Nastavení funkcí zařízení s macOS v Intune

  • Článek

Poznámka

Intune může podporovat více nastavení než nastavení uvedená v tomto článku. Ne všechna nastavení jsou zdokumentovaná a nebudou zdokumentována. Pokud chcete zobrazit nastavení, která můžete konfigurovat, vytvořte zásady konfigurace zařízení a vyberte Katalog nastavení. Další informace najdete v katalogu Nastavení.

Intune zahrnuje integrovaná nastavení pro přizpůsobení funkcí na zařízeních s macOS. Správci můžou například přidávat tiskárny AirPrint, zvolit způsob přihlašování uživatelů, konfigurovat ovládací prvky napájení, používat ověřování jednotným přihlašováním atd.

Pomocí těchto funkcí můžete ovládat zařízení s macOS jako součást řešení správy mobilních zařízení (MDM).

Tato funkce platí pro:

  • macOS

Tento článek popisuje tato nastavení. Obsahuje také kroky k získání IP adresy, cesty a portu tiskáren AirPrint pomocí aplikace Terminál (emulátor). Další informace o funkcích zařízení najdete v článku Přidání nastavení funkcí zařízení se systémem iOS/iPadOS nebo macOS.

Než začnete

Airprint

Nastavení platí pro: Všechny typy registrací

  • Cíle airprintu: Zadejte jednu nebo více informací o tiskárně AirPrint, aby uživatelé mohli tisknout ze svých zařízení:

    • IP adresa: Zadejte adresu IPv4 nebo IPv6 tiskárny. Zadejte 10.0.0.1například . Pokud k identifikaci tiskáren používáte názvy hostitelů, můžete ip adresu získat příkazem Ping na tiskárnu v aplikaci Terminál. Další podrobnosti najdete v části Získání IP adresy a cesty (v tomto článku).
    • Cesta k prostředku: Zadejte cestu k prostředku tiskárny. Cesta je obvykle určená pro tiskárny ipp/print v síti. Další podrobnosti najdete v části Získání IP adresy a cesty (v tomto článku).
    • Port (iOS 11.0+, iPadOS 13.0+): Zadejte port pro naslouchání cílového airprintu. Pokud tuto vlastnost ponecháte prázdnou, použije AirPrint výchozí port.
    • Vynucení protokolu TLS (iOS 11.0+, iPadOS 13.0+): Vaše možnosti:
      • Zakázat (výchozí): Při připojování k tiskárnám AirPrint se nevynucuje protokol TLS (Transport Layer Security).
      • Povolit: Zabezpečuje připojení AirPrint pomocí protokolu TLS (Transport Layer Security).

  • Importujte soubor oddělený čárkami (.csv), který obsahuje seznam tiskáren AirPrint. Po přidání tiskáren AirPrint do Intune můžete tento seznam exportovat.

Získání IP adresy a cesty

Pokud chcete přidat servery AirPrinter, potřebujete IP adresu tiskárny, cestu k prostředku a port. Následující postup ukazuje, jak tyto informace získat.

  1. Na počítači Mac, který se připojuje ke stejné místní síti (podsíti) jako tiskárny AirPrint, otevřete aplikaci Terminál (z /Applications/Utilities).

  2. V aplikaci Terminál zadejte ippfinda vyberte Enter.

    Poznamenejte si informace o tiskárně. Může například vrátit něco jako ipp://myprinter.local.:631/ipp/port1. První část je název tiskárny. Poslední část (ipp/port1) je cesta k prostředku.

  3. V aplikaci Terminál zadejte ping myprinter.locala vyberte Enter.

    Poznamenejte si IP adresu. Může například vrátit něco jako PING myprinter.local (10.50.25.21).

  4. Použijte HODNOTY IP adresy a cesty k prostředku. V tomto příkladu je 10.50.25.21IP adresa a cesta k prostředku je /ipp/port1.

Přidružené domény

V Intune můžete:

  • Přidejte mnoho přidružení mezi aplikacemi a doménou.
  • Přidružte mnoho domén ke stejné aplikaci.

Toto nastavení platí pro:

  • macOS 10.15 a novější

Nastavení platí pro: Registrace zařízení schválená uživatelem a automatizovaná registrace zařízení.

Tato nastavení používají datovou část AssociatedDomains.ConfigurationItem (otevře web společnosti Apple).

  • Přidružené domény: Přidejte přidružení mezi vaší doménou a aplikací. Tato funkce sdílí přihlašovací údaje pro přihlášení mezi aplikací Contoso a webem společnosti Contoso. Zadejte také:

    • ID aplikace: Zadejte identifikátor aplikace, kterou chcete přidružit k webu. Identifikátor aplikace zahrnuje ID týmu a ID sady prostředků: TeamID.BundleID.

      ID týmu je 10místný alfanumerický řetězec (písmen a číslic) vygenerovaný společností Apple pro vývojáře aplikací, například ABCDE12345. Vyhledejte id vašeho týmu (otevře web společnosti Apple) s dalšími informacemi.

      ID sady jednoznačně identifikuje aplikaci a obvykle je formátované v obráceném zápisu názvu domény. Id sady prostředků finderu je com.apple.findernapříklad .

