Konfigurace podpory pro konfiguraci místního účtu ADE pro macOS pomocí laps v Microsoft Intune

Profil automatické registrace zařízení (ADE) s macOS můžete použít ke konfiguraci nově zaregistrovaného zařízení s macOS pro konfiguraci účtu správce i uživatelského účtu společně s řešením microsoft local admin password (LAPS). Konfigurace účtu macOS s LAPS je volitelná sada konfigurací, které můžete použít v nových a stávajících profilech ADE macOS se spřažením uživatelských zařízení i bez. Tyto konfigurace pro správu účtů platí jenom pro nové registrace.

Při konfiguraci místního účtu macOS s nástrojem LAPS se zařízení zřídí s účtem místního správce, který má silné, šifrované a náhodné heslo správce, které ukládá a šifruje Intune. Podobně je možné v rámci registračního profilu zřídit také místní standardní uživatelský účet. Po registraci Intune každých šest měsíců automaticky obměňuje heslo správce spravovaného službou LAPS. K doplnění automatického zápisu můžou správci Intune s dostatečnými oprávněními použít Centrum pro správu Intune k zobrazení hesla účtu místního správce zařízení a v případě potřeby můžou toto heslo ručně obměňovat pomocí vzdálených akcí zařízení.

Heslo vygenerované pro účet správce Intune je 15 znaků a obsahuje kombinaci malých a velkých písmen, číslic a speciálních symbolů.

Vzhledem k tomu, že konfigurace místního účtu macOS s LAPS je povolená jenom během automatizované registrace zařízení (ADE) po obnovení továrního nastavení, musí se dříve zaregistrované zařízení znovu zaregistrovat s Intune pomocí profilu ADE s povoleným LAPS, aby bylo podporováno pro laps pro účet správce.

Důležité

Existuje známý problém, který se týká zařízení se staršími verzemi macOS než macOS 26.4. Když se zařízení s macOS zaregistruje přes ADE s nakonfigurovaným účtem místního správce a cílovým profilem hesla, zobrazí se výzva k resetování hesla správce– i když není povolená možnost Změnit při příštím ověřování nebo pokud je nastavená hodnota Maximální věk (dny). Na standardní účet to nemá vliv.

Jako alternativní řešení můžete po resetování zařízení ručně otočit heslo správce, aby se Intune a stav hesla zařízení synchronizovaly. Pokud chcete tento problém vyřešit, upgradujte zařízení na macOS 26.4.

Důležité

Účet místního správce kvůli omezením platformy neobdrží zabezpečený token. První účet, který se přihlásí po registraci, obdrží zabezpečený token, který v tuto chvíli bude vždy místním uživatelským účtem.

Tip

Intune implementace sady LAPS pro macOS je podobná, ale liší se od podpory Intune pro Windows LAPS. Informace o systému Windows LAPS v Intune najdete v tématu Účet místního správce.

Požadavky

Níže jsou uvedené požadavky na zařízení pro konfiguraci místního účtu macOS s řešením LAPS:

  • macOS 12 a novější
  • Zařízení se musí synchronizovat s Intune z Apple Business/School Manageru
  • Zařízení se musí po obnovení do továrního nastavení zaregistrovat pomocí Intune prostřednictvím registračního profilu ADE pro macOS.

Důležité

macOS LAPS podporuje registrace ADE, ke kterým dochází v rámci počátečního nastavení zařízení. Scénáře registrace, které znovu inicializuje ADE z existující instalace macOS (například pomocí profiles renew příkazu), se nepodporují.

Řízení přístupu na základě role pro macOS LAPS

Účet správce, který je důvěryhodný k zobrazení nebo obměně hesla účtu místního správce pro zařízení, které bylo nasazené do systému macOS LAPS, musí mít následující Intune oprávnění řízení přístupu na základě role (RBAC):

Kategorie: Programy registrace:

  • Nastavte Možnost Obměňovat heslo správce macOS na Ano.
  • Nastavte Zobrazit heslo správce macOS na Ano.

Důležité

Tato dvě oprávnění pro programy registrace nejsou součástí žádné Intune předdefinované role ani Microsoft Entra předdefinované role správce Intune. Místo toho použijte vlastní Intune roli k přiřazení tohoto oprávnění uživatelům, kteří by měli mít tyto možnosti.

