设置共享 iPad
适用于 iPadOS 13.4 及更高版本
将设备预配为共享 iPad 会对其进行设置,以便可以在多个员工或学生之间共享设备。 使用自动设备注册在 Intune 中注册且没有用户相关性的 iPad 可以预配为共享 iPad。
共享 iPad 在设备上创建预定义数量的 用户分区 。 用户分区可确保每个用户的应用、数据和首选项分别存储在 iPad 上。 如果允许,可以将这些分区备份到 iCloud,以便在组织中其他共享 iPad 之间无缝转换。
在 Apple Business 或 School Manager 中联合组织的 Microsoft Entra 实例时,设备用户可以使用其Microsoft Entra 用户名和密码登录共享 iPad。 这会自动为首次登录共享 iPad 的用户创建与其Microsoft Entra 用户名匹配的托管 Apple ID。 此外,首次登录共享 iPad 上首次时,用户将为其用户分区设置字母数字密码,并将分配给设备的应用安装到用户分区。 用户下次访问共享 iPad 时,只需提供其托管 Apple ID (与其Microsoft Entra 用户名) 和字母数字密码相同。
配置共享 iPad
按照以下步骤在环境中设置共享 iPad。
重要
运行 iPadOS 13.3 及更高版本的受监督 iPad 支持共享 iPad。 如果将启用了共享 iPad 的注册配置文件发送到不支持共享 iPad 的设备,则需要设备擦除。 iPhone 或运行 iOS/iPadOS 版本 13.3 及更低版本的 iPad 不支持共享 iPad。
- 将 Microsoft Entra 实例与 Apple Business Manager 或 Apple School Manager 联合。 有关详细信息,请参阅通过 Apple Business Manager 进行联合身份验证简介。
- 创建注册配置文件。
- 登录到 Microsoft Intune 管理中心。
- 转到 “设备>按平台>iOS/iPadOS>设备载入>注册”。
- 在 “批量注册方法”下,选择“ 注册计划令牌”。
- 选择令牌,然后选择“ 配置文件”。
- 选择“ 创建配置文件>iOS/iPadOS”。
- 在注册配置文件中配置以下设置:
- 转到 “管理设置” 并启用 “共享 iPad”。
- 将 “用户关联 ”设置为 “在没有用户关联的情况下注册”。
- 将 “监督” 设置为 “是”。
- 将 “共享 iPad ”设置为 “是”。
- 配置完其余配置文件后,选择“ 保存 ”。
- 分配从 Apple Business Manager 同步的设备。
- 选择新的注册配置文件。
- 选择 “分配设备>”“添加设备”。
- 创建动态设备组,以自动将此配置文件分配给属于规则参数的设备。
- 转到 “组>”“新建组”。
- 对于 “成员身份类型”,请选择“ 动态设备”。
- 选择"添加动态查询"。
- 在 “属性” 列中,选择“ 注册”“ProfileName”。
- 在 “值 ”列中,输入注册配置文件的名称。
- 将所有必需的应用和配置文件分配给动态设备组。
- 准备用于部署的新设备和现有设备:
- 打开新设备并按照屏幕提示设置共享 iPad。
- 将现有设备重置为出厂设置,并按照屏幕上的提示设置共享 iPad。
配置共享 iPad 的设置
可以在设备配置文件中为设备和用户上下文配置共享 iPad 设置。 通常:
- 设备适用的设置适用于共享 iPad 设备上的任何活动用户。
- 当用户在任何共享 iPad 设备上处于活动状态时,用户适用的设置适用。
下表介绍了共享 iPad 设置的适用性规则。
配置文件类型 | 设置名称 | 设备组分配适用性 | 用户组分配适用性 |
---|---|---|---|
设备功能 | 主屏幕布局 | Device | User |
设备功能 | 应用通知 | Device | User |
设备功能 | 单一登录应用扩展 | Device | User |
设备功能 | AirPrint 设置 | Device | 不适用 |
设备功能 | 锁屏界面消息 | Device | 不适用 |
设备功能 | Web 内容筛选器 | Device | 不适用 |
设备限制 | 阻止共享 iPad 临时会话 | Device | 不适用 |
设备限制 | 延迟软件更新 | Device | 不适用 |
设备限制 | 强制执行自动日期和时间 | Device | 不适用 |
设备限制 | 仅需要使用配置文件联接 Wi-Fi 网络 | Device | 不适用 |
设备限制 | 阻止自动锁定 | Device | 不适用 |
