Konfigurowanie automatycznej rejestracji urządzeń w Intune

  • Artykuł

Dotyczy systemu iOS/iPadOS

Urządzenia należące do firmy zakupione za pośrednictwem programu Apple Business Manager lub Apple School Manager można zarejestrować w Intune za pośrednictwem automatycznej rejestracji urządzeń. Ta opcja rejestracji stosuje ustawienia organizacji z programu Apple Business Manager i Apple School Manager i rejestruje urządzenia bez konieczności ich dotykania. Telefony iPhone i iPad mogą być dostarczane bezpośrednio do pracowników i studentów. Po włączeniu urządzeń Asystent ustawień firmy Apple przeprowadzi ich przez proces konfiguracji i rejestracji.

W tym artykule opisano sposób przygotowywania i konfigurowania automatycznej rejestracji urządzeń w Microsoft Intune.

Omówienie funkcji

W poniższej tabeli przedstawiono funkcje i scenariusze obsługiwane przez automatyczne rejestrowanie urządzeń.

Funkcja Użyj tej opcji rejestracji, gdy
Chcesz tryb nadzorowany. ✔️

Tryb nadzorowany wdraża aktualizacje oprogramowania, ogranicza funkcje, zezwala i blokuje aplikacje i nie tylko.
Urządzenia są własnością organizacji lub szkoły. ✔️
Masz nowe urządzenia. ✔️
Należy zarejestrować kilka urządzeń lub dużą liczbę urządzeń (rejestracja zbiorcza). ✔️
Urządzenia są skojarzone z pojedynczym użytkownikiem. ✔️
Urządzenia są bez użytkownika, takie jak kiosk lub urządzenie dedykowane. ✔️
Urządzenia są w trybie urządzenia udostępnionego. ✔️
Urządzenia są osobiste lub BYOD.

Niezalecane. Aplikacjami na urządzeniach BYOD lub osobistych można zarządzać przy użyciu zarządzania aplikacjami mobilnymi lub rejestracji użytkowników i urządzeń.
Urządzenia są zarządzane przez innego dostawcę mdm.

Aby w pełni zarządzać Intune, użytkownicy muszą wyrejestrować się z bieżącego dostawcy mdm, a następnie zarejestrować się w Intune. Możesz też użyć funkcji ZARZĄDZANIA aplikacjami mobilnymi do zarządzania określonymi aplikacjami na urządzeniu. Ponieważ te urządzenia są własnością organizacji, zalecamy zarejestrowanie ich w Intune.
Używasz konta menedżera rejestracji urządzeń (DEM).

Konto DEM nie jest obsługiwane.

Wymagania wstępne

Przed utworzeniem profilu rejestracji musisz mieć następujące elementy:

Przed rozpoczęciem

Zapoznaj się z tymi wymaganiami i najlepszymi rozwiązaniami dotyczącymi rejestracji, aby przygotować się do pomyślnej konfiguracji i wdrożenia.

Wybieranie metody uwierzytelniania

Przed utworzeniem profilu rejestracji zdecyduj, w jaki sposób użytkownicy mają uwierzytelniać się na swoich urządzeniach: za pośrednictwem aplikacji Intune — Portal firmy, Asystenta ustawień (starsza wersja) lub Asystenta ustawień z nowoczesnym uwierzytelnianiem. Korzystanie z aplikacji Portal firmy lub Asystenta ustawień z nowoczesnym uwierzytelnianiem jest uznawane za nowoczesne uwierzytelnianie i ma funkcje, takie jak uwierzytelnianie wieloskładnikowe.

Intune obsługuje również rejestrację just in time dla Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania, co eliminuje konieczność rejestracji i zgodności aplikacji Portal firmy dla Microsoft Entra. Aby korzystać z rejestracji JIT, należy utworzyć zasady konfiguracji urządzenia przed utworzeniem profilu rejestracji firmy Apple i skonfigurowaniem Asystenta ustawień przy użyciu nowoczesnego uwierzytelniania.

Asystent ustawień z nowoczesnym uwierzytelnianiem jest obsługiwany na urządzeniach z systemem iOS/iPadOS 13.0 lub nowszym. Starsze urządzenia z systemem iOS/iPadOS z tym profilem będą zamiast tego używać Asystenta ustawień (starsza wersja) do uwierzytelniania.

Aby uzyskać więcej informacji na temat opcji uwierzytelniania, zobacz Metody uwierzytelniania na potrzeby automatycznej rejestracji urządzeń.

Co to jest tryb nadzorowany?

Tryb nadzorowany zapewnia większą kontrolę zarządzania nad urządzeniami należącymi do firmy, dzięki czemu można wykonywać takie czynności, jak przechwytywanie ekranu blokowego i ograniczanie funkcji AirDrop.

Urządzenia należące do firmy z systemem iOS/iPadOS 11 lub nowszym i zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń powinny zawsze być w trybie nadzorowanym, który można włączyć w profilu rejestracji. Aby uzyskać więcej informacji na temat trybu nadzorowanego, zobacz Włączanie trybu nadzorowanego systemu iOS/iPadOS. Microsoft Intune ignoruje flagę is_supervised dla urządzeń z systemem iOS/iPadOS 13.0 lub nowszym, ponieważ te urządzenia są automatycznie umieszczane w trybie nadzorowanym w momencie rejestracji.

Rejestrowanie urządzeń w trybie urządzenia udostępnionego

Możesz skonfigurować automatyczne rejestrowanie urządzeń dla urządzeń w trybie urządzenia udostępnionego. Tryb urządzenia udostępnionego to funkcja Tożsamość Microsoft Entra, która umożliwia pracownikom pierwszej linii udostępnianie jednego urządzenia przez cały dzień, logując się i w razie potrzeby. Aby uzyskać więcej informacji na temat włączania rejestracji urządzeń w trybie Microsoft Entra urządzenia udostępnionego, zobacz Automatyczne rejestrowanie urządzeń w trybie urządzenia udostępnionego.

Wdrażanie aplikacji Portal firmy

Ważna

Nie zalecamy używania App Store wersji aplikacji Portal firmy, ponieważ nie jest ona zgodna z automatyczną rejestracją urządzeń i nie zapewnia automatycznych aktualizacji i dostępności, tak jak w przypadku wdrożenia.

Wdrażanie aplikacji Intune — Portal firmy za pośrednictwem Intune jest najlepszym sposobem udostępnienia aplikacji użytkownikom i jedynym sposobem na:

  • Upewnij się, że wszystkie urządzenia ADE, w tym już zarejestrowane, otrzymują aplikację.
  • Włącz automatyczne aktualizacje aplikacji dla Portal firmy na urządzeniach ADE.

Wdróż aplikację jako wymaganą aplikację VPP z licencjonowaniem urządzeń. Aby uzyskać informacje o sposobie synchronizacji, przypisywania aplikacji VPP i zarządzania nią, zobacz Przypisywanie aplikacji zakupionej zbiorczo.