Oprávnění a podrobnosti potřebné ke správě zásad macOS pro automatizovanou registraci zařízení najdete v tématu Nastavení automatizované registrace zařízení (ADE) pro macOS.

Možnosti konfiguračního účtu a hesla

Tato část obsahuje podrobnosti o konfiguraci konfigurace místního účtu macOS s nástrojem LAPS, což se provádí v kroku 12 postupu vytvoření zásad registrace pro profily automatické registrace zařízení (ADE) s macOS.

Při konfiguraci profilu automatické registrace zařízení s macOS se na kartě Nastavení účtu zobrazí možnosti konfigurace účtu místního správce i místního uživatelského účtu. Ve výchozím nastavení jsou obě tyto možnosti nastavené na Ne.

Snímek obrazovky s výchozím vzhledem profilů automatizované registrace zařízení v podokně Nastavení účtu

Když vyberete Ano u možností místního účtu, účtu správce nebo uživatelského účtu, nakonfigurujete účet místního správce macOS s konfigurací LAPS i standardní uživatelský účet pro zařízení, která se registrují pomocí tohoto registračního profilu.

Jedinečná hesla účtů se vytvářejí pomocí 15 znaků se kombinací malých a velkých písmen, čísel a speciálních symbolů.

Důležité

U zařízení s nakonfigurovanými účty LAPS zaměřte zásady hesel pouze prostřednictvím katalogu nastavení a zakažte nastavení Změnit při příštím ověřování .

Nastavení hesel nakonfigurované prostřednictvím zásad dodržování předpisů nebo šablon omezení zařízení ve výchozím nastavení umožňuje změnit při příštím ověřování a může způsobit problémy s přihlášením u nově vytvořených účtů LAPS.

Pokaždé, když je jakákoli část konfigurace místního účtu, je ve výchozím nastavení nastavení konečné konfigurace v back-endu vždy nastaveno na Ano . Toto nastavení je nastavené, protože ke konfiguraci účtu dochází během Pomocníka s nastavením.

Účet místního správce

Snímek obrazovky s možnostmi dostupnými pro účet správce

Níže jsou uvedené příklady dostupných možností konfigurace. Další podrobnosti jsou přístupné prostřednictvím informačních ikon, které následují za názvem některých nastavení.

Poznámka

V případě zásad registrace ADE pro macOS bez spřažení uživatelských zařízení doporučujeme nastavit Správa uživatelské jméno účtu na {{serialNumber}}-admin nebo {{serialNumber}}-user. Použití sériového čísla zařízení pomáhá zajistit, že každé zařízení ADE bez uživatele má jedinečný identifikátor.

  • Správa uživatelské jméno účtu – Zadejte název účtu nebo použijte některou z následujících podporovaných proměnných k dynamickému vytvoření názvu. Ve výchozím nastavení toto pole používá Správa.

    • {{serialNumber}} – například F4KN99ZUG5V2
    • {{partialupn}} – například John.Dupont
    • {{managedDeviceName}} – například F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} – například JDoe

  • Správa úplný název účtu – Zadejte název účtu nebo použijte některou z následujících podporovaných proměnných k dynamickému vytvoření názvu. Ve výchozím nastavení toto pole používá Správa.

    • {{username}} – například John@contoso.com
    • {{serialNumber}} – například F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} – například JDoe

  • Skrýt ve skupinách Uživatelé & – Účet správce můžete skrýt v přihlašovacím okně a v části Uživatelé & Skupiny. Ve výchozím nastavení je tato možnost nastavená na Nenakonfigurováno.

  • Správa období obměny hesel účtu (dny) – Pokud je nakonfigurované, určuje toto nastavení období (1–180 dnů), po jehož uplynutí se heslo účtu správce automaticky obmění. Toto otočení doplňuje automatické otočení, které probíhá jednou za 180 dnů.

Místní uživatelský účet

Snímek obrazovky s možnostmi dostupnými pro uživatelský účet bez oprávnění správce

Níže najdete pokyny k dostupným možnostem. Další podrobnosti jsou přístupné prostřednictvím informačních ikon, které následují za názvem některých nastavení.

  • Typ účtu – ve výchozím nastavení je tato možnost nastavená na Standardní , aby se vytvořil standardní uživatelský účet. Typ místního uživatelského účtu se nastaví na správce, pokud není nakonfigurovaný účet místního správce, což je omezení platformy, protože účet správce se vždy vyžaduje k nastavení jakéhokoli zařízení s macOS.

  • Předvyplnění informací o účtu – Tuto možnost nastavte na Ano , pokud chcete spravovat název účtu nebo omezit úpravy.

  • Název primárního účtu – Zadejte název účtu nebo použijte některou z následujících podporovaných proměnných k dynamickému vytvoření názvu. Pomocník s nastavením používá tuto hodnotu k předvyplnění pole Název účtu, pokud je možnost Předběžné vyplňování informací o účtunastavená na Nenakonfigurováno. Ve výchozím nastavení toto pole používá proměnnou {{partialupn}} .

    • {{serialNumber}} – například F4KN99ZUG5V2
    • {{partialupn}} – například John.Dupont
    • {{managedDeviceName}} – například F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} – například JDoe

  • Úplný název primárního účtu – Zadejte úplný název účtu nebo použijte některou z následujících proměnných k dynamickému vytvoření názvu. Pomocník s nastavením používá tuto hodnotu k předvyplnění pole Celé jméno, pokud je možnost Předvyplnění informací o účtunastavená na Nenakonfigurováno. Ve výchozím nastavení toto pole používá proměnnou {{username}} :

    • {{username}} – například John@contoso.com
    • {{serialNumber}} – například F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} – například JDoe

  • Omezit úpravy – Zabrání koncovému uživateli v úpravách celého jména a názvu účtu. Ve výchozím nastavení je tato možnost nastavená na Nenakonfigurováno.

Zobrazení podrobností o účtu a hesle

Pokud chcete zobrazit heslo místního správce zařízení, musíte svému účtu přiřadit následující Intune oprávnění RBAC:

  • Kategorie: Registrační programy s heslem zobrazit správce macOS nastaveným na Ano

Zobrazení hesla účtu správce

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení>zařízení> s macOS vyberte zařízení s macOS a otevřete podokno >PřehledHesla a klíče.

V podokně Hesla a klíče můžete načíst heslo správce pro zařízení s macOS v části Heslo účtu místního správce . Tady se také můžete podívat, kdy se naposledy heslo ručně nebo automaticky obměnělo.

Pokud chcete zjistit, jestli má zaregistrované zařízení s macOS Intune spravované heslo správce, znamená to, že heslo pro účet místního správce spravuje Intune.

Snímek obrazovky, který zobrazuje podokno Hesla a klíče a možnosti Obměna hesla místního správce

Ruční obměna hesla účtu správce

Zásady LAPS zahrnují plán automatické obměny hesel k účtům (jednou za šest měsíců). Kromě plánované rotace můžete kdykoli ručně otočit heslo zařízení pomocí akce Intune zařízenív části Obměna hesla místního správce.

Pokud chcete použít tuto akci zařízení, musí být vašemu účtu přiřazeno [Intune oprávnění RBAC](#role-access-controls-for-macos-laps) z:

  • Kategorie: Registrační programy s heslem pro obměna správce macOS nastaveným na Ano

Obměna hesla správce

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení> zařízení > smacOS vyberte zařízení s macOS s účtem, který chcete otočit.

  2. V podokně přehledu zařízení v seznamu možností v horní části podokna vyberte Otočit heslo místního správce.

    Snímek obrazovky s podoknem přehledu zařízení

  3. Pokud chcete ověřit, kdy se heslo pro zařízení naposledy otočilo, v podokně Přehled zařízení:

    1. Rozbalte Monitorování a pak vyberte Hesla a klíče.
    2. V podokně Hesla a klíče najdete datum a čas posledního otočení hesla.

Monitorování obměně hesel

Zobrazení a obměně hesel vytvářejí události Intune Audit, které můžete zobrazit v Centru pro správu Intune.

V Centru pro správu Microsoft Intune přejděte naProtokoly auditu správy >tenanta.

Vyhledejte následující položky:

  • Get AdminAccountDto – identifikuje, kdy někdo zobrazil heslo správce.
  • rotateLocalAdminPassword ManagedDevice – určuje, kdy se heslo správce obměnělo.

Související obsah

  • Last updated on