与 Apple 教育功能相集成

在使用 Apple 教育功能的环境中,可以使用 Endpoint Management 作为您的移动设备管理 (MDM) 解决方案。Endpoint Management 支持包括 Apple 校园教务管理 (ASM) 和面向 iPad 的课堂应用程序。Endpoint Management 教育配置设备策略配置教师和学生的设备以供 Apple 教育功能使用。

您负责向教师和学生提供预配置并且受监督的 iPad。该配置包括 Endpoint Management 中的 ASM 注册、配置了新密码的托管 Apple ID 帐户以及所需的批量购买应用程序和 iBooks。

以下视频提供了对 ASM 和 Endpoint Management 所做的更改的快速浏览。

视频图标

下面是 Endpoint Management 对 Apple 教育功能的支持的几点重要事项。

Apple 校园教务管理

ASM 是一项可让您设置、部署和管理教育机构中使用的 iOS 设备和 macOS 笔记本电脑的服务。ASM 包括一个基于 Web 的门户,让 IT 管理员:

  • 将 Apple 部署计划设备分配给不同的 MDM 服务器。

  • 购买应用程序和 iBooks 的批量购买许可证

  • 批量创建管理式 Apple ID。这些自定义的 Apple ID 提供对各项 Apple 服务的访问权限,例如在 iCloud Drive 中存储文档以及在 Apple App Store 课程中注册。

您可以将多个 ASM 帐户添加到 Endpoint Management。例如,借助此功能,您可以按教育单位或部门使用不同的注册设置和设置助手选项。然后,您可以将 ASM 帐户与不同的设备策略关联起来。

将 ASM 帐户添加到 Endpoint Management 控制台后,Endpoint Management 会检索类和名册信息。在设备设置过程中,Endpoint Management:

  • 注册设备。
  • 安装您为部署配置的资源,例如设备策略(教育配置、主屏幕布局等)。
  • 同时安装通过批量购买购买的应用程序和 iBooks。

您随后向教师和学生提供预配置的设备。如果设备丢失或被盗,可以使用 MDM 丢失模式功能锁定和定位设备。

适用于 iPad 的“课堂”应用程序

通过适用于 iPad 的“课堂”应用程序,教师可以连接到学生的设备以及对其进行管理。可以查看设备屏幕、打开 iPad 上的应用程序、共享并打开 Web 链接以及在 Apple TV 上呈现学生的屏幕。

“课堂”应用程序在 App Store 中免费提供。将应用程序上载到 Endpoint Management 控制台。随后使用教育配置设备策略配置“课堂”应用程序(将该应用程序部署到教师的设备)。

有关 Apple 教育功能的详细信息,请参阅同一站点的 Apple 教育 网站和 Apple 教育部署指南。

必备条件

  • Citrix Gateway

  • 为 MDM+MAM 配置的注册配置文件。

  • 安装了 iOS 9.3(最低版本)的 Apple iPad 第三代(最低版本)或 iPad Mini

注意:

Endpoint Management 不会根据 LDAP 或 Active Directory 验证 ASM 用户帐户。但是,您可以将 Endpoint Management 连接到 LDAP 或 Active Directory,以管理与 ASM 教师或学生无关的用户和设备。例如,您可以使用 Active Directory 向其他 ASM 成员(例如 IT 管理员和管理员)提供 Secure Mail 和 Secure Web。

由于 ASM 教师和学生是本地用户,因此无需将 Citrix Secure Hub 部署到其设备上。

包括 Citrix Gateway 身份验证的 MAM 注册不支持本地用户(仅支持 Active Directory 用户)。因此,Endpoint Management 仅将所需的批量购买应用程序和 iBooks 部署到教师和学生设备。

共用的 iPad 的必备条件

  • 任意 iPad Pro、iPad 第五代、iPad Air 2 或更高版本以及 iPad mini 4 或更高版本
  • 至少 32 GB 存储空间
  • 受监督

配置 Apple 校园教务管理和 Endpoint Management

从 Apple 或 Apple 授权经销商或运营商处购买 iPad 后,请按照本节介绍的工作流程设置您的 ASM 帐户和设备。此工作流包括您在 ASM 门户和 Endpoint Management 控制台中执行的步骤。

请按照这些说明为您在一对一模式(每个学生一个 iPad)下使用的任何 iPad 或教师 iPad(非共享)配置集成。要配置共用的 iPad,请参阅配置共用的 iPad

步骤 1:创建 Apple 校园教务管理帐户并完成设置助手

如果您计划从 Apple 部署计划升级,请参阅 Apple 支持文章将您的机构升级到 ASM。要创建 ASM 帐户,请转到https://school.apple.com/ 并按照说明进行注册。首次登录 ASM 时,安装助手将打开。

  • 有关 ASM 先决条件、安装助手和管理任务的信息,请参阅Apple 校园教务管理用户指南

  • 设置 ASM 时,请使用与 Active Directory 的域名不同的域名。例如,在 ASM 的域名前添加类似 appleid 的内容。

  • 当您将 ASM 连接到您的名册数据时,ASM 会为教师和学生创建托管 Apple ID。名单数据包括教师、学生和班级。有关向 ASM 添加名册数据的信息,请参阅前面引用的 ASM 用户指南。

  • 您可以为您的机构自定义托管 Apple ID 格式,如前面引用的 ASM 用户指南中所述。

    重要:

    将 ASM 信息导入 Endpoint Management 后,请勿更改托管 Apple ID。

  • 如果您通过经销商或运营商购买了设备,请将这些设备链接到 ASM。有关信息,请参阅前面引用的 ASM 用户指南。

步骤 2:将 Endpoint Management 配置为 Apple 校园教务管理的 MDM 服务器并配置设备分配

ASM 门户包括 MDM 服务器选项卡。您需要来自 Endpoint Management 的公钥文件才能完成该设置。

  1. 将 Endpoint Management 的公钥下载到本地计算机:登录 Endpoint Management 控制台,然后转到“设置”>“Apple 部署程序”。

    Apple 部署程序设置屏幕

  2. 下载公钥下,单击下载,然后保存 PEM 文件。

  3. Apple 部署计划 门户中,单击“设置”,然后单击“设 备管理设置”。单击添加 MDM 服务器

    ASM 门户网站

  4. 键入 Endpoint Management 的名称。键入的服务器名称仅供参考,并不是服务器 URL 或名称。在 上载公钥下,单击 选择文件

    ASM 门户网站

  5. 上载您从 Endpoint Management 下载的服务器密钥,然后单击 Save(保存)。

  6. 生成服务器令牌:单击下载令牌,然后将服务器令牌文件下载到您的计算机。

    ASM 门户网站

  7. 默认设备分配下,单击更改。选择要分配设备的方式,然后提供请求的信息。有关信息,请参阅ASM 用户指南

步骤 3:向 Endpoint Management 中添加 Apple 校园教务管理帐户

  1. 在 Endpoint Management 控制台中,转到“设置”>“Apple 部署计划”,然后在“添加 Apple 部署计划帐户”下单击“添加”。

    Apple 部署程序设置屏幕

  2. 在“服务器 令牌”页面中,单击“上载”,然后选择您从 ASM 门户下载的服务器令牌 (.p7m) 文件。此时将显示令牌信息。

    Apple 部署程序设置屏幕

    注意:

    • 组织 ID 是 Apple 部署计划的客户 ID。

    • ASM 帐户的组织类型教育组织版本v2

  3. 帐户信息页面中,指定以下设置。

    Apple 部署程序设置屏幕

    • Apple 部署计划帐户名称: 此 Apple 部署计划帐户的唯一名称。使用反映您如何组织 Apple 部署计划帐户的名称,例如按国家/地区或组织层次结构。
    • 商务/教育单位: 设备分配的教育单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 用户可以在安装过程中寻求帮助的支持电话号码。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
    • 教育后缀: 标记给定 ASM 部署计划帐户的类。(批量购买后缀标记给定批量购买帐户的应用程序和 iBooks。) 建议对两个帐户、ASM 部署计划和 ASM 卷购买使用相同的后缀。
  4. 单击下一步。在 iOS 设置中,指定以下设置。

    Apple 设置屏幕

    • 注册设置

      • 要求设备注册: 要求用户注册其设备。请将此设置更改为
      • 设备注册需要凭据: 要求用户在 Apple 部署计划设置期间输入凭据。对于 ASM 与 Endpoint Management 集成,默认情况下此设置为,无法更改。Apple 部署计划需要设备注册凭据。
      • 等待完成配置设置: 是否要求用户设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。对于 ASM 与 Endpoint Management 集成,默认情况下此设置为。根据 Apple 文档,当设备处于“设置助手”模式时,以下命令可能不起作用:

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • 设备设置

      • 受监督模式: 将 iOS 设备置于受监督模式。请勿更改默认值。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

      • 共享模式: 在 iPad 上启用共享模式。不符合最低要求的设备无法共享。
      • 允许删除注册配置文件: 对于 ASM 集成,允许用户从设备中删除注册配置文件。请将此设置更改为
      • 允许设备配对: 对于 ASM 集成,允许设备配对,以便您可以通过 Apple App Store 和 Apple Configurator 来管理其。请将此设置更改为
  5. iOS 设置助手选项中,选择用户在首次启动其设备时跳过的 iOS 设置助手步骤。默认情况下,设置助手包括所有步骤。请注意,从设置助手中删除步骤将简化用户体验。

    重要:

    Citrix 强烈建议您包括 Apple ID 以及条款和条件步骤。这些步骤将使教师和学生能够提供新的管理式 Apple ID 密码并接受必要的条款和条件。

    Apple 部署程序设置屏幕

    • 定位服务: 在设备上设置定位服务。
    • Touch ID: 在 iOS 设备上设置 Touch ID。
    • 通行码锁: 为设备创建通行码。
    • 置为“新建”或“还原”: 将设备设置为新设备或从 iCloud 或 Apple App Store 备份中设置。
    • 从 Android 移动: 启用从 Android 设备向 iOS 设备传输数据。此选项仅在已选择设置为新对象或还原(即跳过此步骤)时可用。
    • Apple ID: 设置设备的 Apple ID 帐户。Citrix 建议您选中包括此步骤的复选框。
    • 条款和条件: 要求用户接受条款和条件才能使用设备。Citrix 建议您选中包括此步骤的复选框。
    • Apple Pay: 在 iOS 设备上设置 Apple Pay。
    • Siri: 是否在设备上使用 Siri。
    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 在 iOS 设备上设置显示分辨率(标准或缩放)。
    • True Tone: 在 iOS 设备上设置 True Tone 显示。
    • 主页按钮: 设置“主页按钮”屏幕敏感度。
    • 新增功能亮点: 在 iOS 11.0 设备(最低版本)上设置入门信息屏幕、从任意位置访问 Dock 以及在最近使用的应用程序之间切换。
    • 隐私: 防止用户在安装 Apple 部署计划设备期间看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 防止用户在安装 Apple 部署程序设备期间看到强制性软件更新屏幕。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 防止用户在安装 Apple 部署程序设备期间看到屏幕时间屏幕。适用于 iOS 12.0 及更高版本。
    • SIM 设置: 防止用户在安装 Apple 部署程序设备期间看到“添加手机网络计划”屏幕。适用于 iOS 12.0 及更高版本。
    • iMessage 和 FaceTime: 阻止用户在 Apple 部署计划设备设置过程中看到“iMessage 和 FaceTime”屏幕。适用于 iOS 12.0 及更高版本。
  6. 帐户显示在“设置”>“Apple 部署计划”上。要测试 Endpoint Management 与 ASM 帐户之间的连接性,请选择该帐户,然后单击 测试连接性

    Apple 部署程序设置屏幕

    此时将显示一条状态消息。

    Apple 部署程序设置屏幕

    几分钟后,来自 ASM 的用户帐户将显示在“管理”>“用户”页面上。Endpoint Management 根据导入的每个用户的管理式 Apple ID 创建本地用户帐户。在以下示例中,用户帐户的自定义 Apple ID 的域名前缀为 appleid

    Apple 部署程序设置屏幕

要查找给定 ASM 帐户的所有用户,请在用户搜索筛选器中键入帐户名称。

步骤 4:为 Apple 校园教务管理配置教育批量购买帐户

在本节中,您将 Endpoint Management 指向用于购买应用和 iBooks 的批量购买许可证的批量购买帐户。

  1. 若要为 ASM 配置教育批量购买帐户,请按照Apple 批量购买中的说明操作。添加批量采购帐户屏幕要求您提供公司令牌。直接从您的教育批量购买帐户下载您的令牌,并将其粘贴到“添加批量购买帐户”屏幕中。

