Регистрация по программе регистрации устройств iOS (DEP) для гибридных развертываний с использованием Configuration ManageriOS Device Enrollment Program (DEP) enrollment for hybrid deployments with Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Организации могут приобретать устройства iOS по программе регистрации устройств Apple, а затем управлять ими с помощью Microsoft Intune.Companies can purchase iOS devices through Apple's device enrollment program and then manage them using Microsoft Intune. Для управления корпоративными устройствами iOS с использованием программы регистрации устройств Apple (DEP) организациям следует выполнить необходимые действия в Apple, чтобы принять участие в программе и приобретать устройства с помощью этой программы.To manage corporate-owned iOS devices with the Apple Device Enrollment Program (DEP), companies must complete the steps with Apple to participate in the program and acquire devices through that program. Подробные сведения об этом процессе доступны по адресу https://deploy.apple.com.Details of that process are available at: https://deploy.apple.com. К преимуществам программы относится автоматическая настройка устройств без подключения каждого из них к порту USB компьютера.Advantages of the program include hands-free set up of devices without USB-connecting each device to a computer.

Перед регистрацией корпоративных устройств iOS с помощью программы DEP необходимо получить токен DEP от Apple.Before you can enroll corporate-owned iOS devices with the DEP, you need a DEP token from Apple. Этот маркер позволяет службе Intune синхронизировать сведения о корпоративных устройствах, участвующих в программе DEP.This token allows Intune to sync information about DEP-participating devices owned by your corporation. Он также позволяет Intune передавать профили регистрации в Apple и назначать им устройства.It also lets Intune upload enrollment profiles to Apple and assign devices to those profiles.

Регистрация Apple DEP для устройств iOSApple DEP enrollment for iOS devices

Ниже описываются процедуры указания устройств iOS, приобретенных по программе DEP компании Apple, в качестве корпоративных устройств, управляемых с помощью Intune.The following procedures describe how to specify iOS devices purchased through Apple DEP as Intune-managed company-owned devices. Когда пользователь впервые включает устройство, оно получает профиль управления DEP, запускается помощник по настройке и устройство регистрируется для управления.When the user first powers up the device it will receive the DEP management profile and run the Setup Assistant and bring them into management.

Включение регистрации DEP в Configuration Manager с IntuneEnable DEP enrollment in Configuration Manager with Intune

  1. Начало управления устройствами iOS с помощью Configuration Manager Start managing iOS devices with Configuration Manager
    Прежде чем регистрировать устройства iOS по программе регистрации устройств (DEP), необходимо выполнить инструкции в разделе Настройка гибридного управления мобильными устройствами, включая инструкции по обеспечению поддержки регистрации устройств iOS.Before you can enroll iOS Device Enrollment Program (DEP) devices, you must complete steps to Set up Hybrid mobile device management including steps to support iOS enrollment.
  2. Создание запроса токена DEP Create a DEP token request
    В рабочей области Администрирование консоли Configuration Manager разверните узел Конфигурация иерархии, затем узел Облачные службы и щелкните Подписки Microsoft Intune.In the Configuration Manager console, in the Administration workspace, expand Hierarchy Configuration, expand Cloud Services, and click Microsoft Intune Subscriptions. Щелкните Создать запрос токена DEP на вкладке Главная , нажмите кнопку Обзор , чтобы указать расположение загрузки для запроса токена DEP, а затем нажмите кнопку Загрузить.Click Create DEP Token Request on the Home tab, click Browse to specify the download location for the DEP token request, and then click Download. Сохраните PEM-файл запроса токена DEP локально.Save the DEP token request (.pem) file locally. PEM-файл используется для запроса доверенного токена (P7M) с портала программы регистрации устройств Apple.The .pem file is used to request a trusted token (.p7m) from the Apple Device Enrollment Program portal.
  3. Получение токена программы регистрации устройств Get a Device Enrollment Program token
    Перейдите на портал программы регистрации устройств (https://deploy.apple.com) и выполните вход с идентификатором Apple ID.Go to the Device Enrollment Program portal (https://deploy.apple.com) and sign in with your company Apple ID. Этот идентификатор Apple ID в дальнейшем будет необходимо использовать для обновления маркера DEP.This Apple ID must be used in future to renew your DEP token.

