与Apple教育功能集成
您可以在使用Apple Education的环境中使用端点管理作为移动设备管理(MDM)解决方案。端点管理支持包括苹果学校管理器(ASM)和iPad课堂应用程序。端点管理教育配置设备策略将教师和学生设备配置为与Apple教育一起使用。
你为教师和学生提供预配置和监督的ipad。该配置包括在端点管理中注册ASM、配置了新密码的托管Apple ID帐户,以及所需的批量购买应用程序和ibook。
有关Apple教育功能的更多信息,请参阅Apple教育网站和苹果教育部署指南来自同一网站。
苹果学校经理
遵循以下常规步骤来集成端点管理与ASM。
- 在ASM中为您的机构创建一个帐户,以注册您的机构在ASM中。
- 为苹果学校管理器配置一个教育批量购买帐户。
- 为Apple School Manager用户添加密码。
- 计划并向端点管理添加资源和交付组。
- 测试教师和学生设备注册。
- 向教师和学生提供预先配置的设备。
- 管理教师、学生和班级数据
- 当设备丢失或被盗时,您可以锁定并定位设备。
有关注册ASM和将帐户连接到端点管理的信息,请参见通过Apple部署计划部署设备.
先决条件
Citrix网关
MDM+MAM配置注册配置文件。
苹果iPad 3代(最低版本)或iPad Mini, iOS 9.3(最低版本)
注意:
端点管理不根据LDAP或Active Directory验证ASM用户帐户。但是,您可以将端点管理连接到LDAP或Active Directory,以管理与ASM教师或学生无关的用户和设备。例如,您可以使用Active Directory为其他ASM成员(如IT管理员和经理)提供安全邮件和安全Web。
因为ASM教师和学生都是本地用户,所以不需要在他们的设备上部署Citrix Secure Hub。
包含Citrix Gateway身份验证的MAM注册不支持本地用户(仅支持Active Directory用户)。因此,Endpoint Management只在教师和学生设备上部署所需的批量购买应用程序和ibook。
iPad课堂应用
iPad课堂应用程序使教师能够连接和管理学生的设备。你可以查看设备屏幕,在ipad上打开应用程序,分享和打开网络链接,并在Apple TV上呈现学生屏幕。
《Classroom》在App Store中是免费的。将应用程序上传到端点管理控制台。然后使用“教育配置”设备策略配置“教室”应用程序,将其部署到教师设备。
有关如何部署Classroom应用程序的更多信息,请参见分发苹果应用.
有关课堂应用程序要求、设置和功能的更多信息,请参阅课堂使用指南在苹果支持网站上。
为Apple School Manager用户添加密码
添加ASM帐户后,端点管理从ASM导入类和用户。端点管理将类视为本地组,并在控制台中使用术语“组”。如果类在ASM中有组名,端点管理将组名分配给类。否则,端点管理使用源系统ID作为组名。端点管理不使用课程名作为类名,因为ASM中的课程名不是唯一的。
端点管理使用托管的Apple id创建用户类型的本地用户ASM.这些用户是本地的,因为ASM独立于所有外部数据源创建凭据。因此,Endpoint Management不使用目录服务器对这些新用户进行身份验证。
ASM不会向端点管理发送临时用户密码。可以从CSV文件中导入,也可以手动添加。导入用户临时密码。
获取ASM在创建Managed Apple ID临时密码时生成的CSV文件。
编辑CSV文件,用用户注册到Endpoint Management时提供的新密码替换临时密码。为此,对密码类型没有限制。
CSV文件中条目的格式如下:
user@appleid.citrix.com, Firstname、中间、Lastname、Password123 !地点:
用户:
user@appleid.citrix.com第一个名字:
Firstname中间的名字:
中间姓名:
姓密码:
Password123 !在Endpoint Management控制台中,单击管理>用户.的用户页面出现。
以下管理>用户屏幕示例显示从ASM导入的用户列表。在用户列表:
用户名显示托管的Apple ID。
用户类型为ASM,表示来自ASM的帐户。
组显示类。
点击导入本地用户.的导入发放文件对话框。
格式请选择ASM用户,进入步骤2中创建的CSV文件,单击进口.
若要查看本地用户的属性,请选中该用户,然后单击编辑.
除了name属性外,下面这些ASM属性也是可用的:
- ASM数据源:类的数据源,例如CSV或SFTP.
- ASM管理的Apple ID:受管理的Apple ID可能包括您的机构名称和
appleid.例如,ID可能类似于johnappleseed@appleid.myschool.edu。端点管理需要一个托管的Apple ID进行身份验证。 - ASM组织名称:你给端点管理公司账户的名字。
- ASM密码类型:个人密码策略:复杂的(由八个或以上数字和字母组成的非学生密码),四个(数字),或六个(数字)。
- ASM人员唯一ID:用户标识符。
- ASM人员状态:指定Managed Apple ID是否为活跃的或不活跃的.当用户为托管的Apple ID帐户提供新密码后,此状态将被激活。
- ASM人员职称:教师,学生或其他。
- ASM人员唯一ID:用户的唯一标识符。
- ASM源系统ID:系统源的标识符。
- ASM学生年级:学生成绩信息(教师不使用)。
计划并向端点管理添加资源和交付组
交付组指定要部署到用户类别的资源。例如,您可以为教师和学生创建一个交付组。或者,您可以创建多个交付组,以便自定义发送给不同教师或学生的应用程序、媒体和策略。您可以为每个类创建一个或多个传递组。您还可以为经理(教育机构中的其他工作人员)创建一个或多个交付组。
部署到用户设备的资源包括设备策略、批量购买应用程序和iBooks。
设备的政策:
如果教师使用课堂应用程序,则需要“教育配置”设备策略。请务必查看其他设备策略,以确定如何配置和限制教师和学生的ipad。
批量购买应用:
端点管理要求您为教育用户部署批量购买应用程序。端点管理不支持部署可选的批量购买应用程序。
如果你使用Apple Classroom应用程序,请只将其部署到教师设备上。
部署你想提供给教师或学生的任何其他应用程序。这个解决方案不使用思杰安全中心应用程序,所以没有必要部署给教师或学生。
批量购买iBooks:
在端点管理连接到您的ASM帐户后,您购买的iBooks将出现在端点管理控制台中配置> Media.该页面上列出的ibook可以添加到交付组中。终端管理支持添加ibook作为所需的媒体。
在您为教师和学生规划了资源和交付组之后,您可以在Endpoint Management控制台中创建这些项目。
创建要部署到教师或学生设备上的任何设备策略。有关“教育配置”设备策略的信息,请参见配置设备策略.
有关设备策略的信息,请参见设备的政策以及个别政策条款。
配置应用程序(配置>个应用)及iBooks (配置> Media):
默认情况下,终端管理在用户级别分配应用程序和ibook。在首次部署时,教师和学生将收到一个注册ASM的提示。在接受邀请后,用户将在下一次部署时(6小时内)收到他们的ASM应用程序和ibook。Citrix建议您强制向ASM新用户部署应用程序和ibook。为此,选择交付组并单击部署.
你可以选择在设备级别分配应用程序(但不包括ibook)。要做到这一点,请更改设置强制与设备关联license来在.当你在设备层面分配应用时,用户不会收到加入批量购买计划的邀请。
若要将应用程序仅部署给讲师,请选择仅包含讲师的交付组或使用以下部署规则:
仅按ASM设备类型部署此资源——NeedCopy >
- 有关添加批量购买应用程序的帮助,请参见添加一个公共应用商店应用.
可选的。根据ASM用户属性创建操作。例如,你可以创建一个动作,在安装新应用程序时向学生设备发送通知。或者,您也可以创建一个由用户属性触发的操作,如下面的示例所示。
若要创建操作,请转到配置>动作.有关配置操作的信息,请参见自动操作.
在配置>下发组,为教师和学生创建交付小组。选择从ASM导入的类。另外,为教师和学生创建一个部署规则。
例如,下面的用户作业是给教师的。部署规则为:
由用户属性限制ASM人员标题等于教员
下面的用户作业是给学生的。部署规则为:
用户属性限制ASM person title等于Student
您还可以使用基于ASM组织名称的部署规则来筛选交付组。
将资源分配给交付组。下面的示例显示了交付组中包含的iBook。
下面的示例显示了选择交付组并单击时出现的确认对话框部署.
有关详细信息,请参见中的“编辑交付组”和“部署到交付组”部署资源.
测试教师和学生设备注册
您可以通过以下两种方式注册设备:
学校管理员可以使用在端点管理控制台中设置的用户密码注册教师和学生设备。因此,您可以为用户提供已经设置了应用程序和媒体的设备。
当用户收到设备时,他们使用您提供给他们的用户密码注册。注册完成后,端点管理将设备策略、应用程序和媒体发送到设备。
要测试注册,请使用连接到ASM的Apple部署计划设备。
如果设备没有链接到ASM,请执行硬重置来删除设备内容和设置。
在教练的指导下注册ASM设备。然后与学生一起注册ASM设备。
在管理>个设备页,检查两个ASM设备是否只注册到MDM中。
您可以过滤设备页中ASM设备状态:ASM注册,ASM共享,教练,学生.
