名詞解釋
ASM: Apple School Manager
MDM: Mobile Device Manager 在 macOS Server 上叫做 “描述檔管理程式” profile-manager
監管: 將設備納管, 可以對設備進行管理
準備: 讓設備初始化
環境需求
- 數台 iOS 設備 (廢話)
- 一台 macOS (安裝 MDM Server 用)
- 花 $590 買 macOS Server 軟體
- Apple School Manager 專用 Apple ID (下面說明申請方式)
- macOS Server 用的對外固定 IP (內部當然也是要固定才能轉喔)
申請 Apple School Manager 帳號
先到 Apple School Manager 網站 申請帳號
這個申請有點麻煩, 概念大概是
你申請你的帳號 並表示你是學校的 IT 管理人員
然後告訴他你的上司是誰(至少主任層級, 組長不行) 寫在下面的驗證聯絡人欄位
Apple 會打電話過來跟你的上司確認有你這個人 並且你是 IT 管理者
最後會寄一封信給你的上司要按下信中的 link 才能啟用你的帳號
這個帳號就是一個 是拿來登入 ASM 的 Apple ID 也可以拿來購買 VPP 上的 App
安裝 macOS Server
首先準備 $590 去 iTunes 購買 macOS Server 軟體
下載後開啟會問你一些基本設定, 最後打開是這樣
開啟服務
在開始前 先去設定貴單位的防火牆
防火牆設定 Apple 官網有說明
- TCP 80 / 443 / 1640 對內放行
- TCP 2195 / 2196 / 5223 對外放行
開好之後 我們要開啟兩個服務
- 描述檔管理程式
- OpenDirectory
如下圖左方選取這兩個服務 再去右上方把把服務開啟
然後在描述檔管理程式的部分 部署方案 勾選
- Apple School Manager (ASM)
- 大量採購方案 (VPP)
Apple School Manager 設定
勾選完 Apple School Manager 後 按下下面的設定按鈕
這邊的概念是這樣
認證的部分 需要連線到 ASM 網站 登入後上傳一組 描述檔管理程式(也就是mdm)所產生的 key 這樣子 ASM 才能與 MDM 連線交換資料, VPP 亦同
首先在 MDM 端取得 DeviceEnrollmentPublicKey.pem 這個檔案 公用密鑰 選輸出 把檔案存起來
再點 打開 Apple School Manager… 開網頁登入
登入後在 Apple School Manager (使用 上面那個很難申請的 ASM Apple ID 登入)
找到新增 MDM 伺服器 如下圖畫面 設定伺服器名稱並上傳你的 DeviceEnrollmentPublicKey.pem 就可以了
(名稱我是用 domain name 不過他應該是名稱 連線位置在 key 裡面有記載)
上傳完成 新增完畢是這樣 (後面的裝置數量應該是 0 )
MDM 部分完成後會是這樣子 
指派裝置
裝置的指派 我是用經銷商訂單方式指派, 這方式最快 但是要先跟你的經銷商配合
- 在 ASM 上新增經銷商 ID (由經銷商取得)
- 把 ASM 上的 DEP客戶ID 回報給經銷商
- 經銷商將訂單指派到你的 ID
- 你才能查詢到你的訂單 一次匯入所有裝置
當然 如果不是透過經銷商買的 或是無法使此方法 還是可以透過 輸入序號 或是 上傳 CSV 去處理
設定 VPP 以便大量採購並派送 App
畫面先回到 MDM Server 這邊 找到大量採購方案 勾起來 按 設定 然後點一下下面 “從大量採購方案下載您的 VPP 服務代號” 旁邊的向右箭頭
會跳出 VPP 的網站 請先登入 (一樣可以使用 上面那個很難申請的 ASM Apple ID)
登入後 在右上方帳號名稱那邊 選擇 Account Summary 找到 Download Token
下載 sToken for [email protected] 這個檔案
把這個 sToken for [email protected] 餵給 MDM 吃 (如下圖上方的選擇)
完成後是這樣
以後要購買 App 就到 VPP 的網站 或是從 ASM 這邊點進去也可以
購買方式是用 VPP 網站上方的搜尋列去搜尋 App 名稱 再進行購買
一台 device 一個授權 也就是說你有 50 台 就至少要買 50 個授權
免費的 App 也是要經過這個購買手續才能派送
監管 iPad
建立好 MDM / ASM 之後 打開瀏覽器連線到你的 macOS Server 點左下的 “描述檔管理程式”
登入使用你 macOS 那台的本機管理者帳號 不是用 Apple ID 喔
進入描述檔管理程式 (MDM web UI)
新增裝置群組 把所有要管理的 裝置加進來
一個裝置可以隸屬於多個群組 所以我這邊有三種群組
- 所有裝置 (處理通用性原則)
- 教師用機
- 學生用機
在所有裝置的群組底下 點又上的設定區塊 找到 登記區塊
- 勾選 提示使用者登記裝置
- 勾選 不允許使用者略過登記步驟
- 勾選 防止取消登記
- 取消 需要登記憑證
- 勾選 定位服務 (目的在於用 GPS 設定時區與時間)
這些步驟做完 你的 IPad 就算監管完成
只要該裝置重置 就會被你監管
重置與準備裝置
接下來要做的是大量重置 (清除內容並重新初始化) 你的 IPad
因為數量大 所一台一台處理太耗時間 我們採用 Apple Configurator 2 的方式去做
先下載安裝免費的 Apple Configurator 2
然後透過 usb hub 連接一狗票的 ipad (我上次做好像沒辦法一次抓到超過二十幾台 那就分兩次)
全選 右鍵 進階 清除所有內容和設定 (目前畫面是一台 你應該是一次連接一二十台)
但是重置之後每一台的 wifi 密碼就會被洗掉 所以我們還要加入 wifi 資料
左上方 檔案 新增描述檔
左邊 wifi 部分 把 SSID / 安全類別 / 密碼 設定好
存擋, 檔案會是 副檔名為 mobileconfig 的描述檔
然後再對著你一海票的 IPad 按右鍵 加入 描述檔 選取剛剛做出來的 wifi 描述檔
這時候你的一海票 IPad 就都能上網了
然後在你的 IPad 依照指示 下一步 下一步 下一步 就會看到被你的組織所管理的畫面 最後到完成
如果你出現 設定 TouchID 和 解鎖密碼 那就是沒有被監管 檢查上述步驟是否有遺漏
等 iPad 通通被監管之後 就可以從 MDM Web UI (https://your_macOS_Server/profilemanager/) 這邊做設定限制和派送 App 了
使用 課堂 App (Classroom)
要使用 Classroom App 須滿足幾個必要條件
- MDM Server 上至少需要兩個使用者帳號(一老師 一學生)(本機或是區域網路目錄皆可)
- MDM Web UI 上至少有一個 班級
- MDM Web UI 上的班級設定 老師至少需指派一個老師帳號
- MDM Web UI 上的班級設定 老師至少需指派一個學生帳號
- MDM Web UI 上使用者被指派使用裝置
- 教師用 IPad 裝有 課堂 App (學生機不需安裝)
先在 macOS Server 端建立使用者, 我是建立區域網路目錄 (OpenDirectory) 使用者, 建立本機的應該也可以
接著打開瀏覽器 到 MDM Web UI 去建立班級 並 指定教師帳號
指定學生帳號(我這邊是用兩個學生帳號)
在 MDM Web UI 使用者 指定教師帳號為教師用的那台 IPad
同理 學生帳號也需要加入學生用的 IPad
也可以全部的學生都使用同一個帳號
只是課堂 App 上面監控所有的 IPad 畫面雖然不同 但是名稱都相同 XD
這邊設定完成之後 就等待啟用作業完成 就可以拿老師的 IPad 來玩了
本文授權條款:
使用 Apple School Manager 與 MDM 管理 大量 IPad由Alex Wang製作,以創用CC 姓名標示-非商業性-禁止改作 3.0 台灣 授權條款釋出。
延伸閱讀:
您好,不好意思打擾您
我從您的教學中,在描述檔管理程式開啟後,裝置管理項目是停用的,我點設定啟用時
他要我填目錄管理者,但輸入完後出現 “此電腦的主機名稱失效 無法將主機名稱解析為任何此電腦的設定位址。請確定主機名稱正確“
請教是哪邊沒設定到
感謝您,謝謝
您好,不好意思打擾您
我從您教學中也架設出apple mdm server 成功在設備中完成控管
請問如果沒有串接VPP,是不是就不能派發App (除了內部自己寫的App以外)
感謝您,謝謝
應該是
因為有授權問題 他需要計算數量授權 不能一個 app 全部派送
有幾台 device 就需要幾個授權
這的很感謝您這份詳細的文件,不然我可能花再多時間也搞不定!
您好:
請教如果學校的平板是分科使用與保管,所有的平板都可以分教師群組派送APP嗎?例如國文科與數學科要使用不同平板不同APP,適不適可以分群組派送,還是一次就得全部派送