设备限制 | 允许用户通过不成对的设备引导设备进入恢复模式 | Device | 不适用 |
设备限制 | 阻止 Siri 听写 | Device | 不适用 |
设备限制 | 设备限制中的所有其他设置 | Device | User |
电子邮件 | 所有设置 | Device | User |
VPN、Wi-Fi、证书 | 所有设置 | Device | 不适用 |
你应该知道
为共享 iPad 创建设备配置文件时,请记住:
- Microsoft Entra 实例必须在 Apple Business Manager 中联合,才能成功分配用户组策略。
- 所有设备配置文件设置对适用于共享 iPad 临时会话的设备都适用。
- 当用户使用联合Microsoft Entra 凭据登录时,用户分配的策略将应用于共享 iPad。 有关将 Microsoft Entra 实例与 Apple Business Manager 联合的详细信息,请参阅 Apple Business Manager 指南 , (打开 Apple 支持网站) 。
- 从管理中心启动设备同步时,或者当 Intune 通知设备使用 Intune 服务签入时,设备分配的策略将应用于共享 iPad。 有关设备签入频率的详细信息,请参阅 策略刷新间隔。
配置临时会话
在 iPadOS 13.4 或更高版本中,用户可以通过点击设备登录屏幕上的“ 来宾 ”来启动临时会话。 临时会话允许用户以来宾身份登录到设备,并且不需要他们输入托管的 Apple ID 或密码。 当用户注销会话时,将删除所有用户数据(包括浏览历史记录)。 默认情况下,允许使用共享 iPad 进行临时会话。 有关详细信息,请参阅 共享 iPad 概述 (打开 Apple 文档) 。
可以在管理中心的 iOS 设备限制配置文件中配置临时会话。 有关详细信息,请参阅 共享 iPad - 自动化设备注册 (监督) 。
添加应用
可以将批量购买的 (VPP) 、应用、自定义应用、业务线应用或 Web 应用部署到共享 iPad 设备。
- 若要在管理中心中添加 VPP 或自定义应用,请在 Apple Business Manager 或 Apple School Manager 中添加应用,并将 VPP 令牌与 Intune 同步。 将 VPP 或自定义应用作为设备许可分配给 Intune 中的 Microsoft Entra 设备组。 有关详细信息,请参阅 同步 VPP 令牌。
- 在管理中心中添加业务线应用,并将其分配给Microsoft Entra 设备组。 有关详细信息,请参阅将 iOS/iPadOS 业务线应用添加到 Microsoft Intune。
- 在管理中心中添加 Web 应用(也称为 Web 剪辑),并将其分配给Microsoft Entra 用户组。 有关详细信息,请参阅向 Intune 添加 Web 应用。
下表显示了每种 iOS 应用类型,并介绍了共享 iPad 支持的分配类型。
应用类型 | 设备组分配适用性 | 用户组分配适用性 |
---|---|---|
业务线应用 | Device | 不适用 |
设备许可的批量购买应用 (VPP) 或自定义应用 | Device | 不适用 |
用户许可的批量购买应用 (VPP) 或自定义应用 | 不适用 | 不适用 |
Web 应用 | 不支持 | User |
App Store 应用 | 不适用 | 不适用 |
在设备配置文件中配置主屏幕布局设置,以组织主屏幕和停靠上的应用布局和文件夹。 将配置文件分配给Microsoft Entra 用户组。 有关详细信息,请参阅 主屏幕布局。
共享 iPad 的推荐策略和应用分配
下表介绍了各种部署方案以及我们的配置建议。 在环境中规划共享 iPad 部署和配置时,请使用表作为参考。
应用场景 | 管理员配置 | 共享 iPad 体验 | 示例 |
---|---|---|---|
共享 iPad 上的所有用户都处于同一角色。 共享 iPad 上的所有用户都在使用临时会话。 |
将所有应用和配置文件分配给包含共享 iPad 的 Entra 设备组Microsoft。 | 所有应用和配置文件都适用于共享 iPad 上的任何活动用户或共享 iPad 临时会话。 | 将 Wi-Fi 配置文件、设备限制、VPP 应用和主屏幕布局分配给包含共享 iPad 的 Microsoft Entra 设备组。 这些配置文件适用于在共享 iPad 上登录的任何用户。 |
共享 iPad 上的用户具有不同的角色。 |
|
当用户在共享 iPad 上登录时,针对设备的配置文件和用户目标配置文件的组合会为活动用户创建自定义体验。 只有分配给设备的应用和配置文件适用于共享 iPad 临时会话。 |
