共用方式為


針對 iOS/iPadOS 設定 ADE) (自動裝置註冊

適用於 iOS/iPadOS

透過 Apple Business Manager 或 Apple School Manager 購買的公司擁有裝置,可以透過自動裝置註冊在 Intune 中註冊。 此註冊選項會從 Apple Business Manager 和 Apple School Manager 套用貴組織的設定,並在不需要觸控裝置的情況下註冊裝置。 iPhone 和 iPad 可以直接寄送給員工和學生。 當他們開啟裝置時,Apple 設定助理會引導他們完成安裝和註冊。

本文說明如何在 Microsoft Intune 中準備和設定自動化裝置註冊。

功能概觀

下表顯示自動化裝置註冊所支援的功能和案例。

功能 使用此註冊選項的時機
您想要受監督模式。 ✔️

受監督模式會部署軟體更新、限制功能、允許和封鎖應用程式等等。
裝置是由組織或學校所擁有。 ✔️
您有新的裝置。 ✔️
需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 ✔️
裝置會與單一使用者相關聯。 ✔️
裝置是無使用者的,例如 kiosk 或專用裝置。 ✔️
裝置處於共用裝置模式。 ✔️
裝置是個人或攜帶您自己的 (BYOD) 。

不建議。 BYOD 或個人裝置上的應用程式可以使用 MAM使用者和裝置註冊來管理
裝置是由另一個 MDM 提供者管理。

如果您想要在 Intune 中完全管理裝置,用戶必須從目前的 MDM 提供者取消註冊,然後註冊 Intune。 或者,您可以使用 MAM 來管理裝置上的特定應用程式。 由於這些裝置是由組織所擁有,因此建議您在 Intune 中註冊這些裝置。
您可以使用裝置註冊管理員 (DEM) 帳戶。

不支援 DEM 帳戶。

憑證

此註冊類型支援自動化憑證管理環境 (ACME) 通訊協定。 當新裝置註冊時,來自 Intune的管理配置檔會收到 ACME 憑證。 ACME 通訊協定可透過健全的驗證機制和自動化程式,提供比 SCEP 通訊協定更好的保護來防止未經授權的憑證發行,這有助於減少憑證管理中的錯誤。

已註冊的裝置除非重新註冊到 Microsoft Intune,否則不會取得 ACME 憑證。 執行下列動作的裝置支援 ACME:

  • iOS 16.0 或更新版本

  • iPadOS 16.1 或更新版本

必要條件

建立註冊設定檔之前,您必須具備:

開始之前

請閱讀這些註冊需求和最佳做法,以準備成功安裝和部署。

選擇驗證方法

在您建立註冊配置檔之前,請決定使用者要如何在其裝置上進行驗證:透過 Intune 公司入口網站 應用程式、設定助理 (舊版) ,或使用新式驗證設定助理。 使用 公司入口網站 應用程式或設定助理搭配新式驗證,被視為新式驗證,並具有多重要素驗證等功能。

Intune 也支援使用新式驗證之設定助理的 Just-In-Time 註冊 (JIT 註冊) ,這樣就不需要 公司入口網站 應用程式 Microsoft Entra 註冊與合規性。 若要使用 JIT 註冊,您必須先建立裝置設定原則, 才能 建立 Apple 註冊設定檔,並使用新式驗證設定設定助理。

在執行 iOS/iPadOS 13.0 和更新版本的裝置上,支援使用新式驗證的設定助理。 指定此配置檔的較舊 iOS/iPadOS 裝置會改為使用設定助理 (舊版) 進行驗證。

如需驗證選項的詳細資訊,請參閱 自動化裝置註冊的驗證方法

什麼是受監督模式?

受監督模式可讓您更充分掌控公司擁有的裝置,因此您可以執行區塊螢幕擷取和限制 AirDrop 等動作。

執行 iOS/iPadOS 11+ 並透過自動化裝置註冊註冊的公司擁有裝置應一律處於受監督模式,您可以在註冊配置檔中開啟此模式。 如需受監督模式的詳細資訊,請 參閱開啟 iOS/iPadOS 受監督模式。 Microsoft Intune 會忽略執行 iOS/iPadOS 13.0 和更新版本之裝置的is_supervised旗標,因為這些裝置會在註冊時自動處於受監督模式。

以共用裝置模式註冊裝置

您可以為 處於共用裝置模式的裝置設定自動裝置註冊。 共用裝置模式是 Microsoft Entra ID 的一項功能,可讓一線員工全天共用單一裝置,並視需要登入和註銷。 如需如何在共用裝置模式 Microsoft Entra 啟用裝置註冊的詳細資訊,請參閱共用裝置模式的自動裝置註冊

部署 公司入口網站 應用程式

重要事項

我們不建議使用 公司入口網站 應用程式的 App Store 版本,因為它與自動化裝置註冊不相容,而且不會提供自動更新和可用性,就像部署一樣。

透過 Intune 部署 Intune 公司入口網站 應用程式是將應用程式提供給使用者的最佳方式,也是執行下列作業的唯一方法:

  • 請確定所有 ADE 裝置,包括已註冊的裝置,都會接收應用程式。
  • 在 ADE 裝置上啟用 公司入口網站 的自動應用程式更新。

使用 裝置授權將應用程式部署為必要的 VPP 應用程式。 如需如何同步處理、指派和管理 VPP 應用程式的相關信息,請參閱 指派大量採購的應用程式

若要啟用 公司入口網站 的自動應用程式更新,請移至系統管理中心的應用程式令牌設定,並將 [自動應用程式更新] 變更為 [是]。 如需存取令牌設定的步驟,請參閱 上傳 Apple VPP 或 Apple Business Manager 位置令牌 。 如果您未啟用自動更新,裝置用戶必須自行手動檢查。

