使用 Apple 校园教务管理设置 iOS/iPadOS 设备注册

可以将 Intune 设置为，注册通过 Apple School Manager 计划购买的 iOS/iPadOS 设备。 通过结合使用 Intune 与 Apple School Manager，可在不触碰设备的情况下注册大量 iOS/iPadOS 设备。 学生或教师打开设备时，“设置助理”使用预先配置的设置运行，并且会注册设备以便进行管理。

若要启用 Apple School Manager 注册，请使用 Intune 和 Apple School Manager 门户。 需要序列号列表或购买订单编号，这样才能将设备分配到 Intune 进行管理。 创建自动设备注册 (ADE) 注册配置文件，这些配置文件包含注册过程中应用于设备的设置。

Apple School Manager 注册不能与 设备注册管理器一起使用。

先决条件

• Apple 移动设备管理 (MDM) 推送证书
• MDM 机构
• 如果使用的是 ADFS，用户关联需要 WS-Trust 1.3 用户名/混合终结点。 了解详细信息。
• 从 Apple School Management 计划购买的设备

获取 Apple 令牌并分配设备

必须先从 Apple 获取令牌 (.p7m) 文件，然后才能使用 Apple School Manager 注册公司拥有的 iOS/iPadOS 设备。 使用此令牌，Intune 可以同步有关已加入 Apple School Manager 的设备的信息。 它也允许 Intune 将注册配置文件上传至 Apple，并向设备分配这些配置文件。 在 Apple 门户中时，还可分配设备序列号以进行管理。

步骤 1：下载创建 Apple 令牌所需的Intune公钥证书

1. 在Microsoft Intune管理中心，转到“设备>注册”。
2. 选择“ Apple ”选项卡。
3. 选择 “注册计划令牌”。
4. 选择“添加”。
5. 选择“ 下载公钥 ”，在本地下载加密密钥并将其保存 (.pem) 文件。 .pem 文件用于从 Apple School Manager 门户请求信任关系证书。

步骤 2：下载令牌并分配设备

1. 选择“通过 Apple School Manager 创建令牌”，使用公司 Apple ID 登录到 Apple School。 可使用此 Apple ID 续订 Apple School Manager 令牌。
2. 在 Apple School Manager 门户中，转到“MDM 服务器”，然后选择“添加 MDM 服务器”（右上方）。
3. 输入 MDM 服务器名称。 服务器名称供参考，用于识别移动设备管理 (MDM) 服务器。 它不是 Microsoft Intune 服务器的名称或 URL。
4. 在 Apple 门户中选择“上传文件...”，浏览到 .pem 文件，然后选择“保存 MDM 服务器”（右下方）。
5. 选择“获取令牌”，然后将服务器令牌 (.p7m) 文件下载到计算机。
6. 转到 “设备分配”。 通过手动输入设备序列号或订单号来选择设备。
7. 选择“分配到服务器”操作，然后选择自己创建的“MDM 服务器”。
8. 指定“选择设备”的方式，然后提供设备信息和详细信息。
9. 选择“分配到服务器”，然后选择为 Microsoft Intune 指定的 <ServerName>，然后选择“确定”。

步骤 3：保存用于创建此令牌的 Apple ID

返回到 管理中心 并输入 Apple ID。

步骤 4：上传令牌

在“Apple 令牌”框中，浏览到证书 (.pem) 文件，选择“打开”，然后选择“创建”。 使用 Push Certificate，Intune 可通过将策略推送到已注册的移动设备来注册和管理 iOS/iPadOS 设备。 Intune 会自动从 Apple 同步 Apple School Manager 设备。

创建 Apple 注册配置文件

至此，你已安装令牌，接下来可以为 Apple School 设备创建注册配置文件了。 设备注册配置文件定义注册时应用于设备组的设置。

1. 在Microsoft Intune管理中心，转到“设备>注册”。

2. 选择“ Apple ”选项卡。

3. 在 “批量注册方法”下，选择 “注册计划令牌”。

4. 选择令牌。

5. 选择 “配置文件>”“创建配置文件>iOS/iPadOS”。

6. 在“创建配置文件”下，输入配置文件的“名称”和“描述”以便于管理。 用户看不到这些详细信息。 可以使用此名称字段在 Microsoft Entra ID 中创建动态组。 使用配置文件名称定义 enrollmentProfileName 参数，以向设备分配此注册配置文件。 详细了解Microsoft Entra动态组。

   

7. 对于“用户关联”，选择具有此配置文件的设备是否必须通过已分配的用户进行注册。

   • 通过用户关联进行注册 - 为属于用户且想要使用公司门户获取服务（如安装应用）的设备选择此选项。 使用此选项时，用户还可使用公司门户对其设备进行身份验证。 如果使用的是 ADFS，用户关联需要 WS-Trust 1.3 用户名/混合终结点。 了解详细信息。 Apple School Manager 的“Shared iPad”模式要求用户不通过用户关联进行注册。

   • 不通过用户关联进行注册 - 为不属于单个用户的设备（例如共享设备）选择此选项。 对无需访问本地用户数据即可执行任务的设备使用此选项。 公司门户等应用将无法运行。

8. 如果选择了“使用用户相关性注册”，则可以让用户使用公司门户、设置助理 (旧版) 以及使用新式身份验证的设置助手进行身份验证。 选择选项。 有关身份验证方法的详细信息，请参阅 Intune 中自动设备注册的身份验证方法。

   注意

   如果想要执行以下任一操作，请将“不使用 Apple 设置助理而使用公司门户进行身份验证”设置为“是”。

   • 使用多重身份验证
   • 提示用户在首次登录时需要更改密码
   • 提示用户在注册期间重置过期的密码

   使用 Apple 设置助理进行身份验证时，不支持执行这些操作。

9. 选择“设备管理设置”，然后选择是否要监督使用此配置文件的设备。 “受监督”的设备会提供更多的管理选项，并且会默认禁用“激活锁”。 Microsoft 建议使用 ADE 作为启用 Intune 的受监督模式的机制，特别是针对计划部署大量 iOS/iPadOS 设备的组织。

   将通过两种方式通知用户他们的设备受到监督：

   • 锁屏界面显示“此 iPhone 由 Contoso 托管”。

   • “设置”>“常规”>“关于”屏幕上显示“此 iPhone 受监督。 Contoso 可以监视你的 Internet 流量并找到此设备。”

     注意

     不受监督的注册设备只能使用 Apple Configurator 重置为受监督。 以此方式重置设备需要使用 USB 线将 iOS/iPadOS 设备连接到 Mac。 有关详细信息，请参阅 Apple Configurator 文档。

10. 选择是否要对使用此配置文件的设备进行锁定注册。 “锁定注册”将禁用允许从“设置”菜单删除管理配置文件的 iOS/iPadOS 设置。 在设备注册之后，如果不擦除设备，就无法更改此设置。 此类设备必须将“受监督”管理模式设置为“是”。

11. 可以允许多个用户使用托管 Apple ID 登录到已注册的 iPad。 为此，请在“共享的 iPad”下选择“是”（此选项需要“不使用用户关联注册”并将“已监管”模式设置为“是”。）在 Apple School Manager 门户中创建托管的 Apple ID。 详细了解共享 iPad 和 Apple 的共享 iPad 要求。

12. 选择是否要让使用此配置文件的设备能够“与计算机同步”。 “全部拒绝”表示所有使用此配置文件的设备将无法与任何计算机上的任何数据同步。 如果选择“通过证书允许 Apple Configurator”，则必须在“Apple Configurator 证书”下选择证书。

13. 如果在上一步中选择了“通过证书允许 Apple Configurator”，则选择要导入的“Apple Configurator 证书”。

14. 可以为设备指定命名格式，此格式在设备注册时自动应用。 为此，请在“应用设备名称模板”下选择“是”。 然后，在“设备名称模板”框中，输入要用于使用此配置文件的设备的名称模板。 可以指定包含设备类型和序列号的模板格式。

15. 选择“确定”。

16. 选择 “设置助理设置” 以配置以下配置文件设置：

    Setting	说明
    部门名称	用户在激活过程中轻点“关于配置”时显示。
    部门电话	用户在激活过程中单击“需要帮助”按钮时显示。
    设置助理选项	这些可选设置可以稍后在 iOS/iPadOS 的“设置”菜单中设置。
    密码	在激活过程中提示输入密码。 对于不安全的设备，始终要求提供密码，除非以其他方式控制访问(例如 kiosk 模式将设备限制到一个应用)。
    位置服务	如果启用，在激活过程中设置助理会提示此服务。
    还原	如果启用，在激活过程中设置助理会提示进行 iCloud 备份。
    iCloud 和 Apple ID	如果启用，设置助理会提示用户登录 Apple ID，“应用和数据”屏幕将允许从 iCloud 备份还原设备。
    条款和条件	如果启用，在激活过程中设置助理会提示用户接受 Apple 的条款和条件。
    Touch ID	如果启用，在激活过程中设置助理会提示此服务。
    Apple Pay	如果启用，在激活过程中设置助理会提示此服务。
    Zoom	如果启用，在激活过程中设置助理会提示此服务。
    Siri	如果启用，在激活过程中设置助理会提示此服务。
    诊断数据	如果启用，在激活过程中设置助理会提示此服务。

17. 选择“确定”。

18. 若要保存配置文件，则选择“创建”。

同步托管设备

在 Intune 分配有管理 Apple School Manager 设备的权限后，将 Intune 与 Apple 服务同步，以便在 Intune 中查看托管设备。

1. 返回到 注册计划令牌。
2. 在列表中选择一个令牌。
3. 选择“ 设备>同步”。
   

为了遵守 Apple 有关可接受注册计划流量的条款，Intune 规定了以下限制：

• 每七天只能运行一次完全同步。 在完全同步期间，Intune 将刷新分配给 Intune 的每一个 Apple 序列号。 如果在上一个完全同步的七天内尝试完全同步，则 Intune 只刷新已经不在 Intune 中列出的序列号。
• 任何同步请求都在 15 分钟内完成。 在此期间或在请求成功之前，“同步”按钮处于禁用状态。
• Intune 每 24 小时与 Apple 同步一次新设备及已删除设备。

注意

也可以从“注册计划设备”边栏选项卡向配置文件分配 Apple School Manager 序列号。

为设备分配配置文件

必须先向 Intune 管理的 Apple School Manager 设备分配注册配置文件，然后才能注册设备。

1. 返回到 注册计划令牌。
2. 在列表中选择一个令牌。
3. 选择“ 设备 ”，然后选择你的设备。
4. 选择“ 分配配置文件”。 然后选择设备的配置文件。
5. 选择“分配”。

将设备分发给用户

你已启用 Apple 与 Intune 之间的管理和同步，并分配了一个配置文件来允许 Apple School 设备注册。 现在可以将设备分配给用户。 打开 iOS/iPadOS Apple School Manager 设备时，它将注册为由 Intune 管理。 在擦除设备之前，配置文件不能应用于当前正在使用的已激活设备。

连接学校数据同步

Microsoft教育正在过渡到新的学校数据同步 (SDS) 体验，从 2024 年 8 月开始北半球和 2025 年 1 月南半球。 当前的 Apple School Manager 支持将于 2024 年 12 月 31 日停用。 与 SDS (经典) 相比，此新体验提供了各种增强功能，包括分离数据引入、更快的同步和更少的错误、对大型组织的支持以及新式用户界面。 如果有其他问题，请联系 Microsoft 教育支持部门，询问有关过渡到新的学校数据同步体验的问题。