将通用 Wi-Fi 配置文件和所有 VPP 应用分配给包含共享 iPad 的设备组。 然后,使用 Microsoft Entra 用户组将不同的主屏幕布局分配给不同的角色。 这将为每个角色中的用户自定义共享 iPad 体验。 |
对共享 iPad 上的不同用户应用不同的设备限制。 |
|
当用户在共享 iPad 上登录时,设备定向限制和用户定向限制的组合会为活动用户创建自定义体验。 只有分配给设备组的设备限制适用于共享 iPad 临时会话。 |
你想要阻止所有共享 iPad 用户使用 AirDrop。 但你只希望管理员能够在共享 iPad 上关闭 Wi-Fi。 将阻止 AirDrop 的设备配置文件分配给包含共享 iPad 的设备组。 然后,分配一个设备配置文件,该配置文件要求 Wi-Fi 始终打开到包含非经理员工的用户组。 |
在共享 iPad 上向不同用户显示/隐藏不同的应用。 |
|
当用户在共享 iPad 上登录时,用户分配的主屏幕布局将应用于显示/隐藏 Microsoft Intune 中配置的应用。 分配给设备的所有应用都显示在共享 iPad 临时会话中。 |
Microsoft Outlook、Microsoft Teams 和 Safari 分配给包含共享 iPad 的设备组。 然后分配一个主屏幕布局,该布局仅向用户组显示 Teams,其中包含在使用共享 iPad 时仅需要 Teams 的用户。 将显示 Outlook、Teams 和 Safari 的另一个主屏幕布局分配给包含在使用共享 iPad 时需要访问所有三个应用的管理员的用户组。 |
隐藏共享 iPad 上不必要的系统应用。 | 创建包含所需系统应用和托管应用的主屏幕布局。 将主屏幕布局分配给包含共享 iPad 的 Microsoft Entra 设备组。 | 同一主屏幕布局将应用于在共享 iPad 上登录的任何用户和共享 iPad 临时会话。 | 创建一个主屏幕布局,以排除不必要的系统应用(如设置、App Store、时钟),并将布局分配给包含共享 iPad 的设备组。 |
建议仅为共享 iPad 配置一次设置。 不要为共享 iPad 配置设置的多个值。 如果配置了设置的多个值,则无法预先确定应用的设置。 如果 Intune 检测到冲突,它将应用分配给设备的第一个设置。 如果将设备适用和用户适用的设置分配给Microsoft Entra 设备组和Microsoft Entra 用户组,则操作系统会选择该设置的应用值。
已知限制
Intune for Shared iPad 中存在以下限制:
- 禁用的设置和系统应用:共享 iPad 提供有限数量的设置和系统应用。 有关不可用的设置和应用的详细信息,请参阅 将共享 iPad 与托管 Apple ID 配合使用。
- App Store 安装已禁用:默认情况下,App Store 可用于共享 iPad,但应用安装已禁用,因此用户无法从 App Store 安装应用。 我们建议在 Intune 配置文件中禁用 App Store,以避免与用户混淆。
- 不支持公司门户和可用应用:共享 iPad 不支持 Intune 公司门户应用和 Intune 公司门户网站。
- 应用分配要求:必须 根据需要 将应用分配给设备组。 共享 iPad 不支持可用的应用。
- 无法使用共享 iPad 管理密码复杂性:共享 iPad 密码必须具有 8 个字母数字字符,并且无法在 Apple Business Manager 中更改。 Intune 设备配置文件中提供的密码复杂性和长度设置不适用于共享 iPad。 MDM 管理员可以设置宽限期,该宽限期指定用户无需密码即可解锁 iPad 的分钟数。
- 某些策略不受支持:共享 iPad 不支持这些 Intune 策略:基于应用和基于设备的条件访问策略、应用保护策略和合规性策略。
- 不支持电子邮件配置文件:共享 iPad 不支持电子邮件配置文件。 将电子邮件配置文件分配给共享 iPad 设备时,将发生错误。
- 用户分配的策略不会出现在报表中:Intune 不会在分配给 Microsoft Entra 用户组的共享 iPad 应用和配置文件的报表中报告设备状态或用户状态。
- Microsoft未强制实施 Entra 联合身份验证要求:未强制实施Microsoft Entra 联合要求。 如果托管 Apple ID 与 Microsoft Entra UPN 匹配,并且为 Microsoft Entra 用户分配了用户适用的设备配置文件,则当用户使用托管 Apple ID 登录到共享 iPad 时,该配置文件将应用于该用户。