为 macOS 设置自动设备注册 (ADE)

在 Intune中为通过 Apple 注册计划购买的新 Mac 或擦除 Mac 设置自动设备注册,例如 Apple Business Manager 或 Apple School Manager。 使用此方法时,无需将设备与你一起配置它们。 Intune自动与 Apple 同步,以便从注册计划帐户获取设备信息,并通过无线方式将预配置的注册配置文件部署到 Mac。 准备好的设备可以直接寄送给员工或学生。 当有人打开 Mac 时,设置助理和设备注册将开始。

本文介绍如何为公司拥有的 Mac 设置自动设备注册配置文件。

注意

无论你使用的是 Apple Business Manager 还是 Apple School Manager,本文中的步骤都是相同的。 为简洁起见,我们仅在本文的步骤中引用 Apple Business Manager ,除非需要说明。

证书

此注册类型支持自动证书管理环境 (ACME) 协议。 新设备注册时,Intune的管理配置文件会收到 ACME 证书。 与 SCEP 协议相比,ACME 协议通过可靠的验证机制和自动化流程提供更好的保护,防止未经授权的证书颁发,有助于减少证书管理中的错误。

已注册的设备不会获得 ACME 证书,除非它们重新注册到Microsoft Intune。 运行 macOS 13.1 及更高版本的设备支持 ACME。

限制

设备注册管理器帐户不支持通过 Apple Business Manager 和 Apple School Manager 进行自动 设备注册

先决条件

需要访问 Apple School ManagerApple Business Manager 。 您还必须具有通过 Apple 购买的设备序列号列表或采购订单编号。

在开始之前,请确保以下任务已完成:

创建注册计划令牌

本部分介绍如何在 Intune 中创建注册计划令牌。 注册计划令牌 (有时称为自动设备注册令牌,) 是自动设备注册的必要组件。 它支持Intune与所选 Apple 注册计划之间的通信和设备管理功能。 它允许Intune从 Apple Business Manager 或 Apple School Manager 帐户同步信息,并将配置文件应用到设备。

步骤 1:下载 Intune 公钥证书

需要公钥证书才能从 Apple Business Manager 请求信任关系证书。

  1. Microsoft Intune管理中心,转到“设备>注册”。
  2. 选择“ Apple ”选项卡。
  3. “批量注册方法”下,选择“ 注册计划令牌”。
  4. 选择“添加”。
  5. 选择“ 我同意 授予Microsoft将用户和设备信息发送到 Apple 的权限。
  6. 选择“ 下载公钥 ”,并将密钥保存为本地 PEM 文件。 该密钥将用于在下一步中获取 MDM 服务器令牌。

步骤 2:添加 MDM 服务器并下载服务器令牌

将移动设备管理 (MDM) 服务器添加到 Apple Business Manager Intune,然后为其下载服务器令牌。

  1. 在管理中心,选择与使用的 Apple 门户对应的链接。 选项包括:

    • 通过 Apple Business Manager 创建令牌
    • 通过 Apple School Manager 创建令牌

    所选门户将在新的浏览器选项卡中打开。可以安全地切换到新选项卡,但使选项卡保持打开状态,Microsoft Intune供以后使用。

  2. 使用公司 Apple ID 登录到 Apple 门户。 请记住,此 ID 是你和你的组织今后必须用来续订和管理令牌的 Apple ID,因此不要使用个人 ID。

  3. 转到帐户配置文件 >首选项

  4. 转到 MDM 服务器分配。

  5. 选择要添加 MDM 服务器的选项。

  6. 命名 MDM 服务器。 名称仅在 Apple Business Manager 中用于标识,不一定是Microsoft Intune服务器的实际名称或 URL。

  7. 上传公钥文件,然后保存更改。

  8. 下载服务器令牌 (.p7m 文件) 。

步骤 3:将设备分配到 MDM 服务器

(可选)在 Apple Business Manager 中创建 MDM 服务器后,可以开始向其分配设备。 建议立即分配它们,因为你已使用 Apple Business Manager,但如果你尚未准备好,可以稍后回来。 可以使用 筛选器批量分配 等可用功能来简化分配选择。 有关详细信息和步骤,请参阅 在 Apple Business Manager 中分配、重新分配或取消分配设备 (打开 Apple Business Manager 用户指南) 。

步骤 4:保存 Apple ID

返回到 管理中心 ,输入用于下载服务器令牌的 Apple ID。 此 ID 是每年续订令牌所需的 Apple ID。 确保将来Intune管理员知道使用的 Apple ID,以防你离开组织,需要将令牌管理转移到他们。

