Megosztás a következőn keresztül:

Teljes körű útmutató a macOS-végpontok használatbavételéhez

  • Cikk

A Microsoft Intune használatával kezelheti és biztonságossá teheti a szervezet vagy az iskola tulajdonában lévő macOS-végpontokat. Amikor Ön vagy a szervezete felügyeli az eszközöket, üzembe helyezheti a végfelhasználók számára szükséges alkalmazásokat, konfigurálhatja a kívánt eszközfunkciókat, és olyan szabályzatokat használhat, amelyek segítenek megvédeni az eszközöket & szervezetet a fenyegetésektől.

Ez a cikk a következőkre vonatkozik:

  • a szervezet tulajdonában lévő macOS-eszközök

Ez a cikk teljes körű útmutató a macOS-végpontok használatának megkezdéséhez. A következő kérdésekre összpontosít:

  • Az Apple Business Managerrel vagy az Apple School Managerrel felügyelt végpontok
  • Az Intune-ban felhasználói affinitással történő automatikus eszközregisztrációval regisztrált eszközök. A felhasználói affinitást általában egy elsődleges felhasználóval rendelkező eszközökhöz használják.

Ez a cikk végigvezeti a macOS-végpontok Microsoft Intune-beli létrehozásának és kezelésének teljes körű lépésein.

Az útmutató használata

Ez az útmutató hét fázisból áll. Minden fázis több lépésből áll, amelyek segítenek felépíteni a macOS-végpont konfigurációját és üzembe helyezését. Minden fázis az előző fázisra épül.

Diagram, amely összefoglalja a macOS-eszközök előkészítésének összes fázisát, beleértve a tesztelést, a regisztrációt, a biztonságossá tételt, a szabályzatok üzembe helyezését és az eszközök Microsoft Intune-beli támogatását

Végezze el a fázisokat és a lépéseket sorrendben. A fázisok a következők:

Az útmutató végén egy macOS-végpont van regisztrálva az Intune-ban, és készen áll az ellenőrzés megkezdésére a forgatókönyvekben.

1. fázis – A környezet beállítása

Az első macOS-végpont létrehozása előtt konfigurálnia kell néhány követelményt és konfigurációs funkciót.

Ebben a fázisban ellenőrzi a követelményeket, integrálja az Intune-t az Apple Business Managerrel (vagy az Apple School Managerrel), konfigurál néhány funkciót, és hozzáad néhány alkalmazást az Intune-hoz.

Diagram, amely felsorolja a környezet beállításának lépéseit a MacOS-eszközök Microsoft Intune-ban való támogatásához, beleértve a netowrk-követelményeket, a tanúsítványokat, az egyszeri bejelentkezés konfigurálását és egyebeket

1. lépés – Hálózati követelmények

A hálózat beállítása

A macOS-végpont sikeres előkészítéséhez és üzembe helyezéséhez a végpontnak több nyilvános internetszolgáltatáshoz is hozzá kell férnie.

  • Indítsa el a tesztelést egy nyitott hálózaton. Vagy a szervezeti hálózaton biztosítson hozzáférést a Microsoft Intune hálózati végpontjainál felsorolt összes végponthoz. Ezután a szervezeti hálózat használatával tesztelheti a konfigurációt.

  • Ha a vezeték nélküli hálózat tanúsítványokat igényel, a tesztelés során kezdhet Ethernet-kapcsolattal. Az Ethernet-kapcsolat egy kis időt biztosít az eszközök számára szükséges vezeték nélküli kapcsolatok legjobb megközelítésének meghatározására.

Figyelem!

Az SSL-ellenőrzés a Microsoft- és Apple-szolgáltatásokhoz való hozzáférés meghiúsulását okozhatja. Az Apple követelményeiről az Apple-termékek nagyvállalati hálózatokon való használatát ismertető cikkben talál további információt.

2. lépés – Regisztráció és licencelés

Új csoport létrehozása, regisztrációs korlátozások konfigurálása és licencek hozzárendelése

Ahhoz, hogy a végpontok készen álljon a regisztrációra, meg kell győződnie arról, hogy a megfelelő végpontok vannak megcélzva, és hogy a végpontok licencelése megfelelő.

Kifejezetten:

  • Új csoport létrehozása

    Hozzon létre egy új Microsoft Entra-tesztcsoportot, például az Intune MDM-felhasználókat. Ezután adja hozzá a tesztfelhasználói fiókokat ehhez a csoporthoz. Ha korlátozni szeretné, hogy ki regisztrálhat eszközöket a konfiguráció beállítása során, a konfigurációkat erre a csoportra célozhatja.

    Microsoft Entra-csoport létrehozásához használja az Intune Felügyeleti központot. Amikor létrehoz egy csoportot az Intune-ban, egy Entra-csoportot hoz létre. Nem látja az Entra védjegyezést, de ezt használja.

    További információ: Csoport létrehozása felhasználók kezeléséhez az Intune-ban.

  • Regisztrációs korlátozások

    A regisztrációs korlátozások lehetővé teszik az Intune-felügyeletbe regisztrálható eszközök típusainak szabályozását. Ahhoz, hogy ez az útmutató sikeres legyen, a regisztrációs korlátozásban győződjön meg arról, hogy a macOS (MDM) regisztrációja engedélyezve van, ez az alapértelmezett konfiguráció. Rendelje hozzá ezt a regisztrációs korlátozást a létrehozott új csoporthoz.

    Ha szükséges/szükséges, megakadályozhatja bizonyos eszközök regisztrálását is.

    A regisztrációs korlátozások konfigurálásáról további információt a Regisztrációs korlátozások beállítása a Microsoft Intune-ban című témakörben talál.

  • Licencelés

    A macOS-eszközöket regisztráló felhasználóknak Microsoft Intune- vagy Microsoft Intune for Education-licencre van szükségük. A licencek hozzárendeléséhez lépjen a Microsoft Intune-licencek hozzárendelése című témakörre. Rendelje hozzá a licenceket a létrehozott tesztfiókokhoz.

    Megjegyzés:

    A licenccsomagok általában mindkét licenctípust tartalmazzák, például a Microsoft 365 E3 (vagy A3) és újabb verziókat. További információt a Microsoft 365 Nagyvállalati csomagok összehasonlítása című témakörben talál.

3. lépés – Az Apple MDM-tanúsítvány hozzáadása

Leküldéses tanúsítvány hozzáadása felügyelt Apple ID azonosítóval

  • A macOS-eszközök kezeléséhez az Apple megköveteli, hogy az Intune-bérlőT MDM push-tanúsítvánnyal konfigurálja. Ha jelenleg ugyanabban a bérlőben kezeli az iOS/iPadOS-eszközöket, akkor ez a lépés kész.

  • Győződjön meg arról, hogy felügyelt Apple ID azonosítót használ az Apple Business Manager (vagy az Apple School Manager) példánnával.

    Ne használjon személyes Apple ID azonosítót. Az Apple Push Notification Service-tanúsítvány kezelése kritikus fontosságú az eszközfelügyeleti megoldás élettartama során. A személyes Apple ID azonosítóval való hozzáférés elérhetetlenné válhat, mivel a személyzet idővel változik.

Az Apple MDM push-tanúsítvány konfigurálásáról az Apple MDM Push-tanúsítvány lekérése az Intune-hoz című témakörben talál további információt.

4. lépés – Az Apple automatikus eszközregisztrációs tokenjének hozzáadása

Apple-jogkivonat csatolása automatizált eszközregisztrációhoz

Az Apple Business Manageren (vagy az Apple School Manageren) keresztül regisztrált eszközök kezeléséhez be kell állítania egy MDM-jogkivonatot, és össze kell kapcsolnia a tokent az Intune-nal.

Erre a jogkivonatra az Intune-beli automatikus eszközregisztrációhoz (ADE) van szükség. A jogkivonat:

  • Lehetővé teszi, hogy az Intune szinkronizálja az ADE-eszközadatokat az Apple Business Manager- (vagy Apple School Manager-) fiókjából.
  • Lehetővé teszi, hogy az Intune feltöltse a regisztrációs profilokat az Apple-be.
  • Lehetővé teszi, hogy az Intune eszközöket rendeljen ezekhez a profilokhoz.

Ha jelenleg ugyanabban a bérlőben kezeli az iOS/iPadOS-eszközöket az ADE használatával, akkor az alábbi lépések némelyike elvégezhető.

Az Apple Business Manager Intune-nal való konfigurálásáról további információt a MacOS-eszközök regisztrálása – Apple Business Manager vagy Apple School Manager című témakörben talál.

Az Apple Business Manager (vagy az Apple School Manager) Intune-nal való konfigurálásának magas szintű lépései a következők:

  1. Az Intune csatlakoztatása az Apple Business Managerhez (vagy az Apple School Managerhez).
  2. Az Intune-ban hozzon létre ADE-profilokat az Apple Business Manager-jogkivonathoz.
  3. Az Apple Business Managerben rendeljen eszközöket az Intune MDM-hez.
  4. Az Intune-ban rendelje hozzá az ADE-profilokat a macOS-eszközökhöz.

5. lépés – Céleszközök

Meghatározott csoportok megcélzása felhasználói csoportokkal, Intune-szűrőkkel vagy dinamikus csoportokkal

A felhasználói affinitású macOS-eszközök felhasználói vagy eszközcsoportokat használó profilokhoz és alkalmazásokhoz célozhatók. A szervezetek kétféleképpen célozhatók meg dinamikusan az eszközökkel:

  • 1. lehetőség – Az összes olyan eszközcsoport, amely hozzárendelési szűrővel rendelkezik az enrollmentProfileName elemen

    A regisztráció után azonnal alkalmazandó kritikus alkalmazások és szabályzatok (biztonsági beállítások, korlátozások, Céges portál alkalmazás) esetében a szabályzatokat hozzárendelheti a beépített Intune Minden eszköz csoporthoz. Hozzon létre egy hozzárendelési szűrőt a 4. lépésben létrehozott regisztrációs profillal – Adja hozzá az Apple automatizált eszközregisztrációs tokent.

    A Minden eszköz csoportra irányuló szabályzatok és alkalmazások a regisztráció után gyorsabban érvényesülnek, mint a dinamikus csoportok. Nem minden konfigurációs profil (például macOS-szkript) támogatja a szűrőket.

    A hozzárendelési szűrőkkel kapcsolatos további információkért tekintse meg a Szűrők létrehozása a Microsoft Intune-ban című témakört.

  • 2. lehetőség – A Microsoft Entra dinamikus csoportja az enrollmentProfileName alapján

    Ha az útmutatóban szereplő konfigurációkat az Apple Business Manageren keresztül importált teszteszközökre szeretné korlátozni, hozzon létre egy dinamikus Microsoft Entra-csoportot. Ezután az összes konfigurációt és alkalmazást erre a csoportra célozhatja.

