Настройка автоматической регистрации устройств в Intune

Применимо к iOS/iPadOS

Корпоративные устройства, приобретенные через Apple Business Manager или Apple School Manager, можно зарегистрировать в Intune с помощью автоматической регистрации устройств. Этот вариант регистрации применяет параметры вашей организации из Apple Business Manager и Apple School Manager и регистрирует устройства без необходимости касаться их. IPhone и iPad можно отправлять непосредственно сотрудникам и учащимся. Когда они включают свои устройства, помощник по настройке Apple поможет им выполнить настройку и регистрацию.

В этой статье описывается подготовка и настройка автоматической регистрации устройств в Microsoft Intune.

Общие сведения о функциях

В следующей таблице показаны функции и сценарии, поддерживаемые автоматической регистрацией устройств.

Функция	Используйте этот вариант регистрации, когда:
Вам нужен защищенный режим.	✔️ В защищенном режиме развертываются обновления программного обеспечения, ограничиваются функции, разрешаются и блокируются приложения и выполняется многое другое.
Устройства принадлежат организации или школе.	✔️
У вас есть новые устройства.	✔️
Необходима регистрация множества устройств (массовая регистрация).	✔️
Устройства связаны с единственным пользователем.	✔️
Устройства не имеют пользователей — например, киоски или выделенные устройства.	✔️
Устройства находятся в режиме общего устройства.	✔️
Устройства являются личными или BYOD.	❌ Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM или регистрации пользователей и устройств.
Устройства находятся под управлением другого поставщика MDM.	❌ Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, рекомендуется зарегистрировать их в Intune.
Вы используете учетную запись диспетчера регистрации устройств (DEM).	❌ Учетная запись DEM не поддерживается.

Предварительные требования

Перед созданием профиля регистрации необходимо:

• Доступ к порталу Apple Business Manager или порталу Apple School Manager.
• Активный токен Apple (P7M-файл).
  • Инструкции см. в разделе Получение токена автоматической регистрации устройств Apple (в этой статье).
• Push-сертификат Apple MDM в Intune.
• Новые или очищаемые устройства, приобретенные у Apple Business Manager или Apple School Manager.

  Совет

  При автоматической регистрации устройств применяются конфигурации устройств, которые пользователь устройства может не удалить. Очистите все устройства перед регистрацией, чтобы вернуть их в состояние "из коробки".

Подготовка к работе

Ознакомьтесь с этими требованиями к регистрации и рекомендациями, чтобы подготовиться к успешной настройке и развертыванию.

Выбор метода проверки подлинности

Перед созданием профиля регистрации определите, как пользователи должны проходить проверку подлинности на своих устройствах: с помощью приложения Корпоративный портал Intune, помощника по настройке (устаревшая версия) или помощника по настройке с современной проверкой подлинности. Использование приложения Корпоративный портал или помощника по настройке с современной проверкой подлинности считается современной проверкой подлинности и имеет такие функции, как многофакторная проверка подлинности.

Intune также поддерживает JIT-регистрацию для помощника по настройке с современной проверкой подлинности, что устраняет необходимость в приложении Корпоративный портал для регистрации Microsoft Entra и соответствия требованиям. Чтобы использовать JIT-регистрацию, необходимо создать политику конфигурации устройств перед созданием профиля регистрации Apple и настройкой помощника по настройке с современной проверкой подлинности.

Помощник по настройке с современной проверкой подлинности поддерживается на устройствах под управлением iOS/iPadOS 13.0 и более поздних версий. Вместо этого для более старых устройств iOS/iPadOS с этим профилем будет использоваться помощник по настройке (устаревшая версия) для проверки подлинности.

Дополнительные сведения о вариантах проверки подлинности см. в статье Методы проверки подлинности для автоматической регистрации устройств.

Что такое защищенный режим

Защищенный режим обеспечивает больший контроль над корпоративными устройствами, поэтому вы можете выполнять такие действия, как блокировка захвата экрана и ограничение AirDrop.

Корпоративные устройства под управлением iOS/iPadOS 11+ и зарегистрированные с помощью автоматической регистрации устройств всегда должны находиться в защищенном режиме, который можно включить в профиле регистрации. Дополнительные сведения о защищенном режиме см . в разделе Включение защищенного режима iOS/iPadOS. Microsoft Intune игнорирует флаг is_supervised для устройств под управлением iOS/iPadOS 13.0 и более поздних версий, так как эти устройства автоматически переводятся в защищенный режим во время регистрации.

Регистрация устройств в режиме общего устройства

Вы можете настроить автоматическую регистрацию устройств в режиме общего устройства. Режим общего устройства — это функция Microsoft Entra ID, которая позволяет сотрудникам переднего плана совместно использовать одно устройство в течение дня, вход и выход по мере необходимости. Дополнительные сведения о том, как включить регистрацию для устройств в режиме Microsoft Entra общего устройства, см. в статье Автоматическая регистрация устройств в режиме общего устройства.

Развертывание приложения Корпоративный портал

Важно!

Мы не рекомендуем использовать App Store версию приложения Корпоративный портал, так как оно несовместимо с автоматической регистрацией устройств и не предоставляет автоматические обновления и доступность, как это делает развертывание.

Развертывание приложения Корпоративный портал Intune с помощью Intune — это лучший способ предоставить приложение пользователям и единственный способ:

• Убедитесь, что все устройства ADE, включая уже зарегистрированные, получают приложение.
• Включите автоматическое обновление приложений для Корпоративный портал на устройствах ADE.

