Konfigurera registrering av iOS/iPadOS-enheter med Apple School Manager

  • Artikel

Du kan konfigurera Intune för att registrera iOS/iPadOS-enheter som köpts via Apple School Manager-programmet . Med Intune med Apple School Manager kan du registrera ett stort antal iOS/iPadOS-enheter utan att behöva röra dem. När en elev eller lärare aktiverar enheten körs installationsassistenten med förkonfigurerade inställningar och enheten registreras i hanteringen.

Om du vill aktivera Apple School Manager-registrering använder du både Intune- och Apple School Manager-portalerna. En lista med serienummer eller ett inköpsordernummer krävs så att du kan tilldela enheter till Intune för hantering. Du skapar ADE-registreringsprofiler (Automated Device Enrollment) som innehåller inställningar som tillämpas på enheter under registreringen.

Apple School Manager-registrering kan inte användas med enhetsregistreringshanteraren.

Förutsättningar

Hämta en Apple-token och tilldela enheter

Innan du kan registrera företagsägda iOS/iPadOS-enheter med Apple School Manager behöver du en tokenfil (.p7m) från Apple. Med den här token kan Intune synkronisera information om Enheter som deltar i Apple School Manager. Det gör också att Intune kan utföra uppladdningar av registreringsprofiler till Apple och tilldela enheter till dessa profiler. När du är i Apple-portalen kan du även tilldela enhetsserienummer att hantera.

Steg 1: Ladda ned certifikatet för offentlig Intune-nyckel som krävs för att skapa en Apple-token

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.
  2. Välj fliken Apple .
  3. Välj Token för registreringsprogram.
  4. Välj Lägg till.
  5. Välj Ladda ned din offentliga nyckel för att ladda ned och spara krypteringsnyckelfilen (.pem) lokalt. .pem-filen används för att begära ett certifikat för förtroenderelation från Apple School Manager-portalen.

Steg 2: Ladda ned en token och tilldela enheter

  1. Välj Skapa en token via Apple School Manager och logga in på Apple School med ditt företags Apple-ID. Du kan använda det här Apple-ID:t för att förnya din Apple School Manager-token.
  2. I Apple School Manager-portalen går du till MDM-servrar och väljer sedan Lägg till MDM-server (uppe till höger).
  3. Ange MDM-servernamnet. Servernamnet är för din egen referens och hjälper dig att identifiera MDM-servern (hantering av mobilenheter). Det är inte namnet eller URL:en för Microsoft Intune-servern.
  4. Välj Ladda upp fil... i Apple-portalen, bläddra till .pem-filen och välj Spara MDM-server (längst ned till höger).
  5. Välj Hämta token och ladda sedan ned servertokenfilen (.p7m) till datorn.
  6. Gå till Enhetstilldelningar. Välj dina enheter genom att manuellt ange deras serienummer eller ordernummer.
  7. Välj åtgärden Tilldela till server och välj den MDM-server som du skapade.
  8. Ange hur du vill välja enheter och ange sedan enhetsinformation och information.
  9. Välj Tilldela till server och välj det <ServerNamn> som angetts för Microsoft Intune och välj sedan OK.

Steg 3: Spara det Apple-ID som användes för att skapa denna token

Gå tillbaka till administrationscentret och ange Apple-ID:t.

Skärmbild av att ange det Apple-ID som användes för att skapa registreringsprogramtoken och bläddring till denna token.

Steg 4: Ladda upp din token

I rutan Apple-token bläddrar du till certifikatfilen (.pem), väljer Öppna och väljer sedan Skapa. Med push-certifikatet kan Intune registrera och hantera iOS/iPadOS-enheter genom att push-överföra principen till registrerade mobila enheter. Intune synkroniserar automatiskt dina Apple School Manager-enheter från Apple.

Skapa en Apple-registreringsprofil

Nu när du har installerat din token kan du skapa en registreringsprofil för Apple School-enheter. En enhetsregistreringsprofil definierar inställningarna som tillämpas på en grupp av enheter vid registreringen.

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.

  2. Välj fliken Apple .

  3. Under Massregistreringsmetoder väljer du Token för registreringsprogram.

  4. Välj en token.

  5. Välj Profiler>Skapa profil>iOS/iPadOS.

  6. Under Skapa profil anger du ett Namn och en Beskrivning för profilen för administrativa ändamål. Användarna ser inte den här informationen. Du kan använda fältet Namn för att skapa en dynamisk grupp i Microsoft Entra ID. Använd profilnamnet för att definiera parametern enrollmentProfileName för att tilldela registreringsprofilen till enheter. Läs mer om Microsoft Entra dynamiska grupper.

    Profilnamn och beskrivning.

  7. För Användartillhörighet väljer du om enheter med den här profilen måste registreras med eller utan en tilldelad användare.

    • Registrera med användartillhörighet – Välj det här alternativet för enheter som tillhör användare och som vill använda företagsportalen för tjänster som att installera appar. Med det här alternativet kan användarna även autentisera sina enheter med hjälp av företagsportalen. Om du använder ADFS kräver användartillhörighet WS-Trust 1.3 Användarnamn/Kombinerad slutpunkt. Mer information. Apple School Managers delade iPad-läge kräver användarregistrering utan användartillhörighet.

    • Registrera utan användartillhörighet – Välj det här alternativet för enheter som inte är kopplade till en enda användare, till exempel en delad enhet. Använd det här alternativet för enheter som utför uppgifter utan att komma åt lokala användardata. Appar som Företagsportalen fungerar inte.

  8. Om du väljer Registrera med användartillhörighet kan du låta användare autentisera med Företagsportal, installationsassistenten (äldre) och installationsassistenten med modern autentisering. Välj alternativet . Mer information om autentiseringsmetoder finns i Autentiseringsmetoder för automatisk enhetsregistrering i Intune.

    Obs!

    Om du vill göra något av följande anger du Autentisera med Företagsportal i stället för Apples installationsassistent till Ja.

    • använda multifaktorautentisering
    • uppmana användare som behöver ändra sitt lösenord när de loggar in första
    • uppmana användarna att återställa sina utgångna lösenord under registreringen

    Dessa stöds inte när du autentiserar med Apple Setup Assistant.

  9. Välj Enhetshantering Inställningar och välj om du vill att enheter som använder den här profilen ska övervakas. Övervakade enheter ger dig fler hanteringsalternativ och inaktiverar aktiveringslåset som standard. Microsoft rekommenderar att du använder ADE som mekanism för att aktivera Intunes övervakade läge, särskilt för organisationer som distribuerar ett stort antal iOS/iPadOS-enheter.

    Användarna meddelas att deras enheter övervakas på två sätt:

    • På låsskärmen står det: "Den här iPhone hanteras av Contoso."

    • SkärmenAllmänt>ominställningar> säger: "Den här iPhone är övervakad. Contoso kan övervaka internettrafiken och hitta den här enheten."

      Obs!

      En enhet som registrerats utan övervakning kan bara återställas till övervakad med hjälp av Apple Configurator. Om du återställer enheten på det här sättet måste du ansluta en iOS/iPadOS-enhet till en Mac med en USB-kabel. Läs mer om detta i Apple Configurator-dokument.

  10. Välj om du vill ha låst registrering för enheter som använder den här profilen. Låst registrering inaktiverar iOS/iPadOS-inställningar som gör att hanteringsprofilen kan tas bort från menyn Inställningar . Efter enhetsregistreringen kan du inte ändra den här inställningen utan att rensa enheten. Sådana enheter måste ha läget Övervakat hantering inställt på Ja.

  11. Du kan låta flera användare logga in på registrerade iPad-enheter med hjälp av ett hanterat Apple-ID. Det gör du genom att välja Ja under Delad iPad (det här alternativet kräver Registrering utan användartillhörighet och Övervakat läge inställt på Ja.) Hanterade Apple-ID:t skapas i Apple School Manager-portalen. Läs mer om delade iPad - och Apples delade iPad-krav.

  12. Välj om du vill att enheterna som använder den här profilen ska kunna synkronisera med datorer. Neka alla innebär att alla enheter som använder den här profilen inte kan synkronisera med data på någon dator. Om du väljer Tillåt Apple Configurator efter certifikat måste du välja ett certifikat under Apple Configurator-certifikat.

  13. Om du valde Tillåt Apple Configurator efter certifikat i föregående steg väljer du ett Apple Configurator-certifikat som ska importeras.

  14. Du kan ange ett namngivningsformat för enheter som tillämpas automatiskt när de registreras. Det gör du genom att välja Ja under Använd mall för enhetsnamn. I rutan Mall för enhetsnamn anger du sedan mallen som ska användas för namnen med den här profilen. Du kan ange ett mallformat som innehåller enhetstyp och serienummer.

