使用 Apple School Manager 來設定 iOS/iPadOS 裝置註冊

您可以設定 Intune 以註冊透過 Apple School Manager 計劃購買的 iOS/iPadOS 裝置。 使用 Intune 與 Apple School Manager，您可以註冊大量的 iOS/iPadOS 裝置，而不需要碰到它們。 當學生或教師開啟裝置時，設定助理會以預先設定的設定執行，且裝置會註冊到管理中。

若要啟用Apple School Manager 註冊，請使用 Intune和 Apple School Manager 入口網站。 需要序號或採購單號碼的清單，才能將裝置指派給 Intune 進行管理。 您可以建立自動裝置註冊 (ADE) 註冊配置檔，其中包含在註冊期間套用至裝置的設定。

Apple School Manager 註冊無法與 裝置註冊管理員搭配使用。

必要條件

• Apple Mobile 裝置管理 (MDM) 推播憑證
• MDM 授權單位
• 若使用 ADFS，則使用者親和性需要 WS-Trust 1.3 使用者名稱/混合端點。 深入了解。
• 從 Apple School Management 計劃購買的裝置

取得 Apple 令牌並指派裝置

在您可以使用 Apple School Manager 註冊公司擁有的 iOS/iPadOS 裝置之前，您需要一個來自 Apple 的令牌 (.p7m) 檔案。 此令牌可讓 Intune 同步處理 Apple School Manager 參與裝置的相關信息。 它也允許 Intune 執行註冊配置檔上傳至 Apple，並將裝置指派給這些配置檔。 當您在 Apple 入口網站中時，您也可以指派要管理的裝置序號。

步驟 1：下載建立 Apple 令牌所需的 Intune 公鑰憑證

1. 在 Microsoft Intune 系統管理中心，移至 [裝置>註冊]。
2. 選取 [Apple] 索引 標籤。
3. 選擇 [註冊計劃令牌]。
4. 選取 新增。
5. 選 取 [下載您的公鑰 ] 以在本機下載並儲存加密金鑰 (.pem) 檔案。 .pem 檔案是用來從 Apple School Manager 入口網站要求信任關係憑證。

步驟 2：下載令牌並指派裝置

1. 選擇 Create 透過 Apple School Manager 取得令牌，然後使用公司 Apple ID 登入 Apple School。 您可以使用此 Apple ID 來更新 Apple School Manager 令牌。
2. 在 Apple School Manager 入口網站中，移至 [MDM 伺服器]，然後選擇 [ 新增 MDM 伺服器 (右上方) 。
3. 輸入 MDM 伺服器名稱。 您可參考這個伺服器名稱，以識別行動裝置管理 (MDM) 伺服器， 它不是 Microsoft Intune 伺服器的名稱或URL。
4. 在 Apple 入口網站中選擇 [上傳檔案... ]，流覽至 .pem 檔案，然後選擇 [儲存 MDM 伺服器 ] (右下方) 。
5. 選擇 [取得令牌 ]，然後將伺服器令牌 (.p7m) 檔案下載到您的計算機。
6. 移至 [裝置指派]。 手動輸入裝置的序號或訂單號碼，以選擇您的裝置。
7. 選擇 [ 指派給伺服器] 動作，然後選擇您建立的 MDM 伺服器 。
8. 指定如何 選擇裝置，然後提供裝置資訊和詳細數據。
9. 選擇 [指派給伺服器]，<然後選擇為 [Microsoft Intune 指定的 ServerName>]，然後選擇 [確定]。

步驟 3：儲存用來建立此令牌的 Apple ID

返回 系統管理中心 ，然後輸入AppleID。

步驟 4：上傳令牌

在 [Apple 權杖] 方塊中，瀏覽至憑證 (.pem) 檔案，選擇 [開啟]，然後選擇 [建立]。 使用推播憑證，Intune 可以藉由將原則推送至已註冊的行動裝置來註冊和管理 iOS/iPadOS 裝置。 Intune 從 Apple 自動同步處理您的 Apple School Manager 裝置。

