Nastavení registrace zařízení s macOS v Intune

Microsoft Intune podporuje registraci na osobních počítačích Mac a macech vlastněných společností. Tento článek popisuje metody a funkce, které můžete použít k registraci osobních zařízení, zařízení vlastněných společností a virtuálních počítačů.

Povolení registrace v Microsoft Intune

Pokud chcete povolit registraci v tenantovi Microsoft Intune, proveďte nejprve tyto kroky.

1. Ověření, že zařízení mají nárok na registraci zařízení Apple
2. Konfigurace domén
3. Nastavení autority MDM
4. Získání certifikátu Apple MDM Push
5. Přiřazení uživatelských licencí v Centru pro správu Microsoftu 365
6. Vytvoření skupin
7. Konfigurace aplikace Portál společnosti

Zápis zařízení

Po povolení registrace použijte jednu z podporovaných metod popsaných v této části k registraci zařízení vlastněných uživatelem a společností.

Zařízení s macOS vlastněná uživatelem (BYOD)

Intune podporuje možnost přineste si vlastní zařízení ( BYOD), která umožňuje uživatelům zaregistrovat si svá osobní zařízení sami. Pokud chcete dokončit nastavení registrace pro scénáře BYOD, řekněte licencovaným uživatelům, aby k registraci zařízení použili jednu z těchto možností:

• Přihlaste se k webu Portál společnosti a podle pokynů na obrazovce přidejte zařízení.
• Nainstalujte aplikaci Portál společnosti pro Mac na aka.ms/EnrollMyMac a podle pokynů na obrazovce přidejte zařízení.

Zařízení s macOS vlastněná společností

Intune podporuje následující metody registrace pro zařízení s macOS vlastněná společností. Vyberte metodu s hypertextovými odkazy a otevřete její kroky nastavení.

• Automatická registrace zařízení Apple: Tato metoda slouží k automatizaci registrace na zařízeních zakoupených prostřednictvím Apple Business Manageru nebo Apple School Manageru. Automatizovaná registrace zařízení nasadí profil registrace bezdrátově, takže k zařízením nemusíte mít fyzický přístup.
• Správce registrace zařízení (DEM): Tuto metodu použijte pro nasazení ve velkém měřítku a v případě, že ve vaší organizaci existuje více lidí, kteří můžou pomoct s nastavením registrace. Uživatel s oprávněními správce registrace zařízení (DEM) může zaregistrovat až 1 000 zařízení s jedním účtem Microsoft Entra. Tato metoda používá k registraci zařízení aplikaci Portál společnosti nebo aplikaci Microsoft Intune. Účet DEM nemůžete použít k registraci zařízení prostřednictvím automatizované registrace zařízení.
• Přímá registrace: Přímá registrace registruje zařízení bez přidružení uživatele, takže tato metoda je nejvhodnější pro zařízení, která nejsou přidružená k jednomu uživateli. Tato metoda vyžaduje, abyste měli fyzický přístup k počítačům Mac, které registrujete.

Tokeny bootstrap

Intune podporuje použití tokenů bootstrap na zaregistrovaných počítačích Mac se systémem macOS 10.15 nebo novějším. Tokeny bootstrap udělují místním uživatelským a hostujícím účtům stav vlastnictví svazku, aby uživatelé bez oprávnění správce mohli schvalovat důležité operace, které by jinak správce potřeboval provést. Operace, jako jsou:

• Aktualizace softwaru iniciované uživatelem

• Instalace rozšíření jádra na procesoru Apple Silicon

Tokeny bootstrap můžete využívat na počítačích Mac pod dohledem a na počítačích Mac zaregistrovaných prostřednictvím automatizované registrace zařízení s macOS.

Získání tokenu bootstrap

Token bootstrap se automaticky vygeneruje v následujících případech:

• Nově zaregistrovaný Mac se přihlásí pomocí Intune a
• Uživatel s povoleným zabezpečeným tokenem (obvykle správce Intune) se přihlásí k Macu pomocí hesla cleartextu.

Token se pak automaticky zabezpečí do Microsoft Intune. V případě potřeby můžete použít nástroj příkazového řádku k ručnímu zobrazení, vygenerování a úschově tokenu bootstrap na podporovaných zařízeních s macOS. Další informace o příkazech najdete v tématu Použití zabezpečeného tokenu, tokenu bootstrap a vlastnictví svazku v nasazeních na podpoře Apple.

Monitorování stavu úschovy bootstrap

Stav úschovy pro všechny zaregistrované Počítače Mac můžete sledovat v Centru pro správu. Vlastnost hardwaru v úschově tokenu Bootstrap hlásí, jestli je token bootstrap v Intune v úschově. Intune hlásí Ano , pokud byl token úspěšně zakažován, a Ne , pokud token není v úschově.

1. Přihlaste se k Centru pro správu Microsoft 365.
2. Přejděte na Zařízení>podle platformy>macOS.
3. Vyberte zařízení ze seznamu zařízení s macOS.
4. Vyberte Hardware.
5. V podrobnostech o hardwaru se posuňte dolů k části Podmíněný přístup>Token bootstrap v úschově.

Správa rozšíření jádra a aktualizací softwaru

Důležité

Rozšíření jádra se už pro macOS nedoporučují. Apple doporučuje používat systémová rozšíření, pokud je to možné. Další podrobnosti najdete v tématu Průvodce zabezpečením platformy Apple – Bezpečné rozšíření jádra v systému macOS na podpoře Apple.

Token bootstrap se dá použít ke schválení instalace rozšíření jádra i aktualizací softwaru na Macu s procesorem Apple.

Aktualizace softwaru iniciované uživatelem je možné provádět pomocí tokenu bootstrap na počítačích Mac se systémem macOS verze 11.1 a zaregistrovanými prostřednictvím automatizované registrace zařízení. Pokud chcete autorizovat aktualizace softwaru iniciované uživatelem na zařízení, které není zaregistrované prostřednictvím automatizované registrace zařízení, musíte restartovat Mac v režimu obnovení a downgradovat jeho nastavení zabezpečení. Token bootstrap můžete také využít k aktualizacím softwaru na počítačích Mac se systémem macOS 11.2 a novějším, přičemž jediným požadavkem je, aby zařízení bylo pod dohledem.

Správa rozšíření jádra je automaticky dostupná na počítačích Mac se systémem macOS 11 nebo novějším a zaregistrovaná prostřednictvím automatizované registrace zařízení. Pokud chcete autorizovat vzdálenou správu rozšíření jádra na zařízení, které není zaregistrované prostřednictvím automatizované registrace zařízení, musíte restartovat Mac v režimu obnovení a downgradovat jeho nastavení zabezpečení. Další informace najdete v článku Změna nastavení zabezpečení na spouštěcím disku Macu pomocí procesoru Apple na podpoře Apple.

Blokování registrace macOS

Intune ve výchozím nastavení umožňuje registraci zařízení s macOS. Pokud chcete zablokovat registraci zařízení s macOS, přečtěte si téma Nastavení omezení platformy zařízení.

Registrace virtuálních počítačů s macOS pro účely testování

Poznámka

Intune podporuje virtuální počítače s macOS jenom pro účely testování. Nepoužívejte virtuální počítače jako oficiální zařízení pro zaměstnance nebo studenty.

Intune podporuje virtuální počítače se systémem:

• Parallels Desktop
• VMware Fusion
• Apple Silicon

Intune potřebuje znát model hardwaru a sériové číslo virtuálního počítače, aby ho bylo možné rozpoznat a zaregistrovat jako zařízení. Pokud se pokusíte zaregistrovat virtuální počítač bez zadání těchto podrobností, registrace selže. Tato část obsahuje další informace o tom, jak tento požadavek splnit před registrací.

Parallels Desktop

Upravte nastavení konfigurace virtuálního počítače tak, aby se přidalo nebo změnilo sériové číslo virtuálního počítače a identifikátor modelu hardwaru. Zadejte libovolný řetězec alfanumerických znaků pro sériové číslo. U hardwarového modelu doporučujeme použít model zařízení, na kterém běží virtuální počítač. Pokud chcete najít hardwarový model počítače Mac, vyberte nabídku Apple a přejděte na O tomtoidentifikátoru modelu sestavy> systému Mac.>

Další informace najdete v následujících tématech ve znalostní bázi Parallels:

• Registrace virtuálního počítače s macOS v Parallels Desktopu pomocí Intune
• Jak najít a změnit sériové číslo

VMware Fusion

Přidáním následujících řádků do souboru .vmx nastavte model hardwaru a sériové číslo virtuálního počítače. Hodnoty uvedené v této ukázce jsou příklady.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Zadejte libovolný řetězec alfanumerických znaků pro sériové číslo. U hardwarového modelu doporučujeme použít model zařízení, na kterém běží virtuální počítač. Pokud chcete najít hardwarový model počítače Mac, vyberte nabídku Apple a přejděte na O tomtoidentifikátoru modelu sestavy> systému Mac.>

VMware Fusion je podporován pouze na počítačích Mac s procesory Intel. Další informace o úpravě souboru .vmx pro virtuální počítač VMware Fusion najdete na webu připojení zákazníků VMware.

Apple Silicon

U virtuálních počítačů spuštěných na hardwaru Apple Silicon se nevyžadují žádné změny. Parallels Desktop je podporovaný na počítačích Mac s Apple Silicon, takže pokud virtuální počítač nastavíte tímto způsobem, nemusíte měnit ID modelu hardwaru ani sériové číslo.

Registrace schválená uživatelem

Všechny registrace Mac v Intune se považují za schválené uživatelem. Registrace schválená uživatelem umožňuje spravovat zařízení s macOS, která nejsou součástí Apple School Manageru nebo Apple Business Manageru. Poskytuje stejnou úroveň řízení jako zařízení s macOS pod dohledem zaregistrovaná pomocí automatizované registrace zařízení nebo Apple Configuratoru.

Intune automaticky zapne dohled na zařízeních schválených uživatelem se systémem macOS 11 a novějším. Dělá to také u zaregistrovaných zařízení, která se později aktualizují na macOS 11 nebo novější.

Poznámka

Intune oznámila podporu registrace schválené uživatelem v červnu 2020. Registrace modelu BYOD, ke kterým došlo před tímto časem, nemusí být schváleny uživatelem. Další informace o tom, jak se zařízení Apple stávají schválenými uživateli, najdete v tématu Registrace MDM schválená uživatelem na webu podpory Apple.

Činnost koncového uživatele

Uživatel zařízení se přihlásí k aplikaci Portál společnosti a zahájí registraci. Portál společnosti pak otevře předvolby systému zařízení a vyzve uživatele k instalaci profilu správy. Portál společnosti poskytuje pokyny v aplikaci, které uživatelům pomůžou profil najít. Uživatelé přejdou do části Profily předvoleb> systému a schválí instalaci profilu pro správu. Uživatelé zařízení, kteří při registraci neschválení neposkytnou, se můžou později vrátit k systémovým předvolbám a udělit schválení.

Zjištění, jestli je zařízení schválené uživatelem

1. V Centru pro správu vyberte Zařízení>Všechna zařízení.
2. Zvolte zařízení s macOS.
3. V boční nabídce vyberte Hardware.
4. Zaškrtněte hodnotu vedle registrace schválené uživatelem.

Zálohování a obnovení pomocí nástroje Apple Migration Assistant

Pomocí nástroje Apple Migration Assistant můžete zálohovat a obnovovat zařízení s macOS. Pomocí nástroje můžete zálohovat Počítač Mac a obnovit jeho data aplikace na novém zařízení. Je důležité vědět, že:

• Profil pro správu na původním macu se nezálohuje. Zařízení se odešle nový profil správy, protože se nový Mac znovu zaregistruje. K tomu dochází u počítačů Mac, které procházejí automatickou registrací zařízení Apple, a počítačů Mac, které neprocházejí automatickou registrací zařízení.
• Přihlašovací údaje aplikace Portál společnosti se můžou na novém Macu obnovit, až projde pomocí nástroje Migration Assistant a zaregistruje se. Pokud k tomu dojde, doporučujeme, abyste vy nebo uživatel zařízení provedli následující kroky k vymazání dat aplikace:
  1. Odhlaste se z aplikace Portál společnosti.
  2. Přihlaste se k aplikaci nebo webu Portál společnosti.

Další kroky

• Dokumentaci k uživatelské nápovědě, která poskytuje podrobné pokyny k registraci uživatelů zařízení, najdete v tématu Registrace zařízení s macOS v Intune. Pokud chcete zachytit značkové nebo přizpůsobené prostředí registrace vaší organizace, můžete si také vytvořit vlastní pokyny.

• Po registraci zařízení s macOS můžete pro zařízení s macOS vytvořit vlastní nastavení.