Параметры функций устройства macOS в Intune
Примечание.
Intune может поддерживать больше параметров, чем параметры, перечисленные в этой статье. Не все параметры документированы и не будут документированы. Чтобы просмотреть параметры, которые можно настроить, создайте политику конфигурации устройств и выберите Каталог параметров. Для получения дополнительных сведений перейдите в Каталог параметров.
Intune включает встроенные параметры для настройки функций на устройствах macOS. Например, администраторы могут добавлять принтеры AirPrint, выбирать способ входа пользователей, настраивать элементы управления питанием, использовать проверку подлинности единого входа и многое другое.
Используйте эти функции для управления устройствами macOS в рамках решения для управления мобильными устройствами (MDM).
Данная функция применяется к:
- macOS
В этой статье описаны эти параметры. В нем также перечислены шаги по получении IP-адреса, пути и порта принтеров AirPrint с помощью приложения терминала (эмулятора). Дополнительные сведения о функциях устройств см. в статье Добавление параметров функций устройства iOS/iPadOS или macOS.
Подготовка к работе
Эти параметры применяются к различным типам регистрации, а некоторые параметры применяются ко всем параметрам регистрации. Дополнительные сведения о различных типах регистрации см. в статье Регистрация macOS.
AirPrint
Параметры применяются к: Все типы регистрации
Назначения AirPrint. Введите одну или несколько сведений о принтере AirPrint, чтобы пользователи могли печатать со своих устройств:
-
IP-адрес. Введите IPv4 или IPv6-адрес принтера. Например, введите
10.0.0.1
. Если для идентификации принтеров используются имена узлов, ip-адрес можно получить, выполнив связь с принтером в приложении Терминала. Дополнительные сведения о получении IP-адреса и пути (см. в этой статье). -
Путь к ресурсу. Введите путь к ресурсу принтера. Путь обычно
ipp/print
предназначен для принтеров в сети. Дополнительные сведения о получении IP-адреса и пути (см. в этой статье). - Порт (iOS 11.0+, iPadOS 13.0+): введите порт прослушивания назначения AirPrint. Если оставить это свойство пустым, AirPrint использует порт по умолчанию.
-
Принудительное использование TLS (iOS 11.0+, iPadOS 13.0+): ваши параметры:
- Отключить (по умолчанию): протокол TLS не применяется при подключении к принтерам AirPrint.
- Включить: обеспечивает безопасность подключений AirPrint с помощью протокола TLS.
-
IP-адрес. Введите IPv4 или IPv6-адрес принтера. Например, введите
Импорт файла с разделиниями-запятыми (.csv), который содержит список принтеров AirPrint. Кроме того, после добавления принтеров AirPrint в Intune можно экспортировать этот список.
Получение IP-адреса и пути
Чтобы добавить серверы AirPrinter, вам потребуется IP-адрес принтера, путь к ресурсу и порт. Ниже показано, как получить эти сведения.
На компьютере Mac, который подключается к той же локальной сети (подсети), что и принтеры AirPrint, откройте приложение терминала (из /Applications/Utilities).
В приложении Терминал введите
ippfind
и нажмите клавишу ВВОД.Обратите внимание на сведения о принтере. Например, он может возвращать что-то вроде
ipp://myprinter.local.:631/ipp/port1
. Первая часть — это имя принтера. Последняя часть (ipp/port1
) — это путь к ресурсу.В приложении Терминал введите
ping myprinter.local
и нажмите клавишу ВВОД.Запишите IP-адрес. Например, он может возвращать что-то вроде
PING myprinter.local (10.50.25.21)
.Используйте значения IP-адреса и пути к ресурсу. В этом примере IP-адрес —
10.50.25.21
, а путь к ресурсу —/ipp/port1
.
Связанные домены
В Intune вы можете:
- Добавьте множество связей между приложениями и доменами.
- Свяжите несколько доменов с тем же приложением.
Этот параметр применяется к:
- macOS 10.15 или более поздней версии.
Параметры применяются к: Регистрация устройств, утвержденная пользователем, и Автоматическая регистрация устройств
Эти параметры используют полезные данные AssociatedDomains.ConfigurationItem (открывается веб-сайт Apple).
