使用 Apple Business Manager 或 Apple School Manager 自动注册 macOS 设备

重要

最近,Apple 从使用 Apple 设备注册计划 (DEP) 改为了使用 Apple 自动设备注册 (ADE)。 Intune 正在更新 Intune 用户界面以反映此情况。 在此类更改完成之前,Intune 门户中将继续显示设备注册计划。 无论在何处显示,它现在使用的都是自动设备注册。

可以为通过 Apple 的 Apple Business ManagerApple School Manager 购买的 macOS 设备设置 Intune 注册。 可在不触碰设备的情况下为大量设备使用这些注册。 可以将 macOS 设备直接交付给用户。 用户打开设备时,“设置助理”将运行预先配置的设置,且设备将注册到 Intune 管理。

若要设置注册,需同时使用 Intune 和 Apple 门户。 创建注册配置文件,这些配置文件包含注册过程中应用于设备的设置。

Apple Business Manager 注册和 Apple School Manager 均不适用于设备注册管理器

先决条件

获取 Apple ADE 令牌

必须先从 Apple 获得令牌 (.p7m) 文件,然后才能通过 ADE 或 Apple School Manager 注册 macOS 设备。 此令牌允许 Intune 同步有关组织所拥有的设备的信息。 它还允许 Intune 将注册配置文件上传到 Apple 并将这些配置文件分配到设备。

可以使用 Apple 门户创建令牌。 还可以使用 Apple 门户将设备分配到 Intune 进行管理。

步骤 1. 下载创建令牌所需的 Intune 公钥证书

  1. Microsoft Endpoint Manager 管理中心中,选择“设备” > “macOS” > “macOS 注册” > “注册计划令牌” > “添加”。

    获取注册计划令牌。

  2. 选择“我同意”,为 Microsoft 授予向 Apple 发送用户和设备信息的权限。

    Apple 证书工作区中用于下载公钥的“注册计划令牌”窗格的屏幕截图。

  3. 选择“下载公钥”,将加密密钥 (.pem) 文件下载到本地并保存。 .pem 文件用于从 Apple 门户请求信任关系证书。

步骤 2. 使用密钥从 Apple 下载令牌

  1. 选择“通过 Apple Business Manager 创建令牌”或“通过 Apple School Manager 创建令牌”,以打开相应的 Apple 门户,并使用公司 Apple ID 登录。 可使用此 Apple ID 续订令牌。

  2. 对于 DEP,请在 Apple 门户中,选择“设备注册计划” > “管理服务器” > “添加 MDM 服务器”,然后选择“开始使用”。

  3. 对于 Apple School Manager,请在 Apple 门户中,依次选择“MDM 服务器” > “添加 MDM 服务器”。

  4. 输入“MDM 服务器名称”,然后选择“下一步”。 服务器名称供参考,用于识别移动设备管理 (MDM) 服务器。 并不是 Microsoft Intune 服务器的名称或 URL。

  5. 添加<服务器名称>”对话框随即打开,提示“上传公钥”。 选择“选择文件…” 以上传 .pem 文件,然后选择“下一步”。

  6. 转到“部署计划”>“设备注册计划”>“管理设备”。>>

  7. 在“选择设备方式”下,指定如何标识设备:

    • 序列号
    • 订单编号
    • 上传 CSV 文件

    指定按序列号选择设备、将“选择操作”设置为“分配到服务器”并选择服务器名称的屏幕截图。

  8. 对于“选择操作”,选择“分配到服务器”,选择为 Microsoft Intune 指定的 <服务器名称>,然后选择“确定”。 Apple 门户将指定的设备分配到 Intune 服务器以进行管理,然后显示“分配完成”。

步骤 3. 保存用于创建此令牌的 Apple ID

Microsoft Endpoint Manager 管理中心中,提供 Apple ID 供将来参考。

指定用来创建注册计划令牌的 Apple ID 并浏览到注册计划令牌的屏幕截图。

步骤 4. 上传令牌

在“Apple 令牌”框中,浏览到证书 (.pem) 文件,选择“打开”,然后选择“创建”。 使用 Push Certificate,Intune 可通过将策略推送到已注册的设备来注册和管理 macOS 设备。 Intune 会自动与 Apple 同步以查看你的注册计划帐户。

创建 Apple 注册配置文件

现在,已经安装了令牌,可以为设备创建注册配置文件。 设备注册配置文件定义注册时应用于设备组的设置。

  1. Microsoft Endpoint Manager 管理中心中,选择“设备” > “macOS” > “macOS 注册” > “注册计划令牌”。

  2. 选择令牌,选择“配置文件”,然后选择“创建配置文件 > macOS”。

    “创建配置文件”的屏幕截图。

  3. 在“基本信息”页上,输入配置文件的“名称”和“说明”,以便于管理。 用户看不到这些详细信息。 可以使用此“名称”字段在 Azure Active Directory 中创建动态组。 使用配置文件名称定义 enrollmentProfileName 参数,以向设备分配此注册配置文件。 详细了解 Azure Active Directory 动态组

    配置文件名称和描述。

  4. 对于“平台”,选择“macOS”。

  5. 选择“下一步”,转到“管理设置”页面。

  6. 对于“用户关联”,选择具有此配置文件的设备是否必须通过已分配的用户进行注册。

    • 通过用户关联进行注册 - 为属于用户且想要使用公司门户应用获取服务(如安装应用)的设备选择此选项。 如果使用的是 ADFS,用户关联需要 WS-Trust 1.3 用户名/混合终结点了解详细信息。 如果需要多重身份验证 (MFA),请选择此选项。

    • 不通过用户关联进行注册 - 为不属于单个用户的设备选择此选项。 为无需访问本地用户数据即可执行任务的设备使用此选项。 公司门户等应用将无法运行。

  7. 如果为“用户关联”字段选择了“注册时进行用户关联”,则现在可以选择在对用户进行身份验证时要使用的身份验证方法。 对于“身份验证方法”,请选择以下选项之一:

    • 设置助理(旧):如果希望用户体验典型的、开箱即用的 Apple 产品体验,请使用旧版设置助理。 这将在设备注册 Intune 管理时安装标准的预配置设置。 如果使用的是 Active Directory 联合身份验证服务,且使用设置助理进行身份验证,则需要 WS-Trust 1.3 用户名/混合终结点了解详细信息

    • 使用新式身份验证的设置助理:运行 macOS 10.15 和更高版本的设备可以使用此方法(此配置文件中较旧的 macOS 设备将回退到使用“设置助理(旧版)”流程)。

      如果要求进行多重身份验证 (MFA) 的条件访问策略应用于注册和公司门户登录,则需要 MFA。 但是,根据目标条件访问策略中的 Azure AD 设置,MFA 是可选的。

      完成所有“设置助理”屏幕后,最终用户会登陆主页(此时将建立其用户关联)。 但在用户使用 Azure AD 凭据登录公司门户之前,设备将:

      • 不会完全使用 Azure AD 注册。
      • 不会显示在 Azure AD 门户的用户设备列表中。
      • 不能访问受条件访问保护的资源。
      • 不会接受设备合规性评估。
      • 从其他应用重定向到公司门户(如果用户尝试打开受条件访问保护的任何托管应用)。

      若要详细了解如何在用户设备上获得 macOS 公司门户,请参阅为 macOS 应用添加公司门户

  8. 对于“锁定注册”,请选择是否要为使用此配置文件的设备锁定注册。 选择“是”将禁用 macOS 设置,这些设置允许从“系统偏好设置”菜单或通过“终端”删除管理配置文件。 注册设备后,除非擦除设备,否则无法更改此设置。

  9. 选择“下一步”,转到“设置助理”页面。

  10. 在“设置助理”页上,配置以下配置文件设置:

    部门设置 说明
    部门名称 用户在激活过程中轻点“关于配置”时显示。
    部门电话 用户在激活过程中单击“需要帮助”按钮时显示。

    用户设置设备时,可以选择在设备上显示或隐藏各种设置助理屏幕。

    • 如果选择“隐藏”,设置期间将不会显示该屏幕。 设置设备之后,用户仍可以进入“设置”菜单来设置此功能。
    • 如果选择“显示”,设置期间将显示该屏幕。 用户有时可以跳过该屏幕,无需采取任何操作。 但是,他们可以稍后进入设备的“设置”菜单来设置此功能。
    设置助理屏幕设置 如果选择“显示”,设置期间设备将...
    位置服务 提示用户输入其位置。 适用于 macOS 10.11 及更高版本和 iOS/iPadOS 7.0 及更高版本。
    还原 显示“应用和数据”屏幕。 设置设备时,此屏幕为用户提供从 iCloud 备份还原或传输数据的选项。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。
    Apple ID 提供用户使用其 Apple ID 登录和使用 iCloud 的选项。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。
    条款和条件 要求用户接受 Apple 的条款和条件。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。
    Touch ID 提供用户设置设备指纹标识的选项。 适用于 macOS 10.12.4 及以上版本和 iOS/iPadOS 8.1 及以上版本。
    Apple Pay 提供用户在设备上设置 Apple Pay 的选项。 适用于 macOS 10.12.4 及以上版本和 iOS/iPadOS 7.0 及以上版本。
    Siri 提供用户设置 Siri 的选项。 适用于 macOS 10.12 及以上版本和 iOS/iPadOS 7.0 及以上版本。
    诊断数据 向用户显示“诊断”屏幕。 此屏幕提供用户将诊断数据发送到 Apple 的选项。 适用于 macOS 10.9 及以上版本和 iOS/iPadOS 7.0 及以上版本。
    FileVault 向用户显示 FileVault 2 加密屏幕。 适用于 macOS 10.10 及更高版本。
    iCloud 诊断 向用户显示“iCloud 分析”屏幕。 适用于 macOS 10.12.4 及更高版本。
    iCloud 存储 向用户显示“iCloud 文档和桌面”屏幕。 适用于 macOS 10.13.4 及更高版本。
    显示色调 提供用户开启“显示色调”的选项。 适用于 macOS 10.13.6 及以上版本和 iOS/iPadOS 9.3.2 及以上版本。
    外观 向用户显示“外观”屏幕。 适用于 macOS 10.14 及以上版本和 iOS/iPadOS 13.0 及以上版本。
    屏幕时间 显示“屏幕时间”屏幕。适用于 macOS 10.15 及以上版本以及 iOS/iPadOS 12.0 及以上版本。
    隐私 向用户显示“隐私”屏幕。 适用于 macOS 10.13.4 及以上版本和 iOS/iPadOS 11.3 及以上版本。
    辅助功能 向用户显示“辅助功能”屏幕。 如果此屏幕处于隐藏状态,则用户将无法自动听到语音朗读。 仅在符合以下条件的设备上支持语音朗读:
    - 运行 macOS 11。
    - 使用以太网连接到 Internet。
    - 在 Apple School Manager 或 Apple Business Manager 中显示序列号。
  11. 选择“下一步”,以转到“查看 + 创建”页。

  12. 若要保存配置文件,则选择“创建”。

同步托管设备

Intune 已拥有管理设备的权限,现在可以将 Intune 与 Apple 同步,以在 Azure 门户的 Intune 中查看托管设备。

  1. Microsoft Endpoint Manager 管理中心中,选择“设备” > “macOS” > “macOS 注册” > “注册计划令牌”。

  2. 在列表中选择一个令牌 > 设备>同步选中“注册计划设备”节点和选中“同步”链接的屏幕截图。

    为了遵从 Apple 的有关可接受的注册计划流量的条款,Intune 规定了以下限制:

    • 每七天只能运行一次完全同步。 完全同步时,Intune 会提取分配给连接到 Intune 的 Apple MDM 服务器的完整更新序列号列表。 如果已从 Intune 门户删除注册计划设备但未从 Apple 门户的 Apple MDM 服务器取消分配,则该设备不会重新导入到 Intune,除非运行完全同步。
    • 如果从 ABM/ASM 中释放了某个设备,那么最多可能需要 45 天,才能自动从 Intune 中的“设备”页中删除该设备。 如果需要,可以手动从 Intune 中依次删除已释放的设备。 已释放的设备将被准确地报告为从 Intune 中的 ABM/ASM 中“已删除”,直到它们在 30-45 天内被自动删除。
    • 每 24 小时自动运行一次同步。 用户也可以单击“同步”按钮(不能超过 15 分钟一次)运行同步。 所有同步请求都在 15 分钟内完成。 在同步完成前,“同步”按钮处于禁用状态。 此同步将刷新现有设备状态并导入分配到 Apple MDM 服务器的新设备。

将注册配置文件分配到设备

必须先向设备分配注册计划配置文件才能注册他们。

  1. Microsoft Endpoint Manager 管理中心中,选择“设备” > “macOS” > “macOS 注册” > “注册计划令牌”> 在列表中选择一个令牌。
  2. 选择“设备”> 在列表中选择设备 >“分配配置文件”。
  3. 在“分配配置文件”下,为设备选择配置文件,然后选择“分配”。

分配默认配置文件

可以选择一个默认 macOS 和 iOS/iPadOS 配置文件,以将其应用于所有使用特定令牌注册的设备。

  1. Microsoft Endpoint Manager 管理中心中,选择“设备” > “macOS” > “macOS 注册” > “注册计划令牌”> 在列表中选择一个令牌。
  2. 选择“设置默认配置文件”,在下拉列表中选择配置文件,然后选择“保存”。 此配置文件将应用于所有使用此令牌注册的设备。

分发设备

已启用 Apple 和 Intune 之间的管理和同步,并分配了配置文件以允许设备注册。 现在可以将设备分配给用户。 具有用户关联的设备需要每个用户都分配有 Intune 许可证。 没有用户关联的设备需要设备许可证。

注册了 ABM/ASM 并在 Intune 中分配有配置文件的设备可以在以下时间进行注册:

  • 针对新设备或擦除的设备运行“设置助理”时。
  • 在“设置助理”运行后使用配置文件命令时。

在“设置助理”期间通过自动设备注册来注册已在 ABM/ASM 中注册的 macOS 设备

在“设置助理”期间,在 ABM/ASM 中配置的设备将自动通过 Intune 实现管理注册,并提供远程管理提示。

备注

如果已为设备分配具有用户关联的 macOS 注册配置文件,则必须登录公司门户以进行 Azure AD 注册和条件访问。

在运行设置助理后通过自动设备注册来注册已在 ABM/ASM 中注册 macOS 设备

对于 macOS 10.13 和更高版本的设备,您可以按照以下步骤进行注册。

  1. 在 Apple 商务管理或 Apple 校园教务管理门户中,导入设备。
  2. Microsoft Endpoint Manager 管理中心中,确保为设备分配了具有/没有用户关联的 macOS 注册配置文件。
  3. 以本地管理员帐户登录到设备。
  4. 要触发注册,请在 “主页” 上,打开 “终端”,并运行以下命令:sudo profiles renew -type enrollment
  5. 输入本地管理员帐户的设备密码。
  6. “设备注册” 窗口中,选择 “详细信息”
  7. “系统首选项” 窗口中,选择 “配置文件”
  8. 按照提示进行操作,以从 Intune 下载管理配置文件、证书和策略。 您可以随时前往 “系统首选项” > “配置文件” 来查看设备上的配置文件。
  9. 如果已为设备分配具有用户关联的 macOS 注册配置文件,则必须登录公司门户以进行 Azure AD 注册和条件访问。

续订 ADE 令牌

  1. 转到 business.apple.com,然后使用角色为“管理员”或“设备注册管理员”的帐户登录。

  2. 选择“设置”,在“MDM 服务器”下,选择与要续订的令牌文件相关联的 MDM 服务器,然后选择“下载令牌”。

    “下载令牌”的屏幕截图。

  3. 选择“下载服务器令牌”。

  4. Microsoft Endpoint Manager 管理中心中,选择“设备注册” > “Apple 注册” > “注册程序令牌”> 选择令牌。 注册程序令牌屏幕截图。

  5. 选择“续订令牌”,然后输入用于创建原始令牌的 Apple ID。
    生成新令牌的屏幕截图。

  6. 上传新下载的令牌。

  7. 选择“续订令牌”。 你将看到令牌已续订的确认消息。 确认消息屏幕截图。

后续步骤

注册 macOS 设备后,可以开始对其进行管理