    1. В рабочей области портал программы регистрации устройствперейдите в меню Программа регистрации устройств > Управление серверамии щелкните Добавить сервер MDM.In the Device Enrollment Program portal, go to Device Enrollment Program > Manage Servers, and then click Add MDM Server.
    2. Введите имя сервера MDMи щелкните Далее.Enter the MDM Server Name, and then click Next. Имя сервера MDM используется в качестве справочной информации для идентификации сервера MDM.The server name is for your reference to identify the MDM server. Это не имя или URL-адрес сервера Intune или Configuration Manager.It is not the name or URL of the Intune or Configuration Manager server.
    3. Откроется диалоговое окно Добавление <имя_сервера>.The Add dialog box opens. Щелкните Выбрать файл...Click Choose File… для отправки PEM-файла, созданного на предыдущем шаге, и нажмите кнопку Далее.to upload the .pem file that you created in the previous step, and then click Next.
    4. В диалоговом окне Добавление <имя_сервера> отображается ссылка на ваш токен сервера.The Add dialog box displays a Your Server Token link. Загрузите файл маркера сервера (P7M) на свой компьютер и нажмите кнопку Готово.Download the server token (.p7m) file to your computer, and then click Done.

      Этот файл сертификата (P7M-файл) используется для установления отношений доверия между Intune и серверами программы регистрации устройств Apple.This certificate (.p7m) file is used to establish a trust relationship between Intune and Apple’s Device Enrollment Program servers.

  4. Добавление токена DEP в Configuration Manager Add the DEP token to Configuration Manager
    В рабочей области Администрирование консоли Configuration Manager разверните узел Конфигурация иерархии и щелкните Подписки Microsoft Intune.In the Configuration Manager console, in the Administration workspace, expand Hierarchy Configuration and click Microsoft Intune Subscriptions. Нажмите кнопку Настроить платформы на вкладке Главная и щелкните iOS.Click Configure Platforms on the Home tab and click iOS. Выберите параметр Включить программу регистрации устройств, перейдите к файлу сертификата (P7M), нажмите кнопку Открыть, щелкните Отправитьи нажмите кнопку ОК.Select Enable Device Enrollment Program, browse to the certificate (.p7m) file, click Open, click Upload, and then click OK.

Добавление корпоративной политики регистрации устройствAdd a Corporate Device Enrollment Policy

  1. В рабочей области Активы и соответствие консоли Configuration Manager разверните узел Обзор, узел Все корпоративные устройства, затем — узел iOS и щелкните Профили регистрации.In the Configuration Manager console, in the Assets and Compliance workspace, expand Overview, expand All Corporate-owned Devices, expand iOS, and click Enrollment Profiles. Нажмите кнопку Создать профиль на вкладке Главная , чтобы открыть мастер создания профилей.Click Create Profile on the Home tab to open the Create Profile wizard. Настройте параметры на следующих страницах.Configure the settings on the following pages:
  2. On the Общие настройте следующие параметры, затем нажмите кнопку Далее.On the General page, specify the following information, and then click Next.

    • Имя — имя профиля регистрации устройства.Name – Name of the device enrollment profile. (Не отображается для пользователей.)(Not visible to users)
    • Описание — описание профиля регистрации устройства.Description - Description of the device enrollment profile. (Не отображается для пользователей.)(Not visible to users)
    • Сходство пользователей (не отображается для пользователей) — указывает способ регистрации устройств.User affinity – Specifies how devices are enrolled. См. раздел Сопоставление пользователей для устройств с гибридным управлением в Configuration Manager.See User affinity for hybrid managed devices in Configuration Manager.

      • Запрос на сходство пользователей— устройство должно быть связано с пользователем во время начальной настройки и затем должно получить доступ к данным и электронной почте организации от имени этого пользователя.Prompt for user affinity: The device must be affiliated with a user during initial setup and could then be permitted to access company data and email as that user. Сопоставление пользователей необходимо настроить для устройств, управляемых DEP, которые принадлежат пользователям и должны использовать корпоративный портал (для установки приложений).User affinity should be configured for DEP-managed devices that belong to users and need to use the company portal (i.e. to install apps).

        Nota

        DEP с сопоставлением пользователей требует включения конечной точки ADFS WS-Trust 1.3 в режиме "Имя пользователя/Смешанный" для запроса токена пользователя.DEP with user affinity requires ADFS WS-Trust 1.3 Username/Mixed endpoint to be enabled to request user token.

      • Без сходства пользователей— устройство не связано с пользователем.No user affinity: The device is not affiliated with a user. Используйте эту принадлежность для устройств, которые выполняют задачи без осуществления доступа к локальным данным пользователя.Use this affiliation for devices that perform tasks without accessing local user data. Приложения, требующие сходства пользователей, не будут работать.Apps requiring user affiliation won’t work.
        Снимок экрана имени профиля DEP, описания и запроса на сопоставление пользователейScreenshot of DEP profile name, description and User Affinity prompt

  3. На странице Параметры программы регистрации устройств укажите следующие сведения, а затем нажмите кнопку Далее.On the Device Enrollment Program Settings page, specify the following information, and then click Next.

