自动设备注册和设备管理
自动设备注册为组织拥有的所有 Apple 设备而设计。自动设备注册让组织从设备开箱时起就可配置和管理设备。你还可以使用所有 Apple 定义的可用有效负载和访问限制,并且可以选择阻止用户移除设备管理服务的注册描述文件。
通过自动设备注册,IT 管理员可管理的设置和查看的信息比设备注册或用户注册更多。有关更多信息,请参阅注册方式如何帮助保护用户隐私。
对于这些设备,你可以配置以下设备管理服务注册选项:
选项 | 支持的最低操作系统版本 | 描述 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
阻止取消注册 | iOS 7 iPadOS 7 macOS 10.9 Apple tvOS 10.2 visionOS 2 | 用户无法取消注册受监督设备。在 Mac 电脑上,这将阻止使用“系统设置”(macOS 13 或更高版本)或者“系统偏好设置”(macOS 12.0.1 或更低版本)以及 | |||||||||
自动导航设置助理 | macOS 11 Apple tvOS 11.3 visionOS 2 | 使用 macOS 11 或更高版本的受监督 Mac、Apple TV,以及运行 visionOS 2.0 或更高版本的 Apple Vision Pro 会自动完成配置而无需用户介入,前提是未启用其他“设置助理”面板。 | |||||||||
语言 | macOS 11 Apple tvOS 11.3 visionOS 2 | 设备上要设定的语言(若使用“自动前进”)。 | |||||||||
地区 | macOS 11 Apple tvOS 11.3 visionOS 2 | 设备上要设定的地区(若使用“自动前进”)。 | |||||||||
使设备停留在“设置助理”界面 | iOS 9 iPadOS 9 macOS 10.9 Apple tvOS 10.2 visionOS 2 | 使设备停留在“设置助理”界面以允许设备管理服务应用任何重要配置或安装重要 App。收到设备管理服务的指示后,设备便可以继续完成或退出“设置助理”。 在用户认证之后可为“共享 iPad”使用类似选项以使设备停留在“设置助理”界面,从而确保用户在看到主屏幕时该设备已可供使用。 | |||||||||
配置网页 URL | iOS 13 iPadOS 13 macOS 10.15 visionOS 2 | 设备在“设置助理”中应载入的 URL。此选项可用于认证、自定义品牌、同意文本等。 | |||||||||
跳过“设置助理”面板 | iOS 7 iPadOS 7 macOS 10.9 Apple tvOS 10.2 visionOS 2 | 可选:在“设置助理”中应该跳过的面板,以为用户简化设备设置过程。 | |||||||||
执行文件保险箱 | macOS 14 | 设备管理服务可以要求运行 macOS 14 或更高版本的 Mac 在“设置助理”运行期间中打开文件保险箱。这有助于确保内部储存空间在使用之前处于加密状态。然后组织便可以决定是否显示恢复密钥,也可以选择将其托管到服务。你可以在使用此功能时将设备停留在“设置助理”界面,以确保在继续下一步之前服务拥有所有所需信息。 | |||||||||
配置为“共享 iPad” (仅限“共享 iPad”) | iPadOS 9.3 | 启用“共享 iPad”。 | |||||||||
“共享 iPad”用户数量 (仅限“共享 iPad”) | iPadOS 9.3 | 输入可能使用此 iPad 的学生数量。为获得较佳使用体验,学生的数量应尽可能地少。 | |||||||||
自动前进和自动设备注册 (macOS)
“自动前进”是“自动设备注册”的附加选项,可让你在 Mac 电脑接入以太网时自动跳过所有“设置助理”面板。在设备管理服务中配置“自动前进”后,组织只需在订购的 Mac 电脑送达后将其接入以太网并开机。Mac 会找到已分配的设备管理服务并基于该服务的设置进行自动配置,包括跳过所有“设置助理”面板。然后用户在登录窗口输入已知的用户名和密码。若要充分利用“自动前进”,Mac 需要运行 macOS 11 或更高版本,并满足以下所有额外条件:
电脑的序列号需要在 Apple 校园教务管理或 Apple 商务中显示。
设备管理服务需要将自动设备注册设置(包括“自动前进”密钥)应用到Mac。
需要插入电源(建议,非必要)。
需要接入活跃的以太网连接(仅限初始配置)。
需要可通过内部网络或互联网访问设备管理服务。
强制执行最低版本的 iOS、iPadOS、macOS 和 visionOS
在使用自动设备注册时,设备管理服务可以在注册设备上强制执行最低操作系统版本。如果设备不符合服务所需的最低版本,操作系统会引导用户进行软件更新或升级,然后才能继续使用“设置助理”。这可确保组织拥有的设备在进入生产环境前运行的是所要求的版本。
强制执行自动设备注册
如果运行 macOS 14 或更高版本且注册到 Apple 校园教务管理或 Apple 商务的 Mac 在首次设置时未注册到设备管理,将提供全屏设置体验。
用户可以选取一次“以后”,这将导致该屏幕关闭八小时。在这八小时内,用户在“系统设置”中将看到开始注册的跟进选项。时间结束后,管理员需要注册设备。
这替代了当前的通知体验,并确保设备需要注册到设备管理后才能使用。强制执行设备注册将减少组织拥有的非管理式设备。
高度受限网络和自动设备注册
高度受限网络模式是一种可选功能,所属的网络架构为防范资源充足的攻击者提供了顶级保护措施。该模式专为极少数组织而设计,这类组织的基础设施可能持续受到资源最充足的攻击者发起的最复杂数字化威胁。大多数组织永不会面临这种性质的攻击。
高度受限网络模式启用时,组织的设备将无法像平时那样正常运行。为减小可能被资源充足的高级攻击者利用的攻击面,App 和功能会出于安全原因被严格限制,同时某些功能还会不可用。作为旨在尽量减小攻击面的网络架构中的一部分,高度受限网络模式通常与兼容的设备管理服务和一种叫做跨域解决方案的特殊网关协同工作。
要求
高度受限网络模式在运行 iOS 17、iPadOS 17 或更高版本的设备上可用。若要获得一整套完整保护,请将设备更新到最新软件后再在高度受限网络模式下激活设备。
我该如何使用高度受限网络模式?
Apple 需要在 Apple 商务中为组织批准高度受限网络模式。Apple 在 Apple 商务中批准后,职务为组织管理员的用户即可为特定 iPhone 或 iPad 设备打开此模式。设备通过自动设备注册时,会以高度受限网络模式激活。结合支持此模式和跨域解决方案的设备管理服务实施此流程时,你可以在高度受限网络上大规模部署和管理 iPhone 和 iPad 设备、管理软件更新以及大规模安装 App,一切均以无线方式完成。你还可以搭配“锁定模式”等其他功能使用高度受限网络模式。
【注】使用 Mac 版 Apple Configurator 在受支持的设备管理服务中设置和注册设备时,你可以使用高度受限网络模式。