      Id sady získáte tak, že:

    • Domény: Zadejte doménu webu, kterou chcete přidružit k aplikaci. Doména obsahuje typ služby a plně kvalifikovaný název hostitele, například webcredentials:www.contoso.com.

      Všechny subdomény přidružené domény můžete spárovat zadáním *. (hvězdička se zástupným znakem a tečkou) před začátkem domény. Období je povinné. Přesné domény mají vyšší prioritu než zástupné domény. Vzory z nadřazených domén se tedy shodují, pokud se shoda nenajde v plně kvalifikované subdoméně.

      Typ služby může být:

      • authsrv: Rozšíření aplikace pro jednotné přihlašování
      • applink: Univerzální odkaz
      • webcredentials: Automatické vyplňování hesel

    • Povolit přímé stahování: Ano stahuje data domény přímo ze zařízení, místo aby procházela přes síť pro doručování obsahu (CDN) společnosti Apple. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém stahovat data prostřednictvím CDN společnosti Apple vyhrazeného pro přidružené domény.

      Toto nastavení platí pro:

      • macOS 11 a novější

Tip

Pokud chcete vyřešit potíže, otevřete na zařízení s macOSprofilypředvoleb> systému. Ověřte, že profil, který jste vytvořili, je v seznamu profilů zařízení. Pokud je uvedený, ujistěte se, že je v profilu konfigurace přidružených domén a že obsahuje správné ID aplikace a domény.

Ukládání obsahu do mezipaměti

Ukládání obsahu do mezipaměti ukládá místní kopii obsahu. Ostatní zařízení Apple můžou tyto informace získat bez připojení k internetu. Tato mezipaměť urychluje stahování tím, že při prvním stažení ukládá aktualizace softwaru, aplikace, fotky a další obsah. Vzhledem k tomu, že se aplikace stahují jednou a sdílí se s jinými zařízeními, šetří školy a organizace s mnoha zařízeními šířku pásma.

Poznámka

Pro tato nastavení používejte pouze jeden profil. Pokud přiřadíte více profilů s těmito nastaveními, dojde k chybě.

Další informace o monitorování ukládání obsahu do mezipaměti najdete v článku Zobrazení protokolů a statistik ukládání obsahu do mezipaměti (otevře web společnosti Apple).

Toto nastavení platí pro:

  • macOS 10.13.4 a novější

Nastavení platí pro: Všechny typy registrací

Další informace o těchto nastaveních najdete v části Nastavení datové části Ukládání do mezipaměti obsahu (otevře web společnosti Apple).

Povolit ukládání obsahu do mezipaměti: Ano zapne ukládání obsahu do mezipaměti a uživatelé ho nemůžou zakázat. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení ho operační systém může vypnout.

  • Typ obsahu, který se má ukládat do mezipaměti: Vaše možnosti:

    • Veškerý obsah: Ukládá obsah iCloudu a sdílený obsah do mezipaměti.
    • Jenom uživatelský obsah: Ukládá obsah iCloudu uživatele, včetně fotek a dokumentů, do mezipaměti.
    • Jenom sdílený obsah: Aplikace a aktualizace softwaru se ukládají do mezipaměti.

  • Maximální velikost mezipaměti: Zadejte maximální velikost místa na disku (v bajtech), které se používá k ukládání obsahu do mezipaměti. Když ponecháte prázdné (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém nastavit tuto hodnotu na nula (0) bajtů, což poskytuje neomezené místo na disku mezipaměti.

    Ujistěte se, že nepřekračujete prostor, který je na zařízeních k dispozici. Další informace o kapacitě úložiště zařízení najdete v článku Jak iOS a macOS hlásí kapacitu úložiště (otevře web společnosti Apple).

  • Umístění mezipaměti: Zadejte cestu k uložení obsahu uloženého v mezipaměti. Výchozí umístění je /Library/Application Support/Apple/AssetCache/Data. Doporučujeme toto umístění neměnit.

    Pokud toto nastavení změníte, obsah uložený v mezipaměti se do nového umístění nepřesunou. Pokud ho chtějí uživatelé přesunout automaticky, musí změnit umístění na zařízení (předvolby> systémusdílení>obsahu do mezipaměti).

  • Port: Zadejte číslo portu TCP na zařízeních, aby mezipaměť přijímala požadavky na stažení a nahrání od 0 do 65535. Pokud chcete použít port, který je k dispozici, zadejte nulu (0) (výchozí).

  • Blokování připojení k internetu a ukládání obsahu do mezipaměti: Označuje se také jako tethered ukládání do mezipaměti. Ano zabraňuje sdílení připojení k internetu a sdílení obsahu uloženého v mezipaměti se zařízeními iOS/iPadOS připojenými přes USB k jejich Macu. Uživatelé nemůžou tuto funkci povolit. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje.

  • Povolit sdílení připojení k internetu: Označuje se také jako tethered ukládání do mezipaměti. Ano umožňuje sdílení obsahu uloženého v mezipaměti se zařízeními iOS/iPadOS připojenými přes USB k macu. Uživatelé nemůžou tuto funkci zakázat. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém tuto možnost vypnout.

    Toto nastavení platí pro:

    • macOS 10.15.4 a novější

  • Povolit ukládání podrobností o klientovi do mezipaměti: Ano protokoluje IP adresu a číslo portu zařízení, která požadují obsah. Pokud řešíte problémy se zařízením, může vám pomoct tento soubor protokolu. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém tyto informace protokolovat.

  • Vždy uchovávejte obsah z mezipaměti, i když systém potřebuje místo na disku pro jiné aplikace: Ano zachová obsah mezipaměti a zajistí, aby se nic odstranilo, i když je na disku málo místa. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém automaticky vyprázdnit obsah z mezipaměti, když potřebuje prostor úložiště pro jiné aplikace.

    Toto nastavení platí pro:

    • macOS 10.15 a novější

  • Zobrazit upozornění na stav: Ano zobrazuje výstrahy jako systémová oznámení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení operační systém nemusí tyto výstrahy zobrazovat jako systémová oznámení.

    Toto nastavení platí pro:

    • macOS 10.15 a novější

  • Zabránit zařízení v režimu spánku, když je zapnuté ukládání do mezipaměti: Ano zabrání počítači v přechodu do režimu spánku, když je ukládání do mezipaměti zapnuté. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zařízení povolit režim spánku.

    Toto nastavení platí pro:

    • macOS 10.15 a novější

  • Zařízení k ukládání do mezipaměti: Vyberte zařízení, která můžou ukládat obsah do mezipaměti. Možnosti:

    • Nenakonfigurováno (výchozí): Intune toto nastavení nezmění ani neaktualizuje.
    • Zařízení používající stejnou místní síť: Mezipaměť obsahu nabízí obsah zařízením ve stejné místní síti. Zařízením v jiných sítích, včetně zařízení dosažitelných pomocí mezipaměti obsahu, se nenabízí žádný obsah.
    • Zařízení používající stejnou veřejnou IP adresu: Mezipaměť obsahu nabízí obsah zařízením používajícím stejnou veřejnou IP adresu. Zařízením v jiných sítích, včetně zařízení dosažitelných pomocí mezipaměti obsahu, se nenabízí žádný obsah.
    • Zařízení používající vlastní místní sítě: Mezipaměť obsahu poskytuje obsah zařízením v rozsahu IP adres, který zadáte.
      • Rozsahy naslouchání klientům: Zadejte rozsah IP adres, které můžou přijímat mezipaměť obsahu.
    • Zařízení používající vlastní místní sítě s náhradními adresami: Mezipaměť obsahu poskytuje obsah zařízením v rozsahech naslouchání, rozsahech partnerského naslouchání a nadřazených IP adresách.
      • Rozsahy naslouchání klientům: Zadejte rozsah IP adres, které můžou přijímat mezipaměť obsahu.

  • Vlastní veřejné IP adresy: Zadejte rozsah veřejných IP adres. Cloudové servery používají tento rozsah k porovnávání klientských zařízení s mezipamětí.

  • Sdílení obsahu s jinými mezipamětí: Pokud má vaše síť více než jednu mezipaměť obsahu, z mezipamětí obsahu na jiných zařízeních se automaticky stanou partnerské. Tato zařízení můžou nahlížet a sdílet software uložený v mezipaměti.

    Pokud požadovaná položka není dostupná v jedné mezipaměti obsahu, zkontroluje její partnerské vztahy. Pokud je položka dostupná, stáhne se z mezipaměti obsahu na partnerském zařízení. Pokud stále není k dispozici, mezipaměť obsahu stáhne položku z:

    • Nadřazená IP adresa, pokud je nějaká nakonfigurovaná

      NEBO

    • Od společnosti Apple pomocí internetu

    Pokud je k dispozici více než jedna mezipaměť obsahu, zařízení automaticky vyberou správnou mezipaměť obsahu.

    Možnosti:

    • Nenakonfigurováno (výchozí): Intune toto nastavení nezmění ani neaktualizuje.

    • Mezipaměti obsahu využívající stejné místní sítě: Mezipaměť obsahu je v partnerském vztahu pouze s jinými mezipaměťmi obsahu ve stejné místní síti.

    • Mezipaměti obsahu používající stejnou veřejnou IP adresu: Mezipaměť obsahu má partnerský vztah jenom s jinými mezipaměťmi obsahu na stejné veřejné IP adrese.

    • Mezipaměti obsahu využívající vlastní místní sítě: Mezipaměť obsahu je partnerský vztah jenom s jinými mezipaměťmi obsahu v rozsahu naslouchání IP adres, který zadáte:

      • Rozsahy partnerského naslouchání: Zadejte počáteční a koncové IP adresy IPv4 nebo IPv6 pro váš rozsah. Mezipaměť obsahu reaguje pouze na požadavky partnerské mezipaměti z mezipamětí obsahu v rozsahech IP adres, které zadáte.
      • Rozsahy partnerských filtrů: Zadejte počáteční a koncové IP adresy IPv4 nebo IPv6 pro váš rozsah. Mezipaměť obsahu filtruje seznam partnerských vztahů pomocí rozsahů IP adres, které zadáte.

  • Nadřazené IP adresy: Zadejte místní IP adresu jiné mezipaměti obsahu, kterou chcete přidat jako nadřazenou mezipaměť. Vaše mezipaměť nahrává a stahuje obsah do těchto mezipamětí, místo toho, abyste je nahráli nebo stahují přímo společností Apple. Nadřazenou IP adresu přidejte jenom jednou.

  • Zásady výběru nadřazených mezipamětí: Pokud existuje mnoho nadřazených mezipamětí, vyberte způsob výběru nadřazené IP adresy. Možnosti:

    • Nenakonfigurováno (výchozí): Intune toto nastavení nezmění ani neaktualizuje.
    • Kruhové dotazování: Použijte nadřazené IP adresy v pořadí. Tato možnost je vhodná pro scénáře vyrovnávání zatížení.
    • První dostupná: Vždy použijte první dostupnou IP adresu v seznamu.
    • Hash: Vytvoří hodnotu hash pro část cesty požadované adresy URL. Tato možnost zajistí, aby se pro stejnou adresu URL vždy používala stejná nadřazená IP adresa.
    • Náhodné: Náhodně použijte IP adresu v seznamu. Tato možnost je vhodná pro scénáře vyrovnávání zatížení.
    • Dostupnost rychlého připojení: Vždy použijte první IP adresu v seznamu. Pokud není k dispozici, použijte druhou IP adresu v seznamu. Pokračujte v používání druhé IP adresy, dokud nebude dostupná atd.

Položky přihlášení

Nastavení platí pro: Všechny typy registrací

  • Přidejte soubory, složky a vlastní aplikace, které se spustí při přihlášení: Přidejte cestu k souboru, složce, vlastní aplikaci nebo systémové aplikaci, která se otevře, když se uživatelé přihlásí k jejich zařízením. Zadejte také:

    • Cesta k položce: Zadejte cestu k souboru, složce nebo aplikaci. Systémové aplikace nebo aplikace vytvořené nebo přizpůsobené pro vaši organizaci jsou obvykle ve Applications složce s cestou podobnou /Applications/AppName.app.

      Můžete přidat mnoho souborů, složek a aplikací. Zadejte například:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      Při přidávání libovolné aplikace, složky nebo souboru nezapomeňte zadat správnou cestu. Ne všechny položky jsou ve Applications složce. Pokud uživatelé položku přesunou z jednoho umístění do jiného, cesta se změní. Tato přesunutá položka se neotevře, když se uživatel přihlásí.

    • Skrýt: Zvolte, jestli chcete aplikaci zobrazit nebo skrýt. Možnosti:

      • Nenakonfigurováno (výchozí): Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zobrazovat položky v seznamu Uživatelé & Skupiny položky přihlášení s nezaškrtnutou možností skrýt.
      • Ano: Skryje aplikaci v seznamu uživatelé & Skupiny položky přihlášení.

Přihlašovací okno

Nastavení platí pro: Všechny typy registrací

Rozložení windows

  • Zobrazit další informace v řádku nabídek: Když je vybraná časová oblast na řádku nabídek, Zobrazí se název hostitele a verze macOS. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení operační systém nemusí tyto informace na řádku nabídek zobrazovat.

  • Banner: Zadejte zprávu, která se zobrazí na přihlašovací obrazovce na zařízeních. Zadejte například informace o vaší organizaci, uvítací zprávu, ztracené a nalezené informace atd.

  • Vyžadovat textová pole uživatelského jména a hesla: Zvolte, jak se uživatelé přihlašují k zařízením. Ano vyžaduje, aby uživatelé zadali uživatelské jméno a heslo. Pokud je nastavení na Nenakonfigurováno, Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém vyžadovat, aby uživatelé vybrali své uživatelské jméno ze seznamu a pak zadali své heslo.

    Pokud je nastaveno na Nenakonfigurováno, zadejte také:

    • Skrýt místní uživatele: Ano skryje místní uživatelské účty v seznamu uživatelů, který může obsahovat standardní účty a účty správce. Zobrazí se jenom uživatelské účty sítě a systému. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zobrazovat místní uživatelské účty v seznamu uživatelů.
    • Skrýt mobilní účty: Ano skryje mobilní účty v seznamu uživatelů. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zobrazovat mobilní účty v seznamu uživatelů. Některé mobilní účty se můžou zobrazovat jako uživatelé sítě.
    • Zobrazit uživatele sítě: Výběrem možnosti Ano zobrazíte seznam síťových uživatelů v seznamu uživatelů. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém zobrazovat síťové uživatelské účty v seznamu uživatelů.
    • Skrýt správce počítače: Ano skryje uživatelské účty správce v seznamu uživatelů. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zobrazovat uživatelské účty správce v seznamu uživatelů.
    • Zobrazit ostatní uživatele: Výběrem možnosti Ano zobrazíte seznam další ... uživatelů v seznamu uživatelů. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém zobrazovat ostatní uživatelské účty v seznamu uživatelů.

Nastavení napájení přihlašovací obrazovky

  • Skrýt tlačítko vypnutí: Ano skryje tlačítko vypnutí na přihlašovací obrazovce. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zobrazovat tlačítko vypnutí.
  • Skrýt tlačítko restartování: Ano skryje tlačítko restartování na přihlašovací obrazovce. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení se v operačním systému může zobrazit tlačítko restartování.
  • Tlačítko Skrýt režim spánku: Ano skryje tlačítko spánku na přihlašovací obrazovce. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zobrazovat tlačítko režimu spánku.
  • Zakázat přihlášení uživatele z konzoly: Ano skryje příkazový řádek macOS použitý k přihlášení. Pro typické uživatele nastavte toto nastavení na Ano. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit pokročilým uživatelům přihlášení pomocí příkazového řádku macOS. Pokud chtějí uživatelé přejít do režimu konzoly, zadají >console do pole Uživatelské jméno a musí se ověřit v okně konzoly.

Apple Menu

  • Zakázat vypnutí při přihlášení: Ano zabraňuje uživatelům vybrat možnost Vypnout po přihlášení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům umožnit vybrat položku nabídky Vypnout na zařízeních.
  • Zakázat restartování při přihlášení: Ano zabrání uživatelům vybrat možnost Restartovat po přihlášení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům umožňovat výběr položky nabídky Restartovat na zařízeních.
  • Zakázat vypnutí při přihlášení: Ano zabrání uživatelům vybrat možnost Vypnout po přihlášení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům povolit, aby na zařízeních vybrali položku nabídky Vypnout .
  • Zakázat odhlášení při přihlášení (macOS 10.13 a novější): Ano zabrání uživatelům vybrat možnost Odhlásit se po přihlášení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům umožňovat výběr položky nabídky Odhlásit se na zařízeních.
  • Zakázání zamykací obrazovky při přihlášení (macOS 10.13 a novější): Ano zabrání uživatelům vybrat možnost Zamykací obrazovka po přihlášení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatelům povolit, aby na zařízeních vybrali položku nabídky Zamykací obrazovka .

Rozšíření aplikace pro jednotné přihlašování

Toto nastavení platí pro:

  • macOS 10.15 a novější

Nastavení platí pro: Registrace zařízení schválená uživatelem a automatizovaná registrace zařízení.

  • Typ rozšíření aplikace s jednotným přihlašováním: Zvolte typ rozšíření aplikace pro jednotné přihlašování. Možnosti:

    • Nenakonfigurováno: Rozšíření aplikací se nepoužívají. Pokud chcete zakázat rozšíření aplikace, přepněte typ rozšíření aplikace jednotného přihlašování na Nenakonfigurováno.

    • Microsoft Entra ID: Používá modul plug-in Microsoft Entra ID Podnikové jednotné přihlašování, což je rozšíření aplikace jednotného přihlašování typu přesměrování. Tento modul plug-in poskytuje jednotné přihlašování pro účty místní Active Directory ve všech aplikacích macOS, které podporují funkci podnikového jednotného přihlašování společnosti Apple. Pomocí tohoto typu rozšíření aplikace s jednotným přihlašováním povolte jednotné přihlašování v aplikacích Microsoftu, aplikacích organizace a webech, které se ověřují pomocí Microsoft Entra ID. Další informace najdete v článku Použití modulu plug-in Microsoft Enterprise SSO na zařízeních macOSOS.

      Modul plug-in jednotného přihlašování funguje jako pokročilý zprostředkovatel ověřování, který nabízí vylepšení zabezpečení a uživatelského prostředí.

      Důležité

      Pokud chcete dosáhnout jednotného přihlašování s Microsoft Entra typem rozšíření aplikace pro jednotné přihlašování, nainstalujte na zařízení aplikaci Portál společnosti macOS. Aplikace Portál společnosti doručuje do zařízení modul plug-in Microsoft Enterprise SSO. Nastavení rozšíření aplikace MDM SSO aktivuje modul plug-in. Po instalaci Portál společnosti aplikace a profilu rozšíření aplikace jednotného přihlašování na zařízení se uživatelé přihlásí pomocí svých přihlašovacích údajů a vytvoří na svých zařízeních relaci. Tato relace se používá v různých aplikacích bez nutnosti opětovného ověření uživatelů.

      Další informace o aplikaci Portál společnosti najdete v článku Co se stane, když nainstalujete aplikaci Portál společnosti a zaregistrujete zařízení s macOS v Intune.

      Můžete si také stáhnout aplikaci Portál společnosti.

    • Přesměrování: Pokud chcete používat jednotné přihlašování s moderními toky ověřování, použijte obecné, přizpůsobitelné rozšíření aplikace pro přesměrování. Ujistěte se, že znáte rozšíření a ID týmu pro rozšíření aplikace vaší organizace.

    • Přihlašovací údaje: K použití jednotného přihlašování s toky ověřování výzvy a odpovědi použijte obecné, přizpůsobitelné rozšíření aplikace přihlašovacích údajů. Ujistěte se, že znáte ID rozšíření a ID týmu pro rozšíření aplikace s jednotným přihlašováním vaší organizace.

    • Kerberos: Použijte integrované rozšíření Kerberos od společnosti Apple, které je součástí macOS Catalina 10.15 a novějších. Tato možnost je verze rozšíření aplikace Credential specifická pro Kerberos.

    Tip

    Pomocí typů Redirect (Přesměrování ) a Credential (Přihlašovací údaje ) přidáte vlastní konfigurační hodnoty, které budou předány rozšířením. Pokud používáte přihlašovací údaje, zvažte použití integrovaného nastavení konfigurace poskytovaného společností Apple v typu Kerberos .

  • ID rozšíření (přesměrování, přihlašovací údaje): Zadejte identifikátor sady, který identifikuje rozšíření aplikace jednotného přihlašování, například com.apple.ssoexample.

  • ID týmu (přesměrování, přihlašovací údaje): Zadejte identifikátor týmu rozšíření aplikace s jednotným přihlašováním. Identifikátor týmu je 10místný alfanumerický řetězec (čísla a písmena) vygenerovaný společností Apple, například ABCDE12345.

    Další informace najdete v části Id vašeho týmu (otevře web společnosti Apple).

  • Sféra (credential, Kerberos): Zadejte název vaší sféry ověřování. Název sféry by měl být velkými písmeny, například CONTOSO.COM. Název vaší sféry je obvykle stejný jako název domény DNS, ale obsahuje všechna velká písmena.

  • Domény (Přihlašovací údaje, Kerberos): Zadejte názvy domén nebo hostitelů webů, které se můžou ověřovat prostřednictvím jednotného přihlašování. Pokud je mysite.contoso.comnapříklad váš web , je mysite název hostitele a .contoso.com je to název domény. Když se uživatelé připojí k některému z těchto webů, rozšíření aplikace zvládá ověřovací výzvu. Toto ověřování umožňuje uživatelům používat k přihlášení Face ID, Touch ID nebo Pincode nebo Apple Pincode.

    • Všechny domény v rozšíření aplikace pro jednotné přihlašování Intune profily musí být jedinečné. Doménu nemůžete opakovat v žádném profilu rozšíření aplikace pro přihlášení, a to ani v případě, že používáte různé typy rozšíření aplikací s jednotným přihlašováním.
    • U těchto domén se nerozlišují malá a velká písmena.
    • Doména musí začínat tečkou (.).

  • Adresy URL (jenom přesměrování): Zadejte předpony adres URL zprostředkovatelů identity, jejichž jménem rozšíření aplikace pro přesměrování používá jednotné přihlašování. Když jsou uživatelé přesměrováni na tyto adresy URL, rozšíření aplikace s jednotným přihlašováním zasáhne a vyzve k jednotnému přihlašování.

    • Všechny adresy URL v profilech rozšíření aplikace pro jednotné přihlašování Intune musí být jedinečné. Doménu nemůžete opakovat v žádném profilu rozšíření aplikace s jednotným přihlašováním, a to ani v případě, že používáte různé typy rozšíření aplikací s jednotným přihlašováním.
    • Adresy URL musí začínat nebo http://https://.

  • Další konfigurace (Microsoft Entra ID, přesměrování, přihlašovací údaje): Zadejte další data specifická pro rozšíření rozšíření aplikace s jednotným přihlašováním:

    • Klíč: Zadejte název položky, kterou chcete přidat, například user name.

    • Typ: Zadejte typ dat. Možnosti:

      • String
      • Logická hodnota: Do pole Hodnota konfigurace zadejte True nebo False.
      • Celé číslo: Do pole Hodnota konfigurace zadejte číslo.

    • Hodnota: Zadejte data.

  • Blokovat použití řetězce klíčů (jenom Kerberos): Ano zabraňuje ukládání hesel do řetězce klíčů. Uživatelé nebudou vyzváni k uložení hesla a po vypršení platnosti lístku Protokolu Kerberos ho budou muset zadat znovu. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém umožňovat ukládání a ukládání hesel do řetězce klíčů. Po vypršení platnosti lístku se uživatelům nezobrazí výzva k opětovnému zadání hesla.

  • Vyžadovat Face ID, Touch ID nebo heslo (jenom Kerberos): Ano vynutí, aby uživatelé zadali své Face ID, Touch ID nebo heslo zařízení, když jsou k aktualizaci lístku Kerberos potřeba přihlašovací údaje. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém vyžadovat, aby uživatelé k aktualizaci lístku Protokolu Kerberos používali biometriku nebo heslo zařízení. Pokud je možnost Blokovat použití řetězce klíčů nastavená na Ano, toto nastavení se nepoužije.

  • Nastavit jako výchozí sféru (jenom Kerberos): Zvolte Ano , pokud chcete nastavit hodnotu sféry , kterou jste zadali jako výchozí sféru. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém nastavit výchozí sféru.

    • Pokud ve vaší organizaci konfigurujete více rozšíření aplikací s jednotným přihlašováním Kerberos, vyberte Ano.
    • Pokud používáte více sfér, vyberte Ano. Nastaví hodnotu sféry , kterou jste zadali jako výchozí sféru.
    • Pokud máte jenom jednu sféru, nechte ji nenakonfigurováno (výchozí).

  • Blokovat automatickou konfiguraci (jenom Kerberos): Pokud je nastavená možnost Ano, rozšíření Kerberos automaticky nepoužívá protokoly LDAP a DNS k určení názvu lokality služby Active Directory. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit, aby rozšíření automaticky našel název lokality služby Active Directory.

  • Povolit jenom spravované aplikace (jenom Kerberos): Pokud je nastavené na Ano, rozšíření Kerberos umožňuje přístup k přihlašovacím údajům jenom spravovaným aplikacím a všem aplikacím zadaným s ID sady aplikací. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit nespravovaným aplikacím přístup k přihlašovacím údajům.

    Tato funkce platí pro:

    • macOS 12 a novější

  • Blokovat změny hesel (jenom Kerberos): Ano zabraňuje uživatelům ve změně hesel, která používají k přihlášení k doménám, které jste zadali. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit změny hesel.

  • Povolit místní synchronizaci hesel (jenom Kerberos): Pokud chcete synchronizovat místní hesla uživatelů s Microsoft Entra ID, zvolte Ano. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém zakázat synchronizaci hesel s Microsoft Entra ID.

    Toto nastavení použijte jako alternativu nebo jako zálohu k jednotnému přihlašování. Toto nastavení nefunguje, pokud jsou uživatelé přihlášení pomocí mobilního účtu Apple.

  • Zpozdit nastavení rozšíření Kerberos (jenom Kerberos): Pokud je nastavená hodnota Ano, uživateli se nezobrazí výzva k nastavení rozšíření Kerberos, dokud ho správce nepovolí nebo nepřijde výzva Protokolu Kerberos. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém uživatele okamžitě vyzvat k nastavení rozšíření Kerberos.

    Tato funkce platí pro:

    • macOS 11 a novější

  • Povolit standardní nástroje Kerberos (jenom Kerberos): Pokud je nastavené na Ano, rozšíření Kerberos umožňuje všem aplikacím zadaným s ID sady aplikací, spravovaným aplikacím a standardním nástrojům Kerberos, jako je TicketViewer a klist, přístup k přihlašovacím údajům a jejich používání. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém aplikacím uvedeným v seznamu povolit přístup k přihlašovacím údajům a jejich používání.

    Tato funkce platí pro:

    • macOS 12 a novější

  • Požádat o přihlašovací údaje (jenom Kerberos): Pokud je nastavená hodnota Ano, přihlašovací údaje se požádají při další odpovídající výzvě protokolu Kerberos nebo změně stavu sítě. Pokud platnost přihlašovacích údajů vypršela nebo chybí, vytvoří se nové přihlašovací údaje. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém vyžadovat nové přihlašovací údaje.

    Tato funkce platí pro:

    • macOS 12 a novější

  • Vyžadovat připojení LDAP pro protokol TLS (pouze Protokol Kerberos): Pokud je nastavená možnost Ano, připojení LDAP se vyžadují, aby bylo možné používat protokol TLS (Transport Layer Security). Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém pro použití protokolu TLS vyžadovat připojení LDAP.

    Tato funkce platí pro:

    • macOS 11 a novější

  • Vyžadovat složitost hesla služby Active Directory (jenom Kerberos): Pokud chcete vynutit, aby uživatelská hesla splňovala požadavky na složitost hesel služby Active Directory, zvolte Ano . Na zařízeních toto nastavení zobrazí automaticky otevírané okno se zaškrtávacími políčky, aby uživatelé viděli, že plní požadavky na heslo. Pomáhá uživatelům zjistit, co musí zadat pro heslo. Další informace najdete v článku Heslo musí splňovat požadavky na složitost. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém vyžadovat, aby uživatelé splňovali požadavky na heslo služby Active Directory.

  • Minimální délka hesla (jenom Kerberos): Zadejte minimální počet znaků, které můžou skládat hesla uživatelů. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém uživatelům vynucovat minimální délku hesla.

  • Limit opakovaného použití hesla (jenom Kerberos): Zadejte počet nových hesel od 1 do 24, která se použijí, dokud nebude možné v doméně znovu použít předchozí heslo. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém vynucovat limit opakovaného použití hesla.

  • Minimální stáří hesla (dny) (jenom Kerberos): Zadejte počet dnů, po které se heslo v doméně použije, než ho uživatelé můžou změnit. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí operační systém vynucovat minimální stáří hesel, než je bude možné změnit.

  • Oznámení o vypršení platnosti hesla (dny) (jenom Kerberos): Zadejte počet dní před vypršením platnosti hesla, po které se uživatelům zobrazí oznámení o vypršení platnosti hesla. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může operační systém používat 15 dny.

  • Vypršení platnosti hesla (dny) (jenom Kerberos): Zadejte počet dní, po které se musí změnit heslo zařízení. Pokud je nastavení na Nenakonfigurováno (výchozí), Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení nemusí vypršet platnost hesel operačního systému.

  • Adresa URL pro změnu hesla (jenom Kerberos): Zadejte adresu URL, která se otevře, když uživatelé zahájí změnu hesla protokolu Kerberos.

  • Vlastní uživatelské jméno (jenom Kerberos): Zadejte text, který nahradí uživatelské jméno zobrazené v rozšíření Kerberos. Můžete zadat název, který odpovídá názvu vaší společnosti nebo organizace. Můžete například zadat Contoso.

    Tato funkce platí pro:

    • macOS 11 a novější

  • Použití rozšíření Kerberos (jenom Kerberos): Vyberte, jak jiné procesy používají přihlašovací údaje rozšíření Kerberos. Možnosti:

    • Vždy: Přihlašovací údaje rozšíření se vždy použijí, pokud je hlavní název služby uvedený v doménách. Nepoužívá se, pokud volající aplikace není uvedená v ID sady aplikací.
    • Není-li zadáno: Přihlašovací údaje rozšíření se použijí jenom v případě, že volající nezadá další přihlašovací údaje a hlavní název služby je uvedený v části Domény. Nepoužívá se, pokud volající aplikace není uvedená v ID sad aplikací.
    • Výchozí nastavení Protokolu Kerberos: Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení operační systém používá pro výběr přihlašovacích údajů výchozí procesy Kerberos. Tato možnost je stejná jako ne konfigurace tohoto nastavení.

    Tato funkce platí pro:

    • macOS 11 a novější

  • Hlavní název (jenom Kerberos): Zadejte uživatelské jméno objektu zabezpečení Kerberos. Nemusíte uvádět název sféry. Například v user@contoso.com, user je hlavní název a contoso.com je název sféry.

    • Proměnné v hlavním názvu můžete použít také zadáním složených závorek {{ }}. Pokud chcete například zobrazit uživatelské jméno, zadejte Username: {{username}}.
    • Při nahrazování proměnných buďte opatrní, protože proměnné se v uživatelském rozhraní neověřují a rozlišují se u nich malá a velká písmena. Nezapomeňte zadat správné informace.

  • Kód lokality služby Active Directory (jenom Kerberos): Zadejte název lokality služby Active Directory, kterou má rozšíření Kerberos používat. Tuto hodnotu možná nebudete muset měnit, protože rozšíření Kerberos dokáže automaticky najít kód lokality služby Active Directory.

  • Název mezipaměti (jenom Kerberos): Zadejte název služby GSS (Generic Security Services) mezipaměti Protokolu Kerberos. Tuto hodnotu pravděpodobně nebudete muset nastavovat.

  • Text okna přihlášení (jenom Kerberos): Zadejte text zobrazený uživatelům v přihlašovacím okně Kerberos.

    Tato funkce platí pro:

    • macOS 11 a novější

  • Zpráva o požadavcích na heslo (jenom Kerberos): Zadejte textovou verzi požadavků na heslo vaší organizace, která se zobrazí uživatelům. Zpráva se zobrazí, pokud nevyžadujete požadavky na složitost hesla služby Active Directory nebo nezadáte minimální délku hesla.

    Pokud je tato možnost nastavená na Ano, vymažou se ze zařízení všechny existující uživatelské účty. Pokud chcete zabránit ztrátě dat nebo obnovení továrního nastavení, ujistěte se, že rozumíte tomu, jak toto nastavení mění vaše zařízení.

    Další informace o režimu sdíleného zařízení najdete v tématu Přehled režimu sdíleného zařízení.

  • ID sad aplikací (Microsoft Entra ID, Kerberos): Zadejte identifikátory sady aplikací, které by měly používat jednotné přihlašování na vašich zařízeních. Těmto aplikacím je udělen přístup k lístku kerberos pro udělování lístku a ověřovacímu lístku. Aplikace také ověřují uživatele ve službách, ke kterým mají oprávnění přistupovat.

    Pokud chcete získat ID sady prostředků aplikace přidané do Intune, můžete použít centrum pro správu Intune.

  • Mapování sféry domény (jenom Kerberos): Zadejte přípony DNS domény, které se mají namapovat na vaši sféru. Toto nastavení použijte, pokud názvy DNS hostitelů neodpovídají názvu sféry. Toto vlastní mapování domény na sféru pravděpodobně nebudete muset vytvářet.

  • Certifikát PKINIT (jenom Kerberos): Vyberte certifikát PKINIT (Public Key Cryptography for Initial Authentication), který se dá použít k ověřování protokolem Kerberos. Můžete si vybrat z certifikátů PKCS nebo SCEP, které přidáte do Intune. Další informace o certifikátech najdete v tématu Použití certifikátů k ověřování v Microsoft Intune.

  • Upřednostňované klíčové řadiče domény (pouze Kerberos): Zadejte distribuční centra klíčů (KDC), která se mají používat pro provoz protokolu Kerberos v pořadí podle priority. Tento seznam se používá v případě, že servery nejsou zjistitelné pomocí DNS. Pokud jsou servery zjistitelné, použije se seznam pro obě kontroly připojení a jako první se použije pro provoz protokolu Kerberos. Pokud servery nereagují, zařízení použije zjišťování DNS.

    Tato funkce platí pro:

    • macOS 12 a novější