Настройка регистрации устройств с iOS или iPadOS с помощью конфигуратора Apple

Intune поддерживает регистрацию устройств iOS и iPadOS с помощью средства Apple Configurator, запущенного на компьютере Mac. Для регистрации через Apple Configurator требуется подключить каждое устройство iOS и iPadOS через USB к компьютеру Mac для настройки корпоративной регистрации. Зарегистрировать устройства в Intune с помощью Apple Configurator можно двумя способами:

  • Регистрация с использованием помощника по настройке. Очищает устройство и подготавливает его для регистрации с использованием помощника по настройке.
  • Прямая регистрация . Не очищает устройство и регистрирует устройство с помощью параметров iOS/iPadOS. Этот способ предназначен только для устройств без сопоставления пользователей.

Методы регистрации Apple Configurator нельзя использовать с менеджером регистрации устройств.

Сертификаты

Регистрация Apple Configurator поддерживает протокол ACME. При регистрации новых устройств профиль управления на устройстве получает сертификат ACME. Протокол ACME обеспечивает лучшую защиту от несанкционированной выдачи сертификатов по сравнению с протоколом SCEP с помощью надежных механизмов проверки и автоматизированных процессов, что помогает сократить количество ошибок при управлении сертификатами.

Устройства, которые уже зарегистрированы, не получают сертификат ACME на, если они не будут повторно зарегистрированы в Microsoft Intune. ACME поддерживается на устройствах под управлением:

  • iOS 16.0 или более поздней версии

  • iPadOS 16.1 или более поздней версии

Предварительные требования

Создание профиля Apple Configurator для устройств

Профиль регистрации устройств задает параметры, применяемые во время регистрации. Эти параметры применяются только один раз. Выполните следующие действия, чтобы создать профиль для регистрации устройств iOS и iPadOS с помощью Apple Configurator.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в разделРегистрацияустройств>.

  3. Перейдите на вкладку Apple .

  4. В разделе Методы массовой регистрации выберите Apple Configurator.

  5. Перейдите в раздел Создание профилей>.

  6. В разделе Создание профиля регистрации на вкладке Основные сведения введите имя и описание профиля. Эти сведения не отображаются для пользователей. Имя можно использовать для создания динамической группы в Microsoft Entra ID. Используйте имя профиля для определения параметра enrollmentProfileName, чтобы назначать устройства с этим профилем регистрации. Дополнительные сведения о создании динамической группы с правилами см. в разделе Создание правила членства в группах.
    Снимок экрана: панель

  7. Нажмите кнопку Далее , чтобы перейти на страницу Параметры .

  8. В поле Сопоставление пользователей укажите, должны ли устройства с этим профилем регистрироваться с назначенным пользователем или без него.

    • Регистрация со сходством пользователей — выберите этот вариант для устройств, которые принадлежат пользователям и которые должны использовать корпоративный портал для выполнения таких действий, как установка приложений. Устройство должно быть сопоставлено с пользователем с помощью помощника по настройке, после чего оно может получить доступ к корпоративным данным и электронной почте. Поддерживается только при регистрации с использованием помощника по настройке. Для сопоставления пользователей требуется конечная точка WS-Trust 1.3 в режиме "Имя пользователя/смешанный". Подробнее.

    • Регистрация без сопоставления пользователей — выберите этот вариант для устройств, не связанных с одним пользователем. Используйте этот вариант для устройств, которые выполняют задачи без осуществления доступа к локальным данным пользователя. Приложения, для которых необходимо связывание с пользователем (включая приложение корпоративного портала, используемое для установки бизнес-приложений), не будут работать. Требуется для прямой регистрации.

    Примечание.

    Если выбрано значение Подключение с сопоставлением пользователей, в течение первых 24 часов после регистрации устройства с помощью помощника по настройке убедитесь, что устройство связано с пользователем. В противном случае может произойти сбой регистрации, а для регистрации устройства потребуется сброс параметров до заводских настроек.

  9. Если выбран вариант Регистрация с сопоставлением пользователей, вы можете разрешить пользователям выполнять проверку подлинности с помощью Корпоративного портала, а не помощника по настройке Apple.

    Примечание.

    Установите для параметра Проверка подлинности с помощью Корпоративного портала вместо помощника по настройке Apple значение Да, если требуется любое из следующего:

    • Использовать многофакторную проверку подлинности.
    • Предлагать пользователям изменить пароль при первом входе.
    • Предлагать пользователям сбросить пароли с истекшим сроком действия при регистрации.

    Не поддерживается при проверке подлинности посредством помощника по настройке Apple.

  10. Выберите Создать, чтобы сохранить профиль.

Известные ограничения

Регистрация в конфигурации Apple имеет следующие ограничения:

  • CSV-файл может содержать до 5000 устройств.
  • Общее число устройств, включая устройства, перечисленные в CSV-файле, и устройства Apple Configurator, которые уже находятся в Intune, не может превышать 75 000.

