教學課程：在 Apple Business Manager 中設定 iOS/iPadOS 裝置的 Microsoft Intune 註冊

文章
02/14/2024

使用 Apple Business Manager 搭配 Microsoft Intune，以簡化並自動化透過 Apple Business Manager 所採購 iOS/iPadOS 裝置的裝置註冊。我們將在本教學課程中設定的自動裝置註冊，會在使用者第一次開啟裝置時啟用安全的自動註冊，方法是將註冊配置檔部署到無線裝置。

在本教學課程中，您將瞭解如何：

取得 Apple 裝置註冊令牌
將受控裝置同步至 Intune
建立註冊配置檔
將註冊配置檔指派給裝置

在本教學課程結束時，裝置將準備好散發以進行註冊。

必要條件

將行動裝置管理 (MDM) 授權單位。
取得 Apple MDM 推播憑證。
擁有從 Apple Business Manager 購買的新裝置或抹除裝置。
在 Apple Business Manager 的裝置管理設定下新增購買資訊。

如果您沒有 Intune 訂用帳戶，請註冊免費試用帳戶。

步驟 1：新增 MDM 伺服器

在 Apple Business Manager 中建立適用於 Microsoft Intune 的 MDM 伺服器設定檔。您在此步驟中下載的令牌將會在稍後的步驟中啟用 Microsoft Intune 與 Apple Business Manager 之間的連線。

登入 Microsoft Intune 系統管理中心。
移至裝置>iOS/iPadOS>iOS/iPadOS 註冊。
選 取 [註冊計劃令牌]。
選取新增。
選取 [我同意 授與 Microsoft 將使用者和裝置資訊傳送給 Apple 的許可權]。
選 取 [下載您的公鑰 ]，將伺服器的公鑰憑證 (.pem 檔案) 下載到本機磁碟驅動器。
選 取 [透過 Apple Business Manager 建立令牌 ]，然後使用公司 Apple ID 登入 Apple Business Manager。

重要事項

當您在 Apple Business Manager 中時，請勿使用 Microsoft Intune 關閉瀏覽器索引標籤。您稍後會返回。
新增名為 TestMDMServer 的 MDM 伺服器，並在 Apple Business Manager 中下載其伺服器令牌。如需詳細資訊和指示，請參閱連結至第三方 MDM 伺服器 (開啟 Apple Business Manager 使用者指南) 。在本機將伺服器令牌儲存為 P7M 檔案 (.p7m) 。然後繼續進行步驟 2：指派裝置。

步驟 2：指派裝置

當您在 Apple Business Manager 中時，請將裝置指派給新的 MDM 伺服器， (TestMDMServer 或您命名為它的任何) 。如需詳細資訊和指示，請參閱在 Apple Business Manager 中指派、重新指派或取消指派裝置 (開啟 Apple Business Manager 使用者指南) 。當您完成指派裝置時，請繼續進行步驟 3：上傳 MDM 伺服器令牌。

步驟 3：上傳 MDM 伺服器令牌

返回 Microsoft Intune 系統管理中心，將 MDM 伺服器令牌上傳至 Intune。上傳令牌之後，Microsoft Intune 可以同步並註冊指派給 TestMDMServer 的 iOS/iPadOS 裝置。

針對 [Apple ID]，輸入您用來建立令牌的 Apple ID。
在 [Apple 令牌] 下，上傳您稍早儲存的伺服器令牌。檔案必須是 P7M 格式。
選取 [下一步]。
或者，將範圍標籤套用至註冊令牌，以限制其他系統管理員存取或對其進行變更。如需範圍標籤的詳細資訊，請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
選取 [下一步]。
在 [檢閱 + 建立] 上，選取 [建立] 以完成連結 Microsoft Intune 和 Apple Business Manager。

Microsoft Intune 自動與 Apple Business Manager 同步。裝置最多可能需要 12 小時才會出現在系統管理中心。您可以等候這些裝置同步，或手動啟動同步處理。若要自行開始同步處理，請從系統管理中心的清單中選取您的令牌，然後選擇 [ 裝置>同步]。

