通过Apple部署程序部署设备
Apple部署程序(adp)可以让您在终端管理中自动注册Apple设备,而无需在用户获得设备之前触摸或准备设备。当用户打开并激活设备后,设备会自动在端点管理中注册,所有的管理设置、应用程序和书籍都为用户准备好了。
adp包括面向商业组织的Apple Business Manager (ABM)和面向教育组织的Apple School Manager (ASM)。ABM和ASM支持iOS、iPadOS、macOS和tvOS设备。有关设备合格性的详细信息,请参见苹果业务经理用户指南而且Apple School Manager用户指南.
注意:
ABM和ASM结合了苹果之前的设备注册计划和批量购买计划。
本文将带您了解使用ABM或ASM的一般部署工作流:
- 参加ABM或ASM
- 将您的ABM或ASM帐户连接到端点管理
- 订购设备
- 将设备分配给端点管理
- 批量购买内容并与端点管理同步
- 配置设备策略和应用的部署规则
- 添加包含用户和分配给他们的资源的交付组
在您完成这个部署过程之后,设备就可以被拆箱并激活,以便自动注册设备。
先决条件
为端点管理和苹果之间的连接打开所需的端口。有关更多信息,请参见港口的要求.
参加ABM或ASM
要开始在Apple部署设备,请注册ABM或ASM。
ABM和ASM适用于组织而不是个人。您必须提供许多组织细节和信息才能创建帐户。申请和获得帐户批准可能需要时间。
注册Apple Business Manager
要注册ABM,请转到business.apple.com.点击现在招收申请新帐户。
最佳做法是使用您的组织的电子邮件地址,例如deployment@company.com。注册过程可能需要几天时间。收到登录凭据后,按照ABM中提供的步骤创建帐户。
注册Apple School Manager
要创建您的ASM帐户,请转到苹果学校经理并按照说明报名。当您第一次登录到ASM时,安装助手将打开。
有关ASM先决条件、安装助手和管理任务的信息,请参见Apple School Manager用户指南.
创建ASM用户帐号时,请使用与Active Directory域名不同的域名。例如,在ASM的域名前面加上这样的前缀
appleid.当您将ASM连接到您的名册数据时,ASM为教师和学生创建托管的Apple id。您的花名册数据包括教师、学生和班级。有关将名册数据添加到ASM的信息,请参阅Apple学校管理员用户指南,在此列表的前面链接。
您可以为您的机构自定义受管理的Apple ID格式,如Apple学校管理员用户指南中所述,在此列表的前面链接。
重要的是:
在将ASM信息导入端点管理后,不要更改托管的Apple id。
如果您通过经销商或运营商购买了设备,请将这些设备链接到ASM。有关信息,请参阅Apple学校管理员用户指南,在此列表的前面链接。
将您的ABM或ASM帐户连接到端点管理
创建ABM或ASM帐户后,将其连接到端点管理服务器部署。
步骤1:从端点管理服务器下载公钥
在端点管理控制台中,转到设置> Apple部署程序.
![苹果部署程序设置界面]()
下下载公钥,点击下载.
步骤2:创建并下载一个服务器令牌文件从你的苹果帐户
- 登录到苹果商务经理或苹果学校经理使用管理员或设备注册管理帐户。
- 在侧栏的底部,单击设置然后点击设备管理设置>添加MDM服务器.
- 在MDM服务器名称设置时,键入端点管理服务器的名称。您键入的服务器名称仅供参考。它不是服务器URL或名称。
- 下上传公钥,点击选择文件.上传从Endpoint Management下载的公钥,然后保存更改。
点击下载令牌将服务器令牌文件下载到计算机。
在将ABM或ASM帐户添加到Endpoint Management时,上传服务器令牌文件。导入令牌文件后,令牌信息将出现在Endpoint Management控制台中。
- 下默认设备分配,点击改变.选择分配设备的方式,然后提供所请求的信息。有关更多信息,请参见ABM用户指南或Apple School Manager用户指南.
步骤3:将您的帐户添加到Endpoint Management
您可以在Endpoint Management中添加多个ABM或ASM帐户。此功能允许您按国家、部门等使用不同的注册设置和设置助手选项。然后将ABM或ASM帐户与不同的设备策略关联。
例如,您可以将来自不同国家的所有ABM或ASM帐户集中到同一端点管理服务器上,以导入和监督所有ABM或ASM设备。首先根据部门、组织层次结构或其他结构自定义注册设置和设置助手选项。然后配置策略,在整个组织中提供适当的功能,并让用户获得适当的帮助。
在端点管理控制台中,转到设置> Apple部署程序而且,在添加Apple部署程序帐户,点击添加.
