产品文档
Citrix Endpoint Management
查看 PDF

通过 Apple 部署计划部署设备

March 7, 2024
投稿者: 
C

Apple 部署计划 (ADP) 允许您自动在 Citrix Endpoint Management 中注册 Apple 设备,无需在用户拿到设备之前触摸或准备设备。用户解箱并激活设备后,设备会自动注册到 Citrix Endpoint Management 中,所有管理设置、应用程序和书籍都已准备就绪,可供用户使用。

这些 ADP 包括适用于企业组织的 Apple 商务管理 (ABM) 和适用于教育组织的 Apple 校园教务管理 (ASM)。ABM 和 ASM 适用于 iOS、iPadOS 和 macOS 设备。有关设备资格的详细信息,请参阅《Apple 商务管理用户指南》和《Apple 校园教管理用户指南》。

注意:

ABM 和 ASM 组合了 Apple 提供的先前的设备注册计划和批量购买计划。

本文将引导您完成 ABM 或 ASM 常规部署工作流程:

  1. 在 ABM 或 ASM 中注册
  2. 将您的 ABM 或 ASM 帐户连接到 Citrix Endpoint Management
  3. 订购设备
  4. 将设备分配给 Citrix Endpoint Management
  5. 批量购买内容并将其与 Citrix Endpoint Management 同步
  6. 配置设备策略和应用程序的部署规则
  7. 添加包含向其分配的用户和资源的交付组

完成此部署过程后,设备即准备好拆箱并激活,以执行自动设备注册。

必备条件

打开 Citrix Endpoint Management 和 Apple 之间连接所需的端口。有关详细信息,请参阅端口要求

在 ABM 或 ASM 中注册

要开始在 Apple 中部署设备,请在 ABM 或 ASM 中进行注册。

ABM 和 ASM 适用于组织,不适用于个人。您必须提供许多组织详细信息和信息才能创建帐户。可能需要一些时间才能完成帐户申请并收到帐户审批结果。

注册 ABM

要在 ABM 中注册,请转至 business.apple.com。单击立即注册申请新帐户。

最佳做法是为贵组织使用电子邮件地址,例如 deployment@company.com。注册过程可能需要几天时间。收到登录凭据后,请按照 ABM 中提供的步骤创建帐户。

注册 ASM

要创建 ASM 帐户,请转至 Apple 校园教务管理并按照说明进行注册。首次登录 ASM 时,设置助手将打开。

  • 有关 ASM 必备条件、设置助手和管理任务的信息,请参阅 Apple School Manager User Guide(《Apple 校园教务管理用户指南》)。

  • 设置 ASM 用户帐户时,请使用与 Active Directory 的域名不同的域名。例如,请在 ASM 的域名中添加 appleid 之类的前缀。

  • 将 ASM 连接到您的名单数据时,ASM 将为教师和学生创建管理式 Apple ID。名单数据包括教师、学生和班级。有关将名册数据添加到 ASM 的信息,请参阅本列表前面链接的 Apple 校园教务管理用户指南。

  • 您可以自定义机构的托管 Apple ID 格式,如本列表前面链接的 Apple 校园教务管理用户指南中所述。

    重要提示:

    将 ASM 信息导入 Citrix Endpoint Management 后,请勿更改 Managed Apple ID。

  • 如果您是通过经销商或运营商购买的设备,请将这些设备链接到 Apple ASM。有关信息,请参阅本列表前面链接的 Apple 校园管理用户指南。

将您的 ABM 或 ASM 帐户连接到 Citrix Endpoint Management

创建 ABM 或 ASM 帐户后,将其与 Citrix Endpoint Management 服务器部署相连接。

步骤 1:从 Citrix Endpoint Management 服务器下载公钥

  1. 在 Citrix Endpoint Management 控制台中,转至“设置”>“Apple 部署计划”

    Apple 部署计划设置屏幕

  2. 下载公钥下,单击下载

步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件

  1. 使用管理员或设备注册管理员帐户登录到 Apple 商务管理Apple 校园教务管理
  2. 在边栏底部,单击设置,然后单击设备管理设置 > 添加 MDM 服务器
  3. MDM 服务器名称 设置中,键入 Citrix Endpoint Management 服务器的名称。键入的服务器名称仅供参考。它不是服务器的 URL 或名称。
  4. Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。上载您从 Citrix Endpoint Management 下载的公钥,然后保存更改。

  5. 单击 Download Token(下载令牌)以将服务器令牌文件下载到您的计算机。

    将 ABM 或 ASM 帐户添加到 Citrix Endpoint Management 时,需要上载服务器令牌文件。导入令牌文件后,您的令牌信息会显示在 Citrix Endpoint Management 控制台中。

  6. Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关详细信息,请参阅《ABM 用户指南》或《Apple 校园教管理用户指南》。

步骤 3:将您的帐户添加到 Citrix Endpoint Management

您可以向 Citrix Endpoint Management 添加多个 ABM 或 ASM 帐户。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后,您将 ABM 或 ASM 帐户与不同的设备策略相关联。

例如,您可以将来自不同国家的所有 ABM 或 ASM 帐户集中到同一 Citrix Endpoint Management 服务器上,以导入和监督所有 ABM 或 ASM 设备。您首先按部门、组织层级结构或其他结构来自定义注册设置和设置助理选项。然后配置策略以在整个组织中提供合适的功能,并允许用户获得适当的帮助。

  1. 在 Citrix Endpoint Management 控制台中,转至“设置”>“Apple 部署计划”,然后在“添加 Apple 部署计划帐户”下单击“添加”。

    Apple 部署计划设置屏幕

  2. 服务器令牌页面中,指定您的服务器令牌文件,然后单击上载

    Apple 部署计划设置屏幕

    此时将显示您的服务器令牌信息。

  3. 帐户信息页面中,指定以下设置:

    Apple 部署计划设置屏幕

    • Apple 部署计划帐户名称: 此 ADP 帐户的唯一描述性名称,标识按国家/地区或组织层级结构等对象组织 ADP 帐户的方式。
    • 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
    • 教育后缀: 用于 ASM 帐户。键入分配给通过此帐户注册的设备的后缀。

  4. iOS 设置中,指定以下设置:

    Apple 部署计划设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为

    • 设备注册需要凭据: 是否要求用户在 ABM 和 ASM 设置期间输入凭据。我们建议您要求所有用户在设备注册期间输入其凭据,仅允许授权用户注册设备。默认值为

      当您在首次设置之前启用 ABM 或 ASM 但未选择此选项时,Citrix Endpoint Management 会创建 ABM 或 ASM 组件。此创建包括用户、Citrix Secure Hub、软件清单和部署组等组件。如果您选择此选项,则 Citrix Endpoint Management 不会创建组件。因此,如果稍后清除此选项,尚未输入凭据的用户无法注册 ABM 或 ASM,因为这些组件不存在。在这种情况下,要添加 ABM 或 ASM 组件,在这种情况下,请禁用并启用 ABM 或 ASM 帐户。

    • 使用 Citrix 身份提供程序注册: 是否使用 Citrix 身份提供程序进行注册。此设置仅适用于 ABM 帐户。如果设置为 ,启用 ADP 的 iOS 设备只能使用 Citrix 身份提供程序进行注册。默认值为

      要打开该设置,必须首先将 Citrix 身份提供程序配置为身份提供程序。转到 设置 > 身份提供程序 (IDP),单击 添加,然后选择 Citrix 身份提供程序

      如果此设置为“”,请注意以下注意事项:

      • 您无法在 设置 > 身份提供程序 (IDP) 页面上删除相应的 Citrix 身份提供程序 配置。
      • 编辑相应的 Citrix 身份提供程序配置时,无法切换到其他身份提供程序。
    • 等待完成配置设置: 是否要求用户的设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。此设置适用于处于受监督模式的设备。默认值为
    • Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    设备设置:

    • 受监督模式: 如果要使用 Apple Configurator 管理注册的设备或启用了等待完成配置设置,必须设置为。默认值为。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 2 部署设备
    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
    • 允许设备配对: 是否可以通过 Apple Music 和 Apple Configurator 管理已注册的设备。默认值为

    监督身份

    如果使用 GroundControl 工具,则可以添加证书以执行以下操作:

    • 覆盖配对限制,以避免显示“信任此主机”提示。
    • 通过 USB 上报托管设备操作以执行配置文件安装等活动,而无需用户交互。这样做将允许 GroundControl 启用单应用程序模式和设备锁定以进行签出。
    • 还原到 ABM 或 ASM 设备的备份。

    有关 GroundControl 的详细信息,请参阅 GroundControl Web 站点

  5. macOS 设置中,指定以下设置:

    Apple 部署计划帐户设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为

    • 使用 Citrix 身份提供程序注册: 是否使用 Citrix 身份提供程序进行注册。此设置仅适用于 ABM 帐户。如果设置为 ,启用 ADP 的 macOS 设备只能使用 Citrix 身份提供程序进行注册。默认值为

      要打开该设置,必须首先将 Citrix 身份提供程序配置为身份提供程序。转到 设置 > 身份提供程序 (IDP),单击 添加,然后选择 Citrix 身份提供程序

      如果此设置为“”,请注意以下注意事项:

      • 您无法在 设置 > 身份提供程序 (IDP) 页面上删除相应的 Citrix 身份提供程序 配置。
      • 编辑相应的 Citrix 身份提供程序配置时,无法切换到其他身份提供程序。
    • 等待完成配置设置: 如果选择,macOS 设备将不继续在“设置助理”下操作,直到将 MDM 资源通行码部署到设备。该部署在创建本地帐户之前进行。此设置适用于 macOS 10.11 及更高版本的设备。默认值为

    设备设置:

    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为

  6. Apple TV 设置中,指定以下设置:

    • 要求注册设备: 阻止用户跳过注册过程。
    • 需要提供凭据才能完成设备注册: 注册过程中对凭据的质询。关闭此设置时,Apple TV 将注册为默认“设备注册计划用户”。
    • 等待完成配置设置: 设备在设置助理屏幕中等待,直至所有资源都部署完毕。
    • 受监督模式: 配置限制过程中向管理员提供更多功能。
    • 允许删除注册配置文件: 允许用户删除注册配置文件。
    • 允许设备配对: 允许通过 Apple 工具(例如 Apple App Store 和 Apple Configurator)管理通过设备注册计划注册的设备。

    Apple 部署计划帐户设置屏幕

  7. iOS 安装助手选项中,选择 iOS 安装助手在用户首次启动设备时跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在安装完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择设置时会发生什么情况。

    Apple 部署计划帐户设置屏幕

    • 定位服务: 阻止用户在设备上设置定位服务。
    • Touch ID: 防止用户在 iOS 设备上设置 Touch ID 或面容 ID。
    • 密码锁定: 阻止用户为设备设置密码。如果不存在密码,用户将无法使用 Touch ID 或 Apple Pay。
    • 置为新设备或还原: 阻止用户将设置为新设备或通过 iCloud 或 Apple App Store 备份将设置为新设备。
    • 从 Android 移动: 阻止用户将数据从 Android 设备传输到 iOS 设备。仅当选择“设置为新”或“还原”(即跳过该步骤)时,此选项才可用。
    • Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
    • 款和条件: 禁止用户阅读和接受使用设备的条款和条件。
    • Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除这些设置。
    • Siri: 阻止用户配置 Siri。
    • 应用程序分析: 防止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 阻止用户在 iOS 设备上设置显示分辨率(标准分辨率或缩放)。
    • True Tone: 防止用户设置四通道传感器以动态调整显示器的白平衡。
    • 主页按钮: 阻止用户设置反馈的主页按钮样式。
    • 新功能亮点: 防止用户看到显示 Apple 软件新功能信息的屏幕。
    • 隐私: 防止用户看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 阻止用户将 iOS 更新到最新版本。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 阻止用户启用“屏幕使用时间”。适用于 iOS 12.0 及更高版本。
    • SIM 卡设置: 阻止用户设置蜂窝计划。适用于 iOS 12.0 及更高版本。
    • iMessage & FaceTime: 阻止用户启用 iMessage 和 FaceTime。适用于 iOS 12.0 及更高版本。
    • 外观: 阻止用户选择外观模式。适用于 iOS 13.0 及更高版本。
    • 欢迎: 阻止用户看到“开始使 用”屏幕。适用于 iOS 13.0 及更高版本。
    • 恢复已完成: 防止用户在安装过程中看到还原是否完成。适用于 iOS 14.0 及更高版本。
    • 更新已完成: 防止用户在安装过程中看到软件更新是否完成。适用于 iOS 14.0 及更高版本。
    • 应用商店: 阻止用户设置应用商店。适用于 iOS 11.1 及更高版本。