Разверните приложение в качестве обязательного приложения VPP с лицензированием устройства. Сведения о синхронизации, назначении и управлении приложением VPP см. в разделе Назначение приложения, приобретенного томом.

Чтобы включить автоматическое обновление приложений для Корпоративный портал, перейдите к параметрам маркера приложения в Центре администрирования и измените значение Автоматические обновления приложений на Да. Инструкции по доступу к параметрам маркера маркера маркера доступа к параметрам маркера см. в статье Отправка токена Apple VPP или Apple Business Manager . Если автоматическое обновление не включено, пользователю устройства потребуется вручную проверка для них самостоятельно.

Промежуточное устройство используется для перехода устройства без сопоставления пользователей на устройство с сходством пользователей. Чтобы подготовить устройство, настройте развертывание VPP, как описано выше в этом разделе. Затем настройте и разверните политику конфигурации приложений. Убедитесь, что политика предназначена только для тех устройств ADE без сопоставления пользователей.

Важно!

Во время начальной регистрации Intune автоматически отправляет параметры политики конфигурации приложения для устройств, зарегистрированных с помощью помощника по настройке с современной проверкой подлинности, настроенных в разделе Настройка приложения Корпоративный портал для поддержки устройств iOS и iPadOS, зарегистрированных с помощью автоматической регистрации устройств, при настройке профиля регистрации Корпоративный портал задано значение Да. Эту конфигурацию не следует развертывать вручную для пользователей, так как это приведет к конфликту с конфигурацией, отправленной во время первоначальной регистрации. Если оба варианта развернуты, Intune неправильно предложит пользователям устройств войти в Корпоративный портал и скачать уже установленный профиль управления.

Ограничения

• Максимальное число профилей регистрации на токен: 1000
• Максимальное число устройств автоматической регистрации устройств на профиль: 200 000 (то же самое, что и максимальное число устройств на токен).
• Максимальное число маркеров автоматической регистрации устройств на Intune учетную запись: 2000
• Максимальное число устройств автоматической регистрации устройств на токен: 200 000
  • Рекомендуется не превышать 200 000 устройств на токен. В ином случае могут возникнуть проблемы с синхронизацией. Если у вас более 200 000 устройств, разделите их между несколькими токенами ADE.
  • Apple Business Manager и Apple School Manager синхронизируют около 3000 устройств до Intune в минуту. Рекомендуется снова отложить синхронизацию вручную из Центра администрирования, пока не пройдет достаточно времени для завершения синхронизации всех устройств (общее количество устройств/3000 устройств в минуту).

Устранение неполадок при регистрации

При возникновении проблем с синхронизацией во время этого процесса см. раздел Устранение проблем с регистрацией устройства iOS/iPadOS.

Получение токена автоматической регистрации устройств Apple

Прежде чем зарегистрировать устройства iOS/iPadOS с помощью ADE, вам потребуется автоматический маркер регистрации устройств (P7m-файл) от Apple. Этот маркер позволяет Intune синхронизировать сведения об устройствах ADE, принадлежащих вашей организации. Он также позволяет службе Intune выполнять отправку данных профилей регистрации в Apple и назначать устройства этим профилям.

Используйте Apple Business Manager (ABM) или Apple School Manager (ASM) для создания маркера и назначения устройств Intune для управления.

Примечание.

Для включения ADE можно использовать портал ABM или портал ASM. Остальная часть этой статьи относится к порталу ABM, но действия одинаковы для обоих порталов.

Шаг 1. Скачайте сертификат открытого ключа Intune

1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

2. Перейдите на вкладку Apple .

3. Выберите Токены программы регистрации>Добавить.

4. На вкладке Основное:

   1. Выберите Принимаю, чтобы предоставить корпорации Майкрософт разрешение на отправку сведений о пользователях и устройствах в Apple:

      

   2. Выберите Скачивание сертификата открытого ключа Intune, необходимого для создания токена. На этом шаге файл ключа шифрования (PEM) скачивается и сохраняется локально. Файл PEM используется для запроса сертификата отношений доверия с портала программы Apple Business Manager.

      Этот PEM-файл будет отправлен в Apple Business Manager на следующем шаге: Шаг 2. Перейдите на портал Apple Business Manager (в этой статье).

   3. Не закрывайте эту вкладку и страницу веб-браузера. Не закрывайте эту вкладку. В противном случае:

      • Скачанный сертификат станет недействительным.
      • Вам придется повторить все действия.
      • На вкладке Проверка и создание кнопка Создать будет недоступна, и вы не сможете выполнить эту процедуру.

Шаг 2. Перейдите на портал Apple Business Manager

Используйте портал Apple Business Manager для создания и продления токена ADE (сервер MDM). Этот токен добавляется в Intune и передается между Intune и Apple.

Примечание.

Ниже перечислены действия, которые необходимо выполнить на портале Apple Business Manager. Полное описание этих действий приводится в документации Apple. Ознакомьтесь с Руководством пользователя Apple Business Manager (откроется веб-сайт Apple).

Скачивание токена Apple

1. Выполните вход в Apple Business Manager с использованием идентификатора Apple ID вашей организации.

2. На портале выполните следующие действия.

   • В разделе параметров отображаются все токены. Добавьте сервер MDM и загрузите сертификат открытого ключа (PEM-файл), который вы скачали из Intune на предыдущем шаге: Шаг 1. Скачайте сертификат открытого ключа Intune (в этой статье).

     Имя сервера используется для идентификации сервера управления мобильными устройствами (MDM). Оно не определяет имя или URL-адрес службы Microsoft Intune.

