为 iOS/iPadOS 设置自动设备注册 (ADE)
适用于 iOS/iPadOS
通过 Apple Business Manager 或 Apple School Manager 购买的公司自有设备可以通过自动设备注册在 Intune 中注册。 此注册选项应用 Apple Business Manager 和 Apple School Manager 中的组织设置,并注册设备,而无需触摸它们。 iPhone 和 iPad 可以直接寄送给员工和学生。 当他们打开设备时,Apple 设置助理会引导他们完成设置和注册。
本文介绍如何在 Microsoft Intune 中准备和设置自动设备注册。
功能概述
下表显示了自动设备注册支持的功能和方案。
功能 | 以下情况使用此注册选项 |
---|---|
需要监督模式。 | ✔️ 监督模式可部署软件更新、限制功能、允许和阻止应用等。 |
设备归组织或学校所有。 | ✔️ |
你有新设备。 | ✔️ |
需要注册一些设备,或者注册大量设备(批量注册)。 | ✔️ |
设备与一个用户关联。 | ✔️ |
设备是“无用户的”,例如展台或专用设备。 | ✔️ |
设备处于共享设备模式。 | ✔️ |
设备是个人设备或自带 (BYOD) 。 | ❌ 不建议。 可以使用 MAM 或 用户和设备注册管理 BYOD 或个人设备上的应用程序。 |
设备由另一个 MDM 提供商管理。 | ❌ 如果要在 Intune 中完全管理设备,用户必须从当前 MDM 提供程序取消注册,然后注册Intune。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备归组织所有,因此我们建议在Intune中注册它们。 |
使用设备注册管理器 (DEM) 帐户。 | ❌ 不支持 DEM 帐户。 |
证书
此注册类型支持自动证书管理环境 (ACME) 协议。 新设备注册时,Intune的管理配置文件会收到 ACME 证书。 与 SCEP 协议相比,ACME 协议通过可靠的验证机制和自动化流程提供更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。
已注册的设备不会获得 ACME 证书,除非它们重新注册到Microsoft Intune。 运行:
iOS 16.0 或更高版本
iPadOS 16.1 或更高版本
先决条件
在创建注册配置文件之前,必须具备:
- 访问 Apple Business Manager 门户 或 Apple School Manager 门户。
- 活动 Apple 令牌 (.p7m 文件) 。
- 有关步骤,请参阅获取本文) 中的 Apple 自动设备注册令牌 (。
- Intune 中的 Apple MDM 推送证书。
- 从 Apple Business Manager 或 Apple School Manager 购买的新设备或擦除设备。
提示
自动设备注册应用设备用户可能无法删除的设备配置。 在注册之前擦除所有设备,使其恢复为现装状态。
开始之前
通读这些注册要求和最佳做法,为成功安装和部署做好准备。
选择身份验证方法
在创建注册配置文件之前,请确定希望用户在其设备上进行身份验证的方式:通过Intune 公司门户应用、设置助理 (旧版) 或具有新式身份验证的设置助理。 使用具有新式身份验证的 公司门户 应用或设置助手被视为新式身份验证,并且具有多重身份验证等功能。
Intune还支持具有新式身份验证的设置助手的实时注册 (JIT 注册) ,无需公司门户应用进行Microsoft Entra注册和符合性。 若要使用 JIT 注册,必须在创建 Apple 注册配置文件并使用新式身份验证配置设置助理 之前 创建设备配置策略。
运行 iOS/iPadOS 13.0 及更高版本的设备支持具有新式身份验证的设置助手。 给定此配置文件的较旧 iOS/iPadOS 设备将改用设置助理 (旧版) 进行身份验证。
有关身份验证选项的详细信息,请参阅 自动设备注册的身份验证方法。
受监督模式简介
监督模式提供对公司拥有的设备更多的管理控制,因此你可以执行阻止屏幕捕获和限制 AirDrop 等操作。
运行 iOS/iPadOS 11+ 并通过自动设备注册注册的公司拥有的设备应始终处于监督模式,你可以在注册配置文件中打开该模式。 有关监督模式的详细信息,请参阅 打开 iOS/iPadOS 监督模式。 Microsoft Intune会忽略运行 iOS/iPadOS 13.0 及更高版本的设备的is_supervised标志,因为这些设备在注册时会自动处于监督模式。
在共享设备模式下注册设备
可以为 处于共享设备模式的设备设置自动设备注册。 共享设备模式是Microsoft Entra ID的一项功能,使一线员工能够全天共享单个设备,并根据需要登录和注销。 有关如何在Microsoft Entra共享设备模式下为设备启用注册的详细信息,请参阅共享设备模式的自动设备注册。
部署公司门户应用
重要