裝置預備 可用來將沒有使用者親和性的裝置轉換成具有使用者親和性的裝置。 若要預備裝置,請設定 VPP 部署,如本節稍早所述。 然後設定和部署 應用程式設定原則。 請確定原則僅以沒有用戶親和性的 ADE 裝置為目標。

重要事項

在初始註冊期間,Intune 會針對使用新式驗證向設定助理註冊的裝置,自動推送應用程式設定原則設定,設定於設定 公司入口網站 應用程式以支援以自動裝置註冊註冊的 iOS 和 iPadOS 裝置時,註冊設定檔設定 [安裝 公司入口網站] 設定為 [是]。 此設定不應手動部署給用戶,因為這會導致與初始註冊期間傳送的組態發生衝突。 如果兩者都已部署,Intune 會不正確地提示裝置使用者登入 公司入口網站,並下載他們已安裝的管理配置檔。

限制

  • 每個令牌的註冊配置檔上限:1,000 個
  • 每個配置檔的自動化裝置註冊裝置上限:200,000 (與每個令牌) 的裝置數目上限相同。
  • 每個 Intune 帳戶的自動化裝置註冊令牌上限:2,000 個
  • 每個令牌的自動化裝置註冊裝置上限:200,000 個
    • 建議您不要超過每個令牌 200,000 部裝置。 否則,您可能會有同步問題。 如果您有超過 200,000 部裝置,請將裝置分割成多個 ADE 令牌。
    • Apple Business Manager 和 Apple School Manager 每分鐘會將大約 3,000 部裝置同步至 Intune。 建議您再次從系統管理中心手動同步處理,直到所有裝置都有足夠的時間完成同步 (裝置總數/每分鐘 3,000 個裝置) 。

疑難排解註冊

如果您在註冊程式期間遇到同步問題,您可以在 針對 iOS/iPadOS 裝置註冊問題進行疑難解答中尋找解決方案。

取得Apple自動化裝置註冊令牌

您必須先從 Apple 取得自動化裝置註冊令牌 (.p7m) 檔案,才能使用 ADE 註冊 iOS/iPadOS 裝置。 此令牌可讓 Intune 同步處理貴組織擁有之 ADE 裝置的相關信息。 它也允許 Intune 將註冊配置檔上傳至 Apple,並將裝置指派給這些配置檔。

使用 Apple Business Manager (ABM) Apple School Manager (ASM) 來建立令牌,並將裝置指派給 Intune 進行管理。

注意事項

您可以使用任一個 Apple 入口網站來啟用 ADE。 本文的其餘部分指的是 Apple Business Manager,但 Apple School Manager 的步驟相同。

步驟 1:下載 Intune 公鑰憑證

  1. Microsoft Intune 系統管理中心,移至 [裝置>註冊]

  2. 選取 [Apple] 索引 標籤。

  3. 取 [註冊計劃令牌>新增]

  4. 在 [ 基本] 索引標籤上

    1. 選取 [我同意 將許可權授與Microsoft,以將使用者和裝置資訊傳送給 Apple。

      顯示 [新增註冊計劃令牌] 畫面的螢幕快照。

    2. 取 [下載建立令牌所需的 Intune 公鑰憑證]。 此步驟會在本機下載並儲存加密密鑰 (.pem) 檔案。 .pem 檔案是用來從 Apple Business Manager 入口網站要求信任關係憑證。

      稍後,在 步驟 2:移至 Apple Business Manager 入口網站中,您會在 Apple Business Manager 中上傳此 .pem 檔案。

    3. 將此網頁瀏覽器索引標籤和頁面保持開啟。 如果您關閉索引標籤:

      • 您下載的憑證已失效。
      • 您必須重複步驟。
      • 在 [ 檢閱 + 建立] 索引標籤上,無法使用 [ 建立 ] 按鈕,而且您無法完成此程式。

步驟 2:移至 Apple Business Manager 入口網站

使用 Apple Business Manager 入口網站,在 MDM 伺服器) (建立及更新您的 ADE 令牌。 此令牌會新增至 Intune,並在 Intune 與 Apple 之間進行通訊。

注意事項

下列步驟說明您需要在 Apple Business Manager 中執行的動作。 如需特定步驟,請參閱 Apple 的檔。 Apple 網站上的 Apple Business Manager 使用者指南 () 可能很有説明。

下載Apple令牌

  1. Apple Business Manager 中,使用您公司的 Apple ID 登入。

  2. 在此入口網站中,完成下列步驟:

    • 在設定中,會顯示所有令牌。 新增 MDM 伺服器,並上傳您在本文) 下載 Intune 公鑰憑證 (中從 Intune 下載的公鑰憑證 (.pem) 檔案。

      使用伺服器名稱來識別 MDM) 伺服器 (行動裝置管理。 它不是 Microsoft Intune 服務的名稱或URL。

    • 儲存 MDM 伺服器之後,請加以選取,然後下載令牌 (.p7m 檔案) 。 稍後,在步驟 4:上傳令牌並完成中,您會在 Intune 中上傳 .p7m 令牌。

將裝置指派給 MDM 伺服器 (Apple 令牌)

  1. [Apple Business Manager>裝置] 中,選取您要指派給此令牌的裝置。 您可以依各種裝置屬性排序,例如序號。 您也可以同時選取多個裝置。
  2. 編輯裝置管理,然後選取您剛才新增的 MDM 伺服器。 此步驟會將裝置指派給令牌。

