Rendszerhéjszkriptek használata macOS-eszközökön az Intune-ban

  • Cikk

A rendszerhéjszkriptekkel kibővítheti az Intune eszközfelügyeleti képességeit a macOS operációs rendszer által támogatottakon túl.

Megjegyzés:

A Rosetta 2 szükséges az alkalmazások x64-es (Intel) verziójának futtatásához Apple Silicon Mac gépeken. Ha automatikusan szeretné telepíteni a Rosetta 2-t Apple Silicon Mac gépekre, üzembe helyezhet egy rendszerhéjszkriptet az Intune-ban. Egy példaszkript megtekintéséhez lásd: Rosetta 2 telepítési szkript.

Előfeltételek

A rendszerhéjszkriptek írásakor és macOS-eszközökhöz való hozzárendelésekor győződjön meg arról, hogy az alábbi előfeltételek teljesülnek.

  • Az eszközök a macOS 12.0-s vagy újabb verzióját futtatják.
  • Az eszközöket az Intune felügyeli.
  • Az eszközök közvetlenül az internethez csatlakoznak. A proxyn keresztüli kapcsolat nem támogatott.
  • A rendszerhéjszkriptek a következővel #! kezdődnek, és érvényes helyen kell lenniük, például #!/bin/sh vagy #!/usr/bin/env zsh.
  • A megfelelő rendszerhéjak parancssori értelmezői telepítve vannak.

Fontos szempontok a rendszerhéjszkriptek használata előtt

  • A rendszerhéjszkriptek megkövetelik, hogy a Microsoft Intune felügyeleti ügynök sikeresen telepítve legyen a macOS-eszközön. További információ: Microsoft Intune macOS-hez készült felügyeleti ügynök.
  • A rendszerhéjszkriptek párhuzamosan, különálló folyamatokként futnak az eszközökön.
  • A bejelentkezett felhasználóként futtatott rendszerhéjszkriptek a futtatás időpontjában futnak az eszközön jelenleg bejelentkezett összes felhasználói fiókhoz.
  • A bejelentkezett felhasználóként futó szkriptek végrehajtásához a végfelhasználónak be kell jelentkeznie az eszközre.
  • Gyökérszintű felhasználói jogosultságokra van szükség, ha a szkript olyan módosításokat igényel, amelyeket egy standard felhasználói fiók nem tud.
  • A rendszerhéjszkriptek bizonyos feltételek esetén gyakrabban próbálnak meg futni, mint a választott szkript gyakorisága, például ha a lemez megtelt, ha a tárolóhelyet illetéktelenül módosították, a helyi gyorsítótárat törölték, vagy ha a Mac-eszköz újraindul.
  • A 60 percnél hosszabb ideig futó rendszerhéjszkripteket a rendszer leállítja, és "sikertelenként" jelenti.

Rendszerhéjszkript-szabályzat létrehozása és hozzárendelése

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>macOS-rendszerhéjszkriptek>>Hozzáadása lehetőséget.

  3. Az Alapvető beállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

    • Név: Adja meg a rendszerhéjszkript nevét.
    • Leírás: Adja meg a rendszerhéjszkript leírását. A beállítás használata nem kötelező, de ajánlott.

  4. A Szkriptbeállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

    • Szkript feltöltése: Tallózással keresse meg a rendszerhéjszkriptet. A szkriptfájlnak 200 KB-nál kisebb méretűnek kell lennie.
    • Szkript futtatása bejelentkezett felhasználóként: Válassza az Igen lehetőséget a szkript futtatásához a felhasználó hitelesítő adataival az eszközön. Válassza a Nem (alapértelmezett) lehetőséget a szkript gyökérszintű felhasználóként való futtatásához.
    • Szkriptértesítések elrejtése az eszközökön: Alapértelmezés szerint a szkriptértesítések minden futtatott szkript esetében megjelennek. A végfelhasználók azt látják , hogy egy informatikai részleg konfigurálja a számítógép értesítéseit az Intune-ból macOS-eszközökön.
    • Szkript gyakorisága: Válassza ki a szkript futtatásának gyakoriságát. Ha csak egyszer szeretne szkriptet futtatni, válassza a Nincs konfigurálva (alapértelmezett) lehetőséget. A gyakorisággal rendelkező szkriptek az eszköz újraindítása után is futni fognak.
    • A szkript meghiúsulása esetén az újrapróbálkozás maximális száma: Válassza ki, hogy hányszor kell futtatni a szkriptet, ha nem nulla kilépési kódot ad vissza (nulla, ami sikert jelent). Válassza a Nincs konfigurálva (alapértelmezett) lehetőséget, hogy ne próbálkozzon újra, ha egy szkript meghibásodik.

