为 Apple 公司拥有的无用户设备设置Intune注册

Intune 支持注册 iOS/iPadOS 设备，方法是使用在 Mac 计算机上运行的 Apple Configurator。 此过程与 Apple Configurator 注册过程中 显示的过程不同，因为它只注册没有用户相关性的设备。 使用 Apple Configurator 进行注册时，需要通过 USB 将每个 iOS/iPadOS 设备连接到 Mac 计算机来设置公司注册过程。

可以通过直接注册将设备注册到 Intune 作为无用户设备使用 Apple Configurator。 此方法不会擦除设备，并通过 iOS/iPadOS 设置注册设备。 此方法适仅支持“无用户关联”的设备。

本文介绍如何设置 iOS/iPadOS 设备管理和注册无用户设备以供工作使用。

证书

重要

目前不支持下载 ACME 配置文件，将导致错误。 仅在我们解决此问题并还原支持之前，才下载所有设备的 SCEP 配置文件。

Apple Configurator 注册支持自动证书管理环境 (ACME) 协议。 新设备注册时，设备上的管理配置文件会收到 ACME 证书。 与 SCEP 协议相比，ACME 协议通过可靠的验证机制和自动化流程提供更好的保护，防止未经授权的证书颁发，有助于减少证书管理中的错误。

已注册的设备不会获得 ACME 证书，除非它们重新注册到Microsoft Intune。 运行：

• iOS 16.0 或更高版本

• iPadOS 16.1 或更高版本

先决条件

• 具有 iOS/iPadOS 设备的物理访问权限
• 设置 MDM 机构
• Apple MDM Push Certificate
• 设备序列号（仅设置助理注册）
• USB 连接电缆
• 运行 Apple Configurator 2.0 的 macOS 计算机

为设备创建 Apple Configurator 配置文件

设备注册配置文件定义在注册期间应用的设置。 这些设置只应用一次。 按照以下步骤创建注册配置文件，使用 Apple Configurator 注册 iOS/iPadOS 设备。

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “设备”。

3. 展开 “设备载入”，然后选择“ 注册”。

4. 选择“ Apple ”选项卡。

5. 在 “批量注册方法”下，选择“ Apple Configurator”。

6. 转到 配置文件>创建。

7. 在 “创建注册配置文件”下的“ 基本 信息”选项卡上，键入配置文件 的名称 和 说明 。 用户看不到这些详细信息。 可以使用 名称在 Microsoft Entra ID 中创建动态组。 使用配置文件名称定义 enrollmentProfileName 参数，以向设备分配此注册配置文件。 有关如何使用规则创建动态组的详细信息，请参阅 创建组成员身份规则。

   

8. 选择“ 下一步 ”转到 “设置” 页。

9. 对于“用户关联”，选择具有此配置文件的设备是否必须通过已分配的用户进行注册。

   • 在没有用户关联的情况下注册 - 对于与单个用户无关并注册为无用户设备的设备，请选择此选项。 为无需访问本地用户数据即可执行任务的设备使用此选项。 需要用户隶属关系的应用（包括用于安装业务线应用的公司门户应用）无法运行。 直接注册需要此设置此选项。

10. 选择“创建”保存该配置文件。

创建设备组

可以在 Intune 中创建“分配的设备组”或“动态设备组”。 有关这两个组的详细信息，请参阅添加用于组织用户和设备的组。

动态设备组配置为基于一组规则和参数自动添加和删除设备。 例如，可以按注册配置文件名称对设备进行分组。

完成以下步骤，为使用 Apple 公司拥有的无用户注册配置文件注册的设备创建动态Microsoft Entra设备组。

1. 在 管理中心，转到 “组>”“所有组>”“新建组”。

2. 输入必填字段，如下所示：

   • 组类型：安全性
   • 组名：键入直观的名称（如中心 1 设备）
   • 成员身份类型：动态设备

3. 选择“添加动态查询”。

4. 在“动态成员身份规则”边栏选项卡中，填写如下字段：

   • 添加动态成员身份规则：简单规则
   • 添加设备位置：enrollmentProfileName
   • 在中间的框中，选择“等于”。
   • 在最后一个字段中，输入在 为设备创建 Apple Configurator 配置文件中创建的注册配置文件名称。