步驟 3:儲存 Apple ID

  1. 在網頁瀏覽器中,返回具有 [Microsoft Intune 新增註冊計劃令牌] 頁面的索引卷標,您已在步驟 1:下載 Intune 公鑰憑證中開始。

  2. [Apple ID] 中,輸入您的標識符。 此步驟會儲存標識碼。 標識碼可在未來使用。

    顯示 [基本] 索引標籤上 [Apple ID] 方塊的 Sreenshot。

步驟 4:上傳令牌並完成

  1. Apple 令牌中,流覽至 .p7m 憑證檔案,然後選取 [ 開啟]

    提示

    您已在 步驟 2:移至 Apple Business Manager 入口網站中下載令牌。

  2. 選取 [下一步]

  3. 在 [檢閱 + 建立]索引標籤上,選取 [建立]

使用推播憑證,Intune 可以藉由將原則推送至已註冊的行動裝置來註冊和管理 iOS/iPadOS 裝置。 Intune 自動與 Apple 同步處理,以存取您的註冊計劃帳戶。

建立 Apple 註冊設定檔

現在您已安裝令牌,您可以建立自動裝置註冊的註冊配置檔。 裝置註冊設定檔會定義在註冊期間套用至裝置群組的設定。 每個註冊令牌有1,000個註冊配置檔的限制。

注意事項

如果 VPP 令牌沒有足夠的 公司入口網站 授權,或令牌過期,則會封鎖裝置註冊。 當令牌即將到期或授權不足時,Intune 會向您發出警示。

  1. Microsoft Intune 系統管理中心,移至 [裝置>註冊]

  2. 選取 [Apple] 索引 標籤。

  3. 選擇 [註冊計劃令牌]

  4. 選擇令牌,然後選取 [ 配置檔]

  5. 取 [建立配置檔>iOS/iPadOS]

  6. 針對 [基本概念],為配置檔提供 [名稱 ] 和 [ 描述 ] 以供系統管理之用。 使用者看不到這些詳細數據。

  7. 選取 [下一步]

    重要事項

    您必須先將註冊原則指派給您的裝置,裝置才會變成作用中。 建議您儘快設定默認註冊原則,讓裝置從 Apple Business Manager 或 Apple School Manager 同步,然後再開啟,它們可以透過自動裝置註冊正確註冊。 如果您從 Apple 同步處理的裝置未獲指派註冊原則,且有人開啟該原則進行設定,註冊將會失敗。

    重要事項

    如果您對現有的註冊配置檔進行變更,在裝置重設為原廠設定並重新啟動之前,新設定不會在指派的裝置上生效。 裝置名稱範本設定是您唯一可以變更的設定,不需要重設出廠預設值即可生效。 命名範本的變更會在下次簽入時生效。

  8. 在 [ 使用者親和性 ] 清單中,選取一個選項來判斷具有此配置檔的裝置是否必須註冊指派的使用者。

    • 使用使用者親和性註冊:針對屬於想要針對安裝應用程式等服務使用 公司入口網站 的使用者,選取此選項。

    • 不使用使用者親和性註冊:針對未與單一使用者相關聯的裝置選取此選項。 針對未存取本機用戶數據的裝置,請使用此選項。 此選項通常用於 kiosk、銷售點 (POS) 或共用公用程式裝置。

      在某些情況下,您可能會想要將主要使用者與未具備用戶親和性的裝置建立關聯。 若要執行這項工作,您可以在受控裝置的應用程式設定原則中,將密鑰傳送IntuneUDAUserlessDevice至 公司入口網站 應用程式。 第一個登入 公司入口網站 應用程式的使用者會建立為主要使用者。 如果第一個使用者註銷,而第二個使用者登入,則第一個使用者仍然是裝置的主要使用者。 如需詳細資訊,請參閱設定 公司入口網站 應用程式以支援 iOS 和 iPadOS ADE 裝置

    • 使用 Microsoft Entra ID 共用模式註冊:選取此選項以註冊將處於共用模式的裝置。

  9. 如果您在 [ 使用者親和性 ] 字段中選取 [使用使用者親和 註冊],您可以選擇員工必須使用的驗證方法。 如需每個驗證方法的詳細資訊,請 參閱自動化裝置註冊的驗證方法

    驗證方法選項的螢幕快照。

    選項包括:

    • 公司入口網站
    • 設定助理 (舊版)
    • 使用新式驗證設定助理
  10. 如果您針對驗證方法選取了 [設定助理] (舊版) ,但您也想要在裝置上使用條件式存取或部署公司應用程式,則必須在裝置上安裝 公司入口網站,然後登入以完成 Microsoft Entra 註冊。 若要這樣做,請針對 [安裝 公司入口網站] 選取 []。 如果您想要讓使用者接收 公司入口網站,而不需要向 App Store 進行驗證,請在 [使用 VPP 安裝 公司入口網站] 中,選取 VPP 令牌。 請確定令牌不會過期,而且您有足夠的裝置授權可讓 公司入口網站 應用程式正確部署。

  11. 如果您選取 [使用 VPP 安裝 公司入口網站] 的令牌,您可以在 [單一應用程式模式] 中鎖定裝置 (具體來說,公司入口網站 應用程式會在安裝助理完成後立即) 。 針對 [在單一應用程式模式中執行 公司入口網站],選取 [],直到驗證設定此選項為止。 若要使用裝置,用戶必須先登入 公司入口網站 進行驗證。

    注意事項

    在單一應用程式模式中鎖定的單一裝置上不支援多重要素驗證。 之所以有此限制,是因為裝置無法切換至不同的應用程式來完成第二個驗證要素。 如果您想要在單一應用程式模式裝置上進行多重要素驗證,第二個因素必須位於不同的裝置上。

    只有 iOS/iPadOS 11.3.1 和更新版本才支援此功能。

    顯示 [在單一應用程式模式中執行 公司入口網站] 選項的螢幕快照。

  12. 如果您想要監督使用此設定檔的裝置,請在 [受監督] 列表中選取 []。

    顯示 [受監督] 選項的螢幕快照。

    受監督的裝置預設會提供更多管理選項和停用的啟用鎖定。 Microsoft建議您使用 ADE 作為啟用受監督模式的機制,特別是當您要部署大量 iOS/iPadOS 裝置時。 Apple Shared iPad for Business 裝置必須受到監督。

    使用者會在 [ 設定 ] 應用程式中收到其裝置受到監督的通知。 在其畫面頂端的應用程式中,有一則靜態訊息會告知他們此iPhone受到<your organization>監督和管理

    注意事項

    如果在未受監督的情況下註冊裝置,如果您想要將裝置設定為受監督,則必須使用Apple Configurator。 若要以這種方式重設裝置,您必須使用 USB 纜線將它連線到 Mac。 如需詳細資訊,請參閱 Apple Configurator 說明

  13. 在 [ 鎖定的註冊 ] 列表中,選取 [ ] 或 [ 否]。 鎖定的註冊會停用允許移除管理配置檔的iOS/iPadOS 設定。 如果您啟用鎖定的註冊,[設定] 應用程式中可讓使用者移除管理配置檔的按鈕將會隱藏,而且使用者將無法取消註冊其裝置。 如果您要在共用模式 Microsoft Entra ID 裝置,請選取 [是]

    鎖定註冊一開始在原本不是透過Apple Business Manager購買,但稍後新增為自動化裝置註冊的一部分的裝置上,運作方式稍有不同:這些裝置上的用戶可以在啟用裝置後的前30天內,於 [設定] 應用程式中看到 [移除管理] 按鈕。 在該期間之後,此選項會隱藏起來。 如需詳細資訊,請參閱 手動準備裝置 (開啟Apple Configurator 說明檔) 。

    重要事項

    這個設定與 公司入口網站 應用程式中的移除和重設選項不同。 不論您如何設定鎖定的註冊,在透過自動裝置註冊註冊的裝置上,公司入口網站 應用程式中的 [移除裝置] 或 [原廠重設] 選項仍然無法使用。 使用者也無法移除 公司入口網站 網站上的裝置。 如需已註冊裝置上可用自助動作的詳細資訊,請參閱 自助式動作

  14. 如果您在先前的步驟中選取了 [不使用使用者親和性和受監督的註冊],您必須決定是否要將裝置設定為 Apple Shared iPad for Business 裝置。 針對 [共用 iPad] 選取 [],讓多位用戶能夠登入單一裝置。 使用者使用受控Apple標識碼和同盟驗證帳戶進行驗證,或使用來賓帳戶) 之類的暫時會話 (進行驗證。 此選項需要 iOS/iPadOS 13.4 或更新版本。 使用共用 iPad 時,會自動略過啟用後的所有設定助理窗格。

    注意事項

    • 如果已啟用共用 iPad 的 iOS/iPadOS 註冊配置檔傳送至不支援的裝置,則需要裝置抹除。 不支援的裝置包括任何 iPhone 模型,以及執行 iPadOS/iOS 13.3 和更早版本的 iPad。 支援的裝置包括執行 iPadOS 13.3 和更新版本的 iPad。
    • 若要設定 Apple Shared iPad for Business,請設定下列設定:
      • 在 [ 使用者親和性 ] 清單中,選取 [ 不使用使用者親和性註冊]
      • 在 [ 受監督 ] 列表中,選取 [ 是]
      • 在 [ 共用 iPad] 列表中 ,選取 [ 是]

    如果您要設定 Apple Shared iPad for Business 裝置,也請設定:

    • 快取的用戶數目上限:輸入您預期使用共用 iPad 的用戶數目。 您最多可以在 32 GB 或 64 GB 的裝置上快取 24 位使用者。 如果您選擇低數目,用戶的數據在登入后可能需要一些時間才會出現在他們的裝置上。 如果您選擇高數目,您的使用者可能會用盡磁碟空間。

    • 屏幕鎖定后需要密碼的秒數上限:以秒為單位輸入時間量。 接受的值包括:0、60、300、900、3600 和 14400。 如果螢幕鎖定超過此時間量,則需要裝置密碼才能解除鎖定裝置。 適用於執行 iPadOS 13.0 和更新版本的共用 iPad 模式裝置。

    • 在用戶會話註銷之前,閑置的秒數上限:此設定允許的最小值為 30。 如果在定義的期間之後沒有任何活動,則用戶會話會結束並註銷使用者。如果您將專案保留空白,或將它設為零 (0) ,則會話永遠不會因為閑置而結束。 適用於執行 iPadOS 14.5 和更新版本的共用 iPad 模式裝置。

    • 僅需要共用 iPad 暫存工作階段:設定裝置,讓使用者只看到來賓版本的登入體驗,而且必須以來賓身分登入。 他們無法使用受控 Apple ID 登入。 適用於執行 iPadOS 14.5 和更新版本的共用 iPad 模式裝置。

      當設定為 [是] 時,此設定會取消下列共用的 iPad 設定,因為它們不適用於暫時會話:

      • 快取的用戶數目上限
      • 在需要密碼之前,螢幕鎖定后的秒數上限
      • 直到用戶會話註銷為止的閑置秒數上限
    • 在暫時會話註銷之前,閑置的秒數上限:此設定允許的最小值為 30。 如果在定義的期間之後沒有任何活動,暫存會話會結束並註銷使用者。如果您將專案保留空白,或將它設為零 (0) ,則會話永遠不會因為閑置而結束。 適用於執行 iPadOS 14.5 和更新版本的共用 iPad 模式裝置。

      [需要共用的 iPad 暫存會話] 設定 為 [ ] 時,即可使用此設定。

    注意事項

    • 如果啟用暫存會話,當使用者註銷會話時,就會刪除所有用戶的數據。 這表示所有目標原則和應用程式在使用者登入時都會向下顯示,而且使用者註銷時將會清除這些原則和應用程式。
    • 若要將共用 iPad 設定變更為沒有暫存工作階段,裝置必須完全重設,且具有更新組態的新註冊配置檔必須向下傳送至 iPad。
  15. 在 [ 與計算機同步 ] 清單中,選取使用此設定檔之裝置的選項。 如果您選取 [ 依憑證允許 Apple Configurator],則必須在 [Apple Configurator 憑證] 下選擇憑證。

    注意事項

    如果您將 [ 與計算機同步 ] 設定為 [ 全部拒絕],則 iOS 和 iPadOS 裝置上的埠將會受到限制。 埠將限制為僅充電。 它會遭到封鎖,使其無法使用 iTunes 或 Apple Configurator 2。

    如果您將 [ 與計算機同步 處理] 設定 為 [依憑證允許 Apple Configurator],請確定您有可稍後使用的憑證本地副本。 您將無法變更上傳的複本,請務必保留此憑證的複本。 如果您想要從 Mac 裝置連線到 iOS/iPadOS 裝置,必須在與 iOS/iPadOS 裝置連線的裝置上安裝相同的憑證。

  16. 如果您在上一個步驟中選取 [ 依憑證允許 Apple Configurator ],請選擇要匯入的 Apple Configurator 憑證。 限制為10個憑證。

  17. 針對 Await 最終設定,您的選項如下:

    • :在設定助理的結尾啟用鎖定體驗,以確保您最重要的裝置設定原則已安裝在裝置上。 就在主畫面載入之前,設定助理會暫停並讓 Intune 使用裝置簽入。 使用者等候最終設定時,用戶體驗會鎖定。

      使用者在等待最終設定畫面上保留的時間量會有所不同,並取決於您套用至裝置的原則和應用程式總數。 指派給裝置的原則和應用程式越多,等候時間就越長。 設定助理和 Microsoft Intune 不會在安裝期間強制執行最小或最大時間限制。 在產品驗證期間,我們測試的大部分裝置都已發行,而且能夠在15分鐘記憶體取主畫面。 如果您啟用這項功能,並使用Microsoft以外的人員來協助您布建裝置,請告知他們增加布建時間的可能性。

      注意事項

      只有裝置設定原則會在等候最終設定畫面期間開始安裝,而且應用程式不會包含在此畫面中。

      鎖定體驗適用於以新的和現有註冊配置檔為目標的裝置。 支援的裝置包括:

      • 使用新式驗證向設定助理註冊的 iOS/iPadOS 13+ 裝置
      • 未註冊用戶親和性的 iOS/iPadOS 13+ 裝置
      • 以 Microsoft Entra ID 共用模式註冊的 iOS/iPadOS 13+ 裝置

      此設定會在安裝助理的全新自動化裝置註冊體驗期間套用一次。 除非裝置使用者重新註冊其裝置,否則不會再次遇到此問題。 [是 ] 是新註冊配置檔的預設設定。

    • :不論原則安裝狀態為何,安裝助理結束時,裝置都會放到主畫面。 裝置使用者可能能夠在安裝所有原則之前存取主畫面或變更裝置設定。 [否 ] 是現有註冊配置檔的預設設定。

    使用下列組態組合的設定檔中無法使用 await 組態設定:

    • 用戶親和性:在本節的步驟 6 (不使用使用者親和性 註冊)
    • 共用 iPad: , (本節中的步驟 12)
  18. 選擇性地建立裝置名稱範本,以在系統管理中心快速識別指派此配置檔的裝置。 Intune 使用您的範本來建立和格式化裝置名稱。 這些名稱會在裝置註冊時以及每次連續簽入時提供給裝置。 若要建立範本:

  19. [套用裝置名稱範本] 下,選取 [ 是]

  20. 在 [ 裝置名稱範本 ] 方塊中,輸入您要用來建構裝置名稱的範本。 範本可以包含裝置類型和序號。 它不能包含超過 63 個字元,包括變數。 範例:{{DEVICETYPE}}-{{SERIAL}}

  21. 您可以啟動行動資料計劃。 此設定適用於執行 iOS/iPadOS 13.0 和更新版本的裝置。 設定此選項會傳送命令,以啟用已啟用 eSim 之行動資料裝置的行動資料計畫。 您的電信業者必須先為您的裝置布建啟用,才能使用此命令來啟用數據計畫。 若要啟用行動數據計劃,請選取 [ ],然後輸入貨運公司的啟用伺服器 URL。

  22. 選取 [下一步]

  23. 在 [ 設定助理] 索引 標籤上,設定下列設定檔設定:

    部門設定 描述
    部門 使用者在啟用期間點選 [關於設定] 時顯示。
    部門電話 當使用者在啟用期間點選 [ 需要協助 ] 按鈕時顯示。

    您可以在使用者設定期間隱藏裝置上的安裝助理畫面。 如需所有畫面的說明,請參閱本文) 中的設定 助理畫面參考 (。

    • 如果您選取 [隱藏],則在安裝期間不會顯示畫面。 設定裝置之後,使用者仍然可以移至 [ 設定 ] 功能表來設定功能。
    • 如果您選取 [ 顯示],則畫面會在安裝期間顯示,但只有在還原之後或軟體更新之後有要完成的步驟時才會顯示。 用戶有時可以略過畫面,而不需要採取動作。 之後,他們可以移至裝置的 [ 設定 ] 功能表來設定功能。
    • 使用共用 iPad 時,不論設定為何,啟用後的所有設定助理窗格都會自動略過。
  24. 選取 [下一步]

  25. 若要儲存配置檔,請選取 [ 建立]

Microsoft Entra ID 中的動態群組

您可以使用 [註冊名稱] 字段在 Microsoft Entra ID 中建立動態群組。 如需詳細資訊,請參閱 Microsoft Entra 動態群組

您可以使用設定檔名稱來定義 enrollmentProfileName 參數 ,以使用此註冊設定檔指派裝置。

在裝置設定之前,若要確保快速傳遞至具有用戶親和性的裝置,請確定註冊的使用者是 Microsoft Entra 使用者群組的成員。

如果您將動態群組指派給註冊配置檔,在註冊之後,將應用程式和原則傳遞至裝置可能會有延遲。

設定助理畫面參考

下表描述 iOS/iPadOS 自動裝置註冊期間顯示的設定助理畫面。 您可以在註冊期間,在支援的裝置上顯示或隱藏這些畫面。 如需每個設定助理畫面如何影響用戶體驗的詳細資訊,請參閱下列Apple資源:

設定助理畫面 可見時會發生什麼事
密碼 向使用者顯示密碼和密碼鎖定窗格,並提示使用者輸入密碼。 除非以其他方式控制存取權,否則一律需要不安全裝置的密碼 (例如透過 kiosk 模式設定,將裝置限制為一個應用程式) 。 此畫面適用於 iOS/iPadOS 7.0 和更新版本,有一些限制。 如需詳細資訊,請參閱本文中 的限制
定位服務 顯示 [位置服務設定] 窗格,用戶可在其中啟用其裝置上的位置服務。 適用於 iOS/iPadOS 7.0 及更高版本。
還原 顯示應用程式和資料設定窗格。 在此畫面上,設定裝置的使用者可以從 iCloud 備份還原或傳輸數據。 適用於 iOS/iPadOS 7.0 及更高版本。
Apple ID 顯示 [Apple ID 設定] 窗格,讓使用者可以選擇使用其 Apple ID 登入並使用 iCloud。 適用於 iOS/iPadOS 7.0 及更高版本。
條款及條件 顯示 [Apple 條款及條件] 窗格,並要求使用者接受這些條款和條件。 適用於 iOS/iPadOS 7.0 及更高版本。
觸控標識碼和臉部標識碼 顯示 [生物特徵辨識設定] 窗格,讓使用者可以選擇在其裝置上設定指紋或臉部識別。 針對 iOS/iPadOS 8.1 和更新版本,有一些限制。 如需詳細資訊,請參閱本文中 的限制
Apple Pay 顯示 [Apple Pay 設定] 窗格,讓使用者可以選擇在其裝置上設定 Apple Pay。 適用於 iOS/iPadOS 7.0 及更高版本。
Zoom 顯示 [縮放設定] 窗格,讓使用者可以選擇設定縮放設定。 針對 iOS/iPadOS 8.3 和更新版本,且在 iOS/iPadOS 17 中已被取代。
Siri 向使用者顯示 [Siri 設定] 窗格。 適用於 iOS/iPadOS 7.0 及更高版本。
診斷數據 顯示使用者可以選擇將診斷數據傳送至 Apple 的診斷窗格。 適用於 iOS/iPadOS 7.0 及更高版本。
顯示音 顯示顯示音調設定窗格,用戶可以在其中設定顯示器的白平衡設定。 針對 iOS/iPadOS 9.3.2 和更新版本,且在 iOS/iPadOS 15 中已被取代。
隱私權 向使用者顯示隱私權設定窗格。 適用於 iOS/iPadOS 11.3 和更新版本。
Android 移轉 顯示適用於先前 Android 使用者的設定窗格。 在此畫面上,使用者可以從 Android 裝置移轉數據。 適用於 iOS/iPadOS 9.0 及更高版本。
iMessage & FaceTime 顯示 iMessage 和 FaceTime 的設定窗格。 適用於 iOS/iPadOS 9.0 及更高版本。
上線 顯示使用者教育的上線信息畫面,例如封面和多任務和控制中心。 適用於 iOS/iPadOS 11.0 及更高版本。
螢幕時間 顯示 [屏幕時間] 畫面。 適用於 iOS/iPadOS 12.0 及更高版本。
SIM 卡設定 顯示行動資料設定窗格,用戶可以在其中新增行動數據計劃。 適用於 iOS/iPadOS 12.0 及更高版本。
軟體更新 顯示強制軟體更新畫面。 適用於 iOS/iPadOS 12.0 及更高版本。
監看移轉 顯示 Apple Watch 移轉窗格,用戶可以在其中從 Apple Watch 移轉數據。 適用於 iOS/iPadOS 11.0 及更高版本。
外觀 顯示外觀設定窗格。 適用於 iOS/iPadOS 13.0 及更高版本。
裝置到裝置移轉 顯示 [裝置到裝置移轉] 窗格。 在此畫面上,使用者可以將數據從舊裝置傳輸到其目前的裝置。 直接從裝置傳輸數據的選項不適用於執行 iOS 13 或更新版本的裝置。
還原已完成 在設定助理期間執行備份和還原之後,向用戶顯示 [還原已完成] 畫面。
軟體更新已完成 顯示安裝助理期間發生的所有軟體更新。
開始使用 向使用者顯示 [開始使用] 歡迎畫面。
地址條款 顯示 [位址條款] 窗格,可讓用戶選擇要在整個系統中尋址方式的選項:[女性]、[偽裝] 或 [中性]。 此 Apple 功能適用於選取的語言。 如需詳細資訊,請參閱 主要功能和增強 功能 (開啟Apple網站) 。 適用於 iOS/iPadOS 16.0 和更新版本。
緊急 SOS 顯示 [安全設定] 窗格。 適用於 iOS/iPadOS 16.0 和更新版本。
動作按鈕 顯示動作按鈕的組態窗格。 適用於 iOS/iPadOS 17.0 和更新版本。
智慧 顯示 [Apple Intelligence 設定] 窗格,用戶可在其中設定 Apple Intelligence 功能。 適用於 iOS/iPadOS 18.0 和更新版本。

同步受控裝置

由於 Intune 有管理您裝置的權限,您可以同步 Intune 與 Apple,以在 Azure 入口網站中查看在 Intune 中的受控裝置。

  1. Microsoft Intune 系統管理中心,移至 [裝置>註冊]

  2. 選取 [Apple] 索引 標籤。

  3. 選擇 [註冊計劃令牌]

  4. 選取清單中的令牌,然後選取 [ 裝置>同步]

    顯示如何將 iOS 和 iPadOS 裝置同步至註冊計劃令牌的螢幕快照。

    若要遵循 Apple 的可接受註冊計劃流量條款,Intune 會施加下列限制:

    • 完整同步處理每 7 天只能執行一次。 在完整同步處理期間,Intune 會擷取指派至已連線 Intune 之 Apple MDM 伺服器的序號完整更新清單。

      重要事項

      如果裝置從 Intune 刪除,但仍指派給 ASM/ABM 入口網站中的 ADE 註冊令牌,則會在下次完整同步處理時重新出現在 Intune 中。如果您不想讓裝置重新出現在 Intune 中,請從ABM/ASM入口網站中的Apple MDM 伺服器取消指派。

    • 如果從 ABM/ASM 釋出裝置,可能需要最多 45 天,以便在 Intune 中的 [裝置] 頁面上自動遭到刪除。 如有需要,您可以在 Intune 手動逐一刪除已釋出的裝置。 已發行的裝置會在 Intune 中正確回報為已從 ABM/ASM 移除,直到在 30-45 天內自動刪除為止。
    • 差異同步會每隔 12 小時自動執行一次。 您也可以選取 [ 同步 處理] 按鈕來觸發差異同步, (每隔 15 分鐘) 一次。 所有同步處理要求都需要 15 分鐘才能完成。 同步處理按鈕會變成非作用中,直到同步完成為止。 同步處理會重新整理現有的裝置狀態,並匯入指派給 Apple MDM 伺服器的新裝置。 如果差異同步因任何原因而失敗,下一個同步處理是完整同步處理,而且可以解決任何問題。

將註冊設定檔指派給裝置

您必須先將註冊配置檔指派給裝置,才能註冊裝置。

注意事項

您也可以在 [Apple 序 號] 窗格中將序號指派給設定檔。

  1. Microsoft Intune 系統管理中心,移至 [裝置>註冊]
  2. 選取 [Apple] 索引 標籤。
  3. 選擇 [註冊計劃令牌]
  4. 選取註冊令牌。
  5. 取 [裝置]
  6. 選取您要指派的所有裝置,然後選取 [ 指派配置檔]
  7. 在 [ 指派配置檔] 下,選擇您為裝置建立的自動化裝置註冊配置檔,然後選取 [ 指派]

指派預設設定檔

您可以挑選要套用至所有使用特定權杖註冊之裝置的預設設定檔。

  1. 在系統管理中心,返回 註冊計劃令牌
  2. 選取註冊令牌。
  3. 取 [設定預設設定檔]
  4. 選取清單中的設定檔,然後選取 [ 儲存]。 從這裡開始,Intune 將配置檔套用至所有使用所選註冊令牌註冊的裝置。

注意事項

請確定 [註冊限制] 下的 [裝置類型限制] 未設定預設的 [所有使用者] 原則來封鎖 iOS/iPadOS 平臺。 此設定會導致自動註冊失敗,而您的裝置會顯示為無效的配置檔,而不論使用者證明為何。 若只要允許由公司管理的裝置註冊,請僅封鎖允許公司裝置註冊的個人擁有裝置。 Microsoft會將公司裝置定義為透過裝置註冊計劃註冊的裝置,或在 公司裝置標識符下手動輸入的裝置。

發佈裝置

您已啟用 Apple 與 Intune 之間的管理和同步處理,並指派配置檔,以便註冊您的 ADE 裝置。 您現在已準備好將裝置散發給使用者。 要知道的一些事項:

  • 若要使用以使用者親和性註冊的裝置,用戶必須獲指派 Intune 授權。

  • 在沒有使用者親和性的情況下註冊的裝置通常沒有任何相關聯的使用者。 這些裝置必須具有 Intune 裝置授權。 如果 Intune 授權使用者使用沒有使用者親和性的裝置,則不需要裝置授權。

    總而言之,如果裝置有使用者,用戶必須擁有指派的 Intune 授權。 如果裝置沒有 Intune 授權的使用者,則裝置必須具有 Intune 裝置授權。

    如需 Intune 授權的詳細資訊,請參閱 Microsoft Intune 授權Intune 規劃指南

  • 必須先抹除已啟用的裝置,才能使用自動化裝置註冊正確註冊。 在您抹除它之後,但在再次啟用它之前,您可以套用註冊配置檔。 請參閱 設定現有的 iPhone、iPad 或 iPod 觸控

  • 如果您是使用 ADE 和使用者親和性註冊,則在安裝期間可能會發生下列錯誤:

    The SCEP server returned an invalid response.

    您可以嘗試在 15 分鐘內再次下載管理,以解決此錯誤。 15 分鐘後,您必須將裝置重設為原廠,才能解決錯誤。 發生此錯誤的原因是SCEP憑證有15分鐘的時間限制,這是為了安全性而強制執行。

如需使用者體驗的相關信息,請參閱使用 ADE 在 Intune 中註冊 iOS/iPadOS 裝置

重新註冊裝置

完成下列步驟,以重新註冊已完成自動裝置註冊的裝置。

  1. 重設裝置有兩個選項:
    • 抹除 Microsoft Intune 系統管理中心的裝置。
    • 在系統管理中心淘汰裝置,然後使用 [設定] 應用程式、Apple Configurator 2 或 iTunes 將裝置重設為原廠設定。
  2. 開啟裝置,並遵循設定助理中的螢幕步驟來擷取遠端管理配置檔。

更新自動化裝置註冊令牌

請務必每年更新您的註冊計劃令牌。 Intune 系統管理中心會顯示到期日。

  • 如果在 Apple Business Manager 中設定令牌之使用者的 Apple ID 密碼變更,請在 Intune 和 Apple Business Manager 中更新您的註冊計劃令牌。
  • 如果在 Apple Business Manager 中設定令牌的使用者離開組織,請在 Intune 和 Apple Business Manager 中更新您的註冊計劃令牌。
  • 當您變更用來建立 ADE 令牌的 Apple ID 時,變更不會影響目前使用該令牌註冊的裝置,直到它們重新註冊為止。 此行為不同於用於租使用者的 Apple Push Notification Service (APNS) 憑證。 您可以在 Apple 支援服務的協助下變更 APNS 憑證。 否則,若要進行變更,所有裝置都必須重新註冊。

更新令牌

  1. 移至 business.apple.com ,並使用具有系統管理員或裝置註冊管理員角色的帳戶登入。

  2. 選取 [設定]。 在 [MDM 伺服器] 底下,選取與您想要更新的令牌檔案相關聯的 MDM 伺服器。 選取 [下載令牌]

    顯示如何在 Apple Business Manager 中更新和下載 Apple 令牌的螢幕快照。

  3. 取 [下載伺服器令牌]

    注意事項

    如提示所示,如果您不打算更新令牌,請勿選取 [ 下載伺服器令牌 ]。 這麼做會使 Intune (或任何其他 MDM 解決方案) 所使用的令牌失效。 如果您已下載令牌,請務必繼續進行後續步驟,直到令牌更新為止。

  4. 下載令牌之後,請移至系統管理中心 Microsoft Intune

  5. 取 [裝置>註冊]

  6. 選擇 [註冊計劃令牌]

  7. 選取令牌。

  8. 取 [更新令牌]。 如果 Apple ID 尚未填入) ,請輸入用來建立原始令牌 (:

    顯示 [更新令牌] 頁面的螢幕快照。

  9. 上傳新下載的權杖。

  10. 取 [下一步 ] 以移至 [ 範圍卷標] 頁面。 如果您想要的話,請指派範圍標籤。

  11. 取 [更新令牌]。 等候確認令牌更新已完成。

    顯示確認訊息的螢幕快照。

從 Intune 刪除自動裝置註冊令牌

您可以從 Intune 刪除註冊設定檔權杖,只要:

  • 不會將任何裝置指派給令牌。
  • 未將任何裝置指派給預設配置檔。
  • 該令牌下沒有註冊配置檔。

若要刪除註冊設定檔權杖:

  1. 系統管理中心 Microsoft Intune,移至 [裝置>註冊]
  2. 選取 [Apple] 索引 標籤。
  3. 選擇 註冊計劃令牌
  4. 選取令牌,然後選取 [ 裝置]
  5. 刪除指派給令牌的所有裝置。
  6. 返回 註冊計劃令牌。 選取令牌,然後選取 [配置檔]
  7. 如果有預設配置檔或任何其他註冊配置檔,則必須全部刪除。
  8. 返回 註冊計劃令牌。 選取令牌,然後選取 [ 刪除]

限制

這些設定助理畫面無法在執行 iOS/iPadOS 14.5 和更新版本的裝置上正常運作:

  • 密碼
  • 觸控標識碼和臉部標識碼

在執行 iOS/iPadOS 14.5 和更新版本的裝置上隱藏這兩個畫面。 如果您想要在這些裝置上要求密碼,請建立具有密碼需求的裝置設定原則或合規性政策。 在用戶註冊並接收原則之後,密碼需求將會開始。

後續步驟

如需裝置使用者需求的概觀,請參閱 ADE 使用者工作