与 Apple 教育功能相集成

在使用 Apple 教育功能的环境中,可以使用 Endpoint Management 作为您的移动设备管理 (MDM) 解决方案。Endpoint Management 支持包括 Apple School Manager 和适用于 iPad 的教室应用程序。Endpoint Management 教育配置设备策略配置教师和学生的设备以供 Apple 教育功能使用。

您负责向教师和学生提供预配置并且受监督的 iPad。该配置包括 Endpoint Management 中的 Apple 校园教务管理 DEP 注册、配置了新密码的管理式 Apple ID 帐户以及必需的 VPP 应用程序和 iBooks。

以下视频提供了您对 Apple 校园教务管理和 Endpoint Management 所做更改的快速浏览。

视频图标

下面是 Endpoint Management 对 Apple 教育功能的支持的几点重要事项。

Apple 校园教务管理

Apple 校园教务管理是一项服务,通过该服务,您可以设置、部署和管理教育机构使用的 iOS 设备和 macOS 便携式计算机。Apple 校园教务管理包括一个基于 Web 的门户,在该门户中,IT 管理员可以执行以下操作:

  • 向不同的 MDM 服务器分配 DEP 设备。

  • 购买适用于各种应用程序和 iBooks 的 VPP 许可证

  • 批量创建管理式 Apple ID。这些自定义的 Apple ID 提供对各项 Apple 服务的访问权限,例如在 iCloud Drive 中存储文档以及在 iTunes 课程中注册。

Apple 校园教务管理的类型为教育 DEP。Endpoint Management 同时支持 Business DEP 和 Apple 校园教务管理注册。

可以向 Endpoint Management 中添加多个 Apple 校园教务管理 DEP 帐户。例如,借助此功能,您可以按教育单位或部门使用不同的注册设置和设置助手选项。然后将 DEP 帐户与不同的设备策略相关联。

向 Endpoint Management 控制台中添加 Apple 校园教务管理 DEP 帐户后,Endpoint Management 将检索班级和名单信息。在设备设置过程中, Endpoint Management:

  • 注册设备。

  • 安装您为部署配置的资源,例如设备策略(教育配置、主屏幕布局等)。此外,还将安装通过 VPP 购买的应用程序和 iBooks。

您随后向教师和学生提供预配置的设备。如果设备丢失或被盗,可以使用 MDM 丢失模式功能锁定和定位设备。

适用于 iPad 的“课堂”应用程序

通过适用于 iPad 的“课堂”应用程序,教师可以连接到学生的设备以及对其进行管理。可以查看设备屏幕、打开 iPad 上的应用程序、共享并打开 Web 链接以及在 Apple TV 上呈现学生的屏幕。

“课堂”应用程序在 App Store 中免费提供。将应用程序上载到 Endpoint Management 控制台。随后使用教育配置设备策略配置“课堂”应用程序(将该应用程序部署到教师的设备)。

有关 Apple 教育功能的详细信息,请参阅 Apple 教育站点和 Apple 教育部署指南

必备条件

  • Citrix Gateway

  • 在 MDM + MAM 模式下配置的 Endpoint Management。如果您已在 MDM+MAM 模式下配置 Endpoint Management,可以将其与 Apple 校园教务管理结合使用。

  • 安装了 iOS 9.3(最低版本)的 Apple iPad 第三代(最低版本)或 iPad Mini

注意:

Endpoint Management 不针对 LDAP 或 Active Directory 验证 Apple 校园教务管理用户帐户。但是,可以将 Endpoint Management 连接到 LDAP 或 Active Directory 以便管理与 Apple 校园教务管理教师或学生无关的用户和设备。例如,可以使用 Active Directory 将 Secure Mail 和 Secure Web 提供给其他 Apple 校园教务管理成员,例如 IT 管理员和经理。

由于 Apple 校园教务管理教师和学生都是本地用户,因此,不需要向其设备部署 Citrix Secure Hub。

包括 Citrix Gateway 身份验证的 MAM 注册不支持本地用户(仅支持 Active Directory 用户)。因此,Endpoint Management 仅向教师和学生设备部署必需的 VPP 应用程序和 iBooks。

共享 Ipad 的必备条件

  • 任意 iPad Pro、iPad 第五代、iPad Air 2 或更高版本以及 iPad mini 4 或更高版本
  • 至少 32 GB 存储空间
  • 受监督

配置 Apple School Manager 和 Endpoint Management

从 Apple 或 Apple 授权经销商或运营商处购买 iPad 后,请按照本节介绍的工作流程设置您的 Apple 校园教务管理帐户和设备。此工作流程包括您在 Apple 校园教务管理门户和 Endpoint Management 控制台中执行的步骤。

