Teljes körű útmutató a macOS-végpontok használatbavételéhez
A Microsoft Intune használatával kezelheti és biztonságossá teheti a szervezet vagy az iskola tulajdonában lévő macOS-végpontokat. Amikor Ön vagy a szervezete felügyeli az eszközöket, üzembe helyezheti a végfelhasználók számára szükséges alkalmazásokat, konfigurálhatja a kívánt eszközfunkciókat, és olyan szabályzatokat használhat, amelyek segítenek megvédeni az eszközöket & szervezetet a fenyegetésektől.
Ez a cikk a következőkre vonatkozik:
- a szervezet tulajdonában lévő macOS-eszközök
Ez a cikk teljes körű útmutató a macOS-végpontok használatának megkezdéséhez. A következő kérdésekre összpontosít:
- Az Apple Business Managerrel vagy az Apple School Managerrel felügyelt végpontok
- Az Intune-ban felhasználói affinitással történő automatikus eszközregisztrációval regisztrált eszközök. A felhasználói affinitást általában egy elsődleges felhasználóval rendelkező eszközökhöz használják.
Ez a cikk végigvezeti a macOS-végpontok Microsoft Intune-beli létrehozásának és kezelésének teljes körű lépésein.
Az útmutató használata
Ez az útmutató hét fázisból áll. Minden fázis több lépésből áll, amelyek segítenek felépíteni a macOS-végpont konfigurációját és üzembe helyezését. Minden fázis az előző fázisra épül.
Végezze el a fázisokat és a lépéseket sorrendben. A fázisok a következők:
- 1. fázis – A környezet beállítása
- 2. fázis – Tesztvégpont regisztrálása
- 3. fázis – A macOS-végpont védelme
- 4. fázis – Szervezetspecifikus testreszabások alkalmazása
- 5. fázis – Választható speciális konfiguráció
- 6. fázis – A fennmaradó macOS-végpontok regisztrálása
- 7. fázis – Támogatás, karbantartás és következő lépések
Az útmutató végén egy macOS-végpont van regisztrálva az Intune-ban, és készen áll az ellenőrzés megkezdésére a forgatókönyvekben.
1. fázis – A környezet beállítása
Az első macOS-végpont létrehozása előtt konfigurálnia kell néhány követelményt és konfigurációs funkciót.
Ebben a fázisban ellenőrzi a követelményeket, integrálja az Intune-t az Apple Business Managerrel (vagy az Apple School Managerrel), konfigurál néhány funkciót, és hozzáad néhány alkalmazást az Intune-hoz.
1. lépés – Hálózati követelmények
✅A hálózat beállítása
A macOS-végpont sikeres előkészítéséhez és üzembe helyezéséhez a végpontnak több nyilvános internetszolgáltatáshoz is hozzá kell férnie.
Indítsa el a tesztelést egy nyitott hálózaton. Vagy a szervezeti hálózaton biztosítson hozzáférést a Microsoft Intune hálózati végpontjainál felsorolt összes végponthoz. Ezután a szervezeti hálózat használatával tesztelheti a konfigurációt.
Ha a vezeték nélküli hálózat tanúsítványokat igényel, a tesztelés során kezdhet Ethernet-kapcsolattal. Az Ethernet-kapcsolat egy kis időt biztosít az eszközök számára szükséges vezeték nélküli kapcsolatok legjobb megközelítésének meghatározására.
Figyelem!
Az SSL-ellenőrzés a Microsoft- és Apple-szolgáltatásokhoz való hozzáférés meghiúsulását okozhatja. Az Apple követelményeiről az Apple-termékek nagyvállalati hálózatokon való használatát ismertető cikkben talál további információt.
2. lépés – Regisztráció és licencelés
✅Új csoport létrehozása, regisztrációs korlátozások konfigurálása és licencek hozzárendelése
Ahhoz, hogy a végpontok készen álljon a regisztrációra, meg kell győződnie arról, hogy a megfelelő végpontok vannak megcélzva, és hogy a végpontok licencelése megfelelő.
Kifejezetten:
Új csoport létrehozása
Hozzon létre egy új Microsoft Entra-tesztcsoportot, például az Intune MDM-felhasználókat. Ezután adja hozzá a tesztfelhasználói fiókokat ehhez a csoporthoz. Ha korlátozni szeretné, hogy ki regisztrálhat eszközöket a konfiguráció beállítása során, a konfigurációkat erre a csoportra célozhatja.
Microsoft Entra-csoport létrehozásához használja az Intune Felügyeleti központot. Amikor létrehoz egy csoportot az Intune-ban, egy Entra-csoportot hoz létre. Nem látja az Entra védjegyezést, de ezt használja.
További információ: Csoport létrehozása felhasználók kezeléséhez az Intune-ban.
Regisztrációs korlátozások
A regisztrációs korlátozások lehetővé teszik az Intune-felügyeletbe regisztrálható eszközök típusainak szabályozását. Ahhoz, hogy ez az útmutató sikeres legyen, a regisztrációs korlátozásban győződjön meg arról, hogy a macOS (MDM) regisztrációja engedélyezve van, ez az alapértelmezett konfiguráció. Rendelje hozzá ezt a regisztrációs korlátozást a létrehozott új csoporthoz.
Ha szükséges/szükséges, megakadályozhatja bizonyos eszközök regisztrálását is.
A regisztrációs korlátozások konfigurálásáról további információt a Regisztrációs korlátozások beállítása a Microsoft Intune-ban című témakörben talál.
Licencelés
A macOS-eszközöket regisztráló felhasználóknak Microsoft Intune- vagy Microsoft Intune for Education-licencre van szükségük. A licencek hozzárendeléséhez lépjen a Microsoft Intune-licencek hozzárendelése című témakörre. Rendelje hozzá a licenceket a létrehozott tesztfiókokhoz.
Megjegyzés:
A licenccsomagok általában mindkét licenctípust tartalmazzák, például a Microsoft 365 E3 (vagy A3) és újabb verziókat. További információt a Microsoft 365 Nagyvállalati csomagok összehasonlítása című témakörben talál.
3. lépés – Az Apple MDM-tanúsítvány hozzáadása
✅Leküldéses tanúsítvány hozzáadása felügyelt Apple ID azonosítóval
A macOS-eszközök kezeléséhez az Apple megköveteli, hogy az Intune-bérlőT MDM push-tanúsítvánnyal konfigurálja. Ha jelenleg ugyanabban a bérlőben kezeli az iOS/iPadOS-eszközöket, akkor ez a lépés kész.
Győződjön meg arról, hogy felügyelt Apple ID azonosítót használ az Apple Business Manager (vagy az Apple School Manager) példánnával.
Ne használjon személyes Apple ID azonosítót. Az Apple Push Notification Service-tanúsítvány kezelése kritikus fontosságú az eszközfelügyeleti megoldás élettartama során. A személyes Apple ID azonosítóval való hozzáférés elérhetetlenné válhat, mivel a személyzet idővel változik.
Az Apple MDM push-tanúsítvány konfigurálásáról az Apple MDM Push-tanúsítvány lekérése az Intune-hoz című témakörben talál további információt.
4. lépés – Az Apple automatikus eszközregisztrációs tokenjének hozzáadása
✅Apple-jogkivonat csatolása automatizált eszközregisztrációhoz
Az Apple Business Manageren (vagy az Apple School Manageren) keresztül regisztrált eszközök kezeléséhez be kell állítania egy MDM-jogkivonatot, és össze kell kapcsolnia a tokent az Intune-nal.
Erre a jogkivonatra az Intune-beli automatikus eszközregisztrációhoz (ADE) van szükség. A jogkivonat:
- Lehetővé teszi, hogy az Intune szinkronizálja az ADE-eszközadatokat az Apple Business Manager- (vagy Apple School Manager-) fiókjából.
- Lehetővé teszi, hogy az Intune feltöltse a regisztrációs profilokat az Apple-be.
- Lehetővé teszi, hogy az Intune eszközöket rendeljen ezekhez a profilokhoz.
Ha jelenleg ugyanabban a bérlőben kezeli az iOS/iPadOS-eszközöket az ADE használatával, akkor az alábbi lépések némelyike elvégezhető.
Az Apple Business Manager Intune-nal való konfigurálásáról további információt a MacOS-eszközök regisztrálása – Apple Business Manager vagy Apple School Manager című témakörben talál.
Az Apple Business Manager (vagy az Apple School Manager) Intune-nal való konfigurálásának magas szintű lépései a következők:
- Az Intune csatlakoztatása az Apple Business Managerhez (vagy az Apple School Managerhez).
- Az Intune-ban hozzon létre ADE-profilokat az Apple Business Manager-jogkivonathoz.
- Az Apple Business Managerben rendeljen eszközöket az Intune MDM-hez.
- Az Intune-ban rendelje hozzá az ADE-profilokat a macOS-eszközökhöz.
5. lépés – Céleszközök
✅Meghatározott csoportok megcélzása felhasználói csoportokkal, Intune-szűrőkkel vagy dinamikus csoportokkal
A felhasználói affinitású macOS-eszközök felhasználói vagy eszközcsoportokat használó profilokhoz és alkalmazásokhoz célozhatók. A szervezetek kétféleképpen célozhatók meg dinamikusan az eszközökkel:
1. lehetőség – Az összes olyan eszközcsoport, amely hozzárendelési szűrővel rendelkezik az enrollmentProfileName elemen
A regisztráció után azonnal alkalmazandó kritikus alkalmazások és szabályzatok (biztonsági beállítások, korlátozások, Céges portál alkalmazás) esetében a szabályzatokat hozzárendelheti a beépített Intune Minden eszköz csoporthoz. Hozzon létre egy hozzárendelési szűrőt a 4. lépésben létrehozott regisztrációs profillal – Adja hozzá az Apple automatizált eszközregisztrációs tokent.
A Minden eszköz csoportra irányuló szabályzatok és alkalmazások a regisztráció után gyorsabban érvényesülnek, mint a dinamikus csoportok. Nem minden konfigurációs profil (például macOS-szkript) támogatja a szűrőket.
A hozzárendelési szűrőkkel kapcsolatos további információkért tekintse meg a Szűrők létrehozása a Microsoft Intune-ban című témakört.
2. lehetőség – A Microsoft Entra dinamikus csoportja az enrollmentProfileName alapján
Ha az útmutatóban szereplő konfigurációkat az Apple Business Manageren keresztül importált teszteszközökre szeretné korlátozni, hozzon létre egy dinamikus Microsoft Entra-csoportot. Ezután az összes konfigurációt és alkalmazást erre a csoportra célozhatja.
Nyissa meg a Microsoft Intune Felügyeleti központot.
Válassza a Csoportok>új csoport lehetőséget, és adja meg a következő adatokat:
- Csoport típusa: Válassza a Biztonság lehetőséget.
- Csoport neve: Adja meg a macOS-végpontokat.
- Tagság típusa: Válassza a Dinamikus eszköz lehetőséget.
A Dinamikus eszköztagok esetében válassza a Dinamikus lekérdezés hozzáadása lehetőséget, és adja meg a következő tulajdonságokat:
- Tulajdonság: Válassza az enrollmentProfileName lehetőséget.
- Operátor: Válassza az egyenlő lehetőséget.
- Érték: Adja meg a regisztrációs profil nevét.
Válassza az OK>Mentés>létrehozása lehetőséget.
Alkalmazások és szabályzatok létrehozásakor a szabályzatokat erre az új dinamikus Microsoft Entra-csoportra célozhatja.
Megjegyzés:
A módosítások után a dinamikus csoportok feltöltése több percet is igénybe vehet. Nagy szervezetekben ez hosszabb időt is igénybe vehet. Új csoport létrehozása után várjon néhány percet, és ellenőrizze, hogy az eszköz tagja-e a csoportnak.
További információ az eszközök dinamikus csoportjairól: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban: Eszközök szabályai.