  5. A Hatókörcímkék területen igény szerint adjon hozzá hatókörcímkéket a szkripthez, és válassza a Tovább gombot. Hatókörcímkék használatával meghatározhatja, hogy kik láthatják a szkripteket az Intune-ban. A hatókörcímkék részletes ismertetését lásd: Szerepköralapú hozzáférés-vezérlés és hatókörcímkék használata elosztott informatikai eszközökhöz.

  6. Válassza a Hozzárendelések>: Adja meg a belefoglalandó csoportokat lehetőséget. Megjelenik a Microsoft Entra csoportok meglévő listája. Jelöljön ki egy vagy több felhasználói vagy eszközcsoportot, amelyek megkapják a szkriptet. Válassza a Kijelölés elemet. A kiválasztott csoportok megjelennek a listában, és megkapják a szkriptszabályzatot.

    Megjegyzés:

    • A felhasználói csoportokhoz rendelt rendszerhéjszkriptek a Mac gépre bejelentkező felhasználókra vonatkoznak.
    • A rendszerhéjszkriptek hozzárendeléseinek frissítése a macOS-hez készült Microsoft Intune MDM-ügynök hozzárendeléseit is frissíti.

  7. A Felülvizsgálat + hozzáadás területen megjelenik a konfigurált beállítások összegzése. A szkript mentéséhez válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a szkriptszabályzat a kiválasztott csoportokra lesz üzembe helyezve.

A létrehozott szkript ekkor megjelenik a szkriptek listájában. Ha szükséges, megtekintheti a macOS-rendszerhéjszkriptek tartalmát, miután feltöltötte őket az Intune-ba.

Rendszerhéjszkript-szabályzat figyelése

Az alábbi jelentések egyikének kiválasztásával figyelheti a felhasználók és eszközök összes hozzárendelt szkriptjének futtatási állapotát:

  • Parancsfájlok>válassza ki a monitorozni> kívánt szkriptetEszköz állapota
  • Parancsfájlok>válassza ki a monitorozni> kívánt szkriptetFelhasználó állapota

Fontos

A kiválasztott szkript gyakoriságától függetlenül a szkript futtatási állapota csak a szkript első futtatásakor lesz jelentve. A szkriptfuttatás állapota nem frissül a későbbi futtatások során. A frissített szkriptek azonban új szkriptekként lesznek kezelve, és újra jelenteni fogják a futtatási állapotot.

A szkript futtatása után a következő állapotok egyikét adja vissza:

  • A szkript sikertelen futtatási állapota azt jelzi , hogy a szkript nem nulla kilépési kódot adott vissza, vagy a szkript helytelen formátumú.
  • A sikeres szkriptfuttatási állapot azt jelzi, hogy a szkript nulla értéket adott vissza kilépési kódként.

MacOS-rendszerhéjszkript-szabályzatok hibaelhárítása naplógyűjtéssel

Eszköznaplókat gyűjthet a macOS-eszközök szkriptproblémáinak elhárításához.

A naplógyűjtés követelményei

A naplók macOS-eszközön való gyűjtéséhez a következő elemek szükségesek:

  • Meg kell adnia a teljes abszolút naplófájl elérési útját.
  • A fájlelérési utakat csak pontosvesszővel kell elválasztani (;).
  • A feltöltendő naplógyűjtemények maximális mérete 60 MB (tömörített) vagy 25 fájl( amelyik előbb bekövetkezik).
  • A naplógyűjtéshez engedélyezett fájltípusok a következő kiterjesztéseket tartalmazzák: .log, .zip, .gz, .tar, .txt, .xml, .crash, .rtf

Eszköznaplók gyűjtése

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen az Eszközök>szkriptjei területre, és válasszon ki egy macOS-felületi szkriptet.

