Configurar o registro de dispositivo iOS/iPadOS com o Apple School Manager

  • Artigo

Você pode configurar o Intune para registrar dispositivos iOS/iPadOS comprados por meio do programa Apple School Manager. Ao usar o Intune com o Apple School Manager, é possível registrar grandes quantidades de dispositivos iOS/iPadOS sem a necessidade de tocá-los. Quando um estudante ou professor liga o dispositivo, o Assistente de Configuração é executado com as configurações predefinidas e o dispositivo é registrado no gerenciamento.

Para habilitar o registro do Apple School Manager, é necessário usar os portais do Intune e do Apple School Manager. É necessária uma lista de números de série ou um número de ordem de compra para que você possa atribuir os dispositivos ao Intune para gerenciamento. Crie perfis de registro do ADE (Registro de Dispositivos Automatizado) que contêm configurações que são aplicadas aos dispositivos durante o registro.

O registro do Apple School Manager não pode ser usado com o gerenciador de registro de dispositivos.

Pré-requisitos

Obter um token Apple e atribuir dispositivos

Antes de poder registrar dispositivos iOS/iPadOS de propriedade corporativa com o Apple School Manager, você precisa de um arquivo de token (.p7m) da Apple. Esse token permite que o Intune sincronize informações sobre os dispositivos que participam do Apple School Manager. Ele também permite que o Intune realize carregamentos de perfis de registro para a Apple e atribua dispositivos a esses perfis. No portal da Apple, você também pode atribuir números de série do dispositivo a serem gerenciados.

Etapa 1: baixar o certificado de chave pública do Intune necessário para criar um token Apple

  1. No centro de administração Microsoft Intune, acesseRegistro de Dispositivos>.
  2. Selecione a guia Apple .
  3. Escolha Tokens do Programa de Registro.
  4. Selecione Adicionar.
  5. Selecione Baixar sua chave pública para baixar e salvar o arquivo de chave de criptografia (.pem) localmente. O arquivo .pem é usado para solicitar um certificado de relação de confiança do portal do Apple School Manager.

Etapa 2: baixar um token e atribuir dispositivos

  1. Escolha Criar um token usando o Apple School Manager e entre no Apple School com sua ID corporativa da Apple. Use essa ID da Apple para renovar o token Apple School Manager.
  2. No portal do Apple School Manager, acesse Servidores MDM e, em seguida, escolha Adicionar Servidor MDM (canto superior direito).
  3. Insira o nome do servidor MDM. O nome do servidor é para sua referência para identificar o servidor MDM (gerenciamento de dispositivo móvel). Não é o nome ou URL do servidor Microsoft Intune.
  4. Escolha Carregar Arquivo... no portal da Apple, procure o arquivo .pem e escolha Salvar Servidor MDM (canto inferior direito).
  5. Escolha Obter Token e, em seguida, baixe o arquivo de token (.p7m) do servidor no computador.
  6. Vá para Atribuições de Dispositivo. Escolha seus dispositivos inserindo manualmente seus números de série ou número de pedido.
  7. Escolha a ação Atribuir ao Servidor e escolha o Servidor MDM criado.
  8. Especifique como Escolher Dispositivos e forneça detalhes e informações do dispositivo.
  9. Escolha Atribuir ao Servidor, escolha o <ServerName> especificado para o Microsoft Intune e escolha OK.

Etapa 3: salvar a ID da Apple usada para criar esse token

Retorne ao centro de administração e insira a ID da Apple.

Captura de tela mostrando a especificação do ID Apple usado para criar o Token do Programa de Registro e a navegação para este recurso.

Etapa 4: Carregar seu token

Na caixa Token da Apple, navegue até o arquivo de certificado (.pem), escolha Abrir e, em seguida, escolha Criar. Com o certificado push, o Intune pode registrar e gerenciar dispositivos iOS/iPadOS enviando por push políticas para os dispositivos móveis registrados. O Intune sincroniza automaticamente os dispositivos Apple School Manager da Apple.

Criar um perfil de registro da Apple

Agora que você instalou o token, pode criar um perfil de registro para dispositivos do Apple School. Um perfil de registro de dispositivo define as configurações aplicadas a um grupo de dispositivos durante o registro.

  1. No centro de administração Microsoft Intune, acesseRegistro de Dispositivos>.

  2. Selecione a guia Apple .

  3. Em Métodos de Registro em Massa, escolha Tokens de programa de registro.

  4. Selecione um token.

  5. Selecione Perfis>Criar perfil>iOS/iPadOS.

  6. Em Criar Perfil, insira um Nome e uma Descrição para o perfil para fins administrativos. Os usuários não veem esses detalhes. Você pode usar esse campo Name para criar um grupo dinâmico no Microsoft Entra ID. Use o nome do perfil para definir o parâmetro enrollmentProfileName para atribuir dispositivos com este perfil de registro. Saiba mais sobre Microsoft Entra grupos dinâmicos.

    Nome e descrição do perfil.