6. lépés – Kezdeti beállítások és egyszeri bejelentkezés (SSO) konfigurálása
✅Az első futtatás élményének optimalizálása
Az Intune használatával optimalizálhatja az első futtatás élményét az ADE regisztrációs profil beépített beállításaival. A regisztrációs profil létrehozásakor a következőt teheti:
- Konfigurálja előre a végfelhasználói adatokat a Beállítási asszisztensben.
- Használja az Await végső konfigurációs funkcióját. Ez a funkció megakadályozza, hogy a végfelhasználók hozzáférjenek a korlátozott tartalmakhoz, vagy módosítják a beállításokat az Intune eszközkonfigurációs szabályzatainak alkalmazásáig.
A funkcióval és az ADE-regisztrációval kapcsolatos további információkért olvassa el a Mac gépek automatikus regisztrálása az Apple Business Managerrel vagy az Apple School Managerrel című témakört.
✅Az alkalmazás bejelentkezési kéréseinek csökkentése egyszeri bejelentkezéssel
Az Intune-ban olyan beállításokat konfigurálhat, amelyek csökkentik a végfelhasználók által az alkalmazások használatakor kapott bejelentkezési kérések számát, beleértve a Microsoft 365-alkalmazásokat is. A konfigurációnak két része van:
1. rész – A Microsoft Enterprise SSO beépülő modul használata egyszeri bejelentkezés (SSO) biztosítására olyan alkalmazások és webhelyek számára, amelyek a Hitelesítéshez Microsoft Entra-azonosítót használnak, beleértve a Microsoft 365-alkalmazásokat is.
Kétféleképpen konfigurálható a Mac SSO – Enterprise SSO beépülő modul és a Platform SSO.
Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul egyszeri bejelentkezést (SSO) biztosít a macOS-en futó Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple nagyvállalati egyszeri bejelentkezési funkcióját.
A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:
Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállításkatalógus >> létrehozása > Hitelesítés > Bővíthető egyszeri bejelentkezés (SSO): Adja hozzá és konfigurálja a következő beállításokat:
Name (Név) Konfiguráció Bővítmény azonosítója com.microsoft.CompanyPortalMac.ssoextension
Csapatazonosító UBF8T346G9
Típus Átirányít URL-címek https://login.microsoftonline.com
https://login.microsoft.com
https://sts.windows.net
https://login.partner.microsoftonline.cn
https://login.chinacloudapi.cn
https://login.microsoftonline.us
https://login-us.microsoftonline.com
Konfigurálja a következő választható beállításokat:
Kulcs Típus Érték AppPrefixAllowList Karakterlánc com.apple.,com.microsoft
browser_sso_interaction_enabled Egész szám 1 disable_explicit_app_prompt Egész szám 1
A nagyvállalati egyszeri bejelentkezés beépülő modullal kapcsolatos további információkért, beleértve a szabályzat létrehozását, olvassa el a MacOS Enterprise SSO beépülő modul konfigurálása az Intune-nal című témakört.
2. rész – Az Intune beállításkatalógusával konfigurálhatja a következő beállításokat, amelyek csökkentik a bejelentkezési kéréseket, beleértve a Microsoft AutoUpdate (MAU) és a Microsoft Office szolgáltatást.
Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállításkatalógus >> létrehozása > Microsoft AutoUpdate (MAU): Adja hozzá és konfigurálja a következő beállításokat:
Adatgyűjtési szabályzat automatikus nyugtázása: Válassza a Nyugtázás – kötelező és nem kötelező adatok küldése lehetőséget.
Erről a beállításról további információt A Mac Office adatvédelmi vezérlőinek kezelése beállítások használatával című témakörben talál.
Automatikus frissítés engedélyezése: Válassza az Igaz lehetőséget.
Ez a beállítás bekapcsolja a Microsoft AutoUpdate beállítást. A Microsoft 365-alkalmazásokat és a Céges portált frissítő Microsoft AutoUpdate szolgáltatásról további információt a Frissítések telepítése Mac Office-hoz című témakörben talál.
Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállításkatalógus >> létrehozása > Microsoft Office > Microsoft Office: Adja hozzá és konfigurálja a következő beállításokat:
- Office aktiválási e-mail-cím: Adja meg a következőt
{{userprincipalname}}
: . - Automatikus bejelentkezés engedélyezése: Válassza az Igaz lehetőséget.
Ezek a beállítások leegyszerűsítik a bejelentkezési folyamatot az Office-appok első megnyitásakor. Ezekről a beállításokról további információt a Csomagszintű beállítások megadása a Mac Office-hoz című témakörben talál.
- Office aktiválási e-mail-cím: Adja meg a következőt
A beállításkatalógusról, beleértve a szabályzatok létrehozását is, a Beállítások konfigurálása a Microsoft Intune-ban a beállításkatalógus használatával című témakörben talál további információt.
7. lépés – Kötelező alkalmazásokat hozzáadni és hozzárendelni
✅Alkalmazások minimális készletének hozzáadása az Intune-hoz
Előfordulhat, hogy a szervezetnek vannak olyan alkalmazásai, amelyekkel a macOS-eszközöknek rendelkezniük kell. A szervezet megkövetelheti, hogy ezek az alkalmazások az Intune által felügyelt összes eszközre telepítve legyenek.
Ebben a lépésben vegye fel ezeket az alkalmazásokat az Intune-ba, és rendelje őket a csoporthoz.
Néhány kötelező alkalmazás:
Céges portál alkalmazás
A Microsoft azt javasolja, hogy telepítse az Intune Vállalati portál alkalmazást minden eszközre kötelező alkalmazásként. A Céges portál alkalmazás a felhasználók önkiszolgáló központja. A Céges portál alkalmazásban a felhasználók alkalmazásokat telepíthetnek, szinkronizálhatják eszközüket az Intune-nal, ellenőrizhetik a megfelelőségi állapotot és egyebeket.
A Vállalati portál alkalmazásra a 6. lépés – Kezdeti beállítások és egyszeri bejelentkezés (SSO) konfigurálása című szakaszban konfigurált SSO-bővítményhez is szükség van (ebben a cikkben).
