教程：在 Apple Business Manager 中为 iOS/iPadOS 设备设置Microsoft Intune注册

项目
03/27/2023

将 Apple Business Manager 与 Microsoft Intune 配合使用，简化和自动注册通过 Apple Business Manager 采购的 iOS/iPadOS 设备。我们将在本教程中设置的自动设备注册，在用户首次打开设备时，通过将注册配置文件无线部署到设备来启用安全自动注册。

在本教程中，你将学习如何：

获取 Apple 设备注册令牌
将托管设备同步到 Intune
创建注册配置文件
将注册配置文件分配给设备

在本教程结束时，设备将准备好分发以供注册。

先决条件

(MDM) 机构设置移动设备管理。
获取 Apple MDM 推送证书。
从 Apple Business Manager 购买新设备或擦除设备。
在 Apple Business Manager 的设备管理设置下添加购买信息。

如果没有 Intune 订阅，请注册免费试用帐户。

步骤 1：添加 MDM 服务器

在 Apple Business Manager 中为Microsoft Intune创建 MDM 服务器配置文件。在此步骤中下载的令牌将在后面的步骤中启用 Microsoft Intune 与 Apple Business Manager 之间的连接。

登录到Microsoft Intune管理中心。
转到 “设备>”“iOS/iPadOS>/iPadOS 注册”。
选择 “注册计划令牌”。
选择“添加”。
选择“ 我同意 向 Microsoft 授予将用户和设备信息发送到 Apple 的权限”。
选择“ 下载公钥 ”，将服务器的公钥证书 (.pem 文件) 下载到本地驱动器。
选择“ 通过 Apple Business Manager 创建令牌 ”，并使用公司 Apple ID 登录到 Apple Business Manager。

重要

使用 Apple Business Manager 时，请勿使用 Microsoft Intune 关闭浏览器选项卡。稍后将返回到它。
添加名为 TestMDMServer 的 MDM 服务器 ，并在 Apple Business Manager 中为其下载服务器令牌。有关详细信息和说明，请参阅链接到第三方 MDM 服务器 (打开 Apple Business Manager 用户指南) 。将服务器令牌本地保存为 P7M 文件 (.p7m) 。然后继续执行步骤 2：分配设备。

步骤 2：分配设备

使用 Apple Business Manager 时，请将设备分配到新的 MDM 服务器 (TestMDMServer 或) 命名的任何设备。有关详细信息和说明，请参阅在 Apple Business Manager 中分配、重新分配或取消分配设备 (打开 Apple Business Manager 用户指南) 。分配完设备后，请继续执行步骤 3：上传 MDM 服务器令牌。

步骤 3：上传 MDM 服务器令牌

返回到Microsoft Intune管理中心，将 MDM 服务器令牌上传到 Intune。上传令牌后，Microsoft Intune可以同步和注册分配给 TestMDMServer 的 iOS/iPadOS 设备。

对于 Apple ID，请输入用于创建令牌的 Apple ID。
在 Apple 令牌下，上传之前保存的服务器令牌。该文件必须采用 P7M 格式。
选择“下一步”。
（可选）将范围标记应用于注册令牌，以限制其他管理员访问或更改令牌。有关范围标记的详细信息，请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
选择 下一步。
在“查看 + 创建”中，选择“创建”以完成Microsoft Intune和 Apple Business Manager 的链接。

Microsoft Intune自动与 Apple Business Manager 同步。设备最长可能需要 12 小时才能显示在管理中心中。可以等待这些设备同步，也可以手动启动同步。若要自行启动同步，请从管理中心的列表中选择令牌，然后选择 “设备>同步”。

