通过 Apple 部署计划部署设备
Apple 部署计划 (ADP) 允许您自动在 Citrix Endpoint Management 中注册 Apple 设备,无需在用户拿到设备之前触摸或准备设备。用户解箱并激活设备后,设备会自动注册到 Citrix Endpoint Management 中,所有管理设置、应用程序和书籍都已准备就绪,可供用户使用。
这些 ADP 包括适用于企业组织的 Apple 商务管理 (ABM) 和适用于教育组织的 Apple 校园教务管理 (ASM)。ABM 和 ASM 适用于 iOS、iPadOS 和 macOS 设备。有关设备资格的详细信息,请参阅《Apple 商务管理用户指南》和《Apple 校园教管理用户指南》。
注意:
ABM 和 ASM 组合了 Apple 提供的先前的设备注册计划和批量购买计划。
本文将引导您完成 ABM 或 ASM 常规部署工作流程:
- 在 ABM 或 ASM 中注册
- 将您的 ABM 或 ASM 帐户连接到 Citrix Endpoint Management
- 订购设备
- 将设备分配给 Citrix Endpoint Management
- 批量购买内容并将其与 Citrix Endpoint Management 同步
- 配置设备策略和应用程序的部署规则
- 添加为其分配了用户和资源的交付组
完成此部署过程后,设备即准备好拆箱并激活,以执行自动设备注册。
必备条件
打开 Citrix Endpoint Management 和 Apple 之间连接所需的端口。有关详细信息,请参阅端口要求。
在 ABM 或 ASM 中注册
要开始在 Apple 部署设备,请注册 ABM 或 ASM。
ABM 和 ASM 适用于组织,不适用于个人。您必须提供许多组织详细信息和信息才能创建帐户。可能需要一些时间才能完成帐户申请并收到帐户审批结果。
注册 ABM
要在 ABM 中注册,请转至 business.apple.com。单击立即注册申请新帐户。
最佳做法是为贵组织使用电子邮件地址,例如 deployment@company.com
。注册过程可能需要几天时间。收到登录凭据后,请按照 ABM 中提供的步骤创建帐户。
注册 ASM
要创建 ASM 帐户,请转至 Apple 校园教务管理并按照说明进行注册。首次登录 ASM 时,设置助手将打开。
-
有关 ASM 必备条件、设置助手和管理任务的信息,请参阅 Apple School Manager User Guide(《Apple 校园教务管理用户指南》)。
-
设置 ASM 用户帐户时,请使用与 Active Directory 的域名不同的域名。例如,请在 ASM 的域名中添加
appleid
之类的前缀。 -
将 ASM 连接到您的名单数据时,ASM 将为教师和学生创建管理式 Apple ID。名单数据包括教师、学生和班级。有关将名册数据添加到 ASM 的信息,请参阅本列表前面链接的 Apple 校园教务管理用户指南。
-
您可以自定义机构的托管 Apple ID 格式,如本列表前面链接的 Apple 校园教务管理用户指南中所述。
重要:
将 ASM 信息导入 Citrix Endpoint Management 后,请勿更改 Managed Apple ID。
-
如果您通过经销商或运营商购买设备,请将这些设备关联到 ASM。有关信息,请参阅本列表前面链接的 Apple 校园管理用户指南。
将您的 ABM 或 ASM 帐户连接到 Citrix Endpoint Management
创建 ABM 或 ASM 帐户后,将其与 Citrix Endpoint Management 服务器部署相连接。
步骤 1:从 Citrix Endpoint Management 服务器下载公钥
-
在 Citrix Endpoint Management 控制台中,转至“设置”>“Apple 部署计划”。
-
在下载公钥下,单击下载。
步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件
- 使用管理员或设备注册管理员帐户登录到 Apple 商务管理或 Apple 校园教务管理。
- 在边栏底部,单击设置,然后单击设备管理设置 > 添加 MDM 服务器。
- 在 MDM 服务器名称 设置中,键入 Citrix Endpoint Management 服务器的名称。键入的服务器名称仅供参考。它不是服务器的 URL 或名称。
- 在 Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。上载您从 Citrix Endpoint Management 下载的公钥,然后保存更改。
-
单击 Download Token(下载令牌)以将服务器令牌文件下载到您的计算机。
将 ABM 或 ASM 帐户添加到 Citrix Endpoint Management 时,需要上载服务器令牌文件。导入令牌文件后,您的令牌信息会显示在 Citrix Endpoint Management 控制台中。
- 在 Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关详细信息,请参阅《ABM 用户指南》或《Apple 校园教管理用户指南》。
步骤 3:将您的帐户添加到 Citrix Endpoint Management
您可以向 Citrix Endpoint Management 添加多个 ABM 或 ASM 帐户。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后,您将 ABM 或 ASM 帐户与不同的设备策略相关联。
例如,您可以将来自不同国家的所有 ABM 或 ASM 帐户集中到同一 Citrix Endpoint Management 服务器上,以导入和监督所有 ABM 或 ASM 设备。您首先按部门、组织层级结构或其他结构来自定义注册设置和设置助理选项。然后配置策略以在整个组织中提供合适的功能,并允许用户获得适当的帮助。
-
在 Citrix Endpoint Management 控制台中,转至“设置”>“Apple 部署计划”,然后在“添加 Apple 部署计划帐户”下单击“添加”。
-
在服务器令牌页面中,指定您的服务器令牌文件,然后单击上载。
此时将显示您的服务器令牌信息。
-
在帐户信息页面中,指定以下设置:
- Apple 部署计划帐户名称: 此 ADP 帐户的唯一描述性名称,标识按国家/地区或组织层级结构等对象组织 ADP 帐户的方式。
- 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
- 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
- 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
- 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
- 教育后缀: 用于 ASM 帐户。键入分配给通过此帐户注册的设备的后缀。
-
在 iOS 设置中,指定以下设置:
注册设置:
- 要求设备注册: 是否要求用户注册其设备。默认值为开。
-
设备注册需要凭据: 是否要求用户在 ABM 和 ASM 设置期间输入凭据。我们建议您要求所有用户在设备注册期间输入其凭据,仅允许授权用户注册设备。默认值为开。
当您在首次设置之前启用 ABM 或 ASM 但未选择此选项时,Citrix Endpoint Management 会创建 ABM 或 ASM 组件。此创建包括用户、Citrix Secure Hub、软件清单和部署组等组件。如果您选择此选项,则 Citrix Endpoint Management 不会创建组件。因此,如果稍后清除此选项,尚未输入凭据的用户无法注册 ABM 或 ASM,因为这些组件不存在。在这种情况下,要添加 ABM 或 ASM 组件,在这种情况下,请禁用并启用 ABM 或 ASM 帐户。
-
使用 Citrix 身份提供程序注册: 是否使用 Citrix 身份提供程序进行注册。此设置仅适用于 ABM 帐户。如果设置为 开,启用 ADP 的 iOS 设备只能使用 Citrix 身份提供程序进行注册。默认值为关。
要开启该设置,必须先将 Citrix 身份提供商配置为您的身份提供商。转到 设置 > 身份提供程序 (IDP),单击 添加,然后选择 Citrix 身份提供程序。
如果将此设置设置为开,请注意以下注意事项:
- 您无法在“设置”>“身份提供商 (IDP)”页面上删除相应的 Citrix 身份提供商配置。
- 编辑相应的 Citrix 身份提供商配置时,您无法切换到其他身份提供商。
- 等待配置完成设置: 是否要求用户的设备处于安装助手模式,直到所有 MDM 资源部署到设备为止。此设置适用于处于受监督模式的设备。默认值为关。
- Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
设备设置:
- 监督模式: 如果您使用 Apple Configurator 管理注册的设备或启用“等待配置完成设置”,则设置为“开”。默认值为开。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 2 部署设备。
- 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为关。
- 允许设备配对: 是否可以通过 Apple Music 和 Apple Configurator 管理已注册的设备。默认值为关。
所需的最低版本
- 允许旧设备注册: 如果启用,设备即使无法升级到当前要求的最低版本,也可以注册。默认值为开。此选项仅适用于 iOS 17.0 及更高版本。
- 指定版本选项: 是否允许管理员手动输入指定版本。默认值为关。此选项仅适用于 iOS 17.0 及更高版本。
- 可用的 iOS 版本: 您可以从列表中选择可用的 iOS 版本。如果设备的 iOS 版本低于当前版本,它将在设备上启动更新过程。如果该版本将来过期,则使用可用版本列表的最低版本。默认值为“无”,设置为“无”时不会生效。此选项仅适用于 iOS 17.0 及更高版本。
- 指定版本: 如果设备的 iOS 版本低于当前版本,它将在设备上启动更新过程。如果该版本将来过期,则使用可用版本列表的最低版本。输入正确的版本号,否则可能会出现未知错误。
监督身份
如果使用 GroundControl 工具,则可以添加证书以执行以下操作:
- 覆盖配对限制,以避免显示“信任此主机”提示。
- 通过 USB 上报托管设备操作以执行配置文件安装等活动,而无需用户交互。这样做将允许 GroundControl 启用单应用程序模式和设备锁定以进行签出。
- 还原到 ABM 或 ASM 设备的备份。
有关 GroundControl 的详细信息,请参阅 GroundControl Web 站点。
-
在 macOS 设置中,指定以下设置:
注册设置:
- 要求设备注册: 是否要求用户注册其设备。默认值为开。
-
使用 Citrix 身份提供程序注册: 是否使用 Citrix 身份提供程序进行注册。此设置仅适用于 ABM 帐户。如果设置为 开,启用 ADP 的 macOS 设备只能使用 Citrix 身份提供程序进行注册。默认值为关。
要开启该设置,必须先将 Citrix 身份提供商配置为您的身份提供商。转到 设置 > 身份提供程序 (IDP),单击 添加,然后选择 Citrix 身份提供程序。
如果将此设置设置为开,请注意以下注意事项:
- 您无法在“设置”>“身份提供商 (IDP)”页面上删除相应的 Citrix 身份提供商配置。
- 编辑相应的 Citrix 身份提供商配置时,您无法切换到其他身份提供商。
- 等待完成配置设置: 如果选择否,macOS 设备将不继续在“设置助理”下操作,直到将 MDM 资源通行码部署到设备。该部署在创建本地帐户之前进行。此设置适用于 macOS 10.11 及更高版本的设备。默认值为关。
设备设置:
- 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为关。
-
在 Apple TV 设置中,指定以下设置:
- 要求注册设备: 阻止用户跳过注册过程。
- 需要提供凭据才能完成设备注册: 注册过程中对凭据的质询。关闭此设置时,Apple TV 将注册为默认“设备注册计划用户”。
- 等待完成配置设置: 设备在设置助理屏幕中等待,直至所有资源都部署完毕。
- 受监督模式: 配置限制过程中向管理员提供更多功能。
- 允许删除注册配置文件: 允许用户删除注册配置文件。
- 允许设备配对: 允许通过 Apple 工具(例如 Apple App Store 和 Apple Configurator)管理通过设备注册计划注册的设备。
-
在 iOS 设置助手选项中,选择用户在首次启动其设备时 iOS 设置助手跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置已跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择某项设置时发生的情况。
- 定位服务: 阻止用户在设备上设置定位服务。
- Touch ID: 阻止用户在 iOS 设备上设置 Touch ID 或面容 ID。
- 通行码锁定: 阻止用户为设备设置通行码。如果不存在通行码,用户将无法使用 Touch ID 或 Apple Pay。
- 设置为新设备或还原: 阻止用户将设备设置为新设备或从 iCloud 或 Apple App Store 备份还原。
- 从 Android 移动: 阻止用户将数据从 Android 设备传输到 iOS 设备。此选项仅在已选择设置为新对象或还原(即跳过相应步骤)时可用。
- Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
- 条款和条件: 阻止用户阅读并接受条款和条件以使用设备。
- Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。请确保清除这些设置。
- Siri: 阻止用户配置 Siri。
- 应用程序分析: 阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
- 显示缩放: 阻止用户在 iOS 设备上设置显示分辨率(标准或缩放)。
- 原彩: 阻止用户设置四通道传感器以动态调整显示器的白平衡。
- 主页按钮: 阻止用户设置反馈的主页按钮样式。
- 新功能亮点: 阻止用户看到显示 Apple 软件新增功能信息的屏幕。
- 隐私: 阻止用户看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
- 软件更新: 阻止用户将 iOS 更新到最新版本。适用于 iOS 12.0 及更高版本。