Aby włączyć automatyczne aktualizacje aplikacji dla Portal firmy, przejdź do ustawień tokenu aplikacji w centrum administracyjnym i zmień opcję Automatyczne aktualizacje aplikacji na Tak. Aby uzyskać informacje o krokach uzyskiwania dostępu do ustawień tokenu , zobacz Przekazywanie tokenu lokalizacji programu Apple VPP lub Apple Business Manager . Jeśli nie włączysz aktualizacji automatycznych, użytkownik urządzenia będzie musiał ręcznie sprawdzić je samodzielnie.

Przemieszczanie urządzenia służy do przenoszenia urządzenia bez koligacji użytkownika do urządzenia z koligacją użytkownika. Aby przygotować urządzenie, skonfiguruj wdrożenie programu VPP zgodnie z opisem we wcześniejszej części tej sekcji. Następnie skonfiguruj i wdróż zasady konfiguracji aplikacji. Upewnij się, że zasady dotyczą tylko tych urządzeń ADE bez koligacji użytkownika.

Ważna

Podczas rejestracji początkowej Intune automatycznie wypycha ustawienia zasad konfiguracji aplikacji dla urządzeń zarejestrowanych przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem, skonfigurowane w temacie Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemem iOS i iPadOS zarejestrowanych w zautomatyzowanej rejestracji urządzeń, gdy ustawienie profilu rejestracji Zainstaluj Portal firmy jest ustawione na wartość tak. Tej konfiguracji nie należy wdrażać ręcznie dla użytkowników, ponieważ spowoduje to konflikt z konfiguracją wysłaną podczas początkowej rejestracji. Jeśli oba są wdrażane, Intune niepoprawnie monituje użytkowników urządzeń o zalogowanie się do Portal firmy i pobranie już zainstalowanego profilu zarządzania.

Limity

  • Maksymalna liczba profilów rejestracji na token: 1000
  • Maksymalna liczba urządzeń zautomatyzowanej rejestracji urządzeń na profil: 200 000 (tyle samo co maksymalna liczba urządzeń na token).
  • Maksymalna liczba tokenów automatycznej rejestracji urządzeń na konto Intune: 2000
  • Maksymalna liczba urządzeń automatycznej rejestracji urządzeń na token: 200 000
    • Zalecamy, aby nie przekraczać 200 000 urządzeń na token. W przeciwnym razie mogą wystąpić problemy z synchronizacją. Jeśli masz więcej niż 200 000 urządzeń, podziel urządzenia na wiele tokenów ADE.
    • Apple Business Manager i Apple School Manager synchronizuje około 3000 urządzeń z Intune na minutę. Zalecamy ponowne wstrzymanie ręcznej synchronizacji z centrum administracyjnego do czasu ukończenia synchronizacji wszystkich urządzeń (łączna liczba urządzeń/3000 urządzeń na minutę).

Rozwiązywanie problemów z rejestracją

Jeśli podczas procesu rejestracji występują problemy z synchronizacją, możesz poszukać rozwiązań w artykule Rozwiązywanie problemów z rejestracją urządzeń z systemem iOS/iPadOS.

Uzyskiwanie tokenu automatycznej rejestracji urządzeń firmy Apple

Przed zarejestrowaniem urządzeń z systemem iOS/iPadOS przy użyciu usługi ADE potrzebny jest zautomatyzowany token rejestracji urządzenia (plik p7m) firmy Apple. Ten token umożliwia Intune synchronizowanie informacji o urządzeniach ADE, których właścicielem jest Twoja organizacja. Umożliwia również Intune przekazywanie profilów rejestracji do firmy Apple i przypisywanie urządzeń do tych profilów.

Użyj programu Apple Business Manager (ABM) lub Apple School Manager (ASM), aby utworzyć token i przypisać urządzenia do Intune na potrzeby zarządzania.

Uwaga

Aby włączyć usługę ADE, możesz użyć portalu ABM lub portalu ASM. Pozostała część tego artykułu odnosi się do portalu ABM, ale kroki są takie same dla obu portali.

Krok 1. Pobieranie certyfikatu klucza publicznego Intune

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Rejestracja urządzeń>.

  2. Wybierz kartę Apple .

  3. Wybierz pozycję Tokeny> programu rejestracjiDodaj.

  4. Na karcie Podstawy :

    1. Wybierz pozycję Zgadzam się , aby udzielić firmie Microsoft uprawnień do wysyłania informacji o użytkowniku i urządzeniu do firmy Apple:

      Zrzut ekranu przedstawiający ekran Dodawanie tokenu programu rejestracji.

    2. Wybierz pozycję Pobierz certyfikat klucza publicznego Intune wymagany do utworzenia tokenu. Ten krok powoduje pobranie i zapisanie pliku klucza szyfrowania (pem) lokalnie. Plik pem służy do żądania certyfikatu relacji zaufania z portalu usługi Apple Business Manager.

      Przekażesz ten plik pem w programie Apple Business Manager w kroku 2. Przejdź do portalu usługi Apple Business Manager (w tym artykule).

    3. Pozostaw tę kartę przeglądarki internetowej i otwartą stronę. Jeśli zamkniesz kartę:

      • Pobrany certyfikat jest unieważniony.
      • Musisz powtórzyć kroki.
      • Na karcie Przeglądanie i tworzenie przycisk Utwórz jest niedostępny i nie można wykonać tej procedury.

Krok 2. Przejdź do portalu usługi Apple Business Manager

Użyj portalu usługi Apple Business Manager, aby utworzyć i odnowić token ADE (serwer MDM). Ten token jest dodawany do Intune i komunikuje się między Intune a firmą Apple.

Uwaga

W poniższych krokach opisano, co należy zrobić w programie Apple Business Manager. Aby zapoznać się z konkretnymi krokami, zapoznaj się z dokumentacją firmy Apple. Pomocny może być przewodnik użytkownika programu Apple Business Manager (w witrynie internetowej firmy Apple).

Pobieranie tokenu firmy Apple

  1. W programie Apple Business Manager zaloguj się przy użyciu identyfikatora Apple ID firmy.

  2. W tym portalu wykonaj następujące kroki.

    • W ustawieniach są wyświetlane wszystkie tokeny. Dodaj serwer MDM i przekaż certyfikat klucza publicznego (plik pem), który został pobrany z Intune w kroku 1. Pobieranie certyfikatu klucza publicznego Intune (w tym artykule).

      Użyj nazwy serwera, aby zidentyfikować serwer zarządzania urządzeniami przenośnymi (MDM). Nie jest to nazwa ani adres URL usługi Microsoft Intune.

    • Po zapisaniu serwera MDM wybierz go, a następnie pobierz token (plik p7m). Ten token p7m przekażesz w Intune w kroku 4. Przekazywanie tokenu i zakończenie (w tym artykule).

Przypisywanie urządzeń do tokenu firmy Apple (serwer MDM)

  1. W obszarzeUrządzeniaprogramu Apple Business Manager> wybierz urządzenia, które chcesz przypisać do tego tokenu. Możesz sortować według różnych właściwości urządzenia, takich jak numer seryjny. Można również wybrać wiele urządzeń jednocześnie.
  2. Edytuj zarządzanie urządzeniami i wybierz właśnie dodany serwer MDM. Ten krok przypisuje urządzenia do tokenu.

