inscrição do iOS Device Enrollment Program (DEP) para implementações híbridas com o Configuration ManageriOS Device Enrollment Program (DEP) enrollment for hybrid deployments with Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

As empresas podem comprar dispositivos iOS através do programa de inscrição de dispositivos da Apple e, em seguida, geri-los através do Microsoft Intune.Companies can purchase iOS devices through Apple's device enrollment program and then manage them using Microsoft Intune. Para gerir dispositivos iOS pertencentes à empresa com o Programa de Inscrição de Dispositivos (DEP) da Apple, as empresas têm de concluir os passos junto da Apple para participar no programa e adquirir dispositivos através do mesmo.To manage corporate-owned iOS devices with the Apple Device Enrollment Program (DEP), companies must complete the steps with Apple to participate in the program and acquire devices through that program. Os detalhes desse processo estão disponíveis em: https://deploy.apple.com. As vantagens do programa incluem a configuração automatizada de dispositivos sem ligar por USB cada dispositivo a um computador.Details of that process are available at: https://deploy.apple.com. Advantages of the program include hands-free set up of devices without USB-connecting each device to a computer.

Antes de poder inscrever dispositivos iOS pertencentes à empresa com o DEP, precisa de um token do DEP da Apple.Before you can enroll corporate-owned iOS devices with the DEP, you need a DEP token from Apple. Este token permite ao Intune sincronizar informações sobre os participantes no DEP dispositivos pertencentes à.This token allows Intune to sync information about DEP-participating devices owned by your corporation. Também permite ao Intune carregue perfis de inscrição para a Apple e atribua dispositivos a esses perfis.It also lets Intune upload enrollment profiles to Apple and assign devices to those profiles.

Inscrição através do Apple DEP de dispositivos iOSApple DEP enrollment for iOS devices

Os procedimentos seguintes descrevem como especificar os dispositivos iOS adquiridos através do DEP da Apple como gerido do Intune dispositivos pertencentes à empresa.The following procedures describe how to specify iOS devices purchased through Apple DEP as Intune-managed company-owned devices. Quando os powers primeiro utilizador até o dispositivo possa receber o perfil de gestão de DEP e executar o Assistente de configuração e colocá-los para gestão.When the user first powers up the device it will receive the DEP management profile and run the Setup Assistant and bring them into management.

Ativar a inscrição de DEP no Configuration Manager com IntuneEnable DEP enrollment in Configuration Manager with Intune

  1. Começar a gerir dispositivos iOS com o Configuration Manager Start managing iOS devices with Configuration Manager
    Antes de poder inscrever programa de inscrição de dispositivos (DEP) dispositivos iOS, tem de concluir os passos para configurar a gestão de dispositivos móveis híbridos incluindo passos para suportar a inscrição do iOS.Before you can enroll iOS Device Enrollment Program (DEP) devices, you must complete steps to Set up Hybrid mobile device management including steps to support iOS enrollment.
  2. Criar um pedido de token DEP Create a DEP token request
    Na consola do Configuration Manager, no administração área de trabalho, expanda configuração da hierarquia, expanda serviços em nuveme clique em subscrições do Microsoft Intune.In the Configuration Manager console, in the Administration workspace, expand Hierarchy Configuration, expand Cloud Services, and click Microsoft Intune Subscriptions. Clique em Criar Pedido de Token DEP no separador Home Page , clique em Procurar para especificar a localização da transferência para o pedido de token DEP e, em seguida, clique em Transferir.Click Create DEP Token Request on the Home tab, click Browse to specify the download location for the DEP token request, and then click Download. Guarde o ficheiro de pedido de token do DEP (.pem) localmente.Save the DEP token request (.pem) file locally. O ficheiro .pem é serve para pedir um token fidedigno (.p7m) a partir do portal do Programa de Inscrição de Dispositivos da Apple.The .pem file is used to request a trusted token (.p7m) from the Apple Device Enrollment Program portal.
  3. Obter um token do Programa de Inscrição de Dispositivos Get a Device Enrollment Program token
    Aceda ao portal do Programa de Inscrição de Dispositivos (https://deploy.apple.com) e inicie sessão com o Apple ID da sua empresa.Go to the Device Enrollment Program portal (https://deploy.apple.com) and sign in with your company Apple ID. Este ID Apple tem de ser utilizado no futuro para renovar o seu token do DEP.This Apple ID must be used in future to renew your DEP token.

