Как разработать приложение для управления мобильными устройствами в iOS. Устройства ios


ios - Как разработать приложение для управления мобильными устройствами в iOS

iOS MDM - это клиентский протокол. Итак, вы разрабатываете сервер, но для него не разрабатывается клиентское приложение. На самом деле есть клиентское приложение, но оно разработано Apple и встроено в операционную систему.

Итак, ваш сервер отправит команду, встроенный MDM-клиент получит и выполнит ее.

В общем, если вы хотите разработать MDM-сервер, вам необходимо зарегистрироваться в Enterprise Developer Program и получить документацию по MDM.

Документация здесь, это поможет вам создать свое собственное решение mdm с нуля. Я полагаю,

Ссылка

Некоторые полезные ссылки на разработку сервера mdm Ссылка 1, Ссылка 2

Вот ссылка на MDM-тег в просмотре, это поможет вам получить ответ на большинство часто задаваемых вопросов

Если вы хотите получить какие-либо разъяснения, чтобы сделать это, сделайте здесь комментарий ниже. Я готов помочь вам.

Update

Обзор

  • Для управления устройством мы можем настроить его вручную с помощью приложения настроек iOS

    Но у него есть проблема с масштабируемостью и большая работа по настройке каждого устройства вручную и требуется физический доступ

  • поэтому Apple представила iPCU (утилиту настройки iPhone), с помощью которой мы можем создавать профили конфигурации (.moibleconfig), и мы можем установить это над USB или OTA (над воздухом)

    Но для этого требуется взаимодействие с пользователем

  • поэтому Apple представила сервисы MDM для iOS, это не требует взаимодействия с пользователем, мы можем сделать так много всего очень легко без согласия пользователя, например, удаленной блокировки, разблокировки, очистки, настройки почты и т.д.

    MDM - это в основном протокол, с помощью которого вы можете удаленно управлять устройствами.

    Обзор

    Изменения, внесенные в приложение настроек iOS, хранятся в /var/mobile/Library/ConfigurationProfiles как .plist файлы вместе с профилями (.plist), установленными iPCU и MDM

    Предположим, что мы отключили установку приложения App Store на устройстве, поэтому для этого мы перейдем в Настройки- > Ограничения и отключим установку в App Store, поэтому allowAppInstallation в своей конфигурации (.plist) превратится в false, скажем, мы настраиваем установку приложения с помощью iPCU, а также MDM, а затем iOS мы будем использовать наиболее ограничительный, когда возникает конфликт между конфигурационными профилями профиля приложения настроек iOS, профилем iPCU и профилем MDM.

    iOS создает профиль, называемый ProfileTruth.plist, путем слияния всех этих профилей и работы iOS по отношению к этому plist

    MDM в основном состоит из этих вещей

    • Устройство iOS

      Это может быть любое устройство, которое работает с использованием iOS.All iOS-устройства имеет встроенный MDM-клиент. Он будет действовать на инструкцию, переданную сервером MDM

    • Сервер MDM

      В основном это приложение, размещенное на приложении или веб-сервере, и оно передает команду клиенту MDM, размещенному на устройстве iOS

    • Signaling

      Этот механизм, который вызывает клиент mdm с сервера, в нашем случае это APNS

При этом я подключил рабочий процесс MDM

Рабочий процесс MDM

  • Сервер MDM отправляет уведомления с использованием APNS
  • APNS доставляет его на устройство
  • Встроенный клиент MDM подключается к серверу MDM
  • При подключении MDM Server отправляет команды, стоящие перед клиентом, и клиент действует на команды, отправленные сервером MDM, и отвечает соответствующим подтверждением на сервер MDM

Шаги по созданию простого MDM

Регистрация MDM

Он начинается с профиля регистрации MDM

В iPCU вы можете создать новый профиль, выбрав полезную нагрузку MDM

Профиль регистрации MDM

Проверить URL

The is the URL where enrolment of the device happens. i.e upon installation of profile on the device MDM client sends necessary information to the MDM server which MDM server will use to authenticate and connect with the device

URL-адрес сервера

Once the MDM server got the enrolment information.It can use the information to connect the device using APNS and when MDM client wakes up it connects with the URL mentioned in Server URL and Server can send back the queued commands to MDM client

Тема

Enter the subject of APNS certificate that going to be used for MDM.

Идентичность

It can be any certificate generated by Certificate Assistant but important thing is it has to be signed by globally trusted CA or in the case of self signed CA the CA has be installed in the device.

Установить профиль регистрации MDM

Вы можете установить этот профиль, используя Over Air или Over USB

Как только он будет установлен, встроенный клиент iOS подключится к серверу MDM (URL-адрес проверки) с запросом на аутентификацию

PUT:/checkin

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>MessageType</key> <string>Authenticate</string> <key>Topic</key> <string>com.example.mdm.pushcert</string> <key>UDID</key> <string> [ redacted ] </string> </dict> </plist>

Теперь сервер может либо принять, либо отклонить запрос Authenticate. Чтобы принять сервер, необходимо ответить пустым plist

  <!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> </dict> </plist>

После получения ответа клиент MDM отправит запрос TokenUpdate

PUT:/checkin

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>MessageType</key> <string>TokenUpdate</string> <key>PushMagic</key> <string> [ redacted uuid string ] </string> <key>Token</key> <data> [ 32 byte string, base64 encoded, redacted ] </data> </data> <key>Topic</key> <string>com.example.mdm.pushcert</string> <key>UDID</key> <string> [ redacted ] </string> <key>UnlockToken</key> <data> [ long binary string encoded in base64, redacted ] </data> </dict> </plist>

Снова сервер должен отправить простой plist для завершения процесса регистрации

Серверу MDM необходимо хранить следующие ключи на сервере

PushMagic

Серверу необходимо подключить его ко всему уведомлению Push, которое он отправляет для подключения клиента MDM

Маркер

Уникальный идентификатор, который идентифицирует устройство для APNS

UnlockToken

Ключ, используемый для очистки пароля.

Управление устройством

Теперь серверу необходимо отправить push-уведомление, передав выше Token to Token for Push для библиотеки уведомлений Push и полезную нагрузку Pushmagic как значение для ключевого MDM

{"mdm":"996ac527-9993-4a0a-8528-60b2b3c2f52b"}

См. aps в этой полезной нагрузке

Как только устройство получает push-уведомление, клиент MDM связывается с URL-адресом сервера вместо URL-адреса проверки со статусом бездействия

PUT:/server

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Status</key> <string>Idle</string> <key>UDID</key> <string> [ redacted ] </string> </dict> </plist>

Затем сервер отвечает любой командой, которую он поставил в очередь для устройства.

Давайте рассмотрим пример Блокировка устройства

The server has to respond with command like this to the client request <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Command</key> <dict> <key>RequestType</key> <string>DeviceLock</string> </dict> <key>CommandUUID</key> <string></string> </dict> </plist>

Когда клиент MDM получает это для своего запроса статуса простоя, который был отправлен ранее. Он немедленно заблокирует устройство и ответит на сервер со следующим стандартным подтверждением

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>CommandUUID</key> <string></string> <key>Status</key> <string>Acknowledged</string> <key>UDID</key> <string> [ redacted ] </string> </dict> </plist>

Здесь вы можете найти список команд

введите описание изображения здесь

Что все. Этот подход сделает простую демонстрационную вещь.

Примечание:

Я попытаюсь настроить мелодию или добавить больше контента для более легкого понимания

qaru.site

ios - Идентификатор устройства ios 7 отличается для того же устройства

UPDATE:

Думаю, я слишком быстро прочитал этот текст. Обратите внимание на мои изменения. Если ответ соответствует вашему прецеденту, пожалуйста, не стесняйтесь его принять.

Основываясь на вашем описании, я бы предположил, что произошли коренные изменения в генерации маркеров между iOS6 и iOS7. Чтобы более внимательно изучить это поведение, я рекомендую вам взглянуть на Руководство по программированию локальных и push-уведомлений. В Руководстве в разделе "Планирование, регистрация и обработка уведомлений" вы найдете это выражение от Apple.

Идентификаторы устройства могут меняться. Ваше приложение должно перерегистрироваться каждый раз запускается в iOS, вызывая registerForRemoteNotificationTypes: метод UIApplication, а в OS X - путем вызова registerForRemoteNotificationTypes: метод NSApplication. Параметр, переданный этому методу, определяет начальные типы уведомления, которые приложение хочет получить. Пользователи могут изменять разрешенные типы уведомлений в любой точке, используя настройки в iOS или Системные настройки в OS X. Вы можете запросить включенную в данный момент типов уведомлений с использованием свойства enabledRemoteNotificationTypes UIApplication или свойство enabledRemoteNotificationTypes NSApplication. Система не значки значков, отображение предупреждений сообщения или звуковые сигналы воспроизведения, если какой-либо из этих типов уведомлений не включены для вашего приложения, даже если они указаны в полезная нагрузка уведомлений.

Справка:

Apple использует токены устройств, когда пользователи соглашаются получать удаленные уведомления от Apple Push Service.

Обычно маркер устройства получает доступ к следующему методу:

- (void)application:(UIApplication *)application didRegisterForRemoteNotificationsWithDeviceToken:(NSData *)deviceToken

deviceToken Токен, который идентифицирует устройство для APS. Токен - непрозрачные данные потому что это форма, которую поставщик должен представить в APS, когда он отправляет уведомление устройству. Серверы APS требуется двоичный формат по соображениям производительности.

Обратите внимание, что токен устройства отличается от уникального идентификатора свойство UIDevice, поскольку по соображениям безопасности и конфиденциальности оно должен быть изменен при стирании устройства.

Device Tokens Used in the Apple Push Notification Service

Существуют также значительные изменения в идентификаторе UIDevice (использование Apple ограничено). Я бы предложил следующее:

qaru.site

Регистрация устройств iOS с помощью программы регистрации устройств - Microsoft Intune

  • 05/04/2018
  • Время чтения: 21 мин
  • Соавторы

В этой статье

Эта статья поможет вам задействовать регистрацию устройств iOS, приобретенных по Программе регистрации устройств (DEP) компании Apple.This article helps you enable iOS device enrollment for devices purchased through Apple's Device Enrollment Program (DEP). Вы можете включить регистрацию DEP для большого количества устройств, причем работать отдельно с каждым устройством не требуется.You can enable DEP enrollment for large numbers of devices without ever touching them. Устройства, например iPhone и iPad, можно сразу же отправлять пользователям.You can ship devices like iPhones and iPads directly to users. Когда пользователь включает устройство, запускается помощник по установке с предварительно настроенными параметрами, и устройство регистрируется для управления.When the user turns on the device, Setup Assistant runs with preconfigured settings and the device enrolls into management.

Чтобы включить регистрацию DEP, используйте порталы DEP Apple и Intune.To enable DEP enrollment, you use both the Intune and Apple DEP portals. Необходим список идентификаторов или номер заказа на покупку, чтобы вы могли назначить их Intune для управления.A list of serial numbers or a purchase order number is required so you can assign devices to Intune for management. Вы создаете профили регистрации DEP, содержащие параметры, применяемые к устройствам во время регистрации.You create DEP enrollment profiles containing settings that applied to devices during enrollment.

Кстати, регистрацию DEP нельзя использовать с диспетчером регистрации устройств.By the way, DEP enrollment does not work with the device enrollment manager.

Что такое защищенный режимWhat is supervised mode?

В iOS 5 компания Apple представила защищенный режим.Apple introduced supervised mode in iOS 5. Устройством iOS в защищенном режиме можно управлять с помощью дополнительных средств.An iOS device in supervised mode can be managed with more controls. Этот режим особенно полезен для корпоративных устройств.As such, it is especially useful for corporate-owned devices. Intune поддерживает настройку защищенного режима для устройств в рамках Программы регистрации устройств Apple (DEP).Intune supports configuring devices for supervised mode as part the Apple Device Enrollment Program (DEP).

В iOS 11 прекращена поддержка незащищенных устройств DEP.Support for unsupervied DEP devies was deprecated in iOS 11. В iOS 11 и более поздних версий устройства, настроенные с помощью DEP, должны всегда быть защищены.In iOS 11 and later, DEP configured devices should always be supervised. Флаг DEP is_supervised будет игнорироваться в будущем выпуске iOS.The DEP is_supervised flag will be ignored in a future iOS release.

Предварительные условияPrerequisites

Получение токена Apple DEPGet an Apple DEP token

Перед регистрацией устройств iOS с помощью программы DEP необходимо получить файл токена DEP (.p7m) от Apple.Before you can enroll iOS devices with DEP, you need a DEP token (.p7m) file from Apple. Этот токен позволяет службе Intune синхронизировать сведения о корпоративных устройствах, зарегистрированных по программе DEP.This token lets Intune sync information about DEP devices that your corporation owns. Он также позволяет службе Intune выполнять отправку данных профилей регистрации в Apple и назначать устройства этим профилям.It also permits Intune to upload enrollment profiles to Apple and to assign devices to those profiles.

Токен DEP создается на портале Apple DEP.You use the Apple DEP portal to create a DEP token. Кроме того, на портале DEP можно назначать устройства для управления службой Intune.You also use the DEP portal to assign devices to Intune for management.

Примечание

Если вы удалите токен на классическом портале Intune перед миграцией в Azure, Intune сможет восстановить удаленный токен программы регистрации устройств Apple.If you delete the token from the Intune classic portal before migrating to Azure, Intune might restore a deleted Apple DEP token. Вы можете просто удалить токен DEP на портале Azure.You can delete the DEP token again from the Azure portal.

Шаг 1.Step 1. Скачивание сертификата открытого ключа Intune, необходимого для создания токенаDownload the Intune public key certificate required to create the token.

  1. В Intune на портале Azure выберите Регистрация устройства > Регистрация Apple > Токены программы регистрации > Добавить.In the Intune in the Azure portal, choose Device enrollment > Apple enrollment > Enrollment Program Tokens > Add.

  2. Выберите I agree (Даю согласие), чтобы предоставить корпорации Майкрософт разрешение на отправку сведений о пользователях и устройствах в Apple.Grant permission to Microsoft to send user and device information to Apple by selecting I agree.

  3. Выберите Скачать сертификат открытого ключа, чтобы скачать и сохранить файл ключа шифрования (PEM) локально.Choose Download your public key to download and save the encryption key (.pem) file locally. PEM-файл используется для запроса сертификата отношений доверия с портала программы регистрации устройств Apple.The .pem file is used to request a trust-relationship certificate from the Apple Device Enrollment Program portal.

Шаг 2.Step 2. Использование ключа для скачивания токена на портале AppleUse your key to download a token from Apple.

  1. Выберите Create a token for Apple's Device Enrollment Program (Создать токен с помощью программы регистрации устройств Apple), чтобы открыть портал программ развертывания Apple, и войдите с использованием корпоративного идентификатора Apple ID.Choose Create a token for Apple's Device Enrollment Program to open Apple's Deployment Program portal, and sign in with your company Apple ID. Этот идентификатор Apple ID можно использовать для обновления токена DEP.You can use this Apple ID to renew your DEP token.

  2. На портале программ развертывания Apple выберите значение Начало работы в поле Программа регистрации устройств.In Apple's Deployment Programs portal, choose Get Started for Device Enrollment Program.

  3. На странице Управление серверами выберите Add MDM Server (Добавить сервер MDM).On the Manage Servers page, choose Add MDM Server.

  4. Введите имя сервера MDM и нажмите кнопку Далее.Enter the MDM Server Name, and then choose Next. Имя сервера используется в качестве справочной информации для идентификации сервера управления мобильными устройствами (MDM).The server name is for your reference to identify the mobile device management (MDM) server. Это не имя или URL-адрес сервера Microsoft Intune.It is not the name or URL of the Microsoft Intune server.

  5. Открывается диалоговое окно Добавить <имя_сервера> с сообщением Upload Your Public Key (Отправьте свой открытый ключ).The Add <ServerName> dialog box opens, stating Upload Your Public Key. Щелкните Выбрать файл...Choose Choose File… для отправки PEM-файла. Затем нажмите кнопку Далее.to upload the .pem file, and then choose Next.

  6. Перейдите в меню Программы развертывания > Программа регистрации устройств > Управление устройствами.Go to Deployment Programs > Device Enrollment Program > Manage Devices.

  7. В разделе Choose Devices By (Выбор устройств) укажите способ идентификации устройств.Under Choose Devices By, specify how devices are identified:

    • Серийный номерSerial Number
    • Номер заказаOrder Number
    • Upload CSV File (Отправка CSV-файла)Upload CSV File.

  8. Для параметра Выбрать действие выберите значение Назначить серверу, укажите <имя_сервера>, заданное для Microsoft Intune, и нажмите кнопку ОК.For Choose Action, choose Assign to Server, choose the <ServerName> specified for Microsoft Intune, and then choose OK. Портал Apple назначает указанные устройства серверу Intune для управления, а затем отображает сообщение Assignment Complete (Назначено).The Apple portal assigns the specified devices to the Intune server for management and then displays Assignment Complete.

    На портале Apple перейдите в раздел Deployment Programs (Программы развертывания) > Device Enrollment Program (Программы регистрации устройств) > View Assignment History (Просмотреть журнал назначений), чтобы просмотреть список устройств и их назначение серверу MDM.In the Apple portal, go to Deployment Programs > Device Enrollment Program > View Assignment History to see a list of devices and their MDM server assignment.

Шаг 3.Step 3. Сохранение идентификатора Apple ID, с помощью которого создан этот токенSave the Apple ID used to create this token.

В Intune на портале Azure укажите идентификатор Apple ID для дальнейшего применения.In Intune in the Azure portal, provide the Apple ID for future reference.

Шаг 4.Step 4. Отправка токенаUpload your token.

В поле Токен Apple перейдите к файлу сертификата (PEM) и щелкните Открыть, а затем выберите Создать.In the Apple token box, browse to the certificate (.pem) file, choose Open, and then choose Create. С помощью Push Certificate служба Intune может зарегистрировать устройства iOS и управлять ими, применяя политику к зарегистрированным мобильным устройствам.With the push certificate, Intune can enroll and manage iOS devices by pushing policy to enrolled mobile devices. Intune автоматически синхронизируется с Apple для просмотра вашей учетной записи программы регистрации.Intune automatically synchronizes with Apple to see your enrollment program account.

Создание профиля регистрации AppleCreate an Apple enrollment profile

Теперь, когда вы установили токен, можно создать профиль регистрации для устройств DEP.Now that you've installed your token, you can create an enrollment profile for DEP devices. Профиль регистрации устройства определяет параметры, применяемые к группе устройств в процессе регистрации.A device enrollment profile defines the settings applied to a group of devices during enrollment.

  1. В Intune на портале Azure выберите Регистрация устройства > Регистрация Apple > Токены программы регистрации.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment > Enrollment program tokens.

  2. Выберите токен, щелкните Профили и выберите Создание профиля.Select a token, choose Profiles, and then choose Create profile.

  3. В разделе Создание профиля введите имя и описание профиля для использования в административных целях.Under Create Profile, enter a Name and Description for the profile for administrative purposes. Пользователям эти сведения не отображаются.Users do not see these details. Поле Имя можно использовать для создания динамической группы в Azure Active Directory.You can use this Name field to create a dynamic group in Azure Active Directory. Используйте имя профиля для определения параметра enrollmentProfileName, чтобы назначать устройства с этим профилем регистрации.Use the profile name to define the enrollmentProfileName parameter to assign devices with this enrollment profile. Узнайте больше о динамических группах Azure Active Directory.Learn more about Azure Active Directory dynamic groups.

  4. В поле Сходство пользователей укажите, должны ли устройства с этим профилем регистрироваться с назначенным пользователем или без него.For User Affinity, choose whether devices with this profile must enroll with or without an assigned user.

    • Регистрация со сходством пользователей — выберите этот вариант для устройств, которые принадлежат пользователям и которые должны использовать корпоративный портал для таких действий, как установка приложений.Enroll with User Affinity - Choose this option for devices that belong to users and that want to use the Company Portal for services like installing apps. Если используется ADFS и в профиле регистрации для параметра Проверять подлинность с помощью корпоративного портала, а не помощника по настройке Apple задано значение Нет, требуется указать конечную точку WS-Trust 1.3 в режиме "Имя пользователя/смешанный" (см. дополнительные сведения).If using ADFS and the enrollment profile has Authenticate with Company Portal instead of Setup Assistant set to No, WS-Trust 1.3 Username/Mixed endpoint Learn more is required.

    • Регистрация без сходства пользователей — выберите этот вариант для устройства, не связанного с одним пользователем.Enroll without User Affinity - Choose this option for device unaffiliated with a single user. Используйте этот вариант для устройств, которые выполняют задачи без осуществления доступа к локальным данным пользователя.Use this option for devices that perform tasks without accessing local user data. Такие приложения, как приложение корпоративного портала, работать не будут.Apps like the Company Portal app don’t work.

  5. Если выбран вариант Регистрация со сходством пользователей, вы можете разрешить пользователям выполнять аутентификацию с помощью корпоративного портала, а не помощника по настройке Apple.If you chose Enroll with User Affinity, you have the option to let users authenticate with Company Portal instead of the Apple Setup Assistant.

    Примечание

    Задайте для параметра Проверять подлинность с помощью корпоративного портала, а не помощника по настройке Apple значение Да, чтобы выполнить любое из следующих действий:If you want do any of the following, set Authenticate with Company Portal instead of Apple Setup Assistant to Yes.

    • Использование многофакторной проверки подлинности.use multifactor authentication
    • Предложение пользователям изменить пароль при первом входе.prompt users who need to change their password when they first sign in
    • Предложение пользователям сбросить пароли с истекшим сроком действия во время регистрации.prompt users to reset their expired passwords during enrollment

    Не поддерживается при проверке подлинности с помощником по настройке Apple.These are not supported when authenticating with Apple Setup Assistant.

  6. Если вы выбрали Да для пункта Проверять подлинность с помощью корпоративного портала, а не помощника по настройке Apple, у вас есть возможность использовать маркер Volume Purchase Program (VPP) для автоматической установки корпоративного портала на устройство без указания идентификатора Apple ID пользователем.If you chose Yes for Authenticate with Company Portal instead of Apple Setup Assistant, you have the option to use a Volume Purchase Program (VPP) token to automatically install the Company Portal on the device without the user providing an Apple ID. Чтобы установить корпоративный портал с маркером VPP, выберите маркер в разделе Установить корпоративный портал с помощью VPP.To install the Company Portal with a VPP token, choose a token under Install Company Portal with VPP. Убедитесь, что срок действия маркера не истекает и у вас достаточно лицензий на приложение корпоративного портала для устройств.Make sure that the token doesn't expire and that you have enough device licenses for the Company Portal app. Если срок действия маркера истекает или не хватает лицензий, Intune установит корпоративный портал App Store (при этом будет запрошен идентификатор Apple ID).If the token expires or runs out of licenses, Intune installs the App Store Company Portal instead and will prompt for an Apple ID.

  7. Если вы выбрали маркер для Установки корпоративного портала с VPP, у вас есть возможность блокировки устройства в режиме одиночного приложения (в частности, приложения корпоративного портала) сразу же после завершения работы помощника по настройке.If you chose a token for Install Company Portal with VPP, you have the option to lock the device in Single App Mode (specifically, the Company Portal app) immediately after the Setup Assistant completes. Выберите вариант Да для запуска корпоративного портала в режиме одиночного приложения до проверки подлинности, чтобы установить этот параметр.Choose Yes for Run Company Portal in Single App Mode until authentication to set this option. Чтобы использовать устройство, пользователь сначала должен пройти проверку подлинности с использованием корпоративного портала.To use the device, the user must first authenticate by signing in using the Company Portal.

  8. Щелкните Параметры управления устройствами и укажите, нужно ли защитить устройства, использующие этот профиль.Choose Device Management Settings and select whether or not you want devices using this profile to be supervised.

    Для защищенных устройств обеспечиваются дополнительные возможности управления и отключена блокировка активации по умолчанию.Supervised devices give you more management options and disabled Activation Lock by default. Корпорация Майкрософт рекомендует использовать DEP в качестве способа включения защищенного режима, особенно в организациях, в которых развертывается большое количество устройств iOS.Microsoft recommends using DEP as the mechanism for enabling supervised mode, especially for organizations that are deploying large numbers of iOS devices.

    Пользователи получают уведомления о защите устройств двумя способами:Users are notified that their devices are supervised in two ways:

    • На экране блокировки отображается уведомление следующего содержания: "Это устройство iPhone находится под управлением Contoso".The lock screen says: "This iPhone is managed by Contoso."

    • Если выбрать Параметры > Общие > О программе, на экране появится сообщение "Это устройство iPhone защищено".The Settings > General > About screen says: "This iPhone is supervised. Contoso может отслеживать ваш интернет-трафик и обнаруживать устройство"Contoso can monitor your Internet traffic and locate this device."

      Примечание

      Для устройств, зарегистрированных без защиты, можно вернуть защищенный режим только с помощью конфигуратора Apple.A device enrolled without supervision can only be reset to supervised by using the Apple Configurator. Для этого требуется подключить устройство iOS к компьютеру Mac, используя USB-кабель.Resetting the device in this manner requires connecting an iOS device to a Mac with a USB cable. Дополнительные сведения см. в документации по Apple Configurator.Learn more about this on Apple Configurator docs.

  9. Укажите, нужно ли использовать заблокированную регистрацию для устройств, использующих этот профиль.Choose whether or not you want locked enrollment for devices using this profile. Регистрация заблокирована — отключает параметры iOS, которые позволяют удалить профиль управления из меню параметров.Locked enrollment disables iOS settings that allow the management profile to be removed from the Settings menu. После регистрации изменить этот параметр можно, только очистив устройство.After device enrollment, you cannot change this setting without wiping the device. Для таких устройств нужно выбрать для режима управления Защищено значение Да.Such devices must have the Supervised Management Mode set to Yes.

  10. Укажите, могут ли устройства, использующие этот профиль, синхронизироваться с компьютерами.Choose whether or not you want the devices using this profile to be able to Sync with computers. Если выбрать Разрешить конфигуратор Apple по сертификату, необходимо выбрать сертификат в разделе Apple Configurator Certificates (Сертификаты конфигуратора Apple).If you choose Allow Apple Configurator by certificate, you must choose a certificate under Apple Configurator Certificates.

  11. Если на предыдущем шаге вы выбрали Разрешить конфигуратор Apple по сертификату, укажите сертификат конфигуратора Apple для импорта.If you chose Allow Apple Configurator by certificate in the previous step, choose an Apple Configurator Certificate to import.

  12. Нажмите кнопку ОК.Choose OK.

  13. Выберите пункт Настройка помощника по настройке, чтобы настроить следующие параметры профиля: Choose Setup Assistant customization to configure the following profile settings:

    Параметры отделаDepartment settings ОписаниеDescription
    Название отделаDepartment Name Отображается, когда пользователь выбирает пункт О конфигурации во время активации.Appears when users tap About Configuration during activation.
    Телефон отделаDepartment Phone Отображается, когда пользователь нажимает кнопку Нужна помощь во время активации.Appears when the user clicks the Need Help button during activation.

Вы можете показать или скрыть различные экраны помощника по настройке на устройстве, когда пользователь выполняет настройку.You can choose to show or hide a variety of Setup Assistant screens on the device when the user sets it up.

  • При выборе варианта Скрыть этот экран не будет отображаться во время настройки.If you choose Hide, the screen won't be displayed during set up. После настройки устройства пользователь по-прежнему может перейти в меню Параметры, чтобы настроить эту функцию.After setting up the device, the user can still go in to the Settings menu to set up the feature.

  • При выборе варианта Показать этот экран будет отображаться во время настройки.If you choose Show, the screen will be displayed during set up. Иногда пользователь может пропустить экран без выполнения действия.The user can sometimes skip the screen without taking action. Позже он может открыть меню Параметры, чтобы настроить эту функцию.But they can then later go into the device's Settings menu to set up the feature.

    Параметры экранов помощника по настройкеSetup Assistant screen settings При выборе варианта Показать во время настройки устройство будет…If you choose Show, during set up the device will...
    Секретный кодPasscode Запрашивать у пользователя секретный код.Prompt the user for a passcode. Следует всегда требовать секретный код, если устройство не защищено другим способом или доступ к нему не управляется иным образом (например, режим терминала, который позволяет запускать на устройстве только одно приложение).Always require a passcode unless the device is secured or has access controlled in some other manner (that is, kiosk mode that restricts the device to one app).
    Службы расположенийLocation Services Запрашивать у пользователя местоположение.Prompt the user for their location.
    ВосстановитьRestore Отображать экран Приложения и данные.Display the Apps & Data screen. На этом экране пользователь может восстанавливать или передавать данные из резервной копии iCloud при настройке устройства.This screen gives the user the option to restore or transfer data from iCloud Backup when they set up the device.
    iCloud и идентификатор Apple IDiCloud and Apple ID Предоставлять пользователю возможность войти с помощью идентификатора Apple ID и использовать iCloud.Give the user the options to sign in with their Apple ID and use iCloud.
    УсловияTerms and Conditions Запрашивать принятие условий и положений Apple.Require the user to accept Apple's terms and conditions.
    Touch IDTouch ID Предоставлять пользователю возможность настроить на устройстве идентификацию по отпечатку пальца.Give the user the option to set up fingerprint identification for the device.
    Apple PayApple Pay Предоставлять пользователю возможность настроить Apple Pay на устройстве.Give the user the option to set up Apple Pay on the device.
    МасштабZoom Предоставлять пользователю возможность изменить масштаб экрана при настройке устройства.Give the user to the option to zoom the display when they set up the device.
    SiriSiri Предоставлять пользователю возможность настроить Siri.Give the user the option to set up Siri.
    Данные диагностикиDiagnostic Data Отображать экран диагностики.Display the Diagnostics screen to the user. На этом экране можно отправлять диагностические данные в Apple.This screen gives the user the option to send diagnostic data to Apple.
  1. Нажмите кнопку ОК.Choose OK.

  2. Чтобы сохранить профиль, выберите Создать.To save the profile, choose Create.

Синхронизация управляемых устройствSync managed devices

Теперь, когда Intune имеет разрешение на управление вашими устройствами, можно синхронизировать Intune с Apple для просмотра управляемых устройств в Intune на портале Azure.Now that Intune has permission to manage your devices, you can synchronize Intune with Apple to see your managed devices in Intune in the Azure portal.

  1. В Intune на портале Azure выберите Регистрация устройства > Регистрация Apple > Токены программы регистрации > выберите токен в списке > Устройства > Синхронизировать. In Intune in the Azure portal, choose Device enrollment > Apple Enrollment > Enrollment program tokens > choose a token in the list > Devices > Sync.

    В соответствии с условиями Apple относительно допустимого трафика программы регистрации Intune налагает следующие ограничения.To comply with Apple’s terms for acceptable enrollment program traffic, Intune imposes the following restrictions:

    • Полная синхронизация может выполняться не чаще одного раза в семь дней.A full sync can run no more than once every seven days. Во время полной синхронизации Intune извлекает полный перечень обновленных серийных номеров, которые назначены подключенному к Intune серверу MDM Apple.During a full sync, Intune fetches the complete updated list of serial numbers assigned to the Apple MDM server connected to Intune. Когда зарегистрированное в программе устройство удаляется с портала Intune, но остается назначенным на MDM-сервере Apple на портале программы DEP, оно будет вновь импортировано в Intune только при выполнении полной синхронизации.After an Enrollment Program device is deleted from Intune portal without being unassigned from the Apple MDM server in the DEP portal, it won't be reimported to Intune until the full sync is run.
    • Синхронизация выполняется автоматически каждые 24 часа.A sync is run automatically every 24 hours. Также можно выполнить синхронизацию, нажав кнопку Синхронизировать (не чаще, чем раз в 15 минут).You can also sync by clicking the Sync button (no more than once every 15 minutes). Любой запрос синхронизации выполняется в течение 15 минут.All sync requests are given 15 minutes to finish. Кнопка Синхронизировать неактивна до завершения синхронизации.The Sync button is disabled until a sync is completed. Во время синхронизации обновится состояние существующих устройств и импортируются новые устройства, назначенные серверу MDM Apple.This sync will refresh existing device status and import new devices assigned to the Apple MDM server.

Назначение профиля регистрации устройствамAssign an enrollment profile to devices

Устройствам нужно назначить профиль программы регистрации, чтобы можно было их зарегистрировать.You must assign an enrollment program profile to devices before they can enroll.

Примечание

Кроме того, серийные номера можно назначить профилям в колонке Apple Serial Numbers (Серийные номера Apple).You can also assign serial numbers to profiles from the Apple Serial Numbers blade.

  1. В Intune на портале Azure выберите Регистрация устройства > Регистрация Apple > Токены программы регистрации > выберите токен в списке.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment > Enrollment program tokens > choose a token in the list.
  2. Выберите Устройства > выберите устройства в списке > Назначить профиль.Choose Devices > choose devices in the list > Assign profile.
  3. В разделе Назначение профиля выберите профиль для устройств и нажмите Назначить.Under Assign profile, choose a profile for the devices > Assign.

Назначение профиля по умолчаниюAssign a default profile

Вы можете применить профиль по умолчанию ко всем устройствам, регистрирующимся с использованием определенного токена.You can pick a default profile to be applied to all devices enrolling with a specific token.

  1. В Intune на портале Azure выберите Регистрация устройства > Регистрация Apple > Токены программы регистрации > выберите токен в списке.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment > Enrollment program tokens > choose a token in the list.
  2. Щелкните Задать профиль по умолчанию, выберите профиль в раскрывающемся списке и нажмите кнопку Сохранить.Choose Set Default Profile, choose a profile in the drop-down list, and then choose Save. Этот профиль будет применяться ко всем устройствам, которые регистрируются с использованием токена.This profile will be applied to all devices that enroll with the token.

Распределение устройствDistribute devices

Вы включили управление и синхронизацию между Apple и Intune и назначили профиль для разрешения регистрации устройств DEP.You have enabled management and syncing between Apple and Intune, and assigned a profile to let your DEP devices enroll. Теперь вы можете распределить устройства между пользователями.You can now distribute devices to users. Устройствам со сходством пользователей требуется, чтобы каждому пользователю была назначена лицензия Intune.Devices with user affinity require each user be assigned an Intune license. Устройствам без сходства пользователей требуется лицензия на устройство.Devices without user affinity require a device license. Чтобы активированное устройство могло применить профиль регистрации, необходимо очистить его.An activated device cannot apply an enrollment profile until the device is wiped.

См. сведения в статье Регистрация устройства iOS в Intune с помощью программы регистрации устройств.See Enroll your iOS device in Intune with the Device Enrollment Program.

Продление токена DEPRenew a DEP token

  1. Перейдите на сайт deploy.apple.com.Go to deploy.apple.com.

  2. В разделе Manage Servers (Управление серверами) выберите сервер MDM, связанный с файлом токена, который требуется продлить.Under Manage Servers, choose your MDM server associated with the token file that you want to renew.

  3. Выберите Generate New Token (Создать токен).Choose Generate New Token.

  4. Щелкните Your Server Token (Ваш токен сервера).Choose Your Server Token.

  5. В Intune на портале Azure выберите Регистрация устройства > Регистрация Apple > Токены программы регистрации и выберите токен.In Intune in the Azure portal, choose Device enrollment > Apple Enrollment > Enrollment program tokens > choose the token.

  6. Выберите Продлить токен и введите идентификатор Apple ID, с которым был создан исходный токен.Choose Renew token and enter the Apple ID used to create the original token.

  7. Отправьте только что скачанный токен.Upload the newly downloaded token.

  8. Щелкните Продлить токен.Choose Renew token. Появится подтверждение об обновлении токена.You'll see the confirmation that the token was renewed.

docs.microsoft.com


scroll to top