内置设备管理的注册方法
概览
如需查看重要设备信息、发送 App 和设置,或向设备推送命令,设备需要在 Apple 商务中注册内置设备管理服务。
注册方法取决于设备的使用方式,以及 App 是分配给用户还是设备。部分方法支持数据分离,可将组织数据与个人数据分开,并确保在移除注册描述文件时自动删除组织数据。账户驱动型用户注册和账户驱动型设备注册均支持此功能。无论预设集分配如何,自动设备注册都不支持数据分离。
成功注册和管理设备后,设备会获得所有配置的设置及分配的 App,并安装 Apple 商务 App。部分 App 和功能无法通过 iCloud 进行同步,具体取决于注册方法。请参阅“使用管理式 Apple 账户访问服务”。
你可以使用以下注册方法来管理设备:
账户驱动型用户注册:专为 BYOD(部署自带设备)场景设计,即设备由用户个人拥有,而非组织所有。
设备注册:账户驱动型设备注册适用于用户已开始使用组织名下设备的场景,允许用户手动注册设备,而无需抹掉设备。
自动设备注册:适用于新设备或已被抹掉的设备,组织可以在设备首次开机(包括被移除后首次开机)时就对其进行配置和管理。此方法可用于为用户或设备分配预设集。用户只需使用自己的管理式 Apple 账户登录设备,其设备便会受到管理。你不能通过自动设备注册为个人 Apple 账户分配预设集,此类账户不属于管理范畴,Apple 商务无法识别或管理它。但在注册后,用户可以选择在“设置”中使用个人 Apple 账户登录。
【注】停产设备(推出距今已超过 7 年)可能仍可以使用,但不支持自动设备注册。如需完整列表,请参阅 Apple 支持文章“在保修期过后为你的 Apple 产品获取服务”。
选择注册方法
注册方法取决于设备的所有者、用途,以及你希望如何分离组织数据和个人数据。
如果设备将由某个特定人员使用,建议使用管理式 Apple 账户注册。这能将管理与用户身份相绑定,确保用户及时获取分配到的 App 和设置,以及工作用 iCloud 储存空间。一个用户可注册的设备数量没有限制。请参考以下场景描述,根据设备的所有情况和监管要求,选择合适的方法:
设备属于组织所有、全新或已被抹除,并且需要接受完全监管
使用自动设备注册并为用户或用户群组分配预设集。
用户在“设置助理”流程期间,登录其管理式 Apple 账户。该账户会成为设备上唯一的 iCloud 账户。“设置助理”流程结束后,该设备便会受到监管和完全管理。这种方式的监管力度最大,适合设备完全只用于工作的情况。如果用户还需要在同一台设备上使用私人 App 和服务,则可以考虑使用账户驱动型设备注册。
设备归组织所有、已在使用中,且你希望分离工作数据和个人数据
使用账户驱动型设备注册并为用户或用户群组分配预设集。
用户使用个人 Apple 账户和管理式 Apple 账户登录,并保留对个人 App 和服务的访问权限,而组织数据保持独立。如果在 Mac 上使用此方法,则设备会受到监管;iPhone、iPad 和 Apple Vision Pro 设备不会受到监管。数据分离可确保组织数据与个人数据互相独立;移除注册描述文件时,组织数据会自动移除,但用户的个人数据不受影响。
该设备为个人所有(BYOD)
使用账户驱动型用户注册并为用户或用户群组分配预设集。
用户使用其管理式 Apple 账户登录;组织只能管理该管理式 Apple 账户和管理式 App,用户的个人 Apple 账户和个人数据不受管理。数据分离可确保组织数据与个人数据互相独立;移除注册描述文件时,组织数据会自动移除,但用户的个人数据不受影响。
共用或单一功能设备
使用自动设备注册并通过序列号为设备分配预设集。
注册方法摘要
部署场景 | 推荐的注册方法/监管方式/预设集分配 | 最低操作系统版本和账户要求 | 数据分离 |
|---|---|---|---|
完全管理:全新或被抹除设备 | 自动设备注册 受监管 用户或用户群组 | iOS 15 iPadOS 15 macOS 12.0.1 Apple tvOS 15(仅设备预设集) visionOS 26.4(如果 Beta 版功能已开启) 管理式 Apple 账户:需要 个人 Apple 账户:不允许 |  |
组织拥有的设备 | 账户驱动型设备注册 不受监管(iPhone、iPad、Apple Vision Pro) 受监管(Mac) 用户或用户群组 | iOS 17 iPadOS 17 macOS 14 visionOS 26.4 管理式 Apple 账户:需要 个人 Apple 账户:可选 |  |
BYOD:个人拥有的设备 | 账户驱动型用户注册 不受监管 用户或用户群组 | iOS 15 iPadOS 15 macOS 14 visionOS 26.4 管理式 Apple 账户:需要 个人 Apple 账户:可选 | |
共享或专用设备 | 自动设备注册 受监管 设备(按序列号)1 | iOS 15 iPadOS 15 macOS 12.0.1 Apple tvOS 15(仅设备预设集) visionOS 26.4(如果 Beta 版功能已开启) 管理式 Apple 账户:需要 个人 Apple 账户:可选 | |
1不需要管理式 Apple 账户。适用于共享设备、专用设备,或者管理对象是设备(而非用户)的任何情况。注册后,用户可以在“设置”中选择使用个人 Apple 账户登录。如果使用此配置的组织需要更严格地控制数据流,则可以上传自定义配置描述文件。
账户驱动型用户注册
你可以使用账户驱动型用户注册,将用户的个人 iPhone、iPad、Mac 和 Apple Vision Pro 注册至 Apple 商务。
用户使用管理式 Apple 账户登录后,会发生以下情况:
已安装 Apple 商务 App:是
可用的已分配 App:在 Apple 商务 App 中
已应用设置:是
受监管的设备:Mac:否;iPhone、iPad、Apple Vision Pro:否
个人数据和工作数据分离:是
未受管理(个人)Apple 账户 iCloud 储存空间:是
组织管理式 Apple 账户 iCloud 储存空间:可用
必备条件
此功能需要使用 iOS 15、iPadOS 15、macOS 14、visionOS 26.4 或更高版本。在使用管理式 Apple 账户登录时,如要求设备通过账户驱动型用户注册进行注册,请完成以下事项:
在 Apple 商务中,使用有权管理设备的用户账户登录。
如需查看职务和权限,请参阅“职务和权限简介”。
选择“设备注册”标签页。
使用管理式 Apple 账户登录时,为要使用“设备注册”进行注册的所有设备类型选择“注册为个人设备”。
【注】用户注册会导致非监督管理,这意味着 IT 部门对用户注册的设备的管理受限。这个注册方式最适合个人所有的设备,或不需要监管的组织所有设备。任何需要监管的 iPhone 或 iPad 都需要使用自动设备注册进行注册。请参阅 Apple 平台部署中的“关于 Apple 设备监督”。
账户驱动型设备注册
账户驱动型设备注册可用于用户正在使用,或尚未与你的 Apple 客户编号或经销商编号关联的组织所有 iPhone、iPad、Mac 或 Apple Vision Pro。用户使用个人 Apple 账户和管理式 Apple 账户登录,并保留对个人 App 和服务的访问权限,而组织数据保持独立。数据分离可确保组织数据与个人数据互相独立;移除注册描述文件时,组织数据会自动移除,但用户的个人数据不受影响。你可以为用户或用户群组分配预设集,以配置 App 和设置。
用户使用管理式 Apple 账户登录后,会发生以下情况:
已安装 Apple 商务 App:是
可用的已分配 App:在 Apple 商务 App 中
已应用设置:是
设备受监管:Mac:是;iPhone、iPad、Apple Vision Pro:否
个人数据和工作数据分离:是
未受管理(个人)Apple 账户 iCloud 储存空间:是
组织管理式 Apple 账户 iCloud 储存空间:可用
必备条件
此功能需要使用 iOS 17.1、iPadOS 17.1、macOS 14.1、visionOS 26.4 或更高版本。运行早期版本的设备在登录管理式 Apple 账户后会使用“用户注册”。
在使用管理式 Apple 账户登录时,如要求 iPhone、iPad、Mac 或 Apple Vision Pro 使用账户驱动型设备注册进行注册,请完成以下事项:
自动设备注册(所有设备)
你可以在任何组织拥有的 iPhone、iPad、Mac、Apple TV 和 Apple Vision Pro(如 Beta 版功能已启用)上使用自动设备注册并为用户分配预设集。“设置助理”流程期间使用的管理式 Apple 账户会成为设备上唯一的 iCloud 账户。如果用户还需要在同一台设备上使用私人 App 和服务,则可以考虑使用账户驱动型设备注册,在保留个人 Apple 账户的同时保证数据分离。你可以为用户或用户群组分配预设集,以配置 App 和设置。
用户在“设置助理”流程期间使用管理式 Apple 账户登录后,会发生以下情况:
已安装 Apple 商务 App:是(不适用于 Apple TV)
可用的已分配 App:通过预设集分配:App 位于 Apple 商务 App 中;设备方案:App 会即时下载
已应用设置:是
设备受监管:是
未受管理(个人)Apple 账户 iCloud 储存空间:不可用
组织管理式 Apple 账户 iCloud 储存空间:可用(不适用于 Apple TV)
必备条件
此功能需要使用 iOS 15、iPadOS 15、macOS 12.0.1、Apple tvOS 15、visionOS 26.4 或更高版本。在使用管理式 Apple 账户登录时,如要求设备使用自动设备注册进行注册,请完成以下事项:
将你的 Apple 客户编号或经销商编号关联至 Apple 商务。请参阅“管理设备供应商”。
待设备出现在 Apple 商务中后,将它分配给 Apple 商务设备管理服务。请参阅“设备工作流程”。
如果设备没有出现在 Apple 商务中,你可以使用 Apple Configurator 添加。请参阅“使用 Apple Configurator 添加设备”。
设备需要连接到互联网并打开电源。然后,指定的用户可以完成 iPhone、iPad 和 Mac 的“设置助理”流程。Apple TV 会自动完成“设置助理”流程。
随即,用户使用自己的管理式 Apple 账户用户名和密码登录“设置助理”。
自动设备注册(已分配预设集的设备)
为了确保组织的安全,所有添加至设备订阅方案的设备都需要先由有权限购买 Apple 商务订阅项目的用户手动批准,然后才能进行管理。你可以在将设备添加至预设集时执行此操作,也可以在设备注册后执行此操作。
要在将设备添加至预设集时自动批准设备,只需在确认时选择“不进行手动审阅,直接批准将近期添加的设备用于管理的请求”即可。这只适用于新添加到预设集,且之前从未由 Apple 商务批准和管理的设备。
若要通过设备序列号分配预设集,你只能使用自动设备注册。此注册方法不需要管理式 Apple 账户,适用于共享设备、专用设备,或者管理对象是设备(而非用户)的情况。注册后,用户可以在“设置”中选择使用个人 Apple 账户登录。此配置无法分离个人数据和组织数据;如需限制数据流动,组织可以上传自定义配置描述文件,对内置框架进行补充。你可以通过序列号为设备分配预设集,以配置 App 和设置。
必备条件
此功能需要使用 iOS 15、iPadOS 15、macOS 12.0.1、Apple tvOS 15、visionOS 26.4 或更高版本。对于具有设备订阅的自动设备注册,请先完成“自动设备注册(所有设备)”中的操作。
要在设备注册后批准设备,请完成以下操作:
在 Apple 商务中,使用有权管理设备的用户账户登录。
如需查看职务和权限,请参阅“职务和权限简介”。
如有需要,在搜索栏中搜索该设备。请参阅“如何搜索”。
要搜索特定设备,你最多可以从一个文本文件粘贴 1024 个序列号,每个序列号之间用逗号分隔。
选择要管理的设备。
查看注册详细信息,包括注册日期和时间、操作系统及证书指纹。(这一步很重要。在批准对任何设备进行管理之前,请确保所有这些信息都是正确的。)
要查找证书指纹,请完成以下任一操作:
iPhone、iPad、Apple Vision Pro:前往“设置”> 你的管理式 Apple 账户 >“更多详细信息”>“设备身份证书”,以查找你 iPhone、iPad 或 Apple Vision Pro 的证书指纹。证书指纹位于页面底部的“指纹”>“SHA-256”下方。
Mac:通过前往“钥匙串”>“证书”>“系统”,然后选择带有随机 UUID(显示“发行方:Apple MDM RSA CA 1 - G1”)的条目,从而查找你 Mac 的证书指纹。打开窗口并向下滚动。证书指纹位于“指纹”>“SHA-256”下方。
选择以下任一操作:
如果注册详细信息正确无误,请批准对设备进行管理。
如果注册详细信息不正确,则拒绝对设备进行管理。拒绝设备将移除注册描述文件,并且不会对设备进行管理。
将注册说明发送给单个用户
。将注册说明发送给多个用户
Apple 商务 App
借助 Apple 商务和 Apple 商务 App,用户可以:
下载组织分配给他们的工作 App。
查看他们所有的管理式设备。
直接访问 AppleCare+ for Business 支持。
请求、跟踪和取消 AppleCare+ for Business 维修。
在用户注册设备管理后,App 会自动下载到他们的 iPhone、iPad、Mac 或 Apple Vision Pro 上。请参阅 Apple 支持文章“关于 Apple 商务 App”。