Krok 3. Zapisywanie identyfikatora Apple ID

  1. W przeglądarce internetowej wróć do strony Dodawanie tokenu programu rejestracji w Intune. Ta strona powinna być otwarta, jak wspomniano w kroku 1. Pobieranie Intune certyfikatu klucza publicznego (w tym artykule).

  2. W polu Apple ID wprowadź swój identyfikator. Ten krok zapisuje identyfikator. Identyfikator może być używany w przyszłości.

    Sreenshot, który pokazuje pole Apple ID na karcie Podstawy.

Krok 4. Przekazywanie tokenu i zakończenie

  1. W tokenie firmy Apple przejdź do pliku certyfikatu p7m, a następnie wybierz pozycję Otwórz.

    Ten token p7m został pobrany w kroku 2. Przejdź do portalu usługi Apple Business Manager.

  2. Wybierz pozycję Dalej.

  3. Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

Za pomocą certyfikatu wypychania Intune może rejestrować urządzenia z systemem iOS/iPadOS i zarządzać nimi, wypychając zasady do zarejestrowanych urządzeń przenośnych. Intune automatycznie synchronizuje się z firmą Apple w celu uzyskania dostępu do konta programu rejestracji.

Tworzenie profilu rejestracji firmy Apple

Po zainstalowaniu tokenu możesz utworzyć profil rejestracji na potrzeby automatycznej rejestracji urządzeń. Profil rejestracji urządzeń określa ustawienia stosowane do grupy urządzeń podczas rejestracji. Istnieje limit 1000 profilów rejestracji na token rejestracji.

Uwaga

Rejestracja urządzeń zostanie zablokowana, jeśli nie ma wystarczającej liczby licencji Portal firmy tokenu programu VPP lub jeśli token wygaśnie. Intune alerty, gdy token wkrótce wygaśnie lub licencje są na wyczerpaniu.

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.

  2. Wybierz kartę Apple .

  3. Wybierz pozycję Tokeny programu rejestracji.

  4. Wybierz token, a następnie wybierz pozycję Profile.

  5. Wybierz pozycję Utwórz profil>dla systemu iOS/iPadOS.

  6. W obszarze Podstawy nadaj profilowi nazwę i opis do celów administracyjnych. Użytkownicy nie widzą tych szczegółów.

  7. Wybierz pozycję Dalej.

    Ważna

    Jeśli wprowadzisz zmiany w istniejącym profilu rejestracji, nowe ustawienia nie będą obowiązywać na przypisanych urządzeniach, dopóki urządzenia nie zostaną przywrócone do ustawień fabrycznych i zostaną ponownie aktywowane. Ustawienie szablonu nazwy urządzenia jest jedynym ustawieniem, które można zmienić, które nie wymaga resetowania do ustawień fabrycznych. Zmiany szablonu nazewnictwa wejdą w życie podczas następnego zaewidencjonowania.

  8. Na liście Koligacja użytkownika wybierz opcję, która określa, czy urządzenia z tym profilem muszą zostać zarejestrowane u przypisanego użytkownika lub bez niego.

    • Rejestrowanie przy użyciu koligacji użytkownika: wybierz tę opcję dla urządzeń należących do użytkowników, którzy chcą używać Portal firmy usług, takich jak instalowanie aplikacji.

    • Rejestrowanie bez koligacji użytkownika: wybierz tę opcję dla urządzeń, które nie są powiązane z jednym użytkownikiem. Użyj tej opcji dla urządzeń, które nie uzyskują dostępu do danych użytkowników lokalnych. Ta opcja jest zwykle używana w przypadku kiosku, punktu sprzedaży (POS) lub urządzeń z udostępnionymi narzędziami.

      W niektórych sytuacjach możesz chcieć skojarzyć użytkownika podstawowego na urządzeniach zarejestrowanych bez koligacji użytkownika. Aby wykonać to zadanie, możesz wysłać IntuneUDAUserlessDevice klucz do aplikacji Portal firmy w zasadach konfiguracji aplikacji dla urządzeń zarządzanych. Pierwszy użytkownik, który loguje się do aplikacji Portal firmy, jest ustanawiany jako użytkownik podstawowy. Jeśli pierwszy użytkownik wyloguje się, a drugi zaloguje się, pierwszy użytkownik pozostanie podstawowym użytkownikiem urządzenia. Aby uzyskać więcej informacji, zobacz Konfigurowanie aplikacji Portal firmy do obsługi urządzeń z systemami iOS i iPadOS ADE.

    • Zarejestruj w Tożsamość Microsoft Entra trybie udostępnionym: wybierz tę opcję, aby zarejestrować urządzenia, które będą w trybie udostępnionym.

  9. Jeśli wybrano pozycję Zarejestruj przy użyciu koligacji użytkownika dla pola Koligacja użytkownika , masz możliwość wybrania metody uwierzytelniania, która musi być używana przez pracowników. Aby uzyskać więcej informacji o każdej metodzie uwierzytelniania, zobacz Metody uwierzytelniania dla automatycznej rejestracji urządzeń.

    Zrzut ekranu przedstawiający opcje metody uwierzytelniania.

    Dostępne opcje:

    • Portal firmy
    • Asystent ustawień (starsza wersja)
    • Asystent ustawień z nowoczesnym uwierzytelnianiem

  10. Jeśli wybrano Asystenta ustawień (starsza wersja) dla metody uwierzytelniania, ale chcesz również użyć dostępu warunkowego lub wdrożyć aplikacje firmowe na urządzeniach, musisz zainstalować Portal firmy na urządzeniach i zalogować się, aby ukończyć rejestrację Microsoft Entra. W tym celu wybierz pozycję Tak, aby zainstalować Portal firmy. Jeśli chcesz, aby użytkownicy otrzymywali Portal firmy bez konieczności uwierzytelniania w App Store, w obszarze Instalowanie Portal firmy za pomocą programu VPP wybierz token programu VPP. Upewnij się, że token nie wygaśnie i że masz wystarczającą liczbę licencji urządzeń, aby aplikacja Portal firmy mogła zostać prawidłowo wdrożona.

  11. Jeśli wybierzesz token na potrzeby instalacji Portal firmy przy użyciu programu VPP, możesz zablokować urządzenie w trybie pojedynczej aplikacji (w szczególności w aplikacji Portal firmy) bezpośrednio po zakończeniu pracy Asystenta ustawień. Wybierz pozycję Tak, aby uruchomić Portal firmy w trybie pojedynczej aplikacji, dopóki uwierzytelnianie nie ustawi tej opcji. Aby korzystać z urządzenia, użytkownik musi najpierw uwierzytelnić się, logując się przy użyciu Portal firmy.

    Uwaga

    Uwierzytelnianie wieloskładnikowe nie jest obsługiwane na jednym urządzeniu zablokowanym w trybie pojedynczej aplikacji. To ograniczenie istnieje, ponieważ urządzenie nie może przełączyć się do innej aplikacji w celu ukończenia drugiego czynnika uwierzytelniania. Jeśli chcesz korzystać z uwierzytelniania wieloskładnikowego na urządzeniu z trybem pojedynczej aplikacji, drugi czynnik musi znajdować się na innym urządzeniu.

