通过 Apple Deployment Program 部署设备
Apple 为企业和教育帐户提供了设备注册计划。对于企业帐户,您可以注册 Apple Deployment Program,以使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 在 XenMobile 中进行设备注册和管理。该计划适用于 iOS、iPadOS 和 macOS 设备。
Apple Deployment Program 适用于组织而非个人。您必须提供大量的公司详细信息和信息才能创建 Apple Deployment Program 帐户。因此,请求和获得帐户批准可能需要一些时间。
对于教育帐户,您可以创建 Apple School Manager 帐户。ASM 统一了 Apple Deployment Program 和 Apple 批量采购。要创建 Apple School Manager 帐户,请访问 Apple School 站点。
注册 Apple Deployment Program
要注册 Apple Business Manager,请访问 business.apple.com。单击 Enroll now(立即注册)以申请新帐户。最佳做法是使用您组织的电子邮件地址,例如 deployment@company.com。注册过程可能需要几天时间。收到登录凭据后,请按照 Apple Business Manager 中提供的步骤创建帐户。
注意:
对于教育帐户,请参阅与 Apple Education 功能集成。
将您的 Apple Business Manager 帐户与 XenMobile 连接
要将您的 Apple Business Manager 帐户与 XenMobile 部署连接,请在 XenMobile 控制台和 Apple Business Manager 中输入信息。请按照以下步骤操作:
步骤 1:从您的 XenMobile Server 下载公钥
-
在 XenMobile 控制台中,转至 Settings > Apple Deployment Program(设置 > Apple Deployment Program)。
-
在 Download Public Key(下载公钥)下,单击 Download(下载)。
步骤 2:从您的 Apple 帐户创建并下载服务器令牌文件
- 使用管理员或设备注册管理器帐户登录 Apple Business Manager。
-
在侧栏底部,单击 Settings(设置),然后单击 Device Management Settings > Add MDM Server(设备管理设置 > 添加 MDM 服务器)。
- 在 MDM Server Name(MDM 服务器名称)设置中,键入 XenMobile Server 的名称。您键入的服务器名称仅供您参考。它不是服务器 URL 或名称。
- 在 Upload Public Key(上传公钥)下,单击 Choose File(选择文件)。上传您从 XenMobile 下载的公钥,然后保存更改。
-
单击 Download Token(下载令牌)将服务器令牌文件下载到您的计算机。
将 ABM 帐户添加到 XenMobile 时,您必须上传服务器令牌文件。导入令牌文件后,您的 ABM 令牌信息将显示在 XenMobile 控制台中。
- 在 Default Device Assignment(默认设备分配)下,单击 Change(更改)。选择您要如何分配设备,然后提供所请求的信息。有关信息,请参阅 ABM 用户指南。
步骤 3:将 ABM 帐户添加到 XenMobile
您可以将多个 ABM 帐户添加到 XenMobile。此功能使您能够按国家/地区、部门等使用不同的注册设置和设置助理选项。然后,您可以将 ABM 帐户与不同的设备策略关联。
例如,您可以将来自不同国家/地区的所有 ABM 帐户集中到同一个 XenMobile Server 上,以导入和监督所有 ABM 设备。通过按部门、组织层次结构或其他结构自定义注册设置和设置助理选项,策略可以为您的整个组织提供适当的功能,并且用户会获得适当的帮助。
-
在 XenMobile 控制台中,转至 Settings > Apple Deployment Program(设置 > Apple Deployment Program),然后在 Add Apple Deployment Program Account(添加 Apple Deployment Program 帐户)下,单击 Add(添加)。
-
在 Server Tokens(服务器令牌)页面中,指定您的服务器令牌文件,然后单击 Upload(上传)。
您的服务器令牌信息随即显示。
-
在 Account Info(帐户信息)页面中,指定以下设置:
- Apple Deployment Program account name(Apple Deployment Program 帐户名称):此 Apple Deployment Program 帐户的唯一名称。使用能够反映您组织 Apple Deployment Program 帐户方式的名称,例如按国家/地区或组织层次结构。
- Business/Education unit(业务/教育单位):设备分配到的业务单位或部门。此字段为必填项。
- Unique service ID(唯一服务 ID):一个可选的唯一 ID,可帮助您进一步识别帐户。
- Support phone number(支持电话号码):用户在设置过程中寻求帮助时拨打的支持电话号码。此字段为必填项。
- Support email address(支持电子邮件地址):可供最终用户使用的可选支持电子邮件地址。
- Education suffix(教育后缀):对于 ASM 帐户。键入通过此帐户注册的设备分配到的后缀。
-
在 iOS Settings(iOS 设置)中,指定以下设置:
注册设置
- Require device enrollment(要求设备注册):是否要求用户注册其设备。默认值为 Yes(是)。
-
Require credentials for device enrollment(要求设备注册凭据):是否要求用户在 ABM 设置期间输入其凭据。Citrix® 建议您要求所有用户在设备注册期间输入其凭据,从而仅允许授权用户注册设备。默认值为 Yes(是)。
如果您在首次设置之前启用 ABM 并且未选择此选项,XenMobile 将创建 ABM 组件。此创建包括 ABM 用户、Secure Hub、软件清单和 ABM 部署组等组件。如果您确实选择了此选项,XenMobile 不会创建这些组件。因此,如果您以后清除此选项,则尚未输入凭据的用户将无法注册 ABM,因为这些 ABM 组件不存在。在这种情况下,要添加 ABM 组件,请禁用 ABM 帐户并再次启用它。
- Wait for configuration to complete setup(等待配置完成设置):是否要求用户的设备保持在“设置助理”模式,直到所有 MDM 资源部署到设备。此设置适用于受监督模式下的设备。默认值为 No(否)。
- Apple 文档指出,在设备处于“设置助理”模式时,以下命令可能不起作用:
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
设备设置
- Supervised mode(受监督模式):如果您正在使用 Apple Configurator 管理 ABM 注册的设备,或者当 Wait for configuration to complete setup(等待配置完成设置)已启用时,此项必须设置为 Yes(是)。默认值为 Yes(是)。有关将 iOS 设备置于受监督模式的详细信息,请参阅通过使用 Apple Configurator 将 iOS 设备置于受监督模式。
- Allow enrollment profile removal(允许删除注册配置文件):是否允许设备使用可远程删除的配置文件。默认值为 No(否)。
- Allow device pairing(允许设备配对):对于通过 ABM 注册的设备,是否可以通过 Apple Music 和 Apple Configurator 管理它们。默认值为 No(否)。
所需最低版本
- 允许旧设备注册:如果启用,即使设备无法升级到当前所需的最低版本,也可以注册。默认值为“开”。此选项仅适用于 iOS 17.0 及更高版本。
- 指定版本选项:是否允许管理员手动输入指定版本。默认值为“关”。此选项仅适用于 iOS 17.0 及更高版本。
- 可用 iOS 版本:您可以从列表中选择可用的 iOS 版本。如果设备的 iOS 版本低于当前版本,它将启动设备上的更新过程。如果版本将来过期,则使用可用版本列表中的最低版本。默认值为“无”,设置为“无”时将不生效。此选项仅适用于 iOS 17.0 及更高版本。
- 指定版本:如果设备的 iOS 版本低于当前版本,它将启动设备上的更新过程。如果版本将来过期,则使用可用版本列表中的最低版本。请确保输入正确的版本号,以防止出现任何意外错误。
监管身份
如果您使用 GroundControl 工具,可以添加证书来执行以下操作:
- 覆盖配对限制,以避免出现“信任此主机”提示。
- 通过 USB 升级受管设备操作,以执行无需用户交互的配置文件安装等活动。这样做允许 GroundControl 启用单应用模式和设备锁定以进行结账。
- 将备份还原到 ABM 设备。
有关 GroundControl 的更多信息,请参阅 GroundControl 网站。
-
在“macOS 设置”中,指定以下设置:
注册设置
- 要求设备注册:是否要求用户注册其设备。默认值为“是”。
- 等待配置完成设置:如果为“是”,则 macOS 设备不会继续执行设置助理,直到 MDM 资源密码部署到设备。该部署发生在本地帐户创建之前。此设置适用于 macOS 10.11 及更高版本的设备。默认值为“否”。
设备设置
- 允许删除注册配置文件:是否允许设备使用可远程删除的配置文件。默认值为“否”。
-
在“iOS 设置助理选项”中,选择用户首次启动设备时 iOS 设置助理跳过的步骤。跳过某个屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能访问的更多信息,请参阅限制设备策略。所有项目的默认值均为清除。以下说明解释了选择某个设置时会发生什么。
- 定位服务:阻止用户在设备上设置定位服务。
- 触控 ID:阻止用户在 iOS 设备上设置触控 ID 或面容 ID。在 iOS 15 中已弃用。
- 密码锁定:阻止用户为设备设置密码。如果不存在密码,用户将无法使用触控 ID 或 Apple Pay。
- 设置为新设备或还原:阻止用户将设备设置为新设备或从 iCloud 或 Apple App Store 备份还原。
- 从 Android 迁移:阻止用户将数据从 Android 设备传输到 iOS 设备。此选项仅在选择“设置为新设备或还原”(即跳过该步骤)时可用。
- Apple ID:阻止用户为设备设置受管 Apple ID 帐户。
- 条款和条件:阻止用户阅读和接受设备使用条款和条件。
- Apple Pay:阻止用户设置 Apple Pay。如果此设置已清除,则用户必须设置触控 ID 和 Apple ID。请确保这些设置已清除。
- Siri:阻止用户配置 Siri。
- 应用分析:阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
- 显示缩放:阻止用户在 iOS 设备上设置显示分辨率(标准或缩放)。在 iOS 17 中已弃用。
- 原彩显示:阻止用户设置四通道传感器以动态调整显示屏的白平衡。
- 主屏幕按钮:阻止用户设置主屏幕按钮的反馈样式。在 iOS 15 中已弃用。
- 新功能亮点:阻止用户查看显示有关 Apple 软件新功能信息的屏幕。
- 隐私:阻止用户查看数据和隐私窗格。适用于 iOS 11.3 及更高版本。
- 软件更新:阻止用户将 iOS 更新到最新版本。适用于 iOS 12.0 及更高版本。
- 屏幕使用时间:阻止用户启用屏幕使用时间。适用于 iOS 12.0 及更高版本。
- SIM 设置:阻止用户设置蜂窝网络套餐。适用于 iOS 12.0 及更高版本。
- iMessage 与 FaceTime:阻止用户启用 iMessage 和 FaceTime。适用于 iOS 12.0 及更高版本。
- 外观:阻止用户选择外观模式。适用于 iOS 13.0 及更高版本。
- 欢迎:阻止用户查看“开始使用”屏幕。适用于 iOS 13.0 及更高版本。
- 还原完成:阻止用户查看设置期间还原是否完成。适用于 iOS 14.0 及更高版本。
- 更新完成:阻止用户查看设置期间软件更新是否完成。适用于 iOS 14.0 及更高版本。
- 操作按钮:阻止用户查看操作按钮配置窗格。适用于 iOS 17.0 及更高版本。
- 锁定模式:如果已设置 Apple 帐户,则阻止用户查看锁定模式窗格。适用于 iOS 17.1 及更高版本。
- 智能:阻止用户查看智能窗格。适用于 iOS 18.0 及更高版本。
- 相机按钮:阻止用户查看相机按钮窗格。适用于 iOS 18.0 及更高版本。
ABM 帐户显示在“设置 > Apple Deployment Program”中。
-
在“macOS 设置助理选项”中,选择用户首次启动设备时 macOS 设置助理跳过的步骤。跳过某个屏幕时,相关功能将使用默认设置。用户可以在设置完成后配置跳过的功能,除非您完全限制对这些功能的访问。有关限制对功能访问的更多信息,请参阅限制设备策略。所有项目的默认值均为清除。以下说明解释了选择某个设置时会发生什么。
- 设置为新设备或还原:阻止用户将设备设置为新设备或从时间机器备份还原或执行系统迁移。
- 定位服务:阻止用户在设备上设置定位服务。适用于 macOS 10.11 及更高版本。
- Apple ID:阻止用户为设备设置受管 Apple ID 帐户。
- 条款和条件:阻止用户阅读和接受设备使用条款和条件。
- Siri:阻止用户配置 Siri。适用于 macOS 10.12 及更高版本。
-
FileVault:使用 FileVault 加密启动磁盘。XenMobile 仅在系统具有单个本地用户帐户且该帐户已登录 iCloud 时才应用 FileVault 设置。
您可以使用 macOS FileVault 磁盘加密功能通过加密其内容来保护系统卷 (https://support.apple.com/en-us/HT204837)。如果您在未启用 FileVault 的新型便携式 Mac 上运行设置助理,系统可能会提示您启用此功能。该提示会出现在新系统和升级到 OS X 10.10 或 10.11 的系统上,但仅当系统具有单个本地管理员帐户且该帐户已登录 iCloud 时。
- 应用分析:阻止用户设置是否与 Apple 共享崩溃数据和使用情况统计信息。
- 隐私:阻止用户查看数据和隐私窗格。适用于 macOS 10.13 及更高版本。
- iCloud 分析:阻止用户选择是否向 Apple 发送诊断 iCloud 数据。适用于 macOS 10.13 及更高版本。
- iCloud 文稿和桌面:阻止用户设置 iCloud 桌面和文稿。适用于 macOS 10.13 及更高版本。
- 外观:阻止用户选择外观模式。适用于 macOS 10.14 及更高版本。
- 辅助功能:阻止用户自动听到旁白。仅当设备连接到以太网时可用。适用于 macOS 11 及更高版本。
- 生物识别:阻止用户设置触控 ID 和面容 ID。适用于 macOS 10.12.4 及更高版本。
- 原彩显示:阻止用户设置四通道传感器以动态调整显示屏的白平衡。适用于 macOS 10.13.6 及更高版本。
- Apple Pay:阻止用户设置 Apple Pay。如果此设置已清除,则用户必须设置触控 ID 和 Apple ID。请确保“Apple ID”和“生物识别”设置已清除。适用于 macOS 10.12.4 及更高版本。
-
屏幕使用时间:阻止用户启用屏幕使用时间。适用于 macOS 10.15 及更高版本。
-
本地帐户设置选项:指定用于在设备上创建管理员帐户的设置。用户使用此信息登录其 macOS 设备。XenMobile 使用指定的信息创建帐户。
- 将主帐户创建为标准用户:XenMobile 不会授予此用户设备上的管理员权限,而是创建具有标准权限的用户。由于 macOS 需要管理员帐户,XenMobile 会首先创建一个管理员帐户,然后创建一个新的标准帐户并将其设置为主帐户。
- 管理员全名:键入系统为管理员帐户显示的名称。
- 管理员短名称:键入设备为主文件夹和 shell 显示的名称。
- 管理员密码:为管理员帐户键入安全密码。
- 在“用户与群组”中显示管理员帐户:如果清除,则管理员帐户不会显示在 macOS 设置的“用户与群组”中。如果您将主帐户创建为标准用户,请启用此设置以隐藏 XenMobile 首先创建的管理员帐户。
订购已启用 Deployment Program 的设备
您可以直接从 Apple 或已启用 Deployment Program 的授权经销商或运营商处订购已启用 Deployment Program 的设备。要从 Apple 订购,请在 Apple Deployment Program 门户中提供您的 Apple 客户 ID。您的客户 ID 使 Apple 能够将您购买的设备与您的 Apple Deployment Program 帐户关联起来。
要从您的经销商或运营商处订购,请联系您的 Apple 经销商或运营商,以检查他们是否参与 Apple Deployment Program。购买设备时,请索取经销商的 Apple Deployment Program ID。当您将 Apple Deployment Program 经销商添加到您的 Apple Deployment Program 帐户时,Apple 需要此信息。添加经销商的 Apple Deployment Program ID 后,您将收到一个 Deployment Program 客户 ID。将 Deployment Program 客户 ID 提供给经销商,经销商将使用该 ID 向 Apple 提交有关您设备购买的信息。有关更多信息,请参阅此 Apple 使用设备注册网站。
管理已启用 Deployment Program 的设备
订单发货后,您可以将 iOS、iPadOS 和 macOS 设备与您的 XenMobile Server 关联。
- 使用管理员或设备注册经理帐户登录 Apple Business Manager。
- 在侧栏中,单击“设备”。您直接从 Apple 购买的设备会自动显示。要将设备从 Apple Configurator 2 分配到 Apple Business Manager,请参阅 Apple Business Manager 用户指南。
- 在列表中,选择一个设备或设备总数,然后单击“编辑设备管理”。您有两个选项:
-
要将设备分配给 MDM 服务器,请在“分配到服务器”下,选择您的 XenMobile Server 的名称。单击“继续”。
要批量将新设备分配到 Apple Business Manager,请为部署设置默认的 XenMobile Server。有关更多信息,请参阅为批量注册设置默认服务器。
-
要从 XenMobile Server 取消分配设备,请选择“取消分配”。
-
您的 Apple Deployment Program 设备现已与选定的 XenMobile Server 关联。
如果您将 iOS、iPadOS 或 macOS 设备送修,则需要从 Apple Business Manager 中删除该设备。当您收到维修后的设备时,必须将该设备重新分配给 XenMobile Server。更换设备时,您可以使用订单号将新设备分配给 XenMobile Server。
要查看已分配设备的记录:
- 使用管理员或设备注册经理帐户登录 Apple Business Manager。
- 在侧栏中,单击“分配历史记录”。然后选择一个分配以查看更多信息。
- 单击“下载”以下载包含所有已分配和未分配设备序列号的 CSV 文件。
如果设备已售出、被盗或无法维修,您可以从 Apple Business Manager 中删除 iOS、iPadOS 和 macOS 设备。
- 使用管理员或设备注册经理帐户登录 Apple Business Manager。
- 在侧栏中,单击“设备”并搜索设备。
- 选择一个设备,然后单击“释放设备”。在对话框中,确认您的更改以从程序中删除设备。要重新添加 iOS 和 iPadOS 设备,请使用 Apple Configurator 2。您无法使用 Apple Configurator 2 重新添加 macOS 设备。