Citrix Endpoint Management

通过 Apple 部署计划部署设备

Apple 部署计划 (ADP) 允许您自动在 Endpoint Management 中注册 Apple 设备,而不需要在用户获取设备之前触摸或准备这些设备。用户拆箱并激活设备后,设备将自动在 Endpoint Management 中注册,并且所有管理设置、应用程序和书籍都可随时供用户使用。

这些 ADP 包括适用于企业组织的 Apple 商务管理 (ABM) 和适用于教育组织的 Apple 校园教务管理 (ASM)。ABM 和 ASM 适用于 iOS、iPadOS、macOS 和 tvOS 设备。有关设备资格的详细信息,请参阅《Apple 商务管理用户指南》和《Apple 校园教管理用户指南》。

注意:

ABM 和 ASM 组合了 Apple 提供的先前的设备注册计划和批量购买计划。

本文将引导您完成 ABM 或 ASM 常规部署工作流程:

  1. 在 ABM 或 ASM 中注册
  2. 将 ABM 或 ASM 帐户连接到 Endpoint Management
  3. 订购设备
  4. 将设备分配给 Endpoint Management
  5. 批量购买内容并将其与 Endpoint Management 同步
  6. 配置设备策略和应用程序的部署规则
  7. 添加包含向其分配的用户和资源的交付组

完成此部署过程后,设备即准备好拆箱并激活,以执行自动设备注册。

必备条件

打开所需的端口,以便在 Endpoint Management 和 Apple 之间建立连接。有关详细信息,请参阅端口要求

在 ABM 或 ASM 中注册

要开始在 Apple 中部署设备,请在 ABM 或 ASM 中进行注册。

ABM 和 ASM 适用于组织,不适用于个人。您必须提供许多组织详细信息和信息才能创建帐户。可能需要一些时间才能完成帐户申请并收到帐户审批结果。

注册 ABM

要在 ABM 中注册,请转至 business.apple.com。单击立即注册申请新帐户。

最佳做法是使用贵组织的电子邮件地址,例如 deployment@company.com。注册过程可能需要几天时间。收到登录凭据后,请按照 ABM 中提供的步骤创建帐户。

注册 ASM

要创建 Apple 校园教务管理帐户,请转至 Apple 校园教务管理并按照说明进行注册。首次登录 ASM 时,设置助手将打开。

  • 有关 ASM 必备条件、设置助手和管理任务的信息,请参阅 Apple School Manager User Guide(《Apple 校园教务管理用户指南》)。

  • 设置 ASM 用户帐户时,请使用与 Active Directory 的域名不同的域名。例如,请在 ASM 的域名中添加 appleid 之类的前缀。

  • 将 ASM 连接到您的名单数据时,ASM 将为教师和学生创建管理式 Apple ID。名单数据包括教师、学生和班级。有关向 ASM 添加名单数据的信息,请参阅此列表中前文链接的“Apple School Manager User Guide”(《Apple 校园教务管理用户指南》)。

  • 可以为您的机构自定义管理式 Apple ID 格式,如此列表中前文链接“Apple School Manager User Guide”(《Apple 校园教务管理用户指南》)中所述。

    重要:

    将 ASM 信息导入 Endpoint Management 后,请勿更改托管的 Apple ID。

  • 如果您是通过经销商或运营商购买的设备,请将这些设备链接到 Apple ASM。有关信息,请参阅此列表中前文链接的“Apple School Manager User Guide”(《Apple 校园教务管理用户指南》)。

将 ABM 或 ASM 帐户连接到 Endpoint Management

创建 ABM 或 ASM 帐户后,将其与 Endpoint Management 服务器部署相连接。

步骤 1:从 Endpoint Management 服务器下载公钥

  1. 在 Endpoint Management 控制台中,转至设置 > Apple 部署计划

    Apple 部署计划设置屏幕

  2. 下载公钥下,单击下载

步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件

  1. 使用管理员或设备注册管理员帐户登录到 Apple 商务管理Apple 校园教务管理
  2. 在边栏底部,单击设置,然后单击设备管理设置 > 添加 MDM 服务器
  3. MDM 服务器名称设置中,键入 Endpoint Management 服务器的名称。键入的服务器名称仅供参考。它不是服务器的 URL 或名称。
  4. Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。上载您从 Endpoint Management 下载的公钥,并保存所做的更改。
  5. 单击 Download Token(下载令牌)以将服务器令牌文件下载到您的计算机。

    将 ABM 或 ASM 帐户添加到 Endpoint Management 时,可以上载服务器令牌文件。导入令牌文件后,您的令牌信息将在 Endpoint Management 控制台中显示。

  6. Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关详细信息,请参阅《ABM 用户指南》或《Apple 校园教管理用户指南》。

步骤 3:将您的帐户添加到 Endpoint Management

可以将多个 ABM 或 ASM 帐户添加到 Endpoint Management。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后将 ABM 或 ASM 帐户与不同的设备策略相关联。

例如,可以将来自不同国家/地区的所有 ABM 或 ASM 帐户集中在同一 Endpoint Management 服务器上,以导入和监督所有 ABM 或 ASM 设备。您首先按部门、组织层级结构或其他结构来自定义注册设置和设置助理选项。然后配置策略以在整个组织中提供合适的功能,并允许用户获得适当的帮助。

  1. 在 Endpoint Management 控制台中,前往设置 > Apple 部署计划,然后在添加 Apple 部署计划帐户下,单击添加

    Apple 部署计划设置屏幕

  2. 服务器令牌页面中,指定您的服务器令牌文件,然后单击上载

    Apple 部署计划设置屏幕

    此时将显示您的服务器令牌信息。

  3. 帐户信息页面中,指定以下设置:

    Apple 部署计划设置屏幕

    • Apple 部署计划帐户名称: 此 ADP 帐户的唯一描述性名称,标识按国家/地区或组织层级结构等对象组织 ADP 帐户的方式。
    • 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
    • 教育后缀: 适用于 ASM 帐户。键入分配给通过此帐户注册的设备的后缀。
  4. iOS 设置中,指定以下设置:

    Apple 部署计划设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 需要提供凭据才能完成设备注册: ABM 和 ASM 设置过程中是否需要用户输入其凭据。我们建议您要求所有用户在设备注册期间输入其凭据,仅允许授权用户注册设备。默认值为

      如果您在首次设置之前启用 ABM 或 ASM 但不选择此选项,Endpoint Management 将创建 ABM 组件。此创建包括用户、Secure Hub、软件清单和部署组等组件。如果选择了此选项,Endpoint Management 将不创建这些组件。因此,如果您在以后清除此选项,则尚未输入其凭据的用户将无法在 ABM 或 ASM 中注册,因为这些组件不存在。在这种情况下,要添加 ABM 或 ASM 组件,在这种情况下,请禁用并启用 ABM 或 ASM 帐户。

    • 使用 Citrix 身份提供程序注册: 是否使用 Citrix 身份提供程序进行注册。此设置仅适用于 ABM 账户。如果设置为 ,启用 ADP 的 iOS 设备只能使用 Citrix 身份提供程序进行注册。默认值为

      要打开该设置,必须首先将 Citrix 身份提供程序配置为身份提供程序。转到 设置 > 身份提供程序 (IDP),单击 添加,然后选择 Citrix 身份提供程序

      如果此设置为 “ ”,请注意以下注意事项:

      • 您无法在 设置 > 身份提供程序 (IDP) 页面上删除相应的 Citrix 身份提供程序 配置。
      • 编辑相应的 Citrix 身份提供程序配置时,无法切换到其他身份提供程序。
    • 等待完成配置设置: 是否要求用户的设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。此设置适用于处于受监督模式的设备。默认值为
    • Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    设备设置:

    • 受监督模式: 如果要使用 Apple Configurator 管理注册的设备或启用了等待完成配置设置,必须设置为。默认值为。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 2 部署设备
    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
    • 允许设备配对: 您是否能够通过 Apple Music 和 Apple Configurator 管理已注册的设备。默认值为

    监督身份

    如果使用 GroundControl 工具,则可以添加证书以执行以下操作:

    • 覆盖配对限制,以避免显示“信任此主机”提示。
    • 通过 USB 上报托管设备操作以执行配置文件安装等活动,而无需用户交互。这样做将允许 GroundControl 启用单应用程序模式和设备锁定以进行签出。
    • 将备份还原到 ABM 或 ASM 设备。

    有关 GroundControl 的详细信息,请参阅 GroundControl Web 站点

  5. macOS 设置中,指定以下设置:

    Apple 部署计划帐户设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 使用 Citrix 身份提供程序注册: 是否使用 Citrix 身份提供程序进行注册。此设置仅适用于 ABM 账户。如果设置为 ,启用 ADP 的 macOS 设备只能使用 Citrix 身份提供程序进行注册。默认值为

      要打开该设置,必须首先将 Citrix 身份提供程序配置为身份提供程序。转到 设置 > 身份提供程序 (IDP),单击 添加,然后选择 Citrix 身份提供程序

      如果此设置为 “ ”,请注意以下注意事项:

      • 您无法在 设置 > 身份提供程序 (IDP) 页面上删除相应的 Citrix 身份提供程序 配置。
      • 编辑相应的 Citrix 身份提供程序配置时,无法切换到其他身份提供程序。
    • 等待完成配置设置: 如果选择,macOS 设备将不继续在“设置助理”下操作,直到将 MDM 资源通行码部署到设备。该部署在创建本地帐户之前进行。此设置适用于 macOS 10.11 及更高版本的设备。默认值为

    设备设置:

    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
  6. Apple TV 设置中,指定以下设置:

    • 要求注册设备: 阻止用户跳过注册过程。
    • 需要提供凭据才能完成设备注册: 注册过程中对凭据的质询。关闭此设置时,Apple TV 将注册为默认“设备注册计划用户”。
    • 等待完成配置设置: 设备在设置助理屏幕中等待,直至所有资源都部署完毕。
    • 受监督模式: 配置限制过程中向管理员提供更多功能。
    • 允许删除注册配置文件: 允许用户删除注册配置文件。
    • 允许设备配对: 允许通过 Apple 工具(例如 Apple App Store 和 Apple Configurator)管理通过设备注册计划注册的设备。

    Apple 部署计划帐户设置屏幕

  7. iOS 设置助手选项中,选择用户在首次启动其设备时 iOS 设置助手跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置已跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择某项设置时发生的情况。

    Apple 部署计划帐户设置屏幕

    • 定位服务: 阻止用户在设备上设置定位服务。
    • Touch ID: 阻止用户在 iOS 设备上设置 Touch ID 或面容 ID。
    • 通行码锁定: 阻止用户为设备设置通行码。如果不存在通行码,用户将无法使用 Touch ID 或 Apple Pay。
    • 设置为新设备或还原: 阻止用户将设备设置为新设备或从 iCloud 或 Apple App Store 备份还原。
    • 从 Android 移动: 阻止用户将数据从 Android 设备传输到 iOS 设备。此选项仅在已选择设置为新对象或还原时可用(即跳过相应步骤)。
    • Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
    • 条款和条件: 阻止用户阅读并接受条款和条件以使用设备。
    • Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。请确保清除这些设置。
    • Siri: 阻止用户配置 Siri。
    • 应用程序分析: 阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 阻止用户在 iOS 设备上设置显示分辨率(标准或缩放)。
    • 原彩: 阻止用户设置四通道传感器以动态调整显示器的白平衡。
    • 主页按钮: 阻止用户设置反馈的主页按钮样式。
    • 新功能亮点: 阻止用户看到显示 Apple 软件新增功能信息的屏幕。
    • 隐私: 阻止用户看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 阻止用户将 iOS 更新到最新版本。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 阻止用户启用屏幕时间。适用于 iOS 12.0 及更高版本。
    • SIM 设置: 阻止用户设置手机网络套餐。适用于 iOS 12.0 及更高版本。
    • iMessage 和 FaceTime: 阻止用户启用 iMessage 和 FaceTime。适用于 iOS 12.0 及更高版本。
    • 外观: 阻止用户选择外观模式。适用于 iOS 13.0 及更高版本。
    • 欢迎: 阻止用户看到入门屏幕。适用于 iOS 13.0 及更高版本。
    • 已完成还原: 阻止用户看到还原是否在设置过程中完成。适用于 iOS 14.0 及更高版本。
    • 已完成更新: 阻止用户看到软件更新是否在设置过程中完成。适用于 iOS 14.0 及更高版本。

    该帐户显示在设置 > Apple 部署计划上。

  8. macOS 设置助手选项中,选择用户在首次启动其设备时 macOS 设置助手跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置已跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择某项设置时发生的情况。

    Apple 部署计划帐户设置屏幕

    • 设置为新设备或还原: 阻止用户将设备设置为新设备或从“时间机器”备份还原或执行系统迁移。
    • 定位服务: 阻止用户在设备上设置定位服务。适用于 macOS 10.11 及更高版本。
    • Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
    • 条款和条件: 阻止用户阅读并接受条款和条件以使用设备。
    • Siri: 阻止用户配置 Siri。适用于 macOS 10.12 及更高版本。
    • FileVault: 使用 FileVault 加密启动磁盘。如果系统具有一个本地用户帐户并且该帐户已登录到 iCloud 时,Endpoint Management 才应用 FileVault 设置。

      可以使用 macOS FileVault 磁盘加密功能通过加密系统卷的内容 (https://support.apple.com/en-us/HT204837) 来保护系统卷。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。

    • 应用程序分析: 阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 隐私: 阻止用户看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
    • iCloud 分析: 阻止用户选择是否向 Apple 发送诊断 iCloud 数据。适用于 macOS 10.13 及更高版本。
    • iCloud 文档和桌面: 阻止用户设置 iCloud 桌面和文档。适用于 macOS 10.13 及更高版本。
    • 外观: 阻止用户选择外观模式。适用于 macOS 10.14 及更高版本。
    • 辅助功能: 阻止用户自动聆听旁白。仅在设备连接到以太网时可用。适用于 macOS 11 及更高版本。
    • 生物特征识别: 阻止用户设置 Touch ID 和面容 ID。适用于 macOS 10.12.4 及更高版本。
    • 原彩: 阻止用户设置四通道传感器以动态调整显示器的白平衡。适用于 macOS 10.13.6 及更高版本。
    • Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除 Apple ID生物特征识别设置。
    • 屏幕时间: 阻止用户启用屏幕时间。适用于 macOS 10.15 及更高版本。

    • 本地帐户设置选项: 指定在设备上创建帐户的设置。Endpoint Management 首先使用您在此处指定的信息创建本地管理员帐户。用户激活其设备时,将创建一个用户帐户作为主帐户。创建主帐户作为标准用户选项决定主帐户是否具有管理员权限。

    重要:

    只能在 macOS 设置页面上将等待完成配置设置设置为后,才能选择创建主帐户作为标准用户

    • 创建主帐户作为标准用户: 选中时,Endpoint Management 将创建具有标准权限的用户,而非授予用户对设备的管理员权限。如果要向用户授予对设备的管理员权限,请跳过此选项。默认不选择此选项。
    • 管理员全名: 键入系统为管理员帐户显示的名称。
    • 管理员短名称: 键入设备为主文件夹显示的名称和在 shell 中显示的名称。
    • 管理员密码: 键入管理员帐户的安全密码。
    • 显示用户和组中的管理员帐户: 如果清除此选项,管理员帐户不会显示在 macOS 设置中的用户和组中。如果您创建主帐户作为标准用户,请启用此设置以隐藏 Endpoint Management 首先创建的管理员帐户。

    为增强安全性,Endpoint Management 将检查是否每天轮转管理员帐户的密码。默认情况下,Endpoint Management 每 7 天轮转一次密码。要更改默认值,请更新 mac.dep.admin.passwd.rotate 服务器属性。有关详细信息,请参阅服务器属性

    为了增强密码强度和安全性,Endpoint Management 将按如下所示生成密码:

    • 长度为 12 个字符
    • 3 个大写字母
    • 3 个小写字母
    • 3 个数字
    • 3 个特殊字符:! \@ \# \$ % \^ \* ? + = -

    要查看设备的以前的密码、当前密码和密码更改状态,请转至管理 > 设置。单击该设备,单击显示更多,然后查看设备详细信息 > 常规页面。安全部分显示以下内容:

    • Previous administrator password(以前的管理员密码):允许您查看以前的密码。Endpoint Management 仅显示最后一个密码。单击显示密码以查看密码。
    • Current administrator password(当前的管理员密码):允许您查看当前的密码。
    • Change administrator password(更改管理员密码):允许您查看密码更改状态。可能会显示以下信息,具体取决于实际状态:
      • 请求在 更改密码。指定的时间值>
      • 密码已于 更改。指定的时间值>
      • 尝试在 更改密码失败。指定的时间值>
      • 密码尚未更改。
  9. Apple TV 设置助手选项中,选择您的用户在首次启动其设备时跳过的 Apple TV 设置助手步骤。所有项目的默认设置为未选中。保存更改。

    Apple 部署计划设置配置屏幕

  10. 该帐户显示在设置 > Apple 部署计划上。要测试 Endpoint Management 与 Apple 之间的连接,请选择该帐户并单击测试连接

    Apple 部署计划设置屏幕

    此时将显示一条状态消息。

    Apple 部署计划设置屏幕

订购设备

可以直接从以下渠道订购设备:

  • Apple。向卖方提供 Apple 客户编号。
  • 参与的 Apple 授权经销商或运营商。向卖方提供您的组织 ID,并获取其经销商 ID。

有关管理设备供应商的信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。

订单发货后,您购买的 Apple 设备将添加到您的 ABM 或 ASM 帐户中。

将设备分配给 Endpoint Management

在 ABM 或 ASM 门户中,搜索订单编号并使用该编号将此订单中的设备分配给 Endpoint Management。也可以使用 Apple Configurator 2 将 iPhone、iPad、iPod touch 和 Apple TV 设备添加到 ABM 或 ASM 中,而无论设备是从何处购买的。

有关详细信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。

批量购买内容,并将其同步到 Endpoint Management

ABM 和 ASM 允许您从单个组织帐户批量购买、分发和管理应用程序和书籍的许可证。为使 Endpoint Management 能够与 ABM 或 ASM 通信以获得要分发的许可证信息,请完成以下步骤:

  1. 在 ABM 或 ASM 门户中,从 Apps and Books(应用程序和书籍)中购买公共应用程序和书籍,从 Custom Apps(自定义应用程序)中购买针对 Endpoint Management 开发的自定义应用程序。

    注意:

    如果 Endpoint Management 与 Citrix Workspace 相集成,请购买 Workspace 应用程序,然后将其配置为 Endpoint Management 中的必需应用程序。

  2. 在 ABM 或 ASM 门户中,下载分配给 Endpoint Management 的内容令牌。

    有关步骤 1 和 2 的详细信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。

  3. 在 Endpoint Management 控制台中,根据您下载的内容令牌创建一个批量购买帐户。

    有关详细信息,请参阅通过 Apple 批量购买添加应用程序

    创建批量购买帐户后,您购买的应用程序和书籍将显示在管理 > 应用程序中,分配给 Endpoint Management 服务器的设备将显示在管理 > 设备中。

配置设备策略和应用程序的部署规则

配置设备策略和应用程序时,可以将 ABM 或 ASM 帐户与不同的设备策略和应用程序关联。

  1. 配置 > 设备策略配置 > 应用程序页面上,展开部署规则
  2. 为特定的 ABM 帐户或除所选帐户以外的所有 ABM 帐户指定策略或应用程序部署。

ABM 帐户的列表仅包括状态为已启用或已禁用的帐户。如果 ABM 帐户已禁用,ABM 设备将不属于该帐户。因此,Endpoint Management 不会将应用程序或策略部署到该设备。

在以下示例中,设备策略仅针对 ABM 帐户名称为“ABM Account NR”的设备进行部署。

Apple 设备计划设置屏幕