  7. Em Afinidade de Usuário, escolha se os dispositivos com esse perfil devem ser registrados com ou sem um usuário atribuído.

    • Registrar com afinidade do usuário – escolha esta opção para dispositivos que pertencem a usuários e que desejam usar o portal da empresa para serviços como a instalação de aplicativos. Esta opção também permite que os usuários façam a autenticação de seus dispositivos usando o portal da empresa. Se estiver usando o ADFS, a afinidade de dispositivo de usuário exigirá o ponto de extremidade Nome do Usuário/Misto do WS-Trust 1.3. Saiba mais. O modo iPad Compartilhado do Apple School Manager exige o registro do usuário sem a afinidade de usuário.

    • Registrar sem Afinidade do Usuário – escolha esta opção para dispositivos não afiliados com um único usuário, como um dispositivo compartilhado. Use esta opção para os dispositivos que executam tarefas sem acessar os dados de usuário local. Aplicativos como o Portal da Empresa não funcionam.

  8. Se você escolheu Registrar com Afinidade de Usuário, poderá permitir que os usuários se autentiquem com Portal da Empresa, Assistente de Instalação (herdado) e Assistente de Instalação com autenticação moderna. Selecione a opção. Para obter mais informações sobre métodos de autenticação, consulte Métodos de autenticação para registro automatizado de dispositivos no Intune.

    Observação

    Quando quiser fazer algum dos seguintes procedimentos, defina Autenticar com o Portal da Empresa em vez de usar o Assistente de Configuração como Sim.

    • Usar autenticação multifator
    • Solicitar aos usuários que precisam alterar a senha quando entram pela primeira vez
    • solicitar que os usuários redefinam suas senhas expiradas durante o registro

    Essas opções não têm suporte na autenticação com o Assistente de Configuração da Apple.

  9. Escolha Configurações de gerenciamento de dispositivo e indique se deseja que os dispositivos que utilizam esse perfil sejam supervisionados. Os dispositivos supervisionados permitem mais opções de gerenciamento e desabilitam o Bloqueio de Ativação por padrão. A Microsoft recomenda usar o ADE como o mecanismo para habilitar o modo supervisionado do Intune, especialmente para as empresas que implantam grandes números de dispositivos iOS/iPadOS.

    Os usuários são notificados de que seus dispositivos são supervisionados de duas maneiras:

    • A tela de bloqueio diz: "Este iPhone é gerenciado pela Contoso".

    • A tela Configurações>Geral>Sobre diz: "Este iPhone é supervisionado. A Contoso pode monitorar o tráfego de Internet e localizar este dispositivo."

      Observação

      Um dispositivo registrado sem supervisão só pode ser redefinido para supervisionado usando o Apple Configurator. A redefinição do dispositivo dessa maneira requer conectar um dispositivo iOS/iPadOS a um Mac com um cabo USB. Saiba mais sobre isso nos documentos do Apple Configurator.

  10. Escolha se deseja registro bloqueado para dispositivos que usam esse perfil. O Registro bloqueado desabilita as configurações de iOS/iPadOS que permitem a remoção do perfil de gerenciamento do menu Configurações. Depois que o dispositivo é registrado, não é possível alterar essa configuração sem apagar o dispositivo. Esses dispositivos devem ter o Modo de Gerenciamento Supervisionado configurado como Sim.

  11. É possível permitir que vários usuários façam logon em iPads registrados por meio de uma ID Apple gerenciada. Para fazer isso, escolha Sim em iPad compartilhado (a opção exige que os modos Registrar sem afinidade do usuário e Supervisionado estejam definidos como Sim). As IDs da Apple gerenciadas são criadas no portal do Apple School Manager. Saiba mais sobre iPad compartilhado e os requisitos de iPad compartilhado da Apple.

  12. Escolha se deseja que os dispositivos que usam esse perfil possam Sincronizar com computadores. Negar Todos significa que todos os dispositivos que usam esse perfil não serão sincronizados com nenhum dado em nenhum computador. Se você escolher Permitir Apple Configurator por certificado, deverá escolher um certificado em Certificados do Apple Configurator.

  13. Se você escolher Permitir Apple Configurator por certificado, deverá escolher um certificado em Certificados do Apple Configurator para importar.

  14. Você pode especificar um formato de nomenclatura para dispositivos, que será aplicado automaticamente quando estes forem registrados. Para fazer isso, selecione Sim em Aplicar modelo de nome do dispositivo. Em seguida, na caixa Modelo de Nome do Dispositivo, digite o modelo a ser usado para os nomes que usam esse perfil. Especifique um modelo de formato que inclua o tipo de dispositivo e o número de série.

