搭配 Microsoft Intune 使用 Apple 商務管理,以簡化和自動化透過 Apple 商務管理所採購的 iOS/iPadOS 裝置的裝置註冊。 我們將在本教學課程中設定的自動化裝置註冊,藉由透過無線方式將註冊配置檔部署至裝置,在使用者第一次開啟裝置時啟用安全的自動註冊。
在本教學課程中,您將瞭解如何:
- 取得 Apple 裝置註冊權杖
- 將受控裝置同步處理至 Intune
- 建立註冊設定檔
- 將註冊配置檔指派給裝置
在本教學課程結束時,裝置將準備好散發以進行註冊。
必要條件
- 將 行動裝置管理設定 (MDM) 權限。
- 取得 Apple MDM 推播憑證。
- 從 Apple 商務管理購買新裝置或抹除裝置。
- 在 Apple 商務管理的裝置管理設定下新增購買資訊。
如果您沒有 Intune 訂用帳戶,請 註冊免費試用帳戶。
步驟 1:新增 MDM 伺服器
在 Apple 商務管理中建立 Microsoft Intune 的 MDM 伺服器配置檔。 您在此步驟中下載的權杖會在稍後的步驟中啟用 Microsoft Intune 與 Apple Business Manager 之間的連線。
移至 [裝置],然後展開 [依平台]。 選取 [iOS/iPadOS]。
展開 [裝置上線],然後選取 [註冊]。
選取 [註冊計畫權杖]。
選取 [建立]。
選取 [ 我同意 ] 以授與 Microsoft 將使用者和裝置資訊傳送給 Apple 的權限。
選取 [ 下載您的公開金鑰 ],下載伺服器的公開金鑰憑證 () 本機磁碟機的 .pem 檔案。
選取 [ 透過 Apple 商務管理建立權杖 ],然後使用您公司的 Apple ID 登入 Apple 商務管理。
重要事項
當您在 Apple 商務管理中時,請勿使用 Microsoft Intune 關閉瀏覽器索引標籤。 您稍後會返回它。
加入名為 TestMDMServer 的 MDM 伺服器,並在 Apple 商務管理中下載其伺服器代號。 如需詳細資訊和指示,請參閱: 連結至第三方 MDM 伺服器 ( 開啟《Apple 商務管理使用手冊》) 。 將伺服器權杖儲存在本機為 P7M 檔案 (.p7m) 。 然後繼續進行 步驟 2:指派裝置。
步驟 2:指派裝置
當你在 Apple 商務管理中時, (TestMDMServer 或你命名) 的任何方式,將裝置指派給新的 MDM 伺服器。 如需詳細資訊和指示,請參閱: 在 Apple 商務管理中指派、重新指派或取消指派裝置 ( 開啟 Apple 商務管理使用手冊) 。 當您完成指派裝置時,請繼續進行 步驟 3:上傳 MDM 伺服器權杖。
步驟 3:上傳 MDM 伺服器權杖
返回 Microsoft Intune 系統管理中心,將 MDM 伺服器權杖上傳至 Intune。 上傳權杖之後,Microsoft Intune 可以同步處理和註冊指派給 TestMDMServer 的 iOS/iPadOS 裝置。
- 針對 Apple ID,輸入您用來建立權杖的 Apple ID。
- 對於 Apple 令牌,請上傳您先前儲存的伺服器令牌。 檔案必須是 P7M 格式。
- 選取 [下一步]。
- 或者,將範圍標籤套用至註冊權杖,以限制其他系統管理員存取或變更它。 如需範圍標籤的詳細資訊,請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
- 選取 [下一步]。
- 在 [ 檢閱 + 建立] 上,選取 [ 建立 ] 以完成 Microsoft Intune 和 Apple 商務管理程式的連結。
Microsoft Intune 會自動與 Apple Business Manager 同步處理。 裝置最多可能需要 12 小時才能顯示在系統管理中心。 您可以等待這些裝置同步,或手動啟動同步。若要自行啟動同步處理,請從系統管理中心的清單中選取您的權杖,然後選擇 [裝置>同步處理]。
步驟 4:建立 Apple 註冊設定檔
建立公司擁有的 iOS/iPadOS 裝置的註冊配置檔。 裝置註冊設定檔會定義在註冊期間套用至裝置群組的設定。
在系統管理中心選取您的權杖,然後選擇 [ 配置檔]。
選取 [ 建立設定檔>iOS/iPadOS]。
在 [基本] 頁面上,針對 [名稱] 輸入 TestProfile,並針對 [描述] 輸入 iOS/iPadOS 裝置的測試 ADE。 使用者看不到這些詳細資料。
選取 [下一步]。
決定您是否希望您的裝置註冊有或沒有 使用者親和力。 使用者親和力是專為特定使用者將使用的裝置所設計。 如果您的使用者想要使用公司入口網站來取得安裝應用程式等服務,請選擇 [使用使用者親和性註冊]。 如果您的使用者不需要公司入口網站,或您想要為許多使用者布建裝置,請選擇 [在沒有使用者親和性的註冊]。
- 如果您選擇使用使用者親和性註冊,則會出現 選取使用者必須驗證的位置 選項。 決定是否要使用 公司入口網站 或 Apple 設定輔助程式 (舊版) 進行認證,或使用現代認證的「設定輔助程式」。 如需驗證方法的詳細資訊,請參閱 Intune 中自動化裝置註冊的驗證方法。
如果您選擇使用使用者親和性註冊,並向公司入口網站進行驗證,則會出現 [使用 VPP 安裝公司入口網站] 選項。 如果您使用 VPP 權杖安裝公司入口網站,您的使用者就不需要輸入 Apple ID 和密碼,即可在註冊期間從應用程式市集下載公司入口網站。 選擇 [使用權杖:在 [使用 VPP 安裝公司入口網站] 底下,選取具有可用公司入口網站免費授權的 VPP 權杖。 如果您不想使用 VPP 來部署公司入口網站,請選擇 [不使用 VPP]。
- 如果您選擇使用使用者親和性註冊、使用公司入口網站進行驗證,以及使用 VPP 安裝公司入口網站,請決定是否要以單一應用程式模式執行公司入口網站,直到驗證為止。 透過這項設定,您可以確保使用者在完成公司註冊之前無法存取其他應用程式。 如果您想要將使用者限制在此流程,直到註冊完成為止,請在 [以單一應用程式模式執行公司入口網站] 底下的 [是] ,直到驗證為止。
在 [裝置管理設定] 底下,選擇 [是] 作為 [受監督]。 監督為您提供更多管理選項,並預設停用 Apple 啟動鎖。 Microsoft 建議使用自動化裝置註冊作為啟用 Intune 監督模式的機制,特別是對於部署大量 iOS/iPadOS 裝置的組織。
在 [鎖定註冊] 底下選擇 [是],以確保您的使用者無法從其公司裝置移除裝置管理。
選擇 [與電腦同步處理] 底下的選項,以判斷 iOS/iPadOS 裝置是否可以與電腦同步處理。 全部拒絕 表示使用此設定檔的裝置無法與任何電腦上的任何資料同步處理。
根據預設,Apple 會以裝置類型命名裝置,例如 iPad。 如果您想要提供不同的名稱範本,請在 Apply device name template (套用裝置名稱範本) 下選擇 Yes (是)。 輸入您要套用至裝置的名稱,其中字串 {{SERIAL}} 和 {{DEVICETYPE}} 將取代每個裝置的序號和裝置類型。 否則,請在 [套用裝置名稱範本] 下選擇 [否]。
選擇 [下一步]。
在 [設定小幫手] 頁面上,輸入 [部門名稱] 的 [教學課程部門]。 此字串是使用者在裝置啟用期間點選「 關於設定 」時看到的內容。
在 部門電話下,輸入電話號碼。 當使用者在啟用期間點選「 需要協助 」按鈕時,就會出現此數字。
您可以在設備激活期間 顯示 或 隱藏 各種屏幕。 為了獲得最順暢的註冊體驗,請將所有畫面設定為 [隱藏]。
選擇 [下一步]。
檢閱設定檔設定。 若要儲存設定檔,請選取 [建立]
步驟 5:將註冊配置檔指派給 iOS/iPadOS 裝置
必須先將註冊計劃設定檔指派至裝置,裝置才能註冊。 這些裝置會從 Apple 同步處理至 Intune,而且必須指派給 ABM、ASM 或 ADE 入口網站中的適當 MDM 伺服器權杖。
- 在系統管理中心中,返回 [ 註冊計劃權杖]。 從列表中選擇您的代幣。
- 選取 [裝置],然後選擇您要指派的裝置。
- 選取 [指派設定檔]。 然後選取裝置的設定檔。
- 選取 [指派]。
注意事項
請確定在租用戶的註冊限制中找到的 [裝置類型限制] 沒有預設的 [所有使用者] 原則設定為封鎖 iOS/iPadOS 平臺。 此設定會導致自動註冊失敗,而且您的裝置會顯示為 無效的設定檔,而不論使用者證明為何。 若要僅允許公司管理的裝置註冊,請僅封鎖個人擁有的裝置,這將允許公司裝置註冊。 Microsoft 將公司裝置定義為透過裝置註冊計劃註冊的裝置,或在系統管理中心 [公司裝置識別碼] 底下手動輸入的裝置。
步驟 6:將裝置分發給使用者
您已設定 Apple 與 Intune 之間的管理和同步處理,並指派配置檔以讓您的 ADE 裝置註冊。 您現在可以將裝置發佈給使用者。 具有使用者親和性的裝置會需要為每個使用者指派 Intune 授權。
後續步驟
您可以找到可用於註冊 iOS/iPadOS 裝置的其他選項的詳細資訊。