在 Intune 中设置自动设备注册
适用于 iOS/iPadOS
通过 Apple Business Manager 或 Apple School Manager 购买的公司自有设备可以通过自动设备注册在 Intune 中注册。 此注册选项应用 Apple Business Manager 和 Apple School Manager 中的组织设置,并注册设备,而无需触摸它们。 iPhone 和 iPad 可以直接寄送给员工和学生。 当他们打开设备时,Apple 设置助理会引导他们完成设置和注册。
本文介绍如何在 Microsoft Intune 中准备和设置自动设备注册。
功能概述
下表显示了自动设备注册支持的功能和方案。
| 功能 | 以下情况使用此注册选项 |
|---|---|
| 需要监督模式。 | ✔️ 监督模式可部署软件更新、限制功能、允许和阻止应用等。 |
| 设备归组织或学校所有。 | ✔️ |
| 你有新设备。 | ✔️ |
| 需要注册一些设备,或者注册大量设备(批量注册)。 | ✔️ |
| 设备与一个用户关联。 | ✔️ |
| 设备是“无用户的”,例如展台或专用设备。 | ✔️ |
| 设备处于共享设备模式。 | ✔️ |
| 设备为个人设备或 BYOD。 | ❌ 不建议。 可以使用 MAM 或 用户和设备注册管理 BYOD 或个人设备上的应用程序。 |
| 设备由另一个 MDM 提供商管理。 | ❌ 若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备归组织所有,因此我们建议在Intune中注册它们。 |
| 使用设备注册管理器 (DEM) 帐户。 | ❌ 不支持 DEM 帐户。 |
先决条件
在创建注册配置文件之前,必须具备:
- 访问 Apple Business Manager 门户 或 Apple School Manager 门户。
- 活动 Apple 令牌 (.p7m 文件) 。
- 有关步骤,请参阅获取本文) 中的 Apple 自动设备注册令牌 (。
- Intune 中的 Apple MDM 推送证书。
- 从 Apple Business Manager 或 Apple School Manager 购买的新设备或擦除设备。
提示
自动设备注册应用设备用户可能无法删除的设备配置。 在注册之前擦除所有设备,使其恢复为现装状态。
开始之前
通读这些注册要求和最佳做法,为成功安装和部署做好准备。
选择身份验证方法
在创建注册配置文件之前,请确定希望用户在其设备上进行身份验证的方式:通过Intune 公司门户应用、设置助理 (旧版) 或具有新式身份验证的设置助理。 将 公司门户 应用或设置助理与新式身份验证结合使用被视为新式身份验证,并且具有多重身份验证等功能。
Intune还支持具有新式身份验证的设置助手的实时注册,无需公司门户应用进行Microsoft Entra注册和符合性。 若要使用 JIT 注册,需要先创建设备配置策略, 然后才能 创建 Apple 注册配置文件,并使用新式身份验证配置设置助理。
运行 iOS/iPadOS 13.0 及更高版本的设备支持具有新式身份验证的设置助手。 给定此配置文件的较旧 iOS/iPadOS 设备将改用设置助理 (旧版) 进行身份验证。
有关身份验证选项的详细信息,请参阅 自动设备注册的身份验证方法。
受监督模式简介
监督模式提供对公司拥有的设备更多的管理控制,因此你可以执行阻止屏幕捕获和限制 AirDrop 等操作。
运行 iOS/iPadOS 11+ 并通过自动设备注册注册的公司拥有的设备应始终处于监督模式,你可以在注册配置文件中打开该模式。 有关监督模式的详细信息,请参阅 打开 iOS/iPadOS 监督模式。 Microsoft Intune会忽略运行 iOS/iPadOS 13.0 及更高版本的设备的is_supervised标志,因为这些设备在注册时会自动处于监督模式。
在共享设备模式下注册设备
可以为 处于共享设备模式的设备设置自动设备注册。 共享设备模式是Microsoft Entra ID的一项功能,使一线员工能够全天共享单个设备,并根据需要登录和注销。 有关如何在Microsoft Entra共享设备模式下为设备启用注册的详细信息,请参阅共享设备模式的自动设备注册。
部署公司门户应用
重要
我们不建议使用 App Store 版本的 公司门户 应用,因为它与自动设备注册不兼容,并且不像部署那样提供自动更新和可用性。
通过Intune部署Intune 公司门户应用是向用户提供应用的最佳方式,也是实现以下唯一方法:
- 确保所有 ADE 设备(包括已注册的 ADE 设备)都接收应用。