Связанные домены. Добавьте связь между доменом и приложением. Эта функция совместно использует учетные данные для входа между приложением Contoso и веб-сайтом Contoso. Также введите:
Идентификатор приложения. Введите идентификатор приложения для связывания с веб-сайтом. Идентификатор приложения включает идентификатор команды и идентификатор пакета:
TeamID.BundleID
.Идентификатор команды — это буквенно-цифровая строка из 10 символов, созданная Apple для разработчиков приложений, например
ABCDE12345
. Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).Идентификатор пакета однозначно идентифицирует приложение и обычно форматируется в обратной нотации доменного имени. Например, идентификатор пакета Finder —
com.apple.finder
.Чтобы получить идентификатор пакета, выполните следующие действия:
- Откройте приложение Терминала и используйте AppleScript:
osascript -e 'id of app "ExampleApp"'
- Для приложений, добавленных в Intune, можно использовать Центр администрирования Intune.
- Откройте приложение Терминала и используйте AppleScript:
Домены. Введите домен веб-сайта, который нужно связать с приложением. Домен включает тип службы и полное имя узла, например
webcredentials:www.contoso.com
.Вы можете сопоставить все поддомены связанного домена, введя
*.
(подстановочный знак звездочки и точку) перед началом домена. Период является обязательным. Точные домены имеют более высокий приоритет, чем домены с подстановочными знаками. Таким образом, шаблоны из родительских доменов сопоставляются, если совпадение не найдено в полном поддомене.Тип службы может быть следующим:
- authsrv: расширение приложения для единого входа
- applink: универсальная ссылка
- webcredentials: автоматическое заполнение пароля
Включить прямые загрузки. Да скачивает данные домена непосредственно с устройства, а не через сеть доставки содержимого (CDN) Apple. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может скачивать данные через сеть CDN Apple, выделенную для связанных доменов.
Этот параметр применяется к:
- macOS 11 и более поздней версии
Совет
Чтобы устранить неполадки, откройте на устройстве macOSпрофилипараметров> системы. Убедитесь, что созданный профиль находится в списке профилей устройств. Если он указан в списке, убедитесь, что конфигурация связанных доменов находится в профиле и содержит правильный идентификатор приложения и домены.
Кэширование содержимого
При кэшировании содержимого сохраняется локальная копия содержимого. Другие устройства Apple могут получать эти сведения, не подключаясь к Интернету. Это кэширование ускоряет скачивание, сохраняя обновления программного обеспечения, приложения, фотографии и другое содержимое при первом скачивании. Так как приложения скачиваются один раз и совместно используются на других устройствах, учебные заведения и организации с большим количеством устройств экономят пропускную способность.
Примечание.
Используйте только один профиль для этих параметров. При назначении нескольких профилей с этими параметрами возникает ошибка.
Дополнительные сведения о мониторинге кэширования содержимого см. в статье Просмотр журналов кэширования содержимого и статистики (откроется веб-сайт Apple).
Этот параметр применяется к:
- macOS 10.13.4 и более поздней версии
Параметры применяются к: Все типы регистрации
Дополнительные сведения об этих параметрах см. в разделе Параметры полезных данных кэширования содержимого (откроется веб-сайт Apple).
Включить кэширование содержимого. Да включает кэширование содержимого, и пользователи не могут его отключить. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отключить его.
Тип содержимого для кэширования. Параметры:
- Все содержимое: кэширует содержимое iCloud и общее содержимое.
- Только содержимое пользователя: кэширует содержимое iCloud пользователя, включая фотографии и документы.
- Только общее содержимое. Кэширует приложения и обновления программного обеспечения.
Максимальный размер кэша. Введите максимальный объем дискового пространства (в байтах), используемый для кэширования содержимого. Если оставить пустым (по умолчанию) Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может задать для этого значения ноль (
0
) байтов, что обеспечивает неограниченное дисковое пространство для кэша.Убедитесь, что вы не превышаете свободное место на устройствах. Дополнительные сведения о емкости хранилища устройств см. в статье Как iOS и macOS сообщают о емкости хранилища (откроется веб-сайт Apple).
Расположение кэша. Введите путь для хранения кэшированного содержимого. Расположение по умолчанию —
/Library/Application Support/Apple/AssetCache/Data
. Не рекомендуется изменять это расположение.При изменении этого параметра кэшированное содержимое не перемещается в новое расположение. Чтобы переместить его автоматически, пользователям необходимо изменить расположениена устройстве (кэширование содержимогов параметрах>> системы).
Порт. Введите номер TCP-порта на устройствах, чтобы кэш принимал запросы на скачивание и отправку с 0-65535. Введите ноль (
0
) (по умолчанию), чтобы использовать любой доступный порт.Блокировать подключение к Интернету и кэшировать общий доступ к содержимому. Также называется привязанным кэшированием. Да запрещает общий доступ к подключению к Интернету и запрещает общий доступ к кэшированному содержимому с устройств iOS/iPadOS, подключенных через USB к компьютеру Mac. Пользователи не могут включить эту функцию. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.
Включить общий доступ к подключению к Интернету: также называется привязанным кэшированием. Да разрешает общий доступ к подключению к Интернету и позволяет совместно использовать кэшированное содержимое с устройств iOS/iPadOS, подключенных через USB к компьютеру Mac. Пользователи не могут отключить эту функцию. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отключить эту функцию.
Этот параметр применяется к:
- macOS 10.15.4 и более поздней версии
Включение кэша для регистрации сведений о клиенте. Да регистрирует IP-адрес и номер порта устройств, запрашивающих содержимое. Если вы устраняете неполадки с устройством, этот файл журнала может помочь. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию операционная система может не записывать эти сведения в журнал.
Всегда храните содержимое из кэша, даже если системе требуется место на диске для других приложений. Да сохраняет содержимое кэша и ничего не удаляется, даже если место на диске мало. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может автоматически очищать содержимое из кэша, если ей требуется место в хранилище для других приложений.
Этот параметр применяется к:
- macOS 10.15 или более поздней версии.
Отображение оповещений о состоянии. Да отображает оповещения в виде системных уведомлений. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не отображать эти оповещения в виде системных уведомлений.
Этот параметр применяется к:
- macOS 10.15 или более поздней версии.
Запретить устройство в спящем режиме во время кэширования включено. Значение Да запрещает переход компьютера в спящий режим, когда кэширование включено. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить устройству спящий режим.
Этот параметр применяется к:
- macOS 10.15 или более поздней версии.
Устройства для кэширования. Выберите устройства, которые могут кэшировать содержимое. Доступны следующие параметры:
- Не настроено (по умолчанию). Intune не изменяет или не обновляет этот параметр.
- Устройства, использующие одну и ту же локальную сеть. Кэш содержимого предлагает содержимое устройствам в той же непосредственной локальной сети. Содержимое не предоставляется устройствам в других сетях, включая устройства, доступные в кэше содержимого.
- Устройства с одинаковым общедоступным IP-адресом. Кэш содержимого предлагает содержимое устройствам с одинаковым общедоступным IP-адресом. Содержимое не предоставляется устройствам в других сетях, включая устройства, доступные в кэше содержимого.
-
Устройства, использующие пользовательские локальные сети. Кэш содержимого предоставляет содержимое устройствам в заданных диапазонах IP-адресов.
- Диапазоны прослушивания клиента. Введите диапазон IP-адресов, которые могут получать кэш содержимого.
-
Устройства, использующие пользовательские локальные сети с резервным хранилищем. Кэш содержимого предоставляет содержимое устройствам в диапазонах прослушивания, одноранговых диапазонах прослушивания и IP-адресах родителей.
- Диапазоны прослушивания клиента. Введите диапазон IP-адресов, которые могут получать кэш содержимого.
Пользовательские общедоступные IP-адреса. Введите диапазон общедоступных IP-адресов. Облачные серверы используют этот диапазон для сопоставления клиентских устройств с кэшами.
Совместное использование содержимого с другими кэшами. Если в сети есть несколько кэшей содержимого, кэши содержимого на других устройствах автоматически становятся одноранговыми. Эти устройства могут обращаться к кэшированному программному обеспечению и совместно использовать их.
Если запрошенный элемент недоступен в одном кэше содержимого, он проверяет его одноранговые узлы для элемента. Если элемент доступен, он загружается из кэша содержимого на одноранговом устройстве. Если он по-прежнему недоступен, кэш содержимого скачивает элемент из:
Родительский IP-адрес, если он настроен.
ИЛИ
Из Apple через Интернет
Если доступно несколько кэшей содержимого, устройства автоматически выбирают правильный кэш содержимого.
Доступны следующие параметры:
Не настроено (по умолчанию). Intune не изменяет или не обновляет этот параметр.
Кэши содержимого, использующие одни и те же локальные сети: кэш содержимого только одноранговые узлы с другими кэшами содержимого в той же непосредственной локальной сети.
Кэши содержимого, использующие один и тот же общедоступный IP-адрес: кэш контента только одноранговые узлы с другими кэшами содержимого на том же общедоступном IP-адресе.
Кэши содержимого с использованием пользовательских локальных сетей: кэш содержимого только одноранговые узлы с другими кэшами содержимого в диапазоне прослушивания IP-адресов, который вы вводите:
- Диапазоны однорангового прослушивания. Введите начальные и конечные IP-адреса IPv4 или IPv6 для диапазона. Кэш содержимого отвечает только на запросы однорангового кэша из кэшей содержимого в диапазонах IP-адресов, которые вы вводите.
- Диапазоны одноранговых фильтров. Введите начальные и конечные IP-адреса IPv4 или IPv6 для диапазона. Кэш содержимого фильтрует список одноранговых узлов, используя указанные диапазоны IP-адресов.
Родительские IP-адреса. Введите локальный IP-адрес другого кэша содержимого, который нужно добавить в качестве родительского кэша. Ваш кэш отправляет и скачивает содержимое в эти кэши, а не отправляет и скачивает напрямую с помощью Apple. Добавьте родительский IP-адрес только один раз.
Политика выбора родителей. При наличии большого количества родительских кэшей выберите способ выбора родительского IP-адреса. Доступны следующие параметры:
- Не настроено (по умолчанию). Intune не изменяет или не обновляет этот параметр.
- Циклический перебор. Используйте родительские IP-адреса по порядку. Этот вариант подходит для сценариев балансировки нагрузки.
- Первый доступный. Всегда используйте первый доступный IP-адрес в списке.
- Хэш. Создает хэш-значение для части пути запрошенного URL-адреса. Этот параметр гарантирует, что для одного и того же URL-адреса всегда используется один и тот же родительский IP-адрес.
- Случайный: случайно используйте IP-адрес в списке. Этот вариант подходит для сценариев балансировки нагрузки.
- Sticky available: всегда используйте первый IP-адрес в списке. Если он недоступен, используйте второй IP-адрес в списке. Продолжайте использовать второй IP-адрес, пока он не будет доступен, и т. д.
Элементы входа
Параметры применяются к: Все типы регистрации
Добавление файлов, папок и пользовательских приложений, которые будут запускаться при входе. Добавьте путь к файлу, папке, пользовательскому приложению или системного приложения, которое открывается при входе пользователей на свои устройства. Также введите:
Путь к элементу. Введите путь к файлу, папке или приложению. Системные приложения или приложения, созданные или настроенные для вашей организации, обычно находятся в папке
Applications
с путем, похожим на/Applications/AppName.app
.Вы можете добавить множество файлов, папок и приложений. Например, введите:
/Applications/Calculator.app
/Applications
/Applications/Microsoft Office/root/Office16/winword.exe
/Users/UserName/music/itunes.app
При добавлении любого приложения, папки или файла обязательно введите правильный путь. Не все элементы находятся в папке
Applications
. Если пользователи перемещают элемент из одного расположения в другое, путь изменяется. Этот перемещенный элемент не открывается при входе пользователя.Скрыть: выберите отображение или скрытие приложения. Доступны следующие параметры:
- Не настроено (по умолчанию). Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать элементы в списке Элементы входа "Пользователи & группы", а флажок скрыть не установлен.
- Да. Скрывает приложение в списке Элементы входа "Пользователи & группы".
Окно входа в систему
Параметры применяются к: Все типы регистрации
Макет Windows
Отображение дополнительных сведений в строке меню. Если выбрана область времени в строке меню, отображается имя узла и версия macOS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ос может не отображать эти сведения в строке меню.
Баннер. Введите сообщение, которое отображается на экране входа на устройствах. Например, введите сведения об организации, приветственное сообщение, потерянные и найденные сведения и т. д.
Требовать текстовые поля имени пользователя и пароля. Выберите способ входа пользователей на устройства. Да требует, чтобы пользователи ввели имя пользователя и пароль. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может потребовать от пользователей выбрать свое имя пользователя из списка, а затем ввести пароль.
Если задано значение Не настроено, также введите:
- Скрыть локальных пользователей. Да скрывает учетные записи локальных пользователей в списке пользователей, которые могут включать стандартные учетные записи и учетные записи администратора. Отображаются только сетевые и системные учетные записи пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать локальные учетные записи пользователей в списке пользователей.
- Скрыть мобильные учетные записи. Да скрывает мобильные учетные записи в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать мобильные учетные записи в списке пользователей. Некоторые мобильные учетные записи могут отображаться как пользователи сети.
- Показать пользователей сети. Выберите Да , чтобы вывести список пользователей сети в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не отображать учетные записи сетевых пользователей в списке пользователей.
