Implantar dispositivos através do Programa de Implantação da Apple
A Apple possui programas de registro de dispositivos para contas de negócios e educação. Para contas de negócios, você se registra no Programa de Implantação da Apple. para usar o Apple Business Manager (ABM) ou o Apple School Manager (ASM) para registro e gerenciamento de dispositivos no XenMobile. Esse programa é para dispositivos iOS, iPadOS e macOS.
O Programa de Implantação da Apple está disponível para organizações e não pessoas. Você deve fornecer um número considerável de detalhes e informações corporativas para criar uma conta do Programa de Implantação da Apple. Portanto, o processo de solicitação e recebimento de aprovação para contas pode ser demorado.
Para contas de educação, você cria uma conta do Apple School Manager. O ASM unifica o Programa de Implantação da Apple e a compra por volume da Apple. Para criar uma conta do Apple School Manager, acesse o site da Apple School.
Cadastrar-se no Programa de Implantação da Apple
Para se registrar no Apple Business Manager, acesse business.apple.com. Clique em Enroll now para solicitar uma nova conta. A prática recomendada é usar um endereço de e-mail relacionado à organização, como implantação@empresa.com. O processo de registro pode levar alguns dias. Depois de receber as credenciais de login, siga as etapas fornecidas no Apple Business Manager para criar uma conta.
Nota:
Para contas educacionais, consulte Integração com os recursos do Apple Educação.
Conectar sua conta do Apple Business Manager ao XenMobile
Para conectar sua conta do Apple Business Manager à implantação do XenMobile, insira as informações no console XenMobile e no Apple Business Manager. Siga esses passos:
Etapa 1: baixe uma chave pública do XenMobile Server
-
No console XenMobile, vá para Configurações > Programa de implantação da Apple.
-
Em Baixar chave pública, clique em Baixar.
Etapa 2: crie e baixe um arquivo de token de servidor da sua conta da Apple
- Faça logon no Apple Business Manager usando uma conta de administrador ou gerente de registro de dispositivo.
-
Na parte inferior da barra lateral, clique em Configurações e, em seguida, clique em Configurações de gerenciamento de dispositivos > Adicionar servidor MDM.
- Na configuração de Nome do servidor MDM, digite um nome para o servidor XenMobile. O nome do servidor que você digita é para sua referência. Não é a URL ou nome do servidor.
- Em Upload Public Key, clique em Choose File. Carregue a chave pública que você baixou do XenMobile e salve as alterações.
-
Clique em Download Token para baixar o arquivo de token do servidor para o seu computador.
Você deve carregar o arquivo de token de servidor ao adicionar a conta ABM ao XenMobile. As informações de token do ABM são exibidas no console XenMobile depois que você importa o arquivo de token.
- Em Default Device Assignment, clique em Change. Escolha como deseja atribuir dispositivos e, em seguida, forneça as informações solicitadas. Para obter informações, consulte o Guia do Usuário do ABM.
Etapa 3: adicione uma conta ABM ao XenMobile
Você pode adicionar várias contas ABM ao XenMobile. Este recurso permite usar diversas configurações de registro e opções de assistente de configuração por país, departamento e assim por diante. Em seguida, você associa contas ABM a diferentes políticas de dispositivo.
Por exemplo, você pode centralizar a todas as suas contas ABM de diferentes países no mesmo servidor XenMobile, para importar e supervisionar todos os dispositivos ABM. Ao personalizar as configurações de registro e as opções do assistente de instalação por departamento, hierarquia organizacional ou outra estrutura, as políticas oferecem funcionalidades apropriadas para toda a organização e os usuários recebem a assistência apropriada.
-
No console XenMobile, vá para Configurações > Programa de implantação da Apple e, em Adicionar conta do programa de implantação da Apple, clique em Adicionar.
-
Na página Tokens de servidor, especifique o arquivo de token de servidor e clique em Carregar.
Suas informações de token de servidor são exibidas.