突出显示“添加注册计划令牌”窗格中的 Apple ID 字段的屏幕截图。

步骤 5:上传服务器令牌并完成

将服务器令牌文件上传到Intune以完成注册计划令牌的创建。

  1. 返回到管理中心 >Apple 令牌 字段。 浏览到设备上的服务器令牌 (.p7m 文件) 。
  2. 选择 “打开”,然后选择“ 创建”。

Intune将自动连接到 Apple Business Manager,以从注册计划帐户同步设备信息。 有关如何手动同步令牌的信息,请参阅本文) 同步 托管设备 (。

创建 Apple 注册配置文件

在管理中心创建自动设备注册配置文件。 配置文件定义组织的 Mac 设备的注册体验,并在注册设备上强制实施注册策略和设置。 配置文件将部署到无线分配的设备。

此过程结束时,可以将此配置文件分配给Microsoft Entra设备组。

重要

若要创建配置文件,必须在 Intune 中设置注册计划令牌。 如果尚未执行此操作,请参阅本文开头的 创建注册计划令牌

  1. 管理中心,转到 “设备>注册”。

  2. 选择“ Apple ”选项卡。

  3. “批量注册方法”下,选择“ 注册计划令牌”。

  4. 选择注册计划令牌。

  5. 选择 “配置文件>”“创建配置文件>macOS”。

    “创建配置文件”的屏幕截图。

    重要

    在设备变为活动状态之前,必须将注册策略分配给设备。 建议尽快设置默认注册策略,以便在设备从 Apple Business Manager 或 Apple School Manager 同步后启用后,它们可以通过自动设备注册正确注册。 如果从 Apple 同步的设备未分配注册策略,并且有人打开它进行设置,则注册将失败。

  6. 对于 “基本信息”,请输入配置文件的名称和说明,以便将其与其他注册配置文件区分开来。 设备用户看不到这些详细信息。

    提示

    可以使用名称字段在 Microsoft Entra ID 中创建动态组,并自动将设备分配到注册配置文件。 使用配置文件名称定义 enrollmentProfileName 参数。 有关详细信息,请参阅Microsoft Entra动态组

  7. 选择 下一步

  8. “管理设置” 页上,配置 “用户相关性”。 用户相关性 确定设备是使用分配的用户注册还是没有分配的用户。 选项包括:

    • 在没有用户关联的情况下注册:注册未与单个用户关联的设备。 对于不需要访问本地用户数据的共享设备和设备,请选择此选项。 公司门户应用不适用于这些类型的设备。

    • 使用用户相关性注册:注册与已分配用户关联的设备。 对于属于用户的工作设备,如果希望要求用户具有公司门户应用来安装应用,请选择此选项。 此选项提供多重身份验证 (MFA) 。

      选项 2 需要更多配置。 用户必须在注册前对自身进行身份验证,以确认其身份。 选择以下身份验证方法之一:

      • 使用新式身份验证的设置助手:此方法要求用户完成所有设置助理屏幕,并使用其Microsoft Entra凭据登录到公司门户应用,然后才能访问资源。 登录到公司门户后,设备会:

        • 向 Microsoft Entra ID 注册。
        • 添加到 Microsoft Entra ID 中的用户设备记录。
        • 可以评估设备符合性。
        • 获取对受条件访问保护的资源的访问权限。

        如果用户未登录到公司门户以完成注册,则每次尝试打开具有条件访问保护的托管应用时,他们都会重定向到 公司门户 应用。

        运行 macOS 10.15 及更高版本的设备可以使用此方法。 较旧的 macOS 设备回退到使用旧版设置助手方法。 有关如何向 Mac 用户获取 公司门户 应用的详细信息,请参阅为 macOS 应用添加公司门户

      • 设置助理 (旧版) :如果希望用户体验 Apple 产品的典型现用体验,请使用旧版设置助手。 当设备注册到Intune管理时,此方法将安装标准预配置设置。 如果使用的是 Active Directory 联合身份验证服务,且使用设置助理进行身份验证,则需要 WS-Trust 1.3 用户名/混合终结点。 有关检索 ADFS 终结点的详细信息,请参阅 [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint?view=win10-ps&preserve-view=true) 。

  9. Await 最终配置 可在设置助理结束时启用锁定体验,以确保在设备上安装最关键的设备配置策略。 此设置在设置助理中的现装 Apple 自动设备注册体验期间应用一次。 设备用户不会再次体验它,除非他们重新注册其 Mac。

    选项包括:

    • 是:在主屏幕加载之前,设置助理会暂停并允许Intune 检查设备。 最终用户体验在用户等待最终配置时锁定。 此选项是新注册配置文件的默认配置。

    • :无论策略安装状态如何,设备都会在设置助理结束时发布到主屏幕。 设备用户可能能够在安装所有策略之前访问主屏幕或更改设备设置。 此选项是现有注册配置文件的默认配置。

    用户在“等待最终配置”屏幕上保留的时间会有所不同,具体取决于分配给设备的策略和应用总数。 用户可以在等待时看到在设置助理中下载的设备配置文件。 分配的策略和应用越多,等待时间就越长。 设置助手和Intune在设置过程中不会强制实施最短或最长时间限制。 在产品验证期间,我们测试的大多数设备都已发布,并且能够在 15 分钟内访问主屏幕。 如果启用此功能并使用Microsoft合作伙伴或非Microsoft服务来帮助你预配设备,请告知他们预配时间增加的可能性。

    运行 macOS 10.11 或更高版本的 Mac 支持锁定体验。 它适用于面向以下方案设置的新注册配置文件或现有注册配置文件的 Mac:

    • 通过具有新式身份验证的设置助手进行注册
    • 使用设置助理 (旧版) 进行注册
    • 没有用户设备相关性的注册
  10. 可以强制实施锁定注册,以防止用户从Intune取消注册其设备。 选择“ ”以禁用“系统首选项”和“终端”中允许用户删除管理配置文件的 Mac 设置。 设备注册后,如果不擦除设备,就无法更改此设置。

  11. 选择 下一步

  12. (可选)在 “帐户设置” 页上,可以在目标 Mac 上配置本地主帐户。

    管理中心的图像,其中显示了 macOS 自动设备注册配置文件中的新帐户设置部分。

    运行 macOS 10.11 或更高版本的设备上支持这些设置。 配置主帐户时请记住,此帐户将是 管理员 帐户。 拥有至少一个管理员帐户是 Mac 设置要求。

    选项包括:

    • 创建本地主帐户:选择“ ”,为目标 Mac 配置本地主帐户设置。 选择“ 未配置 ”以跳过所有帐户设置配置。
    • 预填充帐户信息:默认配置 “未配置”要求设备用户在设置助理中输入其帐户用户名和全名。 若要改为预填充帐户信息,请选择“ ”。 然后输入主帐户名称和全名:
      • 主帐户名称:输入帐户的用户名。 {{partialupn}}帐户名称支持的令牌变量。
      • 主帐户全名:输入帐户的完整名称。 {{username}}全名支持的令牌变量。
    • 限制编辑:默认配置设置为 “是 ”,以便设备用户无法编辑为其配置的帐户名称和全名。 若要允许设备用户编辑帐户名称和全名,请选择“ 未配置”。 如果仅使用设置助理 (旧版) 来注册运行 macOS 10.15 及更高版本的设备,则可以期待以下最终用户体验:
      • :设置助理中的帐户创建屏幕永远不会显示。 而是根据其他设置配置自动创建本地主帐户,并从Microsoft Entra身份验证屏幕自动填充密码。 设备用户无法编辑这些字段。
      • 未配置:本地主帐户屏幕在设置助理中向最终用户显示,并填充了配置的帐户值以及Microsoft Entra身份验证屏幕中的密码。 设备用户可以在设置助理期间编辑这些字段。

    若要使帐户设置按预期工作,注册配置文件必须具有以下配置:

    • 用户相关性:选择“ 注册用户关联”。
    • 身份验证方法:选择 具有新式身份验证的设置助理设置助手 (旧版)
    • 等待最终配置:选择“ ”。

    本地帐户在创建时依赖于 await 最终配置 功能。 因此,如果配置任何本地主帐户设置,则始终启用此设置。 即使未触摸 await 最终配置 设置,也会在后台启用它,并将其应用于注册配置文件。

  13. 选择 下一步

  14. “设置助理” 页上,配置“设置助理”体验。

    1. 输入部门信息,以便用户知道要联系谁以获取支持:
      • 部门名称:当设备用户在激活期间选择“ 关于配置” 时,将显示此名称。
      • 部门电话:当设备用户在激活期间选择“ 需要帮助” 时,会显示此电话号码。
    2. 选择要在设备设置过程中显示或隐藏的设置助理屏幕。 有关所有屏幕的说明,请参阅本文) 中的 设置助手屏幕参考 (。 选项包括:
      • 隐藏:在设备设置期间,屏幕不会向用户显示。 设备设置后,用户可以转到其设备设置来设置该功能。
      • 显示:屏幕在设备设置期间向用户显示。 用户仍然可以跳过不需要立即操作的屏幕。 设备设置后,用户可以转到其设备设置来设置该功能。
  15. 选择 下一步

  16. 查看更改摘要,然后选择“ 创建 ”以完成配置文件的创建。

设置助手屏幕参考

下表描述了 Mac 自动设备注册期间显示的“设置助理”屏幕。 注册期间,可以在受支持的设备上显示或隐藏这些屏幕。 有关每个设置助理屏幕如何影响用户体验的详细信息,请参阅以下 Apple 资源:

“设置助理”屏幕 可见时会发生什么情况
位置服务 显示“定位服务设置”窗格,用户可以在其中在其设备上启用定位服务。 适用于 macOS 10.11 及更高版本。
还原 显示“应用和数据设置”窗格。 在此屏幕上,设置设备的用户可以从 iCloud 备份还原或传输数据。 适用于 macOS 10.9 及更高版本。
Apple ID 显示 Apple ID 设置窗格,该窗格为用户提供了使用其 Apple ID 登录和使用 iCloud 的选项。 适用于 macOS 10.9 及更高版本。
条款和条件 显示 Apple 条款和条件窗格,并要求用户接受它们。 适用于 macOS 10.9 及更高版本。
Touch ID 和 Face ID 显示生物识别设置窗格,用户可以选择在其设备上设置指纹或面部识别。 适用于 macOS 10.12.4 及更高版本。
Apple Pay 显示 Apple Pay 设置窗格,用户可以选择在其设备上设置 Apple Pay。 适用于 macOS 10.12.4 及更高版本。
Siri 向用户显示“Siri 设置”窗格。 适用于 macOS 10.12 及更高版本。
诊断数据 显示“诊断”窗格,用户可以在其中选择将诊断数据发送到 Apple。 适用于 macOS 10.9 及更高版本。
显示色调 显示显示音调的设置窗格。 此屏幕为用户提供了打开真实色调显示的选项。 适用于 macOS 10.13.6 及更高版本。
FileVault 向用户显示 FileVault 2 加密屏幕。 适用于 macOS 10.10 及更高版本。
iCloud 诊断 向用户显示 iCloud Analytics 屏幕。 适用于 macOS 10.12.4 及更高版本。
注册 向用户显示注册屏幕。 适用于 macOS 10.9 及更高版本。
iCloud 存储 向用户显示 iCloud 文档和桌面屏幕。 适用于 macOS 10.13.4 及更高版本。
外观 显示外观窗格,用户可以在其中选择外观模式。 适用于 macOS 10.14 及更高版本。
屏幕时间 显示 macOS 屏幕时间设置窗格、用户可以启用的功能来深入了解屏幕时间以及应用和网站活动。 适用于 macOS 10.15 及更高版本。
隐私 向用户显示隐私设置窗格。 适用于 macOS 10.13.4 及更高版本。
辅助功能 向用户显示辅助功能设置屏幕。 如果此屏幕处于隐藏状态,则用户无法使用 macOS Voice Over 功能。 仅在符合以下条件的设备上支持“画外音”:
- 运行 macOS 11。
- 使用以太网连接到 Internet。
- 在 Apple School Manager 或 Apple Business Manager 中具有序列号。
使用 Apple Watch 自动解除锁定 显示“使用 Apple Watch 解锁 macOS”窗格,用户可以在其中配置其 Apple Watch 以解锁其 Mac。 适用于 macOS 12.0 及更高版本。
地址条款 显示“地址”窗格的术语,该窗格为用户提供了选择在整个系统中要处理的方式的选项:女性化、男性化或中性。 此 Apple 功能适用于部分语言。 有关详细信息,请参阅 在 Mac 上更改语言 & 区域设置 (打开 Apple 网站) 。 适用于 macOS 13.0 及更高版本。
壁纸 显示设备完成软件升级后的 macOS Sonoma 壁纸设置窗格。 如果隐藏此屏幕,设备将获得默认的 macOS Sonoma 壁纸。 对于 macOS 14.1 及更高版本。
锁定模式 向设置了 Apple ID 的用户显示锁定模式设置窗格。 适用于 macOS 14.0 及更高版本。
智能 显示 Apple Intelligence 设置窗格,用户可以在其中配置 Apple Intelligence 功能。 适用于 macOS 15.0 及更高版本。

