通过 Apple 部署计划部署设备
Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,需要在“Apple 部署计划”中注册才能使用 Apple 商务管理 (ABM) 或 Apple 校园教务管理 (ASM) 在 XenMobile 中注册和管理设备。该计划面向 iOS、iPadOS 和 macOS 设备。
Apple 部署计划面向组织而非个人提供。您必须提供大量企业详细信息以及创建 Apple 部署计划帐户所需的信息。可能需要一些时间才能完成帐户申请并收到帐户审批结果。
对于教育帐户,需要创建一个 Apple 校园教务管理帐户。ASM 统一了 Apple 部署计划和 Apple 批量购买。要创建 Apple 校园教务管理帐户,请访问 Apple 校园教务站点。
注册 Apple 部署计划
要在 Apple 商务管理中注册,请转至 business.apple.com。单击立即注册申请新帐户。最佳做法是使用贵组织的电子邮件地址,例如 deployment@company.com。注册过程可能需要几天时间。收到登录凭据后,请按照 Apple 商务管理中提供的步骤创建帐户。
注意:
对于教育帐户,请参阅与 Apple 教育功能相集成。
将您的 Apple 商务管理帐户与 XenMobile 相关联
要将 Apple 商务管理帐户与 XenMobile 部署相关联,请在 XenMobile 控制台和 Apple 商务管理中输入信息。请按照以下步骤进行操作:
步骤 1:从 XenMobile Server 下载公钥
-
在 XenMobile 控制台中,转至设置 > Apple 部署计划。
-
在下载公钥下,单击下载。
步骤 2:在您的 Apple 帐户中创建并下载服务器令牌文件
- 使用管理员或设备注册管理员帐户登录到 Apple 商务管理。
-
在边栏底部,单击设置,然后单击设备管理设置 > 添加 MDM 服务器。
- 在 MDM 服务器名称设置中,键入 XenMobile Server 的名称。键入的服务器名称仅供参考。它不是服务器的 URL 或名称。
- 在 Upload Public Key(上载公钥)下,单击 Choose File(选择文件)。上载从 XenMobile 下载的公钥,然后保存更改。
-
单击 Download Token(下载令牌)以将服务器令牌文件下载到您的计算机。
必须在向 XenMobile 中添加 ABM 帐户时上载服务器令牌文件。导入令牌文件后,您的 ABM 令牌信息将在 XenMobile 控制台中显示。
- 在 Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择设备的分配方式,然后提供所需的信息。有关信息,请参阅《ABM 用户指南》。
步骤 3:向 XenMobile 中添加 ABM 帐户
可以向 XenMobile 中添加多个 ABM 帐户。有了此功能,可以按国家/地区和部门等使用不同的注册设置和设置助理选项。然后将 ABM 帐户与不同的设备策略相关联。
例如,可以将来自不同国家/地区的所有 ABM 帐户集中在同一 XenMobile Server 上,以导入和监督所有 ABM 设备。通过按部门、组织层次结构或其他结构自定义注册设置和设置助理选项,策略将在整个组织中提供合适的功能,用户将获得恰当的帮助。
-
在 XenMobile 控制台中,转至设置 > Apple 部署计划,然后在添加 Apple 部署计划帐户下,单击添加。
-
在服务器令牌页面中,指定您的服务器令牌文件,然后单击上载。
此时将显示您的服务器令牌信息。
-
在帐户信息页面中,指定以下设置:
- Apple 部署计划帐户名称: 此 Apple 部署计划帐户的唯一名称。请使用反映您如何组织 Apple 部署计划帐户(例如按国家/地区或组织层次结构)的名称。
- 业务/教育单位: 将设备分配到的业务单位或部门。此字段为必填字段。
- 唯一服务 ID: 有助于您进一步识别帐户的可选唯一 ID。
- 支持电话号码: 支持电话号码,用户在设置期间拨打此号码寻求帮助。此字段为必填字段。
- 支持电子邮件地址: 向最终用户提供的可选支持电子邮件地址。
-
在 iOS 设置中,指定以下设置:
注册设置:
- 要求设备注册: 是否要求用户注册其设备。默认值为是。
-
需要提供凭据才能完成设备注册: ABM 设置过程中是否需要用户输入其凭据。Citrix 建议您要求所有用户在设备注册期间输入其凭据,从而仅允许授权用户注册设备。默认值为是。
如果您在首次设置之前启用 ABM 但不选择此选项,XenMobile 将创建 ABM 组件。此创建包括 ABM 用户、Secure Hub、软件清单和 ABM 部署组等组件。如果未选择此选项,XenMobile 将不创建这些组件。因此,如果您在以后清除此选项,则尚未输入其凭据的用户将无法在 ABM 中注册,因为这些 ABM 组件不存在。在这种情况下,要添加 ABM 组件,请禁用并启用 ABM 帐户。
- 等待完成配置设置: 是否要求用户的设备一直保持在“设置助理”模式,直到将所有 MDM 资源部署到设备。此设置适用于处于受监督模式的设备。默认值为否。
- Apple 文档指出,当设备处于“设置助手”模式时,以下命令可能无法使用:
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
设备设置:
- 受监督模式: 如果要使用 Apple Configurator 管理 ABM 注册的设备或启用了等待完成配置设置,必须设置为是。默认值为是。有关将 iOS 设备置于受监督模式的详细信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式。
- 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为否。
- 允许设备配对: 是否允许通过 ABM 注册的设备通过 Apple Music 和 Apple Configurator 进行管理。默认值为否。
监督身份
如果使用 GroundControl 工具,则可以添加证书以执行以下操作:
- 覆盖配对限制,以避免显示“信任此主机”提示。
- 通过 USB 上报托管设备操作以执行配置文件安装等活动,而无需用户交互。这样做将允许 GroundControl 启用单应用程序模式和设备锁定以进行签出。
- 将备份还原到 ABM 设备。
有关 GroundControl 的详细信息,请参阅 GroundControl Web 站点。
-
在 macOS 设置中,指定以下设置:
注册设置:
- 要求设备注册: 是否要求用户注册其设备。默认值为是。
- 等待完成配置设置: 如果选择是,macOS 设备将不继续在“设置助理”下操作,直到将 MDM 资源通行码部署到设备。该部署在创建本地帐户之前进行。此设置适用于 macOS 10.11 及更高版本的设备。默认值为否。
设备设置:
- 允许删除注册配置文件: 是否允许设备使用能够远程删除的配置文件。默认值为否。
-
在 iOS 设置助手选项中,选择用户在首次启动其设备时 iOS 设置助手跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置已跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择某项设置时发生的情况。
- 定位服务: 阻止用户在设备上设置定位服务。
- Touch ID: 阻止用户在 iOS 设备上设置 Touch ID 或面容 ID。
- 通行码锁定: 阻止用户为设备设置通行码。如果不存在通行码,用户将无法使用 Touch ID 或 Apple Pay。
- 设置为新设备或还原: 阻止用户将设备设置为新设备或从 iCloud 或 Apple App Store 备份还原。
- 从 Android 移动: 阻止用户将数据从 Android 设备传输到 iOS 设备。此选项仅在已选择设置为新对象或还原(即跳过相应步骤)时可用。
- Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
- 条款和条件: 阻止用户阅读并接受条款和条件以使用设备。
- Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。请确保清除这些设置。
- Siri: 阻止用户配置 Siri。
- 应用程序分析: 阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
- 显示缩放: 阻止用户在 iOS 设备上设置显示分辨率(标准或缩放)。
- 原彩: 阻止用户设置四通道传感器以动态调整显示器的白平衡。
- 主页按钮: 阻止用户设置反馈的主页按钮样式。
- 新功能亮点: 阻止用户看到显示 Apple 软件新增功能信息的屏幕。
- 隐私: 阻止用户看到数据和隐私窗格。适用于 iOS 11.3 及更高版本。
- 软件更新: 阻止用户将 iOS 更新到最新版本。适用于 iOS 12.0 及更高版本。
- 屏幕时间: 阻止用户启用屏幕时间。适用于 iOS 12.0 及更高版本。
- SIM 设置: 阻止用户设置手机网络套餐。适用于 iOS 12.0 及更高版本。
- iMessage 和 FaceTime: 阻止用户启用 iMessage 和 FaceTime。适用于 iOS 12.0 及更高版本。
- 外观: 阻止用户选择外观模式。适用于 iOS 13.0 及更高版本。
- 欢迎: 阻止用户看到入门屏幕。适用于 iOS 13.0 及更高版本。
- 已完成还原: 阻止用户看到还原是否在设置过程中完成。适用于 iOS 14.0 及更高版本。
- 已完成更新: 阻止用户看到软件更新是否在设置过程中完成。适用于 iOS 14.0 及更高版本。
ABM 帐户显示在设置 > Apple 部署计划上。
-
在 macOS 设置助手选项中,选择用户在首次启动其设备时 macOS 设置助手跳过的步骤。跳过屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置已跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能的访问的信息,请参阅限制设备策略。所有项目的默认设置为未选中。以下说明解释了选择某项设置时发生的情况。
- 设置为新设备或还原: 阻止用户将设备设置为新设备或从“时间机器”备份还原或执行系统迁移。
- 定位服务: 阻止用户在设备上设置定位服务。适用于 macOS 10.11 及更高版本。
- Apple ID: 阻止用户为设备设置托管 Apple ID 帐户。
- 条款和条件: 阻止用户阅读并接受条款和条件以使用设备。
- Siri: 阻止用户配置 Siri。适用于 macOS 10.12 及更高版本。
-
FileVault: 使用 FileVault 加密启动磁盘。如果系统具有一个本地用户帐户并且该帐户已登录到 iCloud,XenMobile 将仅应用 FileVault 设置。
可以使用 macOS FileVault 磁盘加密功能通过加密系统卷的内容 (https://support.apple.com/en-us/HT204837) 来保护系统卷。如果您在未打开 FileVault 功能的新型便携式 Mac 上运行设置助理,系统可能会提示您打开此功能。该提示在新系统以及升级到 OS X 10.10 或 10.11 的系统中显示,但仅当系统具有一个本地管理员帐户并且该帐户已登录到 iCloud 时显示。
- 应用程序分析: 阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
- 隐私: 阻止用户看到数据和隐私窗格。适用于 macOS 10.13 及更高版本。
- iCloud 分析: 阻止用户选择是否向 Apple 发送诊断 iCloud 数据。适用于 macOS 10.13 及更高版本。
- iCloud 文档和桌面: 阻止用户设置 iCloud 桌面和文档。适用于 macOS 10.13 及更高版本。
- 外观: 阻止用户选择外观模式。适用于 macOS 10.14 及更高版本。
- 辅助功能: 阻止用户自动聆听旁白。仅在设备连接到以太网时可用。适用于 macOS 11 及更高版本。
- 生物特征识别: 阻止用户设置 Touch ID 和面容 ID。适用于 macOS 10.12.4 及更高版本。
- 原彩: 阻止用户设置四通道传感器以动态调整显示器的白平衡。适用于 macOS 10.13.6 及更高版本。
- Apple Pay: 阻止用户设置 Apple Pay。如果清除此设置,用户必须设置 Touch ID 和 Apple ID。确保清除 Apple ID 和生物特征识别设置。适用于 macOS 10.12.4 及更高版本。
-
屏幕时间: 阻止用户启用屏幕时间。适用于 macOS 10.15 及更高版本。
-
本地帐户设置选项: 指定在设备上创建管理员帐户的设置。用户使用此信息登录其 macOS 设备。XenMobile 将使用指定的信息来创建帐户。
- 创建主帐户作为标准用户: XenMobile 创建具有标准权限的用户,而非授予此用户对设备的管理员权限。由于 macOS 需要管理员帐户,因此 XenMobile 首先创建一个管理员帐户,然后创建一个新的标准帐户并将其设置为主帐户。
- 管理员全名: 键入系统为管理员帐户显示的名称。
- 管理员短名称: 键入设备为主文件夹显示的名称和在 shell 中显示的名称。
- 管理员密码: 键入管理员帐户的安全密码。
- 显示用户和组中的管理员帐户: 如果清除此选项,管理员帐户不会显示在 macOS 设置中的用户和组中。如果您创建主帐户作为标准用户,请启用此设置以隐藏 XenMobile 首先创建的管理员帐户。
启用了订单部署计划的设备
可以直接从 Apple 或启用了部署计划的授权经销商或运营商处订购启用了部署计划的设备。要从 Apple 订购,请在 Apple 部署计划门户中提供您的 Apple 客户 ID。Apple 可以通过您的客户 ID 将您购买的设备与您的 Apple 部署计划帐户关联。
要从经销商或运营商处订购,请联系 Apple 经销商或运营商,确认其是否加入了 Apple 部署计划。购买设备时,请要求提供经销商的 Apple 部署计划 ID。您将您的 Apple 部署计划经销商添加到您的 Apple 部署计划帐户时,Apple 要求提供此信息。添加经销商的 Apple 部署计划 ID 后,您将收到部署计划客户 ID。请向经销商提供部署计划客户 ID,经销商将使用该 ID 将您购买的设备的相关信息提交给 Apple。有关详细信息,请参阅此 Apple 使用设备注册站点。
管理启用了部署计划的设备
订单发货后,您可以将 iOS、iPadOS 和 macOS 设备与 XenMobile Server 相关联。
- 使用管理员或设备注册管理员帐户登录到 Apple 商务管理。
- 在边栏中,单击设备。直接从 Apple 购买的设备会自动显示。要将设备从 Apple Configurator 2 分配给 Apple 商务管理,请参阅《Apple 商务管理用户指南》。
- 在列表中,选择一个设备或设备总数,然后单击编辑设备管理。您有两种选择:
-
要将设备分配给 MDM 服务器,请在 Assign to Server(分配给服务器)下选择您的 XenMobile Server 名称。单击继续。
要将新设备批量分配给 Apple 商务管理,请设置默认 XenMobile Server 以进行部署。有关详细信息,请参阅为批量注册设置默认服务器。
-
要从 XenMobile Server 取消分配设备,请选择取消分配。
-
您的 Apple 部署计划设备现在已与选定 XenMobile Server 相关联。
如果使用 iOS、iPadOS 或 macOS 设备提供服务,则需要从 Apple 商务管理中删除该设备。收回提供服务的设备后,必须将该设备重新分配给 XenMobile Server。更换设备时,可以使用订单号将新设备分配给 XenMobile Server。
要查看已分配的设备的历史记录,请执行以下操作:
- 使用管理员或设备注册管理员帐户登录到 Apple 商务管理。
- 在边栏中,单击分配历史记录。然后选择一个分配以查看更多信息。
- 单击下载以下载 CSV 文件,其中包含所有已分配和未分配的设备的序列号。
如果设备已出售、被盗或无法维修,则可以从 Apple 商务管理中删除 iOS、iPadOS 和 macOS 设备。
- 使用管理员或设备注册管理员帐户登录到 Apple 商务管理。
- 在边栏中,单击设备并搜索设备。
- 选择设备,然后单击 Release Device(释放设备)。在对话框中,确认您为从程序中删除设备所做的更改。要重新添加 iOS 和 iPadOS 设备,请使用 Apple Configurator 2。您无法使用 Apple Configurator 2 添加 macOS 设备。