- 为 ADE 设备上的公司门户启用自动应用更新。
将应用部署为具有 设备许可的必需 VPP 应用。 有关如何同步、分配和管理 VPP 应用的信息,请参阅 分配批量购买的应用。
若要为公司门户启用自动应用更新,请转到管理中心中的应用令牌设置,并将“自动应用更新”更改为“是”。 有关访问令牌设置的步骤,请参阅 上传 Apple VPP 或 Apple Business Manager 位置 令牌。 如果不启用自动更新,设备用户需要自行手动检查。
设备暂存 用于将没有用户关联的设备转换为具有用户相关性的设备。 若要暂存设备,请设置 VPP 部署,如本节前面所述。 然后配置和部署 应用配置策略。 确保策略仅面向那些没有用户相关性的 ADE 设备。
重要
在初始注册期间,当注册配置文件设置“安装公司门户”设置为“是”时,Intune会自动推送使用新式身份验证注册的设置助手的应用配置策略设置,该设置在配置公司门户应用以支持使用自动设备注册注册的 iOS 和 iPadOS 设备。 不应手动将此配置部署到用户,因为它会导致与初始注册期间发送的配置冲突。 如果同时部署了两者,Intune会错误地提示设备用户登录公司门户并下载他们已安装的管理配置文件。
限制
- 每个令牌的最大注册配置文件数:1,000
- 每个配置文件的最大自动设备注册设备数:200,000 (与每个令牌) 的最大设备数相同。
- 每个Intune帐户的最大自动设备注册令牌数:2,000
- 每个令牌的最大自动设备注册设备数:200,000
- 建议每个令牌不超过 200,000 台设备。 否则,你可能会遇到同步问题。 如果设备数超过 200,000,请将这些设备拆分到多个 ADE 令牌。
- Apple Business Manager 和 Apple School Manager 每分钟将大约 3,000 台设备同步到Intune。 我们建议你再次推迟从管理中心手动同步,直到所有设备经过足够的时间才能完成同步, (设备总数/每分钟) 3,000 台设备。
注册疑难解答
如果在注册过程中遇到任何同步问题,可以在 iOS/iPadOS 设备注册疑难解答中查看解决方法。
获取 Apple 自动设备注册令牌
在使用 ADE 注册 iOS/iPadOS 设备之前,需要从 Apple (.p7m 文件) 自动设备注册令牌。 此令牌允许Intune同步有关组织拥有的 ADE 设备的信息。 它还允许 Intune 将注册配置文件上传到 Apple,并向设备分配这些配置文件。
使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 创建令牌并将设备分配给Intune进行管理。
注意
可使用 ABM 门户或 ASM 门户启用 ADE。 本文的其余部分是指 ABM 门户,但这两个门户采用的步骤相同。
步骤 1:下载 Intune 公钥证书
在Microsoft Intune管理中心,转到“设备>注册”。
选择“ Apple ”选项卡。
选择“注册计划令牌”>“添加”。
在“基础知识”选项卡上:
选择“我同意”,为 Microsoft 授予向 Apple 发送用户和设备信息的权限:
选择“下载创建令牌所需的 Intune 公钥证书”。 此步骤在本地下载并保存加密密钥 (.pem) 文件。 .pem 文件用于从 Apple Business Manager 门户请求信任关系证书。
你将在“步骤 2:转到本文中的 Apple Business Manager 门户”中,在 Apple Business Manager 中上传 .pem 文件。
将此 Web 浏览器标签页和页面保持在打开状态。 如果关闭该标签页,会发生以下情况:
- 下载的证书无效。
- 你必须重复这些步骤。
- 在“查看 + 创建”选项卡上,“创建”按钮不可用,因此你无法完成此过程。
步骤 2:转到 Apple Business Manager 门户中下载 .p7m 令牌
使用 Apple Business Manager 门户创建和续订 ADE 令牌(MDM 服务器)。 将此令牌添加到 Intune,并在 Intune 和 Apple 之间通信。
注意
以下步骤描述了需要在 Apple Business Manager 中执行的操作。 有关具体步骤,请参阅 Apple 文档。 Apple Business Manager 用户指南(位于 Apple 网站)可能会有所帮助。
下载 Apple 令牌
在 Apple Business Manager 中,使用你的公司 Apple ID 登录。
在此门户中,完成下列步骤:
在设置中,将显示所有令牌。 添加 MDM 服务器,并上传从步骤 1:下载 Intune 公钥证书(在本文中)。
