连接 Apple Business Manager
什么是 Apple Business Manager?
Apple Business Manager (ABM) 是 Apple 面向 IT 管理员提供的网页门户,用于管理组织中的 Apple 设备和内容。它是设备所有权、采购和分配的中央数据源。
ABM 为您提供:
- 设备分配 — 将通过 Apple 或授权经销商购买的设备关联到您的 MDM
- 自动设备注册 (ADE) — 前身为 DEP,让设备在首次开机时、用户接触之前自动注册到 MDM
- 管理式 Apple ID — 创建和管理与您组织绑定的用户账户
- App 和图书分发 — 将批量购买的 App 和图书分配给设备或用户
为什么要将 ABM 连接到 GuardMDM?
将 ABM 连接到 GuardMDM 可以解锁零接触部署:
- 自动注册 — 设备开箱即自动注册到 GuardMDM,无需用户交互
- 监管模式 — 设备进入监管模式,让您完全控制限制、设置和防止 MDM 移除
- 设备同步 — GuardMDM 自动拉取 ABM 中分配给您的 MDM 服务器的设备,保持库存最新
- ADE 配置 — 您在 GuardMDM 中一次性配置注册体验(跳过面板、认证方式等),它将自动应用于每一台新设备
没有 ABM,您仍然可以手动注册设备,但会失去监管模式和强制执行某些安全策略的能力。
分步指南:将 ABM 连接到 GuardMDM
1. 从 GuardMDM 下载公钥
- 登录您的 GuardMDM 仪表板
- 导航至 设置 > MDM > Apple Business Manager
- 点击下载公钥 — 这将把一个
.pem文件保存到您的电脑
此公钥告诉 ABM,GuardMDM 已被授权管理您的设备。
2. 在 ABM 中上传公钥
- 前往 business.apple.com 并使用您的 ABM 管理员账户登录
- 导航至 设置 > MDM 服务器
- 点击添加 MDM 服务器,为其命名(例如:"GuardMDM 生产环境")
- 在上传公钥下,选择您从 GuardMDM 下载的
.pem文件 - 点击保存
提示: 您可以为不同的设备类型或部门分配不同的 MDM 服务器。例如,一个服务器用于公司拥有的 iPhone,另一个用于员工拥有的 Mac。只需在 ABM 中为每个 GuardMDM 实例创建一个单独的 MDM 服务器条目即可。
3. 下载 ABM Token
- 在 ABM 中,返回 设置 > MDM 服务器
- 找到您刚创建的服务器,点击下载 Token
- 这将下载一个
.p7m或.p12文件 — 该服务器 Token 授权 GuardMDM 代表您与 ABM 通信
4. 将 Token 上传到 GuardMDM
- 回到 GuardMDM,前往 设置 > MDM > Apple Business Manager
- 点击上传 Token,选择您从 ABM 下载的 Token 文件
- 点击保存
GuardMDM 将验证 Token 并确认连接已激活。您应该会看到绿色的"已连接"状态。
同步 ABM 设备
Token 上传后,GuardMDM 会自动同步 ABM 中分配给您的 MDM 服务器的设备。要触发手动同步:
- 前往 设备 > 所有设备
- 点击同步 ABM 设备
新设备会以待处理 (ADE) 状态出现在 GuardMDM 中 — 它们需要分配 ADE 配置后才能注册。
设置默认 ADE 配置
ADE 配置控制用户在首次设置时看到的内容。要配置它:
- 前往 设置 > MDM > Apple Business Manager
- 在默认 ADE 配置下,点击编辑
- 配置注册体验:
- 认证 — 选择基于用户(需要 Apple ID)或基于设备(无需用户交互)
- 跳过面板 — 选择要跳过的"设置助理"屏幕(例如 Siri、Touch ID、分析)
- 监管模式 — 使用 ABM 时始终启用
- 点击保存
从 ABM 同步的每一台新设备都将使用此配置。如有需要,您可以稍后按设备或按组覆盖它。
自动定期同步
GuardMDM 每 5 分钟自动与 ABM 同步一次。这意味着:
- 在 ABM 中分配给您的 MDM 服务器的设备会在几分钟内出现在 GuardMDM 中
- 从您的 MDM 服务器中移除的设备会在下次同步时从 GuardMDM 中移除
- Token 过期时间会自动检查 — GuardMDM 会在 Token 过期前向您发出警告,以便您续期
日常运维无需手动干预。
ABM Token 过期 — 新设备注册中断
ABM Token 过期后,GuardMDM 与 Apple Business Manager 的连接将中断:
- 设备同步停止 — 新购买的设备不会自动出现在 GuardMDM 中
- ADE 注册失败 — 新设备无法自动注册
- 设备信息不同步 — ABM 中的设备变更不会反映到 GuardMDM
已注册设备不受影响 — 它们继续正常运作,远程命令和配置推送仍然有效。
恢复: 在 Apple Business Manager 中下载新 Token,上传到 GuardMDM 即可。
