Настройка общего iPad

  • Статья

Применимо к iPadOS 13.4 и более поздних версий

Подготовка устройства в качестве общего устройства iPad настраивает его таким образом, чтобы его можно было совместно использовать для нескольких сотрудников или учащихся. IPad, зарегистрированные в Intune с помощью автоматической регистрации устройств и без сопоставления пользователей, могут быть подготовлены как общие iPad.

Общий iPad создает предварительно определенное количество пользовательских секций на устройстве. Пользовательские секции гарантируют, что приложения, данные и предпочтения каждого пользователя хранятся отдельно на iPad. Если вы это разрешите, для этих секций можно создать резервную копию в iCloud для удобного перехода между другими общими устройствами iPad в вашей организации.

При федерации экземпляра Microsoft Entra организации в Apple Business или School Manager пользователь устройства может войти на общий iPad, используя свое Microsoft Entra имя пользователя и пароль. При первом входе на общий iPad автоматически создается управляемый идентификатор Apple ID для пользователя, соответствующего его Microsoft Entra имени пользователя. Кроме того, при первом входе пользователь задает буквенно-цифровой секретный код для своего раздела, в который устанавливаются приложения, назначенные устройству. При следующем доступе пользователя к общему iPad ей нужно только указать управляемый идентификатор Apple ID (то же, что и имя пользователя Microsoft Entra) и буквенно-цифровой секретный код.

Настройка общих устройств iPad

Выполните следующие действия, чтобы настроить общий iPad в своей среде.

Важно!

Общий iPad поддерживается на защищенных устройствах iPad под управлением iPadOS 13.3 и более поздних версий. Очистка устройства потребуется, если профиль регистрации, включенный в общий iPad, отправляется на устройство, которое не поддерживает общий iPad. Общий iPad не поддерживается на устройствах iPhone или iPad под управлением iOS/iPadOS версии 13.3 и более ранних версий.

  1. Создайте федерацию экземпляра Microsoft Entra с помощью Apple Business Manager или Apple School Manager. Дополнительные сведения см. в статье Введение в федеративную аутентификацию с использованием Apple Business Manager.
  2. Create профиль регистрации.
    1. Войдите в Центр администрирования Microsoft Intune.
    2. Выберите Устройства>iOS/iPadOS>регистрация iOS/iPadOS.
    3. В разделе Методы массовой регистрации выберите Токены программы регистрации.
    4. Выберите маркер, а затем — Профили.
    5. Выберите Создать профиль>iOS или iPadOS.
  3. Настройте следующие параметры в профиле регистрации:
    1. Перейдите в раздел Параметры управления и включите общий iPad.
    2. Задайте для параметра Сходство пользователей значение Регистрация без сопоставления пользователей.
    3. Установите для параметра Защищенный значение Да.
    4. Установите для параметра Общий iPad значение Да.
  4. Нажмите кнопку Сохранить , когда закончите настройку остальной части профиля.
  5. Назначение устройств, синхронизированных из Apple Business Manager.
    1. Выберите новый профиль регистрации.
    2. Выберите Назначить устройства>Добавить устройства.
  6. Create динамическую группу устройств для автоматического назначения этого профиля устройствам, которые попадают в параметры правила.
    1. Перейдите в раздел Группы>Новая группа.
    2. В поле Тип членства выберите Динамическое устройство.
    3. Выберите Добавить динамический запрос.
    4. В столбце Свойство выберите enrollmentProfileName.
    5. В столбце Значение введите имя профиля регистрации.
  7. Назначьте все необходимые приложения и профили конфигурации динамической группе устройств.
  8. Подготовьте новые и существующие устройства к развертыванию:
    • Включите новые устройства и следуйте инструкциям на экране, чтобы настроить общий iPad.
    • Сбросьте существующие устройства до заводских параметров и следуйте инструкциям на экране, чтобы настроить общий iPad.

Настройка параметров для общих устройств iPad

Общие параметры iPad можно настроить в профиле конфигурации устройства для контекста устройства и пользователя. Ниже приводится краткое описание этих операций.

