Citrix Endpoint Management

与 Apple 教育功能相集成

在使用 Apple 教育功能的环境中,可以使用 Endpoint Management 作为您的移动设备管理 (MDM) 解决方案。Endpoint Management 支持包括 Apple 校园教务管理 (ASM) 和面向 iPad 的课堂应用程序。Endpoint Management 的教育配置设备策略配置教师和学生的设备以供 Apple 教育功能使用。

您负责向教师和学生提供预配置并且受监督的 iPad。该配置包括 Endpoint Management 中的 ASM 注册、配置了新密码的管理式 Apple ID 帐户以及必需的批量购买应用程序和 iBooks。

有关 Apple 教育功能的详细信息,请参阅 Apple 教育 站点和来自同一站点的 Apple《教育部署指南》。

Apple 校园教务管理

请按照以下常规步骤将 Endpoint Management 与 ASM 集成。

  1. 在 ASM 中为您的机构创建一个账户,以便在 ASM 中注册您的机构。
  2. 为 Apple 校园教务管理配置教育批量购买帐户。
  3. 为 Apple 校园教务管理用户添加密码。
  4. 规划资源和交付组并将其添加到 Endpoint Management 中。
  5. 测试教师和学生设备注册情况。
  6. 向教师和学生提供预配置的设备。
  7. 管理教师、学生和班级数据
  8. 如果设备丢失或被盗,您可以锁定并找到设备。

有关注册 ASM 以及将账户连接到 Endpoint Management 的信息,请参阅 通过 Apple 部署计划部署设备

必备条件

  • Citrix Gateway

  • 为 MDM+MAM 配置的注册配置文件。

  • 安装了 iOS 9.3(最低版本)的 Apple iPad 第三代(最低版本)或 iPad Mini

注意:

Endpoint Management 不会根据 LDAP 或 Active Directory 验证 ASM 用户帐户。但是,可以将 Endpoint Management 连接到 LDAP 或 Active Directory 以便管理与 ASM 教师或学生无关的用户和设备。例如,可以使用 Active Directory 将 Secure Mail 和 Secure Web 提供给其他 Apple ASM 成员,例如 IT 管理员和经理。

由于 Apple ASM 教师和学生都是本地用户,因此,不需要向其设备部署 Citrix Secure Hub。

包括 Citrix Gateway 身份验证的 MAM 注册不支持本地用户(仅限 Active Directory 用户)。因此,Endpoint Management 仅向教师和学生设备部署必需的批量购买应用程序和 iBooks。

适用于 iPad 的“课堂”应用程序

通过适用于 iPad 的“课堂”应用程序,教师可以连接到学生的设备以及对其进行管理。可以查看设备屏幕、打开 iPad 上的应用程序、共享并打开 Web 链接以及在 Apple TV 上呈现学生的屏幕。

“课堂”应用程序在 App Store 中免费提供。您将应用程序上载到 Endpoint Management 控制台。随后使用教育配置设备策略配置“课堂”应用程序(将该应用程序部署到教师的设备)。

有关如何部署课堂应用程序的更多信息,请参阅 分发 Apple 应用程序

有关课堂应用程序要求、设置和功能的更多信息,请参阅 Apple 支持网站 课堂用户指南 上的。

为 Apple 校园教务管理用户添加密码

添加 ASM 帐户后,Endpoint Management 将从 ASM 导入类和用户。Endpoint Management 将班级视为本地组,并在控制台中使用术语“组”。如果某个班级在 ASM 中具有组名称,Endpoint Management 会将该组名称分配给班级。否则,Endpoint Management 将为组名称使用源系统 ID。Endpoint Management 不使用课程名称作为班级名称,因为 ASM 中的课程名称并不唯一。

Endpoint Management 使用管理式 Apple ID 创建用户类型为 ASM 的本地用户。这些用户属于本地用户,因为 ASM 创建的凭据与所有外部数据源都无关。因此,Endpoint Management 不会使用目录服务器对这些新用户进行身份验证。

