Citrix Endpoint Management

Apple 设备的批量注册

可以通过两种方式在 Endpoint Management 中注册大量 iOS、macOS 和 Apple TV 设备。

  • 请使用 Apple 部署计划注册您直接从 Apple、Apple 授权经销商或运营商处购买的 iOS、macOS 和 Apple TV 设备。该支持包括共享 iPad。Endpoint Management 支持对 Apple 部署计划使用 Apple 商务管理 (ABM),对教育行业使用 Apple 校园教务管理 (ASM)。本文介绍了如何与 ABM 帐户集成。有关 Apple 校园教务管理帐户的信息,请参阅与 Apple 教育功能相集成

    对于 macOS 设备的注册,Endpoint Management 要求设备运行 macOS 10.10 或更高版本。

  • 还可以使用 Apple Configurator 注册 iOS 设备,无论这些设备是否直接从 Apple 购买,皆可注册。

通过 ABM:

  • 您不需要触摸或准备设备。只需通过提交设备序列号或采购订单编号,即可配置并注册设备。
  • Endpoint Management 注册设备后,可以将其提供给能够立即开始使用这些设备的用户。通过 ABM 设置设备时,可以不执行用户在首次启动设备时需要完成的某些设置助理步骤。
  • 有关设置 ABM 的详细信息,请参阅 Apple 商务管理 中提供的文档。

通过 Apple Configurator:

  • 需要将 iOS 设备连接到运行 macOS 10.7.2 或更高版本以及 Apple Configurator 2 应用程序的 Apple 计算机。请通过 Apple Configurator 2 准备 iOS 设备并配置策略。
  • 为设备预配所需的策略后,首次将设备连接到 Endpoint Management 时,这些设备将从 Endpoint Management 接收策略。您之后可以开始管理设备。
  • 有关使用 Apple Configurator 的详细信息,请参阅 Apple Configurator 帮助 页面。

必备条件

打开所需的端口,以便在 Endpoint Management 和 Apple 之间建立连接。有关详细信息,请参阅端口要求

将您的 Apple 商务管理帐户与 Endpoint Management 集成

如果您没有 ABM 帐户,请参阅 通过 Apple 部署计划部署设备

要将您的 Apple 商务管理帐户与 Endpoint Management 部署相连接,请在 Endpoint Management 控制台和 Apple 部署计划门户中输入信息。请按照以下步骤进行操作:

步骤 1:从 Endpoint Management 服务器下载公钥

  1. 在 Endpoint Management 控制台中,转至设置 > Apple 部署计划计划

    Apple 部署计划设置屏幕

  2. 下载公钥下,单击下载

步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件

  1. 使用您的公司 Apple ID 登录 Apple 部署计划门户

    Apple 部署计划门户

  2. Apple 部署计划门户中,依次单击设置设备管理设置。单击 Add MDM Server(添加 MDM 服务器)。

    Apple 部署计划门户

  3. 键入 Endpoint Management 的名称。键入的服务器名称仅供参考,并不是服务器 URL 或名称。在 Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。

    Apple 部署计划门户

  4. 上载您从 Endpoint Management 下载的服务器密钥,然后单击 Save(保存)。

  5. 生成服务器令牌:单击 Download Token(下载令牌),然后将服务器令牌文件下载到您的计算机。

    Apple 部署计划门户

  6. Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关信息,请参阅ABM 用户指南

    导入令牌文件后,您的 ABM 令牌信息将在 Endpoint Management 控制台中显示。将 ABM 帐户添加到 Endpoint Management 时,可以上载服务器令牌文件。

步骤 3:将 ABM 帐户添加到 Endpoint Management

可以将多个 ABM 帐户添加到 Endpoint Management。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后将 ABM 帐户与不同的设备策略相关联。

例如,可以将来自不同国家/地区的所有 ABM 帐户集中在同一 Endpoint Management 服务器上,以导入和监督所有 ABM 设备。通过按部门、组织层次结构或其他结构自定义注册设置和设置助理选项,策略将在整个组织中提供合适的功能,用户将获得恰当的帮助。

  1. 在 Endpoint Management 控制台中,前往设置 > Apple 部署计划,然后在添加 Apple 部署计划帐户下,单击添加

    Apple 部署计划设置屏幕

  2. 服务器令牌页面中,指定您的服务器令牌文件,然后单击上载

    Apple 部署计划设置屏幕

    此时将显示您的服务器令牌信息。

  3. 帐户信息页面中,指定以下设置:

    Apple 部署计划设置屏幕

    • Apple 部署计划帐户名称: 此 Apple 部署计划帐户的唯一名称。请使用反映您如何组织 Apple 部署计划帐户(例如按国家/地区或组织层次结构)的名称。
    • 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
  4. iOS 设置中,指定以下设置:

    Apple 部署计划设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 需要提供凭据才能完成设备注册: ABM 设置过程中是否需要用户输入其凭据。Citrix 建议您要求所有用户在设备注册期间输入其凭据,从而仅允许授权用户注册设备。默认值为

      如果您在首次设置之前启用 ABM 但不选择此选项,Endpoint Management 将创建 ABM 组件。此创建包括 ABM 用户、Secure Hub、软件清单和 ABM 部署组等组件。如果未选择此选项,Endpoint Management 将不创建这些组件。因此,如果您在以后清除此选项,则尚未输入其凭据的用户将无法在 ABM 中注册,因为这些 ABM 组件不存在。在这种情况下,要添加 ABM 组件,请禁用并启用 ABM 帐户。

    • 等待完成配置设置: 是否要求用户的设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。此设置适用于处于受监督模式的设备。默认值为
    • Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    设备设置:

    • 受监督模式: 如果要使用 Apple Configurator 管理 ABM 注册的设备或启用了等待完成配置设置,必须设置为。默认值为。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式
    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
    • 允许设备配对: 是否允许通过 ABM 注册的设备通过 Apple App Store 和 Apple Configurator 进行管理。默认值为

    监督身份

    • 添加证书以支持使用 GroundControl。使用此证书,您可以执行以下操作:
      • 覆盖配对限制,以避免显示“信任此主机”提示。
      • 通过 USB 上报托管设备操作以执行配置文件安装等活动,而无需用户交互。这样做将允许 GroundControl 启用单应用程序模式和设备锁定以进行签出。
      • 将备份还原到 ABM 设备。

    有关 GroundControl 的详细信息,请参阅 GroundControl Web 站点

  5. macOS 设置中,指定以下设置:

    Apple 部署计划帐户设置屏幕

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 等待完成配置设置: 如果选择,macOS 设备将不继续在“设置助理”下操作,直到将 MDM 资源通行码部署到设备。该部署在创建本地帐户之前进行。此设置适用于 macOS 10.11 及更高版本的设备。默认值为

    设备设置:

    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
  6. Apple TV 设置中,指定以下设置:

    • 要求注册设备: 阻止用户跳过注册过程。
    • 需要提供凭据才能完成设备注册: 注册过程中对凭据的质询。关闭此设置时,Apple TV 将注册为默认“设备注册计划用户”。
    • 等待完成配置设置: 设备在设置助理屏幕中等待,直至所有资源都部署完毕。
    • 受监督模式: 配置限制过程中向管理员提供更多功能。
    • 允许删除注册配置文件: 允许用户删除注册配置文件。
    • 允许设备配对: 允许通过 Apple 工具(例如 Apple App Store 和 Apple Configurator)管理通过设备注册计划注册的设备。

    Apple 部署计划帐户设置屏幕

  7. iOS 设置助手选项中,选择您的用户在首次启动其设备时跳过的 iOS 设置助手步骤。所有项目的默认设置为未选中。

    Apple 部署计划帐户设置屏幕

    • 定位服务: 在设备上设置定位服务。
    • Touch ID: 在 iOS 设备上设置 Touch ID。
    • 通行码锁: 为设备创建通行码。
    • 设置为新对象或还原: 将设备设置为新设备或从 iCloud 或 Apple App Store 备份设置设备。
    • 从 Android 移动: 启用从 Android 设备向 iOS 设备传输数据。此选项仅在已选择设置为新对象或还原(即跳过此步骤)时可用。
    • Apple ID: 设置设备的管理式 Apple ID 帐户。
    • 条款和条件: 要求用户接受条款和条件才能使用设备。
    • Apple Pay: 在 iOS 设备上设置 Apple Pay。
    • Siri: 是否在设备上使用 Siri。
    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 在 iOS 设备上设置显示分辨率(标准或缩放)。
    • True Tone: 在 iOS 设备上设置 True Tone 显示。
    • 主页按钮: 在 iOS 设备上设置主页按钮屏幕敏感度。
    • 新增功能亮点: 在 iOS 11.0 设备(最低版本)上设置入门信息屏幕、从任意位置访问 Dock 以及在最近使用的应用程序之间切换。
    • 隐私: 阻止用户在 ABM 设备设置过程中看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 阻止用户在设置 ABM 设备过程中看到强制软件更新屏幕。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 阻止用户在 ABM 设备设置过程中看到“屏幕时间”屏幕。适用于 iOS 12.0 及更高版本。
    • SIM 卡设置: 阻止用户在 ABM 设备设置过程中看到“添加手机网络规划”屏幕。适用于 iOS 12.0 及更高版本。
    • iMessage 和 FaceTime: 阻止用户在 ABM 设备设置过程中看到“iMessage 和 FaceTime”屏幕。适用于 iOS 12.0 及更高版本。
    • 外观: 阻止用户看到选择您的外观屏幕。适用于 iOS 13.0 及更高版本。
    • 欢迎: 阻止用户看到入门屏幕。适用于 iOS 13.0 及更高版本。

    ABM 帐户显示在设置 > Apple 部署计划上。

  8. macOS 设置助手选项中,选择您的用户在首次启动其设备时跳过的 macOS 设置助手步骤。所有项目的默认设置为未选中。

    Apple 部署计划帐户设置屏幕

    • 设置为新对象或还原: 将设备设置为新设备或从 iCloud 或 Apple App Store 备份设置设备。
    • 定位服务: 在设备上设置定位服务。
    • Apple ID: 设置设备的管理式 Apple ID 帐户。
    • 条款和条件: 要求用户接受条款和条件才能使用设备。
    • Siri: 是否在设备上使用 Siri。
    • FileVault: 使用 FileVault 加密启动磁盘。如果系统具有一个本地用户帐户并且该帐户已登录到 iCloud 时,Endpoint Management 才应用 FileVault 设置。

      可以使用 macOS FileVault 磁盘加密功能为系统卷的内容加密来保护系统卷 (https://support.apple.com/en-us/HT204837)。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。

    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 隐私: 阻止用户在 ABM 设备设置过程中看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
    • iCloud 分析: 阻止用户在 ABM 设备设置过程中看到 iCloud 分析屏幕。适用于 macOS 10.13 及更高版本。
    • iCloud 文档和桌面: 阻止用户在 ABM 设备设置过程中看到 iCloud 文档和桌面屏幕。适用于 macOS 10.13 及更高版本。
    • 外观: 阻止用户在 ABM 设备设置过程中看到“选择您的外观”屏幕。适用于 macOS 10.14 及更高版本。

    • 本地帐户设置选项: 指定在设备上创建管理员帐户的设置。用户使用此信息登录其 macOS 设备。Endpoint Management 将使用指定的信息来创建帐户。
      • 创建主帐户作为标准用户: Endpoint Management 创建具有标准权限的用户,而非授予此用户对设备的管理员权限。由于 macOS 需要管理员帐户,因此 Endpoint Management 首先创建一个管理员帐户,然后创建一个新的标准帐户并将其设置为主帐户。
      • 管理员全名: 键入系统为管理员帐户显示的名称。
      • 管理员短名称: 键入设备为主文件夹显示的名称和在 shell 中显示的名称。
      • 管理员密码: 键入管理员帐户的安全密码。
      • 显示用户和组中的管理员帐户: 如果清除此选项,管理员帐户不会显示在 macOS 设置中的用户和组中。如果您创建主帐户作为标准用户,请启用此设置以隐藏 Endpoint Management 首先创建的管理员帐户。
  9. Apple TV 设置助手选项中,选择您的用户在首次启动其设备时跳过的 Apple TV 设置助手步骤。所有项目的默认设置为未选中。

    Apple 部署计划设置配置屏幕

  10. 要测试 Endpoint Management 与 Apple 之间的连接,请选择该帐户并单击测试连接

    Apple 部署计划设置屏幕

    此时将显示一条状态消息。

    Apple 部署计划设置屏幕

续订 Apple 部署计划与 Endpoint Management 之间的连接

如果您的自动设备注册服务器令牌过期,请更换 Apple 校园教务管理/Apple 商务管理的令牌。

步骤 1:从 Endpoint Management 服务器下载公钥

  1. 在 Endpoint Management 控制台中,转至设置 > Apple 部署计划计划以下载新公钥。

步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件

  1. 登录 Apple 部署计划门户 以下载令牌。

  2. 打开设置并选择需要令牌的服务器。单击编辑

  3. 上载您从 Endpoint Management 下载的新公钥,并保存所做的更改。

  4. 单击下载令牌以下载新令牌。

下载服务器令牌示意图

步骤 3:在 Endpoint Management 中上载服务器令牌文件

  1. 在 Citrix Endpoint Management 中,转到设置 > Apple 部署计划。选择部署计划帐户,单击编辑,然后上载您的服务器令牌文件。

  2. 单击下一步保存更改。

注册启用了 Apple 部署计划的设备时的用户体验

用户注册启用了 Apple 部署计划的设备时,其体验如下。

  1. 用户启动启用了 Apple 部署计划的设备。

  2. Endpoint Management 将您在 Endpoint Management 控制台中配置的 Apple 部署计划配置交付到启用了 Apple 部署计划的设备。

  3. 用户在其设备上配置初始设置。

  4. 该设备将自动启动 Endpoint Management 设备注册过程。

  5. 如果将 Endpoint Management 与 Citrix Workspace 集成,部署计划的部署软件包中将包括 Workspace 应用程序作为必需应用程序。在这种情况下,Secure Hub 会提示用户先在 Citrix Workspace 中注册设备,然后在 Endpoint Management 中注册。

  6. 用户继续在其设备上配置其他初始设置。

  7. 在主屏幕中,系统可能会提示用户登录 Apple App Store,以便他们可以下载 Citrix Secure Hub。

    注意:

    如果将 Endpoint Management 配置为使用基于设备的批量购买应用程序分配来部署 Secure Hub 应用程序,则此步骤是可选步骤。在这种情况下,不需要创建 Apple App Store 帐户,也不需要使用现有帐户。

    Apple 部署计划设置

  8. 用户打开 Secure Hub 并键入其凭据。如果策略要求,系统可能会提示用户创建并验证 Citrix PIN。

    Endpoint Management 将任何其余必备应用程序部署到设备。

配置 ABM 帐户的设备策略和应用程序的部署规则

可以使用配置 > 设备策略配置 > 应用程序下的部署规则部分将 ABM 帐户与不同的设备策略和应用程序关联。可以指定某个策略或应用程序:

  • 仅针对特定的 ABM 帐户部署。
  • 针对除所选帐户外的所有 ABM 帐户部署。

ABM 帐户的列表仅包括状态为已启用或已禁用的帐户。如果 ABM 帐户已禁用,ABM 设备将不属于该帐户。因此,Endpoint Management 不会将应用程序或策略部署到该设备。

在以下示例中,设备策略仅针对 ABM 帐户名称为“ABM Account NR”的设备进行部署。

Apple 设备计划设置屏幕

配置 Apple Configurator 设置

  1. 在 Endpoint Management 控制台中,转至设置 > Apple Configurator 设备注册

    Apple 部署程序设置屏幕

  2. 启用 Apple Configurator 设备注册设置为

  3. Enrollment URL to enter in Apple Configurator(要在 Apple Configurator 中输入的注册 URL)为只读字段。此设置是 Endpoint Management 服务器与 Apple 通信时使用的 URL。稍后在这些步骤中,请将该 URL 复制并粘贴到 Apple Configurator 中。在 Apple Configurator 2 中,注册 URL 是指 Endpoint Management 服务器的完全限定域名 (FQDN)(例如 mdm.server.url.com)或 IP 地址。

  4. 要防止注册未知设备,请将要求在注册之前注册设备设置为。注意:如果此设置为,必须先在 Endpoint Management 中手动或通过 CSV 文件将配置的设备添加到管理 > 设备,然后再进行注册。

  5. 请将需要提供凭据才能完成设备注册设置为,才能要求使用 iOS 设备的用户在注册时输入其凭据。默认为不要求提供注册凭据。

  6. 注意:如果 Endpoint Management 服务器使用的是可信 SSL 证书,请跳过此步骤。单击导出锚点证书,然后将 certchain.pem 文件保存到 macOS 钥匙串中(登录或系统)。

    Apple 部署程序设置屏幕

  7. 启动 Apple Configurator,然后转至 Prepare(准备)> Setup(设置)> Configure Settings(配置设置)

  8. 设备注册设置中:
    • 将步骤 4 中的 MDM 服务器 URL 粘贴到 Configurator 中的 MDM 服务器 URL 框中。
    • 如果 Endpoint Management 不使用可信 SSL 证书,请将根证书颁发机构和 SSL 服务器证书颁发机构复制到锚点证书中。
  9. 使用 USB 电缆的基座接口将设备连接到运行 Apple Configurator 的 Mac,以便同时配置多达 30 台已连接的设备。如果没有基座接口,请使用一个或多个有源 USB 2.0 高速集线器连接设备。

  10. 单击 Prepare(准备)。有关通过 Apple Configurator 准备设备的详细信息,请参阅 Apple Configurator 帮助页面准备设备

  11. 在 Apple Configurator 中,配置所需的设备策略。

  12. 在配置每个设备的过程中,请将其打开以启动 iOS 设置助理,以便为首次使用准备好设备。

使用 Apple 部署计划时续订或更新证书

续订 Endpoint Management 安全套接字层 (SSL) 证书时,请在 Endpoint Management 控制台的设置 > 证书中上载新证书。在导入对话框的用作中,单击 SSL 侦听器,以便将该证书用于 SSL。重新启动服务器后,Endpoint Management 将使用新 SSL 证书。有关 Endpoint Management 中的证书的详细信息,请参阅在 Endpoint Management 中上载证书

续订或更新 SSL 证书时,不需要在 Apple 部署计划与 Endpoint Management 之间重新建立信任关系。但是,可以按照本文中之前的步骤随时重新配置 Apple 部署计划设置。

有关 Apple 部署计划的详细信息,请参阅 Apple 文档

使用 Apple Configurator 将 iOS 设备置于受监督模式

重要:

将设备置于受监督模式时,系统将会在设备上安装所选版本的 iOS,同时完全擦除设备上以前存储的任何用户数据或应用程序。

  1. 从 App Store 安装 Apple Configurator。

  2. 将 iOS 设备连接到 Apple 电脑。

  3. 启动 Apple Configurator。Configurator 显示您有一台设备需要进行监督前的准备工作。

  4. 设备监督前准备工作:

    • Supervision(监督)控件值切换到 On(开)。如果您打算通过定期重新应用配置来维护对设备的控制,Citrix 建议您选择此设置。

    • 提供设备的名称(可选)。

    • 在 iOS 中,单击 Latest(最新),获取您要安装的最新版本的 iOS。

  5. 当您准备进行设备监督前的准备工作时,请单击 Prepare(准备)。