批量注册 Apple 设备

可以通过两种方式在 Endpoint Management 中注册大量 iOS、macOS 和 Apple TV 设备。

  • 可以使用 Apple 的设备注册计划 (DEP) 注册您直接从 Apple、Apple 授权经销商或运营商处购买的 iOS、macOS 和 Apple TV 设备。此支持包括共享 Ipad。Endpoint Management 支持设备注册计划(面向企业)和 Apple 校园教务管理(面向教育行业)。本文介绍了如何与 Business DEP 帐户集成。有关 Apple 校园教务管理 DEP 帐户的信息,请参阅与 Apple 教育功能相集成

    对于 macOS 设备的 DEP 注册,Endpoint Management 要求设备运行 macOS 10.10 或更高版本。

  • 也可以使用 Apple Configurator 注册 iOS 设备,无论这些设备是否直接从 Apple 购买,皆可注册。

通过 Business DEP:

  • 您不需要触摸或准备设备。只需通过 DEP 提交设备序列号或采购订单编号,即可配置并注册设备。
  • Endpoint Management 注册设备后,可以将其提供给能够立即开箱使用这些设备的用户。此外,通过 DEP 设置设备时,可以不执行用户在首次启动设备时需要完成的某些设置助理步骤。
  • 有关设置 DEP 的详细信息,请参阅 Apple 设备注册计划页面。

通过 Apple Configurator:

  • 需要将 iOS 设备连接到运行 macOS 10.7.2 或更高版本以及 Apple Configurator 2 应用程序的 Apple 计算机。请通过 Apple Configurator 2 准备 iOS 设备并配置策略。
  • 为设备预配所需的策略后, 首次将设备连接到 Endpoint Management 时, 这些设备将从 Endpoint Management 接收策略。您之后可以开始管理设备。
  • 有关使用 Apple Configurator 的详细信息,请参阅 Apple Configurator 帮助。

必备条件

打开所需的端口, 以便在 Endpoint Management 与 Apple 之间建立连接。有关详细信息,请参阅端口要求

将 Apple Business DEP 帐户与 Endpoint Management 相集成

如果没有 Apple 企业 DEP 帐户,请参阅通过 Apple DEP 部署设备

要将您的 Apple Business DEP 帐户与 Endpoint Management 服务器部署相连接,请在 Endpoint Management 控制台和 Apple DEP 门户中输入信息,如以下步骤中所述。

步骤 1:从 Endpoint Management 服务器下载公钥

  1. 登录 Endpoint Management 控制台,转至设置 > Apple 设备注册计划(DEP)

    Apple DEP 设置屏幕示意图

  2. 下载公钥下,单击下载

步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件

  1. 使用您的公司 Apple ID 登录 Apple 部署计划门户

  2. Apple DEP 门户中,单击设备注册计划

    Apple DEP 门户图

  3. 单击管理服务器,然后单击右侧的添加 MDM 服务器

    Apple DEP 门户图

  4. 添加 MDM 服务器中,输入 Endpoint Management 服务器的名称,然后单击下一步

    Apple DEP 门户图

  5. Apple DEP 门户上,单击选择文件,选择从 Endpoint Management 下载的公钥,然后单击下一步

    Apple DEP 门户图

  6. 单击您的服务器令牌生成一个服务器令牌(可从浏览器下载),然后单击完成

    Apple DEP 门户图

    导入令牌文件后,您的 Apple DEP 令牌信息将在 Endpoint Management 控制台中显示。您将在向 Endpoint Management 中添加 DEP 帐户时上载服务器令牌文件。

步骤 3: 将 DEP 帐户添加到 Endpoint Management

可以将多个 DEP 帐户添加到 Endpoint Management。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后将 DEP 帐户与不同的设备策略相关联。

例如,可以将来自不同国家/地区的所有 DEP 帐户集中在同一 Endpoint Management 服务器上,以导入和监督所有 DEP 设备。通过按部门、组织层次结构或其他结构自定义注册设置和设置助手选项,可以确保策略在整个组织中提供合适的功能,并确保设备用户获得合适的设置帮助。

  1. 在 Endpoint Management 控制台中,转至设置 > Apple 设备注册计划(DEP),然后在添加 DEP 帐户下,单击添加

    Apple DEP 设置屏幕示意图

  2. 帐户信息页面中,指定以下设置:

    Apple DEP 设置屏幕示意图

    • DEP 帐户名称: 此 DEP 帐户的唯一名称。请使用反映您如何组织 DEP 帐户(例如按国家/地区或组织层次结构)的名称。
    • 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
    • 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
    • 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
    • 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
  3. 服务器令牌页面中,指定您的服务器令牌文件,然后单击上载

    Apple DEP 设置屏幕示意图

    此时将显示您的服务器令牌信息。

  4. iOS 设置中,指定以下设置:

    Apple DEP 设置屏幕示意图

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 需要提供凭据才能完成设备注册: DEP 设置过程中是否需要用户输入其凭据。Citrix 建议您要求所有用户在设备注册期间输入其凭据,从而仅允许授权用户注册设备。默认值为

      当 DEP 打开以进行首次设置并且您未选中此选项时,将创建 DEP 组件,例如 DEP 用户、Secure Hub、软件清单和 DEP 部署组。如果未选择此选项,Endpoint Management 将不创建这些组件。因此,如果您在以后清除此选项,则尚未输入其凭据的用户将无法执行 DEP 注册,因为这些 DEP 组件不存在。在这种情况下,要添加 DEP 组件,应禁用并启用 DEP 帐户。

    • 等待完成配置设置: 是否要求用户的设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。此选项适用于处于受监督模式的设备。默认值为
    • Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    设备设置:

    • 受监督模式: 如果要使用 Apple Configurator 管理 DEP 注册的设备或启用了等待完成配置设置,必须设置为。默认值为。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式
    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
    • 允许设备配对: 是否允许通过 DEP 注册的设备通过 iTunes 和 Apple Configurator 进行管理。默认值为

    监督身份

    • 添加一个证书以支持使用 GroundControl。使用此证书时, 可以执行以下操作:
      • 覆盖配对限制以避免 “信任此主机” 提示。
      • 通过 USB 提升托管设备的操作, 以执行无需用户交互的配置文件等活动。这将允许 GroundControl 启用单应用模式和设备锁定以进行签出。
      • 将备份还原到 DEP 设备。

    有关 GroundControl 的详细信息,请参阅GroundControl web 站点

  5. macOS 设置中,指定以下设置:

    Apple DEP 设置屏幕示意图

    注册设置:

    • 要求设备注册: 是否要求用户注册其设备。默认值为
    • 等待完成配置设置: 如果选择,macOS 设备将不继续在“设置助理”下操作,直到将 MDM 资源通行码部署到设备。该部署在创建本地帐户之前进行。这一点适用于 macOS 10.11 及更高版本的设备。默认值为

    设备设置:

    • 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为
  6. APPLE TV Settings (APPLE 电视设置) 中, 指定以下设置:

    • 要求注册设备: 阻止用户跳过注册过程。
    • 需要提供凭据才能完成设备注册: 注册过程中对凭据的质询。关闭此设置时,Apple TV 将注册为默认“设备注册计划用户”。
    • 等待完成配置设置: 设备在设置助理屏幕中等待,直至所有资源都部署完毕。
    • 受监督模式: 配置限制过程中向管理员提供更多功能。
    • 允许删除注册配置文件: 允许用户删除注册配置文件。
    • 允许设备配对: 允许通过 Apple 工具(例如 iTunes 和 Apple Configurator)管理通过设备注册计划注册的设备。

    "Apple DEP 设置" 配置屏幕图

  7. iOS 设置助手选项中,选择您的用户在首次启动其设备时跳过的 iOS 设置助手步骤。所有项目的默认设置为未选中。

    Apple DEP 设置屏幕示意图

    • 定位服务: 在设备上设置定位服务。
    • Touch ID: 在 iOS 设备上设置 Touch ID。
    • 通行码锁: 为设备创建通行码。
    • 设置为新对象或还原: 将设备设置为新设备或从 iCloud 或 iTunes 备份设置设备。
    • 从 Android 移动: 启用从 Android 设备向 iOS 设备传输数据。此选项仅在已选择设置为新对象或还原(即跳过此步骤)时可用。
    • Apple ID: 设置设备的 Apple ID 帐户。
    • 条款和条件: 要求用户接受条款和条件才能使用设备。
    • Apple Pay: 在 iOS 设备上设置 Apple Pay。
    • Siri: 是否在设备上使用 Siri。
    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 显示缩放: 在 iOS 设备上设置显示分辨率(标准或缩放)。
    • True Tone: 在 iOS 设备上设置 True Tone 显示。
    • 主页按钮: 在 iOS 设备上设置主页按钮屏幕敏感度。
    • 新增功能亮点: 在 iOS 11.0 设备(最低版本)上设置入门信息屏幕、从任意位置访问 Dock 以及在最近使用的应用程序之间切换。
    • 隐私: 阻止用户在 DEP 设备设置过程中看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
    • 软件更新: 阻止用户在 DEP 设备设置过程中看到强制软件更新屏幕。适用于 iOS 12.0 及更高版本。
    • 屏幕时间: 阻止用户在 DEP 设备设置过程中看到“屏幕时间”屏幕。适用于 iOS 12.0 及更高版本。
    • SIM 卡设置: 阻止用户在 DEP 设备设置过程中看到“添加手机网络规划”屏幕。适用于 iOS 12.0 及更高版本。
    • iMessage 和 FaceTime: 阻止用户在 DEP 设备设置过程中看到“iMessage 和 FaceTime”屏幕。适用于 iOS 12.0 及更高版本。

    DEP 帐户显示在设置 > Apple 设备注册计划(DEP) 上。

  8. macOS 设置助手选项中,选择您的用户在首次启动其设备时跳过的 macOS 设置助手步骤。所有项目的默认设置为未选中。

    Apple DEP 设置屏幕示意图

    • 设置为新对象或还原: 将设备设置为新设备或从 iCloud 或 iTunes 备份设置设备。
    • 定位服务: 在设备上设置定位服务。
    • Apple ID: 设置设备的 Apple ID 帐户。
    • 条款和条件: 要求用户接受条款和条件才能使用设备。
    • Siri: 是否在设备上使用 Siri。
    • FileVault: 使用 FileVault 加密启动磁盘。仅当系统具有一个本地用户帐户并且该帐户已登录到 iCloud 时 Endpoint Management 才应用 FileVault 设置。

      可以使用 macOS FileVault 磁盘加密功能为系统卷的内容加密来保护系统卷 (https://support.apple.com/en-us/HT204837)。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。

    • 应用程序分析: 设置是否与 Apple 共享崩溃数据和使用情况统计信息。
    • 注册: 要求用户注册其设备。

      注册信息设置通过 OS X 10.9 获取。注册过程允许您向 Apple 发送系统注册信息。此信息已将您的联系信息与 Mac 硬件关联。Apple 主要使用该信息来帮助提供 AppleCare 支持。如果以前输入了 Apple ID,设置助理将根据您的 Apple ID 帐户有选择地提交注册。如果未输入 Apple ID,可以手动输入您的联系信息。

      本地帐户设置选项下,指定用于创建管理员帐户的设置,这是 macOS 所需的设置。Endpoint Management 将使用指定的信息创建帐户。

    • 隐私: 阻止用户在 DEP 设备设置过程中看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
    • iCloud 分析: 阻止用户在 DEP 设备设置过程中看到 iCloud 分析屏幕。适用于 macOS 10.13 及更高版本。
    • iCloud 文档和桌面: 阻止用户在 DEP 设备设置过程中看到 iCloud 文档和桌面屏幕。适用于 macOS 10.13 及更高版本。
    • 外观: 阻止用户在 DEP 设备设置过程中看到“选择您的外观”屏幕。适用于 macOS 10.14 及更高版本。
  9. Apple TV 设置助手选项中,选择您的用户在首次启动其设备时跳过的 Apple TV 设置助手步骤。所有项目的默认设置为未选中。

    "Apple DEP 设置" 配置屏幕图

  10. 要测试 Endpoint Management 与 Apple 之间的连接,请选择该帐户并单击测试连接

    Apple DEP 设置屏幕示意图

    此时将显示一条状态消息。

    Apple DEP 设置屏幕示意图

配置 DEP 帐户的设备策略和应用程序的部署规则

可以使用配置 > 设备策略配置 > 应用程序下的部署规则部分将 DEP 帐户与不同的设备策略和应用程序关联。可以指定某个策略或应用程序:

  • 仅针对特定的 Apple DEP 帐户部署。
  • 针对除所选帐户外的所有 Apple DEP 帐户部署。

DEP 帐户的列表仅包括状态为已启用或已禁用的帐户。如果 DEP 帐户已禁用,DEP 设备将不属于该帐户。因此,Endpoint Management 不会将应用程序或策略部署到该设备。

在以下示例中,设备策略仅针对 Apple DEP 帐户名称为“DEP Account NR”的设备进行部署。

![Apple DEP 设置屏幕示意图](/en-us/citrix-endpoint-management/media/apple-dep-deployment-rule-policy-example.png)

配置 Apple Configurator 设置

  1. 在 Endpoint Management 控制台中,转至设置 > Apple Configurator 设备注册

    Apple DEP 设置屏幕示意图

  2. 启用 Apple Configurator 设备注册设置为

  3. Enrollment URL to enter in Apple Configurator(要在 Apple Configurator 中输入的注册 URL)为只读字段。这是 Endpoint Management 服务器与 Apple 通信时使用的 URL。稍后在这些步骤中,请将该 URL 复制并粘贴到 Apple Configurator 中。在 Apple Configurator 2 中,注册 URL 是指 Endpoint Management 服务器的完全限定域名 (FQDN)(例如 mdm.server.url.com)或 IP 地址。

  4. 要防止注册未知设备,请将要求在注册之前注册设备设置为。注意:如果此设置为,必须先在 Endpoint Management 中手动或通过 CSV 文件将配置的设备添加到管理 > 设备,然后再进行注册。

  5. 请将需要提供凭据才能完成设备注册设置为,才能要求使用 iOS 设备的用户在注册时输入其凭据。默认为不要求提供注册凭据。

  6. 注意:如果 Endpoint Management 服务器使用的是可信 SSL 证书,请跳过此步骤。单击导出锚点证书,然后将 certchain.pem 文件保存到 macOS 钥匙串中(登录或系统)。

    Apple DEP 设置屏幕示意图

  7. 启动 Apple Configurator,然后转至 Prepare(准备)> Setup(设置)> Configure Settings(配置设置)

  8. 设备注册设置中,将步骤 4 中的 MDM 服务器 URL 粘贴到 Configurator 中的 MDM server URL(MDM 服务器 URL)字段。

  9. 如果 Endpoint Management 不使用可信 SSL 证书,请在设备注册设置中,将根证书颁发机构和 SSL 服务器证书颁发机构复制到锚点证书中。

  10. 使用 USB 电缆的基座接口将设备连接到运行 Apple Configurator 的 Mac,以便同时配置多达 30 台已连接的设备。如果没有基座接口,请使用一个或多个有源 USB 2.0 高速集线器连接设备。

  11. 单击 Prepare(准备)。有关通过 Apple Configurator 准备设备的详细信息,请参阅 Apple Configurator 帮助页面准备设备

  12. 在 Apple Configurator 中,配置所需的设备策略。

  13. 在配置每个设备的过程中,请将其打开以启动 iOS 设置助理,以便为首次使用准备好设备。

使用 Apple DEP 时续订或更新证书

续订 Endpoint Management 安全套接字层 (SSL) 证书时,请在 Endpoint Management 控制台的设置 > 证书中上载新证书。在导入对话框的用作中,请务必单击 SSL 侦听器,以便将该证书用于 SSL。重新启动服务器后,Endpoint Management 将使用新 SSL 证书。有关 Endpoint Management 中的证书的详细信息, 在 Endpoint Management 中上载证书请参阅。

续订或更新 SSL 证书时,不需要在 Apple DEP 与 Endpoint Management 之间重新建立信任关系。但是,可以按照本文中之前的步骤随时重新配置 DEP 设置。

有关 Apple DEP 的详细信息,请参阅 Apple 文档

使用 Apple Configurator 将 iOS 设备置于受监督模式

重要:

将设备置于受监督模式时,系统将会在设备上安装所选版本的 iOS,同时完全擦除设备上以前存储的任何用户数据或应用程序。

  1. https://apps.apple.com/us/app/apple-configurator-2/id1037126344?mt=12 安装 Apple Configurator。

  2. 将 iOS 设备连接到 Apple 电脑。

  3. 启动 Apple Configurator。Configurator 显示您有一台设备需要进行监督前的准备工作。

  4. 设备监督前准备工作:

    • Supervision(监督)控件值切换到 On(开)。如果您打算通过定期重新应用配置来维护对设备的控制,Citrix 建议您选择此设置。

    • 提供设备的名称(可选)。

    • 在 iOS 中,单击 Latest(最新),获取您要安装的最新版本的 iOS。

  5. 当您准备进行设备监督前的准备工作时,请单击 Prepare(准备)。