Регистрация с использованием помощника по настройке

Добавление серийных номеров Apple Configurator

  1. В текстовом редакторе создайте список с двумя столбцами, разделенными запятыми (.csv) без заголовка. Добавьте серийный номер в левый столбец и сведения об устройстве в правом столбце в следующем формате:

    Serial number,device details

    Вы можете включить любые сведения об устройстве. Например:

    F7TLWCLBX196,iPad Air (5th generation) - Blue

    Текущая максимальная длина списка составляет 5000 строк. Сведения о том, как найти серийный номер устройства iOS/iPadOS, см. в статье Поиск серийного номера или IMEI на iPhone, iPad или iPod touch (откроется веб-сайт службы поддержки Apple).

  2. Войдите в Центр администрирования Microsoft Intune.

  3. Перейдите в разделРегистрацияустройств>.

  4. Перейдите на вкладку Apple .

  5. В разделе Методы массовой регистрации выберите Apple Configurator.

  6. Выберите Добавить устройства>.

  7. Выберите Профиль регистрации, к которому применяются импортируемые серийные номера. Чтобы существующие данные о серийном номере перезаписать новыми данными, установите флажок Перезапись сведений для существующих идентификаторов.

  8. В разделе Импортировать устройства перейдите к CSV-файлу с серийными номерами и выберите Добавить.

Переназначение профиля серийным номерам устройств

Профиль регистрации можно назначить при импорте серийных номеров iOS и iPadOS для регистрации через Apple Configurator. Профили также можно назначать на портале Azure:

  • Устройства Apple Configurator
  • Профили AC

Назначение из устройств Apple Configurator

  1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.
  2. Перейдите на вкладку Apple .
  3. В разделе Методы массовой регистрации выберите Apple Configurator.
  4. Выберите Устройства. Затем выберите серийный номер.
  5. Выберите Назначить профиль.
  6. В разделе Назначить профиль выберите Новый профиль , который вы хотите назначить, а затем нажмите кнопку Назначить.

Назначение из профилей

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Перейдите в разделРегистрацияустройств>.
  3. Перейдите на вкладку Apple .
  4. В разделе Методы массовой регистрации выберите Apple Configurator.
  5. Перейдите в раздел Профили. Выберите профиль.
  6. В профиле выберите Устройства назначены. Затем нажмите кнопку Назначить.
  7. Фильтр, чтобы найти серийные номера устройств, которые вы хотите назначить профилю. Затем выберите устройства и нажмите кнопку Назначить.

Экспорт профиля

После создания профиля и назначения серийных номеров необходимо экспортировать профиль из Intune в виде URL-адреса. Затем он импортируется в Apple Configurator на компьютер Mac для развертывания на устройствах.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

  2. Перейдите на вкладку Apple .

  3. В разделе Методы массовой регистрации выберите Apple Configurator.

  4. Перейдите в раздел Профили. Выберите профиль для экспорта.

  5. Выберите Экспорт профиля.

  6. Скопируйте URL-адрес профиля. Позже его можно добавить в Apple Configurator для определения профиля Intune, используемого устройствами iOS и iPadOS.

    Затем этот профиль импортируется в Apple Configurator, как описано далее, для определения профиля Intune, используемого устройствами iOS и iPadOS.

Регистрация устройств с использованием помощника по настройке

  1. На компьютере Mac откройте Apple Configurator 2. В строке меню щелкните Apple Configurator 2 и выберите Настройки.

    Предупреждение

    Во время процесса регистрации настройки устройств сбрасываются до заводских. Рекомендуется выполнить сброс устройства и включить питание. При подключении на устройстве должен отображаться экран приветствия. Если устройство уже зарегистрировано с помощью учетной записи Apple ID, его следует удалить из Apple iCloud перед началом процесса регистрации. Появится сообщение об ошибке "Не удалось активировать [имя_устройства]".

  2. На панели настроек выберите Серверы и щелкните значок "+", чтобы запустить мастер сервера MDM. Нажмите кнопку Далее.

  3. Введите имя узла или URL-адрес и URL-адрес регистрации сервера MDM в разделе "Регистрация помощника по установке" для устройств iOS и iPadOS с Microsoft Intune. В поле "URL-адрес регистрации" введите URL-адрес профиля регистрации, экспортированный из Intune. Нажмите кнопку Далее.
    Вы можете спокойно игнорировать предупреждение о том, что URL-адрес сервера не проверен. Чтобы продолжить, нажмите кнопку Далее , пока мастер не завершит работу.

  4. Подключите мобильные устройства iOS и iPadOS к компьютеру Mac с помощью USB-адаптера.

  5. Выберите устройства iOS и iPadOS, которыми необходимо управлять, а затем щелкните Подготовить. На панели Prepare iOS/iPadOS Device (Подготовка устройства iOS и iPadOS) выберите Manual (Вручную) и нажмите кнопку Next (Далее).