我们不建议使用 App Store 版本的 公司门户 应用,因为它与自动设备注册不兼容,并且不像部署那样提供自动更新和可用性。
通过Intune部署Intune 公司门户应用是向用户提供应用的最佳方式,也是实现以下唯一方法:
- 确保所有 ADE 设备(包括已注册的 ADE 设备)都接收应用。
- 在 ADE 设备上为公司门户启用自动应用更新。
将应用部署为 具有设备许可的所需 VPP 应用。 有关如何同步、分配和管理 VPP 应用的信息,请参阅 分配批量购买的应用。
若要为公司门户启用自动应用更新,请转到管理中心中的应用令牌设置,并将“自动应用更新”更改为“是”。 有关访问令牌设置的步骤,请参阅 上传 Apple VPP 或 Apple Business Manager 位置 令牌。 如果不启用自动更新,设备用户必须自行手动为其检查。
设备暂存 用于将没有用户关联的设备转换为具有用户相关性的设备。 若要暂存设备,请设置 VPP 部署,如本节前面所述。 然后配置和部署 应用配置策略。 确保策略仅面向那些没有用户相关性的 ADE 设备。
重要
在初始注册期间,当注册配置文件设置“安装公司门户”设置为“是”时,Intune会自动推送使用新式身份验证注册使用设置助理注册的设备的应用配置策略设置,该设置在“配置公司门户”应用中配置为支持使用自动设备注册的 iOS 和 iPadOS 设备。 不应手动将此配置部署到用户,因为它会导致与初始注册期间发送的配置冲突。 如果两者都已部署,Intune会错误地提示设备用户登录到公司门户并下载他们已安装的管理配置文件。
限制
- 每个令牌的最大注册配置文件数:1,000
- 每个配置文件的最大自动设备注册设备数:200,000 (与每个令牌) 的最大设备数相同。
- 每个Intune帐户的最大自动设备注册令牌数:2,000
- 每个令牌的最大自动设备注册设备数:200,000
- 建议每个令牌不超过 200,000 台设备。 否则,可能会出现同步问题。 如果设备数超过 200,000,请将这些设备拆分到多个 ADE 令牌。
- Apple Business Manager 和 Apple School Manager 每分钟将大约 3,000 台设备同步到Intune。 我们建议你再次推迟从管理中心手动同步,直到所有设备经过足够的时间才能完成同步, (设备总数/每分钟 3,000 台设备) 。
注册疑难解答
如果在注册过程中遇到任何同步问题,可以在 iOS/iPadOS 设备注册疑难解答中查看解决方法。
获取 Apple 自动设备注册令牌
在使用 ADE 注册 iOS/iPadOS 设备之前,需要从 Apple (.p7m 文件) 自动设备注册令牌。 此令牌允许Intune同步有关组织拥有的 ADE 设备的信息。 它还允许 Intune 将注册配置文件上传到 Apple,并向设备分配这些配置文件。
使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 创建令牌并将设备分配给Intune进行管理。
注意
可以使用任一 Apple 门户来启用 ADE。 本文的其余部分涉及 Apple Business Manager,但 Apple School Manager 的步骤相同。
步骤 1:下载 Intune 公钥证书
在Microsoft Intune管理中心,转到“设备>注册”。
选择“ Apple ”选项卡。
选择“注册计划令牌”>“添加”。
在“基础知识”选项卡上:
选择“ 我同意 授予Microsoft向 Apple 发送用户和设备信息的权限。
选择“下载创建令牌所需的 Intune 公钥证书”。 此步骤在本地下载并保存加密密钥 (.pem) 文件。 .pem 文件用于从 Apple Business Manager 门户请求信任关系证书。
稍后,在 “步骤 2:转到 Apple Business Manager 门户”中,在 Apple Business Manager 中上传此 .pem 文件。
将此 Web 浏览器标签页和页面保持在打开状态。 如果关闭该标签页,会发生以下情况:
- 下载的证书无效。
- 你必须重复这些步骤。
- 在“查看 + 创建”选项卡上,“创建”按钮不可用,因此你无法完成此过程。
步骤 2:转到 Apple Business Manager 门户中下载 .p7m 令牌
使用 Apple Business Manager 门户创建和续订 ADE 令牌(MDM 服务器)。 将此令牌添加到 Intune,并在 Intune 和 Apple 之间通信。
注意
以下步骤描述了需要在 Apple Business Manager 中执行的操作。 有关具体步骤,请参阅 Apple 文档。 Apple 网站上的 Apple Business Manager 用户指南 () 可能会有所帮助。
下载 Apple 令牌
在 Apple Business Manager 中,使用你的公司 Apple ID 登录。
在此门户中,完成以下步骤:
在设置中,将显示所有令牌。 添加 MDM 服务器,并上传从步骤 1:下载 Intune 公钥证书(在本文中)。
使用服务器名称识别移动设备管理 (MDM) 服务器。 它不是 Microsoft Intune 服务的名称或 URL。
保存 MDM 服务器后,选择此服务器,并下载令牌(.p7m 文件)。 稍后,在“步骤 4:上传令牌并完成”中,在 Intune 上传 .p7m 令牌。
将设备分配到 Apple 令牌(MDM 服务器)
- 在 Apple Business Manager>“设备”中,选择要分配给此令牌的设备。 可以按各种设备属性进行排序,如序列号。 也可同时选择多个设备。
- 编辑设备管理,然后选择刚刚添加的 MDM 服务器。 此步骤将设备分配给令牌。
步骤 3:保存 Apple ID
在 Web 浏览器中,返回到Microsoft Intune“添加注册计划令牌”页的选项卡,从步骤 1:下载Intune公钥证书开始。
在“Apple ID”中,输入你的 ID。 此步骤将保存你的 ID。 此 ID 可供将来使用。
步骤 4:上传令牌并完成
在“Apple 令牌”中,浏览到 .p7m 证书文件,然后选择“打开”。
提示
选择 下一步。
在“查看 + 创建”页上,选择“创建”。
借助推送证书,Intune 可通过将策略推送到已注册的移动设备来注册和管理 iOS/iPadOS 设备。 Intune 会自动与 Apple 同步以访问你的注册计划帐户。
创建 Apple 注册配置文件
安装令牌后,可以创建用于自动设备注册的注册配置文件。 设备注册配置文件定义注册时应用于设备组的设置。 每个注册令牌限制为 1,000 个注册配置文件。
注意
如果 VPP 令牌没有足够的公司门户许可证或令牌过期,将阻止设备注册。 当令牌即将过期或许可证不足时,Intune 会发出警报。
在Microsoft Intune管理中心,转到“设备>注册”。
选择“ Apple ”选项卡。
选择 “注册计划令牌”。
选择令牌,然后选择“ 配置文件”。
选择“ 创建配置文件>iOS/iPadOS”。
对于 基础信息,为配置文件提供 名称 和 说明 以用于管理目的。 用户看不到这些详细信息。
选择“下一步”。
重要
在设备变为活动状态之前,必须将注册策略分配给设备。 建议尽快设置默认注册策略,以便在设备从 Apple Business Manager 或 Apple School Manager 同步后启用后,它们可以通过自动设备注册正确注册。 如果从 Apple 同步的设备未分配注册策略,并且有人打开它进行设置,则注册将失败。
重要
如果对现有注册配置文件进行更改,则在设备重置回出厂设置并重新激活之前,新设置不会在分配的设备上生效。 设备名称模板设置是可以更改的唯一设置,不需要恢复出厂设置即可生效。 对命名模板的更改在下一个检查生效。
在“用户关联”列表中,选择确定具有此配置文件的设备是否必须通过已分配的用户进行注册的选项。
使用用户相关性注册:对于属于想要将公司门户用于安装应用等服务的用户的设备,请选择此选项。
在没有用户关联的情况下注册:对于不与单个用户关联的设备,请选择此选项。 此选项适用于不访问本地用户数据的设备。 此选项通常用于展台、销售点 (POS) 或共享实用工具设备。
在某些情况下,你可能希望将主要用户与注册没有用户相关性的设备相关联。 若要执行此任务,可以将
IntuneUDAUserlessDevice
密钥发送到托管设备的应用配置策略中的公司门户应用。 登录到公司门户应用的第一个用户将设为主要用户。 第一位用户注销,第二位用户登录时,第一位用户仍是设备的主要用户。 有关详细信息,请参阅配置公司门户应用,使其支持 iOS 和 iPadOS ADE 设备。使用Microsoft Entra ID共享模式注册:选择此选项以注册将处于共享模式的设备。
如果为“ 用户相关性 ”字段选择了“使用 用户相关性注册” ,则可以选择员工必须使用的身份验证方法。 有关每个身份验证方法的详细信息,请参阅 自动设备注册的身份验证方法。
选项包括:
- 公司门户
- 设置助理 (旧版)
- 具有新式身份验证的设置助手
如果为身份验证方法选择了“设置助手” (旧) ,但还想要在设备上使用条件访问或部署公司应用,则需要在设备上安装公司门户并登录以完成Microsoft Entra注册。 为此,请对“安装公司门户”选择“是”。 如果希望用户无需在App Store进行身份验证即可接收公司门户,请在“使用 VPP 安装公司门户”中选择 VPP 令牌。 请确保令牌没有到期,并且有足够的设备许可证,可供正确部署公司门户应用。
如果对“使用 VPP 安装公司门户”选择了令牌,可以在设置助理完成后,立即将设备锁定在单应用模式下(即公司门户应用)。 针对“在身份验证前以单应用模式运行公司门户”,选择“是”以设置此选项。 若要使用设备,用户必须首先通过登录到公司门户进行身份验证。
注意
锁定在单应用模式下的单台设备不支持多重身份验证。 这种限制的存在是因为,设备无法切换到其他应用来完成双重身份验证。 若要在单应用模式设备上进行多重身份验证,必须在其他设备上进行双重身份验证。
仅 iOS/iPadOS 11.3.1 及更高版本支持此功能。
如果希望监督使用此配置文件的设备,请在“监督”列表中选择“是”。
受监督的设备会提供更多的管理选项,并且会默认禁用“激活锁”。 Microsoft 建议使用 ADE 作为监督模式启用机制,尤其是在部署大量 iOS/iPadOS 设备时。 Apple 共用的 iPad(商业版)设备必须受到监督。
用户会收到通知,指示其设备在 “设置” 应用中受到监督。 在屏幕顶部的应用中,一条静态消息告知他们此 iPhone 由
<your organization>
进行监督和管理。注意
如果在不受监督模式下注册设备,则需要使用 Apple Configurator(如果想要将其设置为受监督)。 以这种方式重置设备需要使用 USB 电缆将设备连接到 Mac。 有关详细信息,请参阅 Apple Configurator 帮助。
在“锁定注册”列表中,选择“是”或“否”。 锁定注册会禁用允许删除管理配置文件的 iOS/iPadOS 设置。 如果启用锁定注册,“设置”应用中允许用户删除管理配置文件的按钮将被隐藏,用户将无法取消注册其设备。 如果要在Microsoft Entra ID共享模式下设置设备,请选择“是”。
锁定注册在最初不是通过 Apple Business Manager 购买但后来添加到自动设备注册的设备上,其工作方式稍有不同:这些设备上的用户在激活设备后,可以在“设置”应用中看到“删除管理”按钮。 在该临时时间段之后,此选项处于隐藏状态。 有关详细信息,请参阅 手动准备设备 (打开 Apple Configurator 帮助文档) 。
重要
此设置不同于公司门户应用中的删除和重置选项。 无论如何配置锁定注册,公司门户应用中的“删除设备”或“恢复出厂设置”选项在通过自动设备注册注册的设备上仍然不可用。 用户也无法删除公司门户网站上的设备。 有关已注册设备上可用的自助服务操作的详细信息,请参阅 自助服务操作。
如果在上面步骤中选择了“注册时不进行用户关联”和“受监督”,则需要决定是否将这些设备配置为 Apple 共用的 iPad(商业版)设备。 为“共用的 iPad”选择“是”,可允许多个用户登录到同一设备。 用户使用其托管 Apple ID 和联合身份验证帐户或使用临时会话 ((如来宾帐户) )进行身份验证。 此选项需要 iOS/iPadOS 13.4 或更高版本。 使用共享 iPad,激活后将自动跳过所有“设置助理”窗格。
注意
- 如果已将启用“共用的 iPad”的 iOS/iPadOS 注册配置文件发送到不受支持的设备,则必须擦除设备。 不受支持的设备包括所有 iPhone 机型,以及运行 iPadOS/iOS 13.3 及更早版本的 iPad。 受支持的设备包括运行 iPadOS 13.3 和更高版本的 iPad。
- 如果要设置 Apple 共用的 iPad(商业版),请配置以下设置:
- 在“用户关联”列表中,选择“注册时不进行用户关联”。
- 在“受监督”列表中,选择“是”。
- 在“公用的 iPad”列表中,选择“是”。
如果要为企业设备设置 Apple 共用的 iPad,还要进行以下配置:
最大缓存用户数:输入会使用共用的 iPad 的用户数量。 在 32 GB 或 64 GB 设备上最多可以缓存 24 个用户。 如果选择的数字较小,则用户登录后可能需要一段时间,用户的数据才会显示在其设备上。 如果选择的数字非常大,则用户可能会用光磁盘空间。
需要密码之前屏幕锁定后的最大秒数:输入时间(以秒为单位)。 接受的值包括:0、60、300、900、3600 和 14400。 如果屏幕锁定超过此时间,需要输入设备密码才能解锁设备。 适用于运行 iPadOS 13.0 及更高版本,且处于共用的 iPad 模式下的设备。
用户会话注销前的最大不活动秒数:此设置允许的最小值为 30。 如果在定义的时间段后没有任何活动,则用户会话结束并将用户注销。如果将条目留空或将其设置为零 (0) ,则会话永远不会因为处于非活动状态而结束。 适用于运行 iPadOS 14.5 及更高版本,且处于共用的 iPad 模式下的设备。
仅要求共用的 iPad 临时会话:将设备配置为只允许用户查看登录体验的来宾版本,且必须以来宾身份登录。 他们无法使用托管的 Apple ID 登录。 适用于运行 iPadOS 14.5 及更高版本,且处于共用的 iPad 模式下的设备。
设置为 “是”时,此设置将取消以下共享 iPad 设置,因为它们不适用于临时会话:
- 最大缓存用户数
- 屏幕锁定后要求提供密码前的最大分钟数
- 用户会话注销前的最长非活动时间(秒)
临时会话注销前的最大不活动秒数:此设置允许的最小值为 30。 如果在定义的时间段后没有任何活动,则临时会话结束并注销用户。如果将条目留空或将其设置为零 (0) ,则会话永远不会因为处于非活动状态而结束。 适用于运行 iPadOS 14.5 及更高版本,且处于共用的 iPad 模式下的设备。
当仅要求共用的 iPad 临时会话设置为“是”时,此设置可用。
注意
- 如果启用了临时会话,则当用户注销会话时,该用户的所有数据都将被删除。 这意味着,所有目标策略和应用将在用户登录时关闭,并且当用户注销时,系统将清除上述信息。
- 要更改共享 iPad 配置,从而不提供临时会话,将需要完全重置设备,并需要将具有更新配置的新注册配置文件发送到 iPad。
在“与计算机同步”列表中,为使用此配置文件的设备选择一个选项。 如果选择“通过证书允许 Apple Configurator”,则需要在“Apple Configurator 证书”下选择证书。
注意
如果将“与计算机同步”设置为“全部拒绝”,则 iOS 和 iPadOS 设备上的端口将受到限制。 该端口将仅供充电。 它无法使用 iTunes 或 Apple Configurator 2。
如果将“与计算机同步”设置为“通过证书允许 Apple Configurator”,请务必保存证书的本地副本,以供日后使用。 你将无法更改已上传的副本,请务必保留此证书。 如果要从 Mac 设备连接到 iOS/iPadOS 设备,则必须在连接到 iOS/iPadOS 设备的设备上安装相同的证书。
如果在上一步中选择了“通过证书允许 Apple Configurator”,则选择要导入的“Apple Configurator 证书”。 限制为 10 个证书。
对于 Await 最终配置,选项包括:
是:在设置助理结束时启用锁定体验,以确保设备上安装了最关键的设备配置策略。 在主屏幕加载之前,设置助理会暂停并允许Intune 检查设备。 最终用户体验在用户等待最终配置时锁定。
用户保留在“等待最终配置”屏幕上的时间各不相同,具体取决于应用于设备的策略和应用总数。 分配给设备的策略和应用越多,等待时间就越长。 设置助手和Microsoft Intune在安装过程中不会强制实施最短或最长时间限制。 在产品验证期间,我们测试的大多数设备都已发布,并且能够在 15 分钟内访问主屏幕。 如果启用此功能并使用Microsoft之外的人员来帮助你预配设备,请告知他们预配时间增加的可能性。
注意
只有设备配置策略在等待最终配置屏幕期间开始安装,并且应用程序不包括在此屏幕中。
锁定体验适用于面向新注册配置文件和现有注册配置文件的设备。 支持的设备包括:
- 使用新式身份验证使用设置助理注册的 iOS/iPadOS 13+ 设备
- 在没有用户关联的情况下注册的 iOS/iPadOS 13+ 设备
- 使用Microsoft Entra ID共享模式注册的 iOS/iPadOS 13+ 设备
此设置在设置助理中的现装自动设备注册体验期间应用一次。 设备用户不会再次体验它,除非他们重新注册其设备。 是 新注册配置文件的默认设置。
否:无论策略安装状态如何,设备都会在设置助理结束时发布到主屏幕。 设备用户可能能够在安装所有策略之前访问主屏幕或更改设备设置。 否 是现有注册配置文件的默认设置。
await 配置设置在具有以下配置组合的配置文件中不可用:
- 用户相关性:在没有 用户相关性的情况下注册 (本部分中的步骤 6)
- 共享 iPad: 是 (本部分中的步骤 12)
(可选)创建设备名称模板,以快速标识在管理中心分配了此配置文件的设备。 Intune使用模板创建设备名称并设置设备名称的格式。 设备在注册时以及每次连续检查时,都会向设备提供名称。 若要创建模板,请执行以下操作:
在 “应用设备名称模板”下,选择“ 是 ”。
在“ 设备名称模板 ”框中,输入要用于构造设备名称的模板。 模板可以包含设备类型和序列号。 它不能包含超过 63 个字符,包括变量。 例如:
{{DEVICETYPE}}-{{SERIAL}}
可以激活手机网络数据计划。 此设置适用于运行 iOS/iPadOS 13.0 及更高版本的设备。 配置此选项会发送一个命令,用于为已启用 eSim 的手机网络设备激活手机网络数据计划。 运营商必须为设备预配激活,然后才能使用此命令激活数据计划。 若要激活手机网络数据计划,请选择“ 是”,然后输入运营商的激活服务器 URL。
选择“下一步”。
在“设置助手”选项卡上,配置以下配置文件设置:
部门设置 说明 Department 用户在激活过程中轻点“关于配置”时显示。 部门电话 在激活期间中,用户点击“需要帮助”按钮时显示。 在用户设置期间,可以隐藏设备上的设置助理屏幕。 有关所有屏幕的说明,请参阅本文) 中的 设置助手屏幕参考 (。
- 如果选择“ 隐藏”,则设置过程中不会显示屏幕。 设置设备之后,用户仍可以进入“设置”菜单来设置此功能。
- 如果选择“ 显示”,则屏幕在设置过程中显示,但前提是还原后或软件更新后有要完成的步骤。 用户有时可以跳过该屏幕,无需采取任何操作。 他们可以稍后进入设备的“设置”菜单来设置此功能。
- 使用共用的 iPad,无论如何设置配置,激活后都将自动跳过所有“设置助理”窗格。
选择“下一步”。
选择“创建”保存该配置文件。
Microsoft Entra ID中的动态组
可以使用“注册名称”字段在 Microsoft Entra ID 中创建动态组。 有关详细信息,请参阅Microsoft Entra动态组。
可以使用配置文件名称来定义 enrollmentProfileName 参数,以向设备分配此注册配置文件。
在设备设置之前,为了确保快速传递到具有用户相关性的设备,请确保注册用户是Microsoft Entra用户组的成员。
如果向注册配置文件分配动态组,可能会导致在注册后向设备传递应用程序和策略时出现一些延迟。
设置助手屏幕参考
下表描述了自动注册 iOS/iPadOS 设备期间显示的“设置助理”屏幕。 注册期间,可以在受支持的设备上显示或隐藏这些屏幕。 有关每个设置助理屏幕如何影响用户体验的详细信息,请参阅以下 Apple 资源:
“设置助理”屏幕 | 可见时会发生什么情况 |
---|---|
密码 | 向用户显示“密码和密码锁定”窗格,并提示用户输入密码。 始终要求对不安全的设备使用密码,除非以某种其他方式控制访问权限, (例如,通过展台模式配置将设备限制为一个应用) 。 此屏幕适用于 iOS/iPadOS 7.0 及更高版本,但存在一些限制。 有关详细信息,请参阅本文中的 限制 。 |
位置服务 | 显示“定位服务设置”窗格,用户可以在其中在其设备上启用定位服务。 适用于 iOS/iPadOS 7.0 及更高版本。 |
还原 | 显示“应用和数据设置”窗格。 在此屏幕上,设置设备的用户可以从 iCloud 备份还原或传输数据。 适用于 iOS/iPadOS 7.0 及更高版本。 |
Apple ID | 显示 Apple ID 设置窗格,该窗格为用户提供了使用其 Apple ID 登录和使用 iCloud 的选项。 适用于 iOS/iPadOS 7.0 及更高版本。 |
条款和条件 | 显示 Apple 条款和条件窗格,并要求用户接受它们。 适用于 iOS/iPadOS 7.0 及更高版本。 |
Touch ID 和 Face ID | 显示生物识别设置窗格,用户可以选择在其设备上设置指纹或面部识别。 对于 iOS/iPadOS 8.1 及更高版本,存在一些限制。 有关详细信息,请参阅本文中的 限制 。 |
Apple Pay | 显示 Apple Pay 设置窗格,用户可以选择在其设备上设置 Apple Pay。 适用于 iOS/iPadOS 7.0 及更高版本。 |
缩放 | 显示缩放设置窗格,该窗格为用户提供了配置缩放设置的选项。 适用于 iOS/iPadOS 8.3 及更高版本,在 iOS/iPadOS 17 中已弃用。 |
Siri | 向用户显示“Siri 设置”窗格。 适用于 iOS/iPadOS 7.0 及更高版本。 |
诊断数据 | 显示“诊断”窗格,用户可以在其中选择将诊断数据发送到 Apple。 适用于 iOS/iPadOS 7.0 及更高版本。 |
显示色调 | 显示显示音设置窗格,用户可以在其中配置显示器的白平衡设置。 对于 iOS/iPadOS 9.3.2 及更高版本,在 iOS/iPadOS 15 中已弃用。 |
隐私 | 向用户显示隐私设置窗格。 适用于 iOS/iPadOS 11.3 及更高版本。 |
Android 迁移 | 显示适用于以前的 Android 用户的设置窗格。 在此屏幕上,用户可以从 Android 设备迁移数据。 适用于 iOS/iPadOS 9.0 及更高版本。 |
iMessage 和 FaceTime | 显示 iMessage 和 FaceTime 的设置窗格。 适用于 iOS/iPadOS 9.0 及更高版本。 |
载入 | 显示用户教育的载入信息屏幕,例如封面和多任务和控制中心。 适用于 iOS/iPadOS 11.0 及更高版本。 |
屏幕时间 | 显示“屏幕时间”屏幕。 适用于 iOS/iPadOS 12.0 及更高版本。 |
SIM 设置 | 显示手机网络设置窗格,用户可以在其中添加手机网络计划。 适用于 iOS/iPadOS 12.0 及更高版本。 |
软件更新 | 显示必需软件更新屏幕。 适用于 iOS/iPadOS 12.0 及更高版本。 |
监视迁移 | 显示 Apple Watch 迁移窗格,用户可以从 Apple Watch 迁移数据。 适用于 iOS/iPadOS 11.0 及更高版本。 |
外观 | 显示外观设置窗格。 适用于 iOS/iPadOS 13.0 及更高版本。 |
设备间迁移 | 显示“设备到设备的迁移”窗格。 在此屏幕上,用户可以将数据从旧设备传输到其当前设备。 直接从设备传输数据的选项不适用于运行 iOS 13 或更高版本的设备。 |
还原已完成 | 在“设置助手”期间执行备份和还原后,向用户显示“还原已完成”屏幕。 |
软件更新已完成 | 向用户显示设置助理期间发生的所有软件更新。 |
入门 | 向用户显示“入门”欢迎屏幕。 |
地址条款 | 显示“地址”窗格的术语,该窗格为用户提供了选择在整个系统中要处理的方式的选项:女性化、男性化或中性。 此 Apple 功能适用于部分语言。 有关详细信息,请参阅打开 Apple 网站) (关键功能和增强功能 。 适用于 iOS/iPadOS 16.0 及更高版本。 |
紧急 SOS | 显示“安全设置”窗格。 适用于 iOS/iPadOS 16.0 及更高版本。 |
“操作”按钮 | 显示操作按钮的配置窗格。 适用于 iOS/iPadOS 17.0 及更高版本。 |
智能 | 显示 Apple Intelligence 设置窗格,用户可以在其中配置 Apple Intelligence 功能。 适用于 iOS/iPadOS 18.0 及更高版本。 |
同步托管设备
Intune 已拥有管理设备的权限,现在可以将 Intune 与 Apple 同步,以在 Azure 门户的 Intune 中查看托管设备。
在Microsoft Intune管理中心,转到“设备>注册”。
选择“ Apple ”选项卡。
选择 “注册计划令牌”。
在列表中选择令牌,然后选择“ 设备>同步”。
为了遵守 Apple 有关可接受注册计划流量的条款,Intune 规定了以下限制:
- 每七天只能运行一次完全同步。 完全同步时,Intune 会提取分配给连接到 Intune 的 Apple MDM 服务器的完整更新序列号列表。
重要
如果设备已从 Intune 中删除,但仍分配给 ASM/ABM 门户中的 ADE 注册令牌,则在下一次完全同步时,它将重新出现在 Intune 中。如果不希望设备在 Intune 中重新出现,请从 ABM/ASM 门户中的 Apple MDM 服务器将其取消分配。
- 如果从 ABM/ASM 中释放了某个设备,那么最多可能需要 45 天,才能自动从 Intune 中的“设备”页中删除该设备。 如果需要,可以手动从 Intune 中依次删除已释放的设备。 已发布的设备被准确报告为在 Intune 中从 ABM/ASM 中删除,直到它们在 30-45 天内自动删除。
- 每 12 小时自动运行一次 delta 同步。 用户也可通过选择“同步”按钮(不能超过 15 分钟一次)来触发 delta 同步。 所有同步请求都有 15 分钟才能完成。 同步按钮将变为非活动状态,直到同步完成。 同步会刷新现有设备状态,并导入分配给 Apple MDM 服务器的新设备。 如果增量同步因任何原因失败,则下一次同步是完全同步,可以解决任何问题。
- 每七天只能运行一次完全同步。 完全同步时,Intune 会提取分配给连接到 Intune 的 Apple MDM 服务器的完整更新序列号列表。
将注册配置文件分配到设备
在注册设备之前,需要为其分配注册配置文件。
注意
还可从“Apple 序列号”窗格将序列号分配给配置文件。
- 在Microsoft Intune管理中心,转到“设备>注册”。
- 选择“ Apple ”选项卡。
- 选择 “注册计划令牌”。
- 选择注册令牌。
- 选择“设备”。
- 选择要分配的所有设备,然后选择“ 分配配置文件”。
- 在 “分配配置文件”下,选择为设备创建的自动设备注册配置文件,然后选择“ 分配”。
分配默认配置文件
可以选择一个默认配置文件,以将其应用于所有使用特定令牌注册的设备。
- 在管理中心中,返回到 “注册计划令牌”。
- 选择注册令牌。
- 选择“ 设置默认配置文件”。
- 在列表中选择配置文件,然后选择“ 保存”。 在此处,Intune将配置文件应用于使用所选注册令牌注册的所有设备。
注意
确保“注册限制”下的“设备类型限制”未设置默认的“所有用户”策略来阻止 iOS/iPadOS 平台。 无论用户证明如何,此设置都将导致自动注册失败,你的设备将显示为“配置文件无效”。 若要仅允许公司管理的设备进行注册,请仅阻止个人拥有的设备,这将允许公司设备进行注册。 Microsoft 将公司设备定义为通过设备注册计划注册的,或在“公司设备标识符”下手动输入的设备。
分发设备
你已在 Apple 与 Intune 之间启用管理和同步功能,还分配了一个配置文件,以便 ADE 设备可以注册。 现在,你可将设备分发给用户。 需要了解的事项:
若要使用注册了用户相关性的设备,用户必须分配Intune许可证。
已注册但未关联用户的设备通常没有任何关联用户。 这些设备必须具有 Intune 设备许可证。 如果Intune许可的用户使用没有用户相关性的设备,则不需要设备许可证。
总之,如果设备有用户,则该用户需要分配有 Intune 许可证。 如果设备没有 Intune 授权用户,则该设备需要具有 Intune 设备许可证。
有关 Intune 许可的详细信息,请参阅 Microsoft Intune 许可和 Intune 规划指南。
必须先擦除已激活的设备,然后才能使用自动设备注册正确注册。 擦除它后,但在再次激活它之前,可以应用注册配置文件。 请参阅设置现有 iPhone、iPad 或 iPod touch
如果使用 ADE 进行注册且关联了用户,则在安装过程中可能会发生以下错误:
The SCEP server returned an invalid response.
可以通过在 15 分钟内再次尝试下载管理来解决此错误。 15 分钟后,必须恢复设备出厂设置才能解决错误。 发生此错误的原因是 SCEP 证书有 15 分钟的时间限制,这是为了安全而强制执行的。
若要了解最终用户体验,请参阅使用 ADE 在 Intune 中注册 iOS/iPadOS 设备。
重新注册设备
完成这些步骤以重新注册已完成自动设备注册的设备。
- 有两个选项可用于重置设备:
- 在Microsoft Intune管理中心内擦除设备。
- 在管理中心停用设备,然后使用“设置”应用、Apple Configurator 2 或 iTunes 将设备重置为出厂设置。
- 打开设备并按照设置助理中的屏幕步骤检索远程管理配置文件。
续订自动设备注册令牌
请务必每年续订注册计划令牌。 Intune管理中心显示到期日期。
- 如果在 Apple Business Manager 中设置令牌的用户的 Apple ID 密码发生更改,请在 Intune 和 Apple Business Manager 中续订注册计划令牌。
- 如果在 Apple Business Manager 中设置令牌的用户离开组织,请在 Intune 和 Apple Business Manager 中续订注册计划令牌。
- 更改用于创建 ADE 令牌的 Apple ID 时,更改不会影响当前使用该令牌注册的设备,直到设备重新注册。 此行为与用于租户的 Apple 推送通知服务 (APNS) 证书不同。 可以在 Apple 支持部门的帮助下更改 APNS 证书。 否则,若要进行更改,所有设备都必须重新注册。
续订令牌
转到 business.apple.com,然后使用角色为“管理员”或“设备注册管理员”的帐户登录。
选择“设置”。 在“MDM 服务器”下,选择与想要续订的令牌文件相关的 MDM 服务器。 选择“ 下载令牌”。
选择“下载服务器令牌”。
注意
如提示中所示,如果不想续订令牌,请勿选择“下载服务器令牌”。 否则会使 Intune(或任何其他 MDM 解决方案)所使用的令牌失效。 如果已下载了令牌,请确保在续订令牌之前继续执行后续步骤。
下载令牌后,请转到Microsoft Intune管理中心。
选择 “设备>注册”。
选择 “注册计划令牌”。
选择该令牌。
选择“续订令牌”。 输入用于创建原始令牌的 Apple ID ((如果尚未填写) ):
上传新下载的令牌。
选择“下一步”,转到“作用域标记”页面。 如果需要,分配作用域标记。
选择“续订令牌”。 等待确认令牌续订完成。
从 Intune 中删除自动设备注册令牌
只要满足以下条件,即可从 Intune 中删除注册配置文件令牌:
- 未向令牌分配任何设备。
- 未向默认配置文件分配任何设备。
- 该令牌下没有注册配置文件。
删除注册配置文件令牌:
- 在Microsoft Intune管理中心,转到“设备>注册”。
- 选择“ Apple ”选项卡。
- 选择 注册计划令牌
- 选择令牌,再选择“设备”。
- 删除向令牌分配的所有设备。
- 返回到 注册计划令牌。 选择令牌,再选择“配置文件”。
- 如果存在默认配置文件或任何其他注册配置文件,则必须将其全部删除。
- 返回到 注册计划令牌。 选择令牌,再选择“删除”。
限制
这些设置助理屏幕在运行 iOS/iPadOS 14.5 及更高版本的设备上无法正常工作:
- 密码
- Touch ID 和 Face ID
隐藏运行 iOS/iPadOS 14.5 及更高版本的设备上的两个屏幕。 如果想要在这些设备上要求使用密码,请创建设备配置策略或具有密码要求的符合性策略。 用户注册并收到策略后,密码要求将启动。
后续步骤
有关设备用户要求的概述,请参阅 ADE 最终用户任务。