- 屏幕时间: 阻止用户启用屏幕时间。适用于 iOS 12.0 及更高版本。
- SIM 设置: 阻止用户设置手机网络套餐。适用于 iOS 12.0 及更高版本。
- iMessage 和 FaceTime: 阻止用户启用 iMessage 和 FaceTime。适用于 iOS 12.0 及更高版本。
- 外观: 阻止用户选择外观模式。适用于 iOS 13.0 及更高版本。
- 欢迎: 阻止用户看到入门屏幕。适用于 iOS 13.0 及更高版本。
- 已完成还原: 阻止用户看到还原是否在设置过程中完成。适用于 iOS 14.0 及更高版本。
- 已完成更新: 阻止用户看到软件更新是否在设置过程中完成。适用于 iOS 14.0 及更高版本。
- 应用商店: 阻止用户设置应用商店。适用于 iOS 11.1 及更高版本。
该帐户显示在设置 > Apple 部署计划上。
-
在 macOS 设置助手选项中,选择用户在首次启动其设备时 macOS 设置助手跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置已跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择某项设置时发生的情况。
- 设置为新设备或还原: 阻止用户将设备设置为新设备或从“时间机器”备份还原或执行系统迁移。
- 定位服务: 阻止用户在设备上设置定位服务。适用于 macOS 10.11 及更高版本。
- Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
- 条款和条件: 阻止用户阅读并接受条款和条件以使用设备。
- Siri: 阻止用户配置 Siri。适用于 macOS 10.12 及更高版本。
-
FileVault: 使用 FileVault 加密启动磁盘。只有当系统只有一个本地用户帐户并且该帐户已登录 iCloud 时,Citrix Endpoint Management 才会应用 FileVault 设置。
可以使用 macOS FileVault 磁盘加密功能通过加密系统卷的内容 (https://support.apple.com/en-us/HT204837) 来保护系统卷。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。
- 应用程序分析: 阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
- 隐私: 阻止用户看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
- iCloud 分析: 阻止用户选择是否向 Apple 发送诊断 iCloud 数据。适用于 macOS 10.13 及更高版本。
- iCloud 文档和桌面: 阻止用户设置 iCloud 桌面和文档。适用于 macOS 10.13 及更高版本。
- 外观: 阻止用户选择外观模式。适用于 macOS 10.14 及更高版本。
- 辅助功能: 阻止用户自动聆听旁白。仅在设备连接到以太网时可用。适用于 macOS 11 及更高版本。
- 生物特征识别: 阻止用户设置 Touch ID 和面容 ID。适用于 macOS 10.12.4 及更高版本。
- 原彩: 阻止用户设置四通道传感器以动态调整显示器的白平衡。适用于 macOS 10.13.6 及更高版本。
- Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除 Apple ID 和生物特征识别设置。
- 屏幕时间: 阻止用户启用屏幕时间。适用于 macOS 10.15 及更高版本。
- 应用商店: 防止用户设置应用商店。适用于 macOS 11.1 及更高版本。
-
使用 Apple Watch 解锁: 防止用户使用 Apple Watch 解锁 Mac。适用于 macOS 12 及更高版本。
- 本地帐户设置选项: 指定在设备上创建帐户的设置。Citrix Endpoint Management 首先使用您在此处指定的信息创建本地管理员帐户。用户激活其设备时,将创建一个用户帐户作为主帐户。创建主帐户作为标准用户选项决定主帐户是否具有管理员权限。
重要:
只能在 macOS 设置页面上将等待完成配置设置设置为开后,才能选择创建主帐户作为标准用户。
- 以标准用户身份创建主帐户: 选择后,Citrix Endpoint Management 会创建具有标准权限的用户,而不是向用户授予设备管理员权限。如果要向用户授予对设备的管理员权限,请跳过此选项。默认情况下,未选择此选项。
- 管理员全名: 键入系统为管理员帐户显示的名称。
- 管理员短名称: 键入设备为主文件夹显示的名称和在 shell 中显示的名称。
- 管理员密码: 键入管理员帐户的安全密码。
- 显示用户和组中的管理员帐户: 如果清除此选项,管理员帐户不会显示在 macOS 设置中的用户和组中。如果您以标准用户身份创建主帐户,请启用此设置以隐藏 Citrix Endpoint Management 首次创建的管理员帐户。
为了增强安全性,Citrix Endpoint Management 会检查是否每天轮换管理员帐户的密码。默认情况下,Citrix Endpoint Management 每 7 天轮换一次密码。要更改默认值,请更新
mac.dep.admin.passwd.rotate
服务器属性。有关详细信息,请参阅服务器属性。为了提高密码强度和安全性,Citrix Endpoint Management 按如下方式生成密码:
- 长 12 个字符
- 3 个大写字母
- 3 个小写字母
- 3 个数字
- 3 个特殊字符:
! \@ \# \$ % \^ \* ? + = -
要查看设备的先前密码、当前密码和密码更改状态,请转到 管理 > 设备。单击该设备,单击 显示更多,然后查看 设备详细信息 > 常规 页面。“安 全”部分显示以下内容:
- 以前的管理员密码: 允许您查看以前的密码。Citrix Endpoint Management 仅显示最后一个密码。单击 显示密码 以查看密码。
- 当前管理员密码: 用于查看当前密码。
-
更改管理员密码: 用于查看密码更改状态。可能会显示以下信息,具体取决于实际状态:
- 已在请求更改密码<specific time value>。
- 密码已在更改<specific time value>。
- 尝试更改密码失败<specific time value>。
- 密码尚未更改。
-
在 Apple TV 设置助手选项中,选择您的用户在首次启动其设备时跳过的 Apple TV 设置助手步骤。所有项目的默认设置为未选中。保存更改。
-
该帐户显示在设置 > Apple 部署计划上。要测试 Citrix Endpoint Management 与 Apple 之间的连接,请选择该帐户并单击“测试连接”。
此时将显示一条状态消息。
订购设备
可以直接从以下渠道订购设备:
- Apple。向卖方提供 Apple 客户编号。
- 参与的 Apple 授权经销商或运营商。向卖方提供您的组织 ID,并获取其经销商 ID。
有关管理设备供应商的信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。
订单发货后,您购买的 Apple 设备将添加到您的 ABM 或 ASM 帐户中。
将设备分配给 Citrix Endpoint Management
在 ABM 或 ASM 门户中,搜索订单号并使用它按此顺序将设备分配给您的 Citrix Endpoint Management。也可以使用 Apple Configurator 2 将 iPhone、iPad、iPod touch 和 Apple TV 设备添加到 ABM 或 ASM 中,而无论设备是从何处购买的。
有关详细信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。
批量购买内容并将其同步到 Citrix Endpoint Management
ABM 和 ASM 允许您从单个组织帐户批量购买、分发和管理应用程序和书籍的许可证。要使您的 Citrix Endpoint Management 能够与 ABM 或 ASM 进行通信以获取要分发的许可信息,请完成以下步骤:
-
在 ABM 或 ASM 门户中,从应用程序和图书中购买公共应用程序和图书,并从定制应用程序中购买为您的 Citrix Endpoint Management 开发的定制应用程序。
-
在 ABM 或 ASM 门户中,下载分配给您的 Citrix Endpoint Management 的内容令牌。
有关步骤 1 和 2 的详细信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。
-
在 Citrix Endpoint Management 控制台中,根据您下载的内容令牌创建批量购买帐户。
有关更多信息,请参阅通过 Apple 批量购买添加应用程序。
创建批量购买帐户后,您购买的应用程序和图书将显示在“管理”>“应用程序”中,分配给 Citrix Endpoint Management 服务器的设备将显示在“管理”>“设备”中。
配置设备策略和应用程序的部署规则
配置设备策略和应用程序时,可以将 ABM 或 ASM 帐户与不同的设备策略和应用程序关联。
- 在配置 > 设备策略和配置 > 应用程序页面上,展开部署规则。
- 为特定的 ABM 帐户或除所选帐户以外的所有 ABM 帐户指定策略或应用程序部署。
ABM 帐户的列表仅包括状态为已启用或已禁用的帐户。如果 ABM 帐户已禁用,ABM 设备将不属于该帐户。因此,Citrix Endpoint Management 不会将应用程序或策略部署到设备上。
在以下示例中,设备策略仅针对 ABM 帐户名称为“ABM Account NR”的设备进行部署。