使用服务器名称识别移动设备管理 (MDM) 服务器。 它不是 Microsoft Intune 服务的名称或 URL。
保存 MDM 服务器后,选择此服务器,并下载令牌(.p7m 文件)。 你将在本文中的步骤 4:上传令牌并完成中,在 Intune 中上传该 .p7m 令牌。
将设备分配到 Apple 令牌(MDM 服务器)
- 在 Apple Business Manager>“设备”中,选择要分配给此令牌的设备。 可以按各种设备属性进行排序,如序列号。 也可同时选择多个设备。
- 编辑设备管理,然后选择刚刚添加的 MDM 服务器。 此步骤将设备分配给令牌。
步骤 3:保存 Apple ID
在 Web 浏览器中,返回 Intune 中的“添加注册计划令牌”页面。 应如本文步骤 1 中所示,使此页面保持打开状态:在本文中下载 Intune 公钥证书。
在“Apple ID”中,输入你的 ID。 此步骤将保存你的 ID。 此 ID 可供将来使用。
步骤 4:上传令牌并完成
在“Apple 令牌”中,浏览到 .p7m 证书文件,然后选择“打开”。
已在步骤 2:转到 Apple Business Manager 门户中下载了该 .p7m 令牌。
选择 下一步。
在“查看 + 创建”页上,选择“创建”。
借助推送证书,Intune 可通过将策略推送到已注册的移动设备来注册和管理 iOS/iPadOS 设备。 Intune 会自动与 Apple 同步以访问你的注册计划帐户。
创建 Apple 注册配置文件
安装令牌后,可以创建用于自动设备注册的注册配置文件。 设备注册配置文件定义注册时应用于设备组的设置。 每个注册令牌限制为 1,000 个注册配置文件。
注意
如果 VPP 令牌没有足够的公司门户许可证,或者令牌过期,将阻止设备注册。 当令牌即将过期或许可证不足时,Intune 会发出警报。
在Microsoft Intune管理中心,转到“设备>注册”。
选择“ Apple ”选项卡。
选择 “注册计划令牌”。
选择令牌,然后选择“ 配置文件”。
选择“ 创建配置文件>iOS/iPadOS”。
对于 基础信息,为配置文件提供 名称 和 说明 以用于管理目的。 用户看不到这些详细信息。
选择“下一步”。
重要
如果对现有注册配置文件进行更改,则在设备重置回出厂设置并重新激活之前,新设置不会在分配的设备上生效。 设备名称模板设置是可以更改的唯一设置,不需要恢复出厂设置即可生效。 对命名模板的更改在下一个检查生效。
在“用户关联”列表中,选择确定具有此配置文件的设备是否必须通过已分配的用户进行注册的选项。
使用用户相关性注册:对于属于想要将公司门户用于安装应用等服务的用户的设备,请选择此选项。
在没有用户关联的情况下注册:对于不与单个用户关联的设备,请选择此选项。 此选项适用于不访问本地用户数据的设备。 此选项通常用于展台、销售点 (POS) 或共享实用工具设备。
在某些情况下,你可能需要在注册为“无用户关联”的设备上关联主要用户。 若要执行此任务,可以将
IntuneUDAUserlessDevice密钥发送到托管设备的应用配置策略中的公司门户应用。 登录到公司门户应用的第一个用户将设为主要用户。 第一位用户注销,第二位用户登录时,第一位用户仍是设备的主要用户。 有关详细信息,请参阅配置公司门户应用,使其支持 iOS 和 iPadOS ADE 设备。使用Microsoft Entra ID共享模式注册:选择此选项以注册将处于共享模式的设备。
如果为“ 用户相关性 ”字段选择了“使用 用户相关性注册” ,则可以选择员工必须使用的身份验证方法。 有关每个身份验证方法的详细信息,请参阅 自动设备注册的身份验证方法。
选项包括:
- 公司门户
- 设置助理 (旧版)
- 具有新式身份验证的设置助手
如果为身份验证方法选择了“设置助手” (旧) ,但还想要在设备上使用条件访问或部署公司应用,则需要在设备上安装公司门户并登录以完成Microsoft Entra注册。 为此,请对“安装公司门户”选择“是”。 如果希望用户接收公司门户,而不需要在 App Store 中进行身份验证,请依次选择“使用 VPP 安装公司门户”和 VPP 令牌。 请确保令牌没有到期,并且有足够的设备许可证,可供正确部署公司门户应用。
如果对“使用 VPP 安装公司门户”选择了令牌,可以在设置助理完成后,立即将设备锁定在单应用模式下(即公司门户应用)。 针对“在身份验证前以单应用模式运行公司门户”,选择“是”以设置此选项。 要使用该设备,用户必须先使用公司门户登录以进行身份验证。
注意