A Céges portál alkalmazás kötelező alkalmazásként való üzembe helyezéséhez lépjen a Vállalati portál hozzáadása macOS-alkalmazáshoz című témakörhöz.
Microsoft 365-alkalmazások
A Microsoft 365-alkalmazások, például a Word, az Excel, a OneDrive és az Outlook egyszerűen telepíthetők az eszközökre a macOS beépített Microsoft 365-alkalmazásprofiljának használatával az Intune-ban.
A Microsoft 365-alkalmazások üzembe helyezéséhez lépjen a következő területre:
2. fázis – Tesztvégpont regisztrálása
A következő fázis egy teszt macOS-eszközt regisztrál az Intune-ban. Ebben a fázisban megismerkedhet a kezdeti lépésekkel, hogy készen álljon, amikor ideje regisztrálni az összes macOS-eszközt az Intune-ban.
Az első szervezet macOS-végpontjának regisztrálásához győződjön meg arról, hogy a macOS-eszköz a következő:
Az első macOS-végpont Intune-beli regisztrálásának magas szintű lépései a következők:
Törölje vagy állítsa alaphelyzetbe a macOS-végpontot. Erre a lépésre a meglévő eszközök esetében van szükség. Ha olyan macOS-eszközt regisztrál, amely már be van állítva, akkor az eszköz személyes eszköznek minősül. Ezért törölnie vagy alaphelyzetbe kell állítania az eszközt, mielőtt regisztrálhatja az Intune-ban.
Nem beállított új eszközök esetén kihagyhatja ezt a lépést. Ha nem biztos abban, hogy az eszköz be van-e állítva, állítsa alaphelyzetbe az eszközt.
Tekintse át a Beállítási asszisztenst.
Nyissa meg a Céges portál alkalmazást, és jelentkezzen be a szervezeti fiókjával (
user@contoso.com
).
Amikor a felhasználó bejelentkezik, a regisztrációs szabályzat érvényes lesz. Amikor befejeződik, a macOS-végpont regisztrálva lesz az Intune-ban.
3. fázis – A macOS-végpontok védelme
Ebben a fázisban olyan biztonsági beállításokat és szolgáltatásokat konfigurál, amelyek segítenek megvédeni a végpontokat, beleértve az eszközök naprakészen tartását a frissítésekkel.
Ez a szakasz a Microsoft Intune különböző végpontbiztonsági funkcióival foglalkozik, többek között az alábbiakkal:
- Megfelelőségi és feltételes hozzáférési szabályzatok
- Végponthoz készült Microsoft Defender
- FileVault, Firewall és Gatekeeper végpontbiztonság
- Szoftverfrissítések
- Vendégfiók
- Üresjárati bejelentkezés
- Mac Evaluation Utility
Megfelelőségi és feltételes hozzáférési szabályzatok
✅Megfelelőségi szabályzatok létrehozása és a feltételes hozzáférésnek való megfelelés kényszerítése
A megfelelőségi szabályzatok ellenőrzik a konfigurált eszközbeállításokat, és kijavíthatnak néhány nem megfelelő beállítást. Létrehozhat például olyan megfelelőségi szabályzatokat, amelyek többek között ellenőrzik a jelszó összetettségét, a feltört állapotot, a fenyegetési szinteket, a regisztrációs állapotot.
Ha vannak olyan konfigurációs beállítások, amelyek ütköznek a megfelelőségi szabályzatok és más szabályzatok között, akkor a megfelelőségi szabályzat élvez elsőbbséget. További információ: Ütköző megfelelőségi és eszközkonfigurációs szabályzatok.
A feltételes hozzáféréssel kikényszeríthetők a létrehozott megfelelőségi szabályzatok. Együttes használata esetén a végfelhasználóknak regisztrálniuk kell az eszközeiket, és meg kell felelniük egy minimális biztonsági szabványnak, mielőtt hozzáférnek a szervezeti erőforrásokhoz. Ha egy eszköz nem megfelelő, letilthatja az erőforrásokhoz, például az e-mailekhez való hozzáférést, vagy megkövetelheti a felhasználótól, hogy regisztrálja az eszközét, és javítsa ki a problémát.
Megjegyzés:
Annak ellenőrzéséhez, hogy a megfelelő eszközvezérlőket érvényesíti-e, működjön együtt az Entra feltételes hozzáférési szabályzatait kezelő csapattal.
Megfelelőségi és feltételes hozzáférési szabályzatokat az Intune Felügyeleti központban hozhat létre.
További információt a következő témakörben talál:
- Megfelelőségi szabályzatok használata az Intune-nal felügyelt eszközökre vonatkozó szabályok beállításához
- Feltételes hozzáférés és Intune
- Megfelelő eszköz vagy MFA megkövetelése
- Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban?
Végponthoz készült Microsoft Defender
✅A Végponthoz készült Microsoft Defender használata veszélyforrások elleni védelemhez
A Végponthoz készült Microsoft Defender egy mobilfenyegetés-védelmi megoldás, amely segít megvédeni az eszközöket a biztonsági fenyegetésektől.
Az Intune-ban csatlakozhat a Végponthoz készült Microsoft Defender szolgáltatáshoz, intune-szabályzatokat hozhat létre a Végponthoz készült Microsoft Defender beállításaival, majd üzembe helyezheti a szabályzatokat az eszközein.
További információt a következő témakörben talál:
- Végponthoz készült Microsoft Defender konfigurálása az Intune-ban
- Végponthoz készült Microsoft Defender üzembe helyezése macOS rendszeren a Microsoft Intune-nal
Beépített végpontbiztonság
✅Eszközök titkosítása FileVault lemeztitkosítással
A FileVault egy teljes lemezes titkosítási funkció, amely segít megelőzni a jogosulatlan hozzáférést. A FileVault beállításai be vannak építve az Intune beállításkatalógusába, és megfelelőségi szabályzatokként érhetők el.
Így konfigurálhatja a FileVaultot, ellenőrizheti a megfelelőséget, és üzembe helyezheti a szabályzatokat az eszközein.
