Citrix Endpoint Management

与 Apple 教育功能相集成

在使用 Apple 教育功能的环境中,可以使用 Endpoint Management 作为您的移动设备管理 (MDM) 解决方案。Endpoint Management 支持包括 Apple 校园教务管理 (ASM) 和面向 iPad 的课堂应用程序。Endpoint Management 的教育配置设备策略配置教师和学生的设备以供 Apple 教育功能使用。

您负责向教师和学生提供预配置并且受监督的 iPad。该配置包括 Endpoint Management 中的 ASM 注册、配置了新密码的管理式 Apple ID 帐户以及必需的批量购买应用程序和 iBooks。

以下视频提供了您对 ASM 和 Endpoint Management 所做更改的快速浏览。

视频图标

下面是 Endpoint Management 对 Apple 教育功能的支持的几点重要事项。

Apple 校园教务管理

ASM 是一项服务,通过该服务,您可以设置、部署和管理教育机构使用的 iOS (iPadOS) 设备和 macOS 便携式计算机。ASM 包括一个基于 Web 的门户,在该门户中,IT 管理员可以执行以下操作:

  • 向不同的 MDM 服务器分配 Apple 部署计划设备。

  • 购买适用于各种应用程序和 iBooks 的批量购买许可证

  • 批量创建管理式 Apple ID。这些自定义的 Apple ID 提供对各项 Apple 服务的访问权限,例如在 iCloud Drive 中存储文档以及在Apple App Store 课程中注册。

可以将多个 ASM 帐户添加到 Endpoint Management。例如,借助此功能,您可以按教育单位或部门使用不同的注册设置和设置助手选项。然后将 ASM 帐户与不同的设备策略相关联。

将 ASM 帐户添加到 Endpoint Management 控制台后,Endpoint Management 将检索类和名单信息。在设备设置过程中,Endpoint Management:

  • 注册设备。
  • 安装您为部署配置的资源,例如设备策略(教育配置、主屏幕布局等)。
  • 此外,还将安装通过批量购买购买的应用程序和 iBooks。

您随后向教师和学生提供预配置的设备。如果设备丢失或被盗,可以使用 MDM 丢失模式功能锁定和定位设备。

适用于 iPad 的“课堂”应用程序

通过适用于 iPad 的“课堂”应用程序,教师可以连接到学生的设备以及对其进行管理。可以查看设备屏幕、打开 iPad 上的应用程序、共享并打开 Web 链接以及在 Apple TV 上呈现学生的屏幕。

“课堂”应用程序在 App Store 中免费提供。您将应用程序上载到 Endpoint Management 控制台。随后使用教育配置设备策略配置“课堂”应用程序(将该应用程序部署到教师的设备)。

有关 Apple 教育功能的详细信息,请参阅 Apple 教育 站点和来自同一站点的 Apple《教育部署指南》。

必备条件

  • Citrix Gateway

  • 为 MDM+MAM 配置的注册配置文件。

  • 安装了 iOS 9.3(最低版本)的 Apple iPad 第三代(最低版本)或 iPad Mini

注意:

Endpoint Management 不针对 LDAP 或 Active Directory 验证 ASM 用户帐户。但是,可以将 Endpoint Management 连接到 LDAP 或 Active Directory 以便管理与 ASM 教师或学生无关的用户和设备。例如,可以使用 Active Directory 将 Secure Mail 和 Secure Web 提供给其他 Apple ASM 成员,例如 IT 管理员和经理。

由于 Apple ASM 教师和学生都是本地用户,因此,不需要向其设备部署 Citrix Secure Hub。

包括 Citrix Gateway 身份验证的 MAM 注册不支持本地用户(仅支持 Active Directory 用户)。因此,Endpoint Management 仅向教师和学生设备部署必需的批量购买应用程序和 iBooks。

共用的 iPad 的必备条件

  • 任意 iPad Pro、iPad 第五代、iPad Air 2 或更高版本以及 iPad mini 4 或更高版本
  • 至少 32 GB 存储空间
  • 受监督

配置 Apple 校园教务管理和 Endpoint Management

从 Apple 或 Apple 授权经销商或运营商处购买 iPad 后,请按照本节介绍的工作流程设置您的 Apple ASM 帐户和设备。此工作流程包括您在 ASM 门户和 Endpoint Management 控制台中执行的步骤。