  15. Selecione OK.

  16. Escolha Configurações do Assistente de Instalação para configurar as seguintes configurações de perfil:

    Setting Descrição
    Nome do Departamento Aparece quando os usuários tocam em Sobre a Configuração durante a ativação.
    Telefone do Departamento Aparece quando o usuário clica no botão Precisa de Ajuda durante a ativação.
    Opções do Assistente de Instalação As configurações opcionais a seguir podem ser configuradas posteriormente no menu Configurações do iOS/iPadOS.
    Senha Solicitar senha durante a ativação. Sempre solicite uma senha para dispositivos inseguros, a menos que o acesso seja controlado de outra maneira (como o modo de quiosque, que restringe o dispositivo a um aplicativo).
    Serviços de Localização Se habilitado, o Assistente de Instalação solicitará o serviço durante a ativação.
    Restore Se habilitado, o Assistente de Instalação solicitará o backup do iCloud durante a ativação.
    iCloud e ID da Apple Se habilitado, o Assistente de Configuração solicita ao usuário que insira uma ID da Apple e a tela Aplicativos e Dados permitirá que o dispositivo seja restaurado a partir do backup do iCloud.
    Termos e condições Se habilitado, o Assistente de Instalação solicitará que os usuários aceitem os termos e as condições da Apple durante a ativação.
    Touch ID Se habilitado, o Assistente de Instalação solicitará o serviço durante a ativação.
    Apple Pay Se habilitado, o Assistente de Instalação solicitará o serviço durante a ativação.
    Zoom Se habilitado, o Assistente de Instalação solicitará o serviço durante a ativação.
    Siri Se habilitado, o Assistente de Instalação solicitará o serviço durante a ativação.
    Dados de Diagnóstico Se habilitado, o Assistente de Instalação solicitará o serviço durante a ativação.

  17. Selecione OK.

  18. Para salvar o perfil, escolha Criar.

Conectar o School Data Sync

(Opcional) O Apple School Manager dá suporte à sincronização de dados de lista de classes com o Microsoft Entra ID usando Microsoft School Data Sync (SDS). Só é possível sincronizar um token com o SDS. Se você configurar outro token com o School Data Sync, o SDS será removido do token que o tinha anteriormente. Uma nova conexão substituirá o token atual. Conclua as etapas a seguir para usar o SDS para sincronizar dados de estudante.

  1. No centro de administração Microsoft Intune, acesseRegistro de Dispositivos>.
  2. Selecione a guia Apple .
  3. Escolha Tokens do Programa de Registro.
  4. Selecione um token do Apple School Manager e, em seguida, escolha School Data Sync.
  5. Em School Data Sync, escolha Permitir. Essa configuração permite que o Intune se conecte com o SDS no Microsoft 365.
  6. Para habilitar uma conexão entre o Apple School Manager e o Microsoft Entra ID, escolha Configurar Microsoft School Data Sync. Saiba mais sobre como configurar a Sincronização de Dados Escolares.
  7. Selecione Salvar>OK.

Sincronizar dispositivos gerenciados

Depois que o Intune tiver recebido permissão para gerenciar seus dispositivos Apple School Manager, sincronize o Intune com o serviço da Apple para ver os dispositivos gerenciados no Intune.

  1. Retorne aos Tokens do Programa de Registro.
  2. Selecione um token na lista.
  3. Selecione Sincronização de Dispositivos>.
    Captura de tela do nó Dispositivos do Programa de Registro e do link Sincronização.

Para cumprir os termos da Apple com relação ao tráfego aceitável do programa de registro, o Intune impõe as seguintes restrições:

  • Uma sincronização completa pode ser executada, no máximo, uma vez a cada sete dias. Durante uma sincronização completa, o Microsoft Intune atualiza todos os números de série da Apple atribuídos à nossa plataforma. Se tentar uma sincronização completa dentro de sete dias após a sincronização completa anterior, o Intune atualizará somente os números de série ainda não listados no Intune.
  • Qualquer solicitação de sincronização tem 15 minutos para ser concluída. Durante esse tempo ou até a solicitação ser bem-sucedida, o botão de Sincronizar fica desabilitado.
  • O Intune sincroniza dispositivos novos e removidos com a Apple a cada 24 horas.

Observação

Atribua também números de série do Apple School Manager a perfis na folha Dispositivos do Programa de Registro.

Atribuir um perfil a dispositivos

Dispositivos Apple School Manager gerenciados pelo Intune devem receber um perfil de registro antes de serem registrados.

  1. Retorne aos Tokens do Programa de Registro.
  2. Selecione um token na lista.
  3. Selecione Dispositivos e escolha seus dispositivos.
  4. Selecione Atribuir perfil. Em seguida, selecione um perfil para os dispositivos.
  5. Selecione Atribuir.

Distribuir dispositivos para usuários

Você habilitou o gerenciamento e a sincronização entre a Apple e o Intune e atribuiu um perfil para permitir que seus dispositivos da Apple School se inscrevam. Agora você pode distribuir dispositivos para os usuários. Ao ativar um dispositivo Apple School Manager do iOS/iPadOS, ele é registrado no gerenciamento pelo Intune. Os perfis não podem ser aplicados aos dispositivos ativados atualmente em uso enquanto o dispositivo não for apagado.