Intune 支援使用在 Mac 計算機上執行的 Apple Configurator 註冊 iOS/iPadOS 裝置。 此程式與 Apple Configurator 註冊程式 中所顯示的程式不同,因為它只會註冊沒有用戶親和性的裝置。 使用 Apple Configurator 註冊時,您必須使用 USB 將每個 iOS/iPadOS 裝置連線到 Mac 計算機,以設定公司註冊。
您可以透過直接註冊,使用Apple Configurator將裝置註冊到 Intune 作為無用戶裝置。 此方法不會抹除裝置,並透過 iOS/iPadOS 設定註冊裝置。 此方法僅支持 沒有用戶親和性的裝置。
本文說明如何設定 iOS/iPadOS 裝置管理,並註冊無使用者裝置以在工作時使用。
憑證
重要事項
目前不支援下載 ACME 設定檔,而且會導致錯誤。 只有在修正此問題並還原支援之前,才下載所有裝置的 SCEP 配置檔。
Apple Configurator 註冊支援自動化憑證管理環境 (ACME) 通訊協定。 當新裝置註冊時,裝置上的管理配置檔會收到 ACME 憑證。 ACME 通訊協定可透過健全的驗證機制和自動化程式,提供比 SCEP 通訊協定更好的保護來防止未經授權的憑證發行,這有助於減少憑證管理中的錯誤。
已註冊的裝置除非重新註冊到 Microsoft Intune,否則不會取得 ACME 憑證。 執行下列動作的裝置支援 ACME:
iOS 16.0 或更新版本
iPadOS 16.1 或更新版本
必要條件
- 對 iOS/iPadOS 裝置的實體存取
- 設定 MDM 授權單位
- Apple MDM 推播憑證
- 僅 (設定助理註冊的裝置序號)
- USB 連接纜線
- 執行 Apple Configurator 2.0 的 macOS 計算機
建立裝置的 Apple Configurator 配置檔
裝置註冊配置檔會定義在註冊期間套用的設定。 這些設定只會套用一次。 請遵循下列步驟來建立註冊配置檔,以使用Apple Configurator註冊iOS/iPadOS裝置。
移至 [裝置]。
展開 [裝置上線],然後選取 [ 註冊]。
選取 [Apple] 索引 標籤。
在 [大量註冊方法] 底下,選取 [Apple Configurator]。
移至 [配置檔>建立]。
在 [ 建立註冊配置檔] 底下的 [基本] 索 引標籤 上,輸入配置檔的 [名稱 ] 和 [ 描述 ]。 使用者看不到這些詳細數據。 您可以使用名稱在 Microsoft Entra ID 中建立動態群組。 設定檔名稱可用來定義 enrollmentProfileName 參數,以註冊具備此註冊設定檔的裝置。 如需如何使用規則建立動態群組的詳細資訊,請參閱 建立群組成員資格規則。
![[建立註冊配置檔] 窗格的螢幕快照,其中已選取 [基本] 索引標籤。](media/apple-configurator-enroll-ios/apple-configurator-profile-create.png)
選取 [下一步 ] 以移至 [ 設定] 頁面。
針對 [使用者親和性],選擇具有此配置檔的裝置是否必須註冊指派的使用者。
- 不使用使用者親和性進行註冊 - 針對未與單一使用者無關的裝置選擇此選項,並註冊為無用戶裝置。 針對執行工作而不需存取本機使用者資料的裝置使用此選項。 需要使用者關係 (的應用程式,包括用於安裝企業營運應用程式的 公司入口網站 應用程式) 將無法運作。 直接註冊的必要專案。
選擇 [建立 ] 以儲存設定檔。
建立裝置群組
您可以在 Intune 中建立指派的裝置群組或動態裝置群組。 如需這兩個群組的詳細資訊,請 參閱新增群組以組織使用者和裝置。
動態裝置群組會設定為根據一組規則和參數自動新增和移除裝置。 例如,您可以依註冊配置檔名稱將裝置分組。
完成下列步驟,為使用Apple公司擁有的無用戶註冊配置檔註冊的裝置建立動態 Microsoft Entra裝置群組。
在 系統管理中心,移至 [ 群組>所有群組>][新增群組]。
輸入所需的欄位,如下所示:
- 群組類型:安全性
- 組名:輸入直覺式名稱 (,例如 Factory 1 裝置)
- 成員資格類型:動態裝置
選擇 [新增動態查詢]。
在 [ 動態成員資格規則] 刀鋒視窗中,填寫字段,如下所示:
- 新增動態成員資格規則:簡單規則
- 新增裝置,其中:enrollmentProfileName
- 在中間方塊中,選擇 [等於]。
