Руководство по регистрации. Регистрация устройств macOS в Microsoft Intune
Личные и принадлежащие организации устройства можно регистрировать в Intune. На устройствах macOS приложение "Корпоративный портал" или помощник по настройке Apple выполняет проверку подлинности пользователей и запускает регистрацию. После регистрации они получат создаваемые вами политики.
При регистрации устройств macOS доступны следующие варианты:
- BYOD: регистрация устройств
- Автоматическая регистрация устройств (ADE)
- Регистрация без участия торгового посредника
В этой статье:
- Приводится описание параметров приложения "Корпоративный портал" для каждого из методов регистрации.
- Предоставляет рекомендации по регистрации для поддерживаемых сценариев управления устройствами.
- Она также содержит общие сведения о задачах администратора и конечного пользователя для каждого типа регистрации.
Также есть наглядное руководство по различным вариантам регистрации для каждой платформы:
Скачать версию PDF | Скачать версию Visio
Совет
Это пошаговое руководство. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными.
Подготовка к работе
Все необходимые компоненты и конфигурации Для intune, необходимые для подготовки клиента к регистрации, см. в статье Руководство по регистрации: Регистрация в Microsoft Intune.
BYOD: регистрация устройств
Используется для личных или собственных устройств (BYOD). Этот параметр регистрации также называется регистрацией, утвержденной пользователем.
Функция | Используйте этот вариант регистрации, когда: |
---|---|
Устройства являются личными или BYOD. | ✅ |
Необходима регистрация множества устройств (массовая регистрация). | ✅ |
У вас имеются новые или существующие устройства. | ✅ |
Устройства связаны с единственным пользователем. | ✅ |
Вы используете учетную запись диспетчера регистрации устройств (DEM). | ✅ Помните о последствиях и ограничениях при использовании учетной записи DEM. |
Устройства находятся под управлением другого поставщика MDM. | ❌ При регистрации устройства поставщики MDM устанавливают сертификаты и другие файлы. Эти файлы необходимо удалить. Самым быстрым способом может быть отмена регистрации или сброс до заводских настроек устройств. Если вы не хотите сбрасывать заводские настройки, обратитесь к поставщику MDM за рекомендациями. |
Устройства принадлежат организации или школе. | ❌ Не рекомендуется для устройств, принадлежащих организации. Устройства, принадлежащие организации, должны быть зарегистрированы с помощью автоматизированной регистрации устройств (раздел этой статьи) или Apple Configurator. Вы можете добавить серийные номера MacBook в число идентификаторов корпоративных устройств, чтобы пометить устройства как корпоративные. Но по умолчанию устройства помечаются как личные. |
Устройства не имеют пользователей — например, киоски или выделенные устройства — или являются общими. | ❌ Эти устройства принадлежат организации. Не имеющие пользователей устройства должны быть зарегистрированы с помощью автоматической регистрации устройств или Apple Configurator. |
Задачи администратора регистрации устройств
Этот список задач содержит общие сведения.
Убедитесь, что устройства поддерживаются.
Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств macOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.
Приложение "Корпоративный портал" для устройств macOS недоступно в Apple App Store или через VPP. Пользователи должны вручную скачать и запустить пакет установщика приложения "Корпоративный портал". Они входят, используя учетную запись организации (
user@contoso.com
), а затем проходят этапы регистрации. После регистрации они должны утвердить политику регистрации.После утверждения устройство добавляется в идентификатор Microsoft Entra вашