Руководство по настройке регистрации Microsoft Intune для устройств iOS/iPadOS в Apple Business Manager

Используйте Apple Business Manager с Microsoft Intune, чтобы упростить и автоматизировать регистрацию устройств iOS/iPadOS, приобретенных через Apple Business Manager. Автоматическая регистрация устройств, которую мы настроим в этом руководстве, обеспечивает безопасную автоматическую регистрацию при первом включении устройства пользователем путем развертывания профиля регистрации на устройстве по беспроводной сети.

С помощью данного руководства вы изучите:

• Получение маркера регистрации устройства Apple
• Синхронизация управляемых устройств с Intune
• Создание профиля регистрации
• Назначение профиля регистрации устройствам

В конце этого руководства устройства будут готовы к распространению для регистрации.

Предварительные требования

• Настройка центра управления мобильными устройствами (MDM).
• Получите push-сертификат Apple MDM.
• Иметь новые или очистные устройства, приобретенные у Apple Business Manager.
• Добавьте сведения о покупках в разделе Параметры управления устройствами в Apple Business Manager.

Если у вас нет подписки Intune, зарегистрируйтесь для получения бесплатной пробной учетной записи.

Шаг 1. Добавление сервера MDM

Создайте профиль сервера MDM для Microsoft Intune в Apple Business Manager. Токен, скачанный на этом шаге, позволит установить соединение между Microsoft Intune и Apple Business Manager на более позднем этапе.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>iOS/iPadOS>регистрация iOS/iPadOS.

3. Выберите Токены программы регистрации.

4. Нажмите Добавить.

5. Выберите Я согласен предоставить корпорации Майкрософт разрешение на отправку сведений о пользователях и устройствах в Apple.

6. Выберите Скачать открытый ключ , чтобы скачать сертификат открытого ключа сервера (PEM-файл) на локальный диск.

7. Выберите Создать токен с помощью Apple Business Manager и войдите в Apple Business Manager с помощью идентификатора Apple ID компании.

   Важно!

   Пока вы находитесь в Apple Business Manager, не закрывайте вкладку браузера с Microsoft Intune. Вы вернетесь к нему позже.

8. Добавьте сервер MDM с именем TestMDMServer и скачайте маркер сервера для него в Apple Business Manager. Дополнительные сведения и инструкции см. в разделе Ссылка на сторонний сервер MDM (откроется руководство пользователя Apple Business Manager). Сохраните маркер сервера локально как P7M-файл (P7m). Затем перейдите к шагу 2. Назначение устройств.

Шаг 2. Назначение устройств

Пока вы находитесь в Apple Business Manager, назначьте устройства новому серверу MDM (TestMDMServer или любое имя). Дополнительные сведения и инструкции см. в статье Назначение, переназначение или отмена назначения устройств в Apple Business Manager (откроется руководство пользователя Apple Business Manager). Завершив назначение устройств, перейдите к шагу 3. Отправка маркера сервера MDM.

Шаг 3. Отправка маркера сервера MDM

Вернитесь в центр администрирования Microsoft Intune, чтобы отправить маркер сервера MDM в Intune. После отправки маркера Microsoft Intune сможет синхронизировать и зарегистрировать устройства iOS/iPadOS, назначенные TestMDMServer.

1. В поле Идентификатор Apple введите идентификатор Apple ID, который использовался для создания маркера.
2. В разделе Токен Apple отправьте маркер сервера, сохраненный ранее. Файл должен быть в формате P7M.
3. Нажмите кнопку Далее.
4. При необходимости примените теги область к маркеру регистрации, чтобы ограничить доступ других администраторов к нему или вносить в него изменения. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.
5. Нажмите кнопку Далее.
6. На вкладке Просмотр и создание выберите Создать, чтобы завершить связывание Microsoft Intune и Apple Business Manager.

Microsoft Intune автоматически синхронизируется с Apple Business Manager. На появление устройств в Центре администрирования может потребоваться до 12 часов. Вы можете дождаться синхронизации этих устройств или вручную запустить синхронизацию. Чтобы запустить синхронизацию самостоятельно, выберите маркер в списке в Центре администрирования, а затем выберите Синхронизация устройств>.

Шаг 4. Создание профиля регистрации Apple

Создайте профиль регистрации для корпоративных устройств iOS/iPadOS. Профиль регистрации устройства определяет параметры, применяемые к группе устройств в процессе регистрации.

1. Выберите маркер в Центре администрирования, а затем выберите Профили>Создать профиль>iOS/iPadOS.

2. На странице Основные в поле Имя введите TestProfile, а в поле Описание — Тестирование ADE для устройств iOS и iPadOS. Эти сведения не отображаются для пользователей.

3. Нажмите кнопку Далее.

4. На странице Параметры управления выберите, следует ли регистрировать устройства с сопоставлением пользователей и устройств или без него. Сопоставление пользователей и устройств нужно для устройств, которые будут использоваться определенными пользователями. Если вашим пользователям нужно использовать корпоративный портал для выполнения таких действий, как установка приложений, используйте пункт Регистрация с сопоставлением пользователей. Если пользователям не требуется Корпоративный портал или вы хотите подготовить устройство для многих пользователей, выберите Регистрация без сопоставления пользователей.

5. Если вы решили выполнить регистрацию с сопоставлением пользователей, появится параметр Выберите, где пользователи должны проходить проверку подлинности. Определите, хотите ли вы проверять подлинность с помощью корпоративного портала, а не помощника по настройке Apple.

   • Корпоративный портал. Выберите этот параметр, чтобы использовать Многофакторную идентификацию, разрешить пользователям изменять пароли при первом входе или предлагать пользователям сбросить просроченные пароли во время регистрации. Если вы хотите, чтобы приложение "Корпоративный портал" автоматически обновлялось на устройствах пользователей, Корпоративный портал можно отдельно развернуть как обязательное приложение для этих пользователей с помощью программы Apple Volume Purchase Program (VPP).
   • Помощник по настройке. Выберите этот вариант, чтобы использовать обычную проверку подлинности HTTP Apple через помощник по настройке Apple.

6. Если вы выбрали регистрацию с сопоставлением пользователей и проверку подлинности с помощью Корпоративного портала, появится параметр Установить Корпоративный портал с VPP. Если установить Корпоративный портал с токеном VPP, пользователю не придется вводить идентификатор Apple ID и пароль для скачивания Корпоративного портала из магазина приложений во время регистрации. Выберите Использовать токен: в разделе Установить Корпоративный портал с помощью VPP, затем выберите токен VPP, у которого есть свободные лицензии на корпоративном портале. Если вы не хотите пользоваться VPP для развертывания корпоративного портала, выберите Не использовать VPP.

7. Если вы выбрали регистрацию с сопоставлением пользователей, проверку подлинности с помощью корпоративного портала и установили корпоративный портал с помощью VPP, решите, хотите ли вы запускать корпоративный портал в режим одиночного приложения до проверки подлинности. С помощью этого параметра вы можете гарантировать, что у пользователя нет доступа к другим приложениям, пока не завершится корпоративная регистрация. Если вы хотите запретить пользователям доступ сюда до завершения регистрации, выберите Да в разделе Запуск корпоративного портала в режиме одиночного приложения до проверки подлинности.

8. В разделе Параметры управления устройствами выберите Да для параметра Защищено (если выбран вариант Регистрация с сопоставлением пользователей, значение Да устанавливается автоматически). Защищенный режим открывает доступ к большинству параметров управления корпоративными устройствами iOS и iPadOS.

9. Выберите Да в разделе Заблокированная регистрация , чтобы убедиться, что пользователи не могут удалить управление корпоративным устройством.

10. Выберите параметр в разделе Синхронизироваться с компьютерами, чтобы указать, получат ли устройства iOS и iPadOS возможность синхронизации с компьютерами.

11. По умолчанию Apple присваивает устройству имя типа устройства, например iPad. Если вы хотите задать другой шаблон имени, выберите Да в разделе Применить шаблон имени устройства. Введите имя, которое вы хотите применить к устройствам; здесь строки {{SERIAL}} и {{DEVICETYPE}} заменяют серийный номер и тип каждого устройства. В противном случае выберите Нет в разделе Применить шаблон имени устройства.

12. Нажмите кнопку Далее.

13. На странице помощника по настройке введите в поле Название отдела значение Отдел из учебника. Эта строка отображается, когда пользователь выбирает О конфигурации во время активации устройства.

14. В поле Номер телефона отдела введите номер телефона. Этот номер отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.

15. Вы можете отображать или скрывать различные экраны во время активации устройства. Для наибольшей прозрачности процесса регистрации стоит Скрыть все экраны.

16. Выберите Далее, чтобы перейти на страницу Просмотр и создание. Нажмите Создать.

Шаг 5. Назначение профиля регистрации устройствам iOS/iPadOS

Устройствам нужно назначить профиль программы регистрации, чтобы можно было их зарегистрировать. Эти устройства будут синхронизированы с Intune из Apple, и им должен быть назначен правильный токен сервера MDM на портале ABM, ASM или ADE.

1. В Центре администрирования выберите маркер из списка.
2. Выберите Устройства и устройства, которые нужно назначить.
3. Выберите Назначить профиль.
4. В разделе Назначение профиля выберите профиль для устройства >Назначить.

Примечание.

Убедитесь, что в параметре Ограничения по типу устройства раздела Ограничения регистрации политика Все пользователи по умолчанию не настроена для блокировки платформы iOS/iPadOS. Этот параметр приведет к сбою автоматической регистрации, и устройство будет отображаться как устройство с недопустимым профилем независимо от уровня аттестации пользователя. Чтобы разрешить регистрацию только для устройств, управляемых компанией, заблокируйте только личные устройства. Это позволит выполнять регистрацию только корпоративным устройствам. Корпорация Майкрософт считает корпоративным такое устройство, которое было зарегистрировано по Программе регистрации устройств, или устройство, сведения о котором были вручную введены в идентификаторы корпоративных устройств.

Шаг 6. Распространение устройств среди пользователей

Вы настроили управление и синхронизацию между Apple и Intune и назначили профиль, чтобы разрешить регистрацию устройств ADE. Теперь вы можете распределить устройства между пользователями. Устройствам с сопоставлением пользователей требуется, чтобы каждому пользователю была назначена лицензия Intune.

Дальнейшие действия

Ознакомьтесь со сведениями о других параметрах, доступных для регистрации устройств iOS и iPadOS.

Техническая документация по автоматической регистрации устройств iOS/iPadOS