    • Отдел — отображается, когда пользователь выбирает пункт "О конфигурации" во время активации.Department: This information appears when users tap "About Configuration" during activation.
    • Телефон службы поддержки — отображается, когда пользователь нажимает кнопку Необходима помощь во время активации.Support phone number: Displayed when the user clicks the Need Help button during activation. Снимок экрана назначения профиля DEP устройствам iOSScreenshot of assigning DEP profile to iOS devices

    • Режим подготовки — это состояние устанавливается во время активации, и его нельзя изменить без сброса устройства до заводских настроек:Preparation mode: This state is set during activation and cannot be changed without factory resetting the device:

      • Неконтролируемый — ограниченные возможности управления.Unsupervised - Limited management capabilities
      • Контролируемый — обеспечивает дополнительные возможности управления и отключает блокировку активации по умолчанию.Supervised - Enables more management options and disables Activation Lock by default
    • Фиксировать профиль регистрации на устройстве — это состояние устанавливается во время активации, и его нельзя изменить без сброса устройства до заводских настроек.Lock enrollment profile to device: This state is set during activation and cannot be changed without a factory reset.
      • Отключить — позволяет удалить профиль управления из меню Параметры.Disable - Allows the management profile to be removed from the Settings menu
      • Включить (требуется выбрать Режим подготовки = Контролируемый) — отключает параметры iOS, которые делают возможным удаление профиля управления.Enable - (Requires Preparation Mode = Supervised) Disables iOS settings that could allow removal of the management profile
  4. На странице Помощник по настройке задайте необходимые параметры помощника по настройке iOS, применяемые при первом включении устройства, и нажмите кнопку Далее.On the Setup Assistant page, configure the settings that customize the iOS Setup Assistant that starts when the device is first powered on, and then click Next. Эти параметры включают:These settings include:

    • Секретный код — запрашивать секретный код во время активации.Passcode - Prompt for passcode during activation. Всегда требовать секретный код, если устройство не защищено каким-либо другим способом или доступ к нему не контролируется иным образом (например, полноэкранный режим, который ограничивает устройство до одного приложения).Always require a passcode unless the device will be secured or have access controlled in some other manner (i.e. kiosk mode that restricts the device to one app).
    • Службы определения местоположения — если включено, помощник по установке будет запрашивать параметры службы во время активации.Location Services - If enabled, Setup Assistant prompts for the service during activation
    • Восстановление — если включено, помощник по установке будет запрашивать параметры резервного копирования iCloud во время активации.Restore - If enabled, Setup Assistant prompts for iCloud backup during activation
    • Идентификатор Apple ID — идентификатор Apple ID необходим для скачивания приложений Магазина iOS App Store, включая те, которые были установлены с помощью Intune.Apple ID - An Apple ID is required to download iOS App Store apps, including those installed by Intune. Если включено, iOS будет запрашивать у пользователей идентификатор Apple ID, когда Intune попытается установить приложение без идентификатора.If enabled, iOS will prompt users for an Apple ID when Intune attempts to install an app without an ID.
    • Положения и условия — если включено, помощник по установке предложит пользователям принять условия Apple во время активации.Terms and Conditions - If enabled, Setup Assistant prompts users to accept Apple's terms and conditions during activation
    • Touch ID — если включено, помощник по установке будет запрашивать параметры службы во время активации.Touch ID - If enabled, Setup Assistant prompts for this service during activation
    • Apple Pay — если включено, помощник по установке будет запрашивать параметры службы во время активации.Apple Pay - If enabled, Setup Assistant prompts for this service during activation
    • Zoom — если включено, помощник по установке будет запрашивать параметры службы во время активации.Zoom - If enabled, Setup Assistant prompts for this service during activation
    • Siri — если включено, помощник по установке будет запрашивать параметры службы во время активации.Siri - If enabled, Setup Assistant prompts for this service during activation
    • Отправить данные диагностики в Apple — если включено, помощник по установке будет запрашивать параметры службы во время активации.Send diagnostic data to Apple - If enabled, Setup Assistant prompts for this service during activation
      Снимок экрана назначения профиля DEP устройствам iOSScreenshot of assigning DEP profile to iOS devices
  5. На странице Дополнительное управление укажите, можно ли использовать USB-подключение для дополнительных параметров управления.On the Additional Management page, specify whether a USB connection can be used for additional management settings. При выборе параметра Требовать сертификатнеобходимо импортировать сертификат управления Apple Configurator для этого профиля.When you select Require certificate, you must import an Apple Configurator management certificate to use for this profile. Выберите значение Запретить, чтобы запретить синхронизацию файлов с iTunes и управление через Apple Configurator.Set to Disallow to prevent syncing files with iTunes or management via Apple Configurator. Корпорация Майкрософт рекомендует выбрать значение Запретить, экспортировать все дальнейшие настройки из Apple Configurator, а затем выполнить развертывание в виде настраиваемого профиля конфигурации iOS вместо того, чтобы разрешать развертывание вручную с сертификатом или без него с помощью этого параметра.Microsoft recommends you set to Disallow, export any further configuration from Apple Configurator, and then deploy as a Custom iOS configuration profile, rather than use this setting to allow manual deployment with or without a certificate.

