使用 Apple School Manager 與 MDM 管理 大量 IPad

名詞解釋

ASM: Apple School Manager

MDM: Mobile Device Manager 在 macOS Server 上叫做 “描述檔管理程式” profile-manager

VPP: Volume Purchase Program

監管: 將設備納管, 可以對設備進行管理

準備: 讓設備初始化

環境需求

  • 數台 iOS 設備 (廢話)
  • 一台 macOS (安裝 MDM Server 用)
  • 花 $590 買 macOS Server 軟體
  • Apple School Manager 專用 Apple ID (下面說明申請方式)
  • macOS Server 用的對外固定 IP (內部當然也是要固定才能轉喔)

申請 Apple School Manager 帳號

先到 Apple School Manager 網站 申請帳號

Imgur

這個申請有點麻煩, 概念大概是

你申請你的帳號 並表示你是學校的 IT 管理人員

然後告訴他你的上司是誰(至少主任層級, 組長不行) 寫在下面的驗證聯絡人欄位

Imgur

Apple 會打電話過來跟你的上司確認有你這個人 並且你是 IT 管理者

最後會寄一封信給你的上司要按下信中的 link 才能啟用你的帳號

這個帳號就是一個 是拿來登入 ASM 的 Apple ID 也可以拿來購買 VPP 上的 App

安裝 macOS Server

首先準備 $590 去 iTunes 購買 macOS Server 軟體

Imgur

下載後開啟會問你一些基本設定, 最後打開是這樣

Imgur

開啟服務

在開始前 先去設定貴單位的防火牆

防火牆設定 Apple 官網有說明

  • TCP 80 / 443 / 1640 對內放行
  • TCP 2195 / 2196 / 5223 對外放行

開好之後 我們要開啟兩個服務

  • 描述檔管理程式
  • OpenDirectory

如下圖左方選取這兩個服務 再去右上方把把服務開啟

然後在描述檔管理程式的部分 部署方案 勾選

  • Apple School Manager (ASM)
  • 大量採購方案 (VPP)

Imgur

Apple School Manager 設定

勾選完 Apple School Manager 後 按下下面的設定按鈕

這邊的概念是這樣

認證的部分 需要連線到 ASM 網站 登入後上傳一組 描述檔管理程式(也就是mdm)所產生的 key 這樣子 ASM 才能與 MDM 連線交換資料, VPP 亦同

首先在 MDM 端取得 DeviceEnrollmentPublicKey.pem 這個檔案 公用密鑰 選輸出 把檔案存起來

再點 打開 Apple School Manager… 開網頁登入

Imgur

登入後在 Apple School Manager (使用 上面那個很難申請的 ASM Apple ID 登入)

找到新增 MDM 伺服器 如下圖畫面 設定伺服器名稱並上傳你的 DeviceEnrollmentPublicKey.pem 就可以了

(名稱我是用 domain name 不過他應該是名稱 連線位置在 key 裡面有記載)

Imgur

上傳完成 新增完畢是這樣 (後面的裝置數量應該是 0 )

Imgur

MDM 部分完成後會是這樣子 Imgur

指派裝置

裝置的指派 我是用經銷商訂單方式指派, 這方式最快 但是要先跟你的經銷商配合

  1. 在 ASM 上新增經銷商 ID (由經銷商取得)
  2. 把 ASM 上的 DEP客戶ID 回報給經銷商
  3. 經銷商將訂單指派到你的 ID
  4. 你才能查詢到你的訂單 一次匯入所有裝置

Imgur

當然 如果不是透過經銷商買的 或是無法使此方法 還是可以透過 輸入序號 或是 上傳 CSV 去處理

設定 VPP 以便大量採購並派送 App

畫面先回到 MDM Server 這邊 找到大量採購方案 勾起來 按 設定 然後點一下下面 “從大量採購方案下載您的 VPP 服務代號” 旁邊的向右箭頭

Imgur

會跳出 VPP 的網站 請先登入 (一樣可以使用 上面那個很難申請的 ASM Apple ID)

Imgur

登入後 在右上方帳號名稱那邊 選擇 Account Summary 找到 Download Token

下載 sToken for yourID@domain.vpptoken 這個檔案

Imgur

把這個 sToken for yourID@domain.vpptoken 餵給 MDM 吃 (如下圖上方的選擇)

Imgur

完成後是這樣

Imgur

以後要購買 App 就到 VPP 的網站 或是從 ASM 這邊點進去也可以

Imgur

購買方式是用 VPP 網站上方的搜尋列去搜尋 App 名稱 再進行購買

一台 device 一個授權 也就是說你有 50 台 就至少要買 50 個授權

免費的 App 也是要經過這個購買手續才能派送

監管 iPad

建立好 MDM / ASM 之後 打開瀏覽器連線到你的 macOS Server 點左下的 “描述檔管理程式”

登入使用你 macOS 那台的本機管理者帳號 不是用 Apple ID 喔

Imgur

進入描述檔管理程式 (MDM web UI)

新增裝置群組 把所有要管理的 裝置加進來

一個裝置可以隸屬於多個群組 所以我這邊有三種群組

  • 所有裝置 (處理通用性原則)
  • 教師用機
  • 學生用機

Imgur

在所有裝置的群組底下 點又上的設定區塊 找到 登記區塊

  • 勾選 提示使用者登記裝置
  • 勾選 不允許使用者略過登記步驟
  • 勾選 防止取消登記
  • 取消 需要登記憑證
  • 勾選 定位服務 (目的在於用 GPS 設定時區與時間)

這些步驟做完 你的 IPad 就算監管完成

只要該裝置重置 就會被你監管

Imgur

重置與準備裝置

接下來要做的是大量重置 (清除內容並重新初始化) 你的 IPad

因為數量大 所一台一台處理太耗時間 我們採用 Apple Configurator 2 的方式去做

先下載安裝免費的 Apple Configurator 2

然後透過 usb hub 連接一狗票的 ipad (我上次做好像沒辦法一次抓到超過二十幾台 那就分兩次)

全選 右鍵 進階 清除所有內容和設定 (目前畫面是一台 你應該是一次連接一二十台)

Imgur

但是重置之後每一台的 wifi 密碼就會被洗掉 所以我們還要加入 wifi 資料

左上方 檔案 新增描述檔

Imgur

左邊 wifi 部分 把 SSID / 安全類別 / 密碼 設定好

Imgur

存擋, 檔案會是 副檔名為 mobileconfig 的描述檔

然後再對著你一海票的 IPad 按右鍵 加入 描述檔 選取剛剛做出來的 wifi 描述檔

Imgur

這時候你的一海票 IPad 就都能上網了

然後在你的 IPad 依照指示 下一步 下一步 下一步 就會看到被你的組織所管理的畫面 最後到完成

如果你出現 設定 TouchID 和 解鎖密碼 那就是沒有被監管 檢查上述步驟是否有遺漏

等 iPad 通通被監管之後 就可以從 MDM Web UI (https://your_macOS_Server/profilemanager/) 這邊做設定限制和派送 App 了

使用 課堂 App (Classroom)

要使用 Classroom App 須滿足幾個必要條件

  • MDM Server 上至少需要兩個使用者帳號(一老師 一學生)(本機或是區域網路目錄皆可)
  • MDM Web UI 上至少有一個 班級
  • MDM Web UI 上的班級設定 老師至少需指派一個老師帳號
  • MDM Web UI 上的班級設定 老師至少需指派一個學生帳號
  • MDM Web UI 上使用者被指派使用裝置
  • 教師用 IPad 裝有 課堂 App (學生機不需安裝)

先在 macOS Server 端建立使用者, 我是建立區域網路目錄 (OpenDirectory) 使用者, 建立本機的應該也可以

Imgur

接著打開瀏覽器 到 MDM Web UI 去建立班級 並 指定教師帳號

Imgur

指定學生帳號(我這邊是用兩個學生帳號)

Imgur

在 MDM Web UI 使用者 指定教師帳號為教師用的那台 IPad

Imgur

同理 學生帳號也需要加入學生用的 IPad

也可以全部的學生都使用同一個帳號

只是課堂 App 上面監控所有的 IPad 畫面雖然不同 但是名稱都相同 XD

Imgur

這邊設定完成之後 就等待啟用作業完成 就可以拿老師的 IPad 來玩了

本文授權條款:

創用 CC 授權條款
使用 Apple School Manager 與 MDM 管理 大量 IPadAlex Wang製作,以創用CC 姓名標示-非商業性-禁止改作 3.0 台灣 授權條款釋出。

延伸閱讀:

  • 賴明毅

    您好,不好意思打擾您

    我從您的教學中,在描述檔管理程式開啟後,裝置管理項目是停用的,我點設定啟用時

    他要我填目錄管理者,但輸入完後出現 “此電腦的主機名稱失效 無法將主機名稱解析為任何此電腦的設定位址。請確定主機名稱正確“

    請教是哪邊沒設定到

    感謝您,謝謝

  • 賴明毅

    您好,不好意思打擾您

    我從您教學中也架設出apple mdm server 成功在設備中完成控管

    請問如果沒有串接VPP,是不是就不能派發App (除了內部自己寫的App以外)

    感謝您,謝謝

    • AlexW

      應該是
      因為有授權問題 他需要計算數量授權 不能一個 app 全部派送
      有幾台 device 就需要幾個授權