    1. Nyissa meg a Microsoft Intune Felügyeleti központot.

    2. Válassza a Csoportok>új csoport lehetőséget, és adja meg a következő adatokat:

      • Csoport típusa: Válassza a Biztonság lehetőséget.
      • Csoport neve: Adja meg a macOS-végpontokat.
      • Tagság típusa: Válassza a Dinamikus eszköz lehetőséget.

    3. A Dinamikus eszköztagok esetében válassza a Dinamikus lekérdezés hozzáadása lehetőséget, és adja meg a következő tulajdonságokat:

      • Tulajdonság: Válassza az enrollmentProfileName lehetőséget.
      • Operátor: Válassza az egyenlő lehetőséget.
      • Érték: Adja meg a regisztrációs profil nevét.

    4. Válassza az OK>Mentés>létrehozása lehetőséget.

    Alkalmazások és szabályzatok létrehozásakor a szabályzatokat erre az új dinamikus Microsoft Entra-csoportra célozhatja.

    Megjegyzés:

    A módosítások után a dinamikus csoportok feltöltése több percet is igénybe vehet. Nagy szervezetekben ez hosszabb időt is igénybe vehet. Új csoport létrehozása után várjon néhány percet, és ellenőrizze, hogy az eszköz tagja-e a csoportnak.

    További információ az eszközök dinamikus csoportjairól: Dinamikus tagsági szabályok csoportokhoz a Microsoft Entra-azonosítóban: Eszközök szabályai.

6. lépés – Kezdeti beállítások és egyszeri bejelentkezés (SSO) konfigurálása

Az első futtatás élményének optimalizálása

Az Intune használatával optimalizálhatja az első futtatás élményét az ADE regisztrációs profil beépített beállításaival. A regisztrációs profil létrehozásakor a következőt teheti:

  • Konfigurálja előre a végfelhasználói adatokat a Beállítási asszisztensben.
  • Használja az Await végső konfigurációs funkcióját. Ez a funkció megakadályozza, hogy a végfelhasználók hozzáférjenek a korlátozott tartalmakhoz, vagy módosítják a beállításokat az Intune eszközkonfigurációs szabályzatainak alkalmazásáig.

A funkcióval és az ADE-regisztrációval kapcsolatos további információkért olvassa el a Mac gépek automatikus regisztrálása az Apple Business Managerrel vagy az Apple School Managerrel című témakört.

Az alkalmazás bejelentkezési kéréseinek csökkentése egyszeri bejelentkezéssel

Az Intune-ban olyan beállításokat konfigurálhat, amelyek csökkentik a végfelhasználók által az alkalmazások használatakor kapott bejelentkezési kérések számát, beleértve a Microsoft 365-alkalmazásokat is. A konfigurációnak két része van:

  • 1. rész – A Microsoft Enterprise SSO beépülő modul használata egyszeri bejelentkezés (SSO) biztosítására olyan alkalmazások és webhelyek számára, amelyek a Hitelesítéshez Microsoft Entra-azonosítót használnak, beleértve a Microsoft 365-alkalmazásokat is.

    Kétféleképpen konfigurálható a Mac SSO – Enterprise SSO beépülő modul és a Platform SSO.

    Az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul egyszeri bejelentkezést (SSO) biztosít a macOS-en futó Microsoft Entra-fiókokhoz minden olyan alkalmazáshoz, amely támogatja az Apple nagyvállalati egyszeri bejelentkezési funkcióját.

    A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:

    • Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállításkatalógus >> létrehozása > Hitelesítés > Bővíthető egyszeri bejelentkezés (SSO): Adja hozzá és konfigurálja a következő beállításokat:

      Name (Név) Konfiguráció
      Bővítmény azonosítója com.microsoft.CompanyPortalMac.ssoextension
      Csapatazonosító UBF8T346G9
      Típus Átirányít
      URL-címek https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • Konfigurálja a következő választható beállításokat:

      Kulcs Típus Érték
      AppPrefixAllowList Karakterlánc com.apple.,com.microsoft
      browser_sso_interaction_enabled Egész szám 1
      disable_explicit_app_prompt Egész szám 1

    A nagyvállalati egyszeri bejelentkezés beépülő modullal kapcsolatos további információkért, beleértve a szabályzat létrehozását, olvassa el a MacOS Enterprise SSO beépülő modul konfigurálása az Intune-nal című témakört.

  • 2. rész – Az Intune beállításkatalógusával konfigurálhatja a következő beállításokat, amelyek csökkentik a bejelentkezési kéréseket, beleértve a Microsoft AutoUpdate (MAU) és a Microsoft Office szolgáltatást.

    • Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállításkatalógus >> létrehozása > Microsoft AutoUpdate (MAU): Adja hozzá és konfigurálja a következő beállításokat:

      • Adatgyűjtési szabályzat automatikus nyugtázása: Válassza a Nyugtázás – kötelező és nem kötelező adatok küldése lehetőséget.

        Erről a beállításról további információt A Mac Office adatvédelmi vezérlőinek kezelése beállítások használatával című témakörben talál.

      • Automatikus frissítés engedélyezése: Válassza az Igaz lehetőséget.

        Ez a beállítás bekapcsolja a Microsoft AutoUpdate beállítást. A Microsoft 365-alkalmazásokat és a Céges portált frissítő Microsoft AutoUpdate szolgáltatásról további információt a Frissítések telepítése Mac Office-hoz című témakörben talál.

    • Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállításkatalógus >> létrehozása > Microsoft Office > Microsoft Office: Adja hozzá és konfigurálja a következő beállításokat:

      • Office aktiválási e-mail-cím: Adja meg a következőt {{userprincipalname}}: .
      • Automatikus bejelentkezés engedélyezése: Válassza az Igaz lehetőséget.

      Ezek a beállítások leegyszerűsítik a bejelentkezési folyamatot az Office-appok első megnyitásakor. Ezekről a beállításokról további információt a Csomagszintű beállítások megadása a Mac Office-hoz című témakörben talál.

    A beállításkatalógusról, beleértve a szabályzatok létrehozását is, a Beállítások konfigurálása a Microsoft Intune-ban a beállításkatalógus használatával című témakörben talál további információt.

7. lépés – Kötelező alkalmazásokat hozzáadni és hozzárendelni

Alkalmazások minimális készletének hozzáadása az Intune-hoz

Előfordulhat, hogy a szervezetnek vannak olyan alkalmazásai, amelyekkel a macOS-eszközöknek rendelkezniük kell. A szervezet megkövetelheti, hogy ezek az alkalmazások az Intune által felügyelt összes eszközre telepítve legyenek.

Ebben a lépésben vegye fel ezeket az alkalmazásokat az Intune-ba, és rendelje őket a csoporthoz.

Néhány kötelező alkalmazás:

2. fázis – Tesztvégpont regisztrálása

A következő fázis egy teszt macOS-eszközt regisztrál az Intune-ban. Ebben a fázisban megismerkedhet a kezdeti lépésekkel, hogy készen álljon, amikor ideje regisztrálni az összes macOS-eszközt az Intune-ban.

Egy diagram, amely felsorolja a macOS-teszteszközök Microsoft Intune-beli regisztrálásának lépéseit, beleértve az eszközök regisztrálását, a profilok hozzárendelését és egyebeket

Az első szervezet macOS-végpontjának regisztrálásához győződjön meg arról, hogy a macOS-eszköz a következő:

Az első macOS-végpont Intune-beli regisztrálásának magas szintű lépései a következők:

  1. Törölje vagy állítsa alaphelyzetbe a macOS-végpontot. Erre a lépésre a meglévő eszközök esetében van szükség. Ha olyan macOS-eszközt regisztrál, amely már be van állítva, akkor az eszköz személyes eszköznek minősül. Ezért törölnie vagy alaphelyzetbe kell állítania az eszközt, mielőtt regisztrálhatja az Intune-ban.

    Nem beállított új eszközök esetén kihagyhatja ezt a lépést. Ha nem biztos abban, hogy az eszköz be van-e állítva, állítsa alaphelyzetbe az eszközt.

  2. Tekintse át a Beállítási asszisztenst.

  3. Nyissa meg a Céges portál alkalmazást, és jelentkezzen be a szervezeti fiókjával (user@contoso.com).

Amikor a felhasználó bejelentkezik, a regisztrációs szabályzat érvényes lesz. Amikor befejeződik, a macOS-végpont regisztrálva lesz az Intune-ban.

3. fázis – A macOS-végpontok védelme

Ebben a fázisban olyan biztonsági beállításokat és szolgáltatásokat konfigurál, amelyek segítenek megvédeni a végpontokat, beleértve az eszközök naprakészen tartását a frissítésekkel.

Diagram a macOS-eszközök megfelelőségi szabályzatokkal, szoftverfrissítésekkel és egyebekkel történő védelmének lépéseiről a Microsoft Intune-ban

Ez a szakasz a Microsoft Intune különböző végpontbiztonsági funkcióival foglalkozik, többek között az alábbiakkal:

  • Megfelelőségi és feltételes hozzáférési szabályzatok
  • Végponthoz készült Microsoft Defender
  • FileVault, Firewall és Gatekeeper végpontbiztonság
  • Szoftverfrissítések
  • Vendégfiók
  • Üresjárati bejelentkezés
  • Mac Evaluation Utility

Megfelelőségi és feltételes hozzáférési szabályzatok

Megfelelőségi szabályzatok létrehozása és a feltételes hozzáférésnek való megfelelés kényszerítése

  • A megfelelőségi szabályzatok ellenőrzik a konfigurált eszközbeállításokat, és kijavíthatnak néhány nem megfelelő beállítást. Létrehozhat például olyan megfelelőségi szabályzatokat, amelyek többek között ellenőrzik a jelszó összetettségét, a feltört állapotot, a fenyegetési szinteket, a regisztrációs állapotot.

    Ha vannak olyan konfigurációs beállítások, amelyek ütköznek a megfelelőségi szabályzatok és más szabályzatok között, akkor a megfelelőségi szabályzat élvez elsőbbséget. További információ: Ütköző megfelelőségi és eszközkonfigurációs szabályzatok.

  • A feltételes hozzáféréssel kikényszeríthetők a létrehozott megfelelőségi szabályzatok. Együttes használata esetén a végfelhasználóknak regisztrálniuk kell az eszközeiket, és meg kell felelniük egy minimális biztonsági szabványnak, mielőtt hozzáférnek a szervezeti erőforrásokhoz. Ha egy eszköz nem megfelelő, letilthatja az erőforrásokhoz, például az e-mailekhez való hozzáférést, vagy megkövetelheti a felhasználótól, hogy regisztrálja az eszközét, és javítsa ki a problémát.

Megjegyzés:

Annak ellenőrzéséhez, hogy a megfelelő eszközvezérlőket érvényesíti-e, működjön együtt az Entra feltételes hozzáférési szabályzatait kezelő csapattal.

Megfelelőségi és feltételes hozzáférési szabályzatokat az Intune Felügyeleti központban hozhat létre.

