使用 Apple Business Manager 或 Apple School Manager 自動註冊 Mac

  • 發行項

針對透過 Apple 註冊計畫購買的新版或抹除 Mac,例如 Apple Business Manager 或 Apple School Manager,在 Intune 中設定自動裝置註冊。 使用此方法時,您不需要讓裝置與您一起進行設定。 Intune自動與 Apple 同步處理,以從您的註冊計畫帳戶取得裝置資訊,並透過無線方式將預先設定的註冊設定檔部署至 Mac。 備妥的裝置可以直接寄送給員工或學生。 設定助理和裝置註冊會在有人開啟 Mac 時開始。

本文說明如何為公司擁有的 Mac 設定自動化裝置註冊設定檔。

注意事項

無論您使用 Apple Business Manager 或 Apple School Manager,本文中的步驟都相同。 為了簡潔起見,我們只在本文的各個步驟中參考 Apple Business Manager ,但需要厘清之處除外。

限制

裝置註冊管理員帳戶不支援透過 Apple Business Manager 和 Apple School Manager 進行自動 裝置註冊

先決條件

建立註冊計畫權杖

本節說明如何在 Intune 中建立註冊計畫權杖。 註冊計畫權杖 (有時稱為自動化裝置註冊權杖) 是自動化裝置註冊的必要元件,因為它可啟用Intune與您選擇的 Apple 註冊計畫之間的通訊和裝置管理功能。 它可讓Intune從您的 Apple Business Manager 或 Apple School Manager 帳戶同步資訊,並將設定檔套用至裝置。

步驟 1. 下載 Intune 公開金鑰憑證

需要公開金鑰憑證,才能向 Apple Business Manager 要求信任關係憑證。

  1. Microsoft Intune系統管理中心,移至 [裝置>] macOS>macOS 註冊
  2. 取 [註冊計畫權杖]
  3. 選取[新增]。
  4. 選取 [我同意 授與 Microsoft 將使用者和裝置資訊傳送給 Apple 的許可權]。
  5. 取 [下載您的公開金鑰 ],並將金鑰儲存為本機 PEM 檔案。 金鑰將用來在下一個步驟中取得 MDM 伺服器權杖。

步驟 2. 新增 MDM 伺服器並下載伺服器權杖

將適用于Intune的 MDM 伺服器新增至 Apple Business Manager 或 Apple School Manager,然後下載其伺服器權杖。

  1. 在系統管理中心中,選取與您使用的 Apple 入口網站對應的連結。 選項包括:

    • 透過 Apple Business Manager 建立權杖
    • 透過 Apple School Manager 建立權杖

    選取的入口網站會在新的瀏覽器索引標籤中開啟。您可以安全地切換到新的索引標籤,但讓索引標籤保持開啟Microsoft Intune供稍後使用。

  2. 使用您的公司 Apple ID 登入 Apple 入口網站。 請記住,這是您和組織未來將用來更新和管理權杖的 Apple ID,因此請勿使用個人識別碼。

  3. 移至您的帳戶設定檔 >喜好設定

  4. 移至您的 MDM 伺服器指派。

  5. 選取選項以新增 MDM 伺服器。

  6. 將 MDM 伺服器命名為 。 此名稱僅在 Apple Business Manager 中用於識別,不需要是Microsoft Intune伺服器的實際名稱或 URL。

  7. 上傳公開金鑰檔案,然後儲存變更。

  8. 下載伺服器權杖 (.p7m 檔案) 。

步驟 3: 將裝置指派給 MDM 伺服器

或者,在 Apple Business Manager 中建立 MDM 伺服器之後,您可以開始指派裝置給它。 我們建議您立即指派它們,因為您已在 Apple Business Manager 中,但如果您尚未就緒,您可以稍後再回來。 您可以使用篩選和大量指派等可用功能來簡化指派選取。 如需詳細資訊和步驟,請參閱 在 Apple Business Manager 中指派、重新指派或取消 指派裝置 (開啟 Apple Business Manager 使用者指南) 。

步驟 4. 儲存 Apple ID

返回 系統管理中心 ,然後輸入用來下載伺服器權杖的 Apple ID。 這是您每年更新權杖所需的 Apple ID。 請確定未來Intune系統管理員知道所使用的 Apple ID,以防您離開組織,且需要將權杖管理轉換給他們。

醒目提示 [新增註冊計畫權杖] 窗格中 [Apple ID] 欄位的螢幕擷取畫面。

步驟 5. 上傳伺服器權杖並完成

將伺服器權杖檔案上傳至 Intune,以完成註冊計畫權杖的建立。

  1. 返回 [系統管理中心 >Apple 權杖] 欄位。 流覽至您裝置上的伺服器權杖 (.p7m 檔案) 。
  2. 選擇 [開啟],然後選取 [ 建立]

Intune會自動與 Apple Business Manager 連線,以從您的註冊計畫帳戶同步裝置資訊。 如需如何手動同步處理權杖的相關資訊,請參閱本文) 中的同步管理的 裝置 (。

建立 Apple 註冊設定檔

在系統管理中心建立自動化裝置註冊設定檔。 設定檔會定義貴組織 Mac 裝置的註冊體驗,並在註冊裝置時強制執行註冊原則和設定。 設定檔會部署到無線指派的裝置。

在此程式結束時,您會將此設定檔指派給 Azure AD 裝置群組。

重要事項

若要建立設定檔,您必須在 Intune 中設定註冊計畫權杖。 如果您尚未這麼做,請參閱本文開頭的 建立註冊計畫權杖

  1. 系統管理中心,移至 [裝置>] macOS macOS註冊註冊>計畫權杖

  2. 選取註冊計畫權杖。

  3. > [配置檔] [建立設定檔>macOS]

    [建立設定檔] 螢幕擷取畫面。

  4. 針對 [基本概念],輸入設定檔的名稱和描述,以便與其他註冊設定檔區別。 裝置使用者看不到這些詳細資料。

    提示

    您可以使用 [名稱] 欄位在 Azure Active Directory 中建立動態群組,並自動將裝置指派給註冊設定檔。 使用設定檔名稱來定義 enrollmentProfileName 參數。 如需詳細資訊,請參閱 Azure Active Directory 動態群組

  5. 選取 [下一步]

  6. 在 [ 管理設定] 頁面上,設定 [使用者親和性]使用者親和性 會決定裝置是否以指派的使用者註冊。 選項包括:

    • 選項 1 - 在沒有使用者親和性的情況下註冊:註冊未與單一使用者相關聯的裝置。 將此專案用於不需要存取本機使用者資料的共用裝置。 公司入口網站應用程式無法在這些類型的裝置上運作。

    • 選項 2 - 使用使用者親和性註冊:註冊與指派使用者相關聯的裝置。 針對屬於使用者的工作裝置選擇此選項,如果您想要要求使用者擁有公司入口網站應用程式來安裝應用程式,請選擇此選項。 此選項提供 MFA) (多重要素驗證。

      選項 2 需要額外的設定。 使用者必須在註冊之前驗證自己,以確認其身分識別。 選取下列其中一個驗證方法:

      • 使用新式驗證設定助理:此方法需要使用者先完成所有設定助理畫面,並使用其 Azure AD 認證登入公司入口網站應用程式,才能存取資源。 當他們登入公司入口網站之後,裝置:

        • 向 Azure AD 註冊。
        • 會新增至 Azure AD 中使用者的裝置記錄。
        • 可以評估裝置合規性。
        • 取得受條件式存取保護之資源的存取權。

        如果使用者未登入公司入口網站以完成註冊,則每當他們嘗試開啟受條件式存取保護的受控應用程式時,系統就會將他們重新導向至公司入口網站應用程式。

        執行 macOS 10.15 和更新版本的裝置可以使用此方法。 較舊的 macOS 裝置會回復為使用舊版設定助理方法。 如需如何將公司入口網站應用程式提供給 Mac 使用者的詳細資訊,請參閱新增 macOS 應用程式的公司入口網站

      • 設定助理 (舊版) :如果您希望使用者體驗 Apple 產品的典型現成體驗,請使用舊版設定助理。 當裝置向Intune管理註冊時,這個方法會安裝標準預先設定的設定。 如果您正在使用的是 Active Directory 同盟服務,而且您正在使用設定助理進行驗證,則需要 WS-Trust 1.3 的使用者名稱/混合端點。 如需擷取 ADFS 端點的詳細資訊,請參閱 [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint?view=win10-ps & preserve-view=true) 。

  7. 您可以強制執行鎖定註冊,以防止使用者取消註冊其裝置Intune。 選取 [是 ] 以停用 [系統喜好設定] 和 [終端機] 中的 Mac 設定,以允許使用者移除管理設定檔。 裝置註冊之後,您無法在不抹除裝置的情況下變更此設定。

  8. 選取 [下一步]