  6. На панели Регистрация на сервере MDM выберите имя созданного вами сервера и нажмите Далее.

  7. На панели Контроль за устройствами выберите уровень контроля и нажмите Далее.

  8. На панели Создание организации выберите Организация или создайте организацию, а затем нажмите Далее.

  9. На панели Configure iOS/iPadOS Setup Assistant (Настройка помощника по настройке iOS и iPadOS) выберите действия, которые будут отображаться для пользователя, и нажмите кнопку Подготовить. При появлении запроса пройдите проверку подлинности, чтобы обновить параметры отношения доверия.

  10. После завершения подготовки устройства iOS и iPadOS отключите кабель USB.

Распределение устройств

Теперь устройства подготовлены к корпоративной регистрации. Выключите устройства и распределите их пользователям. Когда пользователи включат свои устройства, запустится помощник по настройке.

После получения устройств пользователи должны выполнить действия в помощнике по настройке. Устройства, для которых настроено сопоставление пользователей, могут установить и запустить приложение "Корпоративный портал" для скачивания приложений и управления устройствами.

Прямая регистрация

Для выполнения прямой регистрации устройств iOS и iPadOS с помощью Apple Configurator не требуется серийный номер устройства. Кроме того, в целях идентификации можно указать имя устройства, которое будет использоваться Intune во время регистрации. Приложение "Корпоративный портал" не поддерживается для устройств с прямой регистрацией. Этот метод не очищает устройство.

Приложения, для которых необходимо взаимодействие с пользователем (включая приложение "Корпоративный портал", используемое для установки бизнес-приложений), нельзя установить.

Экспорт профиля в качестве MOBILECONFIG-файла на устройства iOS и iPadOS

  1. В Центре администрирования Microsoft Intune перейдите в раздел Регистрация устройств>.

  2. Перейдите на вкладку Apple .

  3. В разделе Методы массовой регистрации выберите Apple Configurator.

  4. Перейдите в раздел Профили. Выберите профиль для экспорта.

  5. Выберите Экспорт профиля.

  6. Скопируйте URL-адрес профиля. Позже его можно добавить в Apple Configurator для определения профиля Intune, используемого устройствами iOS и iPadOS.

  7. В разделе Прямая регистрация выберите Скачать профиль и сохраните файл. Файл профиля регистрации действует только две недели, после чего его нужно создать заново.

  8. Переместите файл на компьютер Mac с запущенным средством Apple Configurator, чтобы отправить его напрямую на устройства iOS и iPadOS как профиль управления.

  9. Подготовьте устройство с помощью Apple Configurator, выполнив следующие действия.

    1. На компьютере Mac откройте Apple Configurator 2.0.

    2. Подключите устройство iOS и iPadOS к компьютеру Mac с помощью кабеля USB. При обнаружении устройства закройте средство просмотра фотографий, iTunes и другие приложения, открытые на устройстве.

    3. В Apple Configurator выберите подключенное устройство iOS и iPadOS и нажмите кнопку Добавить. В раскрывающемся списке отображаются параметры, которые могут быть добавлены к устройству. Выберите Профили.

      Снимок экрана: экспорт профиля для регистрации с использованием помощника по настройке с выделенным URL-адресом профиля

    4. Используйте средство выбора файлов, чтобы выбрать MOBILECONFIG-файл, экспортированный из Intune, и нажмите Добавить. Профиль будет добавлен в устройство. Если устройство настроено как незащищенное, для установки нужно принять условия на устройстве.

  10. Следуйте инструкциям ниже, чтобы установить профиль на устройстве iOS и iPadOS. Помощник по настройке уже должен завершить свою работу, и устройство должно быть готово к использованию. Если регистрация влечет за собой развертывания приложений, у устройства должен быть задан Apple ID, так как для развертывания приложений необходимо выполнить вход в App Store с Apple ID.

    1. Разблокируйте устройство iOS и iPadOS.
    2. В диалоговом окне Установка профиля для параметра Профиль управления выберите Установить.
    3. Укажите секретный код устройства или Apple ID, если это необходимо.
    4. Примите Предупреждение и нажмите Установить.
    5. Примите Удаленное предупреждение и нажмите Доверяю.
    6. Когда состояние профиля в окне Профиль установлен изменится на установленный, нажмите Готово.
  11. На устройстве iOS и iPadOS откройте экран Settings (Параметры) и выберите General>Device Management>Management Profile (Общие > Управление устройством > Профиль управления). Убедитесь в том, что профиль установлен, проверьте ограничения политики iOS и iPadOS и установленные приложения. Для появления на устройстве ограничений политик и приложений может потребоваться до 10 минут.

  12. Распределите устройства. Теперь устройство iOS и iPadOS зарегистрировано в Intune и является управляемым.

Дальнейшие действия