步驟 4：建立 Apple 註冊配置檔

為公司擁有的 iOS/iPadOS 裝置建立註冊配置檔。裝置註冊設定檔會定義在註冊期間套用至裝置群組的設定。

在系統管理中心選取您的令牌，然後選擇 [ 配置檔>] [建立配置檔>iOS/iPadOS]。
在 [ 基本概念] 頁面上，輸入 TestProfile 作為 [ 名稱 ] 和 [ 測試 iOS/iPadOS 裝置的 ADE ] 作為 [描述]。使用者看不到這些詳細數據。
選取 [下一步]。
在 [ 管理設定] 頁面上，決定是否要讓裝置註冊用戶 親和性。用戶親和性是專為特定使用者將使用的裝置所設計。如果您的使用者想要使用安裝應用程式等服務的公司入口網站，請選擇 [使用使用者親和性註冊]。如果您的使用者不需要公司入口網站，或您想要為許多使用者布建裝置，請選擇 [註冊但不使用使用者親和性]。
如果您選擇使用使用者親和性註冊，[選取 用戶必須驗證的位置 ] 選項隨即出現。決定您是否要使用公司入口網站或 Apple 設定助理進行驗證。
- 公司入口網站：選取此選項可使用 Multi-Factor Authentication、允許使用者在第一次登入時變更密碼，或提示使用者在註冊期間重設過期的密碼。如果您想要讓公司入口網站應用程式在終端使用者的裝置上自動更新，請透過Apple的大量採購計畫 (VPP) ，將公司入口網站個別部署為這些使用者的必要應用程式。
- 設定助理：選取此選項可透過Apple設定助理使用Apple提供的基本 HTTP 驗證
如果您選擇使用使用者親和性註冊，並使用公司入口網站進行驗證，[使用 VPP 安裝公司入口網站] 選項隨即出現。如果您使用 VPP 令牌安裝公司入口網站，您的使用者就不需要輸入 Apple ID 和密碼，即可在註冊期間從應用程式市集下載公司入口網站。選擇 [使用令牌：使用 VPP 安裝公司入口網站] 底下，選取具有可用公司入口網站免費授權的 VPP 令牌。如果您不想使用 VPP 來部署公司入口網站，請選擇 [不要使用 VPP]。
如果您選擇使用使用者親和性註冊、使用公司入口網站進行驗證，以及使用 VPP 安裝公司入口網站，請決定是否要以單一應用程式模式執行公司入口網站，直到驗證為止。使用此設定，您可以確保使用者在完成公司註冊之前無法存取其他應用程式。如果您想要將使用者限制在此流程中，直到註冊完成為止，請在 [單一應用程式模式中執行公司入口網站] 下選擇 [是]，直到驗證為止。
在 [裝置管理設定] 底下，如果您選擇 [使用使用者親和性註冊]，請在 [受監督 (] 下選擇 [是]，這會自動設定為 [是) ] 。受監督的裝置可為您提供公司 iOS/iPadOS 裝置的大部分管理選項。
在 [鎖定註冊] 下選擇 [是]，以確保您的用戶無法移除公司裝置的管理。
選擇 [ 與計算機同步 ] 下的選項，以判斷 iOS/iPadOS 裝置是否能夠與電腦同步。
根據預設，Apple 會將裝置命名為裝置類型，例如 iPad。如果您想要提供不同的名稱範本，請在 [套用裝置名稱範本] 下選擇 [是]。輸入您要套用至裝置的名稱，其中字串 {{SERIAL}} 和 {{DEVICETYPE}} 會取代每個裝置的序號和裝置類型。否則，請在 [套用裝置名稱範本] 下選擇 [否]。
選擇 [下一步]。
在 [設定助理] 頁面上，[部門名稱] 的教學課程部門。此字串是使用者在裝置啟用期間點選 [關於設定 ] 時看到的字串。
在 [部門電話] 下，輸入電話號碼。當使用者在啟用期間點選 [ 需要協助 ] 按鈕時，就會出現此數位。
您可以在裝置啟用期間顯示或隱藏各種畫面。若要獲得最順暢的註冊體驗，請將所有畫面設定為 [隱藏]。
選擇 [下一步 ] 以移至 [ 檢閱 + 建立] 頁面。選取 [建立]。

步驟 5：將註冊配置檔指派給 iOS/iPadOS 裝置

必須先將註冊計劃設定檔指派至裝置，裝置才能註冊。這些裝置會從 Apple 同步至 Intune，而且必須在 ABM、ASM 或 ADE 入口網站中指派給適當的 MDM 伺服器令牌。

在系統管理中心，從清單中選擇您的令牌。
選 取 [裝置 ]，然後選擇您要指派的裝置。
選 取 [指派配置檔]。
在 [指派配置檔] 底下，選擇 [指派] 裝置>的配置檔。

注意事項

請確定 [註冊限制] 下的 [裝置類型限制] 未設定預設的 [所有使用者] 原則來封鎖 iOS/iPadOS 平臺。此設定會導致自動註冊失敗，而您的裝置會顯示為無效的配置檔，而不論使用者證明為何。若只要允許由公司管理的裝置註冊，請僅封鎖允許公司裝置註冊的個人擁有裝置。 Microsoft 會將公司裝置定義為透過裝置註冊計劃註冊的裝置，或在 公司裝置標識符下手動輸入的裝置。

步驟 6：將裝置散發給使用者

您已設定 Apple 與 Intune 之間的管理和同步處理，並指派配置檔讓您的 ADE 裝置註冊。您現在可以將裝置發佈給使用者。具有使用者親和性的裝置會需要為每個使用者指派 Intune 授權。

後續步驟

您可以找到其他可用來註冊 iOS/iPadOS 裝置之選項的詳細資訊。

iOS/iPadOS 自動化裝置註冊的技術檔