自动设备注册 (ADE) 是一种 Apple 注册方法,适用于通过 Apple Business 或 Apple School Manager 购买的企业自有设备。 使用 ADE,可以无线配置注册策略并将其部署到设备,而无需接触设备。 当有人首次打开设备时,Apple 设置助理会自动引导他们完成设置和注册。
注意
无论你使用的是 Apple Business 还是 Apple School Manager,ADE 文章中的步骤都是相同的。 为简洁起见,这些文章仅引用 Apple Business ,除非需要澄清。
支持的平台
Microsoft Intune支持 Apple 移动设备(包括 iOS/iPadOS、tvOS 和 visionOS)的自动设备注册。 作为管理员,你可以创建、编辑、删除特定于平台的自动设备注册策略并将其分配给设备。
| 平台 | 安装文章 | 它有何用途? |
|---|---|---|
| iOS/iPadOS | 为 iOS/iPadOS 创建注册策略 | 用户相关性,无用户相关性 |
| tvOS | 为 tvOS 创建注册策略 | 无用户关联 |
| visionOS | 为 visionOS 创建注册策略 | 无用户关联 |
tvOS 和 visionOS 仅支持自动设备注册,无需用户关联。 这些平台使用无用户预配模型进行注册,并支持面向设备的管理策略。 设备设置通过 Apple 设置助手完成,注册后将应用面向设备的策略。
有关 macOS 信息,请参阅 适用于 macOS 的 Apple 自动设备注册概述。
支持的方案
| 应用场景 | 支持 |
|---|---|
| 监督模式 | ✅ 默认情况下,ADE 设备受到监督,从而提供更多的管理控制。 |
| 公司拥有的设备。 | ✅ 专为通过 Apple Business 或 Apple School Manager 购买的设备而设计。 |
| 零接触部署 | ✅ 设备可以直接交付给用户。 当用户打开设备时,将开始注册。 |
| 批量注册 | ✅ 使用单个注册策略注册几台或数千台设备。 |
| 具有单个分配用户的设备 | ✅ 在 iOS/iPadOS 上不受 tvOS 或 visionOS 支持。 |
| 无用户设备 (展台、共享使用) | ✅ 支持所有 Apple 移动平台。 |
| Microsoft Entra共享设备模式 | ✅ 在 iOS/iPadOS 上支持一线工作人员方案。 |
| Apple 共享 iPad | ✅ 在 iPadOS 上受支持。 |
| BYOD 或个人设备 | ❌ 不支持。 请改用 MAM 或 用户和设备注册 。 |
| 设备注册管理器 (DEM) 帐户 | ❌ 不支持。 |
| 由其他 MDM 提供程序管理的设备 | ❌在注册Intune之前,用户必须从其当前 MDM 提供程序取消注册。 有关迁移设备的帮助,请参阅 Apple 在 Microsoft 社区中心上通过即将推出的 OS 26 版本轻松地将设备迁移到 Microsoft Intune。 |
ADE 的工作原理
在 Intune 中设置 ADE 涉及三个主要任务:
获取注册计划令牌:在 Intune 与 Apple Business 之间创建信任关系。 这通常是每个令牌的一次性安装任务。 有关详细信息,请参阅 设置注册令牌。
创建和分配注册策略:为设备配置注册体验,包括用户关联、身份验证方法和设置助理屏幕。 然后将策略分配给设备组。
同步和分发设备:将设备记录从 Apple Business 同步到Intune,然后将设备分发给用户。 设备打开后,通过 Apple 设置助理自动开始注册。 有关详细信息,请参阅 托管的 Apple 移动设备和令牌。
受监督模式简介
监督模式提供对公司拥有的设备更多的管理控制,因此你可以执行阻止屏幕捕获和限制 AirDrop 等操作。
运行 iOS/iPadOS 11 及更高版本并通过自动设备注册注册的公司拥有的设备应始终处于监督模式,你可以在注册策略中启用该模式。 有关监督模式的详细信息,请参阅 启用监督模式。 Microsoft Intune会忽略运行 iOS/iPadOS 13.0 及更高版本的设备的is_supervised标志,因为这些设备在注册时会自动处于监督模式。
证书
此注册类型支持自动证书管理环境 (ACME) 协议。 新设备注册时,Intune的管理配置文件会收到 ACME 证书。 与 SCEP 协议相比,ACME 通过可靠的验证机制和自动化流程提供更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。
ACME 支持在:
- iOS 16.0 或更高版本
- iPadOS 16.1 或更高版本
- tvOS 26.0 或更高版本
- visionOS 26.0 或更高版本
在共享设备模式下注册设备
可以为 处于共享设备模式的设备设置自动设备注册。 共享设备模式是Microsoft Entra ID的一项功能,使一线员工能够全天共享单个设备,并根据需要登录和注销。 有关如何在Microsoft Entra共享设备模式下为设备启用注册的详细信息,请参阅共享设备模式的自动设备注册。
开始之前
在 Intune 中设置 ADE 之前,请确保在所有平台上都准备好以下各项:
-
Microsoft Intune Suite许可。
- Microsoft Intune计划 2 是 tvOS 和 visionOS 设备管理所必需的。
- Microsoft Intune 计划 1是 iOS/iPadOS 设备管理的最低要求。
- 访问 Apple Business 或 Apple School Manager。
- Intune 中的 Apple MDM 推送证书。
- 将 Apple Business 或 Apple School Manager 帐户链接到Intune) 活动 ADE 令牌 (.p7m 文件。 有关步骤,请参阅 设置 ADE 令牌。
- 添加到 Apple Business 或 Apple School Manager 的新设备或擦除的公司自有设备。
此外,确定希望用户如何进行身份验证:
具有新式身份验证的设置助手 (建议) :
- 在 iOS/iPadOS 13.0 及更高版本上受支持。
- 支持多重身份验证和实时 (JIT) 注册,如果配置了设备配置策略,则无需公司门户应用。
Intune 公司门户应用:
- 还支持新式身份验证和多重身份验证。
- 仍要求用户通过应用完成Microsoft Entra注册。
设置助手 (旧版) :
- 支持运行早于 13.0 的 iOS/iPadOS 的设备。
- 不建议或不受支持。
重要
建议对具有用户设备相关性的所有自动设备注册 (ADE) 方案使用具有 新式身份验证的设置助手 。 避免使用旧式身份验证。
tvOS 和 visionOS 注册在没有用户关联的情况下进行。 这些类型的设备不需要选择身份验证。 有关身份验证选项的详细信息,请参阅 自动设备注册的身份验证方法。