    Ta funkcja jest obsługiwana tylko w systemie iOS/iPadOS 11.3.1 lub nowszym.

    Zrzut ekranu przedstawiający opcję Uruchom Portal firmy w trybie pojedynczej aplikacji.

  12. Jeśli chcesz, aby urządzenia korzystające z tego profilu były nadzorowane, wybierz pozycję Tak na liście Nadzorowane :

    Zrzut ekranu przedstawiający opcję Nadzorowane.

    Urządzenia nadzorowane zapewniają więcej opcji zarządzania i domyślnie wyłączoną blokadę aktywacji. Firma Microsoft zaleca używanie usługi ADE jako mechanizmu włączania trybu nadzorowanego, zwłaszcza jeśli wdrażasz dużą liczbę urządzeń z systemem iOS/iPadOS. Urządzenia Apple Shared iPad dla firm muszą być nadzorowane.

    Użytkownicy są powiadamiani, że ich urządzenia są nadzorowane w aplikacji Ustawienia . W aplikacji w górnej części ekranu jest wyświetlany komunikat statyczny informujący o tym, że ten iPhone jest nadzorowany i zarządzany przez <your organization>program .

    Uwaga

    Jeśli urządzenie jest zarejestrowane bez nadzoru, musisz użyć programu Apple Configurator, jeśli chcesz ustawić je na nadzorowane. Aby zresetować urządzenie w ten sposób, należy podłączyć je do komputera Mac za pomocą kabla USB. Aby uzyskać więcej informacji, zobacz Pomoc programu Apple Configurator.

  13. Na liście Rejestracja zablokowana wybierz pozycję Tak lub Nie. Rejestracja zablokowana wyłącza ustawienia systemu iOS/iPadOS, które umożliwiają usunięcie profilu zarządzania. Jeśli włączysz rejestrację zablokowaną, przycisk w aplikacji Ustawienia, który umożliwia użytkownikom usunięcie profilu zarządzania, będzie ukryty, a użytkownicy nie będą mogli wyrejestrować urządzenia. Jeśli konfigurujesz urządzenia w trybie Tożsamość Microsoft Entra udostępnionym, wybierz pozycję Tak.

    Rejestracja zablokowana działa nieco inaczej, na początku na urządzeniach, które nie zostały pierwotnie zakupione za pośrednictwem programu Apple Business Manager, ale później zostały dodane jako część automatycznej rejestracji urządzeń: użytkownicy na tych urządzeniach zobaczą przycisk usuwania zarządzania w aplikacji Ustawienia przez pierwsze 30 dni po aktywowaniu urządzenia. Po upływie tego okresu tymczasowego opcja zostanie ukryta. Aby uzyskać więcej informacji, zobacz Przygotowywanie urządzeń ręcznie (otwiera dokumentację pomocy programu Apple Configurator).

    Ważna

    To ustawienie różni się od opcji usuwania i resetowania w aplikacji Portal firmy. Niezależnie od sposobu konfigurowania zablokowanej rejestracji opcje Usuń urządzenie lub Resetowanie do ustawień fabrycznych w aplikacji Portal firmy pozostają niedostępne na urządzeniach zarejestrowanych w ramach automatycznej rejestracji urządzeń. Użytkownicy również nie będą mogli usunąć urządzenia w witrynie internetowej Portal firmy. Aby uzyskać więcej informacji na temat akcji samoobsługowych dostępnych na zarejestrowanych urządzeniach, zobacz Akcje samoobsługowe.

  14. Jeśli w poprzednich krokach wybrano pozycję Zarejestruj bez koligacji użytkownika i nadzorowane , musisz zdecydować, czy urządzenia mają być urządzeniami udostępnionymi apple iPad dla firm. Wybierz pozycję Tak dla udostępnionego tabletu iPad , aby umożliwić wielu użytkownikom logowanie się na jednym urządzeniu. Użytkownicy będą uwierzytelniać się przy użyciu zarządzanych identyfikatorów Apple ID i kont uwierzytelniania federacyjnego lub za pomocą sesji tymczasowej (takiej jak konto gościa). Ta opcja wymaga systemu iOS/iPadOS 13.4 lub nowszego. W przypadku udostępnionego tabletu iPad wszystkie okienka Asystenta ustawień po aktywacji są automatycznie pomijane.

    Uwaga

    • Czyszczenie urządzenia będzie wymagane, jeśli profil rejestracji systemu iOS/iPadOS z włączonym udostępnionym tabletem iPad zostanie wysłany do nieobsługiwanego urządzenia. Nieobsługiwanymi urządzeniami są wszystkie modele telefonów iPhone i tablety iPad z systemem iPadOS/iOS 13.3 lub starszym. Obsługiwane urządzenia obejmują tablety iPad z systemem iPadOS 13.3 lub nowszym.
    • Aby skonfigurować udostępniony tablet iPad firmy Apple dla firm, skonfiguruj następujące ustawienia:
      • Na liście Koligacja użytkownika wybierz pozycję Zarejestruj bez koligacji użytkownika.
      • Na liście Nadzorowane wybierz pozycję Tak.
      • Na liście Udostępnione tablety iPad wybierz pozycję Tak.

    Jeśli konfigurujesz urządzenia Apple Shared iPad for Business, skonfiguruj również:

    • Maksymalna liczba buforowanych użytkowników: wprowadź liczbę użytkowników, którzy mają korzystać z udostępnionego tabletu iPad. Możesz buforować maksymalnie 24 użytkowników na urządzeniu o pojemności 32 GB lub 64 GB. Jeśli wybierzesz małą liczbę, wyświetlenie danych użytkowników na ich urządzeniach po zalogowaniu się może trochę potrwać. Jeśli wybierzesz dużą liczbę, użytkownikom może zabraknąć miejsca na dysku.

    • Maksymalna liczba sekund po zablokowaniu ekranu przed wprowadzeniem hasła: wprowadź czas w sekundach. Akceptowane wartości to: 0, 60, 300, 900, 3600 i 14400. Jeśli blokada ekranu przekroczy ten czas, do odblokowania urządzenia będzie wymagane hasło urządzenia. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 13.0 lub nowszym.

    • Maksymalna liczba sekund braku aktywności do momentu wylogowania sesji użytkownika: minimalna dozwolona wartość dla tego ustawienia wynosi 30. Jeśli po zdefiniowanym okresie nie ma żadnych działań, sesja użytkownika kończy się i wylogowuje użytkownika. Jeśli pozostawisz wpis pusty lub ustawisz go na zero (0), sesja nie zakończy się z powodu braku aktywności. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 14.5 lub nowszym.

    • Wymagaj tylko sesji tymczasowej udostępnionego tabletu iPad: konfiguruje urządzenie tak, aby użytkownicy widzieli tylko wersję gościa środowiska logowania i musieli zalogować się jako goście. Nie mogą zalogować się przy użyciu zarządzanego identyfikatora Apple ID. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 14.5 lub nowszym.

