ABM / DEP 集成
Apple Business Manager (ABM) 是 Apple 用于大规模管理设备的平台。将 ABM 与 GuardMDM 集成可实现零接触注册 — 设备在用户拆箱之前即可自动被管理。
什么是 ABM?
ABM(原 DEP — Device Enrollment Program,设备注册计划)让组织能够:
- 将设备自动分配给 MDM 服务器
- 无需用户交互即可注册设备
- 在首次启动前应用设置和限制
- 监督设备以获得完全管理控制
- 跟踪设备所有权和分配
ABM 中的 MDM 服务器分配
在 GuardMDM 可以管理 ABM 分配的设备之前,您必须在 ABM 中将 GuardMDM 注册为受信任的 MDM 服务器。
步骤
- 在 GuardMDM 中生成 Token:前往 设置 > ABM 集成 > 生成 Token
- 将 Token 上传到 Apple Business Manager:访问
https://business.apple.com,进入 设置 > MDM 服务器 - 从 ABM 下载服务器 Token:创建完成后下载
- 将服务器 Token 上传回 GuardMDM:在 设置 > ABM 集成 中上传
Token 交换完成后,GuardMDM 即被授权管理 ABM 中分配给它的设备。
设备分配方式
ABM 支持三种将设备分配给 MDM 服务器的方式。
自动分配
添加到 ABM 的新设备会自动分配给默认 MDM 服务器。这是最简单的方式 — 无需手动操作。
- 最佳适用场景: 大规模设备群、新设备采购
- 设置: 在 ABM 设置中配置默认 MDM 服务器
- 行为: ABM 同步后设备自动出现在 GuardMDM 中
手动分配
在 ABM 中选择单个设备,将其分配给 GuardMDM 的 MDM 服务器条目。
- 最佳适用场景: 试点项目、混合 MDM 环境
- 设置: 无需默认服务器
- 行为: 只有明确分配的设备会出现在 GuardMDM 中
序列号分配
通过向 ABM 上传包含序列号的 CSV 文件来分配设备。
- 最佳适用场景: 批量分配现有设备
- 设置: 从设备库存中导出序列号
- 格式: CSV 文件,每行一个序列号
- 行为: 匹配的设备被分配给指定的 MDM 服务器
同步 ABM 设备
集成激活后,GuardMDM 会从 ABM 获取设备记录。
手动同步
随时从 GuardMDM 仪表盘触发同步:
- 前往 设备 > ABM 设备
- 点击 立即同步
- 等待同步完成(通常 10-30 秒)
基于游标的分页同步
GuardMDM 在从 ABM 获取设备列表时使用基于游标的分页。对于大型设备群,此方法比基于偏移量的分页更可靠。
- 工作原理: 每次同步请求返回一个指向下一批设备的游标
- 批次大小: 可配置(默认每页 100 台设备)
- 可靠性: 同步期间设备新增或移除不会导致记录遗漏
- 性能: 适用于任何规模的设备群,从几十台到数十万台
自动定期同步
GuardMDM 每 5 分钟 自动与 ABM 同步一次,以获取新的设备分配和变更。
- 间隔: 5 分钟(不可配置)
- 同步内容: 新设备分配、设备属性变更、分配移除
- 触发方式: 集成激活后持续运行
- 延迟: 设备在 ABM 中分配后,5 分钟内出现在 GuardMDM 中
ADE 配置文件分配
ADE(Automated Device Enrollment,自动设备注册) 配置文件控制设备首次开机时的行为。分配给 GuardMDM 的每台设备都必须有一个 ADE 配置文件。
ADE 配置文件包含的内容
- 注册类型: 用户发起 vs. 自动
- 设置助理跳过: 跳过哪些设置屏幕(Apple ID、Touch ID、Siri 等)
- 监督: 设备是否受监督
- 锁定 MDM: 用户是否可以移除 MDM 注册
- 部门和支持信息: 在设置过程中显示
分配配置文件
配置文件可以在设备级别或设备组级别分配。
| 方式 | 范围 | 使用场景 |
|---|---|---|
| 设备级别 | 单台设备 | 测试、高管设备 |
| 组级别 | 组内所有设备 | 部门部署、基于操作系统的分组 |
各操作系统的默认配置文件
GuardMDM 允许您为每个操作系统设置 默认 ADE 配置文件。这确保每台新设备无需手动分配即可获得正确的配置文件。
- iOS / iPadOS 默认配置文件: 应用于所有新 iPhone 和 iPad
- macOS 默认配置文件: 应用于所有新 Mac
- tvOS 默认配置文件: 应用于所有新 Apple TV 设备
当设备从 ABM 同步时,GuardMDM 会检查:
- 设备是否有明确分配的配置文件?→ 使用该配置文件
- 设备的操作系统是否有默认配置文件?→ 使用该配置文件
- 未找到配置文件 → 设备在仪表盘中标记为 未分配
使用 ABM 的注册流程
当分配给 GuardMDM 的设备被激活时:
- 设备连接到 Apple 激活服务器
- Apple 在 ABM 中检查 MDM 分配
- ABM 告知设备联系 GuardMDM
- GuardMDM 发送 ADE 配置文件
- 设备应用配置文件并完成注册
- 设备在 GuardMDM 中显示为 已注册
ABM Token 过期
ABM Token 过期 — 注册中断
ABM Token 有效期为 1 年。过期后:
- 设备同步停止 — 新设备将无法拉取到 GuardMDM
- ADE 注册失败 — 新设备无法自动注册
- 设备信息过时 — ABM 变更不再同步
已注册的设备不受影响 — 远程命令和配置文件推送继续正常工作。
建议: 在过期前 30 天续订 Token。从 Apple Business Manager 下载新 Token 并上传到 GuardMDM。
故障排除
| 问题 | 可能原因 | 解决方案 |
|---|---|---|
| 设备未出现在 GuardMDM 中 | Token 已过期 | 重新生成并重新上传 ABM Token |
| 同步失败 | 网络问题 | 检查防火墙规则并重试 |
| 设备无法注册 | 未分配 ADE 配置文件 | 为设备的操作系统分配默认配置文件 |
| 应用了错误的配置文件 | 默认配置文件配置错误 | 更新正确操作系统的默认配置文件 |
| 设备卡在"未分配"状态 | 没有匹配的默认配置文件 | 创建并分配默认 ADE 配置文件 |
下一步: 设备注册方式