A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:
- Eszközök > Eszközök kezelése > Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Teljes lemeztitkosítás
- Eszközök Eszközök > kezelése > Megfelelőség Szabályzat > létrehozása > Rendszerbiztonság > Az eszközön lévő adattárolás titkosításának megkövetelése
A FileVaultról az alábbiakban talál további információt:
- MacOS-eszközök titkosítása FileVault lemeztitkosítással az Intune-nal
- A FileVault használatával titkosíthatja az indítólemezt a Mac gépen (megnyitja az Apple webhelyét)
✅A tűzfal konfigurálása
A tűzfal egy alkalmazástűzfal, amely segít megelőzni a bejövő támadásokat. A tűzfalbeállítások be vannak építve az Intune beállításkatalógusába, és megfelelőségi szabályzatokként érhetők el.
Így konfigurálhatja a tűzfalat, ellenőrizheti a megfelelőséget, és üzembe helyezheti a szabályzatokat az eszközein.
A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:
Eszközök > Eszközök > kezelése Konfiguráció >Új szabályzatbeállítások> létrehozása > katalógus:
- Hálózati > tűzfal
- Biztonsági > biztonsági beállítások
Eszközök Eszközök > kezelése > Megfelelőség > Szabályzat létrehozása > Rendszerbiztonsági > tűzfal
A macOS tűzfallal kapcsolatos további információkért látogasson el a következőre:
- Tűzfalszabályzat a végpontbiztonsághoz az Intune-ban
- Tűzfalbeállítások módosítása Mac gépen (megnyitja az Apple webhelyét)
✅A Gatekeeper konfigurálása
A Gatekeeper gondoskodik arról, hogy csak megbízható szoftverek fussanak az eszközön. A Gatekeeper beállításai be vannak építve az Intune beállításkatalógusába, és megfelelőségi szabályzatokként érhetők el.
Így konfigurálhatja a Gatekeepert, ellenőrizheti a megfelelőséget, és üzembe helyezheti a szabályzatokat az eszközein.
A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:
Eszközök > Eszközök > kezelése Konfiguráció >Új házirendbeállítások> létrehozása > katalógus > Rendszerházirend > Rendszerházirend-vezérlés:
- Azonosított fejlesztő engedélyezése: Válassza az Igaz lehetőséget.
- Értékelés engedélyezése: Válassza az Igaz lehetőséget.
Eszközök > Eszközök > kezelése Konfiguráció >Új házirend-beállítások> létrehozása > katalógus > Rendszerházirend felügyelt rendszerházirendje>:
- Felülbírálás letiltása: Válassza az Igaz lehetőséget.
Eszközök Eszközök > kezelése > Megfelelőség > Szabályzat létrehozása > Rendszerbiztonsági > forgalomirányelő
További információ a Gatekeeperről:
- Beállítások konfigurálása a Microsoft Intune-ban a beállításkatalógus használatával
- Gatekeeper és futtatókörnyezet védelme macOS rendszeren (megnyitja az Apple webhelyét)
Szoftverfrissítések
✅Szoftverfrissítések konfigurálása
Az eszközökön a szoftverfrissítések kritikus fontosságúak, és meg kell határoznia a frissítések telepítésének módját. Van néhány lehetősége.
A beállítások konfigurálásakor kikényszeríti és korlátozza a viselkedést a Beállítások alkalmazás >Szoftverfrissítés csomópontjában az eszközön.
1. lehetőség – macOS 14.0 és újabb eszközök (ajánlott) – MacOS 14.0 és újabb eszközökön az Intune beállításkatalógusával hozzon létre egy felügyelt szoftverfrissítési szabályzatot. Ez a funkció az Apple deklaratív eszközkezelését (DDM) használja, és a macOS-eszközök frissítésének ajánlott megközelítése.
Az Intune Felügyeleti központban a következő beállításokat konfigurálhatja:
Eszközök Eszközök > kezelése > Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Deklaratív eszközfelügyeleti > szoftverfrissítés
Nem kötelező – Az Eszközök > kezelése > konfiguráció > Új házirend > beállításainak létrehozása > katalóguskorlátozások >beállításnál az alábbi beállításokkal késleltetheti, hogy a felhasználók mennyi ideig telepíthessék manuálisan a frissítéseket egy frissítés kiadása után. Ezek a beállítások az Apple MDM-beállításait használják:
- Kényszerített szoftverfrissítés – Kisebb operációsrendszer-késleltetett telepítés késleltetése: 0–30
- Kényszerített szoftverfrissítés – Fő operációs rendszer késleltetett telepítésének késleltetése: 0–30
- Kényszerített szoftverfrissítés – Nem operációsrendszer-késleltetett telepítés késleltetése: 0–30
A Beállításokkatalógus > Deklaratív eszközkezelési > szoftverfrissítési beállításai elsőbbséget élveznek a Beállításokkatalógus > korlátozásai beállításokkal szemben. További információ: A macOS frissítési szabályzat beállításainak elsőbbségi sorrendje.
2. lehetőség – macOS 13.0 és régebbi verziók (ajánlott) – MacOS 13.0 és régebbi eszközökön az Intune beállításkatalógusának és az Intune szoftverfrissítési szabályzatának kombinációját használhatja. Ezek a funkciók az Apple MDM-beállításait használják.
Pontosabban az Intune Felügyeleti központban a következő beállításokat konfigurálhatja:
Eszközök Frissítések > kezelése > Apple-frissítések > macOS-frissítési szabályzat
Eszközök Eszközök > kezelése > Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Szoftverfrissítés
A két házirendtípus egyes beállításai (Szoftverfrissítések és Beállítások katalógusa) átfedésben lehetnek. Ezért ügyeljen arra, hogy mit konfigurál az egyes szabályzatokban. A macOS frissítési házirendjének beállításai elsőbbséget élveznek a Beállításokkatalógus > szoftverfrissítési beállításaival szemben. További információ: A macOS frissítési szabályzat beállításainak elsőbbségi sorrendje.
