanie urządzeń.

Krok 2. Przypisywanie urządzeń

Będąc w programie Apple Business Manager, przypisz urządzenia do nowego serwera MDM (TestMDMServer lub dowolnej nazwy). Aby uzyskać szczegółowe informacje i instrukcje, zobacz Przypisywanie, ponowne przypisywanie lub cofanie przypisania urządzeń w programie Apple Business Manager (otwiera podręcznik użytkownika programu Apple Business Manager). Po zakończeniu przypisywania urządzeń przejdź do kroku 3. Przekazywanie tokenu serwera MDM.

Krok 3. Przekazywanie tokenu serwera MDM

Wróć do centrum administracyjnego Microsoft Intune, aby przekazać token serwera MDM do usługi Intune. Po przekazaniu tokenu Microsoft Intune może synchronizować i rejestrować urządzenia z systemem iOS/iPadOS przypisane do serwera TestMDMServer.

1. W polu Apple ID wprowadź identyfikator Apple ID użyty do utworzenia tokenu.
2. W obszarze Token firmy Apple przekaż zapisany wcześniej token serwera. Plik musi być w formacie P7M.
3. Wybierz pozycję Dalej.
4. Opcjonalnie zastosuj tagi zakresu do tokenu rejestracji, aby ograniczyć innym administratorom dostęp do niego lub wprowadzanie w nim zmian. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.
5. Wybierz pozycję Dalej.
6. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz, aby zakończyć łączenie Microsoft Intune i apple Business Manager.

Microsoft Intune automatycznie synchronizuje się z programem Apple Business Manager. Wyświetlanie urządzeń w centrum administracyjnym może potrwać do 12 godzin. Możesz poczekać na synchronizację tych urządzeń lub ręcznie rozpocząć synchronizację. Aby rozpocząć synchronizację samodzielnie, wybierz token z listy w centrum administracyjnym, a następnie wybierz pozycję Synchronizacja urządzeń>.

Krok 4. Tworzenie profilu rejestracji firmy Apple

Utwórz profil rejestracji dla firmowych urządzeń z systemem iOS/iPadOS. Profil rejestracji urządzeń określa ustawienia stosowane do grupy urządzeń podczas rejestracji.

1. Wybierz token w centrum administracyjnym, a następnie wybierz pozycję Profile>Utwórz profil> dla systemuiOS/iPadOS.

2. Na stronie Podstawy wprowadź wartość TestProfile dla nazwy i testowania ADE dla urządzeń z systemem iOS/iPadOS w polu Opis. Użytkownicy nie widzą tych szczegółów.

3. Wybierz pozycję Dalej.

4. Na stronie Ustawienia zarządzania zdecyduj, czy chcesz, aby urządzenia były rejestrowane z koligacją użytkownika lub bez niej. Koligacja użytkownika jest przeznaczona dla urządzeń, które będą używane przez określonych użytkowników. Jeśli użytkownicy będą chcieli używać Portal firmy dla usług, takich jak instalowanie aplikacji, wybierz pozycję Zarejestruj przy użyciu koligacji użytkownika. Jeśli użytkownicy nie potrzebują Portal firmy lub chcesz aprowizować urządzenie dla wielu użytkowników, wybierz pozycję Zarejestruj bez koligacji użytkownika.

5. Jeśli wybrano opcję rejestrowania przy użyciu koligacji użytkownika, zostanie wyświetlona opcja Wybierz, gdzie użytkownicy muszą się uwierzytelnić . Zdecyduj, czy chcesz uwierzytelnić się przy użyciu Portal firmy, czy Asystenta ustawień firmy Apple.

   • Portal firmy: wybierz tę opcję, aby użyć usługi Multi-Factor Authentication, zezwolić użytkownikom na zmianę haseł podczas pierwszego logowania lub monitować użytkowników o zresetowanie wygasłych haseł podczas rejestracji. Jeśli chcesz, aby aplikacja Portal firmy była automatycznie aktualizowana na urządzeniach użytkowników końcowych, należy oddzielnie wdrożyć Portal firmy jako wymaganą aplikację dla tych użytkowników za pośrednictwem programu zakupów zbiorczych (VPP) firmy Apple.
   • Asystent ustawień: wybierz tę opcję, aby użyć podstawowego uwierzytelniania HTTP firmy Apple za pośrednictwem Asystenta ustawień firmy Apple

6. Jeśli wybrano opcję rejestrowania przy użyciu koligacji użytkownika i uwierzytelniania przy użyciu Portal firmy, zostanie wyświetlona opcja Zainstaluj Portal firmy przy użyciu programu VPP. Jeśli zainstalujesz Portal firmy z tokenem VPP, użytkownik nie będzie musiał wprowadzać identyfikatora Apple ID i hasła, aby pobrać Portal firmy ze sklepu z aplikacjami podczas rejestracji. Wybierz pozycję Użyj tokenu: w obszarze Zainstaluj Portal firmy z programem VPP wybierz token programu VPP, który ma dostępne bezpłatne licencje Portal firmy. Jeśli nie chcesz używać programu VPP do wdrażania Portal firmy, wybierz pozycję Nie używaj programu VPP.

7. Jeśli wybrano opcję rejestrowania przy użyciu koligacji użytkownika, uwierzytelniania za pomocą Portal firmy i instalowania Portal firmy przy użyciu programu VPP, zdecyduj, czy chcesz uruchomić Portal firmy w trybie pojedynczej aplikacji do czasu uwierzytelnienia. Dzięki temu ustawieniu możesz upewnić się, że użytkownik nie ma dostępu do innych aplikacji, dopóki nie zakończy rejestracji firmowej. Jeśli chcesz ograniczyć użytkownika do tego przepływu do czasu zakończenia rejestracji, wybierz pozycję Tak w obszarze Uruchom Portal firmy w trybie pojedynczej aplikacji do czasu uwierzytelnienia.

8. W obszarze Zarządzanie urządzeniami Ustawienia wybierz pozycję Tak w obszarze Nadzorowane (jeśli wybrano pozycję Zarejestruj z koligacją użytkownika, zostanie ona automatycznie ustawiona na wartość Tak). Urządzenia nadzorowane oferują najwięcej opcji zarządzania dla firmowych urządzeń z systemem iOS/iPadOS.

9. Wybierz pozycję Tak w obszarze Rejestracja zablokowana , aby upewnić się, że użytkownicy nie mogą usunąć zarządzania urządzeniem firmowym.

10. Wybierz opcję w obszarze Synchronizuj z komputerami , aby określić, czy urządzenia z systemem iOS/iPadOS będą mogły zostać zsynchronizowane z komputerami.

11. Domyślnie firma Apple nazywa urządzenie typem urządzenia, takim jak iPad. Jeśli chcesz podać inny szablon nazwy, wybierz pozycję Tak w obszarze Zastosuj szablon nazwy urządzenia. Wprowadź nazwę, którą chcesz zastosować do urządzeń, gdzie ciągi {{SERIAL}} i {{DEVICETYPE}} zastąpią numer seryjny i typ urządzenia każdego urządzenia. W przeciwnym razie wybierz pozycję Nie w obszarze Zastosuj szablon nazwy urządzenia.

12. Wybierz przycisk Dalej.

13. Na stronie Asystent ustawieńdział samouczka dla nazwy działu. Ten ciąg jest wyświetlany przez użytkowników po naciśnięciu pozycji Informacje o konfiguracji podczas aktywacji urządzenia.

14. W obszarze Telefon działu wprowadź numer telefonu. Ten numer jest wyświetlany, gdy użytkownicy naciskają przycisk Potrzebujesz pomocy podczas aktywacji.

15. Podczas aktywacji urządzenia można wyświetlać lub ukrywać różne ekrany. Aby uzyskać najbardziej bezproblemowe środowisko rejestracji, ustaw na wszystkich ekranach wartość Ukryj.

16. Wybierz pozycję Dalej , aby przejść do strony Przeglądanie i tworzenie . Wybierz pozycję Utwórz.

Krok 5. Przypisywanie profilu rejestracji do urządzeń z systemem iOS/iPadOS

Zanim możliwe będzie rejestrowanie urządzeń, należy przypisać profil programu rejestracji. Te urządzenia są synchronizowane z usługą Intune od firmy Apple i muszą być przypisane do odpowiedniego tokenu serwera MDM w portalu ABM, ASM lub ADE.

1. W centrum administracyjnym wybierz token z listy.
2. Wybierz pozycję Urządzenia i wybierz urządzenia, które chcesz przypisać.
3. Wybierz pozycję Przypisz profil.
4. W obszarze Przypisywanie profilu wybierz profil dla urządzeń >Przypisz.

Uwaga

Upewnij się, że ograniczenia typu urządzenia w obszarze Ograniczenia rejestracji nie mają domyślnych zasad Wszyscy użytkownicy ustawionych na blokowanie platformy systemu iOS/iPadOS. To ustawienie spowoduje niepowodzenie automatycznej rejestracji, a urządzenie będzie wyświetlane jako Nieprawidłowy profil, niezależnie od zaświadczania użytkownika. Aby zezwolić na rejestrację tylko przez urządzenia zarządzane przez firmę, zablokuj tylko urządzenia należące do użytkownika, co umożliwi rejestrowanie urządzeń firmowych. Firma Microsoft definiuje urządzenie firmowe jako urządzenie zarejestrowane za pośrednictwem programu Device Enrollment Program lub urządzenia ręcznie wprowadzonego w obszarze Identyfikatory urządzeń firmowych.

Krok 6. Dystrybuowanie urządzeń do użytkowników

Skonfigurowano zarządzanie i synchronizację między firmą Apple i usługą Intune oraz przypisano profil umożliwiający rejestrowanie urządzeń ADE. Możesz teraz przekazać urządzenia użytkownikom. W przypadku urządzeń z koligacją użytkownika wymagane jest, aby poszczególni użytkownicy mieli przypisane licencje na korzystanie z usługi Intune.

Następne kroki

Więcej informacji na temat innych dostępnych opcji rejestrowania urządzeń z systemem iOS/iPadOS można znaleźć.

Dokumentacja techniczna dotycząca automatycznej rejestracji urządzeń z systemem iOS/iPadOS