Configurar a inscrição de dispositivos iOS/iPadOS com o Apple School Manager

  • Artigo

Pode configurar o Intune para inscrever dispositivos iOS/iPadOS adquiridos através do programa Apple School Manager. Utilizando o Intune com o Apple School Manager, pode inscrever um grande número de dispositivos iOS/iPadOS sem nunca lhes tocar. Quando um estudante ou professor ativar o dispositivo, o Assistente de Configuração é executado com as predefinições configuradas e o dispositivo é inscrito para gestão.

Para ativar a inscrição do Apple School Manager, utilize os portais do Intune e do Apple School Manager. É necessária uma lista de números de série ou um número de encomenda para poder atribuir dispositivos ao Intune para gestão. Cria perfis de inscrição de dispositivos automatizados (ADE) contendo definições que se aplicam aos dispositivos durante a inscrição.

A inscrição do Apple School Manager não pode ser usada com a inscrição de dispositivos automatizados da Apple ou com o gestor de inscrição do dispositivo.

Pré-requisitos

Obter um token da Apple e atribuir dispositivos

Antes de conseguir inscrever dispositivos iOS/iPadOS de propriedade corporativa com o Apple School Manager, precisa de um ficheiro simbólico (.p7m) da Apple. Este token permite que o Intune sincronize as informações sobre os dispositivos que participam no Apple School Manager. Também permite ao Intune efetuar carregamentos do perfil de inscrição para a Apple e atribuir dispositivos a esses perfis. Enquanto estiver no portal da Apple, também pode atribuir números de série de dispositivos para gerir.

Passo 1. Transfira o certificado de chave pública do Intune, que é obrigatório para criar um token da Apple

  1. No centro de administração Microsoft Endpoint Manager, escolha Dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > Tokens > Add.

    Obtenha um token do programa de inscrição.

  2. No painel Token do programa de inscrição, selecione Transfira a chave pública para transferir e guardar o ficheiro da chave de encriptação (.pem) localmente. O ficheiro .pem é utilizado para pedir um certificado de relação de confiança a partir do portal do Apple School Manager. Painel Token do Programa de Inscrição.

Passo 2. Transferir um token e atribuir dispositivos

  1. Escolha Criar um token através do Apple School Manager e inicie sessão no Apple School com o Apple ID da sua empresa. Pode utilizar este ID Apple para renovar o seu token do Apple School Manager.

  2. No portal do Apple School Manager, aceda a Servidores MDM e, em seguida, selecione Adicionar Servidor MDM (canto superior direito).

  3. Introduza o Nome do Servidor de MDM. O nome do servidor é uma referência para identificar o servidor de gestão de dispositivos móveis (MDM). Não é o nome nem o URL do servidor do Microsoft Intune. Screenshot do portal Apple School Manager com opção MDM Servers selecionada

  4. Selecione Carregar Ficheiro... no portal da Apple, procure o ficheiro .pem e selecione Guardar Servidor MDM (canto inferior direito).

  5. Selecione Obter Token e, em seguida, transfira o ficheiro do token do servidor (.p7m) para o computador.

  6. Vá para Atribuições de Dispositivo e Escolher Dispositivo através da introdução manual dos Números de Série, Número do Pedido ou Carregar Ficheiro CSV. Screenshot do portal Apple School Manager com opção de atribuição de dispositivos selecionado

  7. Selecione a ação Atribuir ao Servidor e selecione o Servidor MDM que criou.

  8. Especifique como irá Escolher Dispositivos e, em seguida, forneça as informações e detalhes do dispositivo.

  9. Selecione Atribuir ao Servidor, selecione o <NomeDoServidor> especificado para o Microsoft Intune e, em seguida, selecione OK.

Passo 3. Guardar o Apple ID que serviu para criar este token

No centro de administração Microsoft Endpoint Manager,forneça o Apple ID para referência futura.

Captura de ecrã a mostrar a especificação do ID Apple utilizado para criar o token do programa de inscrição e o acesso ao token do programa de inscrição.

Passo 4: Carregar o token

Na caixa Token da Apple, procure o ficheiro de certificado (.pem), escolha Abrir e, em seguida, escolha Criar. Com o certificado push, o Intune pode inscrever-se e gerir dispositivos iOS/iPadOS, pressionando a política para dispositivos móveis matriculados. O Intune sincroniza automaticamente os seus dispositivos Apple School Manager da Apple.

Criar um perfil de inscrição da Apple

Agora que instalou o seu token, pode criar um perfil de inscrição para dispositivos Apple School. Um perfil de inscrição de dispositivos especifica as definições aplicadas a um grupo de dispositivos durante a inscrição.

  1. No centro de administração Microsoft Endpoint Manager,escolha dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > tokens.

  2. Selecione um token, escolha Perfis e, em seguida, escolha Criar perfil.

  3. Em Criar Perfil, introduza um Nome e uma Descrição para o perfil para efeitos administrativos. Os utilizadores não verão estes detalhes. Pode utilizar este campo Nome para criar um grupo dinâmico em Azure Ative Directory. Utilize o nome de perfil para definir o parâmetro enrollmentProfileName para atribuir dispositivos com este perfil de inscrição. Saiba mais sobre Azure Ative Directory grupos dinâmicos.

    Nome do perfil e descrição.

  4. Na Afinidade do Utilizador, escolha se os dispositivos com este perfil têm de ser inscritos com ou sem um utilizador atribuído.

    • Inscrever com Afinidade do Utilizador – escolha esta opção para os dispositivos que pertençam aos utilizadores e que queiram utilizar o portal da empresa para serviços como a instalação de aplicações. Esta opção também permite que os utilizadores autentiquem os respetivos dispositivos através do portal da empresa. Se estiver a utilizar o Sistema de Ficheiros Distribuído do Azure, a afinidade de utilizador precisa de um Nome de utilizador/Ponto final misto WS-Trust 1.3. Saiba mais. O modo iPad Partilhado do Apple School Manager exige que o utilizador se inscreva sem a afinidade de utilizador.

    • Inscrever sem Afinidade do Utilizador – escolha esta opção para dispositivos não afiliados a um único utilizador, como um dispositivo partilhado. Utilize esta opção para dispositivos que realizem tarefas sem aceder aos dados de utilizador locais. Aplicações como a aplicação Portal da Empresa não funcionam.

  5. Se tiver escolhido Inscrever com Afinidade de Utilizador, poderá permitir que os utilizadores se autentiquem no Portal da Empresa em vez de o fazerem no Assistente de Configuração da Apple.

    Autentique com o Portal da Empresa.

    Nota

    Se quiser realizar alguma das seguintes ações, defina Autenticar com o Portal da Empresa em vez do Assistente de Configuração da Apple para Sim.

    • utilizar a autenticação multifator
    • pedir aos utilizadores para alterar a palavra-passe ao iniciar sessão pela primeira vez
    • Pedir aos utilizadores para reporem as respetivas palavras-passe expiradas durante a inscrição

    Estas ações não são suportadas durante a autenticação com o Assistente de Configuração da Apple.

  6. Escolha Definições de Gestão de Dispositivos e selecione se quer que os dispositivos com este perfil sejam supervisionados. Os dispositivos supervisionados proporcionam mais opções de gestão e desativam o Bloqueio de Ativação por predefinição. A Microsoft recomenda a utilização do ADE como o mecanismo para permitir o modo supervisionado do Intune, especialmente para organizações que estão a implementar um grande número de dispositivos iOS/iPadOS.

    Os utilizadores são notificados de que os seus dispositivos são supervisionados de duas formas:

    • O ecrã de bloqueio indica: "Este iPhone é gerido pelo Contoso."

    • O Definições > General > About no ecrã diz: "Esta iPhone é supervisionada. A Contoso consegue monitorizar o seu tráfego de Internet e localizar este dispositivo."

      Nota

      Um dispositivo inscrito sem supervisão só pode ser reposto para supervisionado com o Apple Configurator. A reposição do dispositivo desta forma requer a ligação de um dispositivo iOS/iPadOS a um Mac com um cabo USB. Saiba mais sobre este assunto nos documentos do Apple Configurator.

  7. Escolha se quer a inscrição bloqueada para os dispositivos com este perfil. A inscrição bloqueada desativa as definições do iOS/iPadOS que permitem remover o perfil de gestão do menu Definições. Após a inscrição de dispositivos, não poderá alterar esta definição sem apagar os dados do dispositivo. Esses dispositivos têm de ter o Modo de Gestão Supervisionado definido como Sim.

  8. Pode permitir que múltiplos utilizadores iniciem sessão nos iPads inscritos com um ID Apple gerido. Para tal, escolha Sim em iPad Partilhada (esta opção requer inscrição sem afinidade do utilizador e modo supervisionado definido para Sim.) Os IDs apple geridos são criados no portal Apple School Manager. Saiba mais sobre iPad partilhado e requisitos dos iPad partilhados da Apple.

  9. Escolha se quer que os dispositivos com este perfil consigam Sincronizar com computadores. Negar tudo significa que todos os dispositivos que utilizam este perfil não serão capazes de sincronizar com quaisquer dados em qualquer computador. Se escolher Permitir o Apple Configurator por certificado, terá de escolher um certificado em Certificados do Apple Configurator.

  10. Se tiver escolhido Permitir o Apple Configurator por certificado no passo anterior, escolha um Certificado do Apple Configurator a importar.

  11. Pode especificar um formato de nomenclatura para os dispositivos, que é aplicado automaticamente quando fazem a inscrição. Para tal, selecione Sim em Aplicar modelo de nome de dispositivo. Em seguida, na caixa Modelo de Nome do Dispositivo, introduza o modelo a utilizar para os nomes com este perfil. Pode especificar um formato de modelo para incluir o tipo de dispositivo e o número de série.

  12. Escolha OK.

  13. Escolha Definições do Assistente de Configuração para configurar as seguintes definições de perfil: Personalização do Assistente de Configuração.

    Definições Descrição
    Nome do Departamento É apresentado quando os utilizadores tocam em Acerca da Configuração durante a ativação.
    Número de Telefone do Departamento Aparece quando o utilizador clica no botão Preciso de Ajuda durante a ativação.
    Opções do Assistente de Configuração As seguintes configurações opcionais podem ser configurada mais tarde no menu Definições iOS/iPadOS.
    Código de Acesso Pedido de código de acesso durante a ativação. Solicite sempre um código de acesso para os dispositivos não protegidos, a menos que o acesso seja controlado de outra forma (ou seja, modo de quiosque que restringe o dispositivo a uma aplicação).
    Serviços de Localização Se ativado, o Assistente de Configuração solicita este serviço durante a ativação.
    Restaurar Se estiver ativado, o Assistente de Configuração solicita a cópia de segurança de iCloud durante a ativação.
    iCloud e Apple ID Se estiver ativado, o Assistente de Configuração solicita ao utilizador que inicie sessão com um Apple ID e o ecrã de Aplicações e Dados irá permitir que o dispositivo seja restaurado a partir da cópia de segurança de iCloud.
    Terms and Conditions Se estiver ativado, o Assistente de Configuração solicita aos utilizadores que aceitem os termos e condições da Apple durante a ativação.
    Touch ID Se estiver ativado, o Assistente de Configuração solicita este serviço durante a ativação.
    Apple Pay Se estiver ativado, o Assistente de Configuração solicita este serviço durante a ativação.
    Zoom Se estiver ativado, o Assistente de Configuração solicita este serviço durante a ativação.
    Siri Se estiver ativado, o Assistente de Configuração solicita este serviço durante a ativação.
    Dados de Diagnóstico Se estiver ativado, o Assistente de Configuração solicita este serviço durante a ativação.

  14. Escolha OK.

  15. Para guardar o perfil, escolha Criar.

Ligar a Sincronização de Dados da Escola

(Opcional) O Apple School Manager suporta a sincronização de dados da lista de participantes para o Azure Active Directory (AD) ao utilizar o Microsoft School Data Sync (SDS). Apenas pode sincronizar um token com o SDS. Se configurar outro token com o School Data Sync, o SDS será removido do token que o tinha anteriormente. Uma nova ligação substituirá o token atual. Conclua os seguintes passos para utilizar SDS para sincronizar os dados da escola.

  1. No centro de administração Microsoft Endpoint Manager,escolha dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > tokens.
  2. Selecione um token do Apple School Manager e, em seguida, escolha o School Data Sync.
  3. Em School Data Sync, escolha Permitir. Esta definição permite ao Intune ligar-se com SDS em Microsoft 365.
  4. Para ativar uma ligação entre o Apple School Manager e o Azure AD, escolha configurar a Microsoft School Data Sync. Saiba mais sobre como configurar School Data Sync.
  5. Clique em Guardar > OK.

Sincronizar dispositivos geridos

Depois de atribuída a permissão ao Intune para gerir os dispositivos associados ao Apple School Manager, sincronize o Intune com o serviço Apple para ver os dispositivos geridos no Intune.

No centro de administração Microsoft Endpoint Manager),escolha dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > tokens > escolher um símbolo na lista > Devices > Sync. Screenshot do nó de dispositivos do programa de inscrição e link Sync.

Para seguir os termos da Apple para o tráfego aceitável do programa de inscrição, a Intune impõe as seguintes restrições:

  • As sincronizações completas não podem ser executadas mais do que uma vez a cada sete dias. Durante uma sincronização completa, o Intune atualiza todos os números de série da Apple atribuídos ao Intune. Se for tentada uma sincronização completa no prazo de sete dias após a sincronização completa anterior, o Intune apenas atualizará os números de série que ainda não estejam listados no Intune.
  • São atribuídos 15 minutos a qualquer pedido de sincronização para ser concluído. Durante este período ou até que o pedido tenha sucesso, o botão Sync é desativado.
  • O Intune sincroniza os dispositivos novos e removidos com a Apple a cada 24 horas.

Nota

Também pode atribuir números de série do Apple School Manager aos perfis do painel Programa de Inscrição de Dispositivos.

Atribuir um perfil a dispositivos

É necessário atribuir um perfil de inscrição aos dispositivos do Apple School Manager geridos pelo Intune para poderem ser inscritos.

  1. No centro de administração Microsoft Endpoint Manager, escolha dispositivos > iOS/iPadOS > iOS/iPadOS Registration Program > tokens > escolha um símbolo na lista.
  2. Escolha Dispositivos > escolha dispositivos na lista > Atribuir perfil.
  3. No perfil De atribuir, escolha um perfil para os dispositivos e, em seguida, escolha Atribuir.

Distribuir dispositivos pelos utilizadores

Ativou a gestão e sincronização entre a Apple e o Intune e atribuiu um perfil para permitir a inscrição dos seus dispositivos Apple School. Agora pode distribuir os dispositivos aos utilizadores. Quando um dispositivo iOS/iPadOS Apple School Manager é ligado, está matriculado para gestão pela Intune. Não é possível aplicar perfis a dispositivos ativados atualmente em utilização até que o dispositivo seja apagado.