请按照这些说明为您在一对一模式(每个学生一个 iPad)下使用的任何 iPad 或教师 iPad(非共享)配置集成。要配置共享 Ipad, 请配置共享 Ipad参阅。

步骤 1:创建 Apple 校园教务管理帐户并完成设置助手

如果要从 Apple 部署计划升级,请参阅 Apple 支持文章 准备升级到 Apple 校园教务管理。要创建 Apple 校园教务管理帐户,请访问 https://school.apple.com/ 并按照说明进行注册。首次登录 Apple 校园教务管理时,设置助手将打开。

  • 有关 Apple 校园教务管理必备条件、设置助手和管理任务的信息,请参阅 Apple 校园教务管理帮助

  • 设置 Apple 校园教务管理时,请使用与 Active Directory 的域名不同的域名。例如,请在 Apple 校园教务管理的域名中添加 appleid 之类的前缀。

  • 将 Apple 校园教务管理连接到您的名单数据时,Apple 校园教务管理将为教师和学生创建管理式 Apple ID。名单数据包括教师、学生和班级。有关向 Apple 校园教务管理中添加名单数据的信息,请参阅 Apple 校园教务管理帮助中的“查找员工、学生和班级”下的文章。

  • 可以为您的机构自定义管理式 Apple ID 格式,如 Apple 校园教务管理帮助中的“管理式 Apple ID”下的文章所述。

    重要:

    将 Apple 校园教务管理信息导入到 Endpoint Management 之后,请勿更改管理式 Apple ID。

  • 如果您是通过经销商或运营商购买的设备,请将这些设备链接到 Apple 校园教务管理。有关信息,请参阅 Apple 校园教务管理帮助中的“管理设备”下的文章。

步骤 2:将 Endpoint Management 配置为 Apple 校园教务管理的 MDM 服务器并配置设备分配

Apple 校园教务管理门户包括 MDM 服务器选项卡。需要使用 Endpoint Management 中的公钥文件才能完成该设置。

  1. 将 Endpoint Management 的公钥下载到您的本地计算机:登录 Endpoint Management 控制台并转至设置 > Apple 设备注册计划(DEP)

    Apple DEP 设置屏幕示意图

  2. 下载公钥下,单击下载,然后保存 PEM 文件。

  3. 在 Apple 校园教务管理门户中,单击 MDM Servers(MDM 服务器)并键入 Endpoint Management 的名称。键入的服务器名称仅供参考,并不是服务器 URL 或名称。

  4. Upload your Public Key(上载您的公钥)下,单击 Upload File(上载文件)。

    Apple 校园教务管理门户图

  5. 上载您从 Endpoint Management 下载的服务器密钥,然后单击 Save(保存)。

  6. 生成服务器令牌:单击 Get Token(获取令牌),然后将服务器令牌文件下载到您的计算机。

    Apple 校园教务管理门户图

  7. 单击 Device Assignments(设备分配),选择设备的分配方式,然后提供所需的信息。有关信息,请参阅 Apple 校园教务管理帮助中的“管理设备”。

  8. Perform Action(执行操作)菜单中的 Choose Action(选择操作)下,单击 Assign to Server(分配给服务器)。然后,在 MDM Server(MDM 服务器)菜单中,单击服务器以管理设备,然后单击 Done(完成)。

步骤 3:向 Endpoint Management 中添加 Apple 校园教务管理帐户

  1. 在 Endpoint Management 控制台中,转至设置 > Apple 设备注册计划(DEP),然后在添加 DEP 帐户下,单击添加

    Apple DEP 设置屏幕示意图

  2. 服务器令牌页面中,单击上载,然后选择您从 Apple 校园教务管理门户下载的服务器令牌 (.p7m) 文件。此时将显示令牌信息。

    Apple DEP 设置屏幕示意图

    备注:

    • 组织 ID 为您的 DEP 的客户 ID。

    • Apple 校园教务管理帐户的组织类型教育组织版本v2

  3. 帐户信息页面中,指定以下设置。

    Apple DEP 设置屏幕示意图

    • DEP 帐户名称: 此 DEP 帐户的唯一名称。请使用反映您如何组织 DEP 帐户(例如按国家/地区或组织层次结构)的名称。

    • 业务/教育单位: 设备分配的教育单位或部门。此字段为必填字段。

    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。

    • 支持电话号码: 支持电话号码,用户在设置期间可以拨打此号码寻求帮助。此字段为必填字段。

    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。

    • 教育后缀: 为给定 Apple 校园教务管理 DEP 帐户对班级设置标志。(VPP 后缀标记给定 VPP 帐户的应用程序和 iBooks。)建议您为 Apple 校园教务管理 DEP 和 Apple 校园教务管理 VPP 帐户使用相同的后缀。

