Endpoint Central帮助IT管理员能够集成和添加设备到Apple Business Manager(ABM),以简化组织中设备的批量注册。本文提供了使用Apple Business Manager管理设备的步骤。
Apple Business Manager(ABM)是免费的苹果门户,使企业能够简化和自动化公司苹果设备(包括iOS、iPadOS、macOS和tvOS设备)的批量管理和部署。类似于Apple Business Manager(ABM),苹果还为学校提供了Apple School Manager(ASM),这是一个专门为学校简化管理用于教育的苹果设备的服务。
Apple Business Manager(ABM)以前被称为Apple设备注册计划(Apple DEP),用户可以自动或手动将设备添加到Apple DEP以进行空中管理。
确保满足以下先决条件以使用Apple Business Manager(ABM)注册苹果设备:
如果设备既不是直接从苹果购买,也不是从其授权经销商购买的,您仍然可以将设备添加到Apple Business Manager(前提是它们正在运行或能够运行iOS 11.0或更高版本),如这里所述。
注意:本文提到的步骤也适用于Apple School Manager门户。
Apple Business Manager管理流程首先开始于您的组织从Apple或经授权的经销商购买Apple设备。您需要登录您的Apple Business Manager账户。如果您已经有一个设备注册计划的账户,您可以通过DEP门户上提供的提示迁移到Apple Business Manager。您需要在Apple Business Manager门户中注册MDM。一旦您注册了MDM服务器,MDM服务器和Apple门户之间就启用了安全通信。这用于同步您组织购买的设备的详细信息。当您发现从Apple门户同步的设备时,您可以将其分配给用户。每当设备激活时,通过MDM强制施加的所有限制和配置都会自动通过空中进行安装。通过配置ABM,您可以确保所有组织的设备在激活后立即默认由MDM管理。
如果您没有ABM账户,您可以在此处创建一个。要了解您的DUNS编号(这是先决条件之一),请参考此文档。您也可以参考此文档全面了解Apple Business Manager。
在根据ABM计划指南中提到的步骤创建您的组织的Apple ID和部署账户后,您需要执行以下概述的步骤,以便通过Apple Business Manager注册和管理您组织的公司苹果设备到MDM中。
首先,您需要将MDM服务器链接到您组织的ABM账户。为此:
使用Apple Business Manager,您可以在设备添加到门户后自动将购买的设备分配给特定服务器。 此外,您可以根据要注册的设备类型选择不同的服务器。建议将不同类型的设备分配给不同的服务器。所有这些服务器都可以通过MDM集成和管理。 要为特定类型的设备选择默认服务器-
将iPhone、macBook和iPad等设备添加到Apple Business Manager的优势之一是这些设备可以在没有任何用户交互的情况下注册。从以下步骤了解如何将设备添加到ABM。
有两种方法可用于将设备添加到Apple Business Manager。IT管理员可以使用以下任一方法将设备添加到Apple Business Manager:
继续阅读以了解如何使用经销商详细信息或手动将设备添加到Apple Business Manager。
要将设备添加到Apple Business Manager,必须将经销商详细信息添加到ABM门户。因此,每次从同一经销商购买设备时,这些设备都会被添加到ABM门户,进而通过ABM门户与MDM服务器集成,被添加到MDM服务器中。
注意:在ABM上,只有管理员或设备管理员角色可以添加经销商详细信息。
在将您的MDM服务器链接到Apple Business Manager(ABM)门户后,如果在集成门户之前购买了设备,您可以按照以下步骤将设备添加到Apple Business Manager:
苹果设备现在已自动添加到MDM服务器中。
通过使用Apple Business Manager注册将设备添加到MDM后,所有设备都可以成功注册。在注册完成之前,您必须配置要应用于设备的设置,在设备激活时。您可以通过以下步骤一次性创建并应用这些设置到所有设备:
| 配置 | 描述 |
|---|---|
| 使用Apple ID和iCloud登录 | 选择在设备设置期间由用户跳过Apple ID和iCloud登录。这不会限制用户在设备设置完成后登录。 |
| Touch ID设置 | 选择在设备设置期间跳过Touch ID配置。用户可以在完成设备设置后配置Touch ID。 |
| 诊断 | 选择在设备设置期间省略用户提示,不将诊断数据发送给Apple。 |
| 显示色调 | 选择在设备设置期间跳过显示色调设置助手屏幕。 |
| 定位服务 | 选择在设置期间禁用定位服务。如果禁用,定位服务将关闭。用户可以在完成设备设置后修改位置设置。 |
| 密码 | 选择阻止用户在设置助手过程中设置密码。如果通过MDM分发了密码配置文件,则可以跳过此步骤。 |
| 支付 | 选择阻止用户在设置助手中设置Apple Pay账户。这不会限制用户在设备设置完成后配置它。 |
| 隐私 | 选择在设置助手过程中省略隐私屏幕。 |
| 从旧设备恢复备份 | 选择限制用户将iCloud / iTunes备份恢复到设备。 |
| 条款和条件 | 选择在设备设置期间禁用条款和条件步骤。如果禁用,条款和条件将默认接受。 |
| Siri | 选择限制用户在设备设置期间配置Siri。如果受限制,Siri将关闭。这不会限制用户在设备设置完成后配置它。 |
| 缩放 | 选择在设备设置期间省略缩放功能步骤。 |
| 配置 | 描述 |
|---|---|
| 从Android设备恢复 | 选择以防止用户从Android设备恢复备份。 |
| 键盘选择 | 选择以防止用户在设备设置过程中选择键盘类型。 |
| Home键灵敏度 | 选择允许用户在设置过程中不配置Home键灵敏度而注册设备。 |
| iMessage和FaceTime | 选择跳过设置助手过程中的iMessage和FaceTime提示。这不会限制用户在设备设置完成后配置这些功能。 |
| 新功能亮点 | 选择跳过用户在设置助手过程中的启用信息屏幕,用于用户教育(例如“封面页、多任务处理和控制中心”)。 |
| 屏幕时间 | 选择防止在设备设置过程中通知用户关于屏幕时间。 |
| 强制软件更新 | 选择跳过设置助手过程中的强制软件更新屏幕。 |
| 手表迁移 | 选择防止用户在设备设置过程中查看手表迁移选项。 |
| 外观 | 选择跳过Mac设置过程中的选择您的外观屏幕。 |
| 配置 | 描述 |
|---|---|
| FileVault | 选择防止用户在设备设置过程中配置FileVault账户。建议通过MDM配置和分发FileVault加密配置文件。 |
| iCloud诊断 | 选择省略在设备设置过程中发送诊断到iCloud的用户提示。 |
| iCloud存储 | 选择跳过设备设置过程中的iCloud文稿和桌面屏幕。 |
| Apple注册 | 选择限制用户在设置过程中向Apple注册设备。 |
| 配置 | 描述 |
|---|---|
| 屏保 | 选择允许用户在不配置屏保的情况下注册tvOS设备。这不会限制用户在设备设置完成后配置相同。 |
| 点击设置 | 选择跳过使用关联的iOS设备设置Apple TV的选项(用户需要单独输入帐户信息和设置选择)。 |
| 主屏幕布局同步 | 选择防止用户在设备设置过程中切换TV主屏幕布局。 |
| TV提供商登录 | 选择防止用户在设置过程中登录到TV提供商。 |
| 这台Apple TV在哪里?屏幕 | 选择省略tvOS设备设置过程中的这台Apple TV在哪里步骤。 |
由于苹果停止了用于部署Mac设备的镜像,MDM通过在设备激活时自动创建本地管理员帐户来提供更快速、更高效的部署手段。在设备上创建的本地管理员帐户具有以下优点:
要配置本地管理员帐户,请启用Mac帐户设置,并提供下面给出的必填字段的详细信息。
| 设置 | 描述 |
|---|---|
| 显示名称 | 为要在Mac设备上创建的本地管理员帐户指定一个名称。 |
| 用户名 | 指定一个用户名来识别您的帐户。 |
| 密码 | 可以为管理员帐户设置密码,需要时可以进行修改。 |
| 隐藏管理员帐户 | 如果不希望用户在协助他们时看到帐户,可以选择在Mac设备上隐藏本地管理员帐户。启用此功能会在登录屏幕上隐藏管理员帐户,并完全隐藏其进一步的显示。隐藏帐户可以保护其免受窥视。 |
| 允许用户在激活时创建额外帐户 | 您可以配置Mac设备上的用户帐户类型。标准帐户类型的权限包括在用户级别安装应用程序和修改其设置。标准帐户用户无法添加其他用户或修改其他用户的帐户。如果选择管理员,则用户可以添加和管理其他用户,安装系统和用户级别的应用程序,并修改设置。 |
点击创建。 现在,配置和设置将应用于设备。
创建ABM配置文件并将其应用于设备后,您可以选择通过导航到注册-> Apple -> Apple注册(ABM/ASM)来同步设备。同步后,所有设备将自动列在MDM控制台上。
只有当用户激活设备时,注册过程才完成,设备将列在注册-> 设备下。
如果设备不是全新的,则应将设备恢复出厂设置,以便使用ABM进行配置。
您可以通过导航至注册 -> Apple -> Apple注册(ABM/ASM) -> 设备手动为所有设备分配给个别用户。另一个更简单的选项是通过CSV文件添加用户。如果使用本地MDM版本,还可以自动化用户分配。自动化用户分配可确保用户在设备注册时经过身份验证并自动分配。当配置ABM时,必须启用此选项,或者如果已配置,则可以从ABM设置中启用此选项。唯一的先决条件是,在MDM中必须配置Active Directory。使用ABM自动分配注册设备时,提供给设备的用户名必须采用以下格式:域名\用户名。
在为用户分配设备的同时,这些设备也可以添加到组中,以自动分发应用程序、配置文件和文档到设备上。在为用户分配设备的同时,也可以同时将设备添加到多个组中。
序列号,用户姓名,域名,电子邮件地址,组名
C07Q853LG9RM,ANDREW,,andrew@zylker.com,zylker_drivers
注意:
监督身份包含管理设备的组织的身份信息,因此对于每个组织都是唯一的。在通过ABM/ASM进行注册时,此身份与受监督设备关联。具有相匹配监督身份证书安装的主机Mac计算机将被视为监督Mac,并且对受监督设备的USB访问将仅限于监督Mac。因此,在Mac计算机上安装监督身份证书可让您验证和信任该计算机,从而允许您安全地将使用ABM注册的iOS/iPadOS设备与其配对,即使设备上限制了USB配对也可以进行。
您现在已成功将证书导入到您的Mac计算机中,导入的证书将在钥匙串访问应用程序的我的证书下列出。
一旦监督身份与设备关联,就无法以后更改。因此,如果要重新生成证书,设备将需要擦除并重新注册。因此,确保下载并备份现有证书,以便在重新生成证书时将您当前管理的设备与Mac计算机配对。只有重新生成证书后注册的设备才能使用新证书进行配对。
要取消管理设备,管理员必须从MDM服务器中移除设备。一旦设备从MDM服务器中移除,设备将自动从ABM门户中移除。
已与一个ABM帐户注册的设备无法注册到另一个帐户。因此,在注册到另一个帐户之前,必须从第一个ABM帐户中移除这些设备。按照以下步骤从ABM门户中移除设备。
要移除设备,请始终选择取消分配设备,而不是释放设备。释放设备仅应在设备丢失或永久损坏且永远不会成为任何工作人员的一部分时使用。释放设备是不可逆转的操作,一旦解除所有权,设备将永远无法成为组织的一部分。
只有在管理员为您分配了设备管理器角色时才能添加MDM服务器。确保管理员已将设备管理器角色分配给您。还要检查管理员是否同意了苹果的条款和条件。要了解有关角色管理以及ABM和其他苹果部署计划中角色之间的区别,请参考ABM用户指南中的角色。
检查是否允许mdmenrollment.itunes.apple.com以及其他列在此处的域和端口。还要验证所需的苹果服务的可用性。
检查设备是否使用除ABM之外的注册方法在MDM服务器上注册。从管理中移除设备,重置设备,然后再次与服务器同步。设备将列在注册 -> Apple -> Apple注册(ABM/ASM) -> 设备下。
检查您的网络连接。还要检查是否可以使用同一网络中另一设备的浏览器访问MDM服务器。
检查您的网络连接。您还可以尝试恢复设备以重新下载配置。设备恢复后,请尝试重新注册。
检查您的网络连接。还要检查在配置转发服务器时是否正确复制了服务器证书。
检查您的网络连接。还要检查是否可以使用同一网络中另一设备的浏览器访问MDM服务器。如果不能,请对服务器的NAT设置进行必要的更改。
如果设备不符合ABM注册的条件,或者已经注册或由其他组织拥有,则会显示此错误。根据设备所有者将设备添加到正确的ABM门户。
如果设备无法联系ABM服务器,将显示此错误。将设备恢复出厂设置,并进行Wi-Fi配置步骤。使用Apple Configurator准备设备,并按照将其添加到ABM的步骤。
当使用Apple Configurator将设备注册到ABM时,这些设备将最初列在Apple Configurator选项卡下,即使它们已添加到ABM门户中。完成用户分配后,这些设备将移至托管设备选项卡。
如果创建ABM服务器的技术人员已从MDM控制台中移除,则必须为ABM服务器分配新的技术人员才能继续通过ABM注册设备。