- 在最後一個字段中,輸入您在建立 裝置的 Apple Configurator 配置檔中建立的註冊配置檔名稱。
如需動態成員資格規則的詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則。
選擇 [新增查詢>建立]。
將配置檔匯出為 .mobileconfig 至 iOS/iPadOS 裝置
在 Microsoft Intune 系統管理中心,移至 [裝置]。
展開 [裝置上線],然後選取 [ 註冊]。
選取 [Apple] 索引 標籤。
在 [大量註冊方法] 底下,選取 [Apple Configurator]。
移至 [配置檔]。 選擇要匯出的配置檔。
- 根據您的作系統選擇 SCEP 或 ACME 設定檔。
選取 [匯出配置檔]。
複製 配置檔URL。 然後,您可以在 Apple Configurator 中新增它,以定義 iOS/iPadOS 裝置所使用的 Intune 配置檔。
在 [直接註冊] 下,選擇 [下載配置檔],然後儲存盤案。 註冊配置檔檔案的有效期只有兩周,此時您必須重新建立它。
將檔案傳輸至執行 Apple Configurator 的 Mac 計算機,以管理配置檔直接推送至 iOS/iPadOS 裝置。
使用下列步驟,使用 Apple Configurator 準備裝置:
在Mac電腦上,開啟Apple Configurator 2.0。
使用USB線將iOS/iPadOS裝置連線到Mac電腦。 在偵測到裝置時,關閉為裝置開啟的相片、iTunes 和其他應用程式。
在 Apple Configurator 中,選擇已連線的 iOS/iPadOS 裝置,然後選擇 [ 新增] 按鈕。 可新增至裝置的選項會出現在下拉式清單中。 選擇 [配置檔]。
使用檔案選擇器來選取您從 Intune 導出的 .mobileconfig 檔案,然後選擇 [新增]。 配置檔會新增至裝置。 如果裝置未受監督,則安裝需要在裝置上接受。
使用下列步驟在 iOS/iPadOS 裝置上安裝配置檔。 裝置必須已完成設定助理並準備好使用。 如果註冊需要應用程式部署,裝置應該已設定Apple ID,因為應用程式部署需要您有已登入的Apple ID App Store。
- 解除鎖定 iOS/iPadOS 裝置。
- 在 [管理配置檔] 的 [安裝配置檔] 對話框中,選擇 [安裝]。
- 視需要提供裝置密碼或 Apple ID。
- 接受 警告 ,然後選擇 [安裝]。
- 接受 遠端警告 ,然後選擇 [ 信任]。
- 當 [ 已安裝配置檔 ] 方塊確認設定檔為 [已安裝] 時,請選擇 [ 完成]。
在 iOS/iPadOS 裝置上,開啟 [設定],然後移至 [一般>裝置管理>管理配置檔]。 確認已列出配置檔安裝,並檢查 iOS/iPadOS 原則限制和已安裝的應用程式。 原則限制和應用程式最多可能需要10分鐘才會出現在裝置上。
散發裝置。 iOS/iPadOS 裝置現在已在 Intune 中註冊並受管理。
註冊之後
應用程式更新
Microsoft Intune 應用程式會自動為本身、Authenticator 和 公司入口網站 安裝可用的應用程式更新。 當更新可用時,Intune 應用程式會關閉並安裝更新。 應用程式必須完全關閉才能安裝更新。
從遠端管理裝置
下列遠端動作適用於 Apple 裝置:
- 淘汰
- 擦去
- 刪除
- 遠端鎖定
- 同步處理
- 拿掉密碼
- 撤銷授權
您可以一次在一部裝置上採取動作。 如需在 Intune 中尋找遠端動作位置的詳細資訊,請參閱使用抹除、淘汰或手動取消註冊裝置來移除裝置。
疑難解答 + 支援
移至 Microsoft Intune 系統管理中心的疑難解答 + 支援,以執行下列作業:
- 請參閱用戶註冊的 iOS/iPadOS 裝置清單。
- 以您對其他使用者裝置進行疑難解答的相同方式,啟用Apple裝置的疑難解答。
已知限制
ACME 設定檔有時可能無法安裝在 iOS/iPadOS 16 或更新版本上,即使這是正確的作系統。 如果發生這種情況,請改用 SCEP 配置檔。 遵循將 配置檔匯出為 .mobileconfig 至 iOS/iPadOS 裝置 的步驟,將 SCEP 配置檔安裝到您的裝置上。 如果無法安裝一次,請重試直到安裝成功為止。
後續步驟
- 建立 iOS/iPadOS MDM 應用程式設定原則 ,以限制具有特定使用者之裝置上的設定。
- 如需透過Apple Configurator直接註冊來註冊macOS裝置的相關信息,請參閱 使用macOS裝置的直接註冊。