通过

使用 Apple Configurator 设置 iOS/iPadOS 设备注册

  • 项目

Intune 支持注册 iOS/iPadOS 设备,方法是使用在 Mac 计算机上运行的 Apple Configurator。 使用 Apple Configurator 进行注册时,需要通过 USB 将每个 iOS/iPadOS 设备连接到 Mac 计算机来设置公司注册过程。 你可采用两种方式使用 Apple Configurator 将设备注册到 Intune:

  • 设置助理注册 – 擦除设备,使其准备好在设置助理期间进行注册。
  • 直接注册 - 不会擦除设备,并通过 iOS/iPadOS 设置注册设备。 此方法适仅支持“无用户关联”的设备。

Apple Configurator 注册方法不能与设备注册管理器同时使用。

证书

Apple Configurator 注册支持自动证书管理环境 (ACME) 协议。 新设备注册时,设备上的管理配置文件会收到 ACME 证书。 与 SCEP 协议相比,ACME 协议通过可靠的验证机制和自动化流程提供更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。

已注册的设备不会获取 ACME 证书,除非它们重新注册到 Microsoft Intune。 运行:

  • iOS 16.0 或更高版本

  • iPadOS 16.1 或更高版本

先决条件

为设备创建 Apple Configurator 配置文件

设备注册配置文件定义在注册期间应用的设置。 这些设置只应用一次。 按照以下步骤创建注册配置文件,使用 Apple Configurator 注册 iOS/iPadOS 设备。

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>注册”。

  3. 选择“ Apple ”选项卡。

  4. “批量注册方法”下,选择“ Apple Configurator”。

  5. 转到 配置文件>创建

  6. “创建注册配置文件”下的“ 基本 信息”选项卡上,键入配置文件 的名称说明 。 用户看不到这些详细信息。 可以使用 名称在 Entra ID Microsoft中创建动态组。 使用配置文件名称定义 enrollmentProfileName 参数,以向设备分配此注册配置文件。 有关如何使用规则创建动态组的详细信息,请参阅 创建组成员身份规则
    “创建注册配置文件”窗格的屏幕截图,其中已选中“基本信息”选项卡。

  7. 选择“ 下一步 ”转到 “设置” 页。

  8. 对于“用户关联”,选择具有此配置文件的设备是否必须通过已分配的用户进行注册。

    • 通过用户关联进行注册 - 为属于用户且想要使用公司门户获取服务(如安装应用)的设备选择此选项。 设备必须通过设置助理与某个用户关联,然后才可访问公司数据和电子邮件。 仅设置助理注册支持。 用户关联需要 WS-Trust 1.3 用户名/混合终结点了解详细信息

    • 注册时不进行用户关联 - 为不属于单个用户的设备选择此选项。 为无需访问本地用户数据即可执行任务的设备使用此选项。 需要用户隶属关系的应用(包括用于安装业务线应用的公司门户应用)无法运行。 直接注册需要此设置此选项。

    注意

    选择“通过用户关联进行注册”时,请确保设备在注册后的前 24 小时内通过设置助理与某个用户关联。 否则,注册可能会失败,需要恢复出厂设置才能注册设备。

  9. 如果选择“注册时进行用户关联”,则可选择让用户不使用 Apple 设置助理而使用公司门户进行身份验证。

    注意

    如果想要执行以下任一操作,请将“不使用 Apple 设置助理而使用公司门户进行身份验证”设置为“”。

    • 使用多重身份验证
    • 提示用户在首次登录时需要更改密码
    • 提示用户在注册期间重置过期的密码

    使用 Apple 设置助理进行身份验证时不支持这些功能。

  10. 选择“创建”保存该配置文件。

已知限制

使用 Apple 配置进行注册具有以下限制:

  • csv 文件最多可以包含 5,000 台设备。
  • 设备总数(包括 csv 文件中列出的设备和已在 Intune 中的 Apple Configurator 设备)不能超过 75,000。

设置助理注册

添加 Apple Configurator 序列号

  1. 在文本编辑器中, (.csv) 不带标题的列表创建一个两列逗号分隔值。 使用以下格式在左侧列中添加序列号,在右列中添加设备详细信息:

    Serial number,device details

    可以包含有关设备的任何类型的详细信息。 例如:

    F7TLWCLBX196,iPad Air (5th generation) - Blue

    目前,该列表的最大长度为 5,000 行。 有关如何查找 iOS/iPadOS 设备序列号的信息,请参阅 在 iPhone、iPad 或 iPod touch 上查找序列号或 IMEI, (打开 Apple 支持网站) 。

  2. 登录到 Microsoft Intune 管理中心

  3. 转到 “设备>注册”。

  4. 选择“ Apple ”选项卡。

  5. “批量注册方法”下,选择“ Apple Configurator”。

  6. 选择 “设备>添加”。

  7. 选择一个注册配置文件,将其应用于导入的序列号。 如果想要让新的序列号详细信息覆盖现有的所有详细信息,请选择“覆盖现有标识符的详细信息”。

  8. 在“导入设备”下,浏览到序列号的 csv 文件,然后选择“添加”。

将配置文件重新分配给设备序列号

为 Apple Configurator 注册导入 iOS/iPadOS 序列号时,可分配注册配置文件。 此外,还可从 Azure 门户中的以下两个位置分配配置文件:

  • Apple Configurator 设备
  • AC 配置文件

从 Apple Configurator 设备分配

  1. Microsoft Intune 管理中心,转到 “设备>注册”。
  2. 选择“ Apple ”选项卡。
  3. “批量注册方法”下,选择“ Apple Configurator”。
  4. 选择“设备”。 然后选择序列号。
  5. 选择 “分配配置文件”。
  6. 在“ 分配配置文件”下,选择要分配 的新配置文件 ,然后选择“ 分配”。

从配置文件分配

  1. 登录到 Microsoft Intune 管理中心
  2. 转到 “设备>注册”。
  3. 选择“ Apple ”选项卡。
  4. “批量注册方法”下,选择“ Apple Configurator”。
  5. 转到 “配置文件”。 选择配置文件。
  6. 在配置文件中,选择“ 已分配的设备”。 然后选择“ 分配”。
  7. 筛选以查找要分配给配置文件的设备序列号。 然后选择设备,然后选择 “分配”。

导出配置文件

创建配置文件并分配序列号后,必须从 Intune 中以 URL 的形式导出配置文件。 然后将其导入 Mac 上的 Apple Configurator 用于部署到设备。

  1. Microsoft Intune 管理中心,转到 “设备>注册”。

  2. 选择“ Apple ”选项卡。

  3. “批量注册方法”下,选择“ Apple Configurator”。

  4. 转到 “配置文件”。 选择要导出的配置文件。

  5. 选择“ 导出配置文件”。

  6. 复制“配置文件 URL”。 然后可在 Apple Configurator 中添加它,以定义 iOS/iPadOS 设备使用的 Intune 配置文件。

    接下来按照以下过程将此配置文件导入 Apple Configurator,定义 iOS/iPadOS 设备使用的 Intune 配置文件。

使用设置助理注册设备

  1. 在 Mac 计算机上,打开“Apple Configurator 2”。 在菜单栏中,选择“Apple Configurator 2”,然后选择“首选项”。

    警告

    注册过程中,设备会重置为工厂配置。 最佳做法是重置设备,然后再启动。 连接设备时,设备应处于 Hello 屏幕界面。 如果设备已注册 Apple ID 帐户,则必须先从 Apple iCloud 中删除该设备,然后才能开始注册过程。 提示错误显示为“无法激活 [设备名称]”。

  2. 在“首选项”窗格中,选择“服务器”,然后选择加号 (+) 启动 MDM 服务器向导。 选择“下一步”。

  3. 在使用 Microsoft Intune 对 iOS/iPadOS 设备注册设置助理的情况下,为 MDM 服务器输入主机名称或 URL 以及注册 URL。 对于注册 URL,请输入从 Intune 中导出的注册配置文件 URL。 选择“下一步”。
    可以放心地忽略指出“服务器 URL 未验证”的警告。若要继续,请选择 “下一步” ,直到向导完成。