    该帐户显示在设置 > Apple 部署计划上。

  8. macOS 安装助手选项中,选择 macOS 安装助手在用户首次启动设备时跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在安装完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择设置时会发生什么情况。

    Apple 部署计划帐户设置屏幕

    • 置为新设备或还原: 阻止用户将设置为新设备或时间机器备份或执行系统迁移。
    • 定位服务: 阻止用户在设备上设置定位服务。对于 macOS 10.11 及更高版本。
    • Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
    • 款和条件: 禁止用户阅读和接受使用设备的条款和条件。
    • Siri: 阻止用户配置 Siri。对于 macOS 10.12 及更高版本。

    • FileVault: 使用 FileVault 加密启动磁盘。只有当系统只有一个本地用户帐户并且该帐户已登录 iCloud 时,Citrix Endpoint Management 才会应用 FileVault 设置。

      可以使用 macOS FileVault 磁盘加密功能通过加密系统卷的内容 (https://support.apple.com/en-us/HT204837) 来保护系统卷。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。

    • 应用程序分析: 防止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 隐私: 防止用户看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
    • iCloud 分析: 阻止用户选择是否向 Apple 发送诊断 iCloud 数据。适用于 macOS 10.13 及更高版本。
    • iCloud 文档和桌面: 阻止用户设置 iCloud 桌面和文档。适用于 macOS 10.13 及更高版本。
    • 外观: 阻止用户选择外观模式。适用于 macOS 10.14 及更高版本。
    • 辅助功能: 防止用户自动听到 Voice Oover。仅当设备连接到以太网时才可用。对于 macOS 11 及更高版本。
    • 生物识别: 防止用户设置 Touch ID 和面容 ID。适用于 macOS 10.12.4 及更高版本。
    • True Tone: 防止用户设置四通道传感器以动态调整显示器的白平衡。对于 macOS 10.13.6 及更高版本。
    • Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除 Apple ID生物特征识别设置。
    • 屏幕时间: 阻止用户启用“屏幕使用时间”。适用于 macOS 10.15 及更高版本。
    • 应用商店: 阻止用户设置应用商店。适用于 macOS 11.1 及更高版本。

    • 使用 Apple Watch 解锁: 防止用户使用 Apple Watch 解锁 Mac。适用于 macOS 12 及更高版本。

    • 本地帐户设置选项: 指定在设备上创建帐户的设置。Citrix Endpoint Management 首先使用您在此处指定的信息创建本地管理员帐户。用户激活其设备时,将创建一个用户帐户作为主帐户。创建主帐户作为标准用户选项决定主帐户是否具有管理员权限。

    重要提示:

    只能在 macOS 设置页面上将等待完成配置设置设置为后,才能选择创建主帐户作为标准用户

    • 以标准用户身份创建主帐户: 选择后,Citrix Endpoint Management 会创建具有标准权限的用户,而不是向用户授予设备管理员权限。如果要向用户授予对设备的管理员权限,请跳过此选项。默认情况下,未选择此选项。
    • 管理员全名: 键入系统为管理员帐户显示的名称。
    • 管理员短名称: 键入设备为主文件夹显示的名称和在 shell 中显示的名称。
    • 管理员密码: 键入管理员帐户的安全密码。
    • 显示用户和组中的管理员帐户: 如果清除此选项,管理员帐户不会显示在 macOS 设置中的用户和组中。如果您以标准用户身份创建主帐户,请启用此设置以隐藏 Citrix Endpoint Management 首次创建的管理员帐户。

    为了增强安全性,Citrix Endpoint Management 会检查是否每天轮换管理员帐户的密码。默认情况下,Citrix Endpoint Management 每 7 天轮换一次密码。要更改默认值,请更新 mac.dep.admin.passwd.rotate 服务器属性。有关详细信息,请参阅服务器属性

    为了提高密码强度和安全性,Citrix Endpoint Management 按如下方式生成密码:

    • 长 12 个字符
    • 3 个大写字母
    • 3 个小写字母
    • 3 个数字
    • 3 个特殊字符: ! \@ \# \$ % \^ \* ? + = -

    要查看设备的先前密码、当前密码和密码更改状态,请转到 管理 > 设备。单击该设备,单击 显示更多,然后查看 设备详细信息 > 常规 页面。“安 ”部分显示以下内容:

    • 前的管理员密码: 允许您查看以前的密码。Citrix Endpoint Management 仅显示最后一个密码。单击 显示密码 以查看密码。
    • 当前管理员密码: 用于查看当前密码。
    • 更改管理员密码: 用于查看密码更改状态。可能会显示以下信息,具体取决于实际状态:
      • 已在请求更改密码<specific time value>。
      • 密码已在更改<specific time value>。
      • 尝试更改密码失败<specific time value>。
      • 密码尚未更改。

  9. Apple TV 设置助手选项中,选择您的用户在首次启动其设备时跳过的 Apple TV 设置助手步骤。所有项目的默认设置为未选中。保存更改。

    Apple 部署计划设置配置屏幕

  10. 该帐户显示在设置 > Apple 部署计划上。 要测试 Citrix Endpoint Management 与 Apple 之间的连接,请选择该帐户并单击“测试连接”。

    Apple 部署计划设置屏幕

    此时将显示一条状态消息。

    Apple 部署计划设置屏幕

订购设备

可以直接从以下渠道订购设备:

  • Apple。向卖方提供 Apple 客户编号。
  • 参与的 Apple 授权经销商或运营商。向卖方提供您的组织 ID,并获取其经销商 ID。

有关管理设备供应商的信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。

订单发货后,您购买的 Apple 设备将添加到您的 ABM 或 ASM 帐户中。

将设备分配给 Citrix Endpoint Management

在 ABM 或 ASM 门户中,搜索订单号并使用它按此顺序将设备分配给您的 Citrix Endpoint Management。也可以使用 Apple Configurator 2 将 iPhone、iPad、iPod touch 和 Apple TV 设备添加到 ABM 或 ASM 中,而无论设备是从何处购买的。

有关详细信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。

批量购买内容并将其同步到 Citrix Endpoint Management

ABM 和 ASM 允许您从单个组织帐户批量购买、分发和管理应用程序和书籍的许可证。要使您的 Citrix Endpoint Management 能够与 ABM 或 ASM 进行通信以获取要分发的许可信息,请完成以下步骤:

  1. 在 ABM 或 ASM 门户中,从应用程序和图书中购买公共应用程序和图书,并从定制应用程序中购买为您的 Citrix Endpoint Management 开发的定制应用程序。

  2. 在 ABM 或 ASM 门户中,下载分配给您的 Citrix Endpoint Management 的内容令牌。

    有关步骤 1 和 2 的详细信息,请参阅《Apple 商务管理用户指南》或《Apple 校园教务管理用户指南》。

  3. 在 Citrix Endpoint Management 控制台中,根据您下载的内容令牌创建一个批量购买帐户。

    有关详细信息,请参阅通过 Apple 批量购买添加应用程序

    创建批量购买帐户后,您购买的应用程序和图书将显示在“管理”>“应用程序”中,分配给 Citrix Endpoint Management 服务器的设备显示在“管理”>“设备”中。

配置设备策略和应用程序的部署规则

配置设备策略和应用程序时,可以将 ABM 或 ASM 帐户与不同的设备策略和应用程序关联。

  1. 配置 > 设备策略配置 > 应用程序页面上,展开部署规则
  2. 为特定的 ABM 帐户或除所选帐户以外的所有 ABM 帐户指定策略或应用程序部署。

ABM 帐户的列表仅包括状态为已启用或已禁用的帐户。如果 ABM 帐户已禁用,ABM 设备将不属于该帐户。因此,Citrix Endpoint Management 不会将应用程序或策略部署到设备上。

在以下示例中,设备策略仅针对 ABM 帐户名称为“ABM Account NR”的设备进行部署。

Apple 设备计划设置屏幕

通过 Apple 部署计划部署设备
March 7, 2024
投稿者: 
C
March 7, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.