步骤 4：创建 Apple 注册配置文件

为公司拥有的 iOS/iPadOS 设备创建注册配置文件。设备注册配置文件定义注册时应用于设备组的设置。

在管理中心选择令牌，然后选择 “配置文件”>“创建配置文件>”“iOS/iPadOS”。
在“基本”页上，为“名称”输入“TestProfile”，为“说明”输入“iOS/iPadOS 设备的测试 ADE”。用户看不到这些详细信息。
选择 下一步。
在“管理设置”页上，决定是否希望设备使用用户关联注册。用户关联专为特定用户将使用的设备而设计。如果用户希望使用公司门户来获取安装应用等服务，请选择“注册用户关联”。如果用户不需要公司门户或者你希望为许多用户预配设备，请选择“不使用用户相关性注册”。
如果选择“使用用户关联注册”，则会出现“选择用户必须进行身份验证的位置”选项。请决定是否要使用公司门户或 Apple 设置助理进行身份验证。
- 公司门户：选择此选项可以使用多重身份验证，允许用户在首次登录时更改密码，或提示用户在注册期间重置其过期的密码。如果希望公司门户应用程序在最终用户的设备上自动更新，请通过 Apple 的批量采购计划 (VPP) 将公司门户作为必需的应用单独部署给这些用户。
- 安装助手：选择此选项以通过 Apple 设置助理使用 Apple 提供的基本 HTTP 身份验证
如果选择“使用用户关联注册并使用公司门户进行身份验证”，则会显示“使用 VPP 安装公司门户”选项。如果使用 VPP 令牌安装公司门户，则用户在注册期间无需输入 Apple ID 和密码即可从 App Store 下载公司门户。在“使用 VPP 安装公司门户”下选择“使用令牌：”来选择具有可用的公司门户免费许可证的 VPP 令牌。如果不想使用 VPP 部署公司门户，请选择“不使用 VPP”。
如果选择了“使用用户关联注册”、“使用公司门户进行身份验证”以及“使用 VPP 安装公司门户”，请决定是否要在身份验证前以单应用模式运行公司门户。使用此设置，可以确保用户在完成公司注册之前无法访问其他应用。如果要在注册完成之前将用户限制在此流，请在“在身份验证前以单应用模式运行公司门户”下选择“是”。
在“设备管理设置”下，选择“已监督”下的“是”（如果选择了“使用用户关联注册”，则其将自动设置为“是”）。受监督的设备可以提供适用于公司 iOS/iPadOS 设备的大多数管理选项。
在“锁定注册”下选择“是”，确保用户无法删除对公司设备的管理。
选择“与计算机同步”下的一个选项以确定 iOS/iPadOS 设备是否能够与计算机同步。
默认情况下，Apple 使用设备类型（如 iPad）命名设备。若要提供其他名称模板，请选择“应用设备名称模板”下的“是”。输入要应用于设备的名称，字符串 {{SERIAL}} 和 {{DEVICETYPE}} 将替换为每台设备的序列号和设备类型。否则，请在“应用设备名称模板”下选择“否”。
选择“下一步”。
在“设置助理”页上，为“部门名称”输入“教程部门”。此字符串是用户在设备激活期间点击“关于配置”时看到的内容。
在“部门电话”下，输入电话号码。在激活期间中，用户点击“需要帮助”按钮时，会显示该号码。
可以在设备激活期间显示或隐藏各种屏幕。为了获得最无缝的注册体验，请将所有屏幕设置为“隐藏”。
选择“下一步”，以转到“查看 + 创建”页。选择“创建”。

步骤 5：将注册配置文件分配给 iOS/iPadOS 设备

必须先向设备分配注册计划配置文件才能注册他们。这些设备从 Apple 同步到 Intune，并且必须已分配给 ABM、ASM 或 ADE 门户中相应的 MDM 服务器令牌。

在管理中心中，从列表中选择令牌。
选择“ 设备 ”，然后选择要分配的设备。
选择“ 分配配置文件”。
在“分配配置文件”下，为设备>“分配”选择配置文件。

注意

确保“注册限制”下的“设备类型限制”未设置默认的“所有用户”策略来阻止 iOS/iPadOS 平台。无论用户证明如何，此设置都将导致自动注册失败，你的设备将显示为“配置文件无效”。若要仅允许公司管理的设备进行注册，请仅阻止个人拥有的设备，这将允许公司设备进行注册。 Microsoft 将公司设备定义为通过设备注册计划注册的，或在“公司设备标识符”下手动输入的设备。

步骤 6：向用户分发设备

现已在 Apple 和 Intune 之间设置了管理和同步，并且分配了注册 ADE 设备所需的配置文件。现在可以将设备分配给用户。具有用户关联的设备需要每个用户都分配有 Intune 许可证。