Поделиться через

Настройка автоматической регистрации устройств (ADE) для iOS/iPadOS

  • Статья

Применимо к iOS/iPadOS

Корпоративные устройства, приобретенные через Apple Business Manager или Apple School Manager, можно зарегистрировать в Intune с помощью автоматической регистрации устройств. Этот вариант регистрации применяет параметры вашей организации из Apple Business Manager и Apple School Manager и регистрирует устройства без необходимости касаться их. IPhone и iPad можно отправлять непосредственно сотрудникам и учащимся. При включении устройств помощник по настройке Apple поможет им выполнить настройку и регистрацию.

В этой статье описывается подготовка и настройка автоматической регистрации устройств в Microsoft Intune.

Общие сведения о функциях

В следующей таблице показаны функции и сценарии, поддерживаемые автоматической регистрацией устройств.

Функция Используйте этот вариант регистрации, когда:
Вам нужен защищенный режим. ✔️

В защищенном режиме развертываются обновления программного обеспечения, ограничиваются функции, разрешаются и блокируются приложения и выполняется многое другое.
Устройства принадлежат организации или школе. ✔️
У вас есть новые устройства. ✔️
Необходима регистрация множества устройств (массовая регистрация). ✔️
Устройства связаны с единственным пользователем. ✔️
Устройства не имеют пользователей — например, киоски или выделенные устройства. ✔️
Устройства находятся в режиме общего устройства. ✔️
Устройства являются личными или собственными (BYOD).

Это делать не рекомендуется. Приложениями на BYOD или персональных устройствах можно управлять с помощью MAM или регистрации пользователей и устройств.
Устройства находятся под управлением другого поставщика MDM.

Если вы хотите полностью управлять устройством в Intune, пользователи должны отменить регистрацию у текущего поставщика MDM, а затем зарегистрироваться в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, рекомендуется зарегистрировать их в Intune.
Вы используете учетную запись диспетчера регистрации устройств (DEM).

Учетная запись DEM не поддерживается.

Сертификаты

Этот тип регистрации поддерживает протокол ACME. При регистрации новых устройств профиль управления из Intune получает сертификат ACME. Протокол ACME обеспечивает лучшую защиту от несанкционированной выдачи сертификатов по сравнению с протоколом SCEP с помощью надежных механизмов проверки и автоматизированных процессов, что помогает сократить количество ошибок при управлении сертификатами.

Устройства, которые уже зарегистрированы, не получают сертификат ACME, если они не будут повторно зарегистрированы в Microsoft Intune. ACME поддерживается на устройствах под управлением:

  • iOS 16.0 или более поздней версии

  • iPadOS 16.1 или более поздней версии

Предварительные условия

Перед созданием профиля регистрации необходимо:

Подготовка к работе

Ознакомьтесь с этими требованиями к регистрации и рекомендациями, чтобы подготовиться к успешной настройке и развертыванию.

Выбор метода проверки подлинности

Перед созданием профиля регистрации определите, как пользователи должны проходить проверку подлинности на своих устройствах: с помощью приложения Корпоративный портал Intune, помощника по настройке (устаревшая версия) или помощника по настройке с современной проверкой подлинности. Использование приложения Корпоративный портал или помощника по настройке с современной проверкой подлинности считается современной проверкой подлинности и имеет такие функции, как многофакторная проверка подлинности.

Intune также поддерживает JIT-регистрацию для помощника по настройке с современной проверкой подлинности, что устраняет необходимость в приложении Корпоративный портал для Microsoft Entra регистрации и соответствия требованиям. Чтобы использовать JIT-регистрацию, необходимо создать политику конфигурации устройств перед созданием профиля регистрации Apple и настройкой помощника по настройке с современной проверкой подлинности.

Помощник по настройке с современной проверкой подлинности поддерживается на устройствах под управлением iOS/iPadOS 13.0 и более поздних версий. Вместо этого для более старых устройств iOS/iPadOS с этим профилем будет использоваться помощник по настройке (устаревшая версия) для проверки подлинности.

Дополнительные сведения о вариантах проверки подлинности см. в статье Методы проверки подлинности для автоматической регистрации устройств.

Что такое защищенный режим

Защищенный режим обеспечивает больший контроль над корпоративными устройствами, поэтому вы можете выполнять такие действия, как блокировка захвата экрана и ограничение AirDrop.

Корпоративные устройства под управлением iOS/iPadOS 11+ и зарегистрированные с помощью автоматической регистрации устройств всегда должны находиться в защищенном режиме, который можно включить в профиле регистрации. Дополнительные сведения о защищенном режиме см . в разделе Включение защищенного режима iOS/iPadOS. Microsoft Intune игнорирует флаг is_supervised для устройств под управлением iOS/iPadOS 13.0 и более поздних версий, так как эти устройства автоматически переводятся в защищенный режим во время регистрации.

Регистрация устройств в режиме общего устройства

Вы можете настроить автоматическую регистрацию устройств в режиме общего устройства. Режим общего устройства — это функция Microsoft Entra ID, которая позволяет сотрудникам переднего плана совместно использовать одно устройство в течение дня, вход и выход по мере необходимости. Дополнительные сведения о том, как включить регистрацию для устройств в режиме Microsoft Entra общего устройства, см. в статье Автоматическая регистрация устройств в режиме общего устройства.

Развертывание приложения Корпоративный портал

Важно!

Мы не рекомендуем использовать App Store версию приложения Корпоративный портал, так как оно несовместимо с автоматической регистрацией устройств и не предоставляет автоматические обновления и доступность, как это делает развертывание.

Развертывание приложения Корпоративный портал Intune с помощью Intune — это лучший способ предоставить приложение пользователям и единственный способ:

  • Убедитесь, что все устройства ADE, включая уже зарегистрированные, получают приложение.
  • Включите автоматическое обновление приложений для Корпоративный портал на устройствах ADE.