További információt a következő témakörben talál:

Végponthoz készült Microsoft Defender

A Végponthoz készült Microsoft Defender használata veszélyforrások elleni védelemhez

A Végponthoz készült Microsoft Defender egy mobilfenyegetés-védelmi megoldás, amely segít megvédeni az eszközöket a biztonsági fenyegetésektől.

Az Intune-ban csatlakozhat a Végponthoz készült Microsoft Defender szolgáltatáshoz, intune-szabályzatokat hozhat létre a Végponthoz készült Microsoft Defender beállításaival, majd üzembe helyezheti a szabályzatokat az eszközein.

További információt a következő témakörben talál:

Beépített végpontbiztonság

Eszközök titkosítása FileVault lemeztitkosítással

A FileVault egy teljes lemezes titkosítási funkció, amely segít megelőzni a jogosulatlan hozzáférést. A FileVault beállításai be vannak építve az Intune beállításkatalógusába, és megfelelőségi szabályzatokként érhetők el.

Így konfigurálhatja a FileVaultot, ellenőrizheti a megfelelőséget, és üzembe helyezheti a szabályzatokat az eszközein.

A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:

  • Eszközök > Eszközök kezelése > Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Teljes lemeztitkosítás
  • Eszközök Eszközök > kezelése > Megfelelőség Szabályzat > létrehozása > Rendszerbiztonság > Az eszközön lévő adattárolás titkosításának megkövetelése

A FileVaultról az alábbiakban talál további információt:

A tűzfal konfigurálása

A tűzfal egy alkalmazástűzfal, amely segít megelőzni a bejövő támadásokat. A tűzfalbeállítások be vannak építve az Intune beállításkatalógusába, és megfelelőségi szabályzatokként érhetők el.

Így konfigurálhatja a tűzfalat, ellenőrizheti a megfelelőséget, és üzembe helyezheti a szabályzatokat az eszközein.

A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:

  • Eszközök > Eszközök > kezelése Konfiguráció >Új szabályzatbeállítások> létrehozása > katalógus:

    • Hálózati > tűzfal
    • Biztonsági > biztonsági beállítások

  • Eszközök Eszközök > kezelése > Megfelelőség > Szabályzat létrehozása > Rendszerbiztonsági > tűzfal

A macOS tűzfallal kapcsolatos további információkért látogasson el a következőre:

A Gatekeeper konfigurálása

A Gatekeeper gondoskodik arról, hogy csak megbízható szoftverek fussanak az eszközön. A Gatekeeper beállításai be vannak építve az Intune beállításkatalógusába, és megfelelőségi szabályzatokként érhetők el.

Így konfigurálhatja a Gatekeepert, ellenőrizheti a megfelelőséget, és üzembe helyezheti a szabályzatokat az eszközein.

A szabályzatok létrehozásához az Intune Felügyeleti központban lépjen a következőre:

  • Eszközök > Eszközök > kezelése Konfiguráció >Új házirendbeállítások> létrehozása > katalógus > Rendszerházirend > Rendszerházirend-vezérlés:

    • Azonosított fejlesztő engedélyezése: Válassza az Igaz lehetőséget.
    • Értékelés engedélyezése: Válassza az Igaz lehetőséget.

  • Eszközök > Eszközök > kezelése Konfiguráció >Új házirend-beállítások> létrehozása > katalógus > Rendszerházirend felügyelt rendszerházirendje>:

    • Felülbírálás letiltása: Válassza az Igaz lehetőséget.

  • Eszközök Eszközök > kezelése > Megfelelőség > Szabályzat létrehozása > Rendszerbiztonsági > forgalomirányelő

További információ a Gatekeeperről:

Szoftverfrissítések

Szoftverfrissítések konfigurálása

Az eszközökön a szoftverfrissítések kritikus fontosságúak, és meg kell határoznia a frissítések telepítésének módját. Van néhány lehetősége.

A beállítások konfigurálásakor kikényszeríti és korlátozza a viselkedést a Beállítások alkalmazás >Szoftverfrissítés csomópontjában az eszközön.

  • 1. lehetőség – macOS 14.0 és újabb eszközök (ajánlott) – MacOS 14.0 és újabb eszközökön az Intune beállításkatalógusával hozzon létre egy felügyelt szoftverfrissítési szabályzatot. Ez a funkció az Apple deklaratív eszközkezelését (DDM) használja, és a macOS-eszközök frissítésének ajánlott megközelítése.

    Az Intune Felügyeleti központban a következő beállításokat konfigurálhatja:

    • Eszközök Eszközök > kezelése > Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Deklaratív eszközfelügyeleti > szoftverfrissítés

    • Nem kötelező – Az Eszközök > kezelése > konfiguráció > Új házirend > beállításainak létrehozása > katalóguskorlátozások >beállításnál az alábbi beállításokkal késleltetheti, hogy a felhasználók mennyi ideig telepíthessék manuálisan a frissítéseket egy frissítés kiadása után. Ezek a beállítások az Apple MDM-beállításait használják:

      • Kényszerített szoftverfrissítés – Kisebb operációsrendszer-késleltetett telepítés késleltetése: 0–30
      • Kényszerített szoftverfrissítés – Fő operációs rendszer késleltetett telepítésének késleltetése: 0–30
      • Kényszerített szoftverfrissítés – Nem operációsrendszer-késleltetett telepítés késleltetése: 0–30

      A Beállításokkatalógus > Deklaratív eszközkezelési > szoftverfrissítési beállításai elsőbbséget élveznek a Beállításokkatalógus > korlátozásai beállításokkal szemben. További információ: A macOS frissítési szabályzat beállításainak elsőbbségi sorrendje.