  4. 用 USB 适配器将 iOS/iPadOS 移动设备连接到 Mac 计算机。

  5. 选择要管理的 iOS/iPadOS 设备,然后选择“准备”。 在“准备 iOS/iPadOS 设备”窗格上,选择“手动”,然后选择“下一步”。

  6. 在“在 MDM 服务器中注册”窗格上,选择你创建的服务器名称,然后选择“下一步”。

  7. 在“监督设备”窗格上,选择监督级别,然后选择“下一步”。

  8. 在“创建组织”窗格上,选择“组织”或创建新的组织,然后选择“下一步”。

  9. 在“配置 iOS/iPadOS 设置助理”窗格上,选择要提供给用户的步骤,然后选择“准备”。 如果出现系统提示,请进行身份验证以更新信任设置。

  10. iOS/iPadOS 设备完成准备后,断开 USB 电缆的连接。

分发设备

设备现已准备好企业注册。 关闭设备,并将它们分发给用户。 用户打开其设备时,设置助理启动。

用户收到设备后,必须完成设置助理。 配置了用户关联的设备可以安装和运行公司门户应用,以下载应用和管理设备。

直接注册

直接使用 Apple Configurator 注册 iOS/iPadOS 设备时,无需获取设备序列号即可注册设备。 在注册过程中,你还可以在 Intune 捕获设备名称前对设备命名以进行标识。 直接注册的设备不支持公司门户应用。 此方法不会擦除设备。

无法安装需要用户隶属关系的应用(包括用于安装业务线应用的公司门户应用)。

将配置文件作为 .mobileconfig 导出到 iOS/iPadOS 设备

  1. Microsoft Intune 管理中心,转到 “设备>注册”。

  2. 选择“ Apple ”选项卡。

  3. “批量注册方法”下,选择“ Apple Configurator”。

  4. 转到 “配置文件”。 选择要导出的配置文件。

  5. 选择“ 导出配置文件”。

  6. 复制“配置文件 URL”。 然后可在 Apple Configurator 中添加它,以定义 iOS/iPadOS 设备使用的 Intune 配置文件。

  7. 在“直接注册”下,选择“下载配置文件”并保存此文件。 注册配置文件的有效期仅为两周,必须在此时间重新创建。

  8. 将文件传输到运行 Apple Configurator 的 Mac 计算机,作为管理配置文件直接推送到 iOS/iPadOS 设备。

  9. 通过以下步骤使用 Apple Configurator 准备设备:

    1. 在 Mac 计算机上,打开 Apple Configurator 2.0。

    2. 使用 USB 线将 iOS/iPadOS 设备连接到 Mac 计算机。 关闭“照片”、iTunes 和其他在检测设备时为设备打开的应用。

    3. 在 Apple Configurator 中,选择已连接的 iOS/iPadOS 设备,然后选择“添加”按钮。 可以添加到设备的选项将显示在下拉列表中。 选择“配置文件”。

      采集设置助理注册的导出配置文件的屏幕快照,在其中突出显示配置文件 URL

    4. 使用文件选取器选择从 Intune 导出的 .mobileconfig 文件,然后选择“添加”。 配置文件将添加到设备。 如果设备是“非监督”状态,安装将需要在设备上验收。

  10. 使用以下步骤在 iOS/iPadOS 设备上安装配置文件。 设备必须已经完成设置助理且准备好使用。 如果注册需要应用部署,设备应设置一个 Apple ID,因为应用部署需要有一个 Apple ID 登录到应用商店。

    1. 解锁 iOS/iPadOS 设备。
    2. 在“管理配置文件”的“安装配置文件”对话框中,选择“安装”。
    3. 如有必要,提供“设备密码”或“Apple ID”。
    4. 接受“警告”,并选择“安装”。
    5. 接受“远程警告”,并选择“信任”。
    6. 已安装配置文件”框确认配置文件“已安装”后,选择“完成”。

  11. 在 iOS/iPadOS 设备上,打开“设置”并转到“常规”>“设备管理”>“管理配置文件”。 确认配置文件安装已列出,并检查 iOS/iPadOS 策略限制和已安装的应用。 策略限制和应用可能需要 10 分钟才会出现在设备上。

  12. 分配设备。 iOS/iPadOS 设备现已在 Intune 中注册并已托管。

后续步骤