Configuración de la inscripción de dispositivos iOS/iPadOS con Apple School ManagerSet up iOS/iPadOS device enrollment with Apple School Manager

Puede configurar Intune para inscribir los dispositivos iOS/iPadOS adquiridos mediante el programa de Apple School Manager.You can set up Intune to enroll iOS/iPadOS devices purchased through the Apple School Manager program. Al usar Intune con Apple School Manager, puede inscribir un gran número de dispositivos iOS/iPadOS sin tener que tocarlos.Using Intune with Apple School Manager, you can enroll large numbers of iOS/iPadOS devices without ever touching them. Cuando un estudiante o profesor activa el dispositivo, se ejecuta el Asistente para la configuración con valores preconfigurados y el dispositivo se inscribe en la administración.When a student or teacher turns on the device, Setup Assistant runs with preconfigured settings and the device enrolls into management.

Para habilitar la inscripción de Apple School Manager, se usan los portales de Intune y de Apple School Manager.To enable Apple School Manager enrollment, you use both the Intune and Apple School Manager portals. Se necesita una lista de números de serie o un número de pedido de compra, de manera que pueda asignar dispositivos a Intune para la administración.A list of serial numbers or a purchase order number is required so you can assign devices to Intune for management. Puede crear perfiles de inscripción de Inscripción de dispositivo automatizada (ADE) que contengan opciones que se apliquen a los dispositivos durante la inscripción.You create Automated Device Enrollment (ADE) enrollment profiles containing settings that applied to devices during enrollment.

La inscripción de Apple School Manager no se puede usar con Inscripción de dispositivos automatizada de Apple ni con el Administrador de inscripciones de dispositivos.Apple School Manager enrollment can't be used with Apple's Automated Device Enrollment or the device enrollment manager.

Requisitos previosPrerequisites

Obtener un token de Apple y asignar los dispositivosGet an Apple token and assign devices

Antes de poder inscribir dispositivos iOS/iPadOS corporativos en Apple School Manager, necesita un archivo de token (.p7m) de Apple.Before you can enroll corporate-owned iOS/iPadOS devices with Apple School Manager, you need a token (.p7m) file from Apple. Este token permite a Intune sincronizar información sobre dispositivos que participan en Apple School Manager.This token lets Intune sync information about Apple School Manager-participating devices. También permite a Intune realizar cargas de perfiles de inscripción a Apple y asignar dispositivos a esos perfiles.It also permits Intune to perform enrollment profile uploads to Apple and to assign devices to those profiles. En Azure Portal, también puede asignar números de serie a los dispositivos para su administración.While you are in the Apple portal, you can also assign device serial numbers to manage.

Paso 1.Step 1. Descargue el certificado de clave pública de Intune necesario para crear un token de AppleDownload the Intune public key certificate required to create an Apple token

  1. En el Centro de administración de Microsoft Endpoint Manager, elija Dispositivos > iOS/iPadOS > Inscripción de iOS/iPadOS > Tokens del programa de inscripción > Agregar.In the Microsoft Endpoint Manager admin center, choose Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment Program Tokens > Add.

    Obtenga un token del programa de inscripción.

  2. En la hoja Token del Programa de inscripción, elija Descargar la clave pública para descargar y guardar localmente el archivo de la clave de cifrado (.pem).In the Enrollment program token blade, choose Download your public key to download and save the encryption key (.pem) file locally. El archivo .pem se usa para solicitar un certificado de relación de confianza en el portal de Apple School Manager.The .pem file is used to request a trust-relationship certificate from the Apple School Manager portal. Hoja Tokens del programa de inscripción.Enrollment Program Token blade.

Paso 2.Step 2. Descargue un token y asigne los dispositivosDownload a token and assign devices

  1. Elija Crear un token mediante Apple School Manager e inicie sesión en Apple School con su identificador de Apple empresarial.Choose Create a token via Apple School Manager, and sign in to Apple School with your company Apple ID. Puede usar este identificador de Apple para renovar el token de Apple School Manager.You can use this Apple ID to renew your Apple School Manager token.

  2. En el portal de Apple School Manager, vaya a MDM Servers (Servidores MDM) y luego elija Add MDM Server (Agregar servidor MDM) (en la parte superior derecha).In the Apple School Manager portal, go to MDM Servers, and then choose Add MDM Server (upper right).