  • 2. lehetőség – macOS 13.0 és régebbi verziók (ajánlott) – MacOS 13.0 és régebbi eszközökön az Intune beállításkatalógusának és az Intune szoftverfrissítési szabályzatának kombinációját használhatja. Ezek a funkciók az Apple MDM-beállításait használják.

    Pontosabban az Intune Felügyeleti központban a következő beállításokat konfigurálhatja:

    • Eszközök Frissítések > kezelése > Apple-frissítések > macOS-frissítési szabályzat

    • Eszközök Eszközök > kezelése > Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Szoftverfrissítés

    A két házirendtípus egyes beállításai (Szoftverfrissítések és Beállítások katalógusa) átfedésben lehetnek. Ezért ügyeljen arra, hogy mit konfigurál az egyes szabályzatokban. A macOS frissítési házirendjének beállításai elsőbbséget élveznek a Beállításokkatalógus > szoftverfrissítési beállításaival szemben. További információ: A macOS frissítési szabályzat beállításainak elsőbbségi sorrendje.

  • 3. lehetőség (nem ajánlott) – A végfelhasználók manuálisan telepítik a frissítéseket. Ez a megközelítés a végfelhasználókra támaszkodik, hogy eldöntsék, mikor telepítik a frissítéseket. Emellett telepíthetnek egy olyan frissítést, amelyet a szervezet nem hagy jóvá.

A macOS-frissítési stratégia megtervezéséről további információt a Szoftverfrissítések tervezési útmutatója felügyelt macOS-eszközökhöz a Microsoft Intune-ban című témakörben talál.

Vendégfiók

A vendégfiók letiltása

Tiltsa le a vendégfiókot a macOS-végpontokon. A vendégfiókot az Intune beállításkatalógusával tilthatja le:

  • Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > katalógusának > létrehozása > Fiókok>:
    • Vendégfiók letiltása: Válassza az Igaz lehetőséget.

Üresjárati időtúllépés

Üresjárati időtúllépés beállítása

Az Intune beállításkatalógusával szabályozhatja, hogy a macOS mennyi ideig kér jelszót a tétlenség után:

  • Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Rendszerkonfiguráció > képernyővédő:

    • Jelszó kérése: Válassza az Igaz lehetőséget.
    • Bejelentkezés a Windows üresjárati idejébe: Írjon be valami hasonlót 300, amely 5 perc.
    • Jelszókésleltetés kérése: Írja be a következőhöz hasonlót 5: .
    • Modul neve: Adja meg a képernyővédő modul nevét, például Flurry.

  • Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Felhasználói élmény > képernyővédő felhasználó:

    • Üresjárati idő: Írja be a következőhöz hasonlót 300: , ami 5 perc.
    • Modul neve: Adja meg a képernyővédő modul nevét, például Flurry.

  • Az asztali és laptopos eszközökhöz olyan beállítások érhetők el, amelyek energiatakarékossághoz nyújtanak segítséget:

    Eszközök > Eszközök > kezelése Konfiguráció > Új szabályzatbeállítások > létrehozása > katalógus > Rendszerkonfiguráció > energiatakarékos:

    • Asztali power > display – Alvó állapot időzítője
    • Laptop akkumulátoros kijelző > – Alvó állapot időzítője
    • Laptop tápkijelző > alvó üzemmód időzítője

Tipp

A képernyővédő modul nevének megkereséséhez állítsa be a képernyővédőt, nyissa meg a Terminál alkalmazást, és futtassa a következő parancsot:

defaults -currentHost read com.apple.screensaver

macOS Evaluation Utility

A macOS evaluation segédprogram használata

A Mac Evaluation Utility megerősíti, hogy a Mac rendelkezik az Apple által ajánlott konfigurációval és beállításokkal. A Mac Evaluation Utility eléréséhez jelentkezzen be az Apple Seed for IT szolgáltatásba (megnyitja az Apple webhelyének erőforrásait>).

4. fázis – Szervezetspecifikus testreszabások alkalmazása

Ebben a fázisban szervezetspecifikus beállításokat és alkalmazásokat alkalmaz, és áttekinti a helyszíni konfigurációt.

Diagram a macOS-eszközök alkalmazásokkal, eszközbeállításokkal, tanúsítványokkal és egyebekkel való testreszabásához szükséges funkciókról a Microsoft Intune használatával

A fázis segítségével testre szabhatja a szervezetre jellemző funkciókat. Figyelje meg a macOS különböző összetevőit. A következő területekhez tartoznak szakaszok:

  • Apps
  • Eszközkonfiguráció a dockhoz, értesítések, beállításfájlok & egyéni szabályzatok és háttérkép
  • Eszköz neve
  • Tanúsítványok
  • Wi-Fi

Apps

További alkalmazások hozzáadása az Intune-hoz

Az 1. fázis – A környezet beállítása szakaszban hozzáadott néhány alkalmazást, amelyekkel az eszközöknek rendelkezniük kell. Ebben a lépésben olyan alkalmazásokat ad hozzá, amelyek javíthatják a végfelhasználói élményt és a hatékonyságot.

Eszközkonfiguráció

A beállításkatalógus leegyszerűsíti a szabályzatok létrehozását, és az összes elérhető beállítás megjelenítését. Az útmutató különböző fázisaiban és lépéseiben az Intune beállításkatalógusával konfigurálhatja az eszközfunkciókat és -beállításokat.