  4. 单击下一步。在 iOS 设置中,指定以下设置。

    Apple DEP 设置屏幕示意图

    • 注册设置

      • 要求设备注册: 要求用户注册其设备。请将此设置更改为

      • 需要提供凭据才能完成设备注册: 要求用户在 DEP 设置过程中输入其凭据。对于 Apple School Manager 与 Endpoint Management 的集成, 此设置为“是” , 默认情况下不能更改。Apple DEP 需要提供凭据才能进行设备注册。

      • 等待完成配置设置: 是否要求用户设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。对于 Apple 校园教务管理与 Endpoint Management 的集成,此设置默认为。根据 Apple 文档,当设备处于“设置助手”模式时,以下命令可能不起作用:

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • 设备设置

      • 受监督模式: 将 iOS 设备置于受监督模式。请勿更改默认值。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

      • 允许删除注册配置文件: 对于 Apple 校园教务管理集成,允许用户从设备中删除注册配置文件。请将此设置更改为

      • 允许设备配对: 对于 Apple 校园教务管理集成,允许设备配对以便您能够通过 iTunes 和 Apple Configurator 管理这些设备。请将此设置更改为

  5. iOS 设置助手选项中,选择用户在首次启动其设备时跳过的 iOS 设置助手步骤。默认情况下,设置助手包括所有步骤。请注意,从设置助手中删除步骤将简化用户体验。

    重要:

    Citrix 强烈建议您包括 Apple ID 以及条款和条件步骤。这些步骤将使教师和学生能够提供新的管理式 Apple ID 密码并接受必要的条款和条件。

    Apple DEP 设置屏幕示意图

    • 定位服务: 在设备上设置定位服务。

    • Touch ID: 在 iOS 设备上设置 Touch ID。

    • 通行码锁: 为设备创建通行码。

    • 设置为新对象或还原: 将设备设置为新设备或从 iCloud 或 iTunes 备份设置设备。

    • 从 Android 移动: 启用从 Android 设备向 iOS 设备传输数据。此选项仅在已选择设置为新对象或还原(即跳过此步骤)时可用。

    • Apple ID: 设置设备的 Apple ID 帐户。Citrix 建议您选中包括此步骤的复选框。

    • 条款和条件: 要求用户接受条款和条件才能使用设备。Citrix 建议您选中包括此步骤的复选框。

    • Apple Pay: 在 iOS 设备上设置 Apple Pay。

    • Siri: 是否在设备上使用 Siri。

    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。

    • 显示缩放: 在 iOS 设备上设置显示分辨率(标准或缩放)。

    • True Tone: 在 iOS 设备上设置 True Tone 显示。

    • 主页按钮: 设置“主页按钮”屏幕敏感度。

  6. DEP 帐户显示在设置 > Apple 设备注册计划(DEP) 上。要测试 Endpoint Management 与 Apple 校园教务管理帐户之间的连接,请选择该帐户并单击测试连接

    Apple DEP 设置屏幕示意图

    此时将显示一条状态消息。

    Apple DEP 设置屏幕示意图

    几分钟后,Apple 校园教务管理中的用户帐户将显示在管理 > 用户页面上。Endpoint Management 根据导入的每个用户的管理式 Apple ID 创建本地用户帐户。在以下示例中,用户帐户的自定义 Apple ID 的域名前缀为 appleid

    Apple DEP 设置屏幕示意图

要查找给定 Apple 校园教务管理 DEP 帐户的所有用户,请在每个用户搜索过滤器中键入帐户名称。

步骤 4:为 Apple 校园教务管理配置教育 VPP 帐户

在本节中,您将 Endpoint Management 指向用于为应用程序和 iBooks 购买 VPP 许可证的 VPP 帐户。

  1. 要为 Apple 校园教务管理配置教育 VPP 帐户,请按照 iOS 批量购买计划中的说明进行操作。“添加 VPP 帐户”屏幕要求您提供公司令牌。请直接从您的教育 VPP 帐户 https://volume.apps.apple.com/us/store 下载令牌并将其粘贴到添加 VPP 帐户屏幕中。

    “iOS 设置”屏幕示意图

    “iOS 设置”屏幕示意图

  2. 请等待几分钟时间,以便将 VPP 许可证导入到 Endpoint Management 中。

步骤 5:为 Apple 校园教务管理用户添加密码

添加 Apple 校园教务管理 DEP 帐户后,Endpoint Management 将从 Apple 校园教务管理中导入班级和用户。Endpoint Management 将班级视为本地组,并在控制台中使用术语“组”。如果某个班级在 Apple 校园教务管理中具有组名称,Endpoint Management 会将该组名称分配给班级。否则,Endpoint Management 将为组名称使用源系统 ID。Endpoint Management 不为班级名称使用课程名称,因为 Apple 校园教务管理中的课程名称不唯一。

Endpoint Management 使用管理式 Apple ID 创建用户类型为 ASM 的本地用户。这些用户属于本地用户,因为 Apple 校园教务管理创建的凭据与所有外部数据源都无关。因此,Endpoint Management 不使用目录服务器对这些新用户进行身份验证。

Apple 校园教务管理不向 Endpoint Management 发送临时用户密码。可以从 CSV 文件导入或手动添加这些密码。要导入临时用户密码,请执行以下操作:

  1. 获取 Apple 校园教务管理在创建管理式 Apple ID 临时密码时生成的 CSV 文件。

  2. 编辑 CSV 文件,将临时密码替换为用户在 Endpoint Management 中注册时提供的新密码。为实现这一目的,不对密码类型设置任何限制。

    CSV 文件中的条目格式如下所示: elizabethabeles@appleid.citrix.com,Elizabeth,Anne,Abeles,Citrix123!

    其中:

    用户: elizabethabeles@appleid.citrix.com

    名字: Elizabeth

    中间名: Anne

    姓氏: Abeles

    密码: Citrix123!

  3. 在 Endpoint Management 控制台中, 单击管理 > Users (管理用户)。此时将显示用户页面。

    下面的管理 > 用户屏幕示例显示了从 Apple 校园教务管理中导入的用户的列表。在用户列表中:

    • 用户名显示管理式 Apple ID。

    • 用户类型为 ASM,指示源自 Apple 校园教务管理的帐户。

    • 显示班级。

    “用户”屏幕示意图

  4. 单击导入本地用户。此时将显示导入预配文件对话框。

  5. 对于格式,请选择 ASM 用户,导航到您在步骤 2 中准备的 CSV 文件,然后单击导入

    “用户”屏幕示意图

  6. 要查看某个本地用户的属性,请选择该用户,然后单击编辑

    “用户”屏幕示意图

    除名称属性外,还将显示以下 Apple 校园教务管理属性:

    • ASM DEP 帐户名称: 您在 Endpoint Management 中为帐户提供的名称。

    • ASM 人员职称: “教师”、“学生”或“其他”。

    • ASM 人员的唯一 ID: 用户的唯一标识符。

    • ASM 源系统 ID: 贵组织为用户配置的标识符。

    • ASM 人员状态: 指定管理式 Apple ID 的状态为活动还是不活动。用户提供其管理式 Apple ID 帐户的新密码后,此状态将变为活动。

    • ASM 管理式 Apple ID: 管理式 Apple ID 可能包括您的机构名称和 appleid。例如,该 ID 可能类似于 johnappleseed@appleid.myschool.edu。Endpoint Management 需要使用管理式 Apple ID 进行身份验证。

    • ASM 学生年级: 学生的年级信息(教师不使用)。

    • ASM 通行码类型: 人员的密码策略:复杂(包含 8 个或更多数字和字母的非学生用密码)、four(4)(数字)或 six(6)(数字)。

    • ASM 数据源: 班级的数据源,例如 CSVSFTP

步骤 6:(可选)添加学生的照片

可以添加每个学生的照片。如果教师使用 Apple“课堂”应用程序,照片将在此应用程序中显示。

照片建议:

  • 分辨率:256 x 256 像素(在 2x 设备上建议 512 x 512 像素)

  • 格式:JPEG、PNG 或 TIFF

要添加照片,请转至管理 > 用户,选择某个用户,单击编辑,然后单击选择图像

“用户”屏幕示意图

步骤 7:规划和添加资源和交付组至 Endpoint Management

交付组指定要部署到各类别的用户的资源。例如,可以为教师和学生创建一个交付组。或者,可以创建多个交付组,以便您能够自定义发送给不同教师或学生的应用程序、媒体和策略。可以为每个班级创建一个或多个交付组。还可以为管理员(教育机构中的其他员工)创建一个或多个交付组。

部署到用户设备的资源包括设备策略、VPP 应用程序和 iBooks。

  • 设备策略:

    如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。请务必检查其他设备策略,以确定您希望如何配置和限制教师和学生的 iPad。

  • VPP 应用程序:

    Endpoint Management 要求您将 VPP 应用程序部署为教育用户的必需应用程序。Endpoint Management 不支持将此类 VPP 应用程序部署为可选。

    如果您使用 Apple“课堂”应用程序,请仅将其部署到教师的设备。

    部署要提供给教师或学生的任何其他应用程序。此解决方案不使用 Citrix Secure Hub 应用程序,因此,不需要为教师或学生部署。

  • VPP iBooks:

    Endpoint Management 连接到您的 Apple 校园教务管理 VPP 帐户后,您购买的 iBooks 将显示在 Endpoint Management 控制台的配置 > 媒体中。该页面上列出的 iBooks 可以添加到交付组中。Endpoint Management 仅支持将 iBooks 添加为所需介质。

为教师和学生规划资源和交付组后,可以在 Endpoint Management 控制台中创建这些项目。

  1. 创建要为教师或学生设备部署的任何设备策略。有关教育配置设备策略的信息,请参阅教育配置设备策略

    “教育配置策略”屏幕示意图

    有关设备策略的信息,请参阅设备策略以及各策略文章。

  2. 配置应用程序(配置 > 应用程序)和 iBooks(配置 > 媒体):

    • 默认情况下,Endpoint Management 在用户级别分配应用程序和 iBooks。首次部署过程中,教师和学生将收到一条提示注册参加 VPP 的提示。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其 VPP 应用程序和 iBooks。Citrix 建议您强制为新 VPP 用户部署应用程序和 iBooks。为此,请选择交付组并单击部署

      可以选择在设备级别分配应用程序(而非 iBooks)。为此,请将强制与设备建立许可证关联设置更改为。在设备级别分配应用程序时,用户不会收到加入 VPP 计划的邀请。

    “应用程序”配置屏幕示意图

    • 要仅为教师部署应用程序,请选择仅包括教师的交付组,或者使用以下部署规则:

       Deploy this resource by ASM DEP device type
       only
       Instructor
      

    “应用程序”配置屏幕示意图

  3. 可选。根据 Apple 校园教务管理用户属性创建操作。例如,您可能会创建在新应用程序安装时向学生设备发送通知的操作。或者,可以创建用户属性触发的操作,如以下示例中所示。

    “操作”配置屏幕示意图

    要创建操作,请转至配置 > 操作。有关配置操作的信息,请参阅自动化操作

  4. 配置 > 交付组中,为教师和学生创建交付组。选择从 Apple 校园教务管理中导入的班级。此外,请为教师和学生创建部署规则。

    例如,以下用户分配针对教师。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    “交付组”配置屏幕示意图

    以下用户分配针对学生。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Student
    

    “交付组”配置屏幕示意图

    还可以使用基于 Apple 校园教务管理 DEP 帐户名称的部署规则过滤交付组。

    “交付组”配置屏幕示意图

  5. 将资源分配给交付组。以下示例显示了交付组中包含的 iBook。

    “交付组”配置屏幕示意图

    以下示例显示了在您选择交付组并单击部署时显示的确认对话框。

    “交付组”配置屏幕示意图

    有关详细信息,请参阅部署资源中的“编辑交付组”和“部署到交付组”。

步骤 8:测试教师和学生的设备注册

可以通过以下方法之一注册设备:

  • 学校管理员可以使用您能够在 Endpoint Management 控制台中设置的用户密码注册教师和学生设备。因此,可以向用户提供设置了应用程序和媒体的设备。

  • 收到设备时,用户使用您向其提供的用户密码进行注册。注册完成后,Endpoint Management 将向设备发送设备策略、应用程序和媒体。

要测试注册,请使用链接到 Apple 校园教务管理的 DEP 设备。

  1. 如果设备未链接到 Apple 校园教务管理,请通过执行硬重置来擦除设备内容和设置。

  2. 将 Apple 校园教务管理 DEP 设备注册给教师。然后,将 Apple 校园教务管理 DEP 设备注册给学生。

  3. 管理 > 设备页面中,检查 Apple 校园教务管理 DEP 设备是否在仅 MDM 模式下注册。

    可以按 Apple 校园教务管理 DEP 设备状态过滤设备页面:已注册 ASM DEP教师学生

    “设备”配置屏幕示意图

  4. 要验证是否为每个设备正确部署了 MDM 资源,请执行以下操作:选择设备,单击编辑,然后检查各页面。

    “设备”配置屏幕示意图

步骤 9:分发设备

Apple 建议您举办活动,以便能够将设备分发给教师和学生。

如果未分发预注册的设备,还需要向这些用户提供以下各项内容:

  • 用于 DEP 注册的 Endpoint Management 密码

  • 管理式 Apple ID 的 Apple 校园教务管理临时密码。

首次用户体验如下所示。

  1. 用户在硬重置后首次启动其设备时,Endpoint Management 将在 DEP 注册屏幕中提示用户注册其设备。

  2. 用户提供其管理的 Apple ID 和 Endpoint Management 密码, 用于向 Endpoint Management 进行身份验证。

  3. 在 Apple ID 设置步骤中,设备将提示用户提供其管理式 Apple ID 和 Apple 校园教务管理的临时密码。这些项目将对 Apple 服务验证用户的身份。

  4. 设备提示用户为其管理式 Apple ID 创建密码,用于保护 iCloud 中的数据。

  5. 在设置助手结束时,Endpoint Management 将开始向设备中安装策略、应用程序和媒体。对于在用户级别分配的应用程序和 iBooks,设置助手将提示教师和学生注册参加 VPP。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其 VPP 应用程序和 iBooks。

配置共享 Ipad

课堂中的多个学生可以共享一个 iPad,学习一位或多位教师教授的不同学科。

您或教师注册共用的 iPad,然后将设备策略、应用程序和媒体部署到这些设备。之后,学生提供其托管 Apple ID 凭据以登录共用的 iPad。如果您以前为学生部署了“教育配置”策略,这些学生将不再以“其他用户”身份登录共享设备。

Endpoint Management 对共用的 iPad 使用两个通信通道:面向设备所有者(教师)的系统通道和面向当前常驻用户(学生)的用户通道。Endpoint Management 使用这些通道为 Apple 支持的资源发送恰当的 MDM 命令。

通过系统通道部署的资源如下:

  • 设备策略,例如教育配置、锁屏界面消息、最大常驻用户数和通行码锁宽限期
  • 基于设备的 VPP 应用程序

    Apple 不支持在共用的 iPad 上使用企业应用程序或基于用户的 VPP 应用程序。共用的 iPad 上安装的应用程序是设备的全局应用程序,不基于用户。

  • 基于用户的 VPP iBook

    Apple 支持在共用的 iPad 上分配基于用户的 VPP iBook。

通过用户通道部署的资源如下:

  • 设备策略:应用程序通知、主屏幕布局和限制

    Endpoint Management 当前仅支持通过用户通道部署这些设备策略。

配置设备策略时, 在策略设置配置文件作用域中指定部署通道。

“设备策略”配置屏幕图

要删除通过用户通道部署的设备策略,请务必为“配置文件删除”策略选择部署范围用户

常规工作流程

通常情况下,您负责向教师提供预配置并且受监督的共用的 iPad。教师之后将这些身份分发给学生。如果您未向教师分发预先注册的共用的 iPad:请务必向教师提供其 Endpoint Management 服务器密码,以便能够注册其设备。

配置和注册共用的 iPad 的常规工作流程如下。

  1. 在启用了共享模式的情况下,使用 Endpoint Management 服务器控制台添加 ASM DEP 帐户(设置 > Apple 设备注册计划(DEP))。有关详细信息,请参阅接下来的“为共用的 iPad 管理 ASM DEP 帐户”。
  2. 如本部分内容中所述,请向 Endpoint Management 中添加所需的设备策略、应用程序和媒体。将这些资源分配给交付组。
  3. 请教师在共用的 iPad 上执行硬重置。此时将显示面向 DEP 注册的“远程管理”屏幕。
  4. 教师注册共用的 iPad。 Endpoint Management 将所配置的资源部署到每个已注册的共用的 iPad。自动重新启动后,教师可以与学生共享这些设备。此时 iPad 上将显示登录页面。
  5. 学生选择班级,然后输入其托管 Apple ID 和临时 Apple School Manager (ASM) 密码。 共用的 iPad 对 ASM 进行身份验证,并提示学生创建 ASM 密码。对于下次登录共用的 iPad,学生将提供新 ASM 密码。
  6. 正在共用的 iPad 的另一个学生之后可以通过重复上述步骤进行登录。

为共用的 iPad 管理 ASM DEP 帐户

如果已将 Endpoint Management 与 Apple 教育功能结合使用:您有在 Endpoint Management 中为未共享的设备(例如教师使用的设备)配置的现有 ASM DEP 帐户。可以同时为共享和非共享设备使用相同的 ASM 和相同的 Endpoint Management 服务器。

Endpoint Management 支持以下部署场景:

  • 每个班级一组共用的 iPad

    在此场景中,您将共用的 iPad 分配给一个班级的学生。iPad 留在课堂中。在该班级中教授不同学科的教师使用一组相同的 iPad。

  • 每个教师一组共用的 iPad

    在此场景中,您将共用的 iPad 分配给教师,教师为教授的各个班级使用这些 iPad。

将共用的 iPad 组织整理到设备组中

ASM 允许您通过创建多个 MDM 服务器将设备组织整理到多个组中。将共用的 iPad 分配给 MDM 服务器时,请按班级或按教师为每个共用的 iPad 创建一个设备组:

  • 共用的 iPad 组 1 > 设备组 1 MDM 服务器
  • 共用的 iPad 组 2 > 设备组 2 MDM 服务器
  • 共用的 iPad 组 N > 设备组 N MDM 服务器

为每个设备组添加 ASM DEP 帐户

从 Endpoint Management 服务器控制台创建多个 ASM DEP 帐户时,您将自动导入多个共用的 iPad 组(每个班级或教师一个组):

  • 设备组 1 MDM 服务器 > 设备组 1 DEP 帐户
  • 设备组 2 MDM 服务器 > 设备组 2 DEP 帐户
  • 设备组 N MDM 服务器 > 设备组 N DEP 帐户

共用的 iPad 的特定要求如下:

  • 每个设备组一个 ASM DEP 帐户,并启用以下设置:
    • 要求注册设备
    • 受监督模式
    • 共享模式
  • 对于指定的教育机构,请务必为所有 ASM DEP 帐户使用相同的教育后缀

要添加 DEP 帐户,请转至设置 > Apple 设备注册计划(DEP)

Apple DEP 设置配置屏幕示意图

共用的 iPad 的应用程序

共用的 iPad 支持分配基于设备的 VPP 应用程序。在共用的 iPad 上部署应用程序之前,Endpoint Management 将向 Apple VPP 服务器发送一个请求以将 VPP 许可证分配到设备。要检查 VPP 分配,请转至配置 > 应用程序 > iPad 并展开批量购买计划

共用的 iPad 的媒体

共用的 iPad 支持分配基于用户的 VPP iBook。在共用的 iPad 上部署 iBooks 之前,Endpoint Management 将向 Apple VPP 服务器发送一个请求以将 VPP 许可证分配给学生。要检查 VPP 分配,请转至配置 > 媒体 > iPad 并展开批量购买计划

“媒体”配置屏幕图

共用的 iPad 的部署规则

对于共用的 iPad 部署,在交付组级别的规则不适用,应为这些规则与用户属性有关。要为每个设备组过滤策略、应用程序和媒体,请执行以下操作:根据 DEP 帐户名称为资源添加部署规则。例如:

  • 对于设备组 1 DEP 帐户,请设置此部署规则:

  DEP account name
  Only
  Device Group 1 DEP account

  • 对于设备组 2 DEP 帐户,请设置此部署规则:

  DEP account name
  Only
  Device Group 2 DEP account

  • 对于设备组 N DEP 帐户,请设置此部署规则:

  DEP account name
  Only
  Device Group N DEP account

“设备策略”配置屏幕图

要仅对教师(使用非共用的 iPad)部署 Apple 课堂应用程序,请按 ASM DEP 共享状态通过以下部署规则过滤资源:


Deploy this resource regarding ASM DEP shared mode
only
unshared

或:


Deploy this resource regarding ASM DEP shared mode
except
shareable

“应用程序”配置屏幕示意图

共用的 iPad 的交付组

对于每个教师的每个设备组:

  • 配置一个交付组。对于教师,请分配“教育配置”策略定义的所有班级。

“交付组”配置屏幕示意图

  • 该交付组必须包括以下 MDM 资源:
    • 设备策略:
      • 教育配置
      • 锁屏界面消息
      • 应用程序通知
      • 主屏幕布局
      • 限制
      • 最大常驻用户数
      • 通行码锁宽限期
    • 必需的 VPP 应用程序
    • 必需的 VPP iBook

“交付组”配置屏幕示意图

共用的 iPad 的安全操作

除现有安全操作外,可以对共用的 iPad 使用以下安全操作:

  • 获取常驻用户: 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
  • 注销常驻用户: 强制注销当前用户。
  • 删除常驻用户: 删除特定用户的当前会话。该用户可以重新登录。

“安全操作”屏幕图

单击删除常驻用户后,可以指定用户名。

“安全操作”屏幕图

安全操作的结果在管理 > 设备 > 常规管理 > 设备 > 交付组页面上显示。

获取与共用的 iPad 有关的信息

请在管理 > 设备页面上查找共用的 iPad 特有的信息:

  • 请查找:
    • 设备是否共享(ASM DEP 共享
    • 登录到共用设备的用户(已登录 ASM 的用户
    • 分配给共用设备的所有用户(ASM 常驻用户

“设备”配置屏幕示意图

  • 请按 ASM DEP 设备状态过滤设备列表:

“设备”配置屏幕示意图

  • 管理 > 设备 > 已登录用户的属性页面上查看与登录到共用的 iPad 的用户有关的详细信息。

“设备”配置屏幕示意图

“设备”配置屏幕示意图

  • 管理 > 设备 > 交付组页面上查看用于向交付组中的教师和用户部署资源的通道。通道/用户列显示类型(系统用户)和收件人(教师或学生)。

“设备”配置屏幕示意图

  • 获取与常驻用户有关的信息:
    • 有要同步的数据: 用户是否具有要同步到云的数据。
    • 数据配额: 为用户设置的数据配额,单位为字节。如果用户配额暂时关闭或不强制对用户实施,配额可能不会显示。
    • 已使用的数据: 用户使用的数据量,单位为字节。如果系统收集信息过程中出现错误,值可能不会显示。
    • 已登录: 用户是否已登录设备。

“设备”配置屏幕示意图

  • 查看两个通道的推送状态。

“设备”配置屏幕示意图

管理教师、学生和班级数据

管理教师、学生和班级数据时,请注意以下事项:

  • 将 Apple 校园教务管理信息导入到 Endpoint Management 之后,请勿更改管理式 Apple ID。Endpoint Management 还使用 Apple 校园教务管理用户标识符来识别用户。

  • 如果您在创建一个或多个“教育配置”设备策略后在 Apple School Manager 中添加或更改了班级数据,请编辑策略,然后重新部署这些策略。

  • 如果班级的教师在您部署教育配置设备策略后发生了变化,请检查策略以确保其在 Endpoint Management 控制台进行了更新,然后重新部署该策略。

  • 如果您在 Apple 校园教务管理门户中更新了用户属性,Endpoint Management 还将在控制台中更新这些属性。但是,Endpoint Management 不通过与接收其他属性相同的方式接收 ASM 人员职务属性,即“教师”、“学生”或“其他”。因此,如果您在 Apple 校园教务管理中更改了 ASM 人员职务,请完成以下步骤以在 Endpoint Management 中反映该更改。

要管理数据,请执行以下操作:

  1. 在 Apple 校园教务管理门户中,更新学生年级并清除教师年级。

  2. 如果您将学生帐户更改为教师帐户,请将该用户从班级中的学生列表中删除。然后,将该用户添加到同一班级或其他班级中的教师列表中。

    如果您将教师帐户更改为学生帐户,请将该用户从班级中删除。然后,将该用户添加到同一班级或其他班级中的学生列表中。您的更新将在下次同步时在 Endpoint Management 控制台中显示(默认时间间隔为每隔 5 分钟)或提取(默认时间间隔为每隔 24 小时) 。

  3. 编辑教育配置设备策略以应用更改并重新部署。

    • 如果您从 Apple 校园教务管理门户中删除了某个用户,Endpoint Management 也将在提取后从 Endpoint Management 控制台中删除该用户。

      可以通过更改以下服务器属性值来缩短两个基线之间的时间间隔:bulk.enrollment.fetchRosterInfoDelay(默认值为 1440 分钟)。

    • 部署资源后:如果学生加入了某个班级,请创建仅包含该学生的交付组,并为该学生部署资源。

    • 如果某个学生或教师丢失了临时密码,请其联系 Apple 校园教务管理管理员。管理员可以提供临时密码或生成一个新密码。

管理在 Apple 校园教务管理 DEP 中注册的丢失或被盗设备

Apple 的“查找我的 iPhone/iPad”服务包括激活锁功能。激活锁可防止未授权的用户使用或转售在 DEP 中注册的丢失或被盗设备。

Endpoint Management 包括 ASM DEP 激活锁安全操作,该操作允许您向注册了 Apple 校园教务管理 DEP 的设备发送锁定代码。

使用 ASM DEP 激活锁安全操作时,Endpoint Management 不需要用户启用“查找我的 iPhone/iPad”服务即可定位设备。Apple 校园教务管理设备被硬重置或完全擦除后,用户需要提供其管理式 Apple ID 和密码才能解锁该设备。

要从控制台中释放锁定,请单击安全操作激活锁绕过。有关绕过激活锁的信息,请参阅绕过 iOS 激活锁。用户还可以将登录保留为空,并键入 ASM DEP 激活锁绕过码作为密码。该信息在属性选项卡上的设备详细信息中提供。

要设置激活锁,请转至管理 > 设备,选择设备,单击安全性,然后单击 ASM DEP 激活锁

“设备”配置屏幕示意图

属性 ASM DEP 托管密钥ASM DEP 激活锁绕过码显示在设备详细信息中。

“设备”配置屏幕示意图

ASM DEP 激活锁的 RBAC 权限为设备 > 启用 ASM DEP/绕过激活锁

RBAC 配置屏幕示意图