Разверните приложение в качестве обязательного приложения VPP с лицензированием устройства. Сведения о синхронизации, назначении и управлении приложением VPP см. в разделе Назначение приложения, приобретенного томом.

Чтобы включить автоматическое обновление приложений для Корпоративный портал, перейдите к параметрам маркера приложения в Центре администрирования и измените значение Автоматические обновления приложений на Да. Инструкции по доступу к параметрам маркера маркера маркера доступа к параметрам маркера см. в статье Отправка токена Apple VPP или Apple Business Manager . Если автоматическое обновление не включено, пользователь устройства должен вручную проверка для них самостоятельно.

Промежуточное устройство используется для перехода устройства без сопоставления пользователей к устройству с сходством пользователей. Чтобы подготовить устройство, настройте развертывание VPP, как описано выше в этом разделе. Затем настройте и разверните политику конфигурации приложений. Убедитесь, что политика предназначена только для тех устройств ADE без сопоставления пользователей.

Важно!

Во время начальной регистрации Intune автоматически отправляет параметры политики конфигурации приложения для устройств, зарегистрированных с помощью помощника по настройке с современной проверкой подлинности, настроенных в разделе Настройка приложения Корпоративный портал для поддержки устройств iOS и iPadOS, зарегистрированных с помощью автоматической регистрации устройств, при настройке профиля регистрации Корпоративный портал задано значение Да. Эту конфигурацию не следует развертывать вручную для пользователей, так как это приведет к конфликту с конфигурацией, отправленной во время первоначальной регистрации. Если оба варианта развернуты, Intune неправильно предложит пользователям устройств войти в Корпоративный портал и скачать уже установленный профиль управления.

Ограничения

  • Максимальное число профилей регистрации на токен: 1000
  • Максимальное число устройств автоматической регистрации устройств на профиль: 200 000 (то же самое, что и максимальное число устройств на токен).
  • Максимальное число маркеров автоматической регистрации устройств на Intune учетную запись: 2000
  • Максимальное число устройств автоматической регистрации устройств на токен: 200 000
    • Рекомендуется не превышать 200 000 устройств на токен. В противном случае могут возникнуть проблемы с синхронизацией. Если у вас более 200 000 устройств, разделите их между несколькими токенами ADE.
    • Apple Business Manager и Apple School Manager синхронизируют около 3000 устройств до Intune в минуту. Рекомендуется снова отложить синхронизацию вручную из Центра администрирования, пока не пройдет достаточно времени для завершения синхронизации всех устройств (общее количество устройств/3000 устройств в минуту).

Устранение неполадок при регистрации

При возникновении проблем с синхронизацией во время этого процесса см. раздел Устранение проблем с регистрацией устройства iOS/iPadOS.

Получение токена автоматической регистрации устройств Apple

Прежде чем зарегистрировать устройства iOS/iPadOS с помощью ADE, вам потребуется автоматический маркер регистрации устройств (P7m-файл) от Apple. Этот маркер позволяет Intune синхронизировать сведения об устройствах ADE, принадлежащих вашей организации. Он также позволяет службе Intune выполнять отправку данных профилей регистрации в Apple и назначать устройства этим профилям.

Используйте Apple Business Manager (ABM) или Apple School Manager (ASM) для создания маркера и назначения устройств Intune для управления.

Примечание.

Для включения ADE можно использовать любой из порталов Apple. Остальная часть этой статьи относится к Apple Business Manager, но шаги одинаковы для Apple School Manager.

Шаг 1. Скачайте сертификат открытого ключа Intune

  1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

  2. Перейдите на вкладку Apple .

  3. Выберите Токены программы регистрации>Добавить.

  4. На вкладке Основное:

    1. Выберите Я согласен предоставить корпорации Майкрософт разрешение на отправку сведений о пользователях и устройствах в Apple.

      Снимок экрана: экран

    2. Выберите Скачивание сертификата открытого ключа Intune, необходимого для создания токена. На этом шаге файл ключа шифрования (PEM) скачивается и сохраняется локально. Файл PEM используется для запроса сертификата отношений доверия с портала программы Apple Business Manager.

      Позже в разделе Шаг 2. Перейдите на портал Apple Business Manager, вы отправите этот PEM-файл в Apple Business Manager.

    3. Не закрывайте эту вкладку и страницу веб-браузера. Не закрывайте эту вкладку. В противном случае:

      • Скачанный сертификат станет недействительным.
      • Вам придется повторить все действия.
      • На вкладке Проверка и создание кнопка Создать будет недоступна, и вы не сможете выполнить эту процедуру.

Шаг 2. Перейдите на портал Apple Business Manager

Используйте портал Apple Business Manager для создания и продления токена ADE (сервер MDM). Этот токен добавляется в Intune и передается между Intune и Apple.

Примечание.

Ниже перечислены действия, которые необходимо выполнить на портале Apple Business Manager. Полное описание этих действий приводится в документации Apple. Руководство пользователя Apple Business Manager (на веб-сайте Apple) может оказаться полезным.

Скачивание токена Apple

  1. Выполните вход в Apple Business Manager с использованием идентификатора Apple ID вашей организации.

  2. На этом портале выполните следующие действия.

    • В разделе параметров отображаются все токены. Добавьте сервер MDM и загрузите сертификат открытого ключа (PEM-файл), который вы скачали из Intune на предыдущем шаге: Шаг 1. Скачайте сертификат открытого ключа Intune (в этой статье).

      Имя сервера используется для идентификации сервера управления мобильными устройствами (MDM). Оно не определяет имя или URL-адрес службы Microsoft Intune.

    • После сохранения сервера MDM выберите его и скачайте токен (P7M-файл). Далее в разделе Шаг 4. Отправка маркера и завершение вы отправите маркер .p7m в Intune.