    批量购买屏幕

    批量购买屏幕

  2. 等待几分钟,让批量购买许可证导入 Endpoint Management。

步骤 5:为 Apple 校园教务管理用户添加密码

添加 ASM 帐户后,Endpoint Management 会从 ASM 导入类和用户。Endpoint Management 将班级视为本地组,并在控制台中使用术语“组”。如果某个类在 ASM 中具有组名称,则 Endpoint Management 将该组名称分配给该类。否则,Endpoint Management 将为组名称使用源系统 ID。Endpoint Management 不使用课程名称作为类名称,因为 ASM 中的课程名称不是唯一的。

Endpoint Management 使用管理式 Apple ID 创建用户类型为 ASM 的本地用户。用户是本地的,因为 ASM 独立于所有外部数据源创建凭据。因此,Endpoint Management 不使用目录服务器对这些新用户进行身份验证。

ASM 不会向 Endpoint Management 发送临时用户密码。可以从 CSV 文件导入或手动添加这些密码。要导入临时用户密码,请执行以下操作:

  1. 获取 ASM 在创建托管 Apple ID 临时密码时生成的 CSV 文件。

  2. 编辑 CSV 文件,将临时密码替换为用户在 Endpoint Management 中注册时提供的新密码。为实现这一目的,不对密码类型设置任何限制。

    CSV 文件中的条目格式如下所示: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    地点:

    用户: user@appleid.citrix.com

    名字: Firstname

    中间名: Middle

    姓氏: Lastname

    密码: Password123!

  3. 在 Endpoint Management 控制台中,单击管理 > 用户。此时将显示用户页面。

    以下“管理”>“用户”屏幕示例显示了从 ASM 导入的用户列表。在用户列表中:

    • 用户名显示管理式 Apple ID。

    • 用户类型是 ASM,表示来自 ASM 的帐户。

    • 显示班级。

    用户屏幕

  4. 单击导入本地用户。此时将显示导入预配文件对话框。

  5. 对于格式,请选择 ASM 用户,导航到您在步骤 2 中准备的 CSV 文件,然后单击导入

    用户屏幕

  6. 要查看某个本地用户的属性,请选择该用户,然后单击编辑

    用户屏幕

    除了名称属性之外,这些 ASM 属性还可用:

    • ASM 数据源: 班级的数据源,例如 CSVSFTP
    • ASM 管理式 Apple ID: 管理式 Apple ID 可能包括您的机构名称和 appleid。例如,该 ID 可能类似于 johnappleseed@appleid.myschool.edu。Endpoint Management 需要使用管理式 Apple ID 进行身份验证。
    • ASM 组织名称: 您在 Endpoint Management 中为帐户提供的名称。
    • ASM 通行码类型: 人员的密码策略:复杂(包含 8 个或更多数字和字母的非学生用密码)、four(4)(数字)或 six(6)(数字)。
    • ASM 人员唯一 ID: 用户的标识符。
    • ASM 人员状态: 指定管理式 Apple ID 的状态为活动还是不活动。用户提供其管理式 Apple ID 帐户的新密码后,此状态将变为活动。
    • ASM 人员职称:“教师”、“学生”或“其他”。
    • ASM 人员的唯一 ID: 用户的唯一标识符。
    • ASM 源系统 ID: 系统源的标识符。
    • ASM 学生年级: 学生的年级信息(教师不使用)。

步骤 6:(可选)添加学生的照片

可以添加每个学生的照片。如果教师使用 Apple“课堂”应用程序,照片将在此应用程序中显示。

照片建议:

  • 分辨率:256 x 256 像素(在 2x 设备上建议 512 x 512 像素)

  • 格式:JPEG、PNG 或 TIFF

要添加照片,请转至管理 > 用户,选择某个用户,单击编辑,然后单击选择图像

用户屏幕

步骤 7:规划和添加资源和交付组至 Endpoint Management

交付组指定要部署到各类别的用户的资源。例如,可以为教师和学生创建一个交付组。或者,可以创建多个交付组,以便您能够自定义发送给不同教师或学生的应用程序、媒体和策略。可以为每个班级创建一个或多个交付组。还可以为管理员(教育机构中的其他员工)创建一个或多个交付组。

部署到用户设备的资源包括设备策略、批量购买应用程序和 iBooks。

  • 设备策略:

    如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。请务必检查其他设备策略,以确定您希望如何配置和限制教师和学生的 iPad。

  • 批量购买应用程序:

    Endpoint Management 要求您将批量购买应用程序部署为教育用户的必需应用程序。Endpoint Management 不支持将此类批量购买应用程序作为可选部署。