3. lehetőség (nem ajánlott) – A végfelhasználók manuálisan telepítik a frissítéseket. Ez a megközelítés a végfelhasználókra támaszkodik, hogy eldöntsék, mikor telepítik a frissítéseket. Emellett telepíthetnek egy olyan frissítést, amelyet a szervezet nem hagy jóvá.
A macOS-frissítési stratégia megtervezéséről további információt a Szoftverfrissítések tervezési útmutatója felügyelt macOS-eszközökhöz a Microsoft Intune-ban című témakörben talál.
Vendégfiók
✅A vendégfiók letiltása
Tiltsa le a vendégfiókot a macOS-végpontokon. A vendégfiókot az Intune beállításkatalógusával tilthatja le:
- Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > katalógusának > létrehozása > Fiókok>:
- Vendégfiók letiltása: Válassza az Igaz lehetőséget.
Üresjárati időtúllépés
✅Üresjárati időtúllépés beállítása
Az Intune beállításkatalógusával szabályozhatja, hogy a macOS mennyi ideig kér jelszót a tétlenség után:
Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Rendszerkonfiguráció > képernyővédő:
- Jelszó kérése: Válassza az Igaz lehetőséget.
- Bejelentkezés a Windows üresjárati idejébe: Írjon be valami hasonlót
300
, amely 5 perc. - Jelszókésleltetés kérése: Írja be a következőhöz hasonlót
5
: . - Modul neve: Adja meg a képernyővédő modul nevét, például Flurry.
Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Felhasználói élmény > képernyővédő felhasználó:
- Üresjárati idő: Írja be a következőhöz hasonlót
300
: , ami 5 perc. - Modul neve: Adja meg a képernyővédő modul nevét, például Flurry.
- Üresjárati idő: Írja be a következőhöz hasonlót
Az asztali és laptopos eszközökhöz olyan beállítások érhetők el, amelyek energiatakarékossághoz nyújtanak segítséget:
Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Rendszerkonfiguráció > energiatakarékos:
- Asztali power > display – Alvó állapot időzítője
- Laptop akkumulátoros kijelző > – Alvó állapot időzítője
- Laptop tápkijelző > alvó üzemmód időzítője
Tipp
A képernyővédő modul nevének megkereséséhez állítsa be a képernyővédőt, nyissa meg a Terminál alkalmazást, és futtassa a következő parancsot:
defaults -currentHost read com.apple.screensaver
macOS Evaluation Utility
✅A macOS evaluation segédprogram használata
A Mac Evaluation Utility megerősíti, hogy a Mac rendelkezik az Apple által ajánlott konfigurációval és beállításokkal. A Mac Evaluation Utility eléréséhez jelentkezzen be az Apple Seed for IT szolgáltatásba (megnyitja az Apple webhelyének erőforrásait>).
4. fázis – Szervezetspecifikus testreszabások alkalmazása
Ebben a fázisban szervezetspecifikus beállításokat és alkalmazásokat alkalmaz, és áttekinti a helyszíni konfigurációt.
A fázis segítségével testre szabhatja a szervezetre jellemző funkciókat. Figyelje meg a macOS különböző összetevőit. A következő területekhez tartoznak szakaszok:
- Apps
- Eszközkonfiguráció a dockhoz, értesítések, beállításfájlok & egyéni szabályzatok és háttérkép
- Eszköz neve
- Tanúsítványok
- Wi-Fi
Apps
✅További alkalmazások hozzáadása az Intune-hoz
Az 1. fázis – A környezet beállítása szakaszban hozzáadott néhány alkalmazást, amelyekkel az eszközöknek rendelkezniük kell. Ebben a lépésben olyan alkalmazásokat ad hozzá, amelyek javíthatják a végfelhasználói élményt és a hatékonyságot.
Üzletági (LOB) alkalmazások
Az Intune-ban a következő lehetőségekkel helyezhet üzembe üzletági alkalmazásokat:
- Adja hozzá az alkalmazáscsomagot (
.pkg
) az Intune-hoz, és használjon rendszerhéjszkriptet az alkalmazás üzembe helyezéséhez. Ez a funkció az Intune felügyeleti bővítményt használja. Hasznos adat nélkül is üzembe helyezhet aláíratlan csomagokat és csomagokat, és támogatja az elő- és utószkripteket. - Adja hozzá az alkalmazás lemezképét (
.dmg
) az Intune-hoz, és az Intune-szabályzat használatával telepítse az alkalmazást - Az Apple mennyiségi vásárlási csomagjával (VPP) licencelt alkalmazások és az Intune-szabályzat használata az alkalmazás üzembe helyezéséhez
- Adja hozzá az alkalmazáscsomagot (
.pkg
) az Intune-hoz, és az Intune-szabályzat használatával telepítse az alkalmazást
- Adja hozzá az alkalmazáscsomagot (
Microsoft Edge
A Microsoft Edge-et a beépített központi telepítési típussal telepítheti macOS-végpontokra. További információt a Microsoft Edge hozzáadása macOS-eszközökhöz a Microsoft Intune használatával című témakörben talál.
A Microsoft Edge beállításait az Intune beállításkatalógusával is konfigurálhatja:
- Eszközök Eszközök > kezelése > Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Microsoft Edge
Microsoft OneDrive
Az 1. fázis – A környezet beállítása szakaszban microsoft 365-alkalmazásokat adott hozzá, amelyek a Microsoft OneDrive-ot is tartalmazzák. Tehát ha korábban már felvette a Microsoft OneDrive-ot, akkor nem kell újból hozzáadnia. Ha korábban még nem adta hozzá, akkor külön is üzembe helyezheti a Microsoft OneDrive-ot egy letöltött alkalmazáscsomag (
.pkg
) használatával.A Microsoft OneDrive beállításait az Intune beállításkatalógusával is konfigurálhatja. A következő beállítások vonatkozhatnak például a szervezetre:
Eszközök > Eszközök > kezelése Konfiguráció > Új házirendbeállítások > létrehozása > katalógus > Microsoft Office > Microsoft OneDrive:
- Automatikusan és csendesen engedélyezze a Mappa biztonsági mentése funkciót (Ismert mappa áthelyezése): Adja meg a <Microsoft Entra-bérlőazonosítót>.
- Igény szerinti fájlok engedélyezése: Válassza az Igaz lehetőséget.
- Megnyitás bejelentkezéskor: Válassza az Igaz lehetőséget.
Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Alkalmazáskezelés > NS bővítménykezelés:
- Engedélyezett bővítmények: Írja be a következőt
com.microsoft.OneDrive.FinderSync
: .
Ha a OneDrive VPP-verzióját telepíti, írja be a következőt:
com.microsoft.OneDrive-Mac.FinderSync
.A Microsoft OneDrive konfigurálása során a rendszer a Finder Sync bővítmény engedélyezésével kéri a végfelhasználókat a szinkronizálási ikonok engedélyezésére. Van egy példaszkript, amely konfigurálhatja a finder bővítményt a felhasználó számára. A szkripttel kapcsolatos további információkért tekintse meg a GitHub – Microsoft Intune Shell-mintákat.
- Engedélyezett bővítmények: Írja be a következőt
Eszközkonfiguráció
A beállításkatalógus leegyszerűsíti a szabályzatok létrehozását, és az összes elérhető beállítás megjelenítését. Az útmutató különböző fázisaiban és lépéseiben az Intune beállításkatalógusával konfigurálhatja az eszközfunkciókat és -beállításokat.
A beállításkatalógusban például a következő szolgáltatásterületeket konfiguráltuk:
- A Microsoft Edge böngésző beállításai
- Microsoft AutoUpdate
- Microsoft Office
- Szoftverfrissítések
- Felhasználói élmény
A beállításkatalógussal számos eszközbeállítás konfigurálható, például:
✅Dokk
- Eszközök > Eszközök kezelése > Konfiguráció > Új házirend-beállítások > létrehozása > katalógus Felhasználói élmény > dokkoló >
A GitHub – Microsoft Intune Dock Shell-minta vagy a partner parancssori eszközei, például a GitHub – DockUtil használatával is hozzáadhat vagy eltávolíthat elemeket a dockból.
✅Értesítési kérések
Eszközök Eszközök > kezelése > Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Felhasználói felület > értesítési > beállításai
Minden olyan alkalmazás csomagazonosítóját meg kell adnia, amelynél szabályozni szeretné az értesítéseket.
További információt az Értesítések MDM hasznosadat-beállításai az Apple-eszközökhöz című témakörben talál (megnyitja az Apple webhelyét).
✅Beállításfájlok és egyéni szabályzatok
A beállításfájlok határozzák meg az előre konfigurálni kívánt alkalmazástulajdonságokat vagy -beállításokat. Az Intune beállításkatalógusában számos beépített beállítás található az alkalmazásokhoz, például a Microsoft Edge-hez és a Microsoft Office-hoz. Ezért előfordulhat, hogy nincs szüksége egy preferenciafájlra.
A Microsoft azt javasolja, hogy használja a beállításkatalógus beépített beállításait. Ha a beállításkatalógus nem rendelkezik a szükséges beállításokkal, adjon hozzá egy beállításfájlt az Intune-hoz.
További információ: Tulajdonságlistafájl hozzáadása macOS-eszközökhöz a Microsoft Intune-nal
Az egyéni profilok úgy lettek kialakítva, hogy olyan eszközbeállításokat és szolgáltatásokat adjanak hozzá, amelyek nincsenek beépítve az Intune-ba.
A Microsoft azt javasolja, hogy használja a beállításkatalógus beépített beállításait. Ha a beállításkatalógus nem rendelkezik a szükséges beállításokkal, használjon egyéni profilt.
További információt az egyéni profilok című témakörben talál.
✅Tapéta
A háttérképek macOS rendszeren a mintaszkript és a beállításkatalógus kombinációjával kényszeríthetők:
- Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Felhasználói élmény > asztal:
- Kép elérési útjának felülbírálása: "Adja meg a <kép> elérési útját".
A képfájlnak léteznie kell a macOS-végponton. Ha egy képet egy webes helyről szeretne letölteni, használhat egy mintaszkriptet a GitHub – Microsoft Intune tapétafelület-mintában. Egy alkalmazáscsomag-eszközzel is másolhat egy fájlt, majd üzembe helyezheti azt a nem felügyelt PKG üzembehelyezési funkcióval.
Eszköz neve
✅Eszközök átnevezése
Rendszerhéjszkript használatával átnevezheti az eszközöket úgy, hogy konkrét információkat tartalmazzon, például az eszköz sorozatszámát az ország/régió kódjával kombinálva.
További információ: GitHub – Microsoft Shell-szkriptek Mac-eszközök átnevezéséhez.
Tanúsítványok
✅Tanúsítványok hozzáadása tanúsítványalapú hitelesítéshez
Ha a jelszó nélküli használathoz tanúsítványalapú hitelesítést használ, az Intune-ból tanúsítványokat vehet fel és helyezhet üzembe.
További információ: A Microsoft Intune-ban elérhető tanúsítványtípusok.
Wi-Fi
✅Wi-Fi kapcsolat előzetes konfigurálása
Az Intune használatával létrehozhat egy Wi-Fi kapcsolatot, amely tartalmazza a hálózati adatokat, majd üzembe helyezheti a kapcsolatot a macOS-eszközökön. Ha az eszközei Wi-Fi-kapcsolaton keresztül csatlakoznak a szervezethez, hozzon létre egy Wi-Fi kapcsolati szabályzatot.
További információ: Wi-Fi beállításainak konfigurálása macOS-eszközökhöz a Microsoft Intune-ban.
5. fázis – Gyorsítótárazás (nem kötelező)
Vannak olyan gyorsítótárazási funkciók, amelyekkel csökkentheti a hálózati sávszélességet.
✅Tartalom-gyorsítótárazás használata
Ha sok macOS- vagy iOS-/iPadOS-eszközzel rendelkezik a hálózaton, telepítheti az Apple Content Cache-t az internetes sávszélesség csökkentése érdekében. Az Apple Content Cache képes gyorsítótárazza az Apple-szolgáltatásokon, például a szoftverfrissítéseken és a VPP-alkalmazásokon tárolt tartalmakat.
További információ: Bevezetés a tartalom-gyorsítótárazásba (megnyitja az Apple webhelyét).
✅Helyi gyorsítótár automatikus feltöltése
A macOS-en futó Számos Microsoft-alkalmazás frissül a Microsoft AutoUpdate alkalmazással. Ez az alkalmazás egy másik URL-címre hivatkozhat a tartalomhoz.
A GitHub – Microsoft AutoUpdate Cache-rendszergazda segítségével konfigurálhat egy helyi gyorsítótárat a Microsoft AutoUpdate szolgáltatáshoz.
További információt a GitHub – Microsoft Automatikus gyorsítótár-rendszergazda című témakörben talál.
6. fázis – A fennmaradó macOS-végpontok regisztrálása
Eddig létrehozta a konfigurációt, és hozzáadott alkalmazásokat. Most már készen áll arra, hogy az összes macOS-végpontot automatikus eszközregisztrációs szabályzattal regisztrálja a Microsoft Intune-nal.
✅Az automatikus eszközregisztrációs szabályzat létrehozása
A regisztrációs szabályzat hozzá van rendelve az új csoporthoz. Amikor az eszközök megkapják a regisztrációs szabályzatot, elindul a regisztrációs folyamat, és a létrehozott alkalmazás-& konfigurációs szabályzatok lesznek alkalmazva.
Az automatikus eszközregisztrációról és az első lépésekről a Mac gépek automatikus regisztrálása az Apple Business Managerrel vagy az Apple School Managerrel című témakörben talál további információt.
7. fázis – Támogatás, karbantartás és következő lépések
Az utolsó fázis a macOS-eszközök támogatása és karbantartása. Ez a fázis magában foglalja az Intune funkcióinak használatát, például a távoli súgót, az Apple-tanúsítványok monitorozását és egyebeket.
Az Intune a macOS-eszközöket az operációs rendszer beépített MDM-képességei és az Intune Management Extension (IME) ügynök használatával kezeli.
Ez a két összetevő külön funkciókat kínál, és különböző csatornákon keresztül kommunikál a macOS-eszközzel. A regisztráció az Apple Business Manageren keresztül történik, az MDM vezénylése az Apple Push Notification Service-ben történik, az IME pedig közvetlenül kommunikál az Intune-nal.
Az Intune felügyeleti bővítményről további információt a Microsoft Intune macOS-hez készült felügyeleti ügynökének ismertetése című témakörben talál.
macOS-regisztráció karbantartása
✅Apple-tanúsítványok megújítása és ADE-jogkivonatok szinkronizálása
Ahhoz, hogy a Mac-eszközök fenntarthassák kapcsolatukat az Intune-lal, és folytathassák a regisztrációt, több fontos területet is be kell jelentkeznie a konzolon, és szükség szerint el kell végeznie a szükséges lépéseket:
Az Apple Push Notification Service tanúsítványának lejárata
Az Apple Push Notification Service-tanúsítványát évente meg kell újítani. A tanúsítvány lejárata után az Intune nem tudja kezelni az ezzel a tanúsítvánnyal regisztrált eszközöket. Minden évben újítsa meg ezt a tanúsítványt.
További információ: Apple MDM Push-tanúsítvány lekérése az Intune-hoz.
Az Apple automatikus eszközregisztrációs tanúsítványának lejárata
Amikor kapcsolatot állít be az Apple Business Manager (vagy az Apple School Manager) és az Intune között, tanúsítványt használ. Ezt a tanúsítványt évente meg kell újítani. Ha ez a tanúsítvány nem újul meg, az Apple Business Manager (vagy az Apple School Manager) módosításai nem szinkronizálhatók az Intune-ra.
További információ: MacOS-eszközök regisztrálása – Apple Business Manager vagy Apple School Manager.
Az Apple automatikus eszközregisztráció szinkronizálási állapota
Az Apple felfüggeszti az ADE-tokenek szinkronizálását, ha az Apple Business Managerben (vagy az Apple School Managerben) megváltoznak a használati feltételek. A fő operációsrendszer-kiadás után változhatnak, de ez bármikor megtörténhet.
Figyelnie kell a szinkronizálási állapotot minden olyan probléma esetén, amely beavatkozást igényel.
További információ: Felügyelt eszközök szinkronizálása.
Távoli súgó
✅Távoli súgó engedélyezése
A távoli súgó egy felhőalapú megoldás a szerepköralapú hozzáférés-vezérlést használó biztonságos ügyfélszolgálati kapcsolatokhoz. A kapcsolattal a támogatási személyzet távoli kapcsolatot létesíthet a végfelhasználói eszközökkel.
További információt a következő témakörben talál:
- Távoli súgó használata macOS rendszeren a hitelesített felhasználók segítéséhez
- Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal
Egyéni attribútumok
✅Jelentési adatok lekérése egyéni tulajdonságok használatával
Az Intune-ban rendszerhéjszkriptekkel gyűjthet egyéni tulajdonságokat a felügyelt macOS-eszközökről. Ez a funkció kiválóan használható egyéni jelentéskészítési információk lekérésére.
További információt a Rendszerhéjszkriptek használata macOS-eszközökön a Microsoft Intune-ban című témakörben talál.
Az Apple Business Manager konfigurálása automatikus felhasználóátadáshoz
✅Entra-felhasználói fiókok használata ABM-felügyelethez és felügyelt Apple-azonosítókhoz
A Microsoft Entra-azonosító konfigurálható úgy, hogy automatikusan kiépítse és megszüntetje a felhasználókat az Apple Business Manager (ABM) számára a Microsoft Entra kiépítési szolgáltatással.
További információ: Oktatóanyag: Az Apple Business Manager konfigurálása automatikus felhasználóátadáshoz.
Kapcsolódó cikkek
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: