设置 iOS 设备管理

项目
03/16/2024

在管理 iOS 设备或将 iOS 设备分配给学生和教师之前，必须在 Intune for Education 中设置 iOS 设备管理。安装程序要求添加 MDM 推送证书并配置至少一个注册计划令牌 (也称为 MDM 服务器令牌或 DEP 令牌) 。

在设置过程中，你将Intune教育版帐户与 Apple School Manager 帐户连接。该连接可确保Intune教育版始终包含有关购买的 iOS 设备的最新详细信息。

本文介绍如何：

添加 Apple MDM 推送证书。
配置和同步注册计划令牌。
配置 Apple VPP 令牌。

设置设备管理后会发生什么情况？

设置 iOS 设备管理后，可以使用 Intune for Education 来管理 iOS 设备上的应用和设置。你还将有权访问报表和操作，以便你可以排查任何位置的冲突。

学校的学生和教师将能够安全地访问学校网站和电子邮件。

要求

在开始之前，请确保：

Internet 连接。
Apple School Manager 帐户凭据。
适用于教育版设备许可证的Intune。有关设备许可证的详细信息，请参阅Microsoft Intune许可。

重要

Intune教育版仅支持通过 Apple 自动设备注册购买的设备进行 iOS 设备注册。有关自动设备注册和 Apple School Manager 的详细信息，请参阅 Apple 自动设备注册支持站点。

添加 MDM 推送证书

Apple MDM 推送证书在 Intune 和 Apple School Manager 帐户之间建立安全连接。连接后，Intune可以持续同步和管理 Apple 设备和应用。

登录到 Intune 教育版。
转到 “租户设置>”“MDM 推送证书”。
选择“ 创建证书”。
按照屏幕上的说明进行操作：
1. 选择“下载”以保存Intune中的证书签名请求文件。
2. 登录到 Apple Push Certificates 门户以创建和下载推送证书。使用学校的 Apple ID 登录，而不是个人 ID。
3. 返回到适用于教育的 Intune 门户，并输入用于登录到 Apple School Manager 的 Apple ID。
4. 上传 Apple 推送证书文件。
选择“保存”，在 Intune for Education 中创建证书。

推送证书每 365 天过期一次。需要证书才能将 Intune 教育版连接到 Apple School Manager 帐户，因此需要每年续订一次。

配置注册计划令牌

注册计划令牌有时称为 DEP 令牌或 MDM 服务器令牌，允许Intune从 Apple School Manager 同步设备详细信息。这些详细信息告知Intune需要管理的设备，并在 Intune for Education 门户中填充清单。

共享 iPad 配置

可以将 iOS 设备配置为注册为共享 iPad 设备。借助共享 iPad，学生和教师可以使用其唯一的托管 Apple ID 登录到学校的设备。当他们从设备移动到设备时，他们的应用和数据会随它们一起移动。学生可以使用一台设备开始撰写论文，然后登录到其他设备以完成论文。若要了解有关 共享 iPad 和 托管 Apple ID 的详细信息，请访问 Apple 教育网站和文档。

即使没有共享 iPad，课堂设备仍然可以在学生之间共享。但是，用户数据不会在设备之间移动。在配置服务器令牌之前，需要选择是否要启用共享 iPad。

注意

如果使用共享 iPad 设置设备，你将获得共享 iPad 附带的所有功能，课堂和课业应用除外。 Intune教育版不支持这些应用。设置注册计划令牌后，共享 iPad 功能将变为可用。