- Скрыть администраторов компьютера. Значение Да скрывает учетные записи администраторов в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отображать учетные записи администраторов в списке пользователей.
- Показать других пользователей. Выберите Да , чтобы получить список Другие пользователи в списке пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не отображать другие учетные записи пользователей в списке пользователей.
Параметры питания экрана входа
- Скрыть кнопку завершения работы. Да скрывает кнопку завершения работы на экране входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию в ОС может отображаться кнопка завершения работы.
- Скрыть кнопку перезапуска. Да скрывает кнопку перезапуска на экране входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию в ОС может отображаться кнопка перезапуска.
- Скрыть кнопку спящего режима. Да скрывает кнопку спящего режима на экране входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию в ОС может отображаться кнопка спящего режима.
-
Отключить вход пользователя из консоли. Да скрывает командную строку macOS, используемую для входа. Для обычных пользователей задайте для этого параметра значение Да. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить опытным пользователям выполнять вход с помощью командной строки macOS. Чтобы перейти в режим консоли, пользователи введите
>console
в поле Имя пользователя и должны пройти проверку подлинности в окне консоли.
Меню Apple
- Отключить завершение работы при входе в систему. Значение Да запрещает пользователям выбирать параметр Завершение работы после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Завершение работы на устройствах.
- Отключить перезапуск при входе в систему. Значение Да запрещает пользователям выбирать параметр Перезапуск после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Перезапуск на устройствах.
- Отключить питание при входе в систему. Значение Да запрещает пользователям выбирать параметр Выключение питания после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Выключение питания на устройствах.
- Отключить выход при входе в систему (macOS 10.13 и более поздних версий). Значение Да запрещает пользователям выбирать параметр Выйти из системы после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню Выход на устройствах.
- Отключить экран блокировки при входе в систему (macOS 10.13 и более поздних версий). Значение Да запрещает пользователям выбирать параметр Экран блокировки после входа. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выбирать пункт меню "Экран блокировки " на устройствах.
Расширение для приложения единого входа
Этот параметр применяется к:
- macOS 10.15 или более поздней версии.
Примечание.
На устройствах macOS для включения единого входа (SSO) можно использовать Platform SSO. Дополнительные сведения см. в статье Настройка единого входа платформы для устройств macOS в Microsoft Intune.
Параметры применяются к: Регистрация устройств, утвержденная пользователем, и Автоматическая регистрация устройств
Тип расширения приложения единого входа. Выберите тип расширения приложения единого входа. Доступны следующие параметры:
Не настроено: расширения приложений не используются. Чтобы отключить расширение приложения, переключите тип расширения приложения единого входа в значение Не настроено.
Microsoft Entra ID. Использует подключаемый модуль единого входа Microsoft Entra ID Enterprise, который является расширением приложения единого входа типа перенаправления. Этот подключаемый модуль обеспечивает единый вход для локальных учетных записей Active Directory во всех приложениях macOS, поддерживающих функцию единого входа Apple Enterprise . Используйте этот тип расширения приложения единого входа, чтобы включить единый вход в приложениях Майкрософт, приложениях организации и веб-сайтах, которые проходят проверку подлинности с помощью идентификатора Microsoft Entra. Дополнительные сведения см. в статье Использование подключаемого модуля единого входа Microsoft Enterprise на устройствах macOSOS.
Подключаемый модуль единого входа выступает в качестве расширенного брокера проверки подлинности, который предлагает улучшения безопасности и взаимодействия с пользователем.
Важно!
Чтобы обеспечить единый вход с помощью типа расширения приложения единого входа Microsoft Entra, установите приложение корпоративного портала macOS на устройствах. Приложение корпоративного портала предоставляет подключаемый модуль единого входа Microsoft Enterprise на устройства. Параметры расширения приложения единого входа MDM активируют подключаемый модуль. После установки приложения корпоративного портала и профиля расширения приложения единого входа на устройствах пользователи входят со своими учетными данными и создают сеанс на своих устройствах. Этот сеанс используется в разных приложениях без необходимости повторной проверки подлинности пользователей.
Дополнительные сведения о приложении корпоративного портала см. в статье Что произойдет, если установить приложение корпоративного портала и зарегистрировать устройство macOS в Intune.
Вы также можете скачать приложение Корпоративного портала.
Перенаправление. Используйте универсальное настраиваемое расширение приложения перенаправления для использования единого входа с современными потоками проверки подлинности. Убедитесь, что вы знаете расширение и идентификатор команды для расширения приложения вашей организации.