Назначение устройств токену Apple (сервер MDM)

  1. В разделе Apple Business Manager>Устройства выберите устройства, которые требуется назначить этому токену. Вы можете выполнять сортировку по различным свойствам устройства, таким как серийный номер. Также можно выбрать несколько устройств одновременно.
  2. Измените параметры управления устройством и выберите только что добавленный сервер MDM. На этом шаге токену назначаются устройства.

Шаг 3. Сохраните идентификатор Apple ID

  1. В веб-браузере вернитесь на вкладку, на которой есть страница Microsoft Intune Добавление маркера программы регистрации, с которой вы приступили к шагу 1. Скачивание сертификата Intune открытого ключа.

  2. Введите идентификатор в поле Apple ID. На этом шаге вы сохраните идентификатор. Идентификатор можно использовать в будущем.

    Снимок экрана: поле Apple ID на вкладке

Шаг 4. Отправьте токен и завершите работу

  1. В разделе Токен Apple перейдите к файлу сертификата P7M и нажмите Открыть.

    Совет

    Вы скачали маркер на шаге 2. Перейдите на портал Apple Business Manager.

  2. Нажмите кнопку Далее.

  3. На вкладке Проверка и создание выберите Создать.

С помощью Push Certificate служба Intune может зарегистрировать устройства с iOS и iPadOS и управлять ими, применяя политики к зарегистрированным мобильным устройствам. Intune автоматически синхронизируется с Apple для доступа к вашей учетной записи программы регистрации.

Создание профиля регистрации Apple

Теперь, когда вы установили маркер, вы можете создать профиль регистрации для автоматической регистрации устройств. Профиль регистрации устройства определяет параметры, применяемые к группе устройств в процессе регистрации. Существует ограничение в 1000 профилей регистрации на каждый токен регистрации.

Примечание.

Регистрация устройств будет заблокирована, если для маркера VPP недостаточно Корпоративный портал лицензий или если срок действия маркера истек. Intune уведомляет вас об истечении срока действия токена или недостаточном количестве лицензий.

  1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

  2. Перейдите на вкладку Apple .

  3. Выберите Токены программы регистрации.

  4. Выберите маркер, а затем — Профили.

  5. Выберите Создать профиль>iOS или iPadOS.

  6. Для Basics, дайте профилю Имя и Описание для административных целей. Эти сведения не отображаются для пользователей.

  7. Нажмите кнопку Далее.

    Важно!

    Если вы внесете изменения в существующий профиль регистрации, новые параметры не вступают в силу на назначенных устройствах до тех пор, пока устройства не будут возвращены к заводским параметрам и не активируются повторно. Параметр шаблона имени устройства является единственным параметром, который можно изменить, который не требует сброса до заводских настроек. Изменения в шаблоне именования вступают в силу на следующем проверка.

  8. В списке Сопоставление пользователей укажите, должны ли устройства с этим профилем регистрироваться с назначенным пользователем или без него.

    • Регистрация с сопоставлением пользователей. Выберите этот параметр для устройств, принадлежащих пользователям, которые хотят использовать Корпоративный портал для таких служб, как установка приложений.

    • Регистрация без сопоставления пользователей. Выберите этот параметр для устройств, которые не связаны с одним пользователем. Этот параметр подходит для устройств, у которых нет доступа к локальным данным пользователя. Этот вариант обычно используется для киосков, точек продаж (POS) или служебных устройств общего пользования.

      В некоторых ситуациях может потребоваться связать основного пользователя с устройствами, зарегистрированными без сопоставления пользователей. Для этого вы можете отправить ключ IntuneUDAUserlessDevice в приложение Корпоративного портала в политике конфигурации приложения для управляемых устройств. Первый пользователь, который входит в приложение Корпоративного портала, задается как основной пользователь. Если первый пользователь выполняет выход, а второй пользователь — вход, основным пользователем устройства будет первый пользователь. См. раздел Настройка приложения корпоративного портала для поддержки устройств с iOS и iPadOS ADE.

    • Регистрация с Microsoft Entra ID режиме общего доступа. Выберите этот параметр, чтобы зарегистрировать устройства, которые будут находиться в режиме общего доступа.

  9. Если для поля Сходство пользователей выбран параметр Зарегистрироваться с сопоставлением пользователей, можно выбрать метод проверки подлинности, который должны использовать сотрудники. Дополнительные сведения о каждом методе проверки подлинности см. в разделе Методы проверки подлинности для автоматической регистрации устройств.

    Снимок экрана: выбор способа проверки подлинности.

    Доступны следующие параметры:

    • Корпоративный портал
    • Помощник по настройке (устаревшая версия)
    • Помощник по настройке с современной проверкой подлинности

  10. Если для метода проверки подлинности выбран помощник по настройке (устаревшая версия), но вы также хотите использовать условный доступ или развернуть корпоративные приложения на устройствах, необходимо установить Корпоративный портал на устройствах и войти в систему, чтобы завершить регистрацию Microsoft Entra. Для этого выберите Да для параметра Установить Корпоративный портал. Если вы хотите, чтобы пользователи получали Корпоративный портал без проверки подлинности в App Store, в разделе Установка Корпоративный портал с помощью VPP выберите токен VPP. Для успешного развертывания убедитесь, что срок действия токена не истекает и у вас достаточно лицензий на приложение "Корпоративный портал" для устройств.

  11. Если вы выбрали токен для варианта Установить приложение "Корпоративный портал" по токену VPP, вы можете блокировать устройства в режиме одиночного приложения (в частности, приложения "Корпоративный портал") сразу после завершения работы помощника по настройке. Выберите вариант Да для варианта Запускать Корпоративный портал в режиме одиночного приложения до проверки подлинности, чтобы установить этот параметр. Чтобы использовать устройство, пользователь должен сначала пройти проверку подлинности, войдя в Корпоративный портал.