锁定在单应用模式下的单台设备不支持多重身份验证。 这种限制的存在是因为,设备无法切换到其他应用来完成双重身份验证。 若要在单应用模式设备上进行多重身份验证,必须在其他设备上进行双重身份验证。
仅 iOS/iPadOS 11.3.1 及更高版本支持此功能。
若要让使用此配置文件的设备受到监督,请在“受监督”列表中选择“是”。
受监督的设备会提供更多的管理选项,并且会默认禁用“激活锁”。 Microsoft 建议使用 ADE 作为监督模式启用机制,尤其是在部署大量 iOS/iPadOS 设备时。 Apple 共用的 iPad(商业版)设备必须受到监督。
用户会收到通知,指示其设备在 “设置” 应用中受到监督。 在屏幕顶部的应用中,一条静态消息告知他们此 iPhone 由
<your organization>进行监督和管理。注意
如果在不受监督模式下注册设备,则需要使用 Apple Configurator(如果想要将其设置为受监督)。 以这种方式重置设备需要使用 USB 电缆将设备连接到 Mac。 有关详细信息,请参阅 Apple Configurator 帮助。
在“锁定注册”列表中,选择“是”或“否”。 锁定注册会禁用允许删除管理配置文件的 iOS/iPadOS 设置。 如果启用锁定注册,“设置”应用中允许用户删除管理配置文件的按钮将被隐藏,用户将无法取消注册其设备。 如果要在Microsoft Entra ID共享模式下设置设备,请选择“是”。
锁定注册在最初不是通过 Apple Business Manager 购买但后来添加到自动设备注册的设备上,其工作方式稍有不同:这些设备上的用户在激活设备后的前 30 天内将看到“设置”应用中的“删除管理”按钮。 在该临时期限过后,选项将被隐藏。 有关详细信息,请参阅 手动准备设备 (打开 Apple Configurator 帮助文档) 。
重要
此设置不同于公司门户应用中的删除和重置选项。 无论如何配置锁定注册,公司门户应用中的“删除设备”或“恢复出厂设置”选项在通过自动设备注册注册的设备上仍然不可用。 用户也无法删除公司门户网站上的设备。 有关已注册设备上可用的自助服务操作的详细信息,请参阅 自助服务操作。
如果在上面步骤中选择了“注册时不进行用户关联”和“受监督”,则需要决定是否将这些设备配置为 Apple 共用的 iPad(商业版)设备。 为“共用的 iPad”选择“是”,可允许多个用户登录到同一设备。 这些用户将使用其管理式 Apple ID 和联合身份验证帐户,或者通过临时会话(例如来宾帐户)进行身份验证。 此选项需要 iOS/iPadOS 13.4 或更高版本。 使用共享 iPad,激活后将自动跳过所有“设置助理”窗格。
注意
- 如果已将启用“共用的 iPad”的 iOS/iPadOS 注册配置文件发送到不受支持的设备,则必须擦除设备。 不受支持的设备包括所有 iPhone 机型,以及运行 iPadOS/iOS 13.3 及更早版本的 iPad。 受支持的设备包括运行 iPadOS 13.3 和更高版本的 iPad。
- 如果要设置 Apple 共用的 iPad(商业版),请配置以下设置:
- 在“用户关联”列表中,选择“注册时不进行用户关联”。
- 在“受监督”列表中,选择“是”。
- 在“公用的 iPad”列表中,选择“是”。
如果要为企业设备设置 Apple 共用的 iPad,还要进行以下配置:
最大缓存用户数:输入会使用共用的 iPad 的用户数量。 在 32 GB 或 64 GB 设备上最多可以缓存 24 个用户。 如果选择的数字较小,则用户登录后可能需要一段时间,用户的数据才会显示在其设备上。 如果选择的数字非常大,则用户可能会用光磁盘空间。
需要密码之前屏幕锁定后的最大秒数:输入时间(以秒为单位)。 接受的值包括:0、60、300、900、3600 和 14400。 如果屏幕锁定超过此时间,需要输入设备密码才能解锁设备。 适用于运行 iPadOS 13.0 及更高版本,且处于共用的 iPad 模式下的设备。
用户会话注销前的最大不活动秒数:此设置允许的最小值为 30。 如果在定义的时间段后没有任何活动,则用户会话结束并将用户注销。如果将条目留空或将其设置为零 (0) ,会话不会因为处于非活动状态而结束。 适用于运行 iPadOS 14.5 及更高版本,且处于共用的 iPad 模式下的设备。
仅要求共用的 iPad 临时会话:将设备配置为只允许用户查看登录体验的来宾版本,且必须以来宾身份登录。 他们无法使用托管的 Apple ID 登录。 适用于运行 iPadOS 14.5 及更高版本,且处于共用的 iPad 模式下的设备。
设置为 “是”时,此设置将取消以下共享 iPad 设置,因为它们不适用于临时会话:
- 最大缓存用户数
- 屏幕锁定后要求提供密码前的最大分钟数
- 用户会话注销前的最长非活动时间(秒)
临时会话注销前的最大不活动秒数:此设置允许的最小值为 30。 如果在定义的时间段后没有任何活动,则临时会话结束并注销用户。如果将条目留空或将其设置为零 (0) ,会话不会因为处于非活动状态而结束。 适用于运行 iPadOS 14.5 及更高版本,且处于共用的 iPad 模式下的设备。
当仅要求共用的 iPad 临时会话设置为“是”时,此设置可用。
注意
- 如果启用了临时会话,则当用户注销会话时,该用户的所有数据都将被删除。 这意味着,所有目标策略和应用将在用户登录时关闭,并且当用户注销时,系统将清除上述信息。
- 要更改共享 iPad 配置,从而不提供临时会话,将需要完全重置设备,并需要将具有更新配置的新注册配置文件发送到 iPad。
在“与计算机同步”列表中,为使用此配置文件的设备选择一个选项。 如果选择“通过证书允许 Apple Configurator”,则需要在“Apple Configurator 证书”下选择证书。
注意
如果将“与计算机同步”设置为“全部拒绝”,则 iOS 和 iPadOS 设备上的端口将受到限制。 该端口将仅供充电。 它无法使用 iTunes 或 Apple Configurator 2。
如果将“与计算机同步”设置为“通过证书允许 Apple Configurator”,请务必保存证书的本地副本,以供日后使用。 你将无法更改已上传的副本,请务必保留此证书。 如果要从 Mac 设备连接到 iOS/iPadOS 设备,则必须在连接到 iOS/iPadOS 设备的设备上安装相同的证书。
如果在上一步中选择了“通过证书允许 Apple Configurator”,则选择要导入的“Apple Configurator 证书”。
对于 Await 最终配置,选项包括:
是:在设置助理结束时启用锁定体验,以确保设备上安装了最关键的设备配置策略。 在主屏幕加载之前,设置助理会暂停并允许Intune 检查设备。 最终用户体验在用户等待最终配置时锁定。
用户保留在“等待最终配置”屏幕上的时间各不相同,具体取决于应用于设备的策略和应用总数。 分配给设备的策略和应用越多,等待时间就越长。 设置助手和Intune在安装过程中均未强制实施最短或最大时间限制。 在产品验证期间,我们测试的大多数设备都已发布,并且能够在 15 分钟内访问主屏幕。 如果启用此功能并使用第三方来帮助你预配设备,请告知他们预配时间增加的可能性。
锁定体验适用于面向新注册配置文件和现有注册配置文件的设备。 支持的设备包括:
- 使用新式身份验证使用设置助理注册的 iOS/iPadOS 13+ 设备
- 在没有用户关联的情况下注册的 iOS/iPadOS 13+ 设备
- 使用Microsoft Entra ID共享模式注册的 iOS/iPadOS 13+ 设备
此设置在设置助理中的现装自动设备注册体验期间应用一次。 设备用户不会再次体验它,除非他们重新注册其设备。 是 新注册配置文件的默认设置。
否:无论策略安装状态如何,设备都会在设置助理结束时发布到主屏幕。 设备用户可能能够在安装所有策略之前访问主屏幕或更改设备设置。 否 是现有注册配置文件的默认设置。
await 配置设置在具有以下配置组合的配置文件中不可用:
- 用户相关性:在没有 用户相关性的情况下注册 (本部分中的步骤 6)
- 共享 iPad: 是 (本部分中的步骤 12)
(可选)创建设备名称模板,以快速标识在管理中心分配了此配置文件的设备。 Intune使用模板创建设备名称并设置设备名称的格式。 设备在注册时以及每次连续检查时,都会向设备提供名称。 若要创建模板,请执行以下操作:
在 “应用设备名称模板”下,选择“ 是 ”。
在“ 设备名称模板 ”框中,输入要用于构造设备名称的模板。 模板可以包含设备类型和序列号。 它不能包含超过 63 个字符,包括变量。 例如:
{{DEVICETYPE}}-{{SERIAL}}可以激活手机网络数据计划。 此设置适用于运行 iOS/iPadOS 13.0 及更高版本的设备。 配置此选项将发送一个命令,用于为启用了 eSim 的手机网络设备激活手机网络数据计划。 运营商必须为设备预配激活,然后才能使用此命令激活数据计划。 若要激活手机网络数据计划,请单击“是”然后输入运营商的激活服务器 URL。
选择“下一步”。
在“设置助手”选项卡上,配置以下配置文件设置:
部门设置 说明 Department 用户在激活过程中轻点“关于配置”时显示。 部门电话 在激活期间中,用户点击“需要帮助”按钮时显示。 在用户设置期间,可以隐藏设备上的设置助理屏幕。 有关所有屏幕的说明,请参阅本文) 中的 设置助手屏幕参考 (。
- 如果选择“隐藏”,设置期间将不会显示该屏幕。 设置设备之后,用户仍可以进入“设置”菜单来设置此功能。
- 如果选择“显示”,则在安装过程中将显示该屏幕,但仅当在还原之后或软件更新之后完成了步骤时才会显示。 用户有时可以跳过该屏幕,无需采取任何操作。 他们可以稍后进入设备的“设置”菜单来设置此功能。
- 使用共用的 iPad,无论如何设置配置,激活后都将自动跳过所有“设置助理”窗格。
选择“下一步”。
选择“创建”保存该配置文件。
Microsoft Entra ID中的动态组
可以使用“注册名称”字段在 Microsoft Entra ID 中创建动态组。 有关详细信息,请参阅Microsoft Entra动态组。
可以使用配置文件名称来定义 enrollmentProfileName 参数,以向设备分配此注册配置文件。
在设备设置之前,为了确保快速传递到具有用户相关性的设备,请确保注册用户是Microsoft Entra用户组的成员。
如果向注册配置文件分配动态组,可能会导致在注册后向设备传递应用程序和策略时出现一些延迟。
设置助手屏幕参考
下表描述了自动注册 iOS/iPadOS 设备期间显示的“设置助理”屏幕。 注册期间,可以在受支持的设备上显示或隐藏这些屏幕。
| “设置助理”屏幕 | 可见时会发生什么情况 |
|---|---|
| 密码 | 提示用户输入密码。 对于不安全的设备,始终要求提供密码,除非以其他方式控制访问。 (例如,展台模式配置限制设备只能使用一个应用。)适用于 iOS/iPadOS 7.0 及更高版本。 |
| 位置服务 | 提示用户输入其位置。 适用于 macOS 10.11 及更高版本和 iOS/iPadOS 7.0 及更高版本。 |
| 还原 | 显示“应用和数据”屏幕。 设置设备时,此屏幕为用户提供从 iCloud 备份还原或传输数据的选项。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。 |
| Apple ID | 提供用户使用其 Apple ID 登录和使用 iCloud 的选项。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。 |
| 条款和条件 | 要求用户接受 Apple 的条款和条件。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。 |
| Touch ID 和 Face ID | 为用户提供在设备上设置指纹或面部识别的选项。 适用于 macOS 10.12.4 及以上版本和 iOS/iPadOS 8.1 及以上版本。 在 iOS/iPadOS 14.5 及更高版本中,设备设置过程中的“密码和 Touch ID 设置助理”屏幕无法工作。 如果你使用版本 14.5 及更高版本,请不要配置“密码或 Touch ID 设置助理”屏幕。 如果你需要在设备上设置密码,请使用设备配置策略或合规性策略。 在用户注册并收到策略后,系统会提示他们输入密码。 |
| Apple Pay | 提供用户在设备上设置 Apple Pay 的选项。 适用于 macOS 10.12.4 及以上版本和 iOS/iPadOS 7.0 及以上版本。 |
| 缩放 | 设置设备时,为用户提供缩放显示内容的选项。 适用于 iOS/iPadOS 8.3 及更高版本。 |
| Siri | 提供用户设置 Siri 的选项。 适用于 macOS 10.12 及以上版本和 iOS/iPadOS 7.0 及以上版本。 |
| 诊断数据 | 显示“诊断”屏幕。 此屏幕提供用户将诊断数据发送到 Apple 的选项。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。 |
| 显示色调 | 提供用户开启“显示色调”的选项。 适用于 macOS 10.13.6 及以上版本和 iOS/iPadOS 9.3.2 及以上版本。 |
| 隐私 | 显示“隐私”屏幕。 适用于 macOS 10.13.4 及以上版本和 iOS/iPadOS 11.3 及以上版本。 |
| Android 迁移 | 提供用户从 Android 设备迁移数据的选项。 适用于 iOS/iPadOS 9.0 及更高版本。 |
| iMessage 和 FaceTime | 提供用户设置 iMessage 和 FaceTime 的选项。 适用于 iOS/iPadOS 9.0 及更高版本。 |
| 载入 | 显示用户教育的载入信息屏幕,如“封面页”以及“多任务和控制中心”。 适用于 iOS/iPadOS 11.0 及更高版本。 |
| 屏幕时间 | 显示“屏幕时间”屏幕。 适用于 macOS 10.15 及以上版本和 iOS/iPadOS 12.0 及以上版本。 |
| SIM 设置 | 提供用户添加移动电话计划的选项。 适用于 iOS/iPadOS 12.0 及更高版本。 |
| 软件更新 | 显示强制软件更新屏幕。 适用于 iOS/iPadOS 12.0 及更高版本。 |
| 监视迁移 | 提供用户从监视设备迁移数据的选项。 适用于 iOS/iPadOS 11.0 及更高版本。 |
| 外观 | 显示“外观”屏幕。 适用于 macOS 10.14 及以上版本和 iOS/iPadOS 13.0 及以上版本。 |
| 设备间迁移 | 为用户提供将数据从旧设备传输到此设备的选项。 直接从设备传输数据的选项不适用于运行 iOS 13 或更高版本的 ADE 设备。 |
| 还原已完成 | 在“设置助手”期间执行备份和还原后,向用户显示“还原已完成”屏幕。 |
| 软件更新已完成 | 向用户显示“设置助手”期间发生的所有软件更新。 |
| 入门 | 向用户显示“入门”欢迎屏幕。 |
| 地址条款 | 为用户提供选项,以选择他们希望在整个系统中处理的方式:女性化、男性化或中性。 此 Apple 功能适用于部分语言。 有关详细信息,请参阅打开 Apple 网站) (关键功能和增强功能 。 适用于 iOS/iPadOS 16.0 及更高版本。 |
同步托管设备
Intune 已拥有管理设备的权限,现在可以将 Intune 与 Apple 同步,以在 Azure 门户的 Intune 中查看托管设备。
在Microsoft Intune管理中心,转到“设备>注册”。
选择“ Apple ”选项卡。
选择 “注册计划令牌”。
在列表中选择一个令牌,然后选择“设备”>“同步”:
为了遵守 Apple 有关可接受注册计划流量的条款,Intune 规定了以下限制:
- 每七天只能运行一次完全同步。 完全同步时,Intune 会提取分配给连接到 Intune 的 Apple MDM 服务器的完整更新序列号列表。
重要
如果设备已从 Intune 中删除,但仍分配给 ASM/ABM 门户中的 ADE 注册令牌,则在下一次完全同步时,它将重新出现在 Intune 中。如果不希望设备在 Intune 中重新出现,请从 ABM/ASM 门户中的 Apple MDM 服务器将其取消分配。
- 如果从 ABM/ASM 中释放了某个设备,那么最多可能需要 45 天,才能自动从 Intune 中的“设备”页中删除该设备。 如果需要,可以手动从 Intune 中依次删除已释放的设备。 已发布的设备将被准确报告为在 Intune 从 ABM/ASM 中删除,直到它们在 30-45 天内自动删除。
- 每 12 小时自动运行一次 delta 同步。 用户也可通过选择“同步”按钮(不能超过 15 分钟一次)来触发 delta 同步。 所有同步请求都在 15 分钟内完成。 在同步完成前,“同步”按钮处于禁用状态。 此同步将刷新现有设备状态并导入分配到 Apple MDM 服务器的新设备。 如果增量同步因任何原因失败,则下一次同步将是完全同步,有望解决任何问题。
- 每七天只能运行一次完全同步。 完全同步时,Intune 会提取分配给连接到 Intune 的 Apple MDM 服务器的完整更新序列号列表。
将注册配置文件分配到设备
在注册设备之前,需要为其分配注册配置文件。
注意
还可从“Apple 序列号”窗格将序列号分配给配置文件。
- 在Microsoft Intune管理中心,转到“设备>注册”。
- 选择“ Apple ”选项卡。
- 选择 “注册计划令牌”。
- 选择注册令牌。
- 选择“设备”。
- 选择要分配的所有设备,然后选择“ 分配配置文件”。
- 在 “分配配置文件”下,选择为设备创建的自动设备注册配置文件,然后选择“ 分配”。
分配默认配置文件
可以选择一个默认配置文件,以将其应用于所有使用特定令牌注册的设备。
- 在管理中心中,返回到 “注册计划令牌”。
- 选择注册令牌。
- 选择“ 设置默认配置文件”。
- 在列表中选择配置文件,然后选择“ 保存”。 配置文件将应用于使用所选注册令牌注册的所有设备。
注意
确保“注册限制”下的“设备类型限制”未设置默认的“所有用户”策略来阻止 iOS/iPadOS 平台。 无论用户证明如何,此设置都将导致自动注册失败,你的设备将显示为“配置文件无效”。 若要仅允许公司管理的设备进行注册,请仅阻止个人拥有的设备,这将允许公司设备进行注册。 Microsoft 将公司设备定义为通过设备注册计划注册的,或在“公司设备标识符”下手动输入的设备。
分发设备
你已在 Apple 与 Intune 之间启用管理和同步功能,还分配了一个配置文件,以便 ADE 设备可以注册。 现在,你可将设备分发给用户。 需要了解的事项:
已注册且关联了用户的设备要求每位用户都分配有 Intune 许可证。
已注册但未关联用户的设备通常没有任何关联用户。 这些设备必须具有 Intune 设备许可证。 如果已注册但未关联用户的设备将由 Intune 授权用户使用,则不需要设备许可证。
总之,如果设备有用户,则该用户需要分配有 Intune 许可证。 如果设备没有 Intune 授权用户,则该设备需要具有 Intune 设备许可证。
有关 Intune 许可的详细信息,请参阅 Microsoft Intune 许可和 Intune 规划指南。
已激活的设备必须先经过擦除,然后才能在 Intune 中使用 ADE 进行正确注册。 擦除后但在再次激活之前,可以应用注册配置文件。 请参阅设置现有 iPhone、iPad 或 iPod touch
如果使用 ADE 进行注册且关联了用户,则在安装过程中可能会发生以下错误:
The SCEP server returned an invalid response.可以通过在 15 分钟内再次尝试下载管理来解决此错误。 如果已超过 15 分钟,若要解决此错误,需要对对设备恢复出厂设置。 发生此错误的原因是,出于安全原因,SCEP 证书的时间限制为 15 分钟。
若要了解最终用户体验,请参阅使用 ADE 在 Intune 中注册 iOS/iPadOS 设备。
重新注册设备
完成这些步骤以重新注册已完成自动设备注册的设备。
- 有两个选项可用于重置设备:
- 在Microsoft Intune管理中心内擦除设备。
- 在管理中心停用设备,然后使用“设置”应用、Apple Configurator 2 或 iTunes 将设备重置为出厂设置。
- 打开设备并按照设置助理中的屏幕步骤检索远程管理配置文件。
续订自动设备注册令牌
有时需要续订令牌:
- 每年续订 ADE 令牌。 Intune管理中心显示到期日期。
- 如果在 Apple Business Manager 中设置令牌的用户的 Apple ID 密码发生更改,请在 Intune 和 Apple Business Manager 中续订注册计划令牌。
- 如果在 Apple Business Manager 中设置令牌的用户离开组织,请在 Intune 和 Apple Business Manager 中续订注册计划令牌。
- 如果更改用于创建 ADE 令牌的 Apple ID,则更改不会影响当前使用该令牌注册的设备,直到它们重新注册。 这与 Apple 推送通知服务 (APNS) 用于租户的证书不同,除非你联系 Apple 支持部门以在后端执行更改,否则无法在要求重新注册所有设备的情况下进行更改。
续订令牌
转到 business.apple.com,然后使用角色为“管理员”或“设备注册管理员”的帐户登录。
选择“设置”。 在“MDM 服务器”下,选择与想要续订的令牌文件相关的 MDM 服务器。 选择“下载令牌”:
选择“下载服务器令牌”。
注意
如提示中所示,如果不想续订令牌,请勿选择“下载服务器令牌”。 否则会使 Intune(或任何其他 MDM 解决方案)所使用的令牌失效。 如果已下载了令牌,请确保在续订令牌之前继续执行后续步骤。
下载令牌后,请转到Microsoft Intune管理中心。
选择 “设备>注册”。
选择 “注册计划令牌”。
选择该令牌。
选择“续订令牌”。 输入用于创建原始令牌的 Apple ID(如果未自动填充):
上传新下载的令牌。
选择“下一步”,转到“作用域标记”页面。 如果需要,分配作用域标记。
选择“续订令牌”。 你将看到令牌已续订的确认消息:
从 Intune 中删除自动设备注册令牌
只要满足以下条件,即可从 Intune 中删除注册配置文件令牌:
- 未向令牌分配任何设备。
- 未向默认配置文件分配任何设备。
- 该令牌下没有注册配置文件。
删除注册配置文件令牌:
- 在Microsoft Intune管理中心,转到“设备>注册”。
- 选择“ Apple ”选项卡。
- 选择 注册计划令牌
- 选择令牌,再选择“设备”。
- 删除向令牌分配的所有设备。
- 返回到 注册计划令牌。 选择令牌,再选择“配置文件”。
- 如果存在默认配置文件或任何其他注册配置文件,则必须将其全部删除。
- 返回到 注册计划令牌。 选择令牌,再选择“删除”。
后续步骤
有关设备用户所需操作的概述,请参阅 ADE 最终用户任务。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