Учетные данные. Используйте универсальное настраиваемое расширение приложения учетных данных для использования единого входа с потоками проверки подлинности на основе запроса и ответа. Убедитесь, что вы знаете идентификатор расширения и идентификатор команды для расширения приложения единого входа вашей организации.
Kerberos: используйте встроенное расширение Kerberos от Apple, которое входит в состав macOS Catalina 10.15 и более новых версий. Этот параметр является версией расширения приложения Credential для Kerberos.
Совет
С помощью типов Перенаправление и Учетные данные можно добавить собственные значения конфигурации для передачи через расширение. Если вы используете учетные данные, рассмотрите возможность использования встроенных параметров конфигурации, предоставляемых Apple в типе Kerberos .
Идентификатор расширения (перенаправление, учетные данные). Введите идентификатор пакета, который идентифицирует расширение приложения единого входа, например
com.apple.ssoexample
.Идентификатор команды (перенаправление, учетные данные). Введите идентификатор команды расширения приложения единого входа. Идентификатор команды — это 10-значная буквенно-цифровая строка (цифры и буквы), созданная Apple, например
ABCDE12345
.Дополнительные сведения см. в разделе Поиск идентификатора команды (открывается веб-сайт Apple).
Realm (Credential, Kerberos). Введите имя области проверки подлинности. Имя области должно быть прописным, например
CONTOSO.COM
. Как правило, имя области совпадает с доменным именем DNS, но в верхнем регистре.Домены (Credential, Kerberos). Введите имена доменов или узлов сайтов, которые могут пройти проверку подлинности с помощью единого входа. Например, если веб-сайт имеет значение
mysite.contoso.com
, тоmysite
— имя узла, а.contoso.com
— доменное имя. Когда пользователи подключаются к любому из этих сайтов, расширение приложения обрабатывает запрос проверки подлинности. Эта проверка подлинности позволяет пользователям использовать Face ID, Touch ID или пин-код Или секретный код Apple для входа.- Все домены в профилях расширения приложения Intune для единого входа должны быть уникальными. Вы не можете повторить домен в любом профиле расширения приложения для входа, даже если вы используете разные типы расширений приложений единого входа.
- В этих доменах регистр не учитывается.
- Домен должен начинаться с точки (
.
).
URL-адреса (только перенаправление). Введите префиксы URL-адресов поставщиков удостоверений, от имени которых расширение приложения перенаправления использует единый вход. Когда пользователи перенаправляются на эти URL-адреса, вмешается расширение приложения единого входа и запрашивает единый вход.
- Все URL-адреса в профилях расширений приложений для единого входа Intune должны быть уникальными. Вы не можете повторить домен в любом профиле расширения приложения единого входа, даже если вы используете разные типы расширений приложений единого входа.
- URL-адреса должны начинаться с
http://
илиhttps://
.
Дополнительная конфигурация (Идентификатор Microsoft Entra, Перенаправление, Учетные данные). Введите дополнительные данные для расширения для передачи в расширение приложения единого входа:
Ключ. Введите имя элемента, который вы хотите добавить, например
user name
.Тип: введите тип данных. Доступны следующие параметры:
- String
- Boolean: в поле Значение конфигурации введите
True
илиFalse
. - Целое число: в поле Значение конфигурации введите число.
Значение: введите данные.
Блокировать использование цепочки ключей (только kerberos). Значение Да предотвращает сохранение паролей и их сохранение в цепочке ключей. Кроме того, пользователям не будет предложено сохранить пароль, а по истечении срока действия билета Kerberos необходимо повторно ввести пароль. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить сохранение паролей и их хранение в цепочке ключей. Пользователям не будет предложено повторно ввести пароль по истечении срока действия билета.
Требовать идентификатор лица, Touch ID или секретный код (только kerberos). Да заставляет пользователей вводить идентификатор лица, Touch ID или секретный код устройства, когда учетные данные необходимы для обновления билета Kerberos. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не требовать от пользователей использовать биометрические данные или секретный код устройства для обновления билета Kerberos. Если параметр Блокировать использование цепочки ключей имеет значение Да, этот параметр не применяется.
Задать в качестве области по умолчанию (только Kerberos). Выберите Да , чтобы задать значение Realm , введенное в качестве области по умолчанию. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не задать область по умолчанию.
- Если вы настраиваете несколько расширений единого входа Kerberos в своей организации, нажмите кнопку Да.