同步托管设备

同步会刷新现有设备状态,并导入分配给 Apple MDM 服务器的新设备。 若要查看所有关联的 Apple 设备和设备信息,请在管理中心同步注册计划令牌。

  1. 返回到 注册计划令牌 并选择注册计划令牌。

  2. 选择“ 设备>同步”。

    管理中心中注册计划令牌区域的屏幕截图,其中突出显示了示例令牌、“设备”链接和“同步”按钮。

同步限制

为了遵守 Apple 关于可接受的注册计划流量的条款,Microsoft Intune施加以下限制:

  • 完全同步每七天最多可以运行一次。 在完全同步期间,Intune获取分配给连接的 Apple MDM 服务器的最新更新序列号列表。 如果在 Apple Business Manager 或 Apple School Manager 中的 MDM 服务器中未取消分配设备的情况下从 Intune 中删除设备,则在完全同步运行之前,设备不会重新导入到Intune。
  • 如果某个设备从任一 Apple 注册计划中释放,则最多可能需要 45 天才能从 Intune 中的“设备”页中删除该设备。 如果需要,可以逐个手动删除Intune中已发布的设备。 Intune报告发布的设备被从 Apple Business Manager 或 Apple School Manager 中删除,直到这些设备在 30-45 天内自动删除。
  • 每 24 小时自动运行一次同步。 每 15 分钟可以启动一次同步。 所有同步请求都在 15 分钟内完成。 同步按钮将变为非活动状态,直到同步完成。

将注册配置文件分配到设备

将注册配置文件分配给 Apple 设备。

  1. 返回到 “注册计划令牌 ”并选择一个令牌。
  2. 选择“设备”。
  3. 从列表中选择设备,然后选择“ 分配配置文件”。
  4. 选择要分配的配置文件,然后选择“ 分配”。

(可选)可以选择默认注册配置文件。 默认配置文件将部署到与令牌关联的所有注册设备。

  1. 返回到 “注册计划令牌 ”并选择一个令牌。
  2. 选择“ 设置默认配置文件”。
  3. 选择配置文件,然后选择“ 保存”。

分发设备

重要

必须与具有用户相关性的设备关联的用户分配Intune许可证。 没有用户关联的设备需要设备许可证。

在整个组织中分发准备好的设备。

  • 新 Mac 或已擦除 Mac:在 Apple Business Manager 或 Apple School Manager 中配置的新 Mac 或已擦除 Mac 在设置助理期间,当有人打开设备时,会自动在 Microsoft Intune中注册。 如果将设备分配到具有用户相关性的 macOS 注册配置文件,则设备用户必须在完成设置助理后登录到公司门户才能完成Microsoft Entra注册和条件访问要求。

  • 现有 Mac:可以注册已通过设置助理的设备。 完成这些步骤以注册运行 macOS 10.13 及更高版本的公司拥有的 Mac。

    1. 确保:

      • 设备将导入 Apple Business Manager 或 Apple School Manager。
      • 在管理中心为设备分配了 macOS 注册配置文件。
    2. 使用本地管理员帐户登录到设备。

    3. 若要触发注册,请从“ 主页 ”打开“ 终端”,并运行以下命令:

      sudo profiles renew -type enrollment

    4. 输入本地管理员帐户的设备密码。

    5. “设备注册”上,选择“ 详细信息”。

    6. “系统首选项”上,选择“ 配置文件”。

    7. 按照屏幕上的提示下载Microsoft Intune管理配置文件、证书和策略。

      提示

      你可以随时通过返回到“系统首选项配置文件”>来确认设备上有哪些配置文件

    8. 如果将设备分配到具有用户相关性的 macOS 注册配置文件,请登录到 公司门户 应用以完成Microsoft Entra注册和条件访问要求,然后完成注册。

续订注册计划令牌

完成这些步骤以续订即将过期的服务器令牌。 此过程可确保Intune中关联的注册计划令牌保持活动状态。

  1. 登录到 Apple Business Manager 或 Apple School Manager,然后按照以下步骤下载新的 MDM 服务器令牌:
  2. 管理中心,转到 “设备>注册”。
  3. 选择“ Apple ”选项卡。
  4. “批量注册方法”下,选择“ 注册计划令牌”。
  5. 选择要续订的注册计划令牌。
  6. 选择“ 续订令牌 ”,然后输入用于创建原始令牌的 Apple ID。
  7. 上传新令牌。
  8. 选择 下一步。 如果需要,此时可以更新范围标记。 否则,请继续 查看 + 创建
  9. 选择“ 创建 ”以保存更改。

后续步骤

使用Microsoft Intune远程操作远程管理已注册的 Mac。