    1. Na consola do portal do Programa de Inscrição de Dispositivos, aceda a Programa de Inscrição de Dispositivos > Gerir Servidorese, em seguida, clique em Adicionar Servidor MDM.In the Device Enrollment Program portal, go to Device Enrollment Program > Manage Servers, and then click Add MDM Server.
      Captura de ecrã do Adicionar servidor MDM no portal do programa de inscrição de dispositivosScreenshot of add MDM server in the Device Enrollment Program portal
    2. Introduza o Nome do Servidor MDMe, em seguida, clique em Seguinte.Enter the MDM Server Name, and then click Next. O nome do servidor é uma referência para identificar o servidor MDM.The server name is for your reference to identify the MDM server. Não é o nome ou URL do servidor do Intune ou do Configuration Manager.It is not the name or URL of the Intune or Configuration Manager server.
    3. O adicionar < ServerName> é aberta a caixa de diálogo.The Add <ServerName> dialog box opens. Clique em Escolher ficheiro…Click Choose File… para carregar o ficheiro .pem que criou no passo anterior e, em seguida, clique em Seguinte.to upload the .pem file that you created in the previous step, and then click Next.
    4. O adicionar < ServerName> caixa de diálogo apresenta um Token do seu servidor ligação.The Add <ServerName> dialog box displays a Your Server Token link. Transfira o ficheiro de token (.p7m) do servidor para o seu computador e, em seguida, clique em Concluído.Download the server token (.p7m) file to your computer, and then click Done.

      Este ficheiro de certificado (.p7m) serve para estabelecer uma relação de confiança entre os servidores do Programa de Inscrição de Dispositivos do Intune e da Apple.This certificate (.p7m) file is used to establish a trust relationship between Intune and Apple’s Device Enrollment Program servers.

  4. Adicionar o token do DEP ao Configuration Manager Add the DEP token to Configuration Manager
    Na consola do Configuration Manager, no administração área de trabalho, expanda configuração da hierarquia e clique em subscrições do Microsoft Intune.In the Configuration Manager console, in the Administration workspace, expand Hierarchy Configuration and click Microsoft Intune Subscriptions. Clique em Configurar Plataformas no separador Home Page e, em seguida, clique em iOS.Click Configure Platforms on the Home tab and click iOS. Selecione Ativar o Programa de Inscrição de Dispositivos, procure o ficheiro de certificado (.p7m), clique em Abrir, clique em Carregare, em seguida, clique em OK.Select Enable Device Enrollment Program, browse to the certificate (.p7m) file, click Open, click Upload, and then click OK.

Adicionar uma política de inscrição de dispositivos da empresaAdd a Corporate Device Enrollment Policy

  1. Na consola do Configuration Manager, no ativos e compatibilidade área de trabalho, expanda descrição geral, expanda todos os dispositivos pertencentes, expanda iOSe clique em perfis de inscrição.In the Configuration Manager console, in the Assets and Compliance workspace, expand Overview, expand All Corporate-owned Devices, expand iOS, and click Enrollment Profiles. Clique em Criar Perfil no separador Home Page para abrir o assistente Criar Perfil.Click Create Profile on the Home tab to open the Create Profile wizard. Configure as definições nas seguintes páginas:Configure the settings on the following pages:
  2. On the Geral , especifique as seguintes informações e clique em Seguinte.On the General page, specify the following information, and then click Next.