  15. Välj OK.

  16. Välj Inställningar för installationsassistenten för att konfigurera följande profilinställningar:

    Inställning Beskrivning
    Avdelningsnamn Visas när användare trycker på Om konfiguration vid aktiveringen.
    Avdelningens telefonnummer Visas när användaren klickar på knappen Behöver hjälp vid aktiveringen.
    Alternativ för installationsassistenten Följande valfria inställningar kan konfigureras senare i menyn iOS/ iPadOS-inställningar .
    Lösenord Fråga efter lösenord under aktiveringen. Kräv alltid ett lösenord för oskyddade enheter om inte åtkomsten styrs på något annat sätt (t.ex. helskärmsläge som begränsar enheten till en app).
    Platstjänster Om det är aktiverat frågar installationsassistenten efter tjänsten under aktiveringen.
    Återställ Om det är aktiverat frågar installationsassistenten efter iCloud-säkerhetskopiering under aktiveringen.
    iCloud och Apple ID Om det är aktiverat uppmanar installationsassistenten användaren att logga in ett Apple-ID och skärmen Appar & Data gör att enheten kan återställas från iCloud-säkerhetskopiering.
    Allmänna villkor Om inställningen är aktiverad uppmanar installationsassistenten användarna att godkänna Apples villkor under aktiveringen.
    Touch ID Om det är aktiverat frågar installationsassistenten efter den här tjänsten under aktiveringen.
    Apple Pay Om det är aktiverat frågar installationsassistenten efter den här tjänsten under aktiveringen.
    Zoom Om det är aktiverat frågar installationsassistenten efter den här tjänsten under aktiveringen.
    Siri Om det är aktiverat frågar installationsassistenten efter den här tjänsten under aktiveringen.
    Diagnostikdata Om det är aktiverat frågar installationsassistenten efter den här tjänsten under aktiveringen.

  17. Välj OK.

  18. Spara profilen genom att välja Skapa.

Ansluta synkronisering av skoldata

(Valfritt) Apple School Manager stöder synkronisering av klasslista till Microsoft Entra ID med hjälp av Microsoft School Data Sync (SDS). Du kan bara synkronisera en token med SDS. Om du konfigurerar en annan token med School Data Sync tas SDS bort från den token som tidigare hade den. En ny anslutning ersätter den aktuella token. Utför följande steg för att använda SDS för att synkronisera skoldata.

  1. I Microsoft Intune administrationscenter går du till Enhetsregistrering>.
  2. Välj fliken Apple .
  3. Välj Token för registreringsprogram.
  4. Välj en Apple School Manager-token och välj sedan Synkronisering av skoldata.
  5. Under Synkronisering av skoldata väljer du Tillåt. Med den här inställningen kan Intune ansluta med SDS i Microsoft 365.
  6. Om du vill aktivera en anslutning mellan Apple School Manager och Microsoft Entra ID väljer du Konfigurera Microsoft School Data Sync. Läs mer om hur du konfigurerar School Data Sync.
  7. Välj Spara>OK.

Synkronisera hanterade enheter

När Intune har tilldelats behörighet att hantera dina Apple School Manager-enheter synkroniserar du Intune med Apple-tjänsten för att se dina hanterade enheter i Intune.

  1. Gå tillbaka till Token för registreringsprogram.
  2. Välj en token i listan.
  3. Välj Enheter>Synkronisera.
    Skärmbild av noden Registreringsprogramenheter och länken Synkronisera.

För att följa Apples villkor för godkänd registreringsprogramtrafik inför Intune följande begränsningar:

  • En fullständig synkronisering kan inte köras oftare än en gång var sjunde dag. Under en fullständig synkronisering uppdaterar Intune varje Apple-serienummer som tilldelats Intune. Om en fullständig synkronisering görs inom sju dagar efter den tidigare fullständiga synkroniseringen uppdaterar Intune endast serienummer som inte redan visas i Intune.
  • Alla synkroniseringsbegäranden ges 15 minuter att slutföra. Under den här tiden eller tills begäran lyckas inaktiveras knappen Synkronisera .
  • Intune synkroniserar nya och borttagna enheter med Apple var 24:e timme.

Obs!

Du kan också tilldela Apple School Manager-serienummer till profiler från bladet Registreringsprogramenheter .

Tilldela en profil till enheter

Apple School Manager-enheter som hanteras av Intune måste tilldelas en registreringsprofil innan de registreras.

  1. Gå tillbaka till Token för registreringsprogram.
  2. Välj en token i listan.
  3. Välj Enheter och välj dina enheter.
  4. Välj Tilldela profil. Välj sedan en profil för enheterna.
  5. Välj Tilldela.

Distribuera enheter till användare

Du har aktiverat hantering och synkronisering mellan Apple och Intune och tilldelat en profil så att dina Apple School-enheter kan registreras. Du kan nu distribuera enheter till användare. När en iOS/iPadOS Apple School Manager-enhet är aktiverad registreras den för hantering av Intune. Profiler kan inte tillämpas på aktiverade enheter som för närvarande används förrän enheten rensas.