設定共用 iPad

  • 發行項

適用於 iPadOS 13.4 和更新版本

將裝置布建為共用 iPad 會加以設定,以便在一位以上的員工或學生之間共用。 在 Intune 中註冊的 iPad 可以使用自動裝置註冊,而且沒有使用者親和性,可以布建為共用的 iPad。

共用 iPad 會在裝置上建立預先定義的 使用者分割區 數目。 使用者分割區可確保每個使用者的應用程式、數據和喜好設定會分別儲存在iPad上。 如果您允許,這些分割區可以備份至 iCloud,以便在組織中的其他共用 iPad 之間順暢地轉換。

當您在 Apple Business 或 School Manager 中同盟組織的 Microsoft Entra 實例時,裝置使用者可以使用其 Microsoft Entra 使用者名稱和密碼登入共用 iPad。 這會在第一次登入共用 iPad 時,自動為符合其 Microsoft Entra 用戶名稱的使用者建立受控 Apple ID。 此外,在共用 iPad 上第一次登入時,用戶會設定其使用者磁碟分區的英數位元密碼,並將指派給裝置的應用程式安裝到使用者磁碟分區。 下次使用者存取共用 iPad 時,只需要提供其受控 Apple ID (與其 Microsoft Entra 用戶名稱) 和英數位元密碼相同。

設定共用 iPad

請遵循下列步驟,在您的環境中設定共用 iPad。

重要事項

執行 iPadOS 13.3 和更新版本的受監督 iPad 支援共用 iPad。 如果已啟用共用 iPad 的註冊配置檔傳送至不支援共用 iPad 的裝置,則需要裝置抹除。 iPhone 或執行 iOS/iPadOS 13.3 版和更早版本的 iPad 不支援共用 iPad。

  1. 使用 Apple Business Manager 或 Apple School Manager 建立 Microsoft Entra 實例的同盟。 如需詳細資訊,請 參閱Apple Business Manager 同盟驗證簡介
  2. Create 註冊配置檔。
    1. 登入 Microsoft Intune 系統管理中心
    2. 移至 裝置>iOS/iPadOS>iOS/iPadOS 註冊
    3. 在 [ 大量註冊方法] 下,選擇 [ 註冊計劃令牌]
    4. 選擇令牌,然後選取 [ 配置檔]
    5. Create 設定檔>iOS/iPadOS
  3. 在註冊設定檔中設定這些設定:
    1. 移至 [管理設定] 並啟用 [共用 iPad]
    2. [用戶親和性] 設定為 [註冊而不使用使用者親和性]
    3. [受監督] 設定為 [是]
    4. [共用 iPad] 設定為 [是]
  4. 當您完成配置檔的其餘設定時,請選取 [儲存]。
  5. 指派從 Apple Business Manager 同步的裝置。
    1. 選取新的註冊配置檔。
    2. 取 [指派裝置>][新增裝置]
  6. Create 動態裝置群組,自動將此配置檔指派給規則參數內的裝置。
    1. 移至 [群組>] [新增群組]
    2. 針對 [成員資格類型],選取 [ 動態裝置]
    3. 取 [新增動態查詢]
    4. 在 [ 屬性] 數據 行中,選取 [ enrollmentProfileName]
    5. 在 [ 值] 數據行中,輸入註冊配置檔的名稱。
  7. 將所有必要的應用程式和組態配置檔指派給動態裝置群組。
  8. 準備新的和現有的裝置以進行部署:
    • 開啟新的裝置,並遵循螢幕上的提示來設定共用 iPad。
    • 將現有的裝置重設為原廠設定,並遵循螢幕上的提示來設定共用 iPad。

設定共用 iPad 的設定

您可以在裝置組態設定檔中為裝置和使用者內容設定共用 iPad 設定。 一般而言:

  • 裝置適用的設定適用於共用 iPad 裝置上的任何作用中使用者。
  • 當使用者在任何共用 iPad 裝置上處於作用中狀態時,就會套用使用者適用的設定。

下表描述共用 iPad 設定的適用性規則。

設定檔類型 設定名稱 裝置群組指派的適用性 使用者群組指派的適用性
裝置功能 主畫面配置 裝置 User
裝置功能 應用程式通知 裝置 User
裝置功能 單一登錄應用程式擴充功能 裝置 User
裝置功能 AirPrint 設定 裝置 不適用
裝置功能 鎖定畫面訊息 裝置 不適用
裝置功能 Web 內容篩選 裝置 不適用
裝置限制 封鎖共用 iPad 暫存會話 裝置 不適用
裝置限制 延遲軟體更新 裝置 不適用
裝置限制 強制自動日期和時間 裝置 不適用
裝置限制 僅需要使用組態配置檔加入 Wi-Fi 網路 裝置 不適用
裝置限制 封鎖自動鎖定 裝置 不適用
裝置限制 允許使用者使用未配對的裝置將裝置開機進入恢復模式 裝置 不適用
裝置限制 封鎖 Siri 進行聽寫 裝置 不適用
裝置限制 裝置限制中的所有其他設定 裝置 User
電子郵件 所有設定 裝置 User
VPN、Wi-Fi、憑證 所有設定 裝置 不適用

您應該知道

建立共用 iPad 的裝置組態設定檔時,請記住:

  • 您的 Microsoft Entra 實例必須在 Apple Business Manager 中同盟,用戶組策略指派才能成功。
  • 所有裝置組態配置檔設定都適用於共用 iPad 暫存工作階段。
  • 當使用者使用其同盟 Microsoft Entra 認證登入時,使用者指派的原則會套用至共用的 iPad。 如需與 Apple Business Manager 建立 Microsoft Entra 實例同盟的詳細資訊,請參閱 Apple Business Manager 指南 (開啟 Apple 支援網站) 。
  • 當您從系統管理中心起始裝置同步處理,或 Intune 通知裝置簽入 Intune 服務時,裝置指派的原則會套用至共用的iPad。 如需裝置簽入頻率的詳細資訊,請參閱 原則重新整理間隔

設定暫存會話

在 iPadOS 13.4 或更新版本中,用戶可以在裝置登入畫面上點選 [ 來賓 ] 來起始暫時會話。 暫時會話可讓用戶以來賓身分登入裝置,而且不需要他們輸入受控 Apple 標識碼或密碼。 當使用者註銷會話時,會刪除所有用戶數據,包括瀏覽歷程記錄。 共用 iPad 預設允許暫存工作階段。 如需詳細資訊,請參閱 共用 iPad 概觀 (開啟 Apple 檔) 。

您可以在系統管理中心的 iOS 裝置限制設定檔中設定暫時工作階段。 如需詳細資訊,請參閱 共用 iPad - 自動化裝置註冊 (受監督)

新增應用程式

您可以將大量採購 (VPP) 、應用程式、自訂應用程式、企業營運應用程式或 Web 應用程式部署到共用 iPad 裝置。

  • 若要在系統管理中心新增 VPP 或自定義應用程式,請在 Apple Business Manager 或 Apple School Manager 中新增應用程式,並將 VPP 令牌與 Intune 同步。 將 VPP 或自訂應用程式指派為裝置授權,以在 Intune 中 Microsoft Entra 裝置群組。 如需詳細資訊,請 參閱同步 VPP 令牌
  • 在系統管理中心新增企業營運應用程式,並將它指派給 Microsoft Entra 裝置群組。 如需詳細資訊,請參閱將 iOS/iPadOS 企業營運應用程式新增至 Microsoft Intune
  • 在系統管理中心新增 Web 應用程式,也稱為 Web 剪輯,並將它指派給 Microsoft Entra 使用者群組。 如需詳細資訊,請參閱將 Web 應用程式新增至 Intune

下表顯示每個 iOS 應用程式類型,並描述共用 iPad 支援的指派類型。

應用程式類型 裝置群組指派的適用性 使用者群組指派的適用性
企業營運應用程式 裝置 不適用
裝置授權的大量採購或自定義應用程式 (VPP) 裝置 不適用
用戶授權的大量採購或自定義應用程式 (VPP) 不適用 不適用
Web 應用程式 不支援 使用者
App Store 應用程式 不適用 不適用

在裝置組態配置檔中設定主畫面配置設定,以組織主畫面和擴充座上的應用程式配置和資料夾。 將配置檔指派給 Microsoft Entra 使用者群組。 如需詳細資訊,請 參閱主畫面配置

下表描述各種部署案例,以及我們對於設定的建議。 在您的環境中規劃共用 iPad 部署和設定時,請使用資料表作為參考。

案例 管理員 組態 共用的 iPad 體驗 範例
共用 iPad 上的所有使用者都在同一個角色中。

共用 iPad 上的所有使用者都使用暫存工作階段。

 將所有應用程式和配置檔指派給 Microsoft Entra 包含共用 iPad 的裝置群組。 所有應用程式和配置檔都適用於共用 iPad 上的任何作用中使用者或共用 iPad 暫存工作階段。 您可以將 Wi-Fi 設定檔、裝置限制、VPP 應用程式和主畫面配置指派給包含共用 iPad 的 Microsoft Entra 裝置群組。 這些配置檔適用於在共用 iPad 上登入的任何使用者。
共用 iPad 上的使用者有不同的角色。
  • 將所有角色通用的所有應用程式和配置檔指派給包含共用 iPad 的 Microsoft Entra 裝置群組。
  • 指派依角色而異且適用於使用者群組的配置檔。 請確定配置檔不會與上述指派給裝置群組的任何設定發生衝突。
 當使用者登入共用 iPad 時,裝置目標設定檔和使用者目標設定檔的組合會為作用中的使用者建立自定義體驗。

只有指派給裝置的應用程式和配置檔會套用至共用 iPad 暫存工作階段。

 您會將通用 Wi-Fi 設定檔和所有 VPP 應用程式指派給包含共用 iPad 的裝置群組。 然後,您會使用 Microsoft Entra 使用者群組,將不同的主畫面配置指派給不同的角色。 這會自定義每個角色中用戶的共用 iPad 體驗。
將不同的裝置限制套用至共用 iPad 上的不同使用者。
  • 將應套用至共用 iPad 所有使用者的裝置限制指派給包含共用 iPad 的 Azure 裝置群組。
  • 將因使用者而異的使用者適用裝置限制指派給 Microsoft Entra 使用者群組。 請確定裝置限制不會與指派給裝置群組的任何裝置限制發生衝突。
 當使用者登入共用 iPad 時,裝置目標限制和用戶目標限制的組合會為作用中的使用者建立自定義體驗。

只有指派給裝置群組的裝置限制會套用至共用 iPad 暫存工作階段。

 您想要防止所有共用 iPad 使用者使用 AirDrop。 但您只希望管理員能夠關閉共用 iPad 上的 Wi-Fi。

您可以將封鎖 AirDrop 的裝置組態設定檔指派給包含共用 iPad 的裝置群組。 然後,您將需要 Wi-Fi 的裝置組態配置檔指派給包含非經理員工的使用者群組。
在共用 iPad 上對不同的使用者顯示/隱藏不同的應用程式。
  • 將所有應用程式指派給包含共用 iPad 的 Microsoft Entra 裝置群組。
  • Create 主畫面配置來顯示/隱藏應用程式,並將主畫面配置指派給 Microsoft Entra 使用者群組。
 當使用者登入共用 iPad 時,使用者指派的首頁畫面配置會套用以顯示/隱藏 Microsoft Intune 中設定的應用程式。

指派給裝置的所有應用程式都會顯示在共用 iPad 暫存工作階段中。

 您會將 Microsoft Outlook、Microsoft Teams 和 Safari 指派給包含共用 iPad 的裝置群組。 然後,您會指派主畫面配置,只顯示 Teams 給使用者群組,其中包含使用共用 iPad 時只需要 Teams 的使用者。 您可以將另一個顯示 Outlook、Teams 和 Safari 的首頁畫面配置指派給使用者群組,其中包含使用共用 iPad 時需要存取這三個應用程式的管理員。
隱藏共用 iPad 上不必要的系統應用程式。 Create 主畫面配置,其中包含所需的系統應用程式和受控應用程式。 將主畫面配置指派給包含共用 iPad 的 Microsoft Entra 裝置群組。 相同的主畫面配置將套用至在共用 iPad 上登入的任何使用者,以及共用 iPad 暫存會話。 您會建立主畫面配置來排除不必要的系統應用程式,例如設定、App Store、時鐘,並將配置指派給包含共用 iPad 的裝置群組。

建議您只為共用 iPad 設定一次設定。 請勿為共用 iPad 設定多個設定值。 如果設定了多個設定值,則無法預先決定套用的設定。 如果 Intune 偵測到衝突,則會套用指派給裝置的第一個設定。 如果同時將裝置適用且使用者適用的設定指派給 Microsoft Entra 裝置群組和 Microsoft Entra 使用者群組,則操作系統會選擇設定的套用值。

已知限制

共用 iPad 的 Intune 中存在下列限制:

  • 停用的設定和系統應用程式:共用 iPad 提供有限數量的設定和系統應用程式。 如需無法使用的設定和應用程式的詳細資訊,請 參閱使用共用 iPad 搭配受控 Apple 識別符
  • App Store 停用安裝:共用 iPad 預設會提供 App Store,但應用程式安裝已停用,因此使用者無法從 App Store 安裝應用程式。 建議您在 Intune 組態配置檔中停用 App Store,以避免與使用者混淆。
  • 公司入口網站 和可用的應用程式不受支援:共用 iPad 不支援 Intune 公司入口網站 應用程式和 Intune 公司入口網站 網站。
  • 應用程式指派需求:您必須視 需要 將應用程式指派給裝置群組。 共用 iPad 不支援可用的應用程式。
  • 無法使用共用 iPad 管理密碼複雜度:共用 iPad 密碼必須有八個英數位元,且無法在 Apple Business Manager 中變更。 Intune 裝置組態配置檔中可用的密碼複雜度和長度設定不適用於共用 iPad。 MDM 系統管理員可以設定寬限期,指定使用者在不使用密碼的情況下解除鎖定 iPad 所需的分鐘數。
  • 某些原則不受支援:共用 iPad 不支援這些 Intune 原則:應用程式型和裝置型條件式存取原則、應用程式保護原則和合規性原則。
  • Email 不支援配置檔:共用 iPad 不支援 Email 設定檔。 當您將電子郵件設置檔指派給共用 iPad 裝置時,會發生錯誤。
  • 使用者指派的原則不會出現在報表中:Intune 不會在指派給 Microsoft Entra 使用者群組的共用 iPad 應用程式和配置檔的報表中報告裝置狀態或用戶狀態。
  • Microsoft Entra 同盟需求未強制執行:不會強制執行 Microsoft Entra 同盟需求。 如果受控 Apple ID 符合 Microsoft Entra UPN,且 Microsoft Entra 用戶獲指派適用於使用者的裝置組態配置檔,則配置檔會在使用者使用其受控 Apple ID 登入共用 iPad 時套用至使用者。

後續步驟