- Если вы используете несколько областей, выберите Да. Он задает значение Realm, введенное в качестве области по умолчанию.
- Если у вас есть только одна область, оставьте ее не настроенной (по умолчанию).
Блокировать автообнаружения (только kerberos). Если задано значение Да, расширение Kerberos не будет автоматически использовать LDAP и DNS для определения имени своего сайта Active Directory. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить расширению автоматически находить имя сайта Active Directory.
Разрешить только управляемые приложения (только Kerberos). Если задано значение Да, расширение Kerberos разрешает доступ к учетным данным только управляемым приложениям и любым приложениям, введенным с идентификатором пакета приложений. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить неуправляемые приложения получать доступ к учетным данным.
Данная функция применяется к:
- macOS 12 или более поздних версий
Блокировать изменение пароля (только kerberos). Значение Да запрещает пользователям изменять пароли, используемые для входа в указанные вами домены. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить изменение пароля.
Включить локальную синхронизацию паролей (только kerberos). Выберите Да , чтобы синхронизировать локальные пароли пользователей с Идентификатором Microsoft Entra. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может отключить синхронизацию паролей с Идентификатором Microsoft Entra.
Используйте этот параметр в качестве альтернативы или резервного копирования для единого входа. Этот параметр не работает, если пользователи вошли в систему с помощью мобильной учетной записи Apple.
Задержка настройки расширения Kerberos (только для Kerberos). Если задано значение Да, пользователю не будет предложено настроить расширение Kerberos, пока администратор не включит это расширение или не будет получен запрос Kerberos. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может сразу же предложить пользователю настроить расширение Kerberos.
Данная функция применяется к:
- macOS 11 и более поздней версии
Разрешить стандартные служебные программы Kerberos (только для Kerberos). Если задано значение Да, расширение Kerberos позволяет любым приложениям, введенным с идентификатором пакета приложений, управляемым приложениям и стандартным служебным программам Kerberos, таким как TicketViewer и klist, получать доступ к учетным данным и использовать их. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не разрешать перечисленным приложениям доступ к учетным данным и их использование.
Данная функция применяется к:
- macOS 12 или более поздних версий
Запрос учетных данных (только для Kerberos): если задано значение Да, учетные данные запрашивается при следующем сопоставлении запроса Kerberos или изменении состояния сети. Когда срок действия учетных данных истек или отсутствует, создаются новые учетные данные. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не запрашивать новые учетные данные.
Данная функция применяется к:
- macOS 12 или более поздних версий
Требовать подключения LDAP для TLS (только для Kerberos). Если задано значение Да, подключения LDAP должны использовать протокол TLS. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не требовать подключения LDAP для использования TLS.
Данная функция применяется к:
- macOS 11 и более поздней версии
Требовать сложность пароля Active Directory (только kerberos). Выберите Да , чтобы принудительно использовать пароли пользователей в соответствии с требованиями к сложности паролей Active Directory. На устройствах этот параметр отображает всплывающее окно с флажками, чтобы пользователи видели, что выполняют требования к паролю. Это помогает пользователям узнать, что им нужно ввести для пароля. Дополнительные сведения см. в статье Пароль должен соответствовать требованиям к сложности. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не требовать, чтобы пользователи соответствовали требованиям к паролю Active Directory.
Минимальная длина пароля (только kerberos). Введите минимальное количество символов, которые могут создавать пароли пользователей. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не применять минимальную длину пароля для пользователей.
Ограничение повторного использования паролей (только kerberos). Введите количество новых паролей (от 1 до 24), которые используются до тех пор, пока предыдущий пароль не будет повторно использован в домене. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не применять ограничение на повторное использование пароля.
Минимальный срок действия пароля (в днях) (только kerberos). Введите количество дней, в течение которых пароль используется в домене, прежде чем пользователи смогут его изменить. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может не применять минимальный возраст паролей, прежде чем их можно будет изменить.
Уведомление об истечении срока действия пароля (в днях) (только для Kerberos). Введите количество дней до истечения срока действия пароля, когда пользователи получат уведомление о истечении срока действия пароля. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может использовать
15
дни.Срок действия пароля (в днях) (только kerberos). Введите количество дней, в течение которых пароль устройства должен измениться. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию срок действия паролей операционной системы может никогда не истек.
URL-адрес изменения пароля (только для Kerberos). Введите URL-адрес, который открывается при запуске смены пароля Kerberos.
Пользовательское имя пользователя (только Kerberos). Введите текст, заменяющий имя пользователя, отображаемое в расширении Kerberos. Вы можете ввести имя, соответствующее названию вашей компании или организации. Например, можно ввести
Contoso
.Данная функция применяется к:
- macOS 11 и более поздней версии
Использование расширения Kerberos (только Kerberos). Выберите, как другие процессы используют учетные данные расширения Kerberos. Доступны следующие параметры:
- Всегда: учетные данные расширения всегда используются, если имя субъекта-службы указано в разделе Домены. Он не используется, если вызывающее приложение не указано в списке Идентификаторы пакетов приложений.
- Если не указано: учетные данные расширения используются только в том случае, если вызывающая служба не вводит другие учетные данные, а имя субъекта-службы указано в разделе Домены. Он не используется, если вызывающее приложение не указано в списке Идентификаторы пакетов приложений.
- Kerberos по умолчанию: Intune не изменяет или не обновляет этот параметр. По умолчанию ОС использует стандартные процессы Kerberos для выбора учетных данных. Этот параметр совпадает с тем, что этот параметр не настраивается.
Данная функция применяется к:
- macOS 11 и более поздней версии
Имя участника (только Kerberos). Введите имя пользователя участника Kerberos. Вам не нужно включать имя области. Например, в —
user@contoso.com
user
это имя субъекта, аcontoso.com
— имя области.- Переменные также можно использовать в имени участника, введя фигурные скобки
{{ }}
. Например, чтобы отобразить имя пользователя, введитеUsername: {{username}}
. - Будьте осторожны с подстановкой переменных, так как переменные не проверяются в пользовательском интерфейсе и в них учитывается регистр. Обязательно введите правильные сведения.
- Переменные также можно использовать в имени участника, введя фигурные скобки
Код сайта Active Directory (только Kerberos): введите имя сайта Active Directory, который должно использовать расширение Kerberos. Возможно, вам не потребуется изменять это значение, так как расширение Kerberos может автоматически найти код сайта Active Directory.
Имя кэша (только Kerberos). Введите имя универсальных служб безопасности (GSS) кэша Kerberos. Скорее всего, вам не нужно задавать это значение.
Текст окна входа (только kerberos). Введите текст, отображаемый пользователям в окне входа в Kerberos.
Данная функция применяется к:
- macOS 11 и более поздней версии
Сообщение о требованиях к паролю (только kerberos). Введите текстовую версию требований к паролю вашей организации, которая отображается для пользователей. В сообщении показано, не требуются ли требования к сложности пароля Active Directory или не вводится минимальная длина пароля.
Если задано значение Да, все существующие учетные записи пользователей очищаются с устройств. Чтобы избежать потери данных или предотвратить сброс к заводским настройкам, убедитесь, что вы понимаете, как этот параметр изменяет устройства.
Дополнительные сведения о режиме общего устройства см. в статье Обзор режима общего устройства.
Идентификаторы пакетов приложений (Microsoft Entra ID, Kerberos). Введите идентификаторы пакета приложений, которые должны использовать единый вход на ваших устройствах. Этим приложениям предоставляется доступ к билету на предоставление билета Kerberos и билету проверки подлинности. Приложения также проверяют подлинность пользователей в службах, к доступу к которые они имеют право.
Чтобы получить идентификатор пакета приложения, добавленного в Intune, можно использовать Центр администрирования Intune.
Сопоставление области домена (только kerberos). Введите DNS-суффиксы домена, которые должны сопоставляться с вашей областью. Используйте этот параметр, если DNS-имена узлов не соответствуют имени области. Скорее всего, вам не нужно создавать это сопоставление между доменами и областями.
Сертификат PKINIT (только kerberos). Выберите сертификат шифрования с открытым ключом для начальной проверки подлинности (PKINIT), который можно использовать для проверки подлинности Kerberos. Вы можете выбрать один из сертификатов PKCS или SCEP , добавленных в Intune. Дополнительные сведения о сертификатах см. в статье Использование сертификатов для проверки подлинности в Microsoft Intune.
Предпочтительный KDCs (только Kerberos). Введите центры распространения ключей (KDCs), которые будут использоваться для трафика Kerberos в порядке предпочтения. Этот список используется, если серверы недоступны для обнаружения с помощью DNS. Если серверы доступны для обнаружения, список используется как для проверок подключения, так и для трафика Kerberos. Если серверы не отвечают, устройство использует обнаружение DNS.
Данная функция применяется к:
- macOS 12 или более поздних версий
Связанные статьи
Настройка функций устройства в iOS/iPadOS.