Руководство по настройке регистрации Microsoft Intune для устройств iOS/iPadOS в Apple Business Manager

Используйте Apple Business Manager с Microsoft Intune, чтобы упростить и автоматизировать регистрацию устройств iOS/iPadOS, приобретенных через Apple Business Manager. Автоматическая регистрация устройств, которую мы настроим в этом руководстве, обеспечивает безопасную автоматическую регистрацию при первом включении устройства пользователем путем развертывания профиля регистрации на устройстве по беспроводной сети.

С помощью данного руководства вы изучите:

• Получение маркера регистрации устройства Apple
• Синхронизация управляемых устройств с Intune
• Создание профиля регистрации
• Назначение профиля регистрации устройствам

В конце этого руководства устройства будут готовы к распространению для регистрации.

Предварительные условия

• Настройка центра управления мобильными устройствами (MDM).
• Получите push-сертификат Apple MDM.
• Иметь новые или очистные устройства, приобретенные у Apple Business Manager.
• Добавьте сведения о покупках в разделе Параметры управления устройствами в Apple Business Manager.

Если у вас нет подписки Intune, зарегистрируйтесь для получения бесплатной пробной учетной записи.

Шаг 1. Добавление сервера MDM

Создайте профиль сервера MDM для Microsoft Intune в Apple Business Manager. Токен, скачанный на этом шаге, позволит установить соединение между Microsoft Intune и Apple Business Manager на более позднем этапе.

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Устройства и разверните узел По платформе. Выберите iOS/iPadOS.

3. Разверните узел Подключение устройств, а затем выберите Регистрация.

4. Выберите Токены программы регистрации.

5. Нажмите Создать.

6. Выберите Я согласен предоставить корпорации Майкрософт разрешение на отправку сведений о пользователях и устройствах в Apple.

7. Выберите Скачать открытый ключ , чтобы скачать сертификат открытого ключа сервера (PEM-файл) на локальный диск.

8. Выберите Создать токен с помощью Apple Business Manager и войдите в Apple Business Manager с помощью идентификатора Apple ID компании.

   Важно!

   Пока вы находитесь в Apple Business Manager, не закрывайте вкладку браузера с Microsoft Intune. Вы вернетесь к нему позже.

9. Добавьте сервер MDM с именем TestMDMServer и скачайте маркер сервера для него в Apple Business Manager. Дополнительные сведения и инструкции см. в разделе Ссылка на сторонний сервер MDM (откроется руководство пользователя Apple Business Manager). Сохраните маркер сервера локально как P7M-файл (P7m). Затем перейдите к шагу 2. Назначение устройств.

Шаг 2. Назначение устройств

Пока вы находитесь в Apple Business Manager, назначьте устройства новому серверу MDM (TestMDMServer или любое имя). Дополнительные сведения и инструкции см. в статье Назначение, переназначение или отмена назначения устройств в Apple Business Manager (откроется руководство пользователя Apple Business Manager). Завершив назначение устройств, перейдите к шагу 3. Отправка маркера сервера MDM.

Шаг 3. Отправка маркера сервера MDM

Вернитесь в центр администрирования Microsoft Intune, чтобы отправить маркер сервера MDM в Intune. После отправки маркера Microsoft Intune сможет синхронизировать и зарегистрировать устройства iOS/iPadOS, назначенные TestMDMServer.

1. В поле Идентификатор Apple введите идентификатор Apple ID, который использовался для создания маркера.
2. Для маркера Apple отправьте сохраненный ранее маркер сервера. Файл должен быть в формате P7M.
3. Нажмите кнопку Далее.
4. При необходимости примените теги область к маркеру регистрации, чтобы ограничить доступ других администраторов к нему или вносить в него изменения. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.
5. Нажмите кнопку Далее.
6. На вкладке Просмотр и создание выберите Создать, чтобы завершить связывание Microsoft Intune и Apple Business Manager.

Microsoft Intune автоматически синхронизируется с Apple Business Manager. На появление устройств в Центре администрирования может потребоваться до 12 часов. Вы можете дождаться синхронизации этих устройств или вручную запустить синхронизацию. Чтобы запустить синхронизацию самостоятельно, выберите маркер в списке в Центре администрирования, а затем выберите Синхронизация устройств>.

Шаг 4. Создание профиля регистрации Apple

Создайте профиль регистрации для корпоративных устройств iOS/iPadOS. Профиль регистрации устройства определяет параметры, применяемые к группе устройств в процессе регистрации.

1. Выберите маркер в Центре администрирования, а затем выберите Профили.

2. Выберите Создать профиль>iOS или iPadOS.

3. На странице Основные в поле Имя введите TestProfile, а в поле Описание — Тестирование ADE для устройств iOS и iPadOS. Эти сведения не отображаются для пользователей.

4. Нажмите кнопку Далее.

5. Решите, хотите ли вы, чтобы устройства регистрироваться с сопоставлением пользователей или без нее. Сопоставление пользователей и устройств нужно для устройств, которые будут использоваться определенными пользователями. Если вашим пользователям нужно использовать корпоративный портал для выполнения таких действий, как установка приложений, используйте пункт Регистрация с сопоставлением пользователей. Если пользователям не требуется Корпоративный портал или вы хотите подготовить устройство для многих пользователей, выберите Регистрация без сопоставления пользователей.

   • Если вы решили выполнить регистрацию с сопоставлением пользователей, появится параметр Выберите, где пользователи должны проходить проверку подлинности. Решите, требуется ли проходить проверку подлинности с помощью Корпоративный портал, Помощника по настройке Apple (устаревшая версия) или помощника по настройке с современной проверкой подлинности. Дополнительные сведения о методах проверки подлинности см. в статье Методы проверки подлинности для автоматической регистрации устройств в Intune.

6. Если вы выбрали регистрацию с сопоставлением пользователей и проверку подлинности с помощью Корпоративного портала, появится параметр Установить Корпоративный портал с VPP. Если установить Корпоративный портал с токеном VPP, пользователю не придется вводить идентификатор Apple ID и пароль для скачивания Корпоративного портала из магазина приложений во время регистрации. Выберите Использовать токен: в разделе Установить Корпоративный портал с помощью VPP, затем выберите токен VPP, у которого есть свободные лицензии на корпоративном портале. Если вы не хотите пользоваться VPP для развертывания корпоративного портала, выберите Не использовать VPP.

   • Если вы выбрали регистрацию с сопоставлением пользователей, проверку подлинности с помощью корпоративного портала и установили корпоративный портал с помощью VPP, решите, хотите ли вы запускать корпоративный портал в режим одиночного приложения до проверки подлинности. С помощью этого параметра вы можете гарантировать, что у пользователя нет доступа к другим приложениям, пока не завершится корпоративная регистрация. Если вы хотите запретить пользователям доступ сюда до завершения регистрации, выберите Да в разделе Запуск корпоративного портала в режиме одиночного приложения до проверки подлинности.

7. В разделе Параметры Управление устройствами выберите Да для защищенного. Контроль предоставляет дополнительные параметры управления и по умолчанию отключает блокировку активации Apple. Корпорация Майкрософт рекомендует использовать автоматическую регистрацию устройств в качестве механизма включения защищенного режима Intune, особенно для организаций, развертывающих большое количество устройств iOS/iPadOS.

8. Выберите Да в разделе Заблокированная регистрация , чтобы пользователи не могли удалить управление устройствами с корпоративного устройства.

9. Выберите параметр в разделе Синхронизация с компьютерами , чтобы определить, могут ли устройства iOS/iPadOS синхронизироваться с компьютерами. Запретить все означает, что устройства, использующие этот профиль, не могут синхронизироваться с данными на любом компьютере.

10. По умолчанию Apple присваивает устройству имя типа устройства, например iPad. Если вы хотите задать другой шаблон имени, выберите Да в разделе Применить шаблон имени устройства. Введите имя, которое вы хотите применить к устройствам; здесь строки {{SERIAL}} и {{DEVICETYPE}} заменяют серийный номер и тип каждого устройства. В противном случае выберите Нет в разделе Применить шаблон имени устройства.

11. Нажмите кнопку Далее.

12. На странице Помощник по настройке в поле Название отдела введите Учебный отдел. Эта строка отображается, когда пользователь выбирает О конфигурации во время активации устройства.

13. В поле Номер телефона отдела введите номер телефона. Этот номер отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.

14. Вы можете отображать или скрывать различные экраны во время активации устройства. Для наибольшей прозрачности процесса регистрации стоит Скрыть все экраны.

15. Нажмите кнопку Далее.

16. Просмотрите параметры профиля. Чтобы сохранить профиль, выберите Создать.

Шаг 5. Назначение профиля регистрации устройствам iOS/iPadOS

Устройствам нужно назначить профиль программы регистрации, чтобы можно было их зарегистрировать. Эти устройства будут синхронизированы с Intune из Apple, и им должен быть назначен правильный токен сервера MDM на портале ABM, ASM или ADE.

1. В Центре администрирования вернитесь к разделу Токены программы регистрации. Выберите маркер из списка.
2. Выберите Устройства, а затем выберите устройства, которые нужно назначить.
3. Выберите Назначить профиль. Затем выберите профиль для устройств.
4. Нажмите Назначить.

Примечание.

Убедитесь, что для ограничений типа устройств, которые находятся в ограничениях регистрации вашего клиента, не задана политика по умолчанию Все пользователи , которая блокирует платформу iOS/iPadOS. Этот параметр приведет к сбою автоматической регистрации, и устройство будет отображаться как недопустимый профиль независимо от аттестации пользователя. Чтобы разрешить регистрацию только для устройств, управляемых компанией, заблокируйте только личные устройства. Это позволит выполнять регистрацию только корпоративным устройствам. Корпорация Майкрософт определяет корпоративное устройство как устройство, зарегистрированное с помощью программы регистрации устройств, или устройство, которое вручную вводится в Центре администрирования в разделе Идентификаторы корпоративных устройств.

Шаг 6. Распространение устройств среди пользователей

Вы настроили управление и синхронизацию между Apple и Intune и назначили профиль, чтобы разрешить регистрацию устройств ADE. Теперь вы можете распределить устройства между пользователями. Устройствам с сопоставлением пользователей требуется, чтобы каждому пользователю была назначена лицензия Intune.

Дальнейшие действия

Ознакомьтесь со сведениями о других параметрах, доступных для регистрации устройств iOS и iPadOS.

Техническая документация по автоматической регистрации устройств iOS/iPadOS