-
Na página Informações sobre a conta, especifique estas configurações:
- Nome da conta do Programa de Implantação da Apple: um nome exclusivo para esta conta do Programa de Implantação da Apple. Use nomes que reflitam como você organiza contas do Programa de implantação da Apple, como por país ou hierarquia organizacional.
- Unidade de negócios/educação: a unidade de negócios ou o departamento ao qual o dispositivo é atribuído. Este campo é obrigatório.
- ID de serviço exclusiva: um ID exclusivo opcional para ajudar você a identificar ainda mais a conta.
- Número de telefone de suporte: um número de telefone de suporte para o qual os usuários ligam para pedir ajuda durante a instalação. Este campo é obrigatório.
- Endereço de email de suporte: um endereço de email de suporte opcional, disponível para os usuários finais.
-
Em Configurações do iOS, especifique estas configurações:
Configurações de registro:
- Exigir registro de dispositivo: selecione se os usuários devem ser obrigados a registrar seus dispositivos. O padrão é Sim.
-
Exigir credenciais para registro de dispositivo: selecione se os usuários são obrigados a inserir as respectivas credenciais durante a configuração do ABM. A Citrix recomenda que você solicite a todos os usuários que insiram suas credenciais durante o registro do dispositivo, permitindo assim que apenas usuários autorizados registrem dispositivos. O padrão é Sim.
Quando você ativa o ABM antes da primeira configuração sem selecionar essa opção, o XenMobile cria os componentes do ABM. Essa criação inclui componentes como usuário ABM, Secure Hub, inventário de software e grupo de implantação ABM. Se você selecionar essa opção, o XenMobile não criará os componentes. Como resultado, se você desmarcar essa opção posteriormente, os usuários que não inseriram suas credenciais não poderão se registrar no ABM porque esses componentes do ABM não existirão. Nesse caso, para adicionar componentes do ABM desative e ative a conta ABM.
- Aguardar que a configuração conclua a instalação: selecione se os dispositivos dos usuários devem ser obrigados a permanecer no modo do Assistente de instalação até que todos os recursos do MDM sejam implantados no dispositivo. Essa configuração está disponível para dispositivos no modo supervisionado. O padrão é Não.
- A documentação da Apple declara que os seguintes comandos poderão não funcionar enquanto o dispositivo estiver no modo Assistente de Instalação:
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
Configurações do dispositivo:
- Modo supervisionado: deverá ser definido como Sim se você estiver usando o Apple Configurator para gerenciar dispositivos registrados no ABM ou quando a opção Aguardar que a configuração conclua a instalação estiver ativada. O padrão é Sim. Para obter detalhes sobre como colocar um dispositivo iOS no modo supervisionado, consulte Para colocar um dispositivo iOS no modo Supervisionado usando o Apple Configurator.
- Permitir remoção do perfil de registro: selecione se os dispositivos devem ter permissão para usar um perfil que você pode remover remotamente. O padrão é Não.
- Permitir pareamento de dispositivo: para dispositivos registrados por meio do ABM, selecione se você pode gerenciá-los usando a Apple Music e o Apple Configurator. O padrão é Não.
Identidades de supervisão
Se você usar a ferramenta GroundControl, poderá adicionar um certificado para fazer o seguinte:
- Substituir restrições de emparelhamento para evitar o prompt “Confiar neste host”.
- Escalonar as ações do dispositivo gerenciado por USB para executar atividades como a instalação do perfil sem interação do usuário. Isso permite que o GroundControl habilite o modo de aplicativo único e o bloqueio do dispositivo na saída.
- Restaurar um backup para dispositivos ABM.
Para obter mais informações sobre o GroundControl, consulte o site GroundControl.
-
Em Configurações do macOS, especifique estas configurações:
Configurações de registro:
- Exigir registro de dispositivo: selecione se os usuários devem ser obrigados a registrar seus dispositivos. O padrão é Sim.
- Aguardar que a configuração conclua a instalação: se a opção for Sim, o dispositivo macOS não continuará o assistente de instalação até que o código secreto de recursos do MDM seja implantado no dispositivo. Essa implantação ocorre antes de a criação da conta local. Essa configuração está disponível para dispositivos macOS 10.11 e versões posteriores. O padrão é Não.
Configurações do dispositivo:
- Permitir remoção do perfil de registro: selecione se os dispositivos devem ter permissão para usar um perfil que você pode remover remotamente. O padrão é Não.
-
Em Opções do assistente de configuração iOS, selecione as etapas que o Assistente de configuração iOS ignora quando os usuários iniciam seus dispositivos pela primeira vez. Quando uma tela é ignorada, o recurso relacionado usa as configurações padrão. Os usuários podem configurar os recursos ignorados após a conclusão da instalação, a menos que você restrinja completamente o acesso a esses recursos. Para obter mais informações sobre como restringir o acesso aos recursos, consulte Política de dispositivos de restrições. O padrão é desmarcar essa opção para todos os itens. As descrições a seguir explicam o que ocorre quando uma configuração é selecionada.
- Serviços de localização: impede que os usuários configurem o serviço de localização no dispositivo.
- Touch ID: impede que os usuários definam o Touch ID ou o Face ID em dispositivos iOS.
- Bloqueio de código secreto: impede que os usuários definam um código secreto para o dispositivo. Se não houver um código secreto, os usuários não poderão usar o Touch ID ou o Apple Pay.
- Configurar como novo ou restaurar: impede que os usuários definam o dispositivo como novo ou de um backup do iCloud ou da Apple App Store.
- Mover do Android: impede que os usuários transfiram dados de um dispositivo Android para um dispositivo iOS. Essa opção está disponível somente quando Configurar como novo ou restaurar está selecionada (ou seja, a etapa é ignorada).
- ID Apple: impede que os usuários criem uma conta do ID Apple gerenciado para o dispositivo.
- Termos e condições: impede que os usuários leiam e aceitem os termos e condições de uso do dispositivo.
- Apple Pay: impede que os usuários configurem o Apple Pay. Se essa configuração estiver desmarcada, os usuários deverão configurar o Touch ID e o ID Apple. Certifique-se de que essas configurações estejam desmarcadas.
- Siri: impede que o usuário configure a Siri.
- Análise de aplicativos: impede que os usuários definam se devem compartilhar dados de falhas e estatísticas de uso com a Apple.
- Zoom de exibição: impede que os usuários definam a resolução da tela (padrão ou ampliada) nos dispositivos iOS.
- True Tone: impede que os usuários configurem sensores de quatro canais para ajustar dinamicamente o balanço de branco da tela.
- Botão Home: impede que os usuários definam o estilo de feedback do botão Home.
- Novos destaques de recursos: impede que os usuários vejam as telas que exibem informações sobre novos recursos do software Apple.
- Privacidade: impedir que os usuários vejam o painel de dados e privacidade. Para iOS 11.3 e posterior.
- Atualização de software: impede que os usuários atualizem o iOS para a versão mais recente. Para iOS 12.0 e posterior.
- Tempo de tela: impede que os usuários ativem o Tempo de tela. Para iOS 12.0 e posterior.
- Configuração do SIM: impede que os usuários configurem um plano de celular. Para iOS 12.0 e posterior.
- iMessage e FaceTime: impede que os usuários habilitem o iMessage e o FaceTime. Para iOS 12.0 e posterior.
- Aparência: impede que os usuários selecionem o modo de aparência. Para iOS 13.0 e posterior.
- Welcome: impede que o usuário veja a tela de Introdução. Para iOS 13.0 e posterior.
- Restauração concluída: impede que os usuários vejam se uma restauração foi concluída durante a configuração. Para iOS 14.0 e posterior.
- Atualização concluída: impede que os usuários vejam se uma atualização de software foi concluída durante a configuração. Para iOS 14.0 e posterior.
A conta ABM aparece em Configurações > Programa de implantação da Apple.
-
Em Opções do assistente de configuração macOS, selecione as etapas que o Assistente de configuração macOS ignora quando os usuários iniciam seus dispositivos pela primeira vez. Quando uma tela é ignorada, o recurso relacionado usa as configurações padrão. Os usuários podem configurar os recursos ignorados após a conclusão da instalação, a menos que você restrinja completamente o acesso a esses recursos. Para obter mais informações sobre como restringir o acesso aos recursos, consulte Política de dispositivos de restrições. O padrão é desmarcar essa opção para todos os itens. As descrições a seguir explicam o que ocorre quando uma configuração é selecionada.
- Configurar como novo ou restaurar: impede que os usuários definam o dispositivo como novo ou de um backup do Time Machine ou execute uma migração de sistema.
- Serviços de localização: impede que os usuários configurem o serviço de localização no dispositivo. Para macOS 10.11 e posterior.
- ID Apple: impede que os usuários criem uma conta do ID Apple gerenciado para o dispositivo.
- Termos e condições: impede que os usuários leiam e aceitem os termos e condições de uso do dispositivo.
- Siri: impede que o usuário configure a Siri. Para macOS 10.12 e versões posteriores.
-
FileVault: usar o FileVault para criptografar o disco de inicialização. O XenMobile somente aplicará a configuração do FileVault se o sistema tiver uma conta de usuário local e essa conta estiver conectada ao iCloud.
Você pode usar o recurso de Criptografia de disco do FileVault do macOS para proteger o volume do sistema, criptografando seu conteúdo (https://support.apple.com/en-us/HT204837). Se o Assistente de instalação for executado em um Mac portátil mais atual sem o FileVault ativado, talvez você seja solicitado a ativar esse recurso. O aviso aparecerá em sistemas novos e em sistemas atualizados para o OS X 10.10 ou 10.11, mas somente se esse sistema tiver uma única conta de administrador local e essa conta estiver conectada ao iCloud.
- Análise de aplicativos: impede que os usuários definam se devem compartilhar dados de falhas e estatísticas de uso com a Apple.
- Privacidade: impedir que os usuários vejam o painel de dados e privacidade. Para macOS 10.13 e versões posteriores.
- iCloud Analytics: impedir que os usuários escolham se devem enviar dados de diagnóstico do iCloud para a Apple. Para macOS 10.13 e versões posteriores.
- Área de trabalho e documentos do iCloud: impedir que os usuários configurem a área de trabalho e os documentos do iCloud. Para macOS 10.13 e versões posteriores.
- Aparência: impede que os usuários selecionem o modo de aparência. Para macOS 10.14 e versões posteriores.
- Acessibilidade: impede que o usuário ouça o Voice Over automaticamente. Disponível somente se o dispositivo estiver conectado à Ethernet. Para macOS 11 e posterior.
- Biometria: impede que o usuário defina o Touch ID e o Face ID. Para macOS 10.12.4 e versões posteriores.
- True Tone: impede que os usuários configurem sensores de quatro canais para ajustar dinamicamente o balanço de branco da tela. Para macOS 10.13.6 e versões posteriores.
- Apple Pay: impede que os usuários configurem o Apple Pay. Se essa configuração estiver desmarcada, os usuários deverão configurar o Touch ID e o ID Apple. Certifique-se de que as configurações ID Apple e Biometria estejam desmarcadas. Para macOS 10.12.4 e versões posteriores.
-
Tempo de tela: impede que os usuários ativem o Tempo de tela. Para macOS 10.15 e versões posteriores.
-
Opções de configuração de conta local: especificar as configurações para criar uma conta de administrador no dispositivo. Os usuários fazem login no dispositivo macOS com essas informações. O XenMobile cria a conta usando as informações especificadas.
- Criar conta primária como um usuário padrão: em vez de conceder privilégios de administrador a esse usuário no dispositivo, o XenMobile cria o usuário com permissões padrão. Como o macOS requer uma conta de administrador, o XenMobile cria uma conta de administrador primeiro, depois cria uma nova conta padrão e a define como primária.
- Nome completo do administrador: digite o nome que o sistema exibe para a conta de administrador.
- Nome abreviado do administrador: digite o nome que o dispositivo exibe para a pasta base e no shell.
- Senha do administrador: digite uma senha segura para a conta de administrador.