建立 Apple 註冊設定檔

現在您已安裝令牌，您可以建立 Apple School 裝置的註冊設定檔。 裝置註冊設定檔會定義在註冊期間套用至裝置群組的設定。

1. 在 Microsoft Intune 系統管理中心，移至 [裝置>註冊]。

2. 選取 [Apple] 索引 標籤。

3. 在 [大量註冊方法] 下，選擇 [註冊計劃令牌]。

4. 選取令牌。

5. 選取 >[配置檔Create 配置檔>iOS/iPadOS。

6. 在 [Create 配置檔] 底下，輸入配置檔的 [名稱] 和 [描述]，以供系統管理之用。 使用者看不到這些詳細數據。 您可以使用此 [名稱] 字段在 Microsoft Entra ID 中建立動態群組。 設定檔名稱可用來定義 enrollmentProfileName 參數，以註冊具備此註冊設定檔的裝置。 深入瞭解動態群組 Microsoft Entra。

   

7. 針對 [使用者親和性]，選擇具有此配置檔的裝置是否必須註冊指派的使用者。

   • 使用使用者親和性註冊 - 針對屬於使用者且想要使用公司入口網站進行安裝應用程式等服務的裝置，選擇此選項。 此選項也可讓使用者使用公司入口網站來驗證其裝置。 若使用 ADFS，則使用者親和性需要 WS-Trust 1.3 使用者名稱/混合端點。 深入了解。 Apple School Manager 的共用 iPad 模式需要用戶註冊，而不需要使用者親和性。

   • 不使用使用者親和性註冊 - 針對未與單一使用者無關的裝置選擇此選項，例如共用裝置。 針對執行工作但不存取本機用戶數據的裝置，請使用此選項。 公司入口網站應用程式類的應用程式無法運作。

8. 如果您選擇 [使用使用者親和性註冊]，您可以讓使用者使用 公司入口網站 進行驗證、設定助理 (舊版) ，以及使用新式驗證來設定助理。 選取選項。 如需驗證方法的詳細資訊，請參閱 Intune 中自動化裝置註冊的驗證方法。

   注意事項

   如果您想要執行下列任何動作，請將 [使用 公司入口網站 而非 Apple 設定助理進行驗證] 設定為 [是]。

   • 使用多重要素驗證
   • 提示第一次登入時需要變更密碼的使用者
   • 提示用戶在註冊期間重設其過期密碼

   使用 Apple 設定助理進行驗證時不支援這些專案。

9. 選擇 [裝置管理 設定]，然後選擇是否要監督使用此配置檔的裝置。 受監督 的裝置預設會提供更多管理選項和停用的啟用鎖定。 Microsoft 建議使用 ADE 作為啟用 Intune 受監督模式的機制，特別是針對部署大量 iOS/iPadOS 裝置的組織。

   使用者會收到兩種方式通知其裝置受到監督：

   • 鎖定畫面顯示：「此 iPhone 由 Contoso 管理。」

   • [ 設定>一般>關於] 畫面顯示：「此 iPhone 受到監督。 Contoso 可以監視您的因特網流量並找出此裝置。」

     注意事項

     未經監督註冊的裝置只能使用Apple Configurator重設為受監督。 以這種方式重設裝置需要使用 USB 纜線將 iOS/iPadOS 裝置連線到 Mac。 如需詳細資訊，請參閱 Apple Configurator 檔。

10. 選擇是否要針對使用此設定檔的裝置進行鎖定的註冊。 鎖定的註冊 會停用允許從 [設定] 功能表中移除管理配置檔 的 iOS/iPadOS 設定。 裝置註冊之後，您無法在抹除裝置的情況下變更此設定。 這類裝置必須將 [ 受監督 的管理模式] 設定為 [ 是]。

11. 您可以讓多位使用者使用受控 Apple ID 登入已註冊的 iPad。 若要這樣做，請在 [共用 iPad] 下選擇 [是 (此選項需要 [註冊但不使用使用者親和性]，並將 [受監督] 模式設定為 [是]。) 在 Apple School Manager 入口網站中建立受控 Apple 標識符。 深入了解 共用 iPad 和 Apple 的共用 iPad 需求。

