Citrix Endpoint Management

通过 Apple 部署计划部署设备

Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,请注册 Apple 部署计划,以便在 Endpoint Management 中使用 Apple 商务管理 (ABM) 或 Apple 校园教务管理 (ASM) 进行设备注册和管理。该计划适用于 iOS、iPadOS、macOS 和 tvOS 设备。

Apple 部署计划面向组织而非个人提供。您必须提供大量的公司详细信息和信息才能创建 Apple 部署计划帐户。因此,可能需要一些时间才能完成帐户申请并收到帐户审批结果。

如果 Endpoint Management 与 Citrix Workspace 集成,则 Workspace 应用程序将作为必需的应用程序包含在 ABM 或 ASM 部署包中。为了支持该功能,Endpoint Management 要求您为 iOS、macOS、iPadOS 和 tvOS 配置 ABM 或 ASM 帐户设置,并将所需凭据设置为关闭。

注册 Apple 部署计划

要开始在苹果中部署设备,请注册 ABM 或 ASM 来注册 Apple 部署计划。

注册 Apple 商务管理

要注册 ABM,请转到 business.apple.com。单击立即注册申请新帐户。

最佳做法是使用贵组织的电子邮件地址,例如 deployment@company.com。注册过程可能需要几天时间。收到登录凭据后,请按照 ABM 中提供的步骤创建账户。

创建 ABM 账户后,将该账户连接到 Endpoint Management。请参阅 将您的账户连接到 Endpoint Management

注册 Apple 校园教务管理

要创建 ASM 帐户,请转到Apple 校园教务管理 并按照说明进行注册。首次登录 ASM 时,设置助手将打开。

  • 有关 Apple ASM 必备条件、设置助手和管理任务的信息,请参阅 Apple 校园教务管理用户指南

  • 设置 Apple ASM 时,请使用与 Active Directory 的域名不同的域名。例如,请在 ASM 的域名中添加 appleid 之类的前缀。

  • 将 ASM 连接到您的名单数据时,ASM 将为教师和学生创建管理式 Apple ID。名单数据包括教师、学生和班级。有关将名册数据添加到 ASM 的信息,请参阅本列表前面链接的 Apple 校园教务管理用户指南。

  • 您可以自定义机构的托管 Apple ID 格式,如本列表前面链接的 Apple 校园教务管理用户指南中所述。

    重要:

    将 ASM 信息导入 Endpoint Management 之后,不要更改托管 Apple ID。

  • 如果您是通过经销商或运营商购买的设备,请将这些设备链接到 Apple ASM。有关信息,请参阅本列表前面链接的 Apple 校园教务管理用户指南。

将您的账户连接到 Endpoint Management

要将您的 Apple 商务管理或 Apple 校园教务管理帐户与 Endpoint Management 服务器部署关联起来,请执行以下步骤:

步骤 1:从 Endpoint Management 服务器下载公钥

  1. 在 Endpoint Management 控制台中,转到 设置 > Apple 部署计划

    Apple 部署计划设置屏幕

  2. 下载公钥下,单击下载

步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件

  1. 登录 Apple 商务管理Apple 校园教务管理 使用管理员或设备注册管理员帐户。
  2. 在边栏底部,单击 “ 设置 ”,然后单击 “设 备管理设置” > “添加 MDM 服务器”。

    Apple 部署计划设置屏幕

  3. MDM 服务器名称 设置中,键入 Endpoint Management 服务器的名称。键入的服务器名称仅供参考。它不是服务器的 URL 或名称。
  4. Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。上传从 Endpoint Management 下载的公钥,然后保存更改。
  5. 单击 Download Token(下载令牌)以将服务器令牌文件下载到您的计算机。

    将 ABM 或 ASM 帐户添加到 Endpoint Management 时,必须上传服务器令牌文件。导入令牌文件后,您的令牌信息将显示在 Endpoint Management 控制台中。

  6. Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关信息,请参阅 ABM 用户指南Apple 校园教务管理用户指南

步骤 3:将账户添加到 Endpoint Management

您可以将多个 ABM 或 ASM 账户添加到 Endpoint Management 中。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后,您将 ABM 或 ASM 帐户与不同的设备策略相关联。

例如,您可以将来自不同国家/地区的所有 ABM 或 ASM 账户集中在同一 Endpoint Management 服务器上,以导入和监督所有 ABM 或 ASM 设备。通过按部门、组织层次结构或其他结构自定义注册设置和设置助理选项,策略将在整个组织中提供合适的功能,用户将获得恰当的帮助。

  1. 在 Endpoint Management 控制台中,转至 “ 设置” > “Apple 部署计划 ”,然后在 “ 添加 Apple 部署计划帐户” 下单击 “ 添加”。

    Apple 部署计划设置屏幕

  2. 服务器令牌页面中,指定您的服务器令牌文件,然后单击上载

    Apple 部署计划设置屏幕

    此时将显示您的服务器令牌信息。

  3. 帐户信息页面中,指定以下设置:

    Apple 部署计划设置屏幕

    • Apple 部署计划帐户名称: 此 Apple 部署计划帐户的唯一名称。请使用反映您如何组织 Apple 部署计划帐户(例如按国家/地区或组织层次结构)的名称。
    • 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
    • 教育后缀: 用于 ASM 账户。键入分配给通过此帐户注册的设备的后缀。
  4. iOS 设置中,指定以下设置:

    Apple 部署计划设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 设备注册需要凭据: 是否要求用户在 ABM 和 ASM 设置期间输入凭据。Citrix 建议您要求所有用户在设备注册期间输入其凭据,从而仅允许授权用户注册设备。默认值为

      如果您在第一次安装之前启用 ABM 或 ASM,但未选择此选项,Endpoint Management 将创建 ABM 或 ASM 组件。此创建包括用户、Secure Hub、软件清单和部署组等组件。如果选择此选项,Endpoint Management 不会创建组件。因此,如果稍后清除此选项,尚未输入凭证的用户无法注册 ABM 或 ASM,因为这些组件不存在。要添加 ABM 或 ASM 组件,在这种情况下,请禁用并启用 ABM 或 ASM 帐户。

    • 等待配置完成设置: 是否要求用户的设备保持设置助手模式,直到所有 MDM 资源部署到设备。此设置适用于处于受监督模式的设备。默认值为
    • Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    设备设置:

    • 受监督模式: 您使用 Apple Configurator 管理已注册的设备或启用了 等待配置完成设置,则必须将设置为 “是”。默认值为。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 2 配置设备
    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
    • 允许设备配对: 是否可以通过 Apple Music 和 Apple Configurator 管理已注册的设备。默认值为

    监督身份

    如果使用 GroundControl 工具,则可以添加证书以执行以下操作:

    • 覆盖配对限制,以避免显示“信任此主机”提示。
    • 通过 USB 上报托管设备操作以执行配置文件安装等活动,而无需用户交互。这样做将允许 GroundControl 启用单应用程序模式和设备锁定以进行签出。
    • 还原到 ABM 或 ASM 设备的备份。

    有关 GroundControl 的详细信息,请参阅 GroundControl Web 站点

  5. macOS 设置中,指定以下设置:

    Apple 部署计划帐户设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 等待配置完成设置: 如果 ,在将 MDM 资源密码部署到设备之前,macOS 设备不会在设置助手中继续执行。该部署在创建本地帐户之前进行。此设置适用于 macOS 10.11 及更高版本的设备。默认值为

    设备设置:

    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
  6. Apple TV 设置中,指定以下设置:

    • 要求注册设备: 阻止用户跳过注册过程。
    • 需要提供凭据才能完成设备注册: 注册过程中对凭据的质询。关闭此设置时,Apple TV 将注册为默认“设备注册计划用户”。
    • 等待完成配置设置: 设备在设置助理屏幕中等待,直至所有资源都部署完毕。
    • 受监督模式: 配置限制过程中向管理员提供更多功能。
    • 允许删除注册配置文件: 允许用户删除注册配置文件。
    • 允许设备配对: 允许通过 Apple 工具(例如 Apple App Store 和 Apple Configurator)管理通过设备注册计划注册的设备。

    Apple 部署计划帐户设置屏幕

  7. iOS 安装助手选项中,选择 iOS 安装助手在用户首次启动设备时跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在安装完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问权限的更多信息,请参阅 限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择设置时会发生什么情况。

    Apple 部署计划帐户设置屏幕

    • 位服务: 阻止用户在设备上设置定位服务。
    • Touch ID: 防止用户在 iOS 设备上设置 Touch ID 或面容 ID。
    • 密码锁定: 阻止用户为设备设置密码。如果不存在密码,用户将无法使用 Touch ID 或 Apple Pay。
    • 置为新设备或还原: 阻止用户将设置为新设备或通过 iCloud 或 Apple App Store 备份将设置为新设备。
    • 从 Android 移动: 阻止用户将数据从 Android 设备传输到 iOS 设备。仅当选择 “ 设置为新” 或 “还原 ”(即跳过该步骤)时,此选项才可用。
    • Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
    • 款和条件: 禁止用户阅读和接受使用设备的条款和条件。
    • Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除这些设置。
    • Siri: 阻止用户配置 Siri。
    • 应用程序分析: 防止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 阻止用户在 iOS 设备上设置显示分辨率(标准分辨率或缩放)。
    • True Tone: 防止用户设置四通道传感器以动态调整显示器的白平衡。
    • 主页按钮: 阻止用户设置反馈的主页按钮样式。
    • 新功能亮点: 防止用户看到显示 Apple 软件新功能信息的屏幕。
    • 隐私: 防止用户看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 阻止用户将 iOS 更新到最新版本。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 阻止用户启用 “屏幕使用时间”。适用于 iOS 12.0 及更高版本。
    • SIM 卡设置: 阻止用户设置蜂窝计划。适用于 iOS 12.0 及更高版本。
    • iMessage & FaceTime: 阻止用户启用 iMessage 和 FaceTime。适用于 iOS 12.0 及更高版本。
    • 外观: 阻止用户选择外观模式。适用于 iOS 13.0 及更高版本。
    • 欢迎: 阻止用户看到 “ 开始使 用” 屏幕。适用于 iOS 13.0 及更高版本。
    • 恢复已完成: 防止用户在安装过程中看到还原是否完成。对于 iOS 14.0 及更高版本。
    • 更新已完成: 防止用户在安装过程中看到软件更新是否完成。对于 iOS 14.0 及更高版本。

    该帐户显示在 “ 设置” > “Apple 部署计划” 中。

  8. macOS 安装助手选项中,选择 macOS 安装助手在用户首次启动设备时跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在安装完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问权限的更多信息,请参阅 限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择设置时会发生什么情况。

    Apple 部署计划帐户设置屏幕

    • 置为新设备或还原: 阻止用户将设置为新设备或时间机器备份或执行系统迁移。
    • 位服务: 阻止用户在设备上设置定位服务。对于 macOS 10.11 及更高版本。
    • Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
    • 款和条件: 禁止用户阅读和接受使用设备的条款和条件。
    • Siri: 阻止用户配置 Siri。对于 macOS 10.12 及更高版本。
    • FileVault: 使用 FileVault 加密启动磁盘。如果系统具有一个本地用户帐户并且该帐户已登录到 iCloud 时,Endpoint Management 才应用 FileVault 设置。

      可以使用 macOS FileVault 磁盘加密功能为系统卷的内容加密来保护系统卷 (https://support.apple.com/en-us/HT204837)。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。

    • 应用程序分析: 防止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 隐私: 防止用户看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
    • iCloud 分析: 阻止用户选择是否向苹果发送诊断 iCloud 数据。适用于 macOS 10.13 及更高版本。
    • iCloud 文档和桌面: 阻止用户设置 iCloud 桌面和文档。适用于 macOS 10.13 及更高版本。
    • 外观: 阻止用户选择外观模式。适用于 macOS 10.14 及更高版本。
    • 辅助功能: 防止用户自动听到 Voice Oover。仅当设备连接到以太网时才可用。对于 macOS 11 及更高版本。
    • 生物识别: 防止用户设置 Touch ID 和面容 ID。对于 macOS 10.12.4 及更高版本。
    • True Tone: 防止用户设置四通道传感器以动态调整显示器的白平衡。对于 macOS 10.13.6 及更高版本。
    • Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除 Apple ID生物识别 设置。
    • 屏幕时间: 阻止用户启用 “屏幕使用时间”。对于 macOS 10.15 及更高版本。

    • 本地帐户设置选项: 指定在设备上创建管理员帐户的设置。Endpoint Management 使用指定的信息创建账户。然后,用户使用该信息登录他们的 macOS 设备。

    重要:

    只有在 macOS 设 置页面上将 “ 等待配置完成设置 ” 设置为 “ ” 后,才能选择以标准用户身份创建主账 户。

    • 创建主帐户作为标准用户: Endpoint Management 创建具有标准权限的用户,而非授予此用户对设备的管理员权限。由于 macOS 需要管理员帐户,因此 Endpoint Management 首先创建一个管理员帐户,然后创建一个新的标准帐户并将其设置为主帐户。
    • 管理员全名: 键入系统为管理员帐户显示的名称。
    • 管理员短名称: 键入设备为主文件夹显示的名称和在 shell 中显示的名称。
    • 管理员密码: 键入管理员帐户的安全密码。
    • 在用户和组中显示管理员帐户: 如果清除此选项,则管理员帐 户不会显示在 macOS 设置的 “用户和组 ” 中。如果您以标准用户身份创建主账户,请启用此设置以隐藏 Endpoint Management 首先创建的管理员帐户。

    为了增强安全性,Endpoint Management 会检查是否每天轮换管理员帐户的密码。默认情况下,Endpoint Management 每 7 天轮换一次密码。要更改默认值,请更新 mac.dep.admin.passwd.rotate 服务器属性。有关详细信息,请参阅服务器属性

    为了提高密码强度和安全性,Endpoint Management 按如下方式生成密码:

    • 长 12 个字符
    • 3 个大写字母
    • 3 个小写字母
    • 3 个数字
    • 3 个特殊字符: ! \@ \# \$ % \^ \* ? + = -

    要查看设备的先前密码、当前密码和密码更改状态,请转到 管理 > 设备。单击该设备,单击 显示更多,然后查看 设备详细信息 > 常规 页面。“安 ” 部分显示以下内容:

    • 前的管理员密码: 允许您查看以前的密码。Endpoint Management 仅显示最后一个密码。单击 显示密码 以查看密码。
    • 当前管理员密码: 用于查看当前密码。
    • 更改管理员密码: 用于查看密码更改状态。可能会显示以下信息,具体取决于实际状态:
      • 已在请求更改密码<specific time value>。
      • 密码已在更改<specific time value>。
      • 尝试更改密码失败<specific time value>。
      • 密码尚未更改。
  9. Apple TV 设置助手选项中,选择您的用户在首次启动其设备时跳过的 Apple TV 设置助手步骤。所有项目的默认设置为未选中。保存更改。

    Apple 部署计划设置配置屏幕

  10. 该帐户显示在 “ 设置” > “Apple 部署计划” 中。要测试 Endpoint Management 与 Apple 之间的连接,请选择该帐户并单击测试连接

    Apple 部署计划设置屏幕

    此时将显示一条状态消息。

    Apple 部署计划设置屏幕

启用了订单部署计划的设备

可以直接从 Apple 或启用了部署计划的授权经销商或运营商处订购启用了部署计划的设备。要从 Apple 订购,请在 Apple 部署计划门户中提供您的 Apple 客户 ID。Apple 可以通过您的客户 ID 将您购买的设备与您的 Apple 部署计划帐户关联。

要从经销商或运营商处订购,请联系 Apple 经销商或运营商,确认其是否加入了 Apple 部署计划。购买设备时,请要求提供经销商的 Apple 部署计划 ID。您将您的 Apple 部署计划经销商添加到您的 Apple 部署计划帐户时,Apple 要求提供此信息。添加经销商的 Apple 部署计划 ID 后,您将收到部署计划客户 ID。请向经销商提供部署计划客户 ID,经销商将使用该 ID 将您购买的设备的相关信息提交给 Apple。有关详细信息,请参阅Apple 使用设备注册站点

管理启用了部署程序的设备

订单发货后,您可以将 iOS、iPadOS、macOS 和 tvOS 设备与 Endpoint Management 服务器关联起来。

  1. 使用管理员或设备注册管理员帐户登录 Apple 商务管理
  2. 在边栏中,单击设备。直接从 Apple 购买的设备会自动显示。要将 Apple Configurator 2 中的设备分配给 Apple 商务管理,请参阅 Apple 商务管理用户指南
  3. 在列表中,选择一个设备或设备总数,然后单击编辑设备管理。您有两种选择:
    • 要将设备分配给 MDM 服务器,请在 分配给服务器下,选择 Endpoint Management 服务器的名称。单击继续

      要将新设备批量分配给 Apple 商务管理,请设置默认的 Endpoint Management 服务器以进行部署。有关详细信息,请参阅为批量注册设置默认服务器

    • 要从 Endpoint Management 服务器中取消分配设备,请选择 取消分配

您的 Apple 部署计划设备现在已与选定的 Endpoint Management 服务器关联。

如果使用 iOS、iPadOS 或 macOS 设备提供服务,则需要从 Apple 商务管理中删除该设备。收回服务设备后,必须将设备重新分配给 Endpoint Management 服务器。更换设备时,可以使用订单号将新设备分配给 Endpoint Management 服务器。

要查看已分配的设备的历史记录,请执行以下操作:

  1. 使用管理员或设备注册管理员帐户登录 Apple 商务管理
  2. 在边栏中,单击分配历史记录。然后选择一个分配以查看更多信息。
  3. 单击下载以下载 CSV 文件,其中包含所有已分配和未分配的设备的序列号。

如果 iOS、iPadOS、macOS 和 tvOS 设备已售出、被盗或无法修复,则可以从 Apple 商务管理中删除设备。

  1. 使用管理员或设备注册管理员帐户登录 Apple 商务管理
  2. 在边栏中,单击设备并搜索设备。
  3. 选择设备,然后单击 Release Device(释放设备)。在对话框中,确认您为从程序中删除设备所做的更改。要将 iOS、iPadOS 和 tvOS 设备添加回来,请使用 Apple Configurator 2。您无法使用 Apple Configurator 2 添加 macOS 设备。
通过 Apple 部署计划部署设备