    • Запретить — запрещает обмен данными устройства через USB (отключает связывание).Disallow - Prevents the device from communicating via USB (disables pairing)
    • Разрешить — позволяет устройству взаимодействовать через USB-подключение с любым компьютером с Windows или Mac OS.Allow - Allows device communicate via USB connection with any PC or Mac
    • Требуется сертификат — позволяет выполнить связывание с компьютером Mac с помощью сертификата, импортированного в профиль регистрации.Require certificate- Allows pairing with a Mac with a certificate imported to the enrollment profile

Назначение устройств DEP для управленияAssign DEP Devices for management

  1. Перейдите на портал программы регистрации устройств (https://deploy.apple.com) и выполните вход с идентификатором Apple ID.Go to the Device Enrollment Program portal (https://deploy.apple.com) and sign in with your company Apple ID.
  2. Перейдите в меню Программа развертывания > Программа регистрации устройств > Управление устройствами.Go to Deployment Program > Device Enrollment Program > Manage Devices. Укажите, каким образом вы будете выбирать устройства, предоставьте сведения об устройстве и укажите серийный номери номер заказадля каждого устройства или отправьте CSV-файл.Specify how you will Choose Devices, provide device information and specify details by device Serial Number, Order Number, or Upload CSV File. Затем выберите Назначить серверу, выберите <имя_сервера>, указанное в шаге 3, и нажмите кнопку ОК.Next, select Assign to Server and select the <ServerName> that you specified in step 3, and then click OK.

  3. Синхронизация устройств, управляемых DEP Synchronize DEP-managed devices
    В рабочей области Активы и соответствие последовательно выберите пункты Все корпоративные устройства > Предварительно объявленные устройства.In the Assets and Compliance workspace, go to All Corporate-owned Devices > Predeclared Devices. На вкладке Главная нажмите кнопку Синхронизация DEP.On the Home tab, click DEP Sync. Запрос на синхронизацию будет отправлен в Apple.A sync request is sent to Apple. После завершения синхронизации отображаются устройства, управляемые DEP.After synchronization completes, the DEP-managed devices are displayed.

    Nota

    В гибридной конфигурации операция синхронизации DEP запускается вручную. Для этого нужно нажать кнопку Синхронизировать DEP в консоли Configuration Manager.In the Hybrid configuration, the DEP Sync operation is manually triggered by clicking DEP Sync in the Configuration Manager console.

  4. Назначение профиля DEPAssign DEP profile
    В рабочей области Активы и соответствие последовательно выберите пункты Все корпоративные устройства > iOS > Профили регистрации.In the Assets and Compliance workspace, go to All Corporate-owned Devices > iOS > Enrollment Profiles. Выберите профиль регистрации DEP, а затем на вкладке Главная щелкните Назначить устройствам.Select the DEP enrollment profile and then, in the Home tab, click Assign to devices. Выберите устройства, которые будут использовать этот профиль регистрации, нажмите кнопку Добавить, а затем нажмите кнопку ОК.Select the devices that will use this enrollment profile, click Add, and then click OK.
    Снимок экрана назначения профиля DEP устройствам iOSScreenshot of assigning DEP profile to iOS devices

Распределение устройств пользователямDistribute devices to users

Теперь корпоративные устройства можно распределить между пользователями.You can now give your corporate-owned devices to users. Откроется диалоговое окно Состояние регистрации для управляемых устройств указывается как Не связано , пока устройство не будет включено и на нем не будет запущен помощник по настройке для регистрации устройства.The Enrollment Status for managed devices reads Not contacted until the device is powered on and runs the Setup Assistant to enroll the device. При включении устройство iOS будет зарегистрировано для управления с помощью Intune.When an iOS device is turned on it will be enrolled for management by Intune.