  9. 在 [ 設定助理 ] 頁面上,設定設定助理體驗。

    1. 輸入您的部門資訊,讓使用者知道要連絡哪些人以尋求支援:
      • 部門名稱:當裝置使用者在啟用期間選取 [關於 組態] 時,就會出現此名稱。
      • 部門電話:當裝置使用者在啟用期間選取 [需要協助 ] 時,就會出現此電話號碼。
    2. 選取您要在裝置安裝期間顯示或隱藏的設定助理畫面。 如需所有畫面的說明,請參閱本文) 中的設定助理畫面參考 (。 選項包括:
      • 隱藏:在裝置設定期間,螢幕不會對使用者顯示。 設定裝置之後,使用者可以移至其裝置設定來設定功能。
      • 顯示:使用者在裝置設定期間會出現畫面。 使用者仍然可以略過不需要立即採取動作的畫面。 設定裝置之後,使用者可以移至其裝置設定來設定功能。

  10. 選取 [下一步]

  11. 檢閱變更摘要,然後選取 [建立 ] 以完成設定檔的建立。

設定助理畫面參考

下表描述 Mac 自動裝置註冊期間顯示的設定助理畫面。 您可以在註冊期間,在支援的裝置上顯示或隱藏這些畫面。

設定助理畫面 可見時會發生什麼事
定位服務 向使用者提示他們的位置。 適用於 macOS 10.11 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
還原 顯示 [應用程式 & 資料] 畫面。 此畫面可讓使用者選擇在設定裝置時,要從 iCloud Backup 還原或傳送資料。 適用於 macOS 10.9 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
Apple ID 提供使用者以 Apple ID 登入以及使用 iCloud 的選項。 適用於 macOS 10.9 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
條款及條件 要求使用者接受 Apple 的條款及條件。 適用於 macOS 10.9 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
觸控識別碼和臉部識別碼 提供使用者為裝置設定指紋識別的選項。 適用於 macOS 10.12.4 及更高版本,以及 iOS/iPadOS 8.1 及更高版本。
Apple Pay 提供使用者在裝置上設定 Apple Pay 的選項。 適用於 macOS 10.12.4 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
Siri 提供使用者設定 Siri 的選項。 適用於 macOS 10.12 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
診斷資料 向使用者顯示 [診斷] 畫面。 此畫面提供使用者將診斷資料傳送給 Apple 的選項。 適用於 macOS 10.9 及更高版本,以及 iOS/iPadOS 7.0 及更高版本。
顯示音 提供使用者開啟顯示音的選項。 適用於 macOS 10.13.6 及更高版本,以及 iOS/iPadOS 9.3.2 及更高版本。
FileVault 向使用者顯示 FileVault 2 加密畫面。 適用於 macOS 10.10 及更高版本。
iCloud 診斷 向使用者顯示 iCloud Analytics 畫面。 適用於 macOS 10.12.4 及更高版本。
註冊 顯示註冊畫面。 適用於 macOS 10.9 及更高版本。
iCloud 儲存空間 向使用者顯示 [iCloud 文件和桌面] 畫面。 適用於 macOS 10.13.4 及更高版本。
外觀 向使用者顯示 [外觀] 畫面。 適用於 macOS 10.14 及更高版本,以及 iOS/iPadOS 13.0 及更高版本。
螢幕時間 顯示 [螢幕時間] 畫面。 適用於 macOS 10.15 及更高版本,以及 iOS/iPadOS 12.0 及更高版本。
隱私權 向使用者顯示 [隱私權] 畫面。 適用於 macOS 10.13.4 及更高版本,以及 iOS/iPadOS 11.3 及更高版本。
協助工具 向使用者顯示 [協助工具] 畫面。 如果隱藏此畫面,使用者將無法使用語音轉移功能。 在下列裝置上支援 Voice Over:
- 執行 macOS 11。
- 使用乙太網連線到網際網路。
- 讓序號在 Apple School Manager 或 Apple Business Manager 中顯示。
使用 Apple Watch 自動解除鎖定 為使用者提供使用 Apple Watch 解除鎖定 Mac 的選項。 適用于 macOS 12.0 和更新版本。
位址條款 讓使用者選擇要在整個系統中定址方式的選項:女性、偽裝或中性。 此 Apple 功能適用于選取的語言。 如需詳細資訊,請參閱 在 Mac 上變更語言 & 區域設定 (開啟 Apple 網站) 。 適用于 macOS 13.0 和更新版本。

同步受控裝置

在系統管理中心同步您的註冊計畫權杖,以查看所有相關聯的 Apple 裝置和裝置資訊。 同步處理會重新整理現有的裝置狀態,並匯入指派給 Apple MDM 伺服器的新裝置。

  1. 返回 註冊計畫權杖 ,然後選擇您的註冊計畫權杖。

  2. 取 [裝置>同步]

    系統管理中心內 [註冊計畫權杖] 區域的螢幕擷取畫面,其中醒目提示範例權杖、[裝置] 連結和 [同步處理] 按鈕。

同步處理限制

為了符合 Apple 對於可接受註冊計畫流量的條款,Microsoft Intune會施加下列限制:

  • 完整同步處理每七天只能執行一次。 在完整同步處理期間,Intune擷取指派給已連線 Apple MDM 伺服器的最新更新序號清單。 如果您從Intune刪除裝置,但未從 Apple Business Manager 或 Apple School Manager 中的 MDM 伺服器取消指派,則在執行完整同步處理之前,將不會重新匯入至Intune。
  • 如果裝置是從其中一個 Apple 註冊計畫發行,則最多可能需要 45 天,才會自動從 Intune 中的 [裝置] 頁面中刪除裝置。 如有需要,您可以在Intune一個接一個地手動刪除已發行的裝置。 Intune報告會將裝置從 Apple Business Manager 或 Apple School Manager 中移除,直到在 30-45 天內自動刪除為止。
  • 同步會每 24 小時自動執行一次。 每隔 15 分鐘可以起始一次同步處理。 所有同步要求都必須在 15 分鐘內完成。 同步處理按鈕會變成非作用中,直到同步處理完成為止。

將註冊設定檔指派給裝置

將註冊設定檔指派給 Apple 裝置。

  1. 返回 註冊計畫權杖 ,然後選取權杖。
  2. 取 [裝置]
  3. 從清單中選擇您的裝置,然後選取 [ 指派設定檔]
  4. 選擇要指派的設定檔,然後選取 [ 指派]

您可以選擇性地選取預設註冊設定檔。 預設設定檔會部署到與權杖相關聯的所有註冊裝置。

  1. 返回 註冊計畫權杖 ,然後選取權杖。
  2. 取 [設定預設設定檔]
  3. 選擇設定檔,然後選取 [ 儲存]

發佈裝置

重要事項

與具有使用者親和性的裝置相關聯的使用者必須獲指派Intune授權。 缺少使用者親和性的裝置則需有裝置授權。

在整個組織中散發備妥的裝置。

  • 新增或抹除 Mac:當有人開啟裝置時,Apple Business Manager 或 Apple School Manager 中設定的新 Mac 或抹除 Mac 會在安裝助理期間自動註冊Microsoft Intune。 如果您將裝置指派給具有使用者親和性的 macOS 註冊設定檔,則裝置使用者必須在安裝助理完成完成 Azure AD 註冊和條件式存取需求之後,登入公司入口網站。

  • 現有的 Mac:您可以註冊已通過設定助理的裝置。 完成下列步驟,以註冊執行 macOS 10.13 和更新版本的公司擁有 Mac。

    1. 請確定:

      • 裝置已匯入 Apple Business Manager 或 Apple School Manager。
      • 系統管理中心已將 macOS 註冊設定檔指派給裝置。

    2. 使用本機系統管理員帳戶登入裝置。

    3. 若要觸發註冊,請從 頁開啟 終端機,然後執行下列命令:

      sudo profiles renew -type enrollment

    4. 輸入本機系統管理員帳戶的裝置密碼。

    5. 在 [ 裝置註冊]上,選取 [ 詳細資料]

    6. [系統喜好設定] 上,選取 [ 設定檔]

    7. 遵循螢幕上的提示,下載Microsoft Intune管理設定檔、憑證和原則。

      提示

      您可以回到[系統喜好> 設定設定檔],隨時確認裝置上有哪些設定檔

    8. 如果您將裝置指派給具有使用者親和性的 macOS 註冊設定檔,請登入公司入口網站應用程式以完成 Azure AD 註冊和條件式存取需求,並完成註冊。

更新註冊計畫權杖

完成下列步驟,以更新即將到期的伺服器權杖。 此程式可確保Intune中相關聯的註冊計畫權杖保持作用中。

  1. 登入 Apple Business Manager 或 Apple School Manager,然後依照下列步驟下載新的 MDM 伺服器權杖:

  2. 登入Microsoft Intune系統管理中心,然後移至裝置註冊>Apple 註冊>計畫權杖。 選取您想要更新的註冊計畫權杖。

  3. 取 [更新權杖 ],然後輸入用來建立原始權杖的 Apple ID。

  4. 上傳新的權杖。

  5. 選取 [下一步]。 您可以視需要在此時更新範圍標籤。 否則,請繼續 檢閱 + 建立

  6. 取 [建立 ] 以儲存您的變更。

後續步驟

使用Microsoft Intune遠端動作從遠端系統管理已註冊的 Mac。