![苹果部署程序设置界面]()
在服务器的令牌页,指定您的服务器令牌文件,然后单击上传.
![苹果部署程序设置界面]()
出现服务器令牌信息。
在账户信息页,指定以下设置:
![苹果部署程序设置界面]()
- Apple Deployment Program帐号名:此ADP帐户的唯一描述性名称,用于标识您如何按国家或组织层次结构组织ADP帐户。
- 业务/教育单位:设备被分配到的业务单位或部门。该字段为必填项。
- 唯一服务ID:一个可选的唯一ID,用于帮助您进一步识别帐户。
- 支持电话:用户在安装过程中拨打的支持电话号码。该字段为必填项。
- 支持邮箱地址:一个可选的支持电子邮件地址提供给最终用户。
- 教育后缀:ASM帐户。键入分配给通过此帐户注册的设备的后缀。
在iOS设置,指定这些设置:
![苹果部署程序设置界面]()
注册设置:
- 要求设备注册:是否要求用户注册设备。默认为在.
设备注册需要凭据:在ABM和ASM设置过程中是否要求用户输入其凭证。我们建议您在设备注册期间要求所有用户输入他们的凭据,只允许授权用户注册设备。默认为在.
当您在首次设置之前启用ABM或ASM,并且没有选择此选项时,端点管理将创建ABM或ASM组件。此创建包括用户、安全集线器、软件目录和部署组等组件。如果选择此选项,端点管理将不创建组件。因此,如果稍后清除此选项,未输入凭据的用户将无法注册ABM或ASM,因为这些组件不存在。如果需要添加ABM或ASM组件,请先禁用ABM或ASM帐户,再启用。
- 等待配置完成设置:是否要求用户的设备保持在Setup Assistant模式,直到所有MDM资源部署到设备。此设置可用于处于监督模式的设备。默认为从.
- 苹果文档指出,当设备处于安装助手模式时,以下命令可能无法工作:
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
设备设置:
- 监管模式:设置为在如果您正在使用Apple配置器来管理注册设备或何时等待配置完成安装启用。默认为在.如何设置iOS设备进入监控模式,请参见使用Apple Configurator 2部署设备.
- 允许注册配置文件删除:是否允许设备使用可远程删除的配置文件。默认为从.
- 允许设备配对:是否可以通过Apple Music和Apple Configurator管理已注册的设备。默认为从.
监督的身份
使用GroundControl工具时,可通过添加证书完成以下操作:
- 重写配对限制以避免“信任此主机”提示。
- 通过USB升级受管理设备操作,以执行配置文件安装等活动,无需用户交互。这样一来,GroundControl就可以启用单应用模式和设备锁。
- 将备份恢复到ABM或ASM设备。
有关地面控制的更多信息,请参见地面控制网站.
在macOS设置,指定这些设置:
![Apple部署程序帐户设置界面]()
注册设置:
- 要求设备注册:是否要求用户注册设备。默认为在.
- 等待配置完成设置:如果在, macOS设备不会继续在安装助手中,直到MDM资源密码部署到该设备。该部署发生在创建本地帐户之前。此设置适用于macOS 10.11及更高版本的设备。默认为从.
设备设置:
- 允许注册配置文件删除:是否允许设备使用可远程删除的配置文件。默认为从.
在Apple TV设置,指定这些设置:
- 要求设备注册:防止用户跳过注册。
- 设备注册需要凭据:注册期间证书的挑战。当该设置关闭时,Apple TV将被注册为默认的“设备注册程序用户”。
- 等待配置完成设置:设备在设置助理筛选直到所有资源部署完毕。
- 监管模式:在配置限制时为管理员提供更多的能力。
- 允许注册配置文件删除:允许用户删除注册配置文件。
- 允许设备配对:允许通过设备注册计划注册的设备通过苹果工具(如苹果应用程序商店和苹果配置器)进行管理。
![Apple部署程序帐户设置界面]()
在iOS设置助手选项,选择用户第一次启动设备时iOS安装助手会跳过的步骤。当跳过一个屏幕时,相关特性使用默认设置。用户可以在安装完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对特性的访问的详细信息,请参见限制设备策略.清除所有项目的默认值。下面的描述说明了选择设置时发生的情况。
![Apple部署程序帐户设置界面]()
- 位置服务:禁止用户在设备上设置位置服务。
- 触摸ID:阻止用户在iOS设备上设置Touch ID或Face ID。
- 密码锁定:阻止用户为设备设置密码。如果没有密码,用户就不能使用Touch ID或Apple Pay。
- 设置为新的或恢复:阻止用户将设备设置为新的或从iCloud或苹果应用程序商店备份。
- 从Android平台转移:禁止用户将数据从Android设备传输到iOS设备。仅当设置为新的或恢复选中(即跳过该步骤)。
- 苹果ID:阻止用户为设备设置受管理的Apple ID帐户。
- 条款和条件:阻止用户阅读和接受使用设备的条款和条件。
- 苹果支付:阻止用户设置Apple Pay。如果该设置被清除,用户必须设置Touch ID和Apple ID。确保这些设置已被清除。
- Siri:禁止用户配置Siri。
- 程序分析:阻止用户设置是否与Apple共享崩溃数据和使用统计数据。
- 显示缩放:阻止用户在iOS设备上设置显示分辨率(标准分辨率或缩放分辨率)。
- 真正的语气:阻止用户设置四通道传感器来动态调整显示的白平衡。
- 主页按钮:阻止用户设置Home键风格的反馈。
- 新功能亮点:阻止用户看到显示苹果软件新功能信息的屏幕。
- 隐私:防止用户看到数据和隐私窗格。适用于iOS 11.3及更高版本。
- 软件更新:阻止用户将iOS更新到最新版本。适用于iOS 12.0及更高版本。
- 屏幕时间:阻止用户启用“屏幕时间”。适用于iOS 12.0及更高版本。
- SIM设置:阻止用户设置蜂窝计划。适用于iOS 12.0及更高版本。
- iMessage和FaceTime:禁止用户启用iMessage和FaceTime。适用于iOS 12.0及更高版本。
- 外观:禁止用户选择外观模式。适用于iOS 13.0及以上版本。
- 欢迎:控件阻止用户查看开始屏幕上。适用于iOS 13.0及以上版本。
- 恢复完成:防止用户在安装期间查看恢复是否完成。适用于iOS 14.0及更高版本。
- 更新完成:防止用户在安装过程中查看软件更新是否完成。适用于iOS 14.0及更高版本。
该帐户出现在设置> Apple部署程序.
在macOS安装助手选项,选择用户第一次启动设备时macOS安装助手会跳过的步骤。当跳过一个屏幕时,相关特性使用默认设置。用户可以在安装完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对特性的访问的详细信息,请参见限制设备策略.清除所有项目的默认值。下面的描述说明了选择设置时发生的情况。
![Apple部署程序帐户设置界面]()
- 设置为新的或恢复:阻止用户将设备设置为新的或从Time Machine备份设置或执行系统迁移。
- 位置服务:禁止用户在设备上设置位置服务。适用于macOS 10.11及以上版本。
- 苹果ID:阻止用户为设备设置受管理的Apple ID帐户。
- 条款和条件:阻止用户阅读和接受使用设备的条款和条件。
- Siri:禁止用户配置Siri。适用于macOS 10.12及以上版本。
FileVault:使用FileVault加密启动盘。端点管理仅在系统只有一个本地用户帐户且该帐户已登录到iCloud时应用FileVault设置。
您可以使用macOS FileVault磁盘加密功能,通过加密系统卷的内容(https://support.apple.com/en-us/HT204837).如果您在没有打开FileVault的最新型号便携式Mac上运行安装助手,系统可能会提示您打开该功能。在新系统和升级到OS X 10.10或10.11的系统上都会出现提示,但前提是系统只有一个本地管理员帐户,并且该帐户已登录到iCloud。
- 程序分析:阻止用户设置是否与Apple共享崩溃数据和使用统计数据。
- 隐私:防止用户看到“数据和隐私”窗格。适用于macOS 10.13及以上版本。
- iCloud分析:禁止用户选择是否向苹果发送iCloud诊断数据。适用于macOS 10.13及以上版本。
- iCloud文档和桌面:禁止用户设置iCloud桌面和文档。适用于macOS 10.13及以上版本。
- 外观:禁止用户选择外观模式。适用于macOS 10.14及以上版本。
- 可访问性:防止用户自动收听语音转换。仅当设备连接到以太网时可用。适用于macOS 11及更高版本。
- 生物:阻止用户设置Touch ID和Face ID。适用于macOS 10.12.4及以上版本。
- 真正的语气:阻止用户设置四通道传感器来动态调整显示的白平衡。适用于macOS 10.13.6及以上版本。
- 苹果支付:阻止用户设置Apple Pay。如果该设置被清除,用户必须设置Touch ID和Apple ID。确保苹果ID而且生物识别清除设置。
屏幕时间:阻止用户启用“屏幕时间”。适用于macOS 10.15及以上版本。
- 本地帐户设置选项:指定在设备上创建帐户的设置。Endpoint Management首先使用此处指定的信息创建本地管理员帐户。当用户激活设备时,会创建一个用户帐户作为主帐户。的作为标准用户创建主要帐户选项确定主帐户是否具有管理员权限。
重要的是:
您可以选择作为标准用户创建主要帐户只有在你设置之后等待配置完成安装来在在macOS设置页面。
- 作为标准用户创建主帐户:选中后,端点管理将创建具有标准权限的用户,而不是在设备上授予用户管理员权限。如果您想在设备上授予用户管理员权限,请跳过此选项。缺省情况下,不勾选该选项。
- 管理员全名:输入系统为管理员帐户显示的名称。
- 管理员简称:键入设备为主文件夹和shell中显示的名称。
- 管理员密码:为管理员帐户输入安全密码。
- 在“用户和组”中显示管理员帐户:如果清除,管理员帐户将不会出现在用户和组在macOS设置中。如果作为标准用户创建主帐户,则启用此设置以隐藏Endpoint Management首先创建的管理员帐户。
为了提高安全性,Endpoint Management每天检查管理员帐号密码是否轮换。默认情况下,Endpoint Management每7天轮换一次密码。若要更改默认值,请更新
mac.dep.admin.passwd.rotate服务器属性。有关更多信息,请参见服务器属性.为了提高密码强度和安全性,Endpoint Management生成如下密码:
- 12个字符
- 3个大写字母
- 3个小写字母
- 3个数字
- 3个特殊字符:
!\@ \# $ % \^ \* ?+ = -
如果需要查看设备的旧密码、当前密码和密码修改状态,请转管理>个设备.单击该设备,单击显示更多,然后查看设备详细信息>常规页面。的安全节显示如下信息:
- 以前的管理员密码:允许您查看以前的密码。终端管理只显示最后一个密码。点击显示密码查询用户密码。
- 当前管理员密码:允许您查看当前密码。
- 修改管理员密码:允许您查看密码更改状态。根据实际情况,可能会出现以下信息:
- 在<特定时间值>请求更改密码。
- 密码在<特定时间值>时被修改。
- 尝试修改密码失败的时间小于特定时间值>。
- 密码未修改。
在Apple TV设置助手选项,选择用户第一次启动设备时跳过的Apple TV安装助手步骤。清除所有项目的默认值。保存更改。
![苹果部署程序设置配置界面]()
该帐户出现在设置> Apple部署程序.若要测试端点管理和Apple之间的连接,请选择该帐户并单击测试连接.
![苹果部署程序设置界面]()
出现一条状态消息。
![苹果部署程序设置界面]()
订购设备
您可以通过以下渠道直接订购设备:
- 苹果。向卖家提供你的苹果客户号。
- 参与的苹果授权经销商或运营商。向卖方提供您的组织ID,并获得其经销商ID。
有关管理设备供应商的详细信息,请参见苹果业务经理用户指南或Apple School Manager用户指南.
在您的订单发货后,您购买的Apple设备将添加到您的ABM或ASM帐户。
将设备分配给端点管理
在ABM或ASM门户中,搜索订单号并使用它按此顺序将设备分配给端点管理。您还可以使用Apple Configurator 2将iPhone、iPad、iPod touch和Apple TV设备添加到ABM或ASM,而不管这些设备是在哪里购买的。
有关更多信息,请参见苹果业务经理用户指南或Apple School Manager用户指南.
批量购买内容并将其同步到端点管理
ABM和ASM允许您从单个组织帐户批量购买、分发和管理应用程序和书籍的许可证。要使您的端点管理能够与ABM或ASM通信以获取用于分发的许可信息,请完成以下步骤:
在ABM或ASM门户网站,从应用程序和书籍并购买为您的端点管理开发的自定义应用程序自定义应用程序.
注意:
如果端点管理与Citrix Workspace集成,请购买工作空间并在端点管理中将其配置为必需的应用程序。
在ABM或ASM门户中,下载分配给端点管理的内容令牌。
有关步骤1和步骤2的详细信息,请参见苹果业务经理用户指南或Apple School Manager用户指南.
在Endpoint Management控制台中,根据下载的内容令牌创建批量购买帐户。
有关更多信息,请参见通过苹果批量购买添加应用.
批量购买帐户创建后,您购买的应用程序和书籍将出现在其中管理>应用程序,显示分配给端点管理服务器的设备管理>个设备.
配置设备策略和应用的部署规则
在配置设备策略和应用时,可以将ABM或ASM帐号与不同的设备策略和应用关联。
- 在配置>设备策略而且配置>个应用页,扩大部署规则.
- 指定策略或应用程序为特定的ABM帐户或除所选帐户外的所有ABM帐户部署。
ABM帐户列表中只包含状态为“启用”或“禁用”的帐户。如果禁用ABM帐户,则ABM设备不属于该帐户。因此,端点管理不会将应用程序或策略部署到设备。
在本例中,设备策略只部署ABM帐户名称为“ABM帐户NR”的设备。