ASM 不会向 Endpoint Management 发送临时用户密码。可以从 CSV 文件导入或手动添加这些密码。要导入临时用户密码,请执行以下操作:

  1. 获取 ASM 在创建管理式 Apple ID 临时密码时生成的 CSV 文件。

  2. 编辑 CSV 文件,将临时密码替换为用户在 Endpoint Management 中注册时提供的新密码。为实现这一目的,不对密码类型设置任何限制。

    CSV 文件中的条目格式如下所示: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    其中:

    用户:user@appleid.citrix.com

    名字: Firstname

    中间名: Middle

    姓氏: Lastname

    密码:Password123!

  3. 在 Endpoint Management 控制台中,单击 管理 > 用户。此时将显示用户页面。

    以下 “ 管理” > “用户 ” 屏幕示例显示了从 ASM 导入的用户的列表。在用户列表中:

    • 用户名显示管理式 Apple ID。

    • 用户类型为 ASM,指示源自 ASM 的帐户。

    • 显示班级。

    用户屏幕

  4. 单击导入本地用户。此时将显示导入预配文件对话框。

  5. 对于格式,请选择 ASM 用户,导航到您在步骤 2 中准备的 CSV 文件,然后单击导入

    用户屏幕

  6. 要查看某个本地用户的属性,请选择该用户,然后单击编辑

    用户屏幕

    除名称属性外,还可以使用以下 ASM 属性:

    • ASM 数据源: 班级的数据源,例如 CSVSFTP
    • ASM 管理式 Apple ID: 管理式 Apple ID 可能包括您的机构名称和 appleid。例如,该 ID 可能类似于 johnappleseed@appleid.myschool.edu。Endpoint Management 需要使用管理式 Apple ID 进行身份验证。
    • ASM 组织名称: 您在 Endpoint Management 中为帐户指定的名称。
    • ASM 通行码类型: 人员的密码策略:复杂(包含 8 个或更多数字和字母的非学生用密码)、four(4)(数字)或 six(6)(数字)。
    • ASM 人员的唯一 ID: 用户的标识符。
    • ASM 人员状态: 指定管理式 Apple ID 的状态为活动还是不活动。用户提供其管理式 Apple ID 帐户的新密码后,此状态将变为活动。
    • ASM 人员职称: “教师”、“学生”或“其他”。
    • ASM 人员的唯一 ID: 用户的唯一标识符。
    • ASM 源系统 ID: 系统源的标识符。
    • ASM 学生年级: 学生的年级信息(教师不使用)。

规划资源和交付组并将其添加到 Endpoint Management

交付组指定要部署到各类别的用户的资源。例如,可以为教师和学生创建一个交付组。或者,可以创建多个交付组,以便您能够自定义发送给不同教师或学生的应用程序、媒体和策略。可以为每个班级创建一个或多个交付组。还可以为管理员(教育机构中的其他员工)创建一个或多个交付组。

部署到用户设备的资源包括设备策略、批量购买应用程序和 iBooks。

  • 设备策略:

    如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。请务必检查其他设备策略,以确定您希望如何配置和限制教师和学生的 iPad。

  • 批量购买应用程序:

    Endpoint Management 要求您将批量购买应用程序部署为教育用户的必需应用程序。Endpoint Management 不支持部署此类批量购买应用程序作为可选项。

    如果您使用 Apple“课堂”应用程序,请仅将其部署到教师的设备。

    部署要提供给教师或学生的任何其他应用程序。此解决方案不使用 Citrix Secure Hub 应用程序,因此无需将其部署给教师或学生。

  • 批量购买 iBooks:

    Endpoint Management 连接到 ASM 账户后,您购买的 iBooks 将显示在 Endpoint Management 控制台的 配置 > 媒体中。该页面上列出的 iBooks 可以添加到交付组中。Endpoint Management 仅支持将 iBooks 添加为所需媒体。

为教师和学生规划资源和交付组后,可以在 Endpoint Management 控制台中创建这些项目。

  1. 创建要为教师或学生设备部署的任何设备策略。有关教育配置设备策略的信息,请参阅教育配置设备策略

    “教育配置策略”屏幕

    有关设备策略的信息,请参阅设备策略以及各策略文章。

  2. 配置应用程序(配置 > 应用程序)和 iBooks(配置 > 媒体):

    • 默认情况下,Endpoint Management 在用户级别分配应用程序和 iBooks。首次部署过程中,教师和学生将收到一条提示注册参加 ASM 的提示。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其 ASM 应用程序和 iBooks。Citrix 建议您强制为新 ASM 用户部署应用程序和 iBooks。为此,请选择交付组并单击部署

      可以选择在设备级别分配应用程序(而非 iBooks)。为此,请将强制与设备建立许可证关联设置更改为。在设备级别分配应用时,用户不会收到加入批量购买计划的邀请。

    “应用程序配置”屏幕

    • 要仅为教师部署应用程序,请选择仅包括教师的交付组,或者使用以下部署规则:

       Deploy this resource by ASM device type
       only
       Instructor
      

    “应用程序配置”屏幕

  3. 可选。根据 ASM 用户属性创建操作。例如,您可能会创建在新应用程序安装时向学生设备发送通知的操作。或者,可以创建用户属性触发的操作,如以下示例中所示。

    “操作”配置屏幕

    要创建操作,请转到 配置 > 操作。有关配置操作的信息,请参阅自动化操作

  4. 配置 > 交付组中,为教师和学生创建交付组。选择从 ASM 中导入的班级。此外,请为教师和学生创建部署规则。

    例如,以下用户分配针对教师。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    “交付组”配置屏幕

    以下用户分配针对学生。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Student
    

    “交付组”配置屏幕

    还可以使用基于 ASM 组织名称的部署规则过滤交付组。

    “交付组”配置屏幕

  5. 将资源分配给交付组。以下示例显示了交付组中包含的 iBook。

    “交付组”配置屏幕

    以下示例显示了在您选择交付组并单击部署时显示的确认对话框。

    “交付组”配置屏幕

    有关详细信息,请参阅部署资源中的“编辑交付组”和“部署到交付组”。

测试教师和学生设备注册

可以通过以下方法之一注册设备:

  • 学校管理员可以使用您能够在 Endpoint Management 控制台中设置的用户密码注册教师和学生设备。因此,可以向用户提供设置了应用程序和媒体的设备。

  • 收到设备时,用户使用您向其提供的用户密码进行注册。注册完成后,Endpoint Management 将向设备发送设备策略、应用程序和媒体。

要测试注册,请使用链接到 ASM 的 Apple 部署计划设备。

  1. 如果设备未链接到 ASM,请通过执行硬重置来清除设备内容和设置。

  2. 将 ASM 设备注册给教师。然后,将 ASM 设备注册给学生。

  3. 在 “ 管理” > “设备 ” 页面中,检查两个 ASM 设备是否仅在 MDM 中注册。

    可以按 ASM 设备状态过滤设备页面:已注册 ASM已共享 ASM教师学生

    设备配置屏幕

  4. 要验证是否为每个设备正确部署了 MDM 资源,请执行以下操作:选择设备,单击编辑,然后检查各页面。

    设备配置屏幕

分发设备

Apple 建议您举办活动,以便能够将设备分发给教师和学生。

如果您没有分发预注册的设备,还要向这些用户提供以下内容:

  • 用于注册的 Endpoint Management 密码

  • 管理式 Apple ID 的 ASM 临时密码。

首次用户体验如下所示。

  1. 用户在硬重置后首次启动其设备时,Endpoint Management 将在注册屏幕中提示用户注册其设备。

  2. 用户提供其管理式 Apple ID 和 Endpoint Management 密码,用于对 Endpoint Management 进行身份验证。

  3. 在 Apple ID 设置步骤中,设备将提示用户提供其管理式 Apple ID 和 ASM 的临时密码。这些项目将对 Apple 服务验证用户的身份。

  4. 设备提示用户为其管理式 Apple ID 创建密码,用于保护 iCloud 中的数据。

  5. 在设置助手结束时,Endpoint Management 将开始向设备中安装策略、应用程序和媒体。对于在用户级别分配的应用程序和 iBooks,设置助手将提示教师和学生注册参加批量购买。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其批量购买应用程序和 iBooks。