    如果您使用 Apple“课堂”应用程序,请仅将其部署到教师的设备。

    部署要提供给教师或学生的任何其他应用程序。此解决方案不使用 Citrix Secure Hub 应用程序,因此,不需要为教师或学生部署。

  • 批量购买 iBooks:

    Endpoint Management 连接到 ASM 帐户后,您购买的 iBooks 将显示在 Endpoint Management 控制台的配置 > 媒体中。该页面上列出的 iBooks 可以添加到交付组中。Endpoint Management 只支持添加 iBooks 作为必需的媒体。

为教师和学生规划资源和交付组后,可以在 Endpoint Management 控制台中创建这些项目。

  1. 创建要为教师或学生设备部署的任何设备策略。有关教育配置设备策略的信息,请参阅教育配置设备策略

    教育配置策略屏幕

    有关设备策略的信息,请参阅设备策略以及各策略文章。

  2. 配置应用程序(配置 > 应用程序)和 iBooks(配置 > 媒体):

    • 默认情况下,Endpoint Management 在用户级别分配应用程序和 iBooks。在首次部署期间,教师和学生会收到注册 ASM 的提示。接受邀请后,用户将在下一次部署(6 小时内)收到 ASM 应用程序和 iBooks。Citrix 建议您强制向新的 ASM 用户部署应用程序和 iBooks。为此,请选择交付组并单击部署

      可以选择在设备级别分配应用程序(而非 iBooks)。为此,请将强制与设备建立许可证关联设置更改为。在设备级别分配应用时,用户不会收到加入批量购买计划的邀请。

    “应用程序配置”屏幕

    • 要仅为教师部署应用程序,请选择仅包括教师的交付组,或者使用以下部署规则:

       Deploy this resource by ASM device type
       only
       Instructor
      

    “应用程序配置”屏幕

  3. 可选。基于 ASM 用户属性创建操作。例如,您可能会创建在新应用程序安装时向学生设备发送通知的操作。或者,可以创建用户属性触发的操作,如以下示例中所示。

    “操作”配置屏幕

    要创建操作,请转至配置 > 操作。有关配置操作的信息,请参阅自动化操作

  4. 配置 > 交付组中,为教师和学生创建交付组。选择从 ASM 导入的类。此外,请为教师和学生创建部署规则。

    例如,以下用户分配针对教师。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    “交付组”配置屏幕

    以下用户分配针对学生。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Student
    

    “交付组”配置屏幕

    您还可以使用基于 ASM 组织名称的部署规则来筛选交付组。

    “交付组”配置屏幕

  5. 将资源分配给交付组。以下示例显示了交付组中包含的 iBook。

    “交付组”配置屏幕

    以下示例显示了在您选择交付组并单击部署时显示的确认对话框。

    “交付组”配置屏幕

    有关详细信息,请参阅部署资源中的“编辑交付组”和“部署到交付组”。

步骤 8:测试教师和学生的设备注册

可以通过以下方法之一注册设备:

  • 学校管理员可以使用您能够在 Endpoint Management 控制台中设置的用户密码注册教师和学生设备。因此,可以向用户提供设置了应用程序和媒体的设备。

  • 收到设备时,用户使用您向其提供的用户密码进行注册。注册完成后,Endpoint Management 将向设备发送设备策略、应用程序和媒体。

要测试注册,请使用链接到 ASM 的 Apple 部署计划设备。

  1. 如果设备未链接到 ASM,请通过执行硬重置来擦除设备内容和设置。

  2. 向教师注册 ASM 设备。然后,向学生注册 ASM 设备。

  3. 在“管理”>“设备”页面中,检查两个 ASM 设备是否仅在 MDM 中注册。

    您可以按 ASM 设备状态筛选设备页面:ASM 注册ASM 共享教师学生

    设备配置屏幕

  4. 要验证是否为每个设备正确部署了 MDM 资源,请执行以下操作:选择设备,单击编辑,然后检查各页面。

    设备配置屏幕

步骤 9:分发设备

Apple 建议您举办活动,以便能够将设备分发给教师和学生。

如果未分发预注册的设备,还需要向这些用户提供以下各项内容:

  • 用于注册的 Endpoint Management 密码

  • 托管 Apple ID 的 ASM 临时密码。

首次用户体验如下所示。

  1. 用户在硬重置后首次启动其设备时,Endpoint Management 会在注册屏幕中提示用户注册其设备。

  2. 用户提供其托管 Apple ID 和 Endpoint Management 密码,用于对 Endpoint Management 进行身份验证。

  3. 在 Apple ID 设置步骤中,设备会提示用户提供其托管 Apple ID 和 ASM 临时密码。这些项目将对 Apple 服务验证用户的身份。

  4. 设备提示用户为其管理式 Apple ID 创建密码,用于保护 iCloud 中的数据。

  5. 在设置助手结束时,Endpoint Management 将开始向设备中安装策略、应用程序和媒体。对于在用户级别分配的应用程序和 iBooks,助理会提示教师和学生注册进行批量购买。接受邀请后,用户将在下一次部署(6 小时内)收到批量购买应用程序和 iBooks。

配置共用的 iPad

课堂中的多个学生可以共享一个 iPad,学习一位或多位教师教授的不同学科。

您或教师注册共用的 iPad,然后将设备策略、应用程序和媒体部署到这些设备。之后,学生提供其托管 Apple ID 凭据以登录共用的 iPad。如果您以前为学生部署了“教育配置”策略,这些学生将不再以“其他用户”身份登录共享设备。

Endpoint Management 对共用的 iPad 使用两个通信通道:面向设备所有者(教师)的系统通道和面向当前常驻用户(学生)的用户通道。Endpoint Management 使用这些通道为 Apple 支持的资源发送恰当的 MDM 命令。

通过系统通道部署的资源如下:

  • 设备策略,例如教育配置、锁屏界面消息、最大常驻用户数和通行码锁宽限期
  • 基于设备的批量购买应用程序

    Apple 不支持共享 iPad 上的企业应用或基于用户的批量购买应用。共用的 iPad 上安装的应用程序是设备的全局应用程序,不基于用户。

  • 基于用户的批量购买 iBooks

    Apple 支持在共用的 iPad 上分配基于用户的批量购买 iBooks。

通过用户通道部署的资源如下:

  • 设备策略:应用程序通知、主屏幕布局和限制

    Endpoint Management 当前仅支持通过用户通道部署这些设备策略。

配置设备策略时,可以在策略设置配置文件作用域中指定部署通道。

“设备策略”配置屏幕

要删除通过用户通道部署的设备策略,请务必为“配置文件删除”策略选择部署范围用户

常规工作流程

通常情况下,您负责向教师提供预配置并且受监督的共用的 iPad。教师之后将这些身份分发给学生。如果您未向教师分发预先注册的共用的 iPad:请务必向教师提供其 Endpoint Management 服务器密码,以便能够注册其设备。

配置和注册共用的 iPad 的常规工作流程如下。

  1. 使用 Endpoint Management 服务器控制台添加启用了共享模式的 ASM 帐户(设置 > Apple 部署程序)。有关更多信息,请参阅下一步的“管理共享 iPad 的 ASM 帐户”。
  2. 如本部分内容中所述,请向 Endpoint Management 中添加所需的设备策略、应用程序和媒体。将这些资源分配给交付组。
  3. 请教师在共用的 iPad 上执行硬重置。此时将显示用于注册的远程管理屏幕。
  4. 教师注册共用的 iPad。 Endpoint Management 将所配置的资源部署到每个已注册的共用的 iPad。自动重新启动后,教师可以与学生共享这些设备。此时 iPad 上将显示登录页面。
  5. 学生选择班级,然后输入其托管 Apple ID 和临时 ASM (ASM) 密码。 共用的 iPad 对 ASM 进行身份验证,并提示学生创建 ASM 密码。对于下一次登录共享 iPad,学生将提供新的 ASM 密码。
  6. 正在共用的 iPad 的另一个学生之后可以通过重复上述步骤进行登录。

管理共享 iPad 的 ASM 帐户

如果您已将 Endpoint Management 与 Apple 教育结合使用:您在 Endpoint Management 中为未共享的设备(如教师使用的设备)配置了现有 ASM 帐户。可以同时为共享和非共享设备使用相同的 ASM 和相同的 Endpoint Management 服务器。

Endpoint Management 支持以下部署方案:

  • 每个班级一组共用的 iPad

    在此场景中,您将共用的 iPad 分配给一个班级的学生。iPad 留在课堂中。在该班级中教授不同学科的教师使用一组相同的 iPad。

  • 每个教师一组共用的 iPad

    在此场景中,您将共用的 iPad 分配给教师,教师为教授的各个班级使用这些 iPad。

将共用的 iPad 组织整理到设备组中

ASM 允许您通过创建多个 MDM 服务器将设备组织整理到多个组中。将共用的 iPad 分配给 MDM 服务器时,请按班级或按教师为每个共用的 iPad 创建一个设备组:

  • 共用的 iPad 组 1 > 设备组 1 MDM 服务器
  • 共用的 iPad 组 2 > 设备组 2 MDM 服务器
  • 共用的 iPad 组 N > 设备组 N MDM 服务器

为每个设备组添加 ASM 帐户

当您从 Endpoint Management 服务器控制台创建多个 ASM 帐户时,您会自动导入共享 iPad 的组(每个班级或教师一个):

  • 设备组 1 MDM 服务器 > 设备组 1 帐户
  • 设备组 2 MDM 服务器 > 设备组 2 帐户
  • 设备组 N MDM 服务器 > 设备组 N 帐户

共用的 iPad 的特定要求如下:

  • 启用以下设置的每个设备组的一个 ASM 帐户:
    • 要求注册设备
    • 受监督模式
    • 共享模式
  • 对于给定的教育组织,请确保对所有 ASM 帐户使用相同的教育后缀

要添加帐户,请转到“设置”>“Apple 部署计划”。

Apple 部署程序设置配置屏幕

共用的 iPad 的应用程序

共享 iPad 支持基于设备的批量购买应用程序的分配。在共享 iPad 上部署应用之前,Endpoint Management 会向 Apple 批量购买服务器发送请求,以便将批量购买许可证分配给设备。要检查批量购买分配,请转到配置 > 应用程序 > iPad 并展开批量购买

共用的 iPad 的媒体

共享 iPad 支持基于用户的批量购买 iBooks 的分配。在共享 iPad 上部署 iBooks 之前,Endpoint Management 会向 Apple 批量购买服务器发送请求,以便向学生分配批量购买许可证。要检查批量购买分配,请转到配置 > 媒体 > iPad 并展开批量购买

媒体配置屏幕

共用的 iPad 的部署规则

对于共用的 iPad 部署,在交付组级别的规则不适用,应为这些规则与用户属性有关。要筛选每组设备的策略、应用程序和媒体:根据帐户名称为资源添加部署规则。例如:

  • 对于设备组 1 帐户,请设置以下部署规则:

  Apple Deployment Program account name
  Only
  Device Group 1 account

  • 对于设备组 2 帐户,请设置以下部署规则:

  Apple Deployment Program account name
  Only
  Device Group 2 account

  • 对于设备组 N 帐户,请设置以下部署规则:

  Apple Deployment Program account name
  Only
  Device Group N account

“设备策略”配置屏幕

要仅将 Apple 课堂应用程序部署到教师(使用未共享的 iPad),请按 ASM 共享状态筛选资源,并使用以下部署规则:


Deploy this resource regarding ASM shared mode
only
unshared

或:


Deploy this resource regarding ASM shared mode
except
shareable

“应用程序配置”屏幕

共用的 iPad 的交付组

对于每个教师的每个设备组:

  • 配置一个交付组。对于教师,请分配“教育配置”策略定义的所有班级。

“交付组”配置屏幕

  • 该交付组必须包括以下 MDM 资源:
    • 设备策略:
      • 教育配置
      • 锁屏界面消息
      • 应用程序通知
      • 主屏幕布局
      • 限制
      • 最大常驻用户数
      • 通行码锁宽限期
    • 必需的批量购买应用程序
    • 所需批量购买 iBooks

“交付组”配置屏幕

共用的 iPad 的安全操作

除现有安全操作外,可以对共用的 iPad 使用以下安全操作:

  • 获取常驻用户: 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
  • 注销常驻用户: 强制注销当前用户。
  • 删除常驻用户: 删除特定用户的当前会话。该用户可以重新登录。

“安全操作”屏幕

单击删除常驻用户后,可以指定用户名。

“安全操作”屏幕

安全操作的结果在管理 > 设备 > 常规管理 > 设备 > 交付组页面上显示。

获取与共用的 iPad 有关的信息

请在管理 > 设备页面上查找共用的 iPad 特有的信息:

  • 请查找:
    • 设备是否共享(ASM 共享
    • 登录到共用设备的用户(已登录 ASM 的用户
    • 分配给共用设备的所有用户(ASM 常驻用户

设备配置屏幕

  • ASM 设备状态筛选设备列表:

设备配置屏幕

  • 管理 > 设备 > 已登录用户的属性页面上查看与登录到共用的 iPad 的用户有关的详细信息。

设备配置屏幕

设备配置屏幕

  • 管理 > 设备 > 交付组页面上查看用于向交付组中的教师和用户部署资源的通道。通道/用户列显示类型(系统用户)和收件人(教师或学生)。

设备配置屏幕

  • 获取与常驻用户有关的信息:
    • 有要同步的数据: 用户是否具有要同步到云的数据。
    • 数据配额: 为用户设置的数据配额,单位为字节。如果用户配额暂时关闭或不强制对用户实施,配额可能不会显示。
    • 已使用的数据: 用户使用的数据量,单位为字节。如果系统收集信息过程中出现错误,值可能不会显示。
    • 已登录: 用户是否已登录设备。

设备配置屏幕

  • 查看两个通道的推送状态。

设备配置屏幕

管理教师、学生和班级数据

管理教师、学生和班级数据时,请注意以下事项:

  • 将 ASM 信息导入 Endpoint Management 后,请勿更改托管 Apple ID。Endpoint Management 还使用 ASM 用户标识符来识别用户。

  • 如果在创建一个或多个教育配置设备策略后在 ASM 中添加或更改类数据:编辑策略,然后重新部署其。

  • 如果班级的教师在您部署教育配置设备策略后发生了变化,请检查策略以确保其在 Endpoint Management 控制台进行了更新,然后重新部署该策略。

  • 如果您更新 ASM 门户中的用户属性,Endpoint Management 也会更新控制台中的这些属性。但是,Endpoint Management 不通过与接收其他属性相同的方式接收 ASM 人员职务属性,即“教师”、“学生”或“其他”。因此,如果您更改 ASM 中的 ASM 人员标题,请完成以下步骤以反映 Endpoint Management 中的更改。

要管理数据,请执行以下操作:

  1. 在 ASM 门户中,更新学生成绩并清除教师成绩。

  2. 如果您将学生帐户更改为教师帐户,请将该用户从班级中的学生列表中删除。然后,将该用户添加到同一班级或其他班级中的教师列表中。

    如果您将教师帐户更改为学生帐户,请将该用户从班级中删除。然后,将该用户添加到同一班级或其他班级中的学生列表中。您的更新将在下次同步时在 Endpoint Management 控制台中显示(默认时间间隔为每隔 5 分钟)或提取(默认时间间隔为每隔 24 小时) 。

  3. 编辑教育配置设备策略以应用更改并重新部署。

    • 如果您从 ASM 门户中删除某个用户,则 Endpoint Management 还会在获取后从 Endpoint Management 控制台中删除该用户。

      可以通过更改以下服务器属性值来缩短两个基线之间的时间间隔:bulk.enrollment.fetchRosterInfoDelay(默认值为 1440 分钟)。

    • 部署资源后:如果学生加入了某个班级,请创建仅包含该学生的交付组,并为该学生部署资源。

    • 如果学生或教师丢失了临时密码,请他们联系 ASM 管理员。管理员可以提供临时密码或生成一个新密码。

管理已加入 Apple 校园教务管理 Apple 部署计划的丢失或被盗设备

Apple 的“查找我的 iPhone/iPad”服务包括激活锁功能。激活锁可防止未授权用户使用或转售已注册到 Apple 部署计划的丢失或被盗设备。

Endpoint Management 包括 ASM 激活锁安全操作,使您能够将锁代码发送到 ASM Apple 部署计划注册的设备。

当您使用 ASM 激活锁定 安全操作时,Endpoint Management 可以找到设备,而无需用户启用“查找我的 iPhone/iPad”服务。当 ASM 设备硬重置或完全擦除时,用户会提供其托管 Apple ID 和密码来解锁设备。

要从控制台中释放锁定,请单击安全操作激活锁绕过。有关绕过激活锁的信息,请参阅绕过 iOS 激活锁。用户还可以将登录名留空并键入 ASM 激活锁绕过代码作为密码。该信息在属性选项卡上的设备详细信息中提供。

若要设置激活锁,请转到“管理”>“设备”,选择设备,单击“安全”,然后单击 ASM 激活锁

设备配置屏幕

属性 ASM 托管密钥ASM 激活锁绕过代码显示在设备详细信息中。

设备配置屏幕

ASM 激活锁的 RBAC 权限是设备 > 启用 ASM 绕过激活锁

RBAC 配置屏幕