    • Nome – nome do perfil de inscrição de dispositivos.Name – Name of the device enrollment profile. (Não visível aos utilizadores)(Not visible to users)
    • Descrição -descrição do perfil de inscrição de dispositivos.Description - Description of the device enrollment profile. (Não visível aos utilizadores)(Not visible to users)
    • Afinidade do utilizador – especifica como os dispositivos são inscritos.User affinity – Specifies how devices are enrolled. Consulte afinidade de utilizador para híbrida geridos dispositivos no Configuration Manager.See User affinity for hybrid managed devices in Configuration Manager.

      • Pedido de afinidade de utilizador de: O dispositivo tem de ser afiliado a um utilizador durante a configuração inicial e, em seguida, pode ser autorizado a aceder ao e-mail do utilizador e dados da empresa.Prompt for user affinity: The device must be affiliated with a user during initial setup and could then be permitted to access company data and email as that user. A afinidade de utilizador deve ser configurada para dispositivos geridos por DEP que pertencem aos utilizadores e que precisam de utilizar o portal da empresa (por exemplo, para instalar aplicações).User affinity should be configured for DEP-managed devices that belong to users and need to use the company portal (i.e. to install apps).

        Nota

        DEP com afinidade de utilizador requer o ponto final de nome de utilizador de 1.3 de WS-Trust de ADFS/Mixed esteja ativado para solicitar o token de utilizador.DEP with user affinity requires ADFS WS-Trust 1.3 Username/Mixed endpoint to be enabled to request user token.

      • Sem afinidade de utilizador: O dispositivo não está afiliado a um utilizador.No user affinity: The device is not affiliated with a user. Utilize esta afiliação em dispositivos que efetuem tarefas sem aceder aos dados de utilizador locais.Use this affiliation for devices that perform tasks without accessing local user data. As aplicações que precisem da afiliação de utilizador não funcionam.Apps requiring user affiliation won’t work.
        Nome do perfil de captura de ecrã do DEP, descrição e o pedido de afinidade de utilizadorScreenshot of DEP profile name, description and User Affinity prompt

  3. No definições do programa de inscrição de dispositivos página, especifique as seguintes informações e, em seguida, clique em seguinte.On the Device Enrollment Program Settings page, specify the following information, and then click Next.

    • Departamento: Esta informação é apresentada quando os utilizadores tocam em "Sobre a configuração de" durante a ativação.Department: This information appears when users tap "About Configuration" during activation.
    • Número de telefone de suporte: Apresentado quando o utilizador clica o precisa de ajuda botão durante a ativação.Support phone number: Displayed when the user clicks the Need Help button during activation. Captura de ecrã de atribuição de perfil do DEP para dispositivos iOSScreenshot of assigning DEP profile to iOS devices

    • Modo de preparação: Este estado é definido durante a ativação e não pode ser alterado sem o dispositivo de reposição de fábrica:Preparation mode: This state is set during activation and cannot be changed without factory resetting the device:

      • Supervisionados -capacidades de gestão limitadasUnsupervised - Limited management capabilities
      • Supervisionado - ativa mais opções de gestão e desativa o bloqueio de ativação por predefiniçãoSupervised - Enables more management options and disables Activation Lock by default
    • Bloquear perfil de inscrição no dispositivo: Este estado é definido durante a ativação e não pode ser alterado sem uma reposição de fábrica.Lock enrollment profile to device: This state is set during activation and cannot be changed without a factory reset.
      • Desativar -permite que o perfil de gestão a ser removido o definições menuDisable - Allows the management profile to be removed from the Settings menu
      • Ativar -(requer modo de preparação = supervisionado) desativa as definições do iOS que poderiam permitir a remoção do perfil de gestãoEnable - (Requires Preparation Mode = Supervised) Disables iOS settings that could allow removal of the management profile
  4. Na página Assistente de Configuração , configure as definições que personalizam o Assistente de Configuração iOS que inicia quando o dispositivo é ligado pela primeira vez e, em seguida, clique em Seguinte.On the Setup Assistant page, configure the settings that customize the iOS Setup Assistant that starts when the device is first powered on, and then click Next. Estas definições incluem:These settings include:

    • Código de acesso - pedido de código de acesso durante a ativação.Passcode - Prompt for passcode during activation. Exigir sempre um código de acesso, a menos que o dispositivo esteja protegido ou tenha o acesso controlado de outra forma (ou seja, a modo de local público que restringe o dispositivo a uma aplicação).Always require a passcode unless the device will be secured or have access controlled in some other manner (i.e. kiosk mode that restricts the device to one app).
    • Os serviços de localização - se ativado, o Assistente de configuração solicita o serviço durante a ativaçãoLocation Services - If enabled, Setup Assistant prompts for the service during activation
    • Restaurar - se ativado, o Assistente de configuração solicita para cópia de segurança de iCloud durante a ativaçãoRestore - If enabled, Setup Assistant prompts for iCloud backup during activation
    • Apple ID -é necessário um ID Apple para transferir aplicações da loja de aplicações, incluindo as instaladas pelo Intune iOS.Apple ID - An Apple ID is required to download iOS App Store apps, including those installed by Intune. Se estiver ativada, iOS irá pedir aos utilizadores um ID Apple quando o Intune tenta instalar uma aplicação sem um ID.If enabled, iOS will prompt users for an Apple ID when Intune attempts to install an app without an ID.
    • Termos e condições -se ativado, o Assistente de configuração solicita aos utilizadores que aceitem os termos e condições da Apple durante a ativaçãoTerms and Conditions - If enabled, Setup Assistant prompts users to accept Apple's terms and conditions during activation
    • Touch ID - se ativado, o Assistente de configuração solicita este serviço durante a ativaçãoTouch ID - If enabled, Setup Assistant prompts for this service during activation
    • Apple Pay - se ativado, o Assistente de configuração solicita este serviço durante a ativaçãoApple Pay - If enabled, Setup Assistant prompts for this service during activation
    • Zoom - se ativado, o Assistente de configuração solicita este serviço durante a ativaçãoZoom - If enabled, Setup Assistant prompts for this service during activation
    • Siri - se ativado, o Assistente de configuração solicita este serviço durante a ativaçãoSiri - If enabled, Setup Assistant prompts for this service during activation
    • Enviar dados de diagnóstico para a Apple - se ativado, o Assistente de configuração solicita este serviço durante a ativaçãoSend diagnostic data to Apple - If enabled, Setup Assistant prompts for this service during activation
      Captura de ecrã de atribuição de perfil do DEP para dispositivos iOSScreenshot of assigning DEP profile to iOS devices
  5. No gestão adicional página, especifique se uma ligação USB pode ser utilizada para definições de gestão adicional.On the Additional Management page, specify whether a USB connection can be used for additional management settings. Quando seleciona necessitam de um certificado, tem de importar um certificado de gestão do Apple Configurator para utilizar este perfil.When you select Require certificate, you must import an Apple Configurator management certificate to use for this profile. Definido como não permitir para impedir a sincronização de ficheiros com o iTunes ou de gestão através do Apple Configurator.Set to Disallow to prevent syncing files with iTunes or management via Apple Configurator. A Microsoft recomenda que defina para não permitir, exporte qualquer configuração adicional do Apple Configurator e, em seguida, implementar como um perfil de configuração iOS personalizada, em vez de utilizar esta definição para permitir a implementação manual com ou sem um certificado.Microsoft recommends you set to Disallow, export any further configuration from Apple Configurator, and then deploy as a Custom iOS configuration profile, rather than use this setting to allow manual deployment with or without a certificate.