检查各设备是否正确部署了MDM资源:选中设备前的复选框,单击编辑,并检查各个页面。
分配设备
苹果建议你举办一场活动,这样你就可以向教师和学生分发设备。
如果你不分发预注册设备,也要向这些用户提供以下内容:
用于注册的端点管理密码
ASM临时密码管理苹果id。
首次使用的用户体验如下。
用户在硬复位后第一次启动设备时,Endpoint Management会在注册屏幕上提示他们注册设备。
用户提供其托管的Apple ID和端点管理密码,用于向端点管理进行身份验证。
在Apple ID设置步骤中,设备提示用户提供他们的托管Apple ID和ASM临时密码。这些项目可以验证用户是否使用苹果服务。
该设备会提示用户为他们的托管苹果ID创建一个密码,用于保护他们在iCloud中的数据。
在安装助手的末尾,端点管理开始将策略、应用程序和媒体安装到设备。对于用户级分配的应用程序和ibook,助手会提示教师和学生注册批量购买。接受邀请后,用户将在下一次部署时(6小时内)收到他们的批量购买应用程序和ibook。
管理教师、学生和班级数据
在管理教师、学生和班级数据时,请注意以下事项:
在将ASM信息导入端点管理后,不要更改托管的Apple id。端点管理还使用ASM用户标识符来标识用户。
如果在创建一个或多个Education Configuration设备策略后在ASM中添加或更改类数据:编辑策略,然后重新部署它们。
如果在部署“教育配置”设备策略后,课程的讲师发生了变化:请检查策略,确保它在端点管理控制台中更新,然后重新部署策略。
如果您在ASM门户中更新用户属性,端点管理也会在控制台中更新这些属性。但是,端点管理接收ASM人员标题属性(教员、学生或其他)的方式与接收其他属性的方式不同。因此,如果您更改了ASM中的ASM人员标题,请完成以下步骤以在端点管理中反映该更改。
管理数据:
在ASM portal中,更新学生成绩,清空教师成绩。
如果您将学生帐户更改为教师帐户,请将该用户从班级学生列表中删除。然后,将用户添加到相同或其他班级的讲师列表中。
如果您将讲师帐户更改为学生帐户,请将该用户从班级中删除。然后,将该用户添加到相同或其他班级的学生列表中。您的更新在下一次同步时(默认每5分钟一次)或获取时(默认每24小时一次)出现在Endpoint Management控制台中。
编辑“教育配置”设备策略以应用更改并重新部署它。
如果您从ASM门户删除用户,端点管理也会在获取后从端点管理控制台删除该用户。
你可以通过改变这个服务器属性值来减少两个基线之间的间隔:bulk.enrollment.fetchRosterInfoDelay(默认是1440分钟)。
在你部署资源后:如果一个学生加入了一个班级,创建一个只有这个学生的交付组,并将资源部署给这个学生。
如果学生或教师丢失了他们的临时密码,请联系ASM管理员。管理员可以提供临时密码,也可以自行生成新密码。
管理丢失或被盗的设备
Apple Find My iPhone/iPad服务包含激活锁功能。激活锁可防止非授权用户使用或转售已加入Apple部署计划的丢失或被盗设备。
端点管理包括ASM激活锁安全操作,使您能够向ASM Apple部署计划注册的设备发送锁定代码。
当你使用ASM激活锁端点管理可以定位设备,而不需要用户启用“查找我的iPhone/iPad”服务。当ASM设备被硬复位或完全擦除时,用户提供他们的Managed Apple ID和密码来解锁设备。
要从控制台释放锁,请单击安全操作激活锁旁路.有关绕过激活锁的信息,请参见绕过iOS激活锁.用户也可以保留登录空白,并键入ASM激活锁旁路代码作为密码。该信息可在设备详细信息,在属性选项卡。
若要设置激活锁,请转到管理>个设备,选择设备,单击安全,然后按ASM激活锁.
的属性ASM托管密钥而且ASM激活锁旁路代码出现在设备详细信息.
ASM激活锁的RBAC权限为设备>开启ASM Bypass激活锁.