   • После сохранения сервера MDM выберите его и скачайте токен (P7M-файл). Этот токен P7M будет отправлен в Intune на следующем шаге: Шаг 4. Отправьте токен и завершите работу (в этой статье).

Назначение устройств токену Apple (сервер MDM)

1. В разделе Apple Business Manager>Устройства выберите устройства, которые требуется назначить этому токену. Вы можете выполнять сортировку по различным свойствам устройства, таким как серийный номер. Также можно выбрать несколько устройств одновременно.
2. Измените параметры управления устройством и выберите только что добавленный сервер MDM. На этом шаге токену назначаются устройства.

Шаг 3. Сохраните идентификатор Apple ID

1. В веб-браузере вернитесь на страницу Добавление токена программы регистрации в Intune. Не закрывайте эту страницу, как указано в Шаг 1. Скачайте сертификат открытого ключа Intune (в этой статье).

2. Введите идентификатор в поле Apple ID. На этом шаге вы сохраните идентификатор. Идентификатор можно использовать в будущем.

   

Шаг 4. Отправьте токен и завершите работу

1. В разделе Токен Apple перейдите к файлу сертификата P7M и нажмите Открыть.

   Этот токен P7M вы скачали на предыдущем шаге: Шаг 2. Перейдите на портал Apple Business Manager.

2. Нажмите кнопку Далее.

3. На вкладке Проверка и создание выберите Создать.

С помощью Push Certificate служба Intune может зарегистрировать устройства с iOS и iPadOS и управлять ими, применяя политики к зарегистрированным мобильным устройствам. Intune автоматически синхронизируется с Apple для доступа к вашей учетной записи программы регистрации.

Создание профиля регистрации Apple

Теперь, когда вы установили маркер, вы можете создать профиль регистрации для автоматической регистрации устройств. Профиль регистрации устройства определяет параметры, применяемые к группе устройств в процессе регистрации. Существует ограничение в 1000 профилей регистрации на каждый токен регистрации.

Примечание.

Регистрация устройств будет заблокирована, если для маркера VPP недостаточно Корпоративный портал лицензий или если срок действия маркера истек. Intune уведомляет вас об истечении срока действия токена или недостаточном количестве лицензий.

1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

2. Перейдите на вкладку Apple .

3. Выберите Токены программы регистрации.

4. Выберите маркер, а затем — Профили.

5. Выберите Создать профиль>iOS или iPadOS.

6. Для Basics, дайте профилю Имя и Описание для административных целей. Эти сведения не отображаются для пользователей.

7. Нажмите кнопку Далее.

   Важно!

   Если вы внесете изменения в существующий профиль регистрации, новые параметры не вступают в силу на назначенных устройствах до тех пор, пока устройства не будут возвращены к заводским параметрам и не активируются повторно. Параметр шаблона имени устройства является единственным параметром, который можно изменить, который не требует сброса до заводских настроек. Изменения в шаблоне именования вступают в силу на следующем проверка.

8. В списке Сопоставление пользователей укажите, должны ли устройства с этим профилем регистрироваться с назначенным пользователем или без него.

   • Регистрация с сопоставлением пользователей. Выберите этот параметр для устройств, принадлежащих пользователям, которые хотят использовать Корпоративный портал для таких служб, как установка приложений.

   • Регистрация без сопоставления пользователей. Выберите этот параметр для устройств, которые не связаны с одним пользователем. Этот параметр подходит для устройств, у которых нет доступа к локальным данным пользователя. Этот вариант обычно используется для киосков, точек продаж (POS) или служебных устройств общего пользования.

     В некоторых ситуациях может потребоваться связать основного пользователя с устройствами, зарегистрированными без сопоставления пользователей. Для этого вы можете отправить ключ IntuneUDAUserlessDevice в приложение Корпоративного портала в политике конфигурации приложения для управляемых устройств. Первый пользователь, который входит в приложение Корпоративного портала, задается как основной пользователь. Если первый пользователь выполняет выход, а второй пользователь — вход, основным пользователем устройства будет первый пользователь. См. раздел Настройка приложения корпоративного портала для поддержки устройств с iOS и iPadOS ADE.

   • Регистрация с Microsoft Entra ID режиме общего доступа. Выберите этот параметр, чтобы зарегистрировать устройства, которые будут находиться в режиме общего доступа.

9. Если для поля Сходство пользователей выбран параметр Зарегистрироваться с сопоставлением пользователей, можно выбрать метод проверки подлинности, который должны использовать сотрудники. Дополнительные сведения о каждом методе проверки подлинности см. в разделе Методы проверки подлинности для автоматической регистрации устройств.

   

   Доступны следующие параметры:

   • Корпоративный портал
   • Помощник по настройке (устаревшая версия)
   • Помощник по настройке с современной проверкой подлинности

10. Если для метода проверки подлинности выбран помощник по настройке (устаревшая версия), но вы также хотите использовать условный доступ или развернуть корпоративные приложения на устройствах, необходимо установить Корпоративный портал на устройствах и войти в систему, чтобы завершить регистрацию Microsoft Entra. Для этого выберите Да для параметра Установить Корпоративный портал. Если вы хотите, чтобы пользователи получали Корпоративный портал без проверки подлинности в App Store, выберите Установить приложение "Корпоративный портал" по токену VPP и выберите токен VPP. Для успешного развертывания убедитесь, что срок действия токена не истекает и у вас достаточно лицензий на приложение "Корпоративный портал" для устройств.