    • Não permitir -impede o dispositivo de comunicar através de USB (desativa o emparelhamento)Disallow - Prevents the device from communicating via USB (disables pairing)
    • Permitir -permite que o dispositivo comunique através de uma ligação USB com qualquer PC ou MacAllow - Allows device communicate via USB connection with any PC or Mac
    • Requer certificado-permite o emparelhamento com um Mac com um certificado importado para o perfil de inscriçãoRequire certificate- Allows pairing with a Mac with a certificate imported to the enrollment profile

Atribuir dispositivos DEP para gestãoAssign DEP Devices for management

  1. Aceda ao portal do Programa de Inscrição de Dispositivos (https://deploy.apple.com) e inicie sessão com o Apple ID da sua empresa.Go to the Device Enrollment Program portal (https://deploy.apple.com) and sign in with your company Apple ID.
  2. Aceda a Programa de Implementação > Programa de Inscrição de Dispositivos > Gerir Dispositivos.Go to Deployment Program > Device Enrollment Program > Manage Devices. Especifique como irá Escolher Dispositivos, forneça informações sobre o dispositivo e especifique detalhes por Número de Sériee Número da Encomendado dispositivo, ou como Carregar Ficheiro CSV.Specify how you will Choose Devices, provide device information and specify details by device Serial Number, Order Number, or Upload CSV File. Em seguida, selecione atribuir ao servidor e selecione o <ServerName> que especificou no passo 3 e, em seguida, clique em OK.Next, select Assign to Server and select the <ServerName> that you specified in step 3, and then click OK.
    Captura de ecrã do dispositivo inscrição portal do programa Apple adicionar dispositivosScreenshot of Apple Device Enrollment Program portal adding devices

  3. Sincronizar dispositivos geridos pelo DEP Synchronize DEP-managed devices
    No ativos e compatibilidade área de trabalho, aceda a todos os dispositivos pertencentes > Predeclared dispositivos.In the Assets and Compliance workspace, go to All Corporate-owned Devices > Predeclared Devices. No separador Home Page , clique em Sincronização DEP. É enviado um pedido de sincronização para a Apple.On the Home tab, click DEP Sync. A sync request is sent to Apple. Após a conclusão da sincronização, são apresentados os dispositivos geridos pelo DEP.After synchronization completes, the DEP-managed devices are displayed.

    Nota

    Na configuração híbrida, a operação de sincronização do DEP manualmente é acionada clicando sincronização do DEP na consola do Configuration Manager.In the Hybrid configuration, the DEP Sync operation is manually triggered by clicking DEP Sync in the Configuration Manager console.

  4. Atribuir perfil do DEPAssign DEP profile
    No ativos e compatibilidade área de trabalho, aceda a todos os dispositivos pertencentes > iOS > perfis de inscrição.In the Assets and Compliance workspace, go to All Corporate-owned Devices > iOS > Enrollment Profiles. Selecione o perfil de inscrição de DEP e, em seguida, no home page separador, clique em atribuir aos dispositivos.Select the DEP enrollment profile and then, in the Home tab, click Assign to devices. Selecione os dispositivos que irá utilizar este perfil de inscrição, clique em adicionare, em seguida, clique em OK.Select the devices that will use this enrollment profile, click Add, and then click OK.
    Captura de ecrã de atribuição de perfil do DEP para dispositivos iOSScreenshot of assigning DEP profile to iOS devices

Distribuir dispositivos pelos utilizadoresDistribute devices to users

Já pode dar os dispositivos pertencentes à empresa aos utilizadores.You can now give your corporate-owned devices to users. A caixa de diálogo Estado de Inscrição dos dispositivos geridos indica Não contactado até que o dispositivo seja ligado e execute o Assistente de Configuração para inscrever o dispositivo.The Enrollment Status for managed devices reads Not contacted until the device is powered on and runs the Setup Assistant to enroll the device. Quando um dispositivo iOS é ativado, será inscrito para gestão pelo Intune.When an iOS device is turned on it will be enrolled for management by Intune.