    Примечание.

    Многофакторная проверка подлинности не поддерживается на одном устройстве, заблокированном в режиме одиночного приложения. Это ограничение существует, так как устройство не может переключиться на другое приложение для выполнения второго фактора проверки подлинности. Если требуется многофакторная проверка подлинности на устройстве в режиме одиночного приложения, второй фактор должен находиться на другом устройстве.

    Эта функция поддерживается только для iOS и iPadOS версии 11.3.1 и выше.

    Снимок экрана: вариант

  12. Если вы хотите, чтобы устройства, использующие этот профиль, были защищенными, выберите Да в списке Защищенные .

    Снимок экрана: параметр

    Для защищенных устройств поддерживается больше возможностей управления, а также по умолчанию отключена блокировка активации. Корпорация Майкрософт рекомендует использовать ADE в качестве способа включения защищенного режима, особенно если вы развертываете большое количество устройств iOS и iPadOS. Общие устройства Apple iPad для бизнеса должны быть защищены.

    Пользователи получают уведомления о том, что их устройства находятся под контролем в приложении "Параметры ". В приложении в верхней части экрана статическое сообщение сообщает, что этот iPhone контролируется и управляется <your organization>.

    Примечание.

    Если устройство зарегистрировано без защиты, необходимо использовать конфигуратор Apple, чтобы включить защищенный режим. Чтобы сбросить устройство таким образом, необходимо подключить его к компьютеру Mac с помощью USB-кабеля. Дополнительные сведения см. в справке по конфигуратору Apple.

  13. В списке Регистрация заблокирована выберите Да или Нет. Заблокированная регистрация отключает параметры iOS/iPadOS, которые позволяют удалять профиль управления. Если включить заблокированную регистрацию, кнопка в приложении "Параметры", которая позволяет пользователям удалять профиль управления, будет скрыта, и пользователи не смогут отменить регистрацию устройства. Если вы настраиваете устройства в режиме Microsoft Entra ID общего доступа, нажмите кнопку Да.

    Заблокированная регистрация работает немного иначе, сначала на устройствах, которые изначально не были приобретены через Apple Business Manager, но позже добавлены в состав автоматической регистрации устройств: пользователи на этих устройствах могут видеть кнопку "Удалить управление" в приложении "Параметры" в течение первых 30 дней после активации устройства. По истечении этого предварительного периода этот параметр будет скрыт. Дополнительные сведения см. в разделе Подготовка устройств вручную (откроется справка Apple Configurator).

    Важно!

    Этот параметр отличается от параметров удаления и сброса в приложении Корпоративный портал. Независимо от того, как вы настраиваете заблокированную регистрацию, параметры Удалить устройство или Сброс заводских настроек в приложении Корпоративный портал остаются недоступными на устройствах, зарегистрированных с помощью автоматической регистрации устройств. Пользователи также не смогут удалить устройство на веб-сайте Корпоративный портал. Дополнительные сведения о действиях самообслуживания, доступных на зарегистрированных устройствах, см. в разделе Действия самообслуживания.

  14. Если вы выбрали Регистрация без сопоставления пользователей и Защищено, необходимо решить, следует ли настроить устройства как общие устройства Apple iPad для бизнеса. Выберите Да для параметра Общий iPad, чтобы несколько пользователей могли входить в систему с одного устройства. Пользователи проходят проверку подлинности с помощью управляемых идентификаторов Apple ИД и учетных записей федеративной проверки подлинности или с помощью временного сеанса (например, гостевой учетной записи). Для этого параметра требуется iOS/iPadOS 13.4 или более поздней версии. На общем iPad все панели помощника по настройке после активации автоматически пропускаются.

    Примечание.

    • Очистка устройства потребуется, если профиль регистрации iOS или iPadOS с включенным общим устройством iPad будет отправлен на неподдерживаемое устройство. К неподдерживаемым устройствам относятся любые модели iPhone и устройства iPad под управлением iPadOS/iOS 13.3 и более ранних версий. К поддерживаемым устройствам относятся iPad под управлением iPadOS 13.3 и более поздней версии.
    • Для настройки общего устройства Apple iPad для бизнеса, задайте следующие параметры:
      • В списке Сопоставление пользователей выберите Регистрация без сопоставления пользователей.
      • В списке Защищено выберите Да.
      • В списке Общий iPad выберите Да.

    Если вы настраиваете общее устройство Apple iPad для бизнеса, также настройте:

    • Максимальное число пользователей в кэше: задайте для этого параметра число пользователей, которые будут использовать общий iPad. Вы можете кэшировать до 24 пользователей на устройстве с объемом памяти 32 ГБ или 64 ГБ. Если указать небольшое число, может потребоваться некоторое время, чтобы данные пользователей отобразились на устройствах после входа. При выборе слишком большого значения у пользователей может закончится место на диске.

    • Максимальное количество секунд после блокировки экрана до ввода пароля. Введите время в секундах. Допустимые значения: 0, 60, 300, 900, 3600 и 14400. Если блокировка экрана превышает это время, для разблокировки устройства потребуется пароль устройства. Доступно для устройств в режиме общего iPad под управлением iPadOS 13.0 и более поздних версий.

    • Максимальное время бездействия (в секундах) до завершения сеанса пользователя: минимально допустимое значение для этого параметра — 30. Если после определенного периода действия нет, сеанс пользователя завершается и выходит из него. Если оставить запись пустой или задать для нее значение нуля (0), сеанс никогда не завершится из-за бездействия. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

    • Требовать только временный сеанс общего устройства iPad: настраивает устройства так, что пользователям отображается только гостевая версия интерфейса входа и им требуется входить как гостям. Пользователи не могут войти с помощью управляемого Apple ID. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

      Если задано значение Да, этот параметр отменяет следующие общие параметры iPad, так как они не применяются во временных сеансах:

      • Максимальное число пользователей в кэше
      • Максимальное время (в секундах) после блокировки экрана, по истечении которого запрашивается пароль
      • Максимальное время бездействия (в секундах) до завершения сеанса пользователя

    • Максимальное время бездействия (в секундах) до завершения временного сеанса: минимально допустимое значение для этого параметра — 30. Если по истечении определенного периода действия нет, временный сеанс завершается и выходит из него. Если оставить запись пустой или задать для нее значение нуля (0), сеанс никогда не завершится из-за бездействия. Доступно для устройств в режиме общего iPad под управлением iPadOS 14.5 и более поздних версий.