请按照这些说明为您在一对一模式(每个学生一个 iPad)下使用的任何 iPad 或教师 iPad(非共享)配置集成。要配置共用的 iPad,请参阅配置共用的 iPad

步骤 1:创建 Apple 校园教务管理帐户并完成设置助手

如果要从 Apple 部署计划升级,请参阅 Apple 支持文章 将您的机构升级到 ASM。要创建 ASM 帐户,请访问 https://school.apple.com/ 并按照说明进行注册。首次登录 ASM 时,设置助手将打开。

  • 有关 Apple ASM 必备条件、设置助手和管理任务的信息,请参阅 Apple 校园教务管理用户指南

  • 设置 Apple ASM 时,请使用与 Active Directory 的域名不同的域名。例如,请在 ASM 的域名中添加 appleid 之类的前缀。

  • 将 ASM 连接到您的名单数据时,ASM 将为教师和学生创建管理式 Apple ID。名单数据包括教师、学生和班级。有关向 ASM 添加名单数据的信息,请参阅前面引用的《ASM 用户指南》。

  • 可以为您的机构自定义管理式 Apple ID 格式,如前文引用的“ASM 用户指南”中所述。

    重要:

    将 ASM 信息导入 Endpoint Management 后,请勿更改托管的 Apple ID。

  • 如果您是通过经销商或运营商购买的设备,请将这些设备链接到 Apple ASM。有关信息,请参阅前面引用的《ASM 用户指南》。

步骤 2:将 Endpoint Management 配置为 Apple 校园教务管理的 MDM 服务器并配置设备分配

ASM 门户包括 MDM 服务器选项卡。需要使用 Endpoint Management 中的公钥文件才能完成该设置。

  1. 将 Endpoint Management 的公钥下载到本地计算机:在 Endpoint Management 控制台中,转到设置 > Apple 部署计划

    Apple 部署计划设置屏幕

  2. 下载公钥下,单击下载,然后保存 PEM 文件。

  3. Apple 部署计划门户中,依次单击设置设备管理设置。单击 Add MDM Server(添加 MDM 服务器)。

    ASM 门户

  4. 键入 Endpoint Management 的名称。键入的服务器名称仅供参考,并不是服务器 URL 或名称。在 Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。

    ASM 门户

  5. 上载您从 Endpoint Management 下载的服务器密钥,然后单击 Save(保存)。

  6. 生成服务器令牌:单击 Download Token(下载令牌),然后将服务器令牌文件下载到您的计算机。

    ASM 门户

  7. Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关信息,请参阅ASM 用户指南

步骤 3:向 Endpoint Management 中添加 Apple 校园教务管理帐户

  1. 在 Endpoint Management 控制台中,前往设置 > Apple 部署计划,然后在添加 Apple 部署计划帐户下,单击添加

    Apple 部署计划设置屏幕

  2. 服务器令牌页面中,单击上载,然后选择您从 Apple ASM 门户下载的服务器令牌 (.p7m) 文件。此时将显示令牌信息。

    Apple 部署计划设置屏幕

    备注:

    • 组织 ID 为 Apple 部署计划的客户 ID。

    • ASM 帐户的组织类型教育组织版本v2

  3. 帐户信息页面中,指定以下设置。

    Apple 部署计划设置屏幕

    • Apple 部署计划帐户名称: 此 Apple 部署计划帐户的唯一名称。请使用反映您如何组织 Apple 部署计划帐户(例如按国家/地区或组织层次结构)的名称。
    • 业务/教育单位: 设备分配的教育单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 支持电话号码,用户可以在设置期间拨打此号码寻求帮助。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
    • 教育后缀: 为给定 ASM 部署计划帐户对班级设置标志。(批量购买后缀标记给定批量购买帐户的应用程序和 iBooks。)建议对两个帐户、ASM 部署计划和 ASM 批量购买使用相同的后缀。
  4. 单击下一步。在 iOS 设置中,指定以下设置。

    Apple 设置屏幕

    • 注册设置

      • 要求设备注册: 要求用户注册其设备。请将此设置更改为
      • 需要提供凭据才能完成设备注册: 要求用户在 Apple 部署计划设置过程中输入其凭据。对于 ASM 与 Endpoint Management 的集成,默认情况下,此设置为,不能更改。Apple 部署计划需要凭据才能注册设备。
      • 等待完成配置设置: 是否要求用户设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。对于 ASM 与 Endpoint Management 的集成,默认情况下,此设置为。根据 Apple 文档,当设备处于“设置助手”模式时,以下命令可能不起作用:

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • 设备设置

      • 受监督模式: 将 iOS 设备置于受监督模式。请勿更改默认值。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

      • 共享模式: 在 iPad 上启用共享模式。不满足最低要求的设备无法共享。
      • 允许删除注册配置文件: 对于 ASM 集成,允许用户从设备中删除注册配置文件。请将此设置更改为
      • 允许设备配对: 对于 Apple 校园教务管理集成,允许设备配对以便您能够通过 Apple App Store 和 Apple Configurator 管理这些设备。请将此设置更改为
  5. iOS 设置助手选项中,选择用户在首次启动其设备时跳过的 iOS 设置助手步骤。默认情况下,设置助手包括所有步骤。请注意,从设置助手中删除步骤将简化用户体验。

    重要:

    Citrix 强烈建议您包括 Apple ID 以及条款和条件步骤。这些步骤将使教师和学生能够提供新的管理式 Apple ID 密码并接受必要的条款和条件。

    Apple 部署计划设置屏幕

    • 定位服务: 在设备上设置定位服务。
    • Touch ID: 在 iOS 设备上设置 Touch ID。
    • 通行码锁: 为设备创建通行码。
    • 设置为新对象或还原: 将设备设置为新设备或从 iCloud 或 Apple App Store 备份设置设备。
    • 从 Android 移动: 启用从 Android 设备向 iOS 设备传输数据。此选项仅在已选择设置为新对象或还原(即跳过此步骤)时可用。
    • Apple ID: 设置设备的 Apple ID 帐户。Citrix 建议您选中包括此步骤的复选框。
    • 条款和条件: 要求用户接受条款和条件才能使用设备。Citrix 建议您选中包括此步骤的复选框。
    • Apple Pay: 在 iOS 设备上设置 Apple Pay。
    • Siri: 是否在设备上使用 Siri。
    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 在 iOS 设备上设置显示分辨率(标准或缩放)。
    • True Tone: 在 iOS 设备上设置 True Tone 显示。
    • 主页按钮: 设置“主页按钮”屏幕敏感度。
    • 新增功能亮点: 在 iOS 11.0 设备(最低版本)上设置入门信息屏幕、从任意位置访问 Dock 以及在最近使用的应用程序之间切换。
    • 隐私: 阻止用户在 Apple 部署计划设备设置过程中看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 阻止用户在 Apple 部署计划设备设置过程中看到强制软件更新屏幕。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 阻止用户在 Apple 部署计划设备设置过程中看到“屏幕时间”屏幕。适用于 iOS 12.0 及更高版本。
    • SIM 卡设置: 阻止用户在 Apple 部署计划设备设置过程中看到“添加手机网络规划”屏幕。适用于 iOS 12.0 及更高版本。
    • iMessage 和 FaceTime: 阻止用户在 Apple 部署计划设备设置过程中看到“iMessage 和 FaceTime”屏幕。适用于 iOS 12.0 及更高版本。
  6. 该帐户显示在设置 > Apple 部署计划上。要测试 Endpoint Management 与 ASM 帐户之间的连接,请选择该帐户并单击测试连接

    Apple 部署计划设置屏幕

    此时将显示一条状态消息。

    Apple 部署计划设置屏幕

    几分钟后,ASM 中的用户帐户将显示在管理 > 用户页面上。Endpoint Management 根据导入的每个用户的管理式 Apple ID 创建本地用户帐户。在以下示例中,用户帐户的自定义 Apple ID 的域名前缀为 appleid

    Apple 部署计划设置屏幕

要查找给定 ASM 帐户的所有用户,请在每个用户搜索过滤器中键入帐户名称。

步骤 4:为 Apple 校园教务管理配置教育批量购买帐户

在本节中,您将 Endpoint Management 指向用于为应用程序和 iBooks 购买批量购买许可证的批量购买帐户。

  1. 要为 ASM 配置教育批量购买帐户,请按照 Apple 批量购买中的说明进行操作。“添加批量购买帐户”屏幕要求您提供公司令牌。请直接从您的教育批量购买帐户下载令牌并将其粘贴到添加批量购买帐户屏幕中。

    批量购买屏幕

    批量购买屏幕

  2. 等待几分钟,直至批量购买许可证导入到 Endpoint Management 中。

步骤 5:为 Apple 校园教务管理用户添加密码

添加 ASM 帐户后,Endpoint Management 将从 ASM 导入类和用户。Endpoint Management 将班级视为本地组,并在控制台中使用术语“组”。如果某个班级在 ASM 中具有组名称,Endpoint Management 会将该组名称分配给班级。否则,Endpoint Management 将为组名称使用源系统 ID。Endpoint Management 不为班级名称使用课程名称,因为 ASM 中的课程名称不唯一。

Endpoint Management 使用管理式 Apple ID 创建用户类型为 ASM 的本地用户。这些用户属于本地用户,因为 ASM 创建的凭据与所有外部数据源都无关。因此,Endpoint Management 不使用目录服务器对这些新用户进行身份验证。

ASM 不会向 Endpoint Management 发送临时用户密码。可以从 CSV 文件导入或手动添加这些密码。要导入临时用户密码,请执行以下操作:

  1. 获取 ASM 在创建管理式 Apple ID 临时密码时生成的 CSV 文件。

  2. 编辑 CSV 文件,将临时密码替换为用户在 Endpoint Management 中注册时提供的新密码。为实现这一目的,不对密码类型设置任何限制。

    CSV 文件中的条目格式如下所示: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    其中,

    用户: user@appleid.citrix.com

    名字: Firstname

    中间名: Middle

    姓氏: Lastname

    密码: Password123!

  3. 在 Endpoint Management 控制台中,单击管理 > 用户。此时将显示用户页面。

    下面的管理 > 用户屏幕示例显示了从 ASM 中导入的用户的列表。在用户列表中:

    • 用户名显示管理式 Apple ID。

    • 用户类型为 ASM,指示源自 ASM 的帐户。

    • 显示班级。

    用户屏幕

  4. 单击导入本地用户。此时将显示导入预配文件对话框。

  5. 对于格式,请选择 ASM 用户,导航到您在步骤 2 中准备的 CSV 文件,然后单击导入

    用户屏幕

  6. 要查看某个本地用户的属性,请选择该用户,然后单击编辑

    用户屏幕

    除名称属性外,还可以使用以下 ASM 属性:

    • ASM 数据源: 班级的数据源,例如 CSVSFTP
    • ASM 管理式 Apple ID: 管理式 Apple ID 可能包括您的机构名称和 appleid。例如,该 ID 可能类似于 johnappleseed@appleid.myschool.edu。Endpoint Management 需要使用管理式 Apple ID 进行身份验证。
    • ASM 组织名称: 您在 Endpoint Management 中为帐户指定的名称。
    • ASM 通行码类型: 人员的密码策略:复杂(包含 8 个或更多数字和字母的非学生用密码)、four(4)(数字)或 six(6)(数字)。
    • ASM 人员的唯一 ID: 用户的标识符。
    • ASM 人员状态: 指定管理式 Apple ID 的状态为活动还是不活动。用户提供其管理式 Apple ID 帐户的新密码后,此状态将变为活动。
    • ASM 人员职称: “教师”、“学生”或“其他”。
    • ASM 人员的唯一 ID: 用户的唯一标识符。
    • ASM 源系统 ID: 系统源的标识符。
    • ASM 学生年级: 学生的年级信息(教师不使用)。

步骤 6:(可选)添加学生的照片

可以添加每个学生的照片。如果教师使用 Apple“课堂”应用程序,照片将在此应用程序中显示。

照片建议:

  • 分辨率:256 x 256 像素(在 2x 设备上建议 512 x 512 像素)

  • 格式:JPEG、PNG 或 TIFF

要添加照片,请转至管理 > 用户,选择某个用户,单击编辑,然后单击选择图像

用户屏幕

步骤 7:规划和添加资源和交付组至 Endpoint Management

交付组指定要部署到各类别的用户的资源。例如,可以为教师和学生创建一个交付组。或者,可以创建多个交付组,以便您能够自定义发送给不同教师或学生的应用程序、媒体和策略。可以为每个班级创建一个或多个交付组。还可以为管理员(教育机构中的其他员工)创建一个或多个交付组。

部署到用户设备的资源包括设备策略、批量购买应用程序和 iBooks。

  • 设备策略:

    如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。请务必检查其他设备策略,以确定您希望如何配置和限制教师和学生的 iPad。

  • 批量购买应用程序:

    Endpoint Management 要求您将批量购买应用程序部署为教育用户的必需应用程序。Endpoint Management 不支持将此类批量购买应用程序作为可选应用程序进行部署。

    如果您使用 Apple“课堂”应用程序,请仅将其部署到教师的设备。

    部署要提供给教师或学生的任何其他应用程序。此解决方案不使用 Citrix Secure Hub 应用程序,因此,不需要为教师或学生部署。

  • 批量购买 iBooks:

    Endpoint Management 连接到您的 ASM 帐户后,您购买的 iBooks 将显示在 Endpoint Management 控制台的配置 > 媒体中。该页面上列出的 iBooks 可以添加到交付组中。Endpoint Management 仅支持将 iBooks 添加为所需媒体。

为教师和学生规划资源和交付组后,可以在 Endpoint Management 控制台中创建这些项目。

  1. 创建要为教师或学生设备部署的任何设备策略。有关教育配置设备策略的信息,请参阅教育配置设备策略

    “教育配置策略”屏幕

    有关设备策略的信息,请参阅设备策略以及各策略文章。

  2. 配置应用程序(配置 > 应用程序)和 iBooks(配置 > 媒体):

    • 默认情况下,Endpoint Management 在用户级别分配应用程序和 iBooks。首次部署过程中,教师和学生将收到一条提示注册参加 ASM 的提示。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其 ASM 应用程序和 iBooks。Citrix 建议您强制为新 ASM 用户部署应用程序和 iBooks。为此,请选择交付组并单击部署

      可以选择在设备级别分配应用程序(而非 iBooks)。为此,请将强制与设备建立许可证关联设置更改为。在设备级别分配应用程序时,用户不会收到加入批量购买计划的邀请。

    “应用程序配置”屏幕

    • 要仅为教师部署应用程序,请选择仅包括教师的交付组,或者使用以下部署规则:

       Deploy this resource by ASM device type
       only
       Instructor
      

    “应用程序配置”屏幕

  3. 可选。根据 ASM 用户属性创建操作。例如,您可能会创建在新应用程序安装时向学生设备发送通知的操作。或者,可以创建用户属性触发的操作,如以下示例中所示。

    “操作”配置屏幕

    要创建操作,请转至配置 > 操作。有关配置操作的信息,请参阅自动化操作

  4. 配置 > 交付组中,为教师和学生创建交付组。选择从 ASM 中导入的班级。此外,请为教师和学生创建部署规则。

    例如,以下用户分配针对教师。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    “交付组”配置屏幕

    以下用户分配针对学生。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Student
    

    “交付组”配置屏幕

    还可以使用基于 ASM 组织名称的部署规则过滤交付组。

    “交付组”配置屏幕

  5. 将资源分配给交付组。以下示例显示了交付组中包含的 iBook。

    “交付组”配置屏幕

    以下示例显示了在您选择交付组并单击部署时显示的确认对话框。

    “交付组”配置屏幕

    有关详细信息,请参阅部署资源中的“编辑交付组”和“部署到交付组”。

步骤 8:测试教师和学生的设备注册

可以通过以下方法之一注册设备:

  • 学校管理员可以使用您能够在 Endpoint Management 控制台中设置的用户密码注册教师和学生设备。因此,可以向用户提供设置了应用程序和媒体的设备。

  • 收到设备时,用户使用您向其提供的用户密码进行注册。注册完成后,Endpoint Management 将向设备发送设备策略、应用程序和媒体。

要测试注册,请使用链接到 ASM 的 Apple 部署计划设备。

  1. 如果设备未链接到 ASM,请通过执行硬重置来擦除设备内容和设置。

  2. 将 ASM 设备注册给教师。然后,将 ASM 设备注册给学生。

  3. 管理 > 设备页面中,检查 ASM 设备是否在仅 MDM 模式下注册。

    可以按 ASM 设备状态过滤设备页面:已注册 ASM已共享 ASM教师学生

    设备配置屏幕

  4. 要验证是否为每个设备正确部署了 MDM 资源,请执行以下操作:选择设备,单击编辑,然后检查各页面。

    设备配置屏幕

步骤 9:分发设备

Apple 建议您举办活动,以便能够将设备分发给教师和学生。

如果未分发预注册的设备,还需要向这些用户提供以下各项内容:

  • 用于注册的 Endpoint Management 密码

  • 管理式 Apple ID 的 ASM 临时密码。

首次用户体验如下所示。

  1. 用户在硬重置后首次启动其设备时,Endpoint Management 将在注册屏幕中提示用户注册其设备。

  2. 用户提供其管理式 Apple ID 和 Endpoint Management 密码,用于对 Endpoint Management 进行身份验证。

  3. 在 Apple ID 设置步骤中,设备将提示用户提供其管理式 Apple ID 和 ASM 的临时密码。这些项目将对 Apple 服务验证用户的身份。

  4. 设备提示用户为其管理式 Apple ID 创建密码,用于保护 iCloud 中的数据。

  5. 在设置助手结束时,Endpoint Management 将开始向设备中安装策略、应用程序和媒体。对于在用户级别分配的应用程序和 iBooks,设置助手将提示教师和学生注册参加批量购买。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其批量购买应用程序和 iBooks。

配置共用的 iPad

课堂中的多个学生可以共享一个 iPad,学习一位或多位教师教授的不同学科。

您或教师注册共用的 iPad,然后将设备策略、应用程序和媒体部署到这些设备。之后,学生提供其管理式 Apple ID 凭据以登录共用的 iPad。如果您以前为学生部署了“教育配置”策略,这些学生将不再以“其他用户”身份登录共享设备。

Endpoint Management 对共用的 iPad 使用两个通信通道:面向设备所有者(教师)的系统通道和面向当前常驻用户(学生)的用户通道。Endpoint Management 使用这些通道为 Apple 支持的资源发送恰当的 MDM 命令。

通过系统通道部署的资源如下:

  • 设备策略,例如教育配置、锁屏界面消息、最大常驻用户数和通行码锁宽限期
  • 基于设备的批量购买应用程序

    Apple 不支持在共用的 iPad 上使用企业应用程序或基于用户的批量购买应用程序。共用的 iPad 上安装的应用程序是设备的全局应用程序,不基于用户。

  • 基于用户的批量购买 iBooks

    Apple 支持在共用的 iPad 上分配基于用户的批量购买 iBook。

通过用户通道部署的资源如下:

  • 设备策略:应用程序通知、主屏幕布局和限制

    Endpoint Management 仅支持通过用户通道部署这些设备策略。

配置设备策略时,可以在策略设置配置文件作用域中指定部署通道。

“设备策略”配置屏幕

要删除通过用户通道部署的设备策略,请务必为“配置文件删除”策略选择部署范围用户

常规工作流程

通常情况下,您负责向教师提供预配置并且受监督的共用的 iPad。教师之后将这些身份分发给学生。如果您未向教师分发预先注册的共用的 iPad:请务必向教师提供其 Endpoint Management 服务器密码,以便能够注册其设备。

配置和注册共用的 iPad 的常规工作流程如下。

  1. 使用 Endpoint Management 服务器控制台添加启用了共享模式的 ASM 帐户(设置 > Apple 部署计划)。有关详细信息,请参阅接下来的“为共用的 iPad 管理 ASM 帐户”。
  2. 如本部分内容中所述,请向 Endpoint Management 中添加所需的设备策略、应用程序和媒体。将这些资源分配给交付组。
  3. 请教师在共用的 iPad 上执行硬重置。此时将显示面向注册的“远程管理”屏幕。
  4. 教师注册共用的 iPad。 Endpoint Management 将所配置的资源部署到每个已注册的共用的 iPad。自动重新启动后,教师可以与学生共享这些设备。此时 iPad 上将显示登录页面。
  5. 学生选择班级,然后输入其管理式 Apple ID 和临时 ASM (ASM) 密码。 共用的 iPad 对 ASM 进行身份验证,并提示学生创建 ASM 密码。对于下次登录共用的 iPad,学生将提供新 ASM 密码。
  6. 正在共用的 iPad 的另一个学生之后可以通过重复上述步骤进行登录。

为共用的 iPad 管理 ASM 帐户

如果已将 Endpoint Management 与 Apple 教育功能结合使用:您有在 Endpoint Management 中为未共享的设备(例如教师使用的设备)配置的现有 ASM 帐户。可以同时为共享和非共享设备使用相同的 ASM 和相同的 Endpoint Management 服务器。

Endpoint Management 支持以下部署方案:

  • 每个班级一组共用的 iPad

    在此场景中,您将共用的 iPad 分配给一个班级的学生。iPad 留在课堂中。在该班级中教授不同学科的教师使用一组相同的 iPad。

  • 每个教师一组共用的 iPad

    在此场景中,您将共用的 iPad 分配给教师,教师为教授的各个班级使用这些 iPad。

将共用的 iPad 组织整理到设备组中

ASM 允许您通过创建多个 MDM 服务器将设备组织整理到多个组中。将共用的 iPad 分配给 MDM 服务器时,请按班级或按教师为每个共用的 iPad 创建一个设备组:

  • 共用的 iPad 组 1 > 设备组 1 MDM 服务器
  • 共用的 iPad 组 2 > 设备组 2 MDM 服务器
  • 共用的 iPad 组 N > 设备组 N MDM 服务器

为每个设备组添加 ASM 帐户

从 Endpoint Management 服务器控制台创建多个 ASM 帐户时,您将自动导入多个共用的 iPad 组(每个班级或教师一个组):

  • 设备组 1 MDM 服务器 > 设备组 1 帐户
  • 设备组 2 MDM 服务器 > 设备组 2 帐户
  • 设备组 N MDM 服务器 > 设备组 N 帐户

共用的 iPad 的特定要求如下:

  • 每个设备组一个 ASM 帐户,并启用以下设置:
    • 要求注册设备
    • 受监督模式
    • 共享模式
  • 对于指定的教育机构,请务必为所有 ASM 帐户使用相同的教育后缀

要添加帐户,请转至设置 > Apple 部署计划

Apple 部署计划设置配置屏幕

共用的 iPad 的应用程序

共用的 iPad 支持分配基于设备的批量购买应用程序。在共用的 iPad 上部署应用程序之前,Endpoint Management 将向 Apple 批量购买服务器发送一个请求以将批量购买许可证分配到设备。要检查批量购买分配,请转至配置 > 应用程序 > iPad 并展开批量购买

共用的 iPad 的媒体

共用的 iPad 支持分配基于用户的批量购买 iBook。在共用的 iPad 上部署 iBook 之前,Endpoint Management 将向 Apple 批量购买服务器发送一个请求以将批量购买许可证分配给学生。要检查批量购买分配,请转至配置 > 媒体 > iPad 并展开批量购买

媒体配置屏幕

共用的 iPad 的部署规则

对于共用的 iPad 部署,在交付组级别的规则不适用,应为这些规则与用户属性有关。要为每个设备组过滤策略、应用程序和媒体,请执行以下操作:根据帐户名称为资源添加部署规则。例如:

  • 对于设备组 1 帐户,请设置此部署规则:

  Apple Deployment Program account name
  Only
  Device Group 1 account

  • 对于设备组 2 帐户,请设置此部署规则:

  Apple Deployment Program account name
  Only
  Device Group 2 account

  • 对于设备组 N 帐户,请设置此部署规则:

  Apple Deployment Program account name
  Only
  Device Group N account

“设备策略”配置屏幕

要仅对教师(使用非共用的 iPad)部署 Apple 课堂应用程序,请按 ASM 共享状态通过以下部署规则过滤资源:


Deploy this resource regarding ASM shared mode
only
unshared

或:


Deploy this resource regarding ASM shared mode
except
shareable

“应用程序配置”屏幕

共用的 iPad 的交付组

对于每个教师的每个设备组:

  • 配置一个交付组。对于教师,请分配“教育配置”策略定义的所有班级。

“交付组”配置屏幕

  • 该交付组必须包括以下 MDM 资源:
    • 设备策略:
      • 教育配置
      • 锁屏界面消息
      • 应用程序通知
      • 主屏幕布局
      • 限制
      • 最大常驻用户数
      • 通行码锁宽限期
    • 必需的批量购买应用程序
    • 必须的批量购买 iBooks

“交付组”配置屏幕

共用的 iPad 的安全操作

除现有安全操作外,可以对共用的 iPad 使用以下安全操作:

  • 获取常驻用户: 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
  • 注销常驻用户: 强制注销当前用户。
  • 删除常驻用户: 删除特定用户的当前会话。该用户可以重新登录。

“安全操作”屏幕

单击删除常驻用户后,可以指定用户名。

“安全操作”屏幕

安全操作的结果在管理 > 设备 > 常规管理 > 设备 > 交付组页面上显示。

获取与共用的 iPad 有关的信息

请在管理 > 设备页面上查找共用的 iPad 特有的信息:

  • 请查找:
    • 设备是否共用(ASM 共用
    • 登录到共用设备的用户(已登录 ASM 的用户
    • 分配给共用设备的所有用户(ASM 常驻用户

设备配置屏幕

  • 请按 ASM 设备状态过滤设备列表:

设备配置屏幕

  • 管理 > 设备 > 已登录用户的属性页面上查看与登录到共用的 iPad 的用户有关的详细信息。

设备配置屏幕

设备配置屏幕

  • 管理 > 设备 > 交付组页面上查看用于向交付组中的教师和用户部署资源的通道。通道/用户列显示类型(系统用户)和收件人(教师或学生)。

设备配置屏幕

  • 获取与常驻用户有关的信息:
    • 有要同步的数据: 用户是否具有要同步到云的数据。
    • 数据配额: 为用户设置的数据配额,单位为字节。如果用户配额暂时关闭或不强制对用户实施,配额可能不会显示。
    • 已使用的数据: 用户使用的数据量,单位为字节。如果系统收集信息过程中出现错误,值可能不会显示。
    • 已登录: 用户是否已登录设备。

设备配置屏幕

  • 查看两个通道的推送状态。

设备配置屏幕

管理教师、学生和班级数据

管理教师、学生和班级数据时,请注意以下事项:

  • 将 ASM 信息导入 Endpoint Management 后,请勿更改托管的 Apple ID。Endpoint Management 还使用 ASM 用户标识符来标识用户。

  • 如果您在创建一个或多个“教育配置”设备策略后在 ASM 中添加或更改了班级数据,请编辑策略,然后重新部署这些策略。

  • 如果班级的教师在您部署教育配置设备策略后发生了变化,请检查策略以确保其在 Endpoint Management 控制台进行了更新,然后重新部署该策略。

  • 如果您在 ASM 门户中更新了用户属性,Endpoint Management 还将在控制台中更新这些属性。但是,Endpoint Management 不通过与接收其他属性相同的方式接收 ASM 人员职务属性,即“教师”、“学生”或“其他”。因此,如果您在 ASM 中更改了 ASM 人员职务,请完成以下步骤以在 Endpoint Management 中反映该更改。

要管理数据,请执行以下操作:

  1. 在 ASM 门户中,更新学生年级并清除教师年级。

  2. 如果您将学生帐户更改为教师帐户,请将该用户从班级中的学生列表中删除。然后,将该用户添加到同一班级或其他班级中的教师列表中。

    如果您将教师帐户更改为学生帐户,请将该用户从班级中删除。然后,将该用户添加到同一班级或其他班级中的学生列表中。您的更新将在下次同步时在 Endpoint Management 控制台中显示(默认时间间隔为每隔 5 分钟)或提取(默认时间间隔为每隔 24 小时) 。

  3. 编辑教育配置设备策略以应用更改并重新部署。

    • 如果从 ASM 门户中删除用户,Endpoint Management 还会在提取后从 Endpoint Management 控制台中删除该用户。

      可以通过更改以下服务器属性值来缩短两个基线之间的时间间隔:bulk.enrollment.fetchRosterInfoDelay(默认值为 1440 分钟)。

    • 部署资源后:如果学生加入了某个班级,请创建仅包含该学生的交付组,并为该学生部署资源。

    • 如果某个学生或教师丢失了临时密码,请其联系 ASM 管理员。管理员可以提供临时密码或生成一个新密码。

管理在 Apple 校园教务管理 Apple 部署计划中注册的丢失或被盗设备

Apple 的“查找我的 iPhone/iPad”服务包括激活锁功能。激活锁可防止未授权的用户使用或转售在 Apple 部署计划中注册的丢失或被盗设备。

Endpoint Management 包括 ASM 激活锁安全操作,使您能够将锁定代码发送到已注册 ASM Apple 部署计划的设备。

使用 ASM 激活锁安全操作时,Endpoint Management 不需要用户启用“查找我的 iPhone/iPad”服务即可定位设备。ASM 设备被硬重置或完全擦除后,用户需要提供其管理式 Apple ID 和密码才能解锁该设备。

要从控制台中释放锁定,请单击安全操作激活锁绕过。有关绕过激活锁的信息,请参阅绕过 iOS 激活锁。用户还可以将登录保留为空,并键入 ASM 激活锁绕过码作为密码。该信息在属性选项卡上的设备详细信息中提供。

要设置激活锁,请转至管理 > 设备,选择设备,单击安全性,然后单击 ASM 激活锁

设备配置屏幕

属性 ASM 托管密钥ASM 激活锁绕过码显示在设备详细信息中。

设备配置屏幕

ASM 激活锁的 RBAC 权限为设备 > 启用 ASM 绕过激活锁

RBAC 配置屏幕