设置公司自有 iOS 设备管理

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点升级版;Cloud Identity 专业版。 对比版本

作为管理员,您可以在 Google 管理控制台中管理公司自有的 iPhone 和 iPad,以及其他设备。为此,您需要将 Apple 商务管理或 Apple 校园教务管理与您的 Google Workspace 或 Cloud Identity 订阅相关联。

Apple 设备注册集成的运作方式

您可以通过为每个实体提供授权密钥或令牌,将 Apple 商务管理或 Apple 校园教务管理与您的管理控制台集成。借助这些令牌,Google 端点管理可以使用移动设备管理配置文件和 Google Device Policy 应用,将配置设置从管理控制台推送到设备。

您从 Apple 获得的服务器令牌将在一年后过期。您必须为设备续用令牌,然后才能同步工作数据。不过,您可以在令牌过期后续用,而 Apple 推送通知证书需在过期前续用。

准备工作

  1. 查看设备要求
  2. 获取账号以登录贵组织的 Apple 商务管理或 Apple 校园教务管理。
  3. 为方便管理,请通过已获授权的 Apple 零售商为贵组织购买 iOS 设备。如要查找已获授权的 Apple 零售商,请与 Apple 支持团队联系。这些设备会自动关联您的 Apple 商务管理或 Apple 校园教务管理。
  4. 为将要使用这些设备的组织部门启用高级移动设备管理服务

注意:以下步骤要求您使用企业或学校 Apple ID,同时在 Google 管理控制台和 Apple 商务管理或 Apple 校园教务管理中完成相关操作。请先确保您拥有这两个平台的访问权限,然后再继续操作。

第 1 步:设置 Apple 注册

您必须以超级用户身份登录,才能执行此任务。若管理员拥有移动设备管理权限但不是超级用户,那么他们始终可以看到设置流程,即使贵组织已完成设置也是如此。如果他们尝试下载公钥,则会收到错误消息。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后iOS

    需要拥有服务和设备管理员权限。

  2. 点击 Apple 证书 然后设置注册方案
  3. 点击获取公钥。系统会将公钥下载到您的设备。
  4. 打开 Apple 商务管理Apple 校园教务管理,然后在系统提示时使用您的企业 Apple ID 登录。在“设备注册计划”部分:
    1. 点击管理服务器
    2. 如果您已设置要用于这些设备的 MDM 服务器,请点击该服务器。否则,请创建一个服务器。
    3. 出现提示时,上传您从管理控制台下载的公钥。
    4. 从 Apple 下载服务器令牌。
  5. 返回管理控制台。
  6. 在“企业 Apple ID”下方,输入用于获取令牌的 Apple ID。此条目可以帮助您跟踪查看谁是进行设置操作的管理员。
  7. 点击上传服务器令牌,选择您从 Apple 下载的令牌,然后点击打开
  8. 点击保存并继续
  9. 此时,设置页面会列出令牌及其到期日期。您可以设置日历提醒,以便在令牌到期前续用。

第 2 步:配置设备设置

您可以控制用户在首次登录公司自有的 iOS 设备时如何设置设备。这些设置会应用到整个组织。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后iOS

    需要拥有服务和设备管理员权限。

  2. 依次点击公司自有 iOS 设备设置 然后设备注册设置。如需详细了解相关设置,请参阅 iOS 设置参考
  3. 点击保存
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

第 3 步:配置 iOS 设备限制

对于受监督设备,除了所有使用高级管理模式进行管理的 iOS 设备都可用的设置外,您还可以控制用户对更多应用和设置的访问权限。您可以按组织部门配置这些管理设置。例如,您可以允许某些组织部门中的用户安装应用,但禁止其他组织部门的用户安装这些应用。

如需详细了解仅适用于受监督设备的设置,请参阅 iOS 设置参考

第 4 步:注册和分发公司自有的 iOS 设备以便进行管理

  1. 打开 Apple 商务管理Apple 校园教务管理,然后在系统提示时使用您的企业 Apple ID 登录。

  2. 将设备分配给您关联到 Google 端点管理的 MDM 服务器。如果您要通过 Google 端点管理功能管理设备,则设备的序列号必须已存在于系统中(由已获授权的 Apple 零售商输入)。

    • 如需默认将所有设备分配给服务器,请设置默认分配。
    • 如需批量注册设备,请下载包含设备序列号的 CSV 文件,然后上传该 CSV 文件。
    • 如需逐个分配设备,请输入序列号。

    如需了解详情,请参阅 Apple 设备注册文档。

    注意:将设备分配给 MDM 服务器后,用户最长可能需要等待 24 小时才能使用。

  3. (可选)要更快开始使用设备,请在管理控制台中手动同步设备。按照手动同步设备中的步骤操作。

  4. (可选)设置 Apple 批量购买计划 (VPP),以便向贵组织的 iOS 设备分发应用。如果您完成此操作,用户将无需在设备上使用其 Apple ID 进行登录。如需了解详情,请参阅使用 Apple VPP 分发 iOS 应用

  5. 将设备分发给您的用户。用户首次登录时,只需遵循简单的设置流程即可。如需了解详情,请参阅设置公司自有设备

管理公司自有的 iOS 设备

将公司自有设备添加到 Apple 设备注册

如需稍后添加更多设备,请按照与上一部分第 4 步相同的流程进行操作。如需了解详情,请参阅 Apple 设备注册文档。

注意:我们强烈建议您通过认证的转销商、Apple 商务管理或 Apple 校园教务管理添加设备。如果您手动将设备添加到 Apple 商务管理或 Apple 校园教务管理,用户在注册后的 30 天内可以选择退出远程管理。如果用户退出远程管理,系统会在 24 小时内将设备从公司自有资产目录中移除,且不再应用需要监督的设置。设备随即会在设备列表中显示为归用户所有。

从 Google 端点管理中移除公司自有设备

  • 请前往 Apple 商务管理Apple 校园教务管理,然后移除设备。下次与 Google 同步时,系统会将该设备从管理控制台的设备列表中移除。同步操作最多可能需要 24 小时才能完成。
  • 如需更快地移除设备,您可以在管理控制台中手动同步设备

如果您从设备列表中删除设备

管理配置文件也会从该设备中移除。如果用户在向设备重新添加其工作账号前未将设备恢复出厂设置,则该设备会被注册为不受监督的设备。您可以针对设备使用高级移动设备管理的各项管理功能,但系统不会向设备强制应用仅适用于受监督设备的设置。

擦除设备

与通过 Google 端点管理服务管理的其他 iOS 设备一样,您可以使用管理控制台从设备中移除公司数据。有关说明,请参阅移除设备中的公司数据

注意:对于公司自有的 iOS 设备,擦除账号等同于擦除设备。执行这两类操作后,设备都会恢复出厂设置。

重新分配设备

iOS 设备一次只能支持一个管理配置文件。

如需重新分配设备,请执行以下操作:

  1. 从设备列表中移除该设备。
  2. 将设备恢复出厂设置。
  3. 让新用户登录设备。

如果用户拥有不支持 Apple 设备注册的 Google Workspace 许可,要让该用户使用已注册的设备,请将该设备从 Apple 商务管理或 Apple 校园教务管理中移除,然后恢复出厂设置。完成上述操作后,新用户就可以登录了。

手动同步设备

如果设备注册了 Apple 商务管理或 Apple 校园教务管理,则最长可能需要 24 小时才能与 Google 移动设备管理服务同步。不过,您随时可以手动启动同步。这样最长可能需要 30 分钟才能完成同步。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后iOS

    需要拥有服务和设备管理员权限。

  2. 依次点击 Apple 证书 然后同步 DEP 设备


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。