  3. Az Eszköz állapota vagy a Felhasználó állapota jelentésben válasszon ki egy eszközt.

  4. Válassza a Naplók gyűjtése lehetőséget, adja meg a naplófájlok elérési útját pontosvesszővel elválasztva (;) szóközök és új vonalak nélkül az elérési utak között.
    Több elérési utat például a következőként kell írni: /Path/to/logfile1.zip;/Path/to/logfile2.log.

    Fontos

    A vesszővel, ponttal, új vonallal vagy idézőjelekkel szóközökkel vagy szóközök nélkül elválasztott több naplófájl elérési útja naplógyűjtési hibát eredményez. A szóközök nem használhatók elválasztóként az elérési utak között.

  5. Kattintson az OK gombra. A naplók akkor lesznek összegyűjtve, amikor az Intune felügyeleti ügynöke legközelebb bejelentkezik az eszközre az Intune-nal. Ez a bejelentkezés általában 8 óránként történik.

    Megjegyzés:

    • Az összegyűjtött naplók 30 napig titkosítva vannak az eszközön, és a Microsoft Azure Storage-ban lesznek továbbítva és tárolva. A tárolt naplók igény szerint visszafejthetők, és Microsoft Intune Felügyeleti központ használatával tölthetők le.
    • A rendszergazda által megadott naplók mellett az Intune felügyeleti ügynök naplói is a következő mappákból lesznek összegyűjtve: /Library/Logs/Microsoft/Intune és ~/Library/Logs/Microsoft/Intune. Az ügynök naplófájljának neve és IntuneMDMDaemon date--time.logIntuneMDMAgent date--time.log.
    • Ha egy rendszergazda által megadott fájl hiányzik vagy nem megfelelő kiterjesztésű, a következő fájlneveket fogja megtalálni a LogCollectionInfo.txtlistában: .

Naplógyűjtési hibák

Előfordulhat, hogy a naplógyűjtés az alábbi táblázatban megadott okok valamelyike miatt nem lesz sikeres. A hibák elhárításához kövesse a javítási lépéseket.

Hibakód (hexadecimális) Hibakód (dec.) Hibaüzenet Szervizelési lépések
0X87D300D1 2016214834 A naplófájl mérete nem haladhatja meg a 60 MB-ot. Győződjön meg arról, hogy a tömörített naplók mérete kisebb, mint 60 MB.
0X87D300D1 2016214831 A megadott naplófájl elérési útjának léteznie kell. A rendszerfelhasználói mappa a naplófájlok érvénytelen helye. Győződjön meg arról, hogy a megadott fájlelérési út érvényes és elérhető.
0X87D300D2 2016214830 A naplófájl feltöltése a feltöltési URL-cím lejárata miatt meghiúsult. Próbálkozzon újra a Naplók gyűjtése művelet végrehajtásával .
0X87D300D3, 0X87D300D5, 0X87D300D7 2016214829, 2016214827, 2016214825 A naplógyűjtemény fájlfeltöltése titkosítási hiba miatt meghiúsult. Próbálkozzon újra a napló feltöltésével. Próbálkozzon újra a Naplók gyűjtése művelet végrehajtásával .
2016214828 A naplófájlok száma meghaladta a megengedett 25 fájlt. Egyszerre legfeljebb 25 naplófájl gyűjthető össze.
0X87D300D6 2016214826 A naplófájl feltöltése zip-hiba miatt meghiúsult. Próbálkozzon újra a napló feltöltésével. Próbálkozzon újra a Naplók gyűjtése művelet végrehajtásával .
2016214740 A naplók nem titkosíthatók, mert a tömörített naplók nem találhatók. Próbálkozzon újra a Naplók gyűjtése művelet végrehajtásával .
2016214739 A naplók gyűjtése megtörtént, de nem sikerült őket tárolni. Próbálkozzon újra a Naplók gyűjtése művelet végrehajtásával .