      Этот параметр доступен, если для параметра Требовать только временный сеанс общего устройства iPad установлено значение Да.

    Примечание.

    • Если временные сеансы включены, все данные пользователя удаляются при выходе из сеанса. Это означает, что все целевые политики и приложения будут переходить к пользователю при входе и будут удаляться при выходе.
    • Чтобы изменить конфигурацию общих iPad, чтобы не иметь временных сеансов, необходимо полностью сбросить устройство и отправить на iPad новый профиль регистрации с обновленными конфигурациями.

  15. В списке Синхронизировать с компьютерами выберите вариант для устройств, использующих этот профиль. Если выбрать Разрешить конфигуратор Apple по сертификату, необходимо выбрать сертификат в разделе Сертификаты конфигуратора Apple.

    Примечание.

    Если для параметра Синхронизация с компьютерами установлено значение Запретить все, этот порт будет ограничен на устройствах iOS и iPadOS. Порт будет доступен только для зарядки. Порт будет заблокирован для iTunes или конфигуратора Apple 2.

    Если параметру Синхронизация с компьютерами задано значение Разрешить конфигуратор Apple по сертификату, убедитесь, что у вас есть локальная копия сертификата, доступ к которой можно получить позже. Вы не сможете внести изменения в отправленную копию, поэтому важно сохранить копию этого сертификата. Если вы хотите подключиться к устройству iOS/iPadOS с устройства Mac, на устройстве, выполняющем подключение к устройству iOS/iPadOS, должен быть установлен тот же сертификат.

  16. Если на предыдущем шаге вы выбрали Разрешить конфигуратор Apple по сертификату, укажите сертификат конфигуратора Apple для импорта. Ограничение — 10 сертификатов.

  17. Для окончательной конфигурации Await доступны следующие параметры:

    • Да. Включите заблокированный интерфейс в конце помощника по настройке, чтобы убедиться, что на устройстве установлены наиболее важные политики конфигурации устройства. Непосредственно перед загрузкой начального экрана помощник по настройке приостанавливает работу и позволяет Intune проверка с устройством. Взаимодействие с конечными пользователями блокируется, пока пользователи ожидают окончательных конфигураций.

      Время, в течение которого пользователи находятся на экране ожидания окончательной конфигурации, зависит от общего количества политик и приложений, применяемых к устройству. Чем больше политик и приложений назначено устройству, тем больше время ожидания. Помощник по настройке и Microsoft Intune не применяют минимальное или максимальное время во время этой части установки. Во время проверки продукта большинство протестированных устройств были выпущены и получили доступ к начальной странице в течение 15 минут. Если вы включили эту функцию и используете пользователей за пределами Корпорации Майкрософт для подготовки устройств, сообщите им о возможности увеличения времени подготовки.

      Примечание.

      Только политики конфигурации устройств начинают устанавливаться на экране ожидания окончательной конфигурации, и приложения не включаются в этот процесс.

      Заблокированный интерфейс работает на устройствах, предназначенных для новых и существующих профилей регистрации. Поддерживаемые устройства включают:

      • Устройства iOS/iPadOS 13+ для регистрации с помощью помощника по настройке с современной проверкой подлинности
      • Регистрация устройств iOS/iPadOS 13+ без сопоставления пользователей
      • Устройства iOS/iPadOS 13 и более поздних версий, зарегистрированные в Microsoft Entra ID режиме общего доступа

      Этот параметр применяется один раз во время встроенной автоматической регистрации устройств в помощнике по настройке. Пользователь устройства не будет испытывать его снова, если он не повторно зарегистрировать свое устройство. Да — это параметр по умолчанию для новых профилей регистрации.

    • Нет. Устройство освобождается на начальном экране после завершения работы помощника по настройке, независимо от состояния установки политики. Пользователи устройств могут получить доступ к начальнму экрану или изменить параметры устройства до установки всех политик. No — это параметр по умолчанию для существующих профилей регистрации.

    Параметр конфигурации await недоступен в профилях с таким сочетанием конфигураций:

    • Сходство пользователей: регистрация без сопоставления пользователей (шаг 6 в этом разделе)
    • Общий iPad: да (шаг 12 в этом разделе)

  18. При необходимости создайте шаблон имени устройства, чтобы быстро определить устройства, назначенные этому профилю, в Центре администрирования. Intune использует шаблон для создания и форматирования имен устройств. Имена присваиваются устройствам при регистрации и при каждом последующем проверка входа. Чтобы создать шаблон, выполните приведенные далее действия.

  19. В разделе Применить шаблон имени устройства выберите Да .

  20. В поле Шаблон имени устройства введите шаблон, который вы хотите использовать для создания имен устройств. Шаблон может включать тип устройства и серийный номер. Он не может содержать более 63 символов, включая переменные. Пример: {{DEVICETYPE}}-{{SERIAL}}

  21. Вы можете активировать тарифный план передачи данных. Этот параметр применяется к устройствам под управлением iOS/iPadOS 13.0 и более поздних версий. При настройке этого параметра отправляется команда для активации тарифных планов передачи данных для мобильных устройств с поддержкой eSim. Ваш оператор должен предоставить активацию для ваших устройств, прежде чем вы сможете активировать тарифные планы с помощью этой команды. Чтобы активировать тарифный план, выберите Да, а затем введите URL-адрес сервера активации оператора.

  22. Нажмите кнопку Далее.

  23. На вкладке Помощник по настройке задайте следующие параметры профиля:

    Параметры отдела Описание
    Department Отображается, когда пользователь выбирает пункт О конфигурации во время активации.
    Телефон отдела Отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.

    Экраны помощника по настройке можно скрыть на устройстве во время настройки пользователя. Описание всех экранов см. в справочнике по экрану помощника по настройке (в этой статье).

    • Если нажать кнопку Скрыть, экран не будет отображаться во время установки. После настройки устройства пользователь по-прежнему может перейти в меню Параметры, чтобы настроить эту функцию.
    • Если нажать кнопку Показать, экран отображается во время установки, но только при наличии шагов, которые необходимо выполнить после восстановления или после обновления программного обеспечения. Иногда пользователь может пропустить экран без выполнения действия. Позже он может открыть меню Параметры, чтобы настроить эту функцию.
    • На общем iPad все панели помощника по настройке после активации автоматически пропускаются независимо от конфигурации.

  24. Нажмите кнопку Далее.

  25. Выберите Создать, чтобы сохранить профиль.

Динамические группы в Microsoft Entra ID

Поле Имя регистрации можно использовать для создания динамической группы в Microsoft Entra ID. Дополнительные сведения см. в разделе Microsoft Entra динамических групп.

Вы можете использовать имя профиля для определения параметра enrollmentProfileName, чтобы назначать устройства с этим профилем регистрации.

Перед настройкой устройства и, чтобы обеспечить быструю доставку на устройства с сопоставлением пользователей, убедитесь, что зарегистрированный пользователь является членом Microsoft Entra группы пользователей.

Назначение динамических групп профилям регистрации может привести к некоторой задержке в доставке приложений и политик на устройства после регистрации.

Справочник по экрану помощника по настройке

В следующей таблице описаны экраны помощника по настройке, отображаемые во время автоматической регистрации устройств для iOS/iPadOS. Эти экраны можно отобразить или скрыть на поддерживаемых устройствах во время регистрации. Дополнительные сведения о том, как каждый экран помощника по настройке влияет на взаимодействие с пользователем, см. в следующих ресурсах Apple:

Экран помощника по настройке Что происходит при отображении
Секретный код Отображает область секретных кодов и блокировки паролей для пользователей и предлагает пользователям ввести секретный код. Всегда требуется секретный код для незащищенных устройств, если доступ не контролируется каким-то другим способом (например, с помощью конфигурации режима киоска, которая ограничивает устройство одним приложением). Этот экран доступен для iOS/iPadOS 7.0 и более поздних версий с некоторыми ограничениями. Дополнительные сведения см. в разделе Ограничения в этой статье.
Службы определения местонахождения Показывает панель настройки служб определения местоположения, где пользователи могут включить службы определения местоположения на своем устройстве. Для iOS/iPadOS 7.0 и более поздних версий.
Восстановление Отображает область "Приложения и настройка данных". На этом экране пользователи, настроивающие устройства, могут восстанавливать или передавать данные из iCloud Backup. Для iOS/iPadOS 7.0 и более поздних версий.
Apple ID Отображает панель настройки Apple ID, в которой пользователям предоставляется возможность входа с помощью идентификатора Apple ID и использования iCloud. Для iOS/iPadOS 7.0 и более поздних версий.
Условия Отображает область условий Apple и требует, чтобы пользователи приняли их. Для iOS/iPadOS 7.0 и более поздних версий.
Touch ID и Face ID Отображает панель биометрической настройки, в которой пользователи могут настроить идентификацию отпечатков пальцев или лиц на своих устройствах. Для iOS/iPadOS 8.1 и более поздних версий с некоторыми ограничениями. Дополнительные сведения см. в разделе Ограничения в этой статье.
Apple Pay Отображает панель настройки Apple Pay, в которой пользователи могут настроить Apple Pay на своих устройствах. Для iOS/iPadOS 7.0 и более поздних версий.
Масштаб Показывает панель настройки масштабирования, в которой пользователи могут настроить параметры масштабирования. Для iOS/iPadOS 8.3 и более поздних версий и не рекомендуется использовать в iOS/iPadOS 17.
Siri Отображает область настройки Siri для пользователей. Для iOS/iPadOS 7.0 и более поздних версий.
Данные диагностики Показывает панель диагностика, где пользователи могут согласиться на отправку диагностических данных в Apple. Для iOS/iPadOS 7.0 и более поздних версий.
Тон дисплея Показывает панель настройки тона отображения, где пользователи могут настроить параметры баланса белого на дисплее. Для iOS/iPadOS 9.3.2 и более поздних версий и не рекомендуется использовать в iOS/iPadOS 15.
Конфиденциальность Отображает область настройки конфиденциальности для пользователя. Для iOS/iPadOS 11.3 и более поздних версий.
Миграция с Android Отображает область настройки, предназначенную для предыдущих пользователей Android. На этом экране пользователи могут переносить данные с устройства Android. Для iOS/iPadOS 9.0 и более поздних версий.
iMessage и FaceTime Отображает панель настройки для iMessage и FaceTime. Для iOS/iPadOS 9.0 и более поздних версий.
Адаптация Отображает информационные экраны подключения для обучения пользователей, такие как титульная таблица и многозадачность и центр управления. Для iOS/iPadOS 11.0 и более поздних версий.
Экранное время Отображает экран экран "Время экрана". Для iOS/iPadOS 12.0 и более поздних версий.
Настройка SIM Отображает панель настройки сотовой сети, где пользователи могут добавить тарифный план. Для iOS/iPadOS 12.0 и более поздних версий.
Обновление программного обеспечения Отображает экран обязательного обновления программного обеспечения. Для iOS/iPadOS 12.0 и более поздних версий.
Миграция с Watch Показывает панель миграции Apple Watch, где пользователи могут переносить данные из Apple Watch. Для iOS/iPadOS 11.0 и более поздних версий.
Внешний вид Отображает область настройки внешнего вида. Для iOS/iPadOS 13.0 и более поздних версий.
Миграция с устройства на устройство Отображает область миграции с устройства на устройство. На этом экране пользователи могут передавать данные со старого устройства на текущее устройство. Возможность передачи данных непосредственно с устройства недоступна для устройств под управлением iOS 13 или более поздней версии.
Восстановление завершено Показывает пользователям экран "Восстановление завершено" после выполнения резервного копирования и восстановления помощником по установке.
Обновление программного обеспечения завершено Показывает пользователям все обновления программного обеспечения, которые происходят во время помощника по настройке.
Начало работы Показывает пользователям экран приветствия "Начало работы".
Условия адреса Показывает условия области адресов, в которой пользователи могут выбрать, как они должны быть рассмотрены в системе: женский, мужской или нейтральный. Эта функция Apple доступна для различных языков. Дополнительные сведения см. в разделе Основные функции и улучшения (открывается веб-сайт Apple). Для iOS/iPadOS 16.0 и более поздних версий.
Аварийное sos Отображает панель настройки безопасности. Для iOS/iPadOS 16.0 и более поздних версий.
Кнопка "Действие" Отображает панель конфигурации для кнопки действия. Для iOS/iPadOS 17.0 и более поздних версий.
Аналитика Показывает панель настройки Apple Intelligence, где пользователи могут настраивать функции Apple Intelligence. Для iOS/iPadOS 18.0 и более поздних версий.

Синхронизация управляемых устройств

Теперь, когда Intune имеет разрешение на управление вашими устройствами, можно синхронизировать Intune с Apple для просмотра управляемых устройств в Intune на портале Azure.

  1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

  2. Перейдите на вкладку Apple .

  3. Выберите Токены программы регистрации.

  4. Выберите маркер в списке, а затем выберите Синхронизация устройств>.

    Снимок экрана: синхронизация устройств iOS и iPadOS с токеном программы регистрации.

    В соответствии с условиями Apple о допустимом трафике программы регистрации в Intune действуют следующие ограничения:

    • Полную синхронизацию можно выполнять не чаще одного раза в семь дней. Во время полной синхронизации Intune извлекает полный перечень обновленных серийных номеров, которые назначены подключенному к Intune серверу MDM Apple.

      Важно!

      Если устройство удалено из Intune, но остается назначенным токену регистрации ADE на портале ASM/ABM, оно снова появится в Intune при следующей полной синхронизации. Если вы не хотите, чтобы это произошло, удалите устройство с сервера Apple MDM на портале ABM/ASM.

    • Если устройство было освобождено из ABM/ASM, на его автоматическое удаление со страницы устройств в Intune может потребоваться до 45 дней. Если необходимо, вы можете вручную удалить эти устройства из Intune по одному. Выпущенные устройства точно сообщаются как удаленные из ABM/ASM в Intune, пока они не будут автоматически удалены в течение 30–45 дней.
    • Разностная синхронизация запускается автоматически каждые 12 часов. Также можно активировать разностную синхронизацию, нажав кнопку Синхронизировать (не чаще, чем раз в 15 минут). Для завершения всех запросов синхронизации требуется 15 минут. Кнопка Синхронизация становится неактивной до завершения синхронизации. Синхронизация обновляет существующее состояние устройства и импортирует новые устройства, назначенные серверу Apple MDM. Если разностная синхронизация по какой-либо причине завершается сбоем, следующая синхронизация будет полной и может устранить любые проблемы.

Назначение профиля регистрации устройствам

Перед регистрацией устройств необходимо назначить им профиль регистрации.

Примечание.

Кроме того, серийные номера можно назначить профилям в колонке Серийные номера Apple.

  1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
  2. Перейдите на вкладку Apple .
  3. Выберите Токены программы регистрации.
  4. Выберите токен регистрации.
  5. Выберите Устройства.
  6. Выберите все устройства, которые вы хотите назначить, а затем выберите Назначить профиль.
  7. В разделе Назначение профиля выберите профиль автоматической регистрации устройств, созданный для устройств, и нажмите кнопку Назначить.

Назначение профиля по умолчанию

Вы можете применить профиль по умолчанию ко всем устройствам, регистрирующимся с использованием определенного токена.

  1. В Центре администрирования вернитесь к разделу Токены программы регистрации.
  2. Выберите токен регистрации.
  3. Выберите Задать профиль по умолчанию.
  4. Выберите профиль в списке и нажмите кнопку Сохранить. Здесь Intune применяет профиль ко всем устройствам, зарегистрированным с помощью выбранного маркера регистрации.

Примечание.

Убедитесь, что в параметре Ограничения по типу устройства раздела Ограничения регистрации политика Все пользователи по умолчанию не настроена для блокировки платформы iOS/iPadOS. Этот параметр приведет к сбою автоматической регистрации, и устройство будет отображаться как устройство с недопустимым профилем независимо от уровня аттестации пользователя. Чтобы разрешить регистрацию только для устройств, управляемых компанией, заблокируйте только личные устройства. Это позволит выполнять регистрацию только корпоративным устройствам. Корпорация Майкрософт считает корпоративным такое устройство, которое было зарегистрировано по Программе регистрации устройств, или устройство, сведения о котором были вручную введены в идентификаторы корпоративных устройств.

Распределение устройств

Вы включили управление и синхронизацию между Apple и Intune и назначили профиль для разрешения регистрации устройств ADE. Теперь вы можете распределить устройства между пользователями. Обратите внимание на следующие моменты:

  • Чтобы использовать устройства, зарегистрированные с сопоставлением пользователей, пользователям должна быть назначена лицензия Intune.