   有关动态成员身份规则的详细信息，请参阅 Microsoft Entra ID 中组的动态成员身份规则。

5. 选择“添加查询”>“创建”。

将配置文件作为 .mobileconfig 导出到 iOS/iPadOS 设备

1. 在Microsoft Intune管理中心，转到“设备”。

2. 展开 “设备载入”，然后选择“ 注册”。

3. 选择“ Apple ”选项卡。

4. 在 “批量注册方法”下，选择“ Apple Configurator”。

5. 转到 “配置文件”。 选择要导出的配置文件。

   • 根据作系统选择 SCEP 或 ACME 配置文件。

6. 选择“ 导出配置文件”。

7. 复制“配置文件 URL”。 然后可在 Apple Configurator 中添加它，以定义 iOS/iPadOS 设备使用的 Intune 配置文件。

8. 在“直接注册”下，选择“下载配置文件”并保存此文件。 注册配置文件的有效期仅为两周，必须在此时间重新创建。

9. 将文件传输到运行 Apple Configurator 的 Mac 计算机，作为管理配置文件直接推送到 iOS/iPadOS 设备。

10. 通过以下步骤使用 Apple Configurator 准备设备：

    1. 在 Mac 计算机上，打开 Apple Configurator 2.0。

    2. 使用 USB 线将 iOS/iPadOS 设备连接到 Mac 计算机。 关闭“照片”、iTunes 和其他在检测设备时为设备打开的应用。

    3. 在 Apple Configurator 中，选择已连接的 iOS/iPadOS 设备，然后选择“添加”按钮。 可以添加到设备的选项将显示在下拉列表中。 选择“配置文件”。

       

    4. 使用文件选取器选择从 Intune 导出的 .mobileconfig 文件，然后选择“添加”。 配置文件将添加到设备。 如果设备是“非监督”状态，安装将需要在设备上验收。

11. 使用以下步骤在 iOS/iPadOS 设备上安装配置文件。 设备必须已经完成设置助理且准备好使用。 如果注册需要应用部署，设备应设置一个 Apple ID，因为应用部署需要有一个 Apple ID 登录到应用商店。

    1. 解锁 iOS/iPadOS 设备。
    2. 在“管理配置文件”的“安装配置文件”对话框中，选择“安装”。
    3. 如有必要，提供“设备密码”或“Apple ID”。
    4. 接受 “警告 ”，然后选择“ 安装”。
    5. 接受 远程警告 并选择 “信任”。
    6. “已安装配置文件”框确认配置文件“已安装”后，选择“完成”。

12. 在 iOS/iPadOS 设备上，打开“设置”并转到“常规”>“设备管理”>“管理配置文件”。 确认配置文件安装已列出，并检查 iOS/iPadOS 策略限制和已安装的应用。 策略限制和应用可能需要 10 分钟才会出现在设备上。

13. 分配设备。 iOS/iPadOS 设备现已在 Intune 中注册并已托管。

注册后

应用更新

Microsoft Intune 应用会自动为自身、Authenticator、公司门户安装可用的应用更新。 当更新可用时，Intune 应用将关闭并安装更新。 必须完全关闭应用才能安装更新。

远程管理设备

以下远程作适用于 Apple 设备：

• 停用
• 擦除
• 删除
• 远程锁定
• 同步
• 删除密码
• 吊销许可证

一次可以在一台设备上执行操作。 有关在 Intune 中查找远程操作的详细信息，请参阅使用擦除、停用或手动取消注册设备来删除设备。

疑难解答 + 支持

转到 Microsoft Intune 管理中心中的“故障排除 + 支持”，以便：

• 查看用户注册的 iOS/iPadOS 设备列表。
• 启用 Apple 设备故障排除的方式与对其他用户设备进行故障排除的方式相同。

已知限制

ACME 配置文件有时可能无法在 iOS/iPadOS 16 或更高版本上安装，即使这是正确的作系统。 如果发生这种情况，请改用 SCEP 配置文件。 按照 将配置文件作为 .mobileconfig 导出到 iOS/iPadOS 设备 中的步骤将 SCEP 配置文件安装到设备上。 如果安装失败，请重试，直到安装成功。

后续步骤

• 创建 iOS/iPadOS MDM 应用配置策略 ，以限制具有特定用户的设备上的设置。
• 有关通过直接注册 Apple Configurator 来注册 macOS 设备的信息，请参阅 使用 macOS 设备的直接注册。