11. Если вы выбрали токен для варианта Установить приложение "Корпоративный портал" по токену VPP, вы можете блокировать устройства в режиме одиночного приложения (в частности, приложения "Корпоративный портал") сразу после завершения работы помощника по настройке. Выберите вариант Да для варианта Запускать Корпоративный портал в режиме одиночного приложения до проверки подлинности, чтобы установить этот параметр. Чтобы использовать устройство, пользователь сначала должен пройти проверку подлинности с использованием Корпоративного портала.

    Примечание.

    Многофакторная проверка подлинности не поддерживается на одном устройстве, заблокированном в режиме одиночного приложения. Это ограничение существует, так как устройство не может переключиться на другое приложение для выполнения второго фактора проверки подлинности. Если требуется многофакторная проверка подлинности на устройстве в режиме одиночного приложения, второй фактор должен находиться на другом устройстве.

    Эта функция поддерживается только для iOS и iPadOS версии 11.3.1 и выше.

    

12. Если вы хотите, чтобы устройства, использующие этот профиль, были защищены, выберите Да в списке Защищено:

    

    Для защищенных устройств поддерживается больше возможностей управления, а также по умолчанию отключена блокировка активации. Корпорация Майкрософт рекомендует использовать ADE в качестве способа включения защищенного режима, особенно если вы развертываете большое количество устройств iOS и iPadOS. Общие устройства Apple iPad для бизнеса должны быть защищены.

    Пользователи получают уведомления о том, что их устройства находятся под контролем в приложении "Параметры ". В приложении в верхней части экрана статическое сообщение сообщает, что этот iPhone контролируется и управляется <your organization>.

    Примечание.

    Если устройство зарегистрировано без защиты, необходимо использовать конфигуратор Apple, чтобы включить защищенный режим. Чтобы сбросить устройство таким образом, необходимо подключить его к компьютеру Mac с помощью USB-кабеля. Дополнительные сведения см. в справке по конфигуратору Apple.

13. В списке Регистрация заблокирована выберите Да или Нет. Заблокированная регистрация отключает параметры iOS/iPadOS, которые позволяют удалять профиль управления. Если включить заблокированную регистрацию, кнопка в приложении "Параметры", которая позволяет пользователям удалять профиль управления, будет скрыта, и пользователи не смогут отменить регистрацию устройства. Если вы настраиваете устройства в режиме Microsoft Entra ID общего доступа, нажмите кнопку Да.

    Заблокированная регистрация работает немного иначе: сначала на устройствах, которые изначально не были приобретены через Apple Business Manager, но позже добавлены в состав автоматической регистрации устройств: пользователи на этих устройствах увидят кнопку "Удалить управление" в приложении "Параметры" в течение первых 30 дней после активации устройства. По истечении этого предварительного периода параметр будет скрыт. Дополнительные сведения см. в разделе Подготовка устройств вручную (откроется справка Apple Configurator).

    Важно!

    Этот параметр отличается от параметров удаления и сброса в приложении Корпоративный портал. Независимо от того, как вы настраиваете заблокированную регистрацию, параметры Удалить устройство или Сброс заводских настроек в приложении Корпоративный портал остаются недоступными на устройствах, зарегистрированных с помощью автоматической регистрации устройств. Пользователи также не смогут удалить устройство на веб-сайте Корпоративный портал. Дополнительные сведения о действиях самообслуживания, доступных на зарегистрированных устройствах, см. в разделе Действия самообслуживания.

14. Если вы выбрали Регистрация без сопоставления пользователей и Защищено, необходимо решить, следует ли настроить устройства как общие устройства Apple iPad для бизнеса. Выберите Да для параметра Общий iPad, чтобы несколько пользователей могли входить в систему с одного устройства. Они будут проходить проверку подлинности с помощью управляемого идентификатора Apple ID и федеративных учетных записей проверки подлинности либо посредством временного сеанса (например, гостевой учетной записи). Для этого параметра требуется iOS/iPadOS 13.4 или более поздней версии. На общем iPad все панели помощника по настройке после активации автоматически пропускаются.

    Примечание.

    • Очистка устройства потребуется, если профиль регистрации iOS или iPadOS с включенным общим устройством iPad будет отправлен на неподдерживаемое устройство. К неподдерживаемым устройствам относятся любые модели iPhone и устройства iPad под управлением iPadOS/iOS 13.3 и более ранних версий. К поддерживаемым устройствам относятся iPad под управлением iPadOS 13.3 и более поздней версии.
    • Для настройки общего устройства Apple iPad для бизнеса, задайте следующие параметры:
      • В списке Сопоставление пользователей выберите Регистрация без сопоставления пользователей.
      • В списке Защищено выберите Да.
      • В списке Общий iPad выберите Да.

    Если вы настраиваете общее устройство Apple iPad для бизнеса, также настройте:

    • Максимальное число пользователей в кэше: задайте для этого параметра число пользователей, которые будут использовать общий iPad. Вы можете кэшировать до 24 пользователей на устройстве с объемом памяти 32 ГБ или 64 ГБ. Если указать небольшое число, может потребоваться некоторое время, чтобы данные пользователей отобразились на устройствах после входа. При выборе слишком большого значения у пользователей может закончится место на диске.

    • Максимальное количество секунд после блокировки экрана до ввода пароля. Введите время в секундах. Допустимые значения: 0, 60, 300, 900, 3600 и 14400. Если блокировка экрана превышает это время, для разблокировки устройства потребуется пароль устройства. Доступно для устройств в режиме общего iPad под управлением iPadOS 13.0 и более поздних версий.

    • Максимальное время бездействия (в секундах) до завершения сеанса пользователя: минимально допустимое значение для этого параметра — 30. Если после определенного периода действия нет, сеанс пользователя завершается и выходит из него. Если оставить запись пустой или задать для нее значение 0, сеанс не завершится из-за бездействия. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

    • Требовать только временный сеанс общего устройства iPad: настраивает устройства так, что пользователям отображается только гостевая версия интерфейса входа и им требуется входить как гостям. Пользователи не могут войти с помощью управляемого Apple ID. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

      Если задано значение Да, этот параметр отменяет следующие общие параметры iPad, так как они не применяются во временных сеансах:

      • Максимальное число пользователей в кэше
      • Максимальное время (в секундах) после блокировки экрана, по истечении которого запрашивается пароль
      • Максимальное время бездействия (в секундах) до завершения сеанса пользователя

    • Максимальное время бездействия (в секундах) до завершения временного сеанса: минимально допустимое значение для этого параметра — 30. Если по истечении определенного периода действия нет, временный сеанс завершается и выходит из него. Если оставить запись пустой или задать для нее значение 0, сеанс не завершится из-за бездействия. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

      Этот параметр доступен, если для параметра Требовать только временный сеанс общего устройства iPad установлено значение Да.

    Примечание.

    • Если временные сеансы включены, все данные пользователя удаляются при выходе из сеанса. Это означает, что все целевые политики и приложения будут переходить к пользователю при входе и будут удаляться при выходе.
    • Чтобы изменить конфигурацию общих iPad, чтобы не иметь временных сеансов, необходимо полностью сбросить устройство и отправить на iPad новый профиль регистрации с обновленными конфигурациями.

15. В списке Синхронизировать с компьютерами выберите вариант для устройств, использующих этот профиль. Если выбрать Разрешить конфигуратор Apple по сертификату, необходимо выбрать сертификат в разделе Сертификаты конфигуратора Apple.

    Примечание.

    Если для параметра Синхронизация с компьютерами установлено значение Запретить все, этот порт будет ограничен на устройствах iOS и iPadOS. Порт будет доступен только для зарядки. Порт будет заблокирован для iTunes или конфигуратора Apple 2.

    Если параметру Синхронизация с компьютерами задано значение Разрешить конфигуратор Apple по сертификату, убедитесь, что у вас есть локальная копия сертификата, доступ к которой можно получить позже. Вы не сможете внести изменения в отправленную копию, поэтому важно сохранить копию этого сертификата. Если вы хотите подключиться к устройству iOS/iPadOS с устройства Mac, на устройстве, выполняющем подключение к устройству iOS/iPadOS, должен быть установлен тот же сертификат.

16. Если на предыдущем шаге вы выбрали Разрешить конфигуратор Apple по сертификату, укажите сертификат конфигуратора Apple для импорта.

17. Для окончательной конфигурации Await доступны следующие параметры:

    • Да. Включите заблокированный интерфейс в конце помощника по настройке, чтобы убедиться, что на устройстве установлены наиболее важные политики конфигурации устройства. Непосредственно перед загрузкой начального экрана помощник по настройке приостанавливает работу и позволяет Intune проверка с устройством. Взаимодействие с конечными пользователями блокируется, пока пользователи ожидают окончательных конфигураций.

      Время, в течение которого пользователи находятся на экране ожидания окончательной конфигурации, зависит от общего количества политик и приложений, применяемых к устройству. Чем больше политик и приложений назначено устройству, тем больше время ожидания. Ни помощник по настройке, ни Intune применять минимальное или максимальное время во время этой части установки. Во время проверки продукта большинство тестируемых устройств были выпущены и получили доступ к начальнму экрану в течение пятнадцати минут. Если вы включили эту функцию и используете стороннюю сторону для подготовки устройств, сообщите им о возможности увеличения времени подготовки.

      Заблокированный интерфейс работает на устройствах, предназначенных для новых и существующих профилей регистрации. Поддерживаемые устройства включают:

      • Устройства iOS/iPadOS 13+ для регистрации с помощью помощника по настройке с современной проверкой подлинности
      • Регистрация устройств iOS/iPadOS 13+ без сопоставления пользователей
      • Устройства iOS/iPadOS 13 и более поздних версий, зарегистрированные в Microsoft Entra ID режиме общего доступа

      Этот параметр применяется один раз во время встроенной автоматической регистрации устройств в помощнике по настройке. Пользователь устройства не будет испытывать его снова, если он не повторно зарегистрировать свое устройство. Да — это параметр по умолчанию для новых профилей регистрации.

    • Нет. Устройство освобождается на начальном экране после завершения работы помощника по настройке, независимо от состояния установки политики. Пользователи устройств могут получить доступ к начальнму экрану или изменить параметры устройства до установки всех политик. No — это параметр по умолчанию для существующих профилей регистрации.

    Параметр конфигурации await недоступен в профилях с таким сочетанием конфигураций:

    • Сходство пользователей: регистрация без сопоставления пользователей (шаг 6 в этом разделе)
    • Общий iPad: да (шаг 12 в этом разделе)

18. При необходимости создайте шаблон имени устройства, чтобы быстро определить устройства, назначенные этому профилю, в Центре администрирования. Intune использует шаблон для создания и форматирования имен устройств. Имена присваиваются устройствам при регистрации и при каждом последующем проверка входа. Чтобы создать шаблон, выполните приведенные далее действия.

19. В разделе Применить шаблон имени устройства выберите Да .

