Registrace zařízení s iOSem vlastněných společností do programu DEP (Device Enrollment Program)Enroll corporate-owned Device Enrollment Program iOS devices

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Microsoft Intune umožňuje nasadit registrační profil, který bezdrátově zaregistruje zařízení s iOSem zakoupená prostřednictvím programu DEP (Device Enrollment Program).Microsoft Intune can deploy an enrollment profile that enrolls iOS devices that were bought through the Device Enrollment Program (DEP) “over the air.” Registrační balíček může zahrnovat možnosti Pomocníka s nastavením pro zařízení.The enrollment package can include setup assistant options for the device.

Poznámka

Registrace DEP se nedá použít s metodou správce registrace zařízení.DEP enrollment can't be used with the device enrollment manager method. Navíc platí, že pokud uživatelé zařízení s iOSem zaregistrují (například pomocí aplikace Portál společnosti) a sériová čísla těchto zařízení se pak naimportují a přiřadí k profilu DEP, zruší se tím registrace zařízení v Intune.Also, if users enroll iOS devices (i.e. using the Company Portal app) and those devices' serial numbers are then imported and assigned a DEP profile, the device will be unenrolled from Intune.

Předpoklady pro registraci zařízení s iOSem pomocí správy programu Apple DEPPrerequisites for enrolling iOS devices by using Apple DEP management

  • Nainstalujte certifikát služby APN.Install an APNs certificate

  • Vaše organizace se musí připojit k programu Apple DEP a získat zařízení prostřednictvím tohoto programu.Your organization must join Apple DEP and get devices through that program. Podrobnosti o tomto procesu najdete na https://deploy.apple.com. Výhodou tohoto programu je bezobslužné nastavení zařízení bez připojení každého zařízení k počítači kabelem USB.Details of that process are available at: https://deploy.apple.com. Advantages of the program include hands-free setup of devices without using a USB cable to connect each device to a computer.

  • Abyste mohli v programu DEP registrovat zařízení s iOSem vlastněná společností, potřebujete od společnosti Apple token DEP.Before you can enroll corporate-owned iOS devices with DEP, you need a DEP token from Apple. Token umožňuje Intune synchronizovat informace o zařízeních vlastněných společností, která se účastní programu DEP.This token lets Intune sync information about DEP-participating devices that your corporation owns. Token taky umožňuje Intune odesílat společnosti Apple registrační profil a přiřazovat k těmto profilům zařízení.It also permits Intune to perform Enrollment Profile uploads to Apple and to assign devices to those profiles.

Postup při registraci zařízení s iOSem pomocí správy programu Apple DEPSteps to enroll iOS devices by using Apple DEP management

Následující postup vysvětluje, jak zaregistrovat zařízení s iOSem hned od začátku pomocí správy programu Apple DEP.The following steps explain how to enroll iOS devices on "day 0" by using Apple DEP management. Když se zařízení přidávají nebo odebírají z organizace, budete asi některé z těchto kroků opakovat, například přidávání nebo odebírání sériových čísel, jak je popsáno níže.As devices are added and removed from your organization, you will likely repeat some of these steps, such as adding or removing serial numbers, as described below.

Získání šifrovacího klíčeGet an Encryption Key

  1. Přihlaste se jako správce a otevřete konzolu pro správu Microsoft Intune, přejděte na Správa > Správa mobilních zařízení > iOS > Program DEP (Device Enrollment Program) a zvolte Stáhnout šifrovací klíč.As an administrative user, open the Microsoft Intune administration console, go to Admin > Mobile Device Management > iOS > Device Enrollment Program, and then choose Download Encryption Key.

  2. Uložte soubor šifrovacího klíče (.pem) místně.Save the encryption key (.pem) file locally. Soubor .pem slouží k vyžádání certifikátu vztahu důvěryhodnosti z portálu Apple Device Enrollment Program.The .pem file is used to request a trust-relationship certificate from the Apple Device Enrollment Program portal.

Aktualizace tokenu DEP (Device Enrollment Program)

Získání tokenu DEP (Device Enrollment Program)Get a Device Enrollment Program token

  1. Přejděte na portál programu Device Enrollment Program (https://deploy.apple.com) a přihlaste se pod firemním Apple ID.Go to the Device Enrollment Program Portal (https://deploy.apple.com), and sign in with your company Apple ID. Toto Apple ID budete muset později použít k obnovení tokenu DEP.This Apple ID must be used later to renew your DEP token.

  2. Na portálu programu DEP (Device Enrollment Program) přejděte na Program DEP (Device Enrollment Program) > Spravovat servery a pak zvolte Přidat server MDM.In the Device Enrollment Program Portal, go to Device Enrollment Program > Manage Servers, and then choose Add MDM Server.

  3. Zadejte název serveru MDM a zvolte Další.Enter the MDM Server Name, and then choose Next. Název serveru slouží pro vaši informaci, abyste mohli identifikovat server pro správu mobilních zařízení (MDM).The server name is for your reference to identify the mobile device management (MDM) server. Není to název serveru Microsoft Intune ani jeho URL.It is not the name or URL of the Microsoft Intune server.

  4. Otevře se dialog Přidat server <název_serveru>.The Add <ServerName> dialog box opens. Vyberte Zvolit soubor,Choose Choose File… abyste mohli nahrát soubor .pem, a pak zvolte Další.to upload the .pem file, and then choose Next.

  5. V dialogovém okně Přidat server <název_serveru> se zobrazí odkaz s tokenem vašeho serveru.The Add <ServerName> dialog box shows a Your Server Token link. Stáhněte si soubor tokenu serveru (.p7m) do svého počítače a potom zvolte Hotovo.Download the server token (.p7m) file to your computer, and then choose Done.

    Soubor certifikátu (.p7m) se používá k navázání vztahu důvěryhodnosti mezi serverem Intune a serverem programu DEP (Device Enrollment Program) společnosti Apple.This certificate (.p7m) file is used to establish a trust relationship between Intune and Apple’s Device Enrollment Program servers.

Přidání tokenu DEP do IntuneAdd the DEP token to Intune

  1. V konzole pro správu Microsoft Intune přejděte na Správce > Správa mobilního zařízení > iOS > Program DEP (Device Enrollment Program).In the Microsoft Intune administration console, go to Admin > Mobile Device Management > iOS > Device Enrollment Program.

  2. Zvolte Nahrát token DEP.Choose Upload the DEP Token. Vyhledejte soubor certifikátu (.p7m), zadejte své Apple ID a zvolte Nahrát.Browse to the certificate (.p7m) file, enter your Apple ID, and then choose Upload.

Přidání zásad registrace podnikových zařízeníAdd the Corporate Device Enrollment Policy

  1. V konzole pro správu Microsoft Intune přejděte na Zásady > Registrace podnikového zařízení a zvolte Přidat.In the Microsoft Intune administration console, go to Policy > Corporate Device Enrollment, and then choose Add.

  2. Zadejte obecné podrobnosti, jako je Název a Popis, a určete, jestli zařízení přiřazená k profilu mají přidruženého uživatele nebo patří skupině:Provide General details including Name and Description, and specify whether devices assigned to the profile have user affinity or belong to a group:

    • Vyzvat k přidružení uživatele: Při počátečním nastavení je možné zařízení spojit s uživatelem a potom mu umožnit přístup k firemním datům a e-mailu.Prompt for user affinity: The device must be affiliated with a user during initial setup before it can be permitted to access company data and email as that user. U zařízení spravovaných v programu DEP, která patří uživatelům a potřebují používat portál společnosti (tzn. instalovat aplikace), je potřeba nastavit přidružení uživatele.User affinity should be set up for DEP-managed devices that belong to users and need to use the company portal (that is, to install apps). Při registraci na zařízeních v programu DEP s přidružením uživatelů nefunguje vícefaktorové ověřování (MFA).Multifactor authentication (MFA) doesn't work during enrollment on DEP devices with user affinity. Po registraci vícefaktorové ověřování na těchto zařízeních funguje podle očekávání.After enrollment, MFA works as expected on these devices. Novým uživatelům, kteří si musejí změnit heslo, když se poprvé přihlásí, se během registrace na zařízení DEP nezobrazí výzva.New users who are required to change their password when they first sign in cannot be prompted during enrollment on DEP devices. Také uživatelům, u jejichž hesel vypršela platnost, se během registrace DEP nezobrazí výzva k resetování hesla a budou muset heslo resetovat z jiného zařízení.Additionally, users whose passwords have expired won't be prompted to reset their password during DEP enrollment and must reset the password from a different device.

      Poznámka

      Program DEP s přidružením uživatele vyžaduje aktivaci uživatelského jména / smíšeného koncového bodu WS-Trust 1.3, aby mohl požádat o token uživatele.DEP with user affinity requires WS-Trust 1.3 Username/Mixed endpoint to be enabled to request user token. Přečtěte si další informace o WS-Trust 1.3.Learn more about WS-Trust 1.3.

    • Bez přidružení uživatele: K zařízení není přidružený žádný uživatel.No user affinity: The device is not affiliated with a user. Toto přidružení použijte u zařízení, která plní úkoly bez přístupu k místním uživatelským datům.Use this affiliation for devices that do tasks without accessing local user data. Aplikace, které vyžadují přidružené uživatele, včetně aplikace Portál společnosti používané k instalaci obchodních aplikací, nebudou fungovat.Apps that require user affiliation, including the Company Portal app that is used to install line-of-business apps, won’t work.

    Můžete také vybrat možnost Přiřadit zařízení k této skupině.You can also Assign devices to the following group. Pokud chcete vybrat skupinu, zvolte Vybrat.Choose Select... to choose a group.

    Důležité

    Přiřazení skupin se přesouvají z Intune do Azure Active Directory.Group assignments are moving from Intune to Azure Active Directory. Jakmile účet Intune obdrží příslušnou aktualizaci, možnost Přiřadit zařízení k této skupině se nebude zobrazovat.Once your Intune account receives the applicable update, you won't see the Assign devices to the following group option. Přečtěte si další informace.Learn more.

  3. Povolte nastavení Nakonfigurujte nastavení DEP (Device Enrollment Program) pro tuto zásadu, které zajistí podporu programu DEP.Enable Configure Device Enrollment Program settings for this policy to support DEP.

    Podokno Pomocníka s nastavením

    Pro zařízení spravovaná pomocí programu DEP jsou dostupná následující nastavení:The following settings are available for DEP-managed devices:

    • Oddělení – Zobrazí se, když uživatelé klepnou při aktivaci na O konfiguraci.Department - Appears when users tap About Configuration during activation
    • Telefonní číslo podpory – Zobrazí se, když uživatel při aktivaci klikne na tlačítko Potřebuji nápovědu.Support phone number - Appears when the user clicks the Need Help button during activation
    • Režim přípravy – Nastaví se při aktivaci. Bez obnovení továrního nastavení zařízení se nedá změnit:Preparation mode - Set during activation and cannot be changed without factory resetting the device:
      • Bez dohledu – Omezené možnosti správy.Unsupervised - Limited management capabilities
      • Pod dohledem – Nabízí víc možností správy a ve výchozím nastavení má zakázaný zámek aktivace.Supervised - Enables more management options and disables Activation Lock by default
    • Uzamknout registrační profil k zařízení – Nastaví se při aktivaci a bez obnovení továrního nastavení se nedá změnit.Lock enrollment profile to device - Set during activation and cannot be changed without a factory reset
      • Zakázat – Umožňuje odebrání profilu správy z nabídky Nastavení.Disable - Allows the management profile to be removed from the Settings menu
      • Povolit (vyžaduje Režim přípravy = Pod dohledem) – Zakáže nastavení iOSu, které by mohlo povolovat odebrání profilu správy.Enable - (Requires Preparation Mode = Supervised) Disables the iOS Settings menu option to remove the management profile
    • Možnosti Pomocníka s nastavením – Nastavení jsou volitelná a dají se nastavit později v nabídce Nastavení systému iOS.Setup Assistant Options - These optional settings can be set up later in the iOS Settings menu.
      • Heslo – Při aktivaci se zobrazí výzva k zadání hesla.Passcode - Prompt for passcode during activation. Vyžaduje vždy heslo, pokud zařízení nebude zabezpečené nebo nebude mít přístup kontrolovaný jiným způsobem (třeba pomocí beznabídkového režimu, který omezuje zařízení na jednu aplikaci).Always require a passcode unless the device will be secured or have access controlled in some other manner (that is, kiosk mode that restricts the device to one app)
        • Zjišťování polohy – Pokud je toto nastavení povolené, Pomocník s nastavením zobrazí při aktivaci výzvu služby.Location Services - If enabled, Setup Assistant prompts for the service during activation
        • Obnovit – Pokud je toto nastavení povolené, Pomocník s nastavením zobrazí při aktivaci výzvu k zálohování do úložiště iCloud.Restore - If enabled, Setup Assistant prompts for iCloud backup during activation
        • Apple ID – Pokud je povolené, vyzve iOS uživatele při pokusu Intune o instalaci aplikace bez ID, aby zadali Apple ID.Apple ID - If enabled, iOS will prompt users for an Apple ID when Intune attempts to install an app without an ID. Apple ID je potřeba ke stahování aplikací pro iOS z App Storu, včetně těch instalovaných službou Intune.An Apple ID is required to download iOS App Store apps, including those installed by Intune.
        • Podmínky a ujednání – V případě povolení Pomocník nastavení vyzve uživatele k přijetí podmínek a ujednání společnosti Apple během aktivace.Terms and Conditions - If enabled, Setup Assistant prompts users to accept Apple's terms and conditions during activation
        • Dotykový identifikátor – V případě povolení Pomocník s nastavením zobrazí během aktivace výzvu pro tuto službu.Touch ID - If enabled, Setup Assistant prompts for this service during activation
        • Dotykový identifikátor – V případě povolení Pomocník s nastavením zobrazí během aktivace výzvu pro tuto službu.Apple Pay - If enabled, Setup Assistant prompts for this service during activation
        • Zvětšení – V případě povolení Pomocník s nastavením zobrazí během aktivace výzvu pro tuto službu.Zoom - If enabled, Setup Assistant prompts for this service during activation
        • Siri – V případě povolení Pomocník s nastavením zobrazí během aktivace výzvu pro tuto službu.Siri - If enabled, Setup Assistant prompts for this service during activation
        • Posílat diagnostická data do Applu – V případě povolení Pomocník s nastavením zobrazí během aktivace výzvu pro tuto službu.Send diagnostic data to Apple - If enabled, Setup Assistant prompts for this service during activation
    • Povolí podrobnější správu přes Apple Configurator –Nastavení možnosti Zakázat zabrání synchronizaci souborů s iTunes nebo správu přes Apple Configurator.Enable additional Apple Configurator management - Set to Disallow to prevent syncing files with iTunes or management via Apple Configurator. Místo použití tohoto nastavení k povolení ručního nasazení s certifikátem nebo bez něj doporučujeme zvolit Zakázat, exportovat další konfiguraci z Apple Configuratoru a potom ji nasadit jako vlastní profil konfigurace pro iOS prostřednictvím Intune.It's a good idea to choose Disallow, export further configurations from Apple Configurator, and then deploy as a Custom iOS configuration profile via Intune instead of using this setting to allow manual deployment with or without a certificate.
      • Zakázat – Brání zařízení v komunikaci přes USB (zakáže párování).Disallow - Prevents the device from communicating via USB (disables pairing)
      • Povolit – Povolí komunikaci zařízení přes USB s libovolným počítačem PC nebo Mac.Allow - Allows a device to communicate via USB connection for any PC or Mac
      • Vyžadovat certifikát – Umožňuje párování s počítačem Mac s certifikátem importovaným do profilu registrace.Require certificate - Allows pairing with a Mac with a certificate imported to the enrollment profile

Přiřazení profilu k zařízenímAssign the profile to devices

  1. V konzole pro správu Microsoft Intune přejděte na Zásady > Registrace podnikového zařízení a potom zvolte Přiřadit.In the Microsoft Intune administration console, go to Policy > Corporate Device Enrollment, and then choose Assign.

  2. Zvolte zařízení, kterému chcete přiřadit profil, který jste vytvořili.Choose the devices to which you want to assign the profile that you created. Můžete zvolit Všechna zařízení nebo vyberte konkrétní zařízení a potom vyberte Přidat.You can choose All devices or select specific devices, and then select Add.

Důležité

V současné době můžete v Intune určit výchozí profil registrace zařízení, což znamená, že nová sériová čísla se automaticky přiřazují k tomuto výchozímu profilu, když se synchronizují nová sériová čísla se službou Apple DEP.Currently, Intune lets you designate a "default" device enrollment profile," which means that new serial numbers are automatically assigned to that default profile when you synchronize new serial numbers with the Apple DEP service. Když tenanta v blízké budoucnosti migrujete do nového portálu Azure Portal, nebudete už moct nastavit výchozí profil a přiřazovat sériová čísla automaticky k tomuto profilu.When your tenant is migrated to the new Azure portal in the near future, you will no longer be able to set a default profile and have serial numbers be automatically assigned to that profile. Místo toho budete muset přiřazovat sériová čísla k určitému profilu.Instead, you will have to assign serial numbers to a specific profile. Další informaceLearn more

Přiřazení zařízení DEP (Device Enrollment Program) pro správuAssign DEP Devices for Management

  1. Přejděte na portál programu Device Enrollment Program (https://deploy.apple.com) a přihlaste se pomocí firemního Apple ID.Go to the Device Enrollment Program Portal (https://deploy.apple.com) and sign in with your company Apple ID.

  2. Přejděte na Program nasazení > Program DEP (Device Enrollment Program) > Spravovat zařízení.Go to Deployment Program > Device Enrollment Program > Manage Devices.

  3. Zadejte, jak budete volit zařízenía zadejte podrobné informace o zařízení: Sériové číslo, Číslo objednávkynebo Nahrát soubor CSV.Specify how you will Choose Devices, provide device information and specify details by device Serial Number, Order Number, or Upload CSV File.

  4. Zvolte Přiřadit k serveru, zvolte <název_serveru> zadaný pro Microsoft Intune a potom zvolte OK.Choose Assign to Server and choose the <ServerName> specified for Microsoft Intune, and then choose OK.

Synchronizace zařízení spravovaných v rámci programu DEPSynchronize DEP-Managed Devices

Tímto postupem synchronizujete zařízení se službou Apple DEP a zařízení se tak objeví v konzole Intune.This step synchronizes devices with the Apple DEP Service, and makes the devices appear in the Intune console.

  1. Přihlaste se jako správce a otevřete konzolu pro správu Microsoft Intune, přejděte na Správce > Správa mobilního zařízení > iOS > Program DEP (Device Enrollment Program) a zvolte Synchronizovat.As an administrative user, open the Microsoft Intune administration console, go to Admin > Mobile Device Management > iOS > Device Enrollment Program, and then choose Sync now. Žádost o synchronizaci se pošle společnosti Apple.A sync request is sent to Apple.

  2. Pokud chcete po synchronizaci zobrazit zařízení spravovaná v programu DEP, přejděte v konzole pro správu Microsoft Intune na Skupiny > Všechna zařízení > Firemní předregistrovaná zařízení > Podle sériového čísla iOS.To see DEP-managed devices after synchronization, in the Microsoft Intune administration console go to Groups > All Devices > Corporate Pre-enrolled devices > By iOS Serial Number. V pracovním prostoru Podle sériového čísla iOS mají spravovaná zařízení u položky Stav nastavení „Nekontaktované“, dokud se zařízení nezapne a nespustí se Pomocník s nastavením pro registraci zařízení.In the By iOS Serial Number workspace, the State for managed devices reads “Not contacted” until the device is powered on and runs the Setup Assistant to enroll the device.

    Pro dosažení souladu s podmínkami společnosti Apple pro přijatelné přenosy v rámci DEP platí v Intune následující omezení:To comply with Apple’s terms for acceptable DEP traffic, Intune imposes the following restrictions:

    • Úplná synchronizace programu DEP se nesmí spouštět častěji než jednou za sedm dní.A full DEP sync can run no more than once every seven days. Během úplné synchronizace Intune aktualizuje všechna sériová čísla, která společnost Apple přiřadila Intune, bez ohledu na jejich dřívější synchronizaci.During a full sync, Intune refreshes every serial number that Apple has assigned to Intune whether the serial has previously been synced or not. Pokud se o úplnou synchronizaci pokusíte do sedmi dnů od předchozí úplné synchronizace, aktualizuje Intune jenom sériová čísla, která ještě nejsou v Intune.If a full sync is attempted within seven days of the previous full sync, Intune only refreshes serial numbers that are not already listed in Intune.

    • Každá žádost o synchronizaci má 10 minut na dokončení.Any sync request is given 10 minutes to finish. Po tuto dobu nebo do úspěšného vykonání požadavku je tlačítko Synchronizovat neaktivní.During this time or until the request succeeds, the Sync button is disabled.

Distribuce zařízení uživatelůmDistribute devices to users

Zařízení vlastněná vaší společností se teď dají distribuovat uživatelům.Your corporate-owned devices can now be distributed to users. Pokud je zařízení s iOSem zapnuté, zaregistruje se jeho správa službou Intune.When an iOS device is turned on it will be enrolled for management by Intune. Limit zařízení uživatelů platí na zařízení spravovaná pomocí DEP.The user device limit applies to DEP-managed devices.

Poznámka

Když se uživatel pokusí zaregistrovat zařízení DEP v době, kdy je limit zařízení překročen, registrace selže, aniž by se zobrazilo upozornění.If a user attempts to enroll a DEP device but has exceeded her device limit, enrollment will fail silently without warning the user.

Změny v přiřazení skupiny pro IntuneChanges to Intune group assignments

Od dubna 2017 se správa skupin zařízení přesouvá do služby Azure Active Directory.Starting in April 2017, device group management is moving to Azure Active Directory. Po přechodu na skupiny Azure Active Directory se už přiřazení skupin nebude zobrazovat mezi možnostmi podnikových profilů zápisu.After the transition to Azure Active Directory groups, group assignment will not appear in the Corporate Enrollment Profile options. Jelikož se tato změna bude zavádět několik měsíců, je možné, že ji nezaznamenáte okamžitě.Because this change will roll out over a series of months, you might not see the change right away. Po přesunu do nového portálu bude možné na základě názvů podnikových profilů registrace definovat nová dynamická přiřazení do skupin zařízení.After moving to the new portal, dynamic device group assignments can be defined based on the Corporate Enrollment Profile names.

Po migraci se pro každou skupinu zařízení s Intune předem přiřazenou profilem registrace podnikového zařízení vytvoří odpovídající dynamická skupina zařízení v adresáři AAD založená na názvu profilu registrace podnikového zařízení.Upon migration, for every Intune device group pre-assigned by a Corporate Device Enrollment profile, a corresponding dynamic device group will be created in Azure AD based on the Corporate Device Enrollment profile’s name. Nové názvy profilů mají formát EnrollmentProfile:<název přiřazeného profilu>.New profile names have the format EnrollmentProfile:<name of associated profile>. Uvedený postup zajistí, aby zařízení, která jsou zařazená do některé skupiny, byla do této skupiny zařízení zaregistrována automaticky i s nasazenými zásadami a aplikacemi.This process ensures that devices that are assigned to a device group already will automatically enroll in the group with policy and apps deployed.

K tomuto automatickému vytvoření skupiny dojde jenom jednou, a to při migraci skupin.This automatic group creation happens only once, during groups migration. Po migraci musí správci Intune skupiny vytvářet pomocí portálu Azure Portal.After migration, Intune admins must create groups using the Azure portal. Podrobnosti o tom, jaký to má vliv na registraci firemních zařízení s iOSem, najdete v tématu Changes to Automatic Grouping for Corporate Pre-enrolled iOS Devices (Změny automatického seskupování pro firemní předregistrovaná zařízení s iOSem).For details about how this affects company-owned iOS device enrollment, see Changes to Automatic Grouping for Corporate Pre-enrolled iOS Devices.

Můžete si také přečíst článek o skupinách ve službě Azure Active Directory, kde získáte další informace.You can also Learn more about Azure Active Directory groups.

Související témataSee also

Předpoklady registrace zařízeníPrerequisites for enrolling devices