12. 選擇您是否要讓使用此設定檔的裝置能夠 與電腦同步。 全部拒絕 表示使用此配置檔的所有裝置將無法與任何電腦上的任何數據同步。 如果您選擇 [ 依憑證允許 Apple Configurator]，則必須在 [Apple Configurator 憑證] 下選擇憑證。

13. 如果您在上一個步驟中選擇 [依憑證允許 Apple Configurator ]，請選擇要匯入的 Apple Configurator 憑證。

14. 您可以為註冊時自動套用的裝置指定命名格式。 若要這樣做，請在 [套用裝置名稱範本] 底下選取 [是]。 然後，在 [ 裝置名稱範本 ] 方塊中，輸入要用於使用此配置檔之名稱的範本。 您可以指定包含裝置類型和序號的範本格式。

15. 選擇 [確定]。

16. 選擇 [設定助理設定 ] 以設定下列設定檔設定：

    設定	描述
    部門名稱	使用者在啟用期間點選 [關於設定] 時顯示。
    部門電話	在使用者在啟用期間按一下 [需要協助] 按鈕時顯示。
    設定助理選項	您可以稍後在 iOS/ iPadOS [ 設定] 選單中設定下列選擇性設定。
    密碼	在啟用期間提示輸入密碼。 除非以其他方式控制存取 (例如將裝置限制為一個應用程式的 kiosk 模式)，否則不安全的裝置一律需要密碼。
    定位服務	啟用時，設定助理會在啟用期間提示服務。
    還原	如果啟用，安裝助理會在啟用期間提示 iCloud 備份。
    iCloud 和 Apple ID	如果啟用，安裝助理會提示使用者登入Apple ID，而應用程式 & 資料畫面可讓裝置從iCloud備份還原。
    條款及條件	如果啟用，安裝助理會提示用戶在啟用期間接受Apple的條款和條件。
    Touch ID	啟用時，設定助理會在啟用期間提示您提供此服務。
    Apple Pay	啟用時，設定助理會在啟用期間提示您提供此服務。
    Zoom	啟用時，設定助理會在啟用期間提示您提供此服務。
    Siri	啟用時，設定助理會在啟用期間提示您提供此服務。
    診斷資料	啟用時，設定助理會在啟用期間提示您提供此服務。

17. 選擇 [確定]。

18. 若要儲存該設定檔，請選擇 [建立]。

同步受控裝置

Intune 獲指派管理 Apple School Manager 裝置的許可權之後，請同步處理 Intune 與 Apple 服務，以在 Intune 中查看受控裝置。

1. 返回 註冊計劃令牌。
2. 選取清單中的令牌。
3. 選 取 [裝置>同步]。
   

若要遵循 Apple 的可接受註冊計劃流量條款，Intune 會施加下列限制：

• 完整同步處理每 7 天只能執行一次。 在完整同步處理期間，Intune 重新整理指派給 Intune 的每個 Apple 序號。 如果在前一次完整同步處理的七天內嘗試完整同步處理，Intune 只會重新整理尚未列在 Intune 中的序號。
• 任何同步處理要求都會有15分鐘的時間完成。 在這段期間或要求成功之前，會停用 [同步 ] 按鈕。
• Intune 每隔 24 小時與 Apple 同步處理新的和已移除的裝置。

注意事項

您也可以從 [ 註冊計劃裝置 ] 刀鋒視窗將Apple School Manager序號指派給配置檔。

將配置檔指派給裝置

由 Intune 管理的 Apple School Manager 裝置必須先獲指派註冊配置檔，才能註冊。

1. 返回 註冊計劃令牌。
2. 選取清單中的令牌。
3. 選 取 [裝置 ]，然後選擇您的裝置。
4. 選 取 [指派配置檔]。 然後選取裝置的配置檔。
5. 選取 [指派]。

將裝置散發給使用者

您已啟用 Apple 與 Intune 之間的管理和同步處理，並指派配置檔讓您的 Apple School 裝置註冊。 您現在可以將裝置發佈給使用者。 當 iOS/iPadOS Apple School Manager 裝置開啟時，它會由 Intune 註冊以進行管理。 在抹除裝置之前，配置檔無法套用至目前使用中的已啟用裝置。