- Exibir a conta do administrador em Usuários e grupos: se desmarcada, a conta de administrador não aparece em Usuários e Grupos nas configurações do macOS. Se você criar a conta primária como um usuário padrão, ative essa configuração para ocultar a conta de administrador que o XenMobile cria primeiro.
Pedido de dispositivos ativados para o programa de implantação
Você pode solicitar dispositivos ativados para o Programa de Implantação diretamente da Apple ou com revendedores ou operadoras autorizadas do Programa de Implantação. Para encomendar com a Apple, forneça o ID de cliente Apple no Portal do Programa de Implantação da Apple. Seu ID de cliente permite que a Apple associe à sua conta do Programa de Implantação da Apple os dispositivos que você adquiriu.
Para encomendar com o seu revendedor ou operadora, entre em contato com o revendedor da Apple ou a operadora para verificar se eles participam do Programa de Implantação da Apple. Peça o ID do Programa de Implantação da Apple do revendedor ao adquirir dispositivos. A Apple exige essas informações quando você adiciona seu revendedor do Programa de Implantação da Apple à sua conta do Programa de Implantação da Apple. Depois de adicionar o ID do Programa de Implantação da Apple do revendedor, você receberá um ID de cliente do Programa de Implantação. Forneça o ID de cliente do Programa de Implantação ao revendedor, que o usará para enviar informações sobre suas compras de dispositivos para a Apple. Para obter mais informações, consulte o site Apple Use Device Enrollment.
Gerenciar dispositivos ativados para o Programa de Implantação
Depois que o seu pedido for enviado, você pode associar dispositivos iOS, iPadOS e macOS ao seu servidor XenMobile.
- Faça logon no Apple Business Manager usando uma conta de administrador ou gerente de registro de dispositivo.
- Na barra lateral, clique em Devices. Os dispositivos que você adquiriu diretamente da Apple são exibidos automaticamente. Para atribuir dispositivos do Apple Configurator 2 ao Apple Business Manager, consulte o Guia do usuário do Apple Business Manager.
- Na lista, selecione um dispositivo ou o número total de dispositivos e clique em Edit Device Management. Você tem duas opções:
-
Para atribuir um dispositivo a um servidor MDM, em Assign to Server, escolha o nome do seu servidor XenMobile. Clique em Continue.
Para atribuir novos dispositivos ao Apple Business Manager em massa, defina um servidor XenMobile padrão para implantação. Para obter mais informações, consulte Definir um servidor padrão para registro em massa.
-
Para cancelar a atribuição de um dispositivo a partir do servidor XenMobile, escolha Unassign.
-
Os dispositivos do Programa de Implantação da Apple estão associados ao servidor XenMobile selecionado.
Se você enviar um dispositivo iOS, iPadOS ou macOS para manutenção, será necessário remover o dispositivo do Apple Business Manager. Quando você receber o dispositivo de volta da manutenção, deverá reatribuir o dispositivo ao servidor XenMobile. Quando substituir o dispositivo, você pode atribuir um novo dispositivo ao servidor XenMobile usando um número de pedido.
Para revisar o histórico de dispositivos atribuídos:
- Faça logon no Apple Business Manager usando uma conta de administrador ou gerente de registro de dispositivo.
- Na barra lateral, clique em Assignment History. Em seguida, escolha uma atribuição para exibir mais informações.
- Clique em Download para baixar um arquivo CSV com os números de série de todos os dispositivos atribuídos e não atribuídos.
Você pode remover dispositivos iOS, iPadOS e macOS do Apple Business Manager se o dispositivo tiver sido vendido, roubado ou não puder ser reparado.
- Faça logon no Apple Business Manager usando uma conta de administrador ou gerente de registro de dispositivo.
- Na barra lateral, clique em Devices e procure um dispositivo.
- Selecione um dispositivo e clique em Release Device. Na caixa de diálogo, confirme suas alterações para remover o dispositivo do programa. Para adicionar dispositivos iOS e iPadOS de volta, use o Apple Configurator 2. Não é possível adicionar dispositivos macOS de volta com o Apple Configurator 2.