20. В поле Шаблон имени устройства введите шаблон, который вы хотите использовать для создания имен устройств. Шаблон может включать тип устройства и серийный номер. Он не может содержать более 63 символов, включая переменные. Пример: {{DEVICETYPE}}-{{SERIAL}}

21. Вы можете активировать тарифный план передачи данных. Этот параметр применяется к устройствам под управлением iOS/iPadOS 13.0 и более поздних версий. При настройке этого параметра будет отправлена команда для активации тарифных планов передачи данных для мобильных устройств с поддержкой eSim. Прежде чем вы сможете активировать тарифные планы с помощью этой команды, ваш оператор должен подготовить активацию устройств. Чтобы активировать тарифный план передачи данных, нажмите кнопку Да, а затем введите URL-адрес сервера активации вашего оператора.

22. Нажмите кнопку Далее.

23. На вкладке Помощник по настройке задайте следующие параметры профиля:

    Параметры отдела	Описание
    Department	Отображается, когда пользователь выбирает пункт О конфигурации во время активации.
    Телефон отдела	Отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.

    Экраны помощника по настройке можно скрыть на устройстве во время настройки пользователя. Описание всех экранов см. в справочнике по экрану помощника по настройке (в этой статье).

    • Если вы выберете Скрыть, этот экран не будет отображаться во время настройки. После настройки устройства пользователь по-прежнему может перейти в меню Параметры, чтобы настроить эту функцию.
    • Если выбрать Показать, экран будет отображаться во время настройки, но только если после восстановления или обновления ПО требуется выполнить какие-либо шаги. Иногда пользователь может пропустить экран без выполнения действия. Позже он может открыть меню Параметры, чтобы настроить эту функцию.
    • На общем iPad все панели помощника по настройке после активации автоматически пропускаются независимо от конфигурации.

24. Нажмите кнопку Далее.

25. Выберите Создать, чтобы сохранить профиль.

Динамические группы в Microsoft Entra ID

Поле Имя регистрации можно использовать для создания динамической группы в Microsoft Entra ID. Дополнительные сведения см. в разделе Microsoft Entra динамических групп.

Вы можете использовать имя профиля для определения параметра enrollmentProfileName, чтобы назначать устройства с этим профилем регистрации.

Перед настройкой устройства и, чтобы обеспечить быструю доставку на устройства с сопоставлением пользователей, убедитесь, что зарегистрированный пользователь является членом Microsoft Entra группы пользователей.

Назначение динамических групп профилям регистрации может привести к некоторой задержке в доставке приложений и политик на устройства после регистрации.

Справочник по экрану помощника по настройке

В следующей таблице описаны экраны помощника по настройке, отображаемые во время автоматической регистрации устройств для iOS/iPadOS. Эти экраны можно отобразить или скрыть на поддерживаемых устройствах во время регистрации.

Экран помощника по настройке	Что происходит при отображении
Секретный код	Запрос секретного кода у пользователя. Всегда требуйте секретный код для незащищенных устройств, если доступ к ним не контролируется иным образом. (Например, режим терминала позволяет запускать на устройстве только одно приложение.) Для iOS/iPadOS 7.0 и более поздних версий.
Службы определения местонахождения	Запрос местонахождения пользователя. Для macOS версии 10.11 и выше и iOS или iPadOS 7.0 и более поздних версий.
Восстановление	Отображение экрана "Приложения и данные". На этом экране пользователь может восстанавливать или передавать данные из резервной копии iCloud при настройке устройства. Для macOS 10.9 и более поздних версий, а также iOS/iPadOS 7.0 и более поздних версий.
Apple ID	Предоставление пользователю возможностей войти с помощью Apple ID и использовать iCloud. Для macOS 10.9 и более поздних версий, а также iOS/iPadOS 7.0 и более поздних версий.
Условия	Требование, чтобы пользователь принял условия Apple. Для macOS 10.9 и более поздних версий, а также iOS/iPadOS 7.0 и более поздних версий.
Touch ID и Face ID	Предоставьте пользователю возможность настроить идентификацию по отпечатку пальца или лицу на своем устройстве. Для macOS 10.12.4 и более поздних версий, а также iOS/iPadOS 8.1 и более поздних версий. В iOS/iPadOS 14.5 и более поздних версий экраны Touch ID и ввода секретного кода в помощнике по настройке не работают при настройке устройства. Если вы используете версию 14.5 и выше, не настраивайте эти экраны в помощнике по настройке. Если нужно требовать ввод секретного кода на устройствах, используйте для этого политику конфигурации устройства или соответствия требованиям. Когда пользователь зарегистрируется и получит политику, ему будет предложено ввести секретный код.
Apple Pay	Представление пользователю возможности настроить Apple Pay на устройстве. Для macOS 10.12.4 и более поздних версий, а также iOS/iPadOS 7.0 и более поздних версий.
Масштаб	Предоставлять пользователю возможность изменить масштаб экрана при настройке устройства. Для iOS/iPadOS 8.3 и более поздних версий.
Siri	Представление пользователю возможности настроить Siri. Для macOS 10.12 и более поздних версий, а также iOS/iPadOS 7.0 и более поздних версий.
Данные диагностики	Открывает экран Диагностика. На этом экране пользователю предоставляется возможность отправить диагностические данные в Apple. Для macOS 10.9 и более поздних версий, а также iOS/iPadOS 7.0 и более поздних версий.
Тон дисплея	Предоставление пользователю возможности включить тон дисплея. Для macOS 10.13.6 и более поздних версий, а также iOS/iPadOS 9.3.2 и более поздних версий.
Конфиденциальность	Открывает экран Конфиденциальность. Для macOS 10.13.4 и более поздних версий, а также iOS/iPadOS 11.3 и более поздних версий.
Миграция с Android	Предоставление пользователю возможности переноса данных с устройства Android. Для iOS/iPadOS 9.0 и более поздних версий.
iMessage и FaceTime	Представление пользователю возможности настроить iMessage и FaceTime. Для iOS/iPadOS 9.0 и более поздних версий.
Адаптация	Отображение информационных окон подключения для информирования пользователя, например обложка, многозадачность и доступ к центру управления. Для iOS/iPadOS 11.0 и более поздних версий.
Экранное время	Отображение экрана "Экранное время". Для macOS 10.15 и более поздних версий, а также iOS/iPadOS 12.0 и более поздних версий.
Настройка SIM	Предоставление пользователю возможности добавить тарифный план сотовой связи. Для iOS/iPadOS 12.0 и более поздних версий.
Обновление программного обеспечения	Отображение экрана обязательного обновления программного обеспечения. Для iOS/iPadOS 12.0 и более поздних версий.
Миграция с Watch	Предоставление пользователю возможности переноса данных с устройства Watch. Для iOS/iPadOS 11.0 и более поздних версий.
Внешний вид	Открывает экран Внешний вид. Для macOS 10.14 и более поздних версий, а также iOS/iPadOS 13.0 и более поздних версий.
Миграция с устройства на устройство	Предоставьте пользователю возможность передавать данные со старого устройства на это устройство. Возможность передачи данных непосредственно с устройства недоступна для устройств ADE под управлением iOS 13 или более поздней версии.
Восстановление завершено	Показывает пользователям экран "Восстановление завершено" после выполнения резервного копирования и восстановления помощником по установке.
Обновление программного обеспечения завершено	Показывает пользователю все обновления программного обеспечения, которые происходят во время работы помощника по установке.
Начало работы	Показывает пользователям экран приветствия "Начало работы".
Условия адреса	Предоставьте пользователю возможность выбора того, как он должен быть рассмотрен в системе: женский, мужской или нейтральный. Эта функция Apple доступна для различных языков. Дополнительные сведения см. в разделе Основные функции и улучшения (открывается веб-сайт Apple). Для iOS/iPadOS 16.0 и более поздних версий.

Синхронизация управляемых устройств

Теперь, когда Intune имеет разрешение на управление вашими устройствами, можно синхронизировать Intune с Apple для просмотра управляемых устройств в Intune на портале Azure.

1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

2. Перейдите на вкладку Apple .

3. Выберите Токены программы регистрации.

4. Выберите маркер в списке, а затем выберите Устройства>Синхронизация:

   

   В соответствии с условиями Apple о допустимом трафике программы регистрации в Intune действуют следующие ограничения:

   • Полную синхронизацию можно выполнять не чаще одного раза в семь дней. Во время полной синхронизации Intune извлекает полный перечень обновленных серийных номеров, которые назначены подключенному к Intune серверу MDM Apple.

     Важно!

     Если устройство удалено из Intune, но остается назначенным токену регистрации ADE на портале ASM/ABM, оно снова появится в Intune при следующей полной синхронизации. Если вы не хотите, чтобы это произошло, удалите устройство с сервера Apple MDM на портале ABM/ASM.

   • Если устройство было освобождено из ABM/ASM, на его автоматическое удаление со страницы устройств в Intune может потребоваться до 45 дней. Если необходимо, вы можете вручную удалить эти устройства из Intune по одному. Выпущенные устройства будут точно зарегистрированы как удаленные из ABM/ASM в Intune, пока они не будут автоматически удалены в течение 30–45 дней.
   • Разностная синхронизация запускается автоматически каждые 12 часов. Также можно активировать разностную синхронизацию, нажав кнопку Синхронизировать (не чаще, чем раз в 15 минут). Любой запрос синхронизации выполняется в течение 15 минут. Кнопка Синхронизировать неактивна до завершения синхронизации. Во время синхронизации обновится состояние существующих устройств и импортируются новые устройства, назначенные серверу MDM Apple. Если по какой-либо причине не удалось выполнить разностную синхронизацию, следующая синхронизация будет полной, и, мы надеемся, поможет решить все проблемы.

Назначение профиля регистрации устройствам

Перед регистрацией устройств необходимо назначить им профиль регистрации.

Примечание.

Кроме того, серийные номера можно назначить профилям в колонке Серийные номера Apple.

1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
2. Перейдите на вкладку Apple .
3. Выберите Токены программы регистрации.
4. Выберите токен регистрации.
5. Выберите Устройства.
6. Выберите все устройства, которые вы хотите назначить, а затем выберите Назначить профиль.
7. В разделе Назначение профиля выберите профиль автоматической регистрации устройств, созданный для устройств, и нажмите кнопку Назначить.

Назначение профиля по умолчанию

Вы можете применить профиль по умолчанию ко всем устройствам, регистрирующимся с использованием определенного токена.

1. В Центре администрирования вернитесь к разделу Токены программы регистрации.
2. Выберите токен регистрации.
3. Выберите Задать профиль по умолчанию.
4. Выберите профиль в списке и нажмите кнопку Сохранить. Профиль будет применяться ко всем устройствам, которые регистрируются с выбранным маркером регистрации.

Примечание.

Убедитесь, что в параметре Ограничения по типу устройства раздела Ограничения регистрации политика Все пользователи по умолчанию не настроена для блокировки платформы iOS/iPadOS. Этот параметр приведет к сбою автоматической регистрации, и устройство будет отображаться как устройство с недопустимым профилем независимо от уровня аттестации пользователя. Чтобы разрешить регистрацию только для устройств, управляемых компанией, заблокируйте только личные устройства. Это позволит выполнять регистрацию только корпоративным устройствам. Корпорация Майкрософт считает корпоративным такое устройство, которое было зарегистрировано по Программе регистрации устройств, или устройство, сведения о котором были вручную введены в идентификаторы корпоративных устройств.

Распределение устройств

Вы включили управление и синхронизацию между Apple и Intune и назначили профиль для разрешения регистрации устройств ADE. Теперь вы можете распределить устройства между пользователями. Обратите внимание на следующие моменты:

• Устройствам, зарегистрированным с сопоставлением пользователей, требуется, чтобы каждому пользователю была назначена лицензия Intune.

• К устройствам, зарегистрированным без сходства пользователей, пользователи обычно не привязываются. Такие устройства должны иметь лицензию на устройство Intune. Если пользователь с лицензией Intune будет использовать устройства, зарегистрированные без сопоставления пользователей, то лицензия на устройство не потребуется.

  Таким образом, если у устройства есть пользователь, этому пользователю должна быть назначена лицензия Intune. Если у устройства нет пользователя с лицензией Intune, этому устройству должна быть назначена лицензия на устройство Intune.

  Дополнительные сведения о лицензировании Intune см. в разделе Лицензирование Microsoft Intune и в руководстве по планированию Intune.

• Прежде чем зарегистрировать ранее активированное устройство в Intune с помощью ADE, необходимо выполнить его очистку. После очистки, но перед повторной активацией вы можете применить профиль регистрации. См. статью о настройке существующего устройства iPhone, iPad или iPod touch.

• При регистрации с использованием ADE и сопоставления пользователей в процессе установки может произойти следующая ошибка:

  The SCEP server returned an invalid response.

  Эту ошибку можно устранить, попытайтесь загрузить управление еще раз в течение 15 минут. Если этот процесс займет больше 15 минут, для устранения этой ошибки потребуется выполнить сброс параметров устройства. Это связано с 15-минутным ограничением действия сертификатов SCEP, которое применяется из соображений безопасности.

Сведения о взаимодействии с пользователем см. в разделе Регистрация устройств с iOS и iPadOS в Intune с помощью ADE.

Повторная регистрация устройства

Выполните эти действия, чтобы повторно зарегистрировать устройство, которое уже прошло автоматическую регистрацию.

1. Существует два варианта сброса устройства:
   • Очистите устройство в Центре администрирования Microsoft Intune.
   • Снимите с учета устройство в Центре администрирования, а затем сбросьте его до заводских параметров с помощью приложения "Параметры", Apple Configurator 2 или iTunes.
2. Включите устройство и следуйте инструкциям на экране в разделе Помощник по настройке, чтобы получить профиль удаленного управления.

Продление токена автоматической регистрации устройств Apple

Продлевать токены необходимо в следующих случаях:

• Токен ADE требуется продлевать ежегодно. В центре администрирования Intune отображается дата окончания срока действия.
• Если изменился пароль Apple ID для пользователя, который настроил этот токен в Apple Business Manager, требуется продлить токен программы регистрации в Intune и Apple Business Manager.
• Если пользователь, который настроил этот токен в Apple Business Manager, покидает организацию, требуется продлить токен программы регистрации в Intune и Apple Business Manager.
• Если изменить идентификатор Apple ID, используемый для создания маркера ADE, это изменение не повлияет на зарегистрированные в настоящее время устройства с этим маркером, пока они не будут повторно зарегистрированы. Это отличается от сертификата службы push-уведомлений Apple (APNS), используемого для клиента, который нельзя изменить, не требуя повторной регистрации всех устройств, если вы не обратитесь в службу поддержки Apple для выполнения изменений на внутренней части.

Продление токенов

1. Перейдите на сайт business.apple.com и выполните вход с учетной записью, которая имеет роль администратора или менеджера регистрации устройств.

2. Выберите Настройки. В разделе Управление серверами выберите сервер MDM, связанный с файлом токена, который требуется продлить. Нажмите Загрузить токен:

   

3. Выберите Загрузить токен сервера.

   Примечание.

   Как указано в командной строке, не выбирайте Загрузить токен сервера, если не хотите продлить токен. В противном случае токен будет недействителен для Intune (или любого другого решения MDM). Если вы уже загрузили токен, выполните следующие инструкции, чтобы продлить токен.

4. Скачав маркер, перейдите в центр администрирования Microsoft Intune.

5. Выберите Регистрация устройств>.

6. Выберите Токены программы регистрации.

7. Выберите токен.

8. Щелкните Продлить токен. Введите идентификатор Apple ID, с которым был создан исходный токен (если он не указан автоматически):

   

9. Отправьте только что скачанный токен.

10. Выберите Далее, чтобы перейти на страницу Теги области. При необходимости назначьте теги области.

11. Щелкните Продлить токен. Появится подтверждение о продлении токена.

    

Удаление токена автоматической регистрации устройства из Intune

Вы можете удалить токены профиля регистрации из Intune, если:

• токену не назначены устройства;
• профилю по умолчанию не назначены устройства.
• В этом токене нет профилей регистрации.

Удаление токена профиля регистрации:

1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
2. Перейдите на вкладку Apple .
3. Выбор маркеров программы регистрации
4. Выберите Устройства.
5. Удалите все устройства, назначенные токену.
6. Вернитесь к маркерам программы регистрации. Выберите токен и нажмите Профили.
7. Если имеется профиль по умолчанию или любой другой профиль регистрации, их все нужно удалить.
8. Вернитесь к маркерам программы регистрации. Выберите токен и нажмите Удалить.

Дальнейшие действия

Общие сведения о том, что требуется для пользователей устройств, см. в разделе Задачи конечных пользователей ADE.