Настройка регистрации устройств с iOS или iPadOS с помощью Apple School Manager

Вы можете настроить в Intune профиль регистрации для устройств iOS и iPadOS, приобретенных по программе Apple School Manager. С помощью Intune с Apple School Manager можно удаленно зарегистрировать большое количество устройств iOS и iPadOS. Когда учащийся или преподаватель включает устройство, запускается помощник по настройке с предварительно настроенными параметрами, а устройство регистрируется для управления.

Для включения регистрации Apple School Manager используются порталы Intune и Apple School Manager. Требуется список серийных номеров или номер заказа на покупку, чтобы можно было назначить устройства в Intune для управления. Вы создаете профили автоматической регистрации устройств (ADE) с параметрами, которые применяются к устройствам при регистрации.

Регистрация Apple School Manager не может использоваться с диспетчером регистрации устройств.

Необходимые компоненты

• Сертификат Apple Mobile Device Management (MDM) Push Certificate
• Центр MDM
• Если вы используете ADFS, для сопоставления пользователей требуется конечная точка WS-Trust 1.3 с режимом "Имя пользователя/смешанный". Подробнее.
• Устройства, приобретенные по программе Apple School Management

Получение маркера Apple и назначение устройств

Перед регистрацией корпоративных устройств iOS и iPadOS с помощью программы Apple School Manager необходимо получить файл токена ASM (.p7m) от Apple. Этот маркер позволяет службе Intune синхронизировать сведения об устройствах, участвующих в программе Apple School Manager. Он также позволяет службе Intune отправлять данные профилей регистрации в Apple и назначать устройства этим профилям. На портале Apple также можно назначить серийные номера управляемых устройств.

Шаг 1. Скачивание сертификата открытого ключа Intune, необходимого для создания маркера Apple

1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
2. Перейдите на вкладку Apple .
3. Выберите Токены программы регистрации.
4. Нажмите Добавить.
5. Выберите Скачать открытый ключ , чтобы скачать и сохранить файл ключа шифрования (PEM) локально. PEM-файл используется для запроса сертификата отношений доверия с портала программы Apple School Manager.

Шаг 2. Скачивание маркера и назначение устройств

1. Выберите Создать маркер с помощью Apple School Manager и войдите на сайт Apple School с помощью идентификатора Apple ID вашей компании. Этот идентификатор Apple ID можно использовать для обновления маркера Apple School Manager.
2. На портале Apple School Manager перейдите в раздел MDM Servers (Серверы MDM) и щелкните Add MDM Server (Добавить сервер MDM) в верхнем правом углу.
3. Введите имя сервера MDM. Имя сервера используется в качестве справочной информации для идентификации сервера управления мобильными устройствами (MDM). Это не имя и не URL-адрес сервера Microsoft Intune.
4. Выберите на портале Apple команду Отправить файл, найдите нужный PEM-файл и щелкните Сохранить сервер MDM в правом нижнем углу.
5. Выберите Get Token (Получить токен) и скачайте файл токена сервера (.p7m) на компьютер.
6. Перейдите в раздел Назначения устройств. Выберите устройства, вручную введя серийные номера или номер заказа.
7. Выберите действие Назначить серверу, затем выберите созданный сервер в поле Сервер MDM.
8. Укажите, каким образом необходимо выбрать устройства, а затем предоставьте сведения об устройстве.
9. Выберите Назначить серверу, затем выберите <имя_сервера>, указанное для Microsoft Intune, и нажмите кнопку ОК.

Шаг 3. Сохранение идентификатора Apple ID, используемого для создания этого маркера

Вернитесь в Центр администрирования и введите идентификатор Apple ID.

Шаг 4. Отправка маркера

В поле Маркер Apple перейдите к файлу сертификата (PEM) и нажмите кнопку Открыть, затем выберите Создать. С помощью Push Certificate служба Intune может зарегистрировать устройства iOS и iPadOS и управлять ими, применяя политику к зарегистрированным мобильным устройствам. Intune автоматически синхронизирует устройства Apple School Manager с Apple.

Создание профиля регистрации Apple

После установки маркера можно создать профиль регистрации для устройств Apple School. Профиль регистрации устройства определяет параметры, применяемые к группе устройств при регистрации.

1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

2. Перейдите на вкладку Apple .

3. В разделе Методы массовой регистрации выберите Токены программы регистрации.

4. Выберите маркер.

5. Выберите Профили>Create профиль>iOS/iPadOS.

6. В разделе Создание профиля введите имя и описание профиля для использования в административных целях. Эти сведения не отображаются для пользователей. Это поле Имя можно использовать для создания динамической группы в Microsoft Entra ID. Используйте имя профиля для определения параметра enrollmentProfileName, чтобы назначать устройства с этим профилем регистрации. Дополнительные сведения о динамических группах Microsoft Entra.

   

7. В поле Сопоставление пользователей укажите, должны ли устройства с этим профилем регистрироваться с назначенным пользователем или без него.

   • Регистрация со сходством пользователей — выберите этот вариант для устройств, которые принадлежат пользователям и должны использовать корпоративный портал для выполнения таких действий, как установка приложений. В этом случае пользователи смогут проводить проверку подлинности устройств с помощью корпоративного портала. Если вы используете ADFS, для сопоставления пользователей требуется конечная точка WS-Trust 1.3 с режимом "Имя пользователя/смешанный". Подробнее. Чтобы использовать режим общего устройства iPad в рамках программы Apple School Manager, требуется регистрация без сопоставления пользователей.

   • Регистрация без сопоставления пользователей — выберите этот вариант для устройств, не связанных с одним пользователем, например для общих устройств. Используйте этот вариант для устройств, выполняющих задачи без доступа к локальным данным пользователя. Приложения, такие как Корпоративный портал, не будут работать.

8. Если вы выбрали Зарегистрировать с сопоставлением пользователей, вы можете разрешить пользователям проходить проверку подлинности с помощью Корпоративный портал, помощника по настройке (устаревшая версия) и помощника по настройке с современной проверкой подлинности. Выберите параметр . Дополнительные сведения о методах проверки подлинности см. в статье Методы проверки подлинности для автоматической регистрации устройств в Intune.

   Примечание.

   Установите для параметра Проверка подлинности с помощью Корпоративного портала вместо помощника по настройке Apple значение Да, если требуется любое из следующего:

   • Использовать многофакторную проверку подлинности.
   • Предлагать пользователям изменить пароль при первом входе.
   • Предлагать пользователям сбросить пароли с истекшим сроком действия при регистрации.

   Эти возможности не поддерживаются при проверке подлинности с помощью помощника по настройке Apple.

9. Щелкните Параметры управления устройствами и укажите, нужно ли защитить устройства, использующие этот профиль. Для защищенных устройств поддерживается больше возможностей управления, а также по умолчанию отключена блокировка активации. Корпорация Майкрософт рекомендует использовать ADE для включения защищенного режима Intune, особенно в организациях, в которых развертывается большое количество устройств iOS и iPadOS.

   Пользователи получают уведомления том, что их устройства являются защищенными, двумя способами:

   • На экране блокировки отображается уведомление следующего содержания: "Это устройство iPhone находится под управлением Contoso".

   • На экране Параметры>Общие>Об устройстве появляется надпись: "Это устройство iPhone защищено. Contoso может отслеживать ваш интернет-трафик и обнаруживать это устройство".

     Примечание.

     Устройство, зарегистрированное без защиты, можно сбросить только в защищенный режим с помощью Apple Configurator. Для этого требуется подключить устройство iOS и iPadOS к компьютеру Mac, используя USB-кабель. Дополнительные сведения см. в документации по Apple Configurator.

10. Выберите, требуется ли заблокированная регистрация для устройств с этим профилем. Регистрация заблокирована — отключает параметры iOS и iPadOS, которые позволяют удалить профиль управления из меню Параметры. После регистрации устройства невозможно изменить этот параметр без очистки устройства. Для таких устройств для режима управления Защищен должно быть установлено значение Да.

11. Можно разрешить нескольким пользователям входит на зарегистрированные устройства iPad с использованием управляемого идентификатора Apple ID. Для этого выберите Да в разделе Общий iPad (для этого должен быть включен параметр Регистрация без сопоставления пользователей, а для режима Защищено должно быть установлено значение Да). Управляемые идентификаторы Apple ID создаются на портале Apple School Manager. Подробнее об общих устройствах iPad и о требованиях Apple к общим устройствам iPad.

12. Укажите, нужно ли, чтобы устройства, использующие этот профиль, могли синхронизироваться с компьютерами. Запретить все означает, использующие этот профиль устройства, не смогут синхронизировать свои данные с данными на компьютерах. Если выбрать Разрешить Apple Configurator по сертификату, необходимо выбрать сертификат в разделе сертификаты Apple Configurator.

13. Если на предыдущем шаге вы выбрали Разрешить Apple Configurator по сертификату, укажите сертификат Apple Configurator для импорта.

14. Вы можете указать формат именования для устройств, который будет автоматически применяться при регистрации. Для этого выберите Да в разделе Применить шаблон имени устройства. Затем в поле Шаблон имени устройства введите шаблон, который будет использоваться для имен в этом профиле. Можно указать формат шаблона, включающий тип устройства и серийный номер.

15. Нажмите кнопку OK.

16. Выберите Параметры помощника по настройке , чтобы настроить следующие параметры профиля:

    Setting	Описание
    Название отдела	Отображается, когда пользователь выбирает пункт О конфигурации во время активации.
    Телефон отдела	Отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.
    Параметры помощника по настройке	Эти необязательные параметры можно настроить позже в меню параметров iOS и iPadOS.
    Секретный код	Запрашивать секретный код при активации. Всегда требуйте секретный код для незащищенных устройств, если доступ не управляется другим способом (например, режим терминала, ограничивающий устройство одним приложением).
    Службы определения местонахождения	Если этот параметр включен, помощник по настройке будет запрашивать параметры службы при активации.
    Восстановление	Если этот параметр включен, помощник по настройке будет запрашивать параметры резервного копирования iCloud при активации.
    iCloud и Apple ID	Если этот параметр включен, помощник по настройке предложит пользователю войти в систему, используя идентификатор Apple ID. Затем на экране "Приложения и данные" вы сможете восстановить данные устройства из резервной копии iCloud.
    Условия	Если этот параметр включен, помощник по настройке предложит пользователям принять условия Apple при активации.
    Touch ID	Если этот параметр включен, помощник по настройке запросит эту службу при активации.
    Apple Pay	Если этот параметр включен, помощник по настройке запросит эту службу при активации.
    Масштаб	Если этот параметр включен, помощник по настройке запросит эту службу при активации.
    Siri	Если этот параметр включен, помощник по настройке запросит эту службу при активации.
    Диагностические данные	Если этот параметр включен, помощник по настройке запросит эту службу при активации.

17. Нажмите кнопку OK.

18. Чтобы сохранить профиль, выберите Создать.

Синхронизация управляемых устройств

Когда для Intune будет назначено разрешение на управление устройствами Apple School Manager, синхронизируйте Intune со службой Apple, чтобы увидеть управляемые устройства в Intune.

1. Вернитесь к маркерам программы регистрации.
2. Выберите токен в списке.
3. Выберите Синхронизация устройств>.
   

В соответствии с условиями Apple о допустимом трафике программы регистрации в Intune действуют следующие ограничения:

• Полную синхронизацию можно выполнять не чаще одного раза в семь дней. Во время полной синхронизации Intune обновляет каждый серийный номер Apple, назначенный решению Intune. При попытке выполнения полной синхронизации в течение семи дней с момента предыдущей полной синхронизации Intune обновит только те серийные номера, которые еще не указаны в Intune.
• Любой запрос синхронизации выполняется в течение 15 минут. В течение этого времени или до успешного завершения запроса кнопка Синхронизировать будет отключена.
• Intune синхронизирует новые и удаленные устройства с Apple каждые 24 часа.

Примечание.

Также можно назначить профилям серийные номера Apple School Manager в колонке Устройства программы регистрации.

Назначение профиля устройствам

Устройствам Apple School Manager, которые находятся под управлением Intune, перед регистрацией необходимо назначить профиль регистрации.

1. Вернитесь к маркерам программы регистрации.
2. Выберите токен в списке.
3. Выберите Устройства и выберите свои устройства.
4. Выберите Назначить профиль. Затем выберите профиль для устройств.
5. Нажмите Назначить.

Распределение устройств пользователям

Вы включили управление и синхронизацию между Apple и Intune и назначили профиль для регистрации устройств Apple School. Теперь можно распределить устройства между пользователями. При включении устройство iOS или iPadOS с Apple School Manager будет зарегистрировано для управления с помощью Intune. Невозможно применить профили к активированным устройствам, которые используются в данный момент, пока эти устройства не будут очищены.