  • К устройствам, зарегистрированным без сходства пользователей, пользователи обычно не привязываются. Такие устройства должны иметь лицензию на устройство Intune. Если устройство без сопоставления пользователей используется пользователем с лицензией Intune, лицензия устройства не требуется.

    Таким образом, если у устройства есть пользователь, этому пользователю должна быть назначена лицензия Intune. Если у устройства нет пользователя с лицензией Intune, этому устройству должна быть назначена лицензия на устройство Intune.

    Дополнительные сведения о лицензировании Intune см. в разделе Лицензирование Microsoft Intune и в руководстве по планированию Intune.

  • Устройство, которое уже активировано, необходимо очистить, прежде чем оно сможет правильно зарегистрировать с помощью автоматической регистрации устройств. После очистки, но перед повторной активацией можно применить профиль регистрации. См. статью о настройке существующего устройства iPhone, iPad или iPod touch.

  • При регистрации с использованием ADE и сопоставления пользователей в процессе установки может произойти следующая ошибка:

    The SCEP server returned an invalid response.

    Эту ошибку можно устранить, попытайтесь загрузить управление еще раз в течение 15 минут. Через 15 минут необходимо сбросить устройство до заводских настроек, чтобы устранить ошибку. Эта ошибка возникает из-за ограничения времени в 15 минут для сертификатов SCEP, которое применяется для обеспечения безопасности.

Сведения о взаимодействии с пользователем см. в разделе Регистрация устройств с iOS и iPadOS в Intune с помощью ADE.

Повторная регистрация устройства

Выполните эти действия, чтобы повторно зарегистрировать устройство, которое уже прошло автоматическую регистрацию.

  1. Существует два варианта сброса устройства:
    • Очистите устройство в Центре администрирования Microsoft Intune.
    • Снимите с учета устройство в Центре администрирования, а затем сбросьте его до заводских параметров с помощью приложения "Параметры", Apple Configurator 2 или iTunes.
  2. Включите устройство и следуйте инструкциям на экране в разделе Помощник по настройке, чтобы получить профиль удаленного управления.

Продление токена автоматической регистрации устройств Apple

Важно ежегодно продлевать токен программы регистрации. В центре администрирования Intune отображается дата окончания срока действия.

  • Если изменился пароль Apple ID для пользователя, который настроил этот токен в Apple Business Manager, требуется продлить токен программы регистрации в Intune и Apple Business Manager.
  • Если пользователь, который настроил этот токен в Apple Business Manager, покидает организацию, требуется продлить токен программы регистрации в Intune и Apple Business Manager.
  • Изменение идентификатора Apple ID, используемого для создания маркера ADE, не влияет на зарегистрированные в настоящее время устройства с этим маркером, пока они не будут повторно зарегистрированы. Это поведение отличается от сертификата службы push-уведомлений Apple (APNS), используемого для клиента. Сертификат APNS можно изменить с помощью службы поддержки Apple. В противном случае для внесения изменений все устройства должны быть повторно зарегистрированы.

Продление токенов

  1. Перейдите на сайт business.apple.com и выполните вход с учетной записью, которая имеет роль администратора или менеджера регистрации устройств.

  2. Выберите Настройки. В разделе Управление серверами выберите сервер MDM, связанный с файлом токена, который требуется продлить. Выберите Скачать токен.

    Снимок экрана: продление и загрузка токена Apple в Apple Business Manager.

  3. Выберите Загрузить токен сервера.

    Примечание.

    Как указано в командной строке, не выбирайте Загрузить токен сервера, если не хотите продлить токен. В противном случае токен будет недействителен для Intune (или любого другого решения MDM). Если вы уже загрузили токен, выполните следующие инструкции, чтобы продлить токен.

  4. Скачав маркер, перейдите в центр администрирования Microsoft Intune.

  5. Выберите Регистрация устройств>.

  6. Выберите Токены программы регистрации.

  7. Выберите токен.

  8. Щелкните Продлить токен. Введите идентификатор Apple ID , используемый для создания исходного токена (если он еще не заполнен):

    Снимок экрана: страница

  9. Отправьте только что скачанный токен.

  10. Выберите Далее, чтобы перейти на страницу Теги области. При необходимости назначьте теги области.

  11. Щелкните Продлить токен. Дождитесь подтверждения того, что продление маркера завершено.

    Снимок экрана: сообщение с подтверждением.

Удаление токена автоматической регистрации устройства из Intune

Вы можете удалить токены профиля регистрации из Intune, если:

  • токену не назначены устройства;
  • профилю по умолчанию не назначены устройства.
  • В этом токене нет профилей регистрации.

Удаление токена профиля регистрации:

  1. В центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
  2. Перейдите на вкладку Apple .
  3. Выбор маркеров программы регистрации
  4. Выберите Устройства.
  5. Удалите все устройства, назначенные токену.
  6. Вернитесь к маркерам программы регистрации. Выберите токен и нажмите Профили.
  7. Если имеется профиль по умолчанию или любой другой профиль регистрации, их все нужно удалить.
  8. Вернитесь к маркерам программы регистрации. Выберите токен и нажмите Удалить.

Ограничения

Эти экраны помощника по настройке неправильно работают на устройствах под управлением iOS/iPadOS 14.5 и более поздних версий:

  • Секретный код
  • Touch ID и Face ID

Скрыть оба экрана на устройствах под управлением iOS/iPadOS 14.5 и более поздних версий. Если вы хотите требовать секретные коды на этих устройствах, создайте политику конфигурации устройства или политику соответствия требованиям к секретным кодам. После того как пользователь зарегистрирует и получит политику, начнется требование секретного кода.

Дальнейшие действия

Общие сведения о требованиях для пользователей устройств см. в разделе Задачи конечных пользователей ADE.