      Po ustawieniu opcji Tak to ustawienie anuluje następujące ustawienia udostępnionego tabletu iPad, ponieważ nie mają one zastosowania w sesjach tymczasowych:

      • Maksymalna liczba buforowanych użytkowników
      • Maksymalna liczba sekund po zablokowaniu ekranu przed wymaganiem hasła
      • Maksymalna liczba sekund braku aktywności do momentu wylogowania sesji użytkownika

    • Maksymalna liczba sekund braku aktywności do momentu wylogowania sesji tymczasowej: minimalna dozwolona wartość dla tego ustawienia wynosi 30. Jeśli po zdefiniowanym okresie nie ma żadnych działań, sesja tymczasowa kończy się i wylogowuje użytkownika. Jeśli pozostawisz wpis pusty lub ustawisz go na zero (0), sesja nie zakończy się z powodu braku aktywności. Dostępne dla urządzeń w trybie udostępnionego tabletu iPad z systemem iPadOS 14.5 lub nowszym.

      To ustawienie jest dostępne, gdy ustawienie Wymagaj sesji tymczasowej udostępnionego tabletu iPad ma ustawioną wartość Tak.

    Uwaga

    • Jeśli sesje tymczasowe są włączone, wszystkie dane użytkownika są usuwane podczas wylogowywania się z sesji. Oznacza to, że wszystkie docelowe zasady i aplikacje będą sprowadzane do użytkownika podczas logowania i zostaną usunięte po wylogowyniu użytkownika.
    • Aby zmienić konfigurację udostępnionych tabletów iPad tak, aby nie miały sesji tymczasowych, urządzenie będzie musiało zostać w pełni zresetowane, a nowy profil rejestracji ze zaktualizowanymi konfiguracjami będzie musiał zostać wysłany do tabletu iPad.

  15. Na liście Synchronizuj z komputerami wybierz opcję dla urządzeń korzystających z tego profilu. Jeśli wybierzesz pozycję Zezwalaj na program Apple Configurator według certyfikatu, musisz wybrać certyfikat w obszarze Certyfikaty programu Apple Configurator.

    Uwaga

    Jeśli ustawisz opcję Synchronizuj z komputerami na wartość Odmów wszystkim, port będzie ograniczony na urządzeniach z systemami iOS i iPadOS. Port będzie ograniczony tylko do ładowania. Korzystanie z programu iTunes lub Programu Apple Configurator 2 zostanie zablokowane.

    Jeśli ustawisz opcję Synchronizuj z komputerami na wartość Zezwalaj na program Apple Configurator według certyfikatu, upewnij się, że masz lokalną kopię certyfikatu, którego można użyć później. Nie będzie można wprowadzać zmian w przekazanej kopii i ważne jest zachowanie kopii tego certyfikatu. Jeśli chcesz nawiązać połączenie z urządzeniem z systemem iOS/iPadOS z urządzenia mac, ten sam certyfikat musi być zainstalowany na urządzeniu nawiązującym połączenie z urządzeniem z systemem iOS/iPadOS.

  16. Jeśli w poprzednim kroku wybrano pozycję Zezwalaj na program Apple Configurator według certyfikatu , wybierz certyfikat programu Apple Configurator do zaimportowania.

  17. W przypadku ostatecznej konfiguracji Await dostępne są następujące opcje:

    • Tak: włącz zablokowane środowisko na końcu Asystenta ustawień, aby upewnić się, że na urządzeniu są zainstalowane najważniejsze zasady konfiguracji urządzeń. Tuż przed załadowaniem ekranu głównego Asystent ustawień wstrzymuje działanie i umożliwia Intune zaewidencjonowania przy użyciu urządzenia. Środowisko użytkownika końcowego blokuje się, gdy użytkownicy czekają na końcowe konfiguracje.

      Czas, przez który użytkownicy są przetrzymywani na ekranie Oczekiwanie na ostateczną konfigurację, jest różny i zależy od całkowitej liczby zasad i aplikacji stosowanych do urządzenia. Więcej zasad i aplikacji przypisanych do urządzenia, tym dłuższy czas oczekiwania. Ani Asystent ustawień, ani Intune wymuszać minimalnego lub maksymalnego limitu czasu podczas tej części konfiguracji. Podczas walidacji produktu większość przetestowanych urządzeń została wydana i mogła uzyskać dostęp do ekranu głównego w ciągu piętnastu minut. Jeśli włączysz tę funkcję i użyjesz innej firmy do aprowizowania urządzeń, poinformuj ich o możliwości wydłużenia czasu aprowizacji.

      Zablokowane środowisko działa na urządzeniach docelowych z nowymi i istniejącymi profilami rejestracji. Obsługiwane urządzenia obejmują:

      • Urządzenia z systemem iOS/iPadOS 13+ rejestrujące się przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem
      • Urządzenia z systemem iOS/iPadOS 13+ rejestrujące się bez koligacji użytkownika
      • Urządzenia z systemem iOS/iPadOS 13+ rejestrujące się w trybie udostępnionym Tożsamość Microsoft Entra

      To ustawienie jest stosowane raz podczas wbudowanego środowiska automatycznej rejestracji urządzeń w Asystentze ustawień. Użytkownik urządzenia nie wystąpi ponownie, chyba że ponownie zarejestruje swoje urządzenie. Tak jest ustawieniem domyślnym dla nowych profilów rejestracji.

    • Nie: urządzenie zostanie wydane na ekranie głównym po zakończeniu pracy Asystenta ustawień, niezależnie od stanu instalacji zasad. Użytkownicy urządzeń mogą mieć dostęp do ekranu głównego lub zmienić ustawienia urządzenia przed zainstalowaniem wszystkich zasad. Ustawienie Nie jest ustawieniem domyślnym dla istniejących profilów rejestracji.

    Ustawienie konfiguracji await jest niedostępne w profilach z tą kombinacją konfiguracji:

    • Koligacja użytkownika: rejestrowanie bez koligacji użytkownika (krok 6 w tej sekcji)
    • Udostępniony tablet iPad: Tak (krok 12 w tej sekcji)

  18. Opcjonalnie utwórz szablon nazwy urządzenia, aby szybko zidentyfikować urządzenia przypisane do tego profilu w centrum administracyjnym. Intune używa szablonu do tworzenia i formatowania nazw urządzeń. Nazwy są nadane urządzeniom podczas rejestracji i po każdym kolejnym zaewidencjonowaniu. Aby utworzyć szablon:

  19. W obszarze Zastosuj szablon nazwy urządzenia wybierz pozycję Tak .

  20. W polu Szablon nazwy urządzenia wprowadź szablon, którego chcesz użyć do konstruowania nazw urządzeń. Szablon może zawierać typ urządzenia i numer seryjny. Nie może zawierać więcej niż 63 znaków, w tym zmiennych. Przykład: {{DEVICETYPE}}-{{SERIAL}}

  21. Możesz aktywować plan danych komórkowych. To ustawienie dotyczy urządzeń z systemem iOS/iPadOS 13.0 lub nowszym. Skonfigurowanie tej opcji spowoduje wysłanie polecenia w celu aktywowania planów danych komórkowych dla urządzeń komórkowych z obsługą karty eSim. Aby można było aktywować plany danych za pomocą tego polecenia, przewoźnik musi zainicjować aktywację urządzeń. Aby aktywować plan danych komórkowych, kliknij przycisk Tak , a następnie wprowadź adres URL serwera aktywacji operatora.

  22. Wybierz pozycję Dalej.

  23. Na karcie Asystent ustawień skonfiguruj następujące ustawienia profilu:

    Ustawienie działu Opis
    Department Wyświetlane, gdy użytkownicy klikną pozycję Informacje o konfiguracji podczas aktywacji.
    Telefon działu Pojawia się, gdy użytkownicy naciskają przycisk Potrzebna pomoc podczas aktywacji.

    Ekrany Asystenta ustawień można ukryć na urządzeniu podczas konfigurowania użytkownika. Aby uzyskać opis wszystkich ekranów, zobacz Dokumentacja ekranu Asystenta ustawień (w tym artykule).

    • Jeśli wybierzesz pozycję Ukryj, ekran nie będzie wyświetlany podczas instalacji. Po skonfigurowaniu urządzenia użytkownik nadal może przejść do menu Ustawienia , aby skonfigurować tę funkcję.
    • Jeśli wybierzesz pozycję Pokaż, ekran będzie wyświetlany podczas instalacji, ale tylko wtedy, gdy po przywróceniu lub po aktualizacji oprogramowania zostaną ukończone kroki. Użytkownicy mogą czasami pomijać ekran bez podejmowania akcji. Następnie mogą przejść do menu Ustawienia urządzenia, aby skonfigurować tę funkcję.
    • W przypadku udostępnionego tabletu iPad wszystkie okienka Asystenta ustawień po aktywacji są automatycznie pomijane niezależnie od konfiguracji.

  24. Wybierz pozycję Dalej.

  25. Aby zapisać profil, wybierz pozycję Utwórz.

Grupy dynamiczne w Tożsamość Microsoft Entra

Za pomocą pola Nazwa rejestracji możesz utworzyć grupę dynamiczną w Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Microsoft Entra grupy dynamiczne.

Możesz użyć nazwy profilu, aby zdefiniować parametr enrollmentProfileName w celu przypisania urządzeń z tym profilem rejestracji.

Przed skonfigurowaniem urządzenia i zapewnienie szybkiego dostarczania do urządzeń z koligacją użytkownika upewnij się, że zarejestrowany użytkownik należy do Microsoft Entra grupy użytkowników.

W przypadku przypisywania grup dynamicznych do profilów rejestracji może wystąpić opóźnienie w dostarczaniu aplikacji i zasad do urządzeń po rejestracji.

Dokumentacja ekranu Asystenta ustawień

W poniższej tabeli opisano ekrany Asystenta ustawień wyświetlane podczas automatycznej rejestracji urządzeń z systemem iOS/iPadOS. Te ekrany można wyświetlać lub ukrywać na obsługiwanych urządzeniach podczas rejestracji.

Ekran Asystenta ustawień Co się dzieje, gdy jest widoczny
Kod Monituj użytkownika o podanie kodu dostępu. Zawsze wymagaj kodu dostępu dla niezabezpieczonych urządzeń, chyba że dostęp jest kontrolowany w inny sposób. (Na przykład konfiguracja trybu kiosku, która ogranicza urządzenie do jednej aplikacji). W przypadku systemu iOS/iPadOS w wersji 7.0 lub nowszej.
Usługi lokalizacyjne Monitować użytkownika o określenie lokalizacji. W systemach macOS 10.11 i nowszych oraz iOS/iPadOS 7.0 i nowszych.
Przywróć Wyświetlać ekran Aplikacje i dane. Ten ekran umożliwia użytkownikom przywracanie lub przesyłanie danych z usługi iCloud Backup podczas konfigurowania urządzenia. Dotyczy systemu macOS 10.9 i nowszych oraz iOS/iPadOS 7.0 i nowszych.
Identyfikator firmy Apple Oferować użytkownikowi opcję logowania za pomocą identyfikatora Apple ID i używania usługi iCloud. Dotyczy systemu macOS 10.9 i nowszych oraz iOS/iPadOS 7.0 i nowszych.
Warunki i postanowienia Wymagać od użytkownika akceptacji warunków i postanowień firmy Apple. Dotyczy systemu macOS 10.9 i nowszych oraz iOS/iPadOS 7.0 i nowszych.
Touch ID i Face ID Umożliwia użytkownikowi skonfigurowanie odcisku palca lub identyfikacji twarzy na urządzeniu. Dotyczy systemu macOS 10.12.4 i nowszych oraz systemu iOS/iPadOS 8.1 i nowszych. W systemie iOS/iPadOS 14.5 lub nowszym ekrany Kod dostępu i Asystent ustawień funkcji Touch ID podczas konfigurowania urządzenia nie działają. Jeśli używasz wersji 14.5 lub nowszej, nie konfiguruj ekranów Asystenta ustawień kodu dostępu ani identyfikatora dotykowego. Jeśli potrzebujesz kodu dostępu na urządzeniach, użyj zasad konfiguracji urządzenia lub zasad zgodności. Po zarejestrowaniu użytkownika i otrzymaniu zasad zostanie wyświetlony monit o podanie kodu dostępu.
Apple Pay Oferować użytkownikowi opcję skonfigurowania usługi Apple Pay na urządzeniu. Dotyczy systemu macOS 10.12.4 i nowszych oraz systemu iOS/iPadOS 7.0 i nowszych.
Powiększenia Umożliwia użytkownikowi powiększenie ekranu podczas konfigurowania urządzenia. W przypadku systemu iOS/iPadOS w wersji 8.3 lub nowszej.
Siri Oferować użytkownikowi opcję konfigurowania programu Siri. Dotyczy systemu macOS 10.12 i nowszych oraz systemu iOS/iPadOS 7.0 i nowszych.
Dane diagnostyczne Wyświetl ekran Diagnostyka. Na tym ekranie użytkownik może wybrać opcję wysyłania danych diagnostycznych do firmy Apple. Dotyczy systemu macOS 10.9 i nowszych oraz iOS/iPadOS 7.0 i nowszych.
Wyświetlanie sygnału Umożliwiać użytkownikowi włączenie funkcji wyświetlania sygnału. Dotyczy systemu macOS 10.13.6 i nowszych oraz systemu iOS/iPadOS 9.3.2 i nowszych.
Prywatność Wyświetl ekran Prywatność. Dotyczy systemu macOS 10.13.4 i nowszych oraz systemu iOS/iPadOS 11.3 i nowszych.
Migracja systemu Android Nadaj użytkownikowi opcję migracji danych z urządzenia z systemem Android. W systemie iOS/iPadOS 9.0 i nowszych wersjach.
iMessage & FaceTime Nadaj użytkownikowi możliwość skonfigurowania aplikacji iMessage i FaceTime. W systemie iOS/iPadOS 9.0 i nowszych wersjach.
Dołączania Wyświetl ekrany informacyjne dołączania dla edukacji użytkowników, takie jak Arkusz tytułowy i Wielozadaniowość i Centrum sterowania. W przypadku systemu iOS/iPadOS w wersji 11.0 lub nowszej.
Czas przed ekranem Wyświetlać ekran Czas przed ekranem. Dotyczy systemu macOS 10.15 i nowszych oraz systemu iOS/iPadOS 12.0 i nowszych.
Konfiguracja karty SIM Nadaj użytkownikowi opcję dodania planu komórkowego. W przypadku systemu iOS/iPadOS w wersji 12.0 lub nowszej.
Aktualizacja oprogramowania Wyświetl obowiązkowy ekran aktualizacji oprogramowania. W przypadku systemu iOS/iPadOS w wersji 12.0 lub nowszej.
Obejrzyj migrację Nadaj użytkownikowi opcję migracji danych z urządzenia watch. W przypadku systemu iOS/iPadOS w wersji 11.0 lub nowszej.
Wygląd Wyświetl ekran Wygląd. Dotyczy systemu macOS 10.14 i nowszych oraz systemu iOS/iPadOS 13.0 i nowszych.
Migracja urządzenia do urządzenia Nadaj użytkownikowi opcję transferu danych ze starego urządzenia na to urządzenie. Opcja transferu danych bezpośrednio z urządzenia nie jest dostępna dla urządzeń ADE z systemem iOS 13 lub nowszym.
Zakończono przywracanie Pokazuje użytkownikom ekran Przywracanie ukończone po wykonaniu kopii zapasowej i przywracania podczas Asystenta ustawień.
Ukończono aktualizację oprogramowania Pokazuje użytkownikowi wszystkie aktualizacje oprogramowania, które mają miejsce podczas asystenta ustawień.
Rozpocząć Pokazuje użytkownikom ekran powitalny Wprowadzenie.
Warunki adresu Przyznaj użytkownikowi opcję wyboru sposobu, w jaki ma być rozwiązywany w całym systemie: kobiecy, męski lub neutralny. Ta funkcja firmy Apple jest dostępna dla wybranych języków. Aby uzyskać więcej informacji, zobacz Kluczowe funkcje i ulepszenia (otwiera witrynę internetową firmy Apple). Dla systemu iOS/iPadOS w wersji 16.0 lub nowszej.

Synchronizowanie urządzeń zarządzanych

Gdy usługa Intune ma uprawnienia do zarządzania urządzeniami, można ją zsynchronizować z danymi firmy Apple, aby wyświetlić zarządzane urządzenia w usłudze Intune w witrynie Azure Portal.

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.

  2. Wybierz kartę Apple .

  3. Wybierz pozycję Tokeny programu rejestracji.

  4. Wybierz token na liście, a następnie wybierz pozycję Synchronizacja urządzeń>:

    Zrzut ekranu przedstawiający sposób synchronizowania urządzeń z systemem iOS i iPadOS z tokenem programu rejestracji.

    Aby postępować zgodnie z warunkami firmy Apple dotyczącymi akceptowalnego ruchu w programie rejestracji, Intune nakłada następujące ograniczenia:

    • Pełną synchronizację można uruchamiać nie częściej niż co siedem dni. Podczas pełnej synchronizacji usługa Intune pobiera pełną zaktualizowaną listę numerów seryjnych przypisanych do serwera MDM firmy Apple połączonego z usługą Intune.

      Ważna

      Jeśli urządzenie zostanie usunięte z Intune, ale pozostanie przypisane do tokenu rejestracji ADE w portalu ASM/ABM, pojawi się ponownie w Intune podczas następnej pełnej synchronizacji. Jeśli nie chcesz, aby urządzenie pojawiło się ponownie w Intune, usuń przypisanie go z serwera MDM firmy Apple w portalu ABM/ASM.

    • Jeśli urządzenie zostanie zwolnione z usługi ABM/ASM, może upłynąć do 45 dni, aż zostanie ono automatycznie usunięte ze strony urządzeń w usłudze Intune. W razie potrzeby można ręcznie usunąć zwolnione urządzenia z usługi Intune pojedynczo. Wydane urządzenia zostaną dokładnie zgłoszone jako usunięte z usługi ABM/ASM w Intune, dopóki nie zostaną automatycznie usunięte w ciągu 30–45 dni.
    • Synchronizacja różnic jest uruchamiana automatycznie co 12 godzin. Możesz również wyzwolić synchronizację różnicową, wybierając przycisk Synchronizuj (nie więcej niż raz na 15 minut). Każde żądanie synchronizacji ma przydzielone 15 minut na ukończenie. Przycisk Synchronizuj pozostaje wyłączony do ukończenia synchronizacji. Synchronizacja spowoduje odświeżenie stanu bieżącego urządzenia oraz zaimportowanie nowych urządzeń przypisanych do serwera MDM firmy Apple. Jeśli synchronizacja różnic nie powiedzie się z jakiegokolwiek powodu, następna synchronizacja będzie pełną synchronizacją, aby rozwiązać wszelkie problemy.

Przypisywanie profilu rejestracji do urządzeń

Przed zarejestrowaniem urządzeń należy przypisać do nich profil rejestracji.

Uwaga

Numery seryjne można również przypisać do profilów w okienku Numery seryjne firmy Apple .

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.
  2. Wybierz kartę Apple .
  3. Wybierz pozycję Tokeny programu rejestracji.
  4. Wybierz token rejestracji.
  5. Wybierz pozycję Urządzenia.
  6. Wybierz wszystkie urządzenia, które chcesz przypisać, a następnie wybierz pozycję Przypisz profil.
  7. W obszarze Przypisywanie profilu wybierz profil automatycznej rejestracji urządzeń utworzony dla urządzeń, a następnie wybierz pozycję Przypisz.

Przypisywanie profilu domyślnego

Możesz wybrać profil domyślny, który ma zostać zastosowany do wszystkich urządzeń, które rejestrują się przy użyciu określonego tokenu.

  1. W centrum administracyjnym wróć do tokenów programu Rejestracji.
  2. Wybierz token rejestracji.
  3. Wybierz pozycję Ustaw profil domyślny.
  4. Wybierz profil na liście, a następnie wybierz pozycję Zapisz. Profil zostanie zastosowany do wszystkich urządzeń zarejestrowanych przy użyciu wybranego tokenu rejestracji.

Uwaga

Upewnij się, że ograniczenia typu urządzenia w obszarze Ograniczenia rejestracji nie mają domyślnych zasad Wszyscy użytkownicy ustawionych na blokowanie platformy systemu iOS/iPadOS. To ustawienie spowoduje niepowodzenie automatycznej rejestracji, a urządzenie będzie wyświetlane jako Nieprawidłowy profil, niezależnie od zaświadczania użytkownika. Aby zezwolić na rejestrację tylko przez urządzenia zarządzane przez firmę, zablokuj tylko urządzenia należące do użytkownika, co umożliwi rejestrowanie urządzeń firmowych. Firma Microsoft definiuje urządzenie firmowe jako urządzenie zarejestrowane za pośrednictwem programu Device Enrollment Program lub urządzenia ręcznie wprowadzonego w obszarze Identyfikatory urządzeń firmowych.

Dystrybuowanie urządzeń

Włączono zarządzanie i synchronizację między firmą Apple i Intune oraz przypisano profil, aby można było zarejestrować urządzenia ADE. Teraz możesz już dystrybuować urządzenia do użytkowników. Niektóre rzeczy, które należy wiedzieć:

  • Urządzenia zarejestrowane z koligacją użytkownika wymagają, aby każdemu użytkownikowi przypisano licencję Intune.

  • Urządzenia zarejestrowane bez koligacji użytkownika zazwyczaj nie mają żadnych skojarzonych użytkowników. Te urządzenia muszą mieć licencję Intune urządzenia. Jeśli urządzenia zarejestrowane bez koligacji użytkownika będą używane przez użytkownika z licencją Intune, licencja urządzenia nie jest wymagana.

    Podsumowując, jeśli urządzenie ma użytkownika, użytkownik musi mieć przypisaną licencję Intune. Jeśli urządzenie nie ma użytkownika z licencją Intune, urządzenie musi mieć licencję Intune urządzenia.

    Aby uzyskać więcej informacji na temat licencjonowania Intune, zobacz Microsoft Intune licensing and the Intune planning guide (Licencjonowanie Microsoft Intune i przewodnik planowania Intune).

  • Urządzenie, które zostało aktywowane, musi zostać wyczyszczone, zanim będzie mogło prawidłowo zarejestrować się przy użyciu usługi ADE w Intune. Po wyczyszczoniu, ale przed ponownym uaktywnieniem można zastosować profil rejestracji. Zobacz Konfigurowanie istniejącego telefonu iPhone, tabletu iPad lub iPoda touch

  • Jeśli rejestrujesz się przy użyciu usługi ADE i koligacji użytkownika, podczas instalacji może wystąpić następujący błąd:

    The SCEP server returned an invalid response.

    Ten błąd można rozwiązać, próbując ponownie pobrać zarządzanie w ciągu 15 minut. Jeśli minęło więcej niż 15 minut, aby rozwiązać ten błąd, musisz zresetować urządzenie do ustawień fabrycznych. Ten błąd występuje z powodu 15-minutowego limitu czasu dla certyfikatów SCEP, który jest wymuszany dla zabezpieczeń.

Aby uzyskać informacje na temat środowiska użytkownika końcowego, zobacz Rejestrowanie urządzenia z systemem iOS/iPadOS w Intune przy użyciu usługi ADE.

Ponowne rejestrowanie urządzenia

Wykonaj te kroki, aby ponownie zarejestrować urządzenie, które zostało już przeszło przez zautomatyzowaną rejestrację urządzenia.

  1. Istnieją dwie opcje resetowania urządzenia:
    • Wyczyść urządzenie w centrum administracyjnym Microsoft Intune.
    • Wycofaj urządzenie w centrum administracyjnym, a następnie zresetuj urządzenie do ustawień fabrycznych przy użyciu aplikacji Ustawienia, programu Apple Configurator 2 lub programu iTunes.
  2. Włącz urządzenie i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie w Asystentze ustawień, aby pobrać profil zarządzania zdalnego.

Odnawianie tokenu automatycznej rejestracji urządzeń

Czasami trzeba będzie odnowić tokeny:

  • Odnawiaj token ADE co rok. W centrum administracyjnym Intune jest wyświetlana data wygaśnięcia.
  • Jeśli hasło identyfikatora Apple ID zmieni się dla użytkownika, który skonfigurował token w programie Apple Business Manager, odnów token programu rejestracji w usługach Intune i Apple Business Manager.
  • Jeśli użytkownik, który skonfigurował token w programie Apple Business Manager, opuści organizację, odnów token programu rejestracji w programie Intune i apple Business Manager.
  • Jeśli zmienisz identyfikator Apple ID użyty do utworzenia tokenu ADE, zmiana nie wpłynie na aktualnie zarejestrowane urządzenia z tym tokenem, dopóki nie zostaną ponownie zarejestrowane. Jest to przeciwieństwo certyfikatu usługi Apple Push Notification Service (APNS) używanego dla dzierżawy, którego nie można zmienić bez konieczności ponownego rejestrowania wszystkich urządzeń, chyba że skontaktujesz się z pomocą techniczną firmy Apple w celu przeprowadzenia zmiany na zapleczu.

Odnawianie tokenów

  1. Przejdź do business.apple.com i zaloguj się przy użyciu konta z rolą Administrator lub Menedżer rejestracji urządzeń.

  2. Wybierz pozycję Ustawienia. W obszarze Serwery MDM wybierz serwer MDM skojarzony z plikiem tokenu, który chcesz odnowić. Wybierz pozycję Pobierz token:

    Zrzut ekranu przedstawiający sposób odnawiania i pobierania tokenu firmy Apple w programie Apple Business Manager.

  3. Wybierz pozycję Pobierz token serwera.

    Uwaga

    Jak czytamy w wierszu polecenia, nie wybieraj pozycji Pobierz token serwera , jeśli nie zamierzasz odnawiać tokenu. Spowoduje to unieważnienie tokenu używanego przez Intune (lub inne rozwiązanie MDM). Jeśli token został już pobrany, pamiętaj, aby kontynuować kolejne kroki do momentu odnowienia tokenu.

  4. Po pobraniu tokenu przejdź do Microsoft Intune centrum administracyjnego.

  5. Wybierz pozycję Rejestrowanie urządzeń>.

  6. Wybierz pozycję Tokeny programu rejestracji.

  7. Wybierz token.

  8. Wybierz pozycję Odnów token. Wprowadź identyfikator Apple ID użyty do utworzenia oryginalnego tokenu (jeśli nie jest on wypełniany automatycznie):

    Zrzut ekranu przedstawiający stronę Odnawianie tokenu.

  9. Przekaż nowo pobrany token.

  10. Wybierz pozycję Dalej , aby przejść do strony Tagi zakresu . Jeśli chcesz, przypisz tagi zakresu.

  11. Wybierz pozycję Odnów token. Zostanie wyświetlone potwierdzenie odnowienia tokenu:

    Zrzut ekranu przedstawiający komunikat potwierdzający.

Usuwanie tokenu automatycznej rejestracji urządzeń z Intune

Token profilu rejestracji można usunąć z Intune, o ile:

  • Do tokenu nie przypisano żadnych urządzeń.
  • Żadne urządzenia nie są przypisane do profilu domyślnego.
  • Brak profilów rejestracji w ramach tego tokenu.

Aby usunąć token profilu rejestracji:

  1. W Microsoft Intune centrum administracyjnym przejdź do pozycji Rejestrowanie urządzeń>.
  2. Wybierz kartę Apple .
  3. Wybieranie tokenów programu rejestracji
  4. Wybierz token, a następnie wybierz pozycję Urządzenia.
  5. Usuń wszystkie urządzenia przypisane do tokenu.
  6. Wróć do tokenów programu Rejestracji. Wybierz token, a następnie wybierz pozycję Profile.
  7. Jeśli istnieje profil domyślny lub jakikolwiek inny profil rejestracji, wszystkie muszą zostać usunięte.
  8. Wróć do tokenów programu Rejestracji. Wybierz token, a następnie wybierz pozycję Usuń.

Następne kroki

Aby zapoznać się z omówieniem tego, co jest wymagane od użytkowników urządzeń, zobacz Zadania użytkowników końcowych usługi ADE.