  3. Escriba el nombre del servidor de MDM.Enter the MDM Server Name. El nombre del servidor es su referencia para identificar el servidor de administración de dispositivos móviles (MDM).The server name is for your reference to identify the mobile device management (MDM) server. No es el nombre ni la dirección URL del servidor de Microsoft Intune.It isn't the name or URL of the Microsoft Intune server. Captura de pantalla del portal de Apple School Manager con la opción MDM Servers (Servidores de MDM) seleccionadaScreenshot of Apple School Manager portal with MDM Servers option selected

  4. Elija Upload File... (Cargar archivo...) en el portal de Apple, examine el archivo .pem y elija Save MDM Server (Guardar servidor MDM) (en la parte inferior derecha).Choose Upload File... in the Apple portal, browse to the .pem file, and choose Save MDM Server (lower right).

  5. Elija Get Token (Obtener token) y luego descargue el archivo de token del servidor (.p7m) en el equipo.Choose Get Token and then download the server token (.p7m) file to your computer.

  6. Vaya a Device Assignments (Asignaciones de dispositivos) y Choose Device (Elegir dispositivo) con la entrada manual de números de serie o números de pedido o con la opción Upload CSV File (Cargar archivo CSV).Go to Device Assignments, and Choose Device by manual entry of Serial Numbers, Order Number, or Upload CSV File. Captura de pantalla del portal de Apple School Manager con la opción Device Assignment (Asignación de dispositivos) seleccionadaScreenshot of Apple School Manager portal with Device Assignment option selected

  7. Elija la acción Assign to Server (Asignar al servidor) y elija el servidor MDM que ha creado.Choose the action Assign to Server, and choose the MDM Server you created.

  8. Especifique cómo Elegir dispositivos, después proporcione información de los dispositivos y detalles.Specify how to Choose Devices, then provide device information and details.

  9. Elija Assign to Server (Asignar al servidor), elija el <NombreDeServidor> especificado para Microsoft Intune y después elija Aceptar.Choose Assign to Server and choose the <ServerName> specified for Microsoft Intune, and then choose OK.

Paso 3.Step 3. Guarde el identificador de Apple usado para crear este tokenSave the Apple ID used to create this token

En el Centro de administración de Microsoft Endpoint Manager, proporcione el identificador de Apple como referencia futura.In the Microsoft Endpoint Manager admin center, provide the Apple ID for future reference.

Captura de pantalla sobre cómo especificar el identificador de Apple que se ha usado para crear y buscar el token del Programa de inscripción.

Paso 4.Step 4. Cargue el tokenUpload your token

En el cuadro Token de Apple, vaya al archivo de certificado (.pem), seleccione Abrir y después Crear.In the Apple token box, browse to the certificate (.pem) file, choose Open, and then choose Create. Con el certificado push, Intune puede inscribir y administrar dispositivos iOS/iPadOS mediante la inserción de la directiva en los dispositivos móviles inscritos.With the push certificate, Intune can enroll and manage iOS/iPadOS devices by pushing policy to enrolled mobile devices. Intune sincroniza automáticamente los dispositivos de Apple School Manager desde Apple.Intune automatically synchronizes your Apple School Manager devices from Apple.

Creación de un perfil de inscripción de AppleCreate an Apple enrollment profile

Ahora que ha instalado el token, puede crear un perfil de inscripción para dispositivos de Apple School.Now that you've installed your token, you can create an enrollment profile for Apple School devices. Un perfil de inscripción de dispositivos define la configuración que se aplica a un grupo de dispositivos durante la inscripción.A device enrollment profile defines the settings applied to a group of devices during enrollment.

  1. En el Centro de administración de Microsoft Endpoint Manager, elija Dispositivos > iOS/iPadOS > Inscripción de iOS/iPadOS > Tokens del programa de inscripción.In the Microsoft Endpoint Manager admin center, choose Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens.

  2. Seleccione un token, elija Perfiles y después Crear perfil.Select a token, choose Profiles, and then choose Create profile.

  3. En Crear perfil, escriba un nombre y una descripción para el perfil con fines administrativos.Under Create Profile, enter a Name and Description for the profile for administrative purposes. Los usuarios no ven estos detalles.Users don't see these details. Puede usar este campo de nombre para crear un grupo dinámico en Azure Active Directory.You can use this Name field to create a dynamic group in Azure Active Directory. Use el nombre de perfil para definir el parámetro enrollmentProfileName para asignar dispositivos con este perfil de inscripción.Use the profile name to define the enrollmentProfileName parameter to assign devices with this enrollment profile. Obtenga más información sobre los grupos dinámicos de Azure Active Directory.Learn more about Azure Active Directory dynamic groups.

    Nombre y descripción del perfil.

  4. En Afinidad de usuario, elija si los dispositivos con este perfil deben inscribirse con o sin un usuario asignado.For User Affinity, choose whether devices with this profile must enroll with or without an assigned user.

    • Inscribir con afinidad de usuario: seleccione esta opción para dispositivos que pertenezcan a usuarios y necesiten usar el portal de empresa para hacer uso de servicios, como instalar aplicaciones.Enroll with User Affinity - Choose this option for devices that belong to users and that want to use the company portal for services like installing apps. Esta opción también permite a los usuarios autenticar sus dispositivos mediante el portal de empresa.This option also lets users authenticate their devices by using the company portal. Si se usa ADFS, la afinidad de usuario debe ser Punto de conexión mixto/nombre de usuario de WS-Trust 1.3.If using ADFS, user affinity requires WS-Trust 1.3 Username/Mixed endpoint. Obtenga más información.Learn more. El modo iPad compartido de Apple School Manager requiere la inscripción del usuario sin afinidad de usuario.Apple School Manager's Shared iPad mode requires user enroll without user affinity.

    • Inscribir sin afinidad de usuario: seleccione esta opción para dispositivos no afiliados con un usuario único, como un dispositivo compartido.Enroll without User Affinity - Choose this option for devices unaffiliated with a single user, such as a shared device. Use esta opción para dispositivos que realizan tareas sin tener acceso a datos de usuario local.Use this option for devices that perform tasks without accessing local user data. Las aplicaciones como Portal de empresa no funcionan.Apps like the Company Portal app don't work.

  5. Si elige Inscribir con afinidad de usuario, puede permitir que los usuarios se autentiquen en el Portal de empresa en lugar de con el Asistente de configuración de Apple.If you chose Enroll with User Affinity, you can let users authenticate with Company Portal instead of the Apple Setup Assistant.

    Autenticación con el portal de empresa.

    Nota

    Si quiere realizar alguna de las acciones siguientes, establezca Authenticate with Company Portal instead of Apple Setup Assistant (Autenticar con el Portal de empresa en lugar del Asistente de configuración) en .If you want do any of the following, set Authenticate with Company Portal instead of Apple Setup Assistant to Yes.

    • usar la autenticación multifactoruse multifactor authentication
    • pedir a los usuarios que cambien su contraseña cuando inician sesión por primera vezprompt users who need to change their password when they first sign in
    • pedir a los usuarios que restablezcan las contraseñas expiradas durante la inscripciónprompt users to reset their expired passwords during enrollment

    Estas operaciones no se admiten durante la autenticación con el asistente para configuración de Apple.These aren't supported when authenticating with Apple Setup Assistant.

  6. Elija Configuración de administración de dispositivos y seleccione si quiere o no que se supervisen los dispositivos con este perfil.Choose Device Management Settings and choose if you want devices using this profile to be supervised. Los dispositivos supervisados ofrecen más opciones de administración y, en este caso, el bloqueo de activación está deshabilitado de forma predeterminada.Supervised devices give you more management options and disabled Activation Lock by default. Microsoft recomienda usar ADE como mecanismo para habilitar el modo supervisado de Intune, sobre todo para las organizaciones que implementan un gran número de dispositivos iOS/iPadOS.Microsoft recommends using ADE as the mechanism for enabling Intune's supervised mode, especially for organizations that are deploying large numbers of iOS/iPadOS devices.

    Los usuarios reciben notificaciones de que sus dispositivos están supervisados de dos maneras:Users are notified that their devices are supervised in two ways:

    • En la pantalla de bloqueo aparece: "This iPhone is managed by Contoso" (Contoso administra este iPhone).The lock screen says: "This iPhone is managed by Contoso."

    • En la pantalla Configuración > General > Acerca de aparece: "This iPhone is supervised.The Settings > General > About screen says: "This iPhone is supervised. Contoso can monitor your Internet traffic and locate this device" (Este iPhone está supervisado. Contoso puede supervisar el tráfico de Internet y localizar este dispositivo)Contoso can monitor your Internet traffic and locate this device."

      Nota

      Un dispositivo inscrito sin supervisión solo puede restablecerse a supervisado con Apple Configurator.A device enrolled without supervision can only be reset to supervised by using the Apple Configurator. Para restablecer el dispositivo de esta forma, es necesario conectar un dispositivo iOS/iPadOS a un Mac con un cable USB.Resetting the device in this manner requires connecting an iOS/iPadOS device to a Mac with a USB cable. Obtenga más información en los documentos de Apple Configurator.Learn more about this on Apple Configurator docs.

  7. Elija si desea que la inscripción de dispositivos esté bloqueada con este perfil.Choose if you want locked enrollment for devices using this profile. Inscripción bloqueada deshabilita la configuración de iOS/iPadOS que permite que el perfil de administración se quite del menú Configuración.Locked enrollment disables iOS/iPadOS settings that allow the management profile to be removed from the Settings menu. Tras la inscripción del dispositivo, no se puede cambiar esta configuración sin borrar dicho dispositivo.After device enrollment, you can't change this setting without wiping the device. Estos dispositivos deben tener el modo de administración supervisado definido en .Such devices must have the Supervised Management Mode set to Yes.

  8. Puede permitir que varios usuarios inicien sesión en dispositivos iPad inscritos mediante el uso de un identificador de Apple administrado.You can let multiple users sign on to enrolled iPads by using a managed Apple ID. Para ello, elija en iPad compartido (esta opción requiere Inscribir sin afinidad de usuario y que el modo Supervisado se establezca en ). Los identificadores de Apple administrados se crean en el portal de Apple School Manager.To do so, choose Yes under Shared iPad (this option requires Enroll without User Affinity and Supervised mode set to Yes.) Managed Apple IDs are created in the Apple School Manager portal. Obtenga más información sobre Shared iPad y los requisitos de Shared iPad de Apple.Learn more about shared iPad and Apple's shared iPad requirements.

  9. Elija si desea que los dispositivos que usan este perfil se puedan sincronizar con equipos.Choose if you want the devices using this profile to be able to Sync with computers. Denegar todo significa que ningún dispositivo que use este perfil podrá sincronizarse con los datos de ningún equipo.Deny All means that all devices using this profile won't be able to sync with any data on any computer. Si elige Permitir Apple Configurator mediante certificado, debe seleccionar un certificado en Certificado de Apple Configurator.If you choose Allow Apple Configurator by certificate, you must choose a certificate under Apple Configurator Certificates.

  10. Si selecciona Permitir Apple Configurator mediante certificado en el paso anterior, elija un certificado de Apple Configurator para importarlo.If you chose Allow Apple Configurator by certificate in the previous step, choose an Apple Configurator Certificate to import.

  11. Puede especificar un formato de nombre para los dispositivos que se aplique automáticamente cuando se inscriban.You can specify a naming format for devices that is automatically applied when they enroll. Para ello, elija No en Aplicar plantilla de nombre de dispositivo.To do so, select Yes under Apply device name template. A continuación, en el cuadro Device Name Template (Plantilla de nombre de dispositivo), escriba la plantilla que se usará para los nombres que usan este perfil.Then, in the Device Name Template box, enter the template to use for the names using this profile. Puede especificar un formato de plantilla que incluya el tipo de dispositivo y el número de serie.You can specify a template format that includes the device type and serial number.

  12. Elija Aceptar.Choose OK.

  13. Seleccione Valores del Asistente de configuración para configurar las siguientes opciones de perfil: Personalización del Asistente de configuración.Choose Setup Assistant Settings to configure the following profile settings: Setup Assistant Customization.

    SettingSetting DescripciónDescription
    Nombre de departamentoDepartment Name Aparece cuando los usuarios pulsan Acerca de la configuración durante la activación.Appears when users tap About Configuration during activation.
    Teléfono del departamentoDepartment Phone Aparece cuando el usuario hace clic en el botón Necesito ayuda durante la activación.Appears when the user clicks the Need Help button during activation.
    Opciones del Asistente para la configuraciónSetup Assistant Options Estas opciones opcionales se pueden configurar más adelante en el menú Configuración de iOS/iPadOS.The following optional settings can be set up later in the iOS/iPadOS Settings menu.
    Código de accesoPasscode Solicita el código de acceso durante la activación.Prompt for passcode during activation. Solicite siempre un código de acceso para dispositivos no protegidos a menos que el acceso esté controlado de otra manera (como el modo de quiosco que restringe el dispositivo a una aplicación).Always require a passcode for unsecured devices unless access is controlled in some other manner (like kiosk mode that restricts the device to one app).
    Servicios de ubicaciónLocation Services Si está habilitado, el Asistente para la configuración solicitará este servicio durante la activación.If enabled, Setup Assistant prompts for the service during activation.
    RestaurarRestore Si está habilitado, el Asistente para la configuración solicitará una copia de seguridad de iCloud durante la activación.If enabled, Setup Assistant prompts for iCloud backup during activation.
    iCloud e identificador de AppleiCloud and Apple ID Si está habilitado, el Asistente para la configuración solicita al usuario que inicie sesión con un identificador de Apple y en la pantalla Aplicaciones y datos se permitirá restaurar el dispositivo a partir de la copia de seguridad de iCloud.If enabled, Setup Assistant prompts the user to sign in an Apple ID and the Apps & Data screen will allow the device to be restored from iCloud backup.
    Términos y condicionesTerms and Conditions Si está habilitado, el Asistente para la configuración solicita a los usuarios que acepten los términos y condiciones de Apple durante la activación.If enabled, Setup Assistant prompts users to accept Apple's terms and conditions during activation.
    Touch IDTouch ID Si está habilitado, el Asistente para la configuración solicitará este servicio durante la activación.If enabled, Setup Assistant prompts for this service during activation.
    Apple PayApple Pay Si está habilitado, el Asistente para la configuración solicitará este servicio durante la activación.If enabled, Setup Assistant prompts for this service during activation.
    ZoomZoom Si está habilitado, el Asistente para la configuración solicitará este servicio durante la activación.If enabled, Setup Assistant prompts for this service during activation.
    SiriSiri Si está habilitado, el Asistente para la configuración solicitará este servicio durante la activación.If enabled, Setup Assistant prompts for this service during activation.
    Datos de diagnósticoDiagnostic Data Si está habilitado, el Asistente para la configuración solicitará este servicio durante la activación.If enabled, Setup Assistant prompts for this service during activation.
  14. Elija Aceptar.Choose OK.

  15. Para guardar el perfil, elija Crear.To save the profile, choose Create.

Conectar con School Data SyncConnect School Data Sync

(Opcional) Apple School Manager admite la sincronización de datos de lista de clase con Azure Active Directory (AD) mediante Microsoft School Data Sync (SDS).(Optional) Apple School Manager supports synchronizing class roster data to the Azure Active Directory (AD) using Microsoft School Data Sync (SDS). Solo puede sincronizar un token con SDS.You can only sync one token with SDS. Si configura otro token con School Data Sync, SDS se quitará del token que lo tenía anteriormente.If you set up another token with School Data Sync, SDS will be removed from the token that previously had it. Una nueva conexión reemplazará el token actual.A new connection will replace the current token. Complete los pasos siguientes para usar SDS para sincronizar los datos educativos.Complete the following steps to use SDS to sync school data.

  1. En el Centro de administración de Microsoft Endpoint Manager, elija Dispositivos > iOS/iPadOS > Inscripción de iOS/iPadOS > Tokens del programa de inscripción.In the Microsoft Endpoint Manager admin center, choose Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens.
  2. Seleccione un token de Apple School Manager y elija School Data Sync.Select an Apple School Manager token and then choose School Data Sync.
  3. En School Data Sync, elija Permitir.Under School Data Sync, choose Allow. Esta configuración permite a Intune conectarse con SDS en Microsoft 365.This setting allows Intune to connect with SDS in Microsoft 365.
  4. Para habilitar una conexión entre Apple School Manager y Azure AD, elija Configurar Microsoft School Data Sync. Obtenga más información sobre cómo configurar School Data Sync.To enable a connection between Apple School Manager and Azure AD, choose Set up Microsoft School Data Sync. Learn more about how to set up School Data Sync.
  5. Haga clic en Guardar > Aceptar.Click Save > OK.

Sincronizar dispositivos administradosSync managed devices

Una vez que se ha concedido permiso a Intune para administrar los dispositivos de Apple School Manager, sincronice Intune con el servicio de Apple para ver los dispositivos administrados en Intune.After Intune has been assigned permission to manage your Apple School Manager devices, synchronize Intune with the Apple service to see your managed devices in Intune.

En el Centro de administración de Microsoft Endpoint Manager, elija Dispositivos > iOS/iPadOS > Inscripción de iOS/iPadOS > Tokens del programa de inscripción > elija un token de la lista > Dispositivos > Sincronizar. Captura de pantalla del nodo Dispositivos del Programa de inscripción seleccionado y el vínculo Sincronizar.In the Microsoft Endpoint Manager admin center), choose Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens > choose a token in the list > Devices > Sync. Screenshot of the Enrollment Program Devices node and Sync link.

Para cumplir con los términos de Apple relativos a un tráfico del programa de inscripción aceptable, Intune impone las restricciones siguientes:To follow Apple's terms for acceptable enrollment program traffic, Intune imposes the following restrictions:

  • Una sincronización completa no se puede ejecutar más de una vez cada siete días.A full sync can run no more than once every seven days. Durante una sincronización completa, Intune actualiza todos los números de serie de Apple asignados a Intune.During a full sync, Intune refreshes every Apple serial number assigned to Intune. Si se intenta efectuar una sincronización completa sin que hayan pasado siete días desde la última sincronización completa, Intune solo actualizará los números de serie que aún no aparezcan en Intune.If a full sync is attempted within seven days of the previous full sync, Intune only refreshes serial numbers that aren't already listed in Intune.
  • Las solicitudes de sincronización tardan 15 minutos en finalizar.Any sync request is given 15 minutes to finish. Durante este tiempo, o hasta que la solicitud finalice correctamente, el botón Sincronización está deshabilitado.During this time or until the request succeeds, the Sync button is disabled.
  • Intune sincroniza con Apple los dispositivos nuevos y eliminados cada 24 horas.Intune syncs new and removed devices with Apple every 24 hours.

Nota

También puede asignar números de serie de Apple School Manager a los perfiles en la hoja Dispositivos del Programa de inscripción.You can also assign Apple School Manager serial numbers to profiles from the Enrollment Program Devices blade.

Asignar un perfil a los dispositivosAssign a profile to devices

Los dispositivos de Apple School Manager administrados por Intune deben tener un perfil de inscripción asignado antes de la inscripción.Apple School Manager devices managed by Intune must be assigned an enrollment profile before they're enrolled.

  1. En el Centro de administración de Microsoft Endpoint Manager, elija Dispositivos > iOS/iPadOS > Inscripción de iOS/iPadOS > Tokens del programa de inscripción > elija un token de la lista.In the Microsoft Endpoint Manager admin center, choose Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment program tokens > choose a token in the list.
  2. Elija Dispositivos > Elija los dispositivos de la lista > Asignar perfil.Choose Devices > choose devices in the list > Assign profile.
  3. En Asignar perfil, elija un perfil para los dispositivos y después seleccione Asignar.Under Assign profile, choose a profile for the devices, and then choose Assign.

Distribuir los dispositivos a los usuariosDistribute devices to users

Ha habilitado la administración y sincronización entre Apple e Intune, y ha asignado un perfil para permitir que sus dispositivos de Apple School se inscriban.You have enabled management and syncing between Apple and Intune, and assigned a profile to let your Apple School devices enroll. Ahora puede distribuir los dispositivos a los usuarios.You can now distribute devices to users. Cuando se activa un dispositivo iOS/iPadOS en Apple School Manager, se inscribe para que Intune lo administre.When an iOS/iPadOS Apple School Manager device is turned on, it's enrolled for management by Intune. Los perfiles no se pueden aplicar a los dispositivos activados actualmente en uso hasta que se borre el dispositivo.Profiles can't be applied to activated devices currently in use until the device is wiped.