管理教师、学生和班级数据

管理教师、学生和班级数据时,请注意以下事项:

  • 将 ASM 信息导入 Endpoint Management 之后,不要更改托管 Apple ID。Endpoint Management 还使用 ASM 用户标识符来标识用户。

  • 如果您在创建一个或多个“教育配置”设备策略后在 ASM 中添加或更改了班级数据,请编辑策略,然后重新部署这些策略。

  • 如果班级的教师在您部署教育配置设备策略后发生了变化,请检查策略以确保其在 Endpoint Management 控制台进行了更新,然后重新部署该策略。

  • 如果您在 ASM 门户中更新了用户属性,Endpoint Management 还将在控制台中更新这些属性。但是,Endpoint Management 不会像接收其他属性那样接收 ASM 人员头衔属性(教师、学生或其他)。因此,如果您在 ASM 中更改了 ASM 人员职务,请完成以下步骤以在 Endpoint Management 中反映该更改。

要管理数据,请执行以下操作:

  1. 在 ASM 门户中,更新学生年级并清除教师年级。

  2. 如果您将学生帐户更改为教师帐户,请将该用户从班级中的学生列表中删除。然后,将该用户添加到同一班级或其他班级中的教师列表中。

    如果您将教师帐户更改为学生帐户,请将该用户从班级中删除。然后,将该用户添加到同一班级或其他班级中的学生列表中。您的更新将在下次同步时在 Endpoint Management 控制台中显示(默认时间间隔为每隔 5 分钟)或提取(默认时间间隔为每隔 24 小时) 。

  3. 编辑教育配置设备策略以应用更改并重新部署。

    • 如果从 ASM 门户中删除用户,Endpoint Management 还会在提取后从 Endpoint Management 控制台中删除该用户。

      可以通过更改以下服务器属性值来缩短两个基线之间的时间间隔:bulk.enrollment.fetchRosterInfoDelay(默认值为 1440 分钟)。

    • 部署资源后:如果学生加入了某个班级,请创建仅包含该学生的交付组,并为该学生部署资源。

    • 如果某个学生或教师丢失了临时密码,请其联系 ASM 管理员。管理员可以提供临时密码或生成一个新密码。

管理丢失或被盗的设备

Apple 的“查找我的 iPhone/iPad”服务包括激活锁功能。激活锁可防止未经授权的用户使用或转售已注册 Apple 部署计划的丢失或被盗设备。

Endpoint Management 包括 ASM 激活锁安全操作,使您能够将锁定代码发送到已注册 ASM Apple 部署计划的设备。

使用 ASM 激活锁安全操作时,Endpoint Management 不需要用户启用“查找我的 iPhone/iPad”服务即可定位设备。ASM 设备被硬重置或完全擦除后,用户需要提供其管理式 Apple ID 和密码才能解锁该设备。

要从控制台中释放锁定,请单击安全操作激活锁绕过。有关绕过激活锁的信息,请参阅绕过 iOS 激活锁。用户还可以将登录保留为空,并键入 ASM 激活锁绕过码作为密码。该信息在属性选项卡上的设备详细信息中提供。

要设置激活锁,请转到 管理 > 设备,选择设备,单击 安全性,然后单击 ASM 激活锁

设备配置屏幕

属性 ASM 托管密钥ASM 激活锁绕过码显示在设备详细信息中。

设备配置屏幕

RBAC 对 ASM 激活锁的权限是 “ 设备” > “启用 ASM 绕过激活锁”。

RBAC 配置屏幕