A beállításkatalógusban például a következő szolgáltatásterületeket konfiguráltuk:

  • A Microsoft Edge böngésző beállításai
  • Microsoft AutoUpdate
  • Microsoft Office
  • Szoftverfrissítések
  • Felhasználói élmény

A beállításkatalógussal számos eszközbeállítás konfigurálható, például:

Dokk

  • Eszközök > Eszközök kezelése > Konfiguráció > Új házirend-beállítások > létrehozása > katalógus Felhasználói élmény > dokkoló >

A GitHub – Microsoft Intune Dock Shell-minta vagy a partner parancssori eszközei, például a GitHub – DockUtil használatával is hozzáadhat vagy eltávolíthat elemeket a dockból.

Értesítési kérések

  • Eszközök Eszközök > kezelése > Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Felhasználói felület > értesítési > beállításai

    Minden olyan alkalmazás csomagazonosítóját meg kell adnia, amelynél szabályozni szeretné az értesítéseket.

További információt az Értesítések MDM hasznosadat-beállításai az Apple-eszközökhöz című témakörben talál (megnyitja az Apple webhelyét).

Beállításfájlok és egyéni szabályzatok

  • A beállításfájlok határozzák meg az előre konfigurálni kívánt alkalmazástulajdonságokat vagy -beállításokat. Az Intune beállításkatalógusában számos beépített beállítás található az alkalmazásokhoz, például a Microsoft Edge-hez és a Microsoft Office-hoz. Ezért előfordulhat, hogy nincs szüksége egy preferenciafájlra.

    A Microsoft azt javasolja, hogy használja a beállításkatalógus beépített beállításait. Ha a beállításkatalógus nem rendelkezik a szükséges beállításokkal, adjon hozzá egy beállításfájlt az Intune-hoz.

    További információ: Tulajdonságlistafájl hozzáadása macOS-eszközökhöz a Microsoft Intune-nal

  • Az egyéni profilok úgy lettek kialakítva, hogy olyan eszközbeállításokat és szolgáltatásokat adjanak hozzá, amelyek nincsenek beépítve az Intune-ba.

    A Microsoft azt javasolja, hogy használja a beállításkatalógus beépített beállításait. Ha a beállításkatalógus nem rendelkezik a szükséges beállításokkal, használjon egyéni profilt.

    További információt az egyéni profilok című témakörben talál.

Tapéta

A háttérképek macOS rendszeren a mintaszkript és a beállításkatalógus kombinációjával kényszeríthetők:

  • Eszközök > Eszközök > kezelése Konfiguráció > Új házirend-beállítások > létrehozása > katalógus > Felhasználói élmény > asztal:
    • Kép elérési útjának felülbírálása: "Adja meg a <kép> elérési útját".

A képfájlnak léteznie kell a macOS-végponton. Ha egy képet egy webes helyről szeretne letölteni, használhat egy mintaszkriptet a GitHub – Microsoft Intune tapétafelület-mintában. Egy alkalmazáscsomag-eszközzel is másolhat egy fájlt, majd üzembe helyezheti azt a nem felügyelt PKG üzembehelyezési funkcióval.

Eszköz neve

Eszközök átnevezése

Rendszerhéjszkript használatával átnevezheti az eszközöket úgy, hogy konkrét információkat tartalmazzon, például az eszköz sorozatszámát az ország/régió kódjával kombinálva.

További információ: GitHub – Microsoft Shell-szkriptek Mac-eszközök átnevezéséhez.

Tanúsítványok

Tanúsítványok hozzáadása tanúsítványalapú hitelesítéshez

Ha a jelszó nélküli használathoz tanúsítványalapú hitelesítést használ, az Intune-ból tanúsítványokat vehet fel és helyezhet üzembe.

További információ: A Microsoft Intune-ban elérhető tanúsítványtípusok.

Wi-Fi

Wi-Fi kapcsolat előzetes konfigurálása

Az Intune használatával létrehozhat egy Wi-Fi kapcsolatot, amely tartalmazza a hálózati adatokat, majd üzembe helyezheti a kapcsolatot a macOS-eszközökön. Ha az eszközei Wi-Fi-kapcsolaton keresztül csatlakoznak a szervezethez, hozzon létre egy Wi-Fi kapcsolati szabályzatot.

További információ: Wi-Fi beállításainak konfigurálása macOS-eszközökhöz a Microsoft Intune-ban.

5. fázis – Gyorsítótárazás (nem kötelező)

Vannak olyan gyorsítótárazási funkciók, amelyekkel csökkentheti a hálózati sávszélességet.

A tartalom-gyorsítótárazást és a helyi gyorsítótár-alkalmazás automatikus frissítését bemutató diagram macOS-eszközökön a Microsoft Intune használatával

Tartalom-gyorsítótárazás használata

Ha sok macOS- vagy iOS-/iPadOS-eszközzel rendelkezik a hálózaton, telepítheti az Apple Content Cache-t az internetes sávszélesség csökkentése érdekében. Az Apple Content Cache képes gyorsítótárazza az Apple-szolgáltatásokon, például a szoftverfrissítéseken és a VPP-alkalmazásokon tárolt tartalmakat.

További információ: Bevezetés a tartalom-gyorsítótárazásba (megnyitja az Apple webhelyét).

Helyi gyorsítótár automatikus feltöltése

A macOS-en futó Számos Microsoft-alkalmazás frissül a Microsoft AutoUpdate alkalmazással. Ez az alkalmazás egy másik URL-címre hivatkozhat a tartalomhoz.

A GitHub – Microsoft AutoUpdate Cache-rendszergazda segítségével konfigurálhat egy helyi gyorsítótárat a Microsoft AutoUpdate szolgáltatáshoz.

További információt a GitHub – Microsoft Automatikus gyorsítótár-rendszergazda című témakörben talál.

6. fázis – A fennmaradó macOS-végpontok regisztrálása

Eddig létrehozta a konfigurációt, és hozzáadott alkalmazásokat. Most már készen áll arra, hogy az összes macOS-végpontot automatikus eszközregisztrációs szabályzattal regisztrálja a Microsoft Intune-nal.

Diagram, amelyből megtudhatja, hogy az összes macOS-végpontot automatikus eszközregisztrációs szabályzattal kell regisztrálnia a Microsoft Intune-nal

Az automatikus eszközregisztrációs szabályzat létrehozása

A regisztrációs szabályzat hozzá van rendelve az új csoporthoz. Amikor az eszközök megkapják a regisztrációs szabályzatot, elindul a regisztrációs folyamat, és a létrehozott alkalmazás-& konfigurációs szabályzatok lesznek alkalmazva.

Az automatikus eszközregisztrációról és az első lépésekről a Mac gépek automatikus regisztrálása az Apple Business Managerrel vagy az Apple School Managerrel című témakörben talál további információt.

7. fázis – Támogatás, karbantartás és következő lépések

Az utolsó fázis a macOS-eszközök támogatása és karbantartása. Ez a fázis magában foglalja az Intune funkcióinak használatát, például a távoli súgót, az Apple-tanúsítványok monitorozását és egyebeket.

Diagram a macOS-eszközök támogatásának és karbantartásának lépéseiről, beleértve a távoli súgó használatát, az egyéni attribútumok hozzáadását és az Apple Business Manager Microsoft Intune-beli konfigurálását

Az Intune a macOS-eszközöket az operációs rendszer beépített MDM-képességei és az Intune Management Extension (IME) ügynök használatával kezeli.

Ez a két összetevő külön funkciókat kínál, és különböző csatornákon keresztül kommunikál a macOS-eszközzel. A regisztráció az Apple Business Manageren keresztül történik, az MDM vezénylése az Apple Push Notification Service-ben történik, az IME pedig közvetlenül kommunikál az Intune-nal.

Diagram, amely bemutatja, hogyan működik együtt a macOS MDM és az Intune Managemnt bővítmény a macOS-eszközök Microsoft Intune-beli felügyeletének támogatásához

Az Intune felügyeleti bővítményről további információt a Microsoft Intune macOS-hez készült felügyeleti ügynökének ismertetése című témakörben talál.

macOS-regisztráció karbantartása

Apple-tanúsítványok megújítása és ADE-jogkivonatok szinkronizálása

Ahhoz, hogy a Mac-eszközök fenntarthassák kapcsolatukat az Intune-lal, és folytathassák a regisztrációt, több fontos területet is be kell jelentkeznie a konzolon, és szükség szerint el kell végeznie a szükséges lépéseket:

  • Az Apple Push Notification Service tanúsítványának lejárata

    Az Apple Push Notification Service-tanúsítványát évente meg kell újítani. A tanúsítvány lejárata után az Intune nem tudja kezelni az ezzel a tanúsítvánnyal regisztrált eszközöket. Minden évben újítsa meg ezt a tanúsítványt.

    További információ: Apple MDM Push-tanúsítvány lekérése az Intune-hoz.

  • Az Apple automatikus eszközregisztrációs tanúsítványának lejárata

    Amikor kapcsolatot állít be az Apple Business Manager (vagy az Apple School Manager) és az Intune között, tanúsítványt használ. Ezt a tanúsítványt évente meg kell újítani. Ha ez a tanúsítvány nem újul meg, az Apple Business Manager (vagy az Apple School Manager) módosításai nem szinkronizálhatók az Intune-ra.

    További információ: MacOS-eszközök regisztrálása – Apple Business Manager vagy Apple School Manager.

  • Az Apple automatikus eszközregisztráció szinkronizálási állapota

    Az Apple felfüggeszti az ADE-tokenek szinkronizálását, ha az Apple Business Managerben (vagy az Apple School Managerben) megváltoznak a használati feltételek. A fő operációsrendszer-kiadás után változhatnak, de ez bármikor megtörténhet.

    Figyelnie kell a szinkronizálási állapotot minden olyan probléma esetén, amely beavatkozást igényel.

    További információ: Felügyelt eszközök szinkronizálása.

Távoli súgó

Távoli súgó engedélyezése

A távoli súgó egy felhőalapú megoldás a szerepköralapú hozzáférés-vezérlést használó biztonságos ügyfélszolgálati kapcsolatokhoz. A kapcsolattal a támogatási személyzet távoli kapcsolatot létesíthet a végfelhasználói eszközökkel.

További információt a következő témakörben talál:

Egyéni attribútumok

Jelentési adatok lekérése egyéni tulajdonságok használatával

Az Intune-ban rendszerhéjszkriptekkel gyűjthet egyéni tulajdonságokat a felügyelt macOS-eszközökről. Ez a funkció kiválóan használható egyéni jelentéskészítési információk lekérésére.

További információt a Rendszerhéjszkriptek használata macOS-eszközökön a Microsoft Intune-ban című témakörben talál.

Az Apple Business Manager konfigurálása automatikus felhasználóátadáshoz

Entra-felhasználói fiókok használata ABM-felügyelethez és felügyelt Apple-azonosítókhoz

A Microsoft Entra-azonosító konfigurálható úgy, hogy automatikusan kiépítse és megszüntetje a felhasználókat az Apple Business Manager (ABM) számára a Microsoft Entra kiépítési szolgáltatással.

További információ: Oktatóanyag: Az Apple Business Manager konfigurálása automatikus felhasználóátadáshoz.