  • Параметры, применимые к устройству, применяются к любому активному пользователю на общем устройстве iPad.
  • Применимые к пользователю параметры применяются, когда пользователь активен на любом общем устройстве iPad.

В следующей таблице описаны правила применимости для общих параметров iPad.

Тип профиля Имя параметра Применимость для назначения группе устройств Применимость для назначения группе пользователей
Функции устройства Макет начального экрана Device User
Функции устройства Уведомления приложения Device User
Функции устройства Расширение для приложения единого входа Device User
Функции устройства Параметры AirPrint Device Неприменимо
Функции устройства Сообщение на экране блокировки Device Неприменимо
Функции устройства Фильтр веб-содержимого Device Неприменимо
Ограничения для устройств Блокировка временных сеансов общего доступа к iPad Device Неприменимо
Ограничения для устройств Задержать обновления ПО Device Неприменимо
Ограничения для устройств Принудительно задать дату и время автоматически Device Неприменимо
Ограничения для устройств Требовать присоединения к сети Wi-Fi только с помощью профилей конфигурации Device Неприменимо
Ограничения для устройств Блокировать автоматическую блокировку Device Неприменимо
Ограничения для устройств Разрешить пользователям загружать устройства в режиме восстановления с непарными устройствами Device Неприменимо
Ограничения для устройств Блокировать Siri для диктовки Device Неприменимо
Ограничения для устройств Все остальные параметры в ограничениях устройств Device User
Электронная почта Все параметры Device User
VPN, Wi-Fi, сертификат Все параметры Device Неприменимо

Вы должны знать

При создании профиля конфигурации устройства для общих устройств iPad имейте в виду, что:

  • Для успешного выполнения назначения групповой политики пользователя экземпляр Microsoft Entra должен быть федеративный в Apple Business Manager.
  • Все параметры профиля конфигурации устройства являются применимыми к устройствам во временных сеансах общих устройств iPad.
  • Политики, назначаемые пользователем, применяются к общему iPad, когда пользователь входит в систему, используя свои федеративные Microsoft Entra учетные данные. Дополнительные сведения о федерации экземпляра Microsoft Entra с Apple Business Manager см. в руководстве по Apple Business Manager (откроется веб-сайт службы поддержки Apple).
  • Политики, назначаемые устройством, применяются к общему iPad, когда вы инициируете синхронизацию устройств из Центра администрирования или когда Intune уведомляет устройство о том, что проверка в службе Intune. Дополнительные сведения о частоте проверка устройств см. в разделе Интервалы обновления политики.

Настройка временных сеансов

В iPadOS 13.4 или более поздней версии пользователи могут инициировать временный сеанс, нажав кнопку Гость на экране входа устройства. Временный сеанс позволяет пользователям входить на устройство в качестве гостя и не требует ввода управляемого идентификатора Apple ID или пароля. Все данные пользователя, включая журнал браузера, удаляются при выходе пользователя из сеанса. Временные сеансы разрешены по умолчанию с общим iPad. Дополнительные сведения см. в статье Общие сведения об iPad (открывается документация Apple).

Вы можете настроить временные сеансы в профиле ограничений устройств iOS в Центре администрирования. Дополнительные сведения см. в разделе Общий iPad — автоматическая регистрация устройств (защищенное устройство).

Добавление приложений

Вы можете развернуть приобретенные томами (VPP), приложения, пользовательские приложения, бизнес-приложения или веб-приложения на общем устройстве iPad.

  • Чтобы добавить VPP или пользовательское приложение в Центре администрирования, добавьте приложения в Apple Business Manager или Apple School Manager и синхронизируйте маркер VPP с Intune. Назначьте VPP или пользовательское приложение в качестве лицензированного устройства для Microsoft Entra групп устройств в Intune. Дополнительные сведения см. в разделе Синхронизация токена VPP.
  • Добавьте бизнес-приложение в Центр администрирования и назначьте его Microsoft Entra группам устройств. см. статью Добавление бизнес-приложения iOS/iPadOS в Microsoft Intune.
  • Добавьте веб-приложение, также называемое веб-клипом, в Центре администрирования и назначьте его Microsoft Entra группам пользователей. см. раздел Добавление веб-приложения в Intune.

В следующей таблице показан каждый тип приложения iOS и описан тип назначения, поддерживаемый общими устройствами iPad.

Тип приложения Применимость для назначения группе устройств Применимость для назначения группе пользователей
Бизнес-приложение Device Неприменимо
Лицензированное для устройства пользовательское или VPP-приложение Device Неприменимо
Лицензированное для пользователя пользовательское или VPP-приложение Неприменимо Неприменимо
Веб-приложение Не поддерживается User
Приложение из App Store Неприменимо Неприменимо

Настройте параметры макета начального экрана в профиле конфигурации устройства, чтобы упорядочить макет приложения и папки на начальном экране и закрепить. Назначьте профиль Microsoft Entra группам пользователей. Дополнительные сведения см. в разделе Макет начального экрана.

В следующей таблице описаны различные сценарии развертывания и наши рекомендации по конфигурациям. Используйте таблицу в качестве справки при планировании развертывания и настройки общего iPad в вашей среде.

Сценарий Конфигурация администратора Действие на общем устройстве iPad Пример
Все пользователи общего iPad находятся в одной роли.

Все пользователи общего iPad используют временные сеансы.

 Назначьте все приложения и профили Microsoft Entra группе устройств, содержащей общие iPad. Все приложения и профили применяются к любому активному пользователю на общем iPad или к временным сеансам общего iPad. Вы назначаете профиль Wi-Fi, ограничения устройств, приложения VPP и макет начального экрана Microsoft Entra группе устройств, содержащей общий iPad. Эти профили применяются к любому пользователю, выполняя вход на общем iPad.
Пользователи на общем iPad имеют разные роли.
  • Назначьте все приложения и профили, общие для всех ролей, Microsoft Entra группе устройств, содержащей общие iPad.
  • Назначьте профили, которые зависят от роли и применимы к группам пользователей. Убедитесь, что профиль не конфликтует с параметрами, назначенными группе устройств выше.
 Когда пользователь входит на общий iPad, сочетание профилей, предназначенных для устройств, и профилей, предназначенных для пользователей, создает настраиваемый интерфейс для активного пользователя.

К временным сеансам общего iPad применяются только приложения и профили, назначенные устройству.

 Вы назначаете общий профиль Wi-Fi и все приложения VPP группе устройств, содержащей общий iPad. Затем вы назначаете различные макеты начального экрана разным ролям с помощью Microsoft Entra групп пользователей. Это позволяет настроить общий интерфейс iPad для пользователей в каждой роли.
Применяйте различные ограничения устройств для разных пользователей на общем iPad.
  • Назначьте ограничения устройств, которые должны применяться ко всем пользователям общего iPad, группе устройств Azure, содержащей общие iPad.
  • Назначьте применимые к пользователю ограничения устройств, которые зависят от пользователя, Microsoft Entra группах пользователей. Убедитесь, что ограничения устройств не конфликтуют с ограничениями, назначенными группе устройств.
 Когда пользователь входит на общий iPad, сочетание ограничений, предназначенных для устройства, и ограничений, предназначенных для пользователя, создает настраиваемый интерфейс для активного пользователя.

К временным сеансам общего iPad применяются только ограничения устройств, назначенные группам устройств.

 Вы хотите запретить всем общим пользователям iPad использовать AirDrop. Но вы хотите, чтобы только руководители могли отключить Wi-Fi на общих iPad.

Вы назначаете профиль конфигурации устройства, который блокирует AirDrop, группе устройств, содержащей общий iPad. Затем вы назначаете профиль конфигурации устройства, который требует, чтобы Wi-Fi всегда были в группе пользователей, содержащей сотрудников, не являющихся менеджерами.
Отображение и скрытие различных приложений для разных пользователей на общем iPad.
  • Назначьте все приложения группе устройств Microsoft Entra, содержащей общие iPad.
  • Create макеты начального экрана для отображения или скрытия приложений и назначения макетов начального экрана Microsoft Entra группам пользователей.
 Когда пользователь входит в общий iPad, макет начального экрана, назначаемый пользователем, применяется для отображения или скрытия приложений, настроенных в Microsoft Intune.

Все приложения, назначенные устройству, отображаются в общих временных сеансах iPad.

 Вы назначаете Microsoft Outlook, Microsoft Teams и Safari группе устройств, содержащей общий iPad. Затем вы назначаете макет начального экрана, на котором отображается только Teams, группе пользователей, содержащей пользователей, которым требуется только Teams при использовании общего iPad. Вы назначаете другой макет начального экрана, в котором показаны Outlook, Teams и Safari, группе пользователей, содержащей менеджеров, которым требуется доступ ко всем трем приложениям при использовании общего iPad.
Скрытие ненужных системных приложений на общем iPad. Create макет начального экрана, содержащий требуемые системные и управляемые приложения. Назначьте макет начального экрана Microsoft Entra группе устройств, содержащей общие iPad. Тот же макет начального экрана будет применяться к любому пользователю, войдя в общий iPad, и к временным сеансам общего iPad. Вы создаете макет начального экрана, который исключает ненужные системные приложения, такие как Параметры, App Store, Часы, и назначаете макет группе устройств, содержащей общий iPad.

Рекомендуется настроить параметр только один раз для общего iPad. Не настраивайте несколько значений параметра для общего iPad. Если настроено несколько значений параметра, примененный параметр не может быть предварительно определен. Если Intune обнаружит конфликт, он применит первый параметр, назначенный устройству. Если параметр, который является как применимым к устройству, так и пользователем, назначается группе устройств Microsoft Entra и группе пользователей Microsoft Entra, примененное значение параметра выбирается операционной системой.

Известные ограничения

В Intune для общего iPad существуют следующие ограничения:

  • Отключенные параметры и системные приложения. Доступно ограниченное количество параметров и системных приложений с общим iPad. Дополнительные сведения о недоступных параметрах и приложениях см. в статье Использование общего iPad с управляемыми идентификаторами Apple ID.
  • App Store установки отключены: App Store по умолчанию доступен с общим iPad, но установка приложений отключена, поэтому пользователи не могут устанавливать приложения из App Store. Мы рекомендуем отключить App Store в профиле конфигурации Intune, чтобы избежать путаницы с пользователями.
  • Корпоративный портал и доступные приложения не поддерживаются: Корпоративный портал Intune приложение и веб-сайт Корпоративный портал Intune не поддерживаются с общим iPad.
  • Требования к назначению приложений. Приложения необходимо назначать группам устройств по мере необходимости . Доступные приложения не поддерживаются с общим iPad.
  • Сложность секретного кода не может управляться с помощью общего iPad: общие секретные коды iPad должны содержать восемь буквенно-цифровых символов и не могут быть изменены в Apple Business Manager. Параметры сложности и длины секретного кода, доступные в профилях конфигурации устройств Intune, не применяются к общему iPad. Администратор MDM может задать льготный период, который указывает количество минут, в течение которых пользователь должен разблокировать iPad без секретного кода.
  • Некоторые политики не поддерживаются. Эти политики Intune не поддерживаются с общим iPad: политики условного доступа на основе приложений и устройств, политики защиты приложений и политики соответствия требованиям.
  • Email профиль не поддерживается: Email профили не поддерживаются с общим iPad. При назначении профиля электронной почты общему устройству iPad возникает ошибка.
  • Политики, назначаемые пользователем, не отображаются в отчетах: Intune не сообщает о состоянии устройства или пользователя в отчетах о общих приложениях и профилях iPad, назначенных Microsoft Entra группам пользователей.
  • Microsoft Entra требование федерации не применяется: требование федерации Microsoft Entra не применяется. Если управляемый идентификатор Apple ID соответствует имени участника-пользователя Microsoft Entra, а пользователю Microsoft Entra назначен профиль конфигурации устройства, применимый к пользователю, профиль будет применяться к пользователю при входе в общий iPad с помощью управляемого идентификатора Apple ID.

Дальнейшие действия