Egyéni attribútumok macOS-hez

Létrehozhat egyéni attribútumprofilokat, amelyek lehetővé teszik egyéni tulajdonságok gyűjtését felügyelt macOS-eszközről rendszerhéjszkriptekkel.

Egyéni attribútum létrehozása és hozzárendelése macOS-eszközökhöz

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>macOS>Egyéni attribútumok>Hozzáadása lehetőséget.

  3. Az Alapvető beállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

    • Név: Adja meg a szkript nevét.
    • Leírás: Adja meg a szkript leírását. A beállítás használata nem kötelező, de ajánlott.

  4. Az Attribútumbeállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább lehetőséget:

    • Attribútum adattípusa: Válassza ki a szkript által visszaadott eredmény adattípusát. Az elérhető értékek a Következők: Sztring, Egész szám és Dátum.
    • Szkript: Válasszon ki egy szkriptfájlt.

    További részletek:

    • A rendszerhéjszkriptnek meg kell felelnie a jelenteni kívánt attribútumnak, és a kimenet adattípusának meg kell egyeznie az egyéni attribútumprofilban szereplő attribútum adattípusával.
    • A rendszerhéjszkript által visszaadott eredménynek legalább 20 KB-nak kell lennie.

    Megjegyzés:

    Típusattribútumok használatakor Date győződjön meg arról, hogy a rendszerhéjszkript ISO-8601 formátumban adja vissza a dátumokat. Tekintse meg az alábbi példákat.

    ISO-8601-kompatibilis dátum nyomtatása időzónával:

    #!/bin/sh
var=$(date +"%Y-%m-%dT%H:%M:%S%z")
echo $var # Prints an ISO-8601 compliant date with time-zone

    ISO-8601 szabványnak megfelelő dátum nyomtatása UTC idő szerint:

    #!/bin/sh
var=$(date -u +"%Y-%m-%dT%H:%M:%SZ")
echo $var # Prints an ISO-8601 compliant date in UTC time

  5. A Hozzárendelések területen kattintson a Belefoglalandó csoportok kiválasztása elemre. Ha a Csoportok kiválasztása lehetőséget választja a Microsoft Entra csoportok meglévő listájának hozzáadásához, megjelenik. Jelöljön ki egy vagy több felhasználói vagy eszközcsoportot, amelyek megkapják a szkriptet. Válassza a Kijelölés elemet. A kiválasztott csoportok megjelennek a listában, és megkapják a szkriptszabályzatot. Másik lehetőségként választhatja a Minden felhasználó, a Minden eszköz vagy a Minden felhasználó és az összes eszköz lehetőséget, ha kiválasztja az egyik lehetőséget a Hozzárendelés melletti legördülő menüben.

    Megjegyzés:

    • A felhasználói csoportokhoz rendelt szkriptek a Mac gépre bejelentkező felhasználókra vonatkoznak.

  6. A Felülvizsgálat + hozzáadás területen megjelenik a konfigurált beállítások összegzése. A szkript mentéséhez válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a szkriptszabályzat a kiválasztott csoportokra lesz üzembe helyezve.

A létrehozott szkript ekkor megjelenik az egyéni attribútumok listájában. Ha szükséges, megtekintheti az egyéni attribútumok tartalmát, miután feltöltötte őket az Intune-ba.

Egyéni attribútumszabályzat figyelése

A felhasználók és eszközök összes hozzárendelt egyéni attribútumprofiljának futtatási állapotát az alábbi jelentések egyikének kiválasztásával figyelheti:

  • Egyéni attribútumok>válassza ki a monitorozni> kívánt egyéni attribútumprofiltEszköz állapota
  • Egyéni attribútumok>válassza ki a monitorozni> kívánt egyéni attribútumprofiltFelhasználó állapota

Fontos

Az egyéni attribútumprofilokban megadott rendszerhéjszkripteket a rendszer 8 óránként futtatja felügyelt Mac gépeken, és jelentést ad.

Az egyéni attribútumprofil futtatása után az alábbi állapotok egyikét adja vissza:

  • A Sikertelen állapot azt jelzi, hogy a szkript nem nulla kilépési kódot adott vissza, vagy a szkript helytelen formátumú. A hiba az Eredmény oszlopban jelenik meg.
  • A Sikeres állapot azt jelzi, hogy a szkript nulla értéket adott vissza kilépési kódként. A szkript által visszhangzott kimenet az Eredmény oszlopban jelenik meg.

Gyakori kérdések

Miért nem futnak a hozzárendelt rendszerhéjszkriptek az eszközön?

Ennek több oka is lehet:

  • Előfordulhat, hogy az ügynöknek be kell jelentkeznie az új vagy frissített szkriptek fogadásához. Ez a bejelentkezési folyamat 8 óránként történik, és különbözik az MDM-bejelentkezéstől. Győződjön meg arról, hogy az eszköz ébren van, és csatlakozik egy hálózathoz az ügynök sikeres bejelentkezéséhez, és várja meg, amíg az ügynök bejelentkezik. Azt is kérheti a végfelhasználótól, hogy nyissa meg a Céges portál a Mac gépen, jelölje ki az eszközt, és kattintson a Beállítások ellenőrzése elemre.
  • Előfordulhat, hogy az ügynök nincs telepítve. Ellenőrizze, hogy az ügynök telepítve /Library/Intune/Microsoft Intune Agent.app van-e a macOS-eszközön.
  • Előfordulhat, hogy az ügynök nem kifogástalan állapotban van. Az ügynök 24 órán keresztül megkísérli a helyreállítást, eltávolítja magát, és újratelepíti, ha a rendszerhéjszkriptek továbbra is hozzá vannak rendelve.

Milyen gyakran jelent a szkriptfuttatási állapot?

A szkriptfuttatás állapotát a rendszer azonnal jelenti Microsoft Intune Felügyeleti központnak, amint befejeződött a szkriptfuttatás. Ha egy szkript rendszeres időközönként, meghatározott gyakorisággal fut, csak az első futtatáskor jelent állapotjelentést.

Mikor futnak újra a rendszerhéjszkriptek?

A szkriptek csak akkor futnak újra, ha a szkript meghiúsulása esetén az újrapróbálkozási próbálkozások maximális száma beállítás konfigurálva van, és a szkript futás közben meghiúsul. Ha az újrapróbálkozási próbálkozások maximális száma, ha a szkript meghiúsul , nincs konfigurálva, és egy szkript futtatása meghiúsul, akkor a rendszer nem futtatja újra, és a futtatási állapot sikertelenként lesz jelentve.

Milyen Intune-szerepköri engedélyek szükségesek a rendszerhéjszkriptekhez?

A hozzárendelt Intune-szerepkörhöz eszközkonfigurációs engedélyek szükségesek a rendszerhéjszkriptek törléséhez, hozzárendeléséhez, létrehozásához, frissítéséhez vagy olvasásához.

Ismert problémák

  • Nincs szkriptfuttatási állapot: Abban a valószínűtlen esetben, ha egy szkript érkezik az eszközön, és az eszköz offline állapotba kerül a futtatási állapot jelentése előtt, az eszköz nem jelenti a szkript futtatási állapotát a Felügyeleti központban.

További információk

Amikor rendszerhéjszkripteket vagy egyéni attribútumokat telepít a macOS-eszközökhöz Microsoft Intune, az üzembe helyezi az Intune felügyeleti ügynökalkalmazás új univerzális verzióját, amely natív módon fut Apple Silicon Mac gépeken. Ugyanez az üzembe helyezés telepíti az alkalmazás x64-es verzióját Intel Mac gépekre. A Rosetta 2 szükséges az alkalmazások x64-es (Intel) verziójának futtatásához Apple Silicon Mac gépeken. Ha automatikusan szeretné telepíteni a Rosetta 2-t Apple Silicon Mac gépekre, üzembe helyezhet egy rendszerhéjszkriptet az Intune-ban. Egy példaszkript megtekintéséhez lásd: Rosetta 2 telepítési szkript.

Következő lépések