添加注册计划令牌

以下步骤介绍如何将注册计划令牌添加到 Intune for Education。

转到 “租户设置”“>注册计划令牌”。
选择 “添加令牌”。
选择与新服务器令牌关联的设备注册方式。创建令牌后，无法更改此选项。如果以后要更改设备的注册方式，则需要创建新的服务器令牌。
- 若要为共享 iPad 配置此令牌，请选择 “用户将使用其托管的 Apple ID 登录到设备”。将设置分配给此令牌的所有设备，以便用户必须使用托管的 Apple ID 登录它们。
- 如果你的学校未使用托管的 Apple ID，请选择 “任何人都可以解锁这些设备...”。 学生仍然可以共享设备，但可以直接访问它们，而无需登录。如果你设置了设备密码，则可能需要设备密码。
选择 “设置注册计划令牌”。
按照屏幕上的说明进行操作：
1. 选择设备名称前缀。
2. 选择“下载”以保存Intune公钥，以便稍后可以上传。
3. 登录到 Apple School Manager 以创建和下载令牌。使用学校的 Apple ID 登录，而不是个人 ID。如果没有 MDM 服务器信息来完成此步骤，请联系学校的Intune管理员。
4. 留在 Apple School Manager 中，转到 “设备分配”。输入每台设备的序列号、整个设备购买的订单号或 CSV 文件中的设备列表。在下拉菜单中，选择“ 分配到服务器”。然后选择刚刚创建的 MDM 服务器。
5. 返回到教育版Intune，并输入用于登录 Apple School Manager 的 Apple ID。
6. 上传注册计划令牌。
选择“保存”，将令牌添加到Intune。

注册计划令牌每 365 天过期一次。在 Intune for Education 门户中查看和管理设备需要令牌。需要每年续订一次。

设备注册配置文件

Intune教育版创建 iOS 注册配置文件并将其应用于配置的每个注册配置文件。

添加到 Intune 教育版的所有 iOS 设备都设置为监督模式。作为管理员，监督模式允许你更好地控制学校的设备。例如，你可以以无提示方式将新应用或应用更新推送到设备。有关仅限受监督的设置的完整列表，请参阅需要监督的配置一文。

Intune教育版将命名方案应用于使用注册计划令牌进行注册的设备。该名称将帮助你识别和分组各个设备。默认情况下，设备使用设备序列号命名。设置注册计划令牌时，还可以在自定义设备名称上添加。

有关注册配置文件的更多详细信息，请查看注册期间配置的设置列表。

同步托管设备

现在，Intune教育版有权管理 iOS 设备，请与 Apple 同步以查看托管设备的列表。

转到 “注册计划令牌 ”，查找创建的令牌。选择同一行中 “已准备好注册的设备” 列下的链接。
选择 “同步设备列表”。

列表中显示的设备已准备好进行注册。打开它们以启动注册过程。

配置 VPP 令牌

VPP 令牌将Intune教育版帐户链接到 Apple VPP 或 Apple School Manager 帐户。可以创建单个 VPP 令牌来管理整个组织中的应用;或者，可以创建多个 VPP 令牌，以将管理分散到不同的位置或管理员。

Intune需要 VPP 令牌才能：

在 Intune 教育版门户中同步应用详细信息。
将 VPP 购买的应用分配到组。
在学校设备上静默安装 VPP 购买的应用，无需设备用户的 Apple ID。

如果没有 VPP 令牌，仍可以通过App Store搜索并获取免费的 iOS 应用。但是，若要在设备上安装应用，设备用户必须使用 Apple ID 登录。

转到 “租户设置>VPP 令牌”。
选择 “添加令牌”。
命名 VPP 令牌，然后按照屏幕上的说明创建令牌：
1. 登录到 Apple School Manager 以创建和下载令牌。使用学校的 Apple ID 登录，而不是个人 ID。
2. 返回到适用于教育的 Intune 门户，并输入用于登录到 Apple School Manager 的 Apple ID。
3. 上传 VPP 令牌文件，然后选择设备所在的区域。
4. 启用或禁用自动应用更新。
选择“保存”，将令牌添加到Intune。

令牌每 365 天过期一次。管理 VPP 购买的应用需要令牌，因此需要每年续订一次。

什么是托管设备？

为了帮助你了解托管设备和非托管设备之间的差异，我们来看看以下方案。

教师将个人 iOS 设备带到学校。在上课期间，教师使用设备安排家长会议和跟踪课堂作业。

该设备不是学校通过 Apple DEP 计划购买的。它未在教育版租户Intune下注册。因此，Intune无法与教师的设备通信。设备被视为不受管理，因此 IT 管理员无法控制教师在上学时间内如何使用设备。

同样，由于它不是已知的托管设备，因此教师无法访问受保护的学校资源，例如电子邮件。

后续步骤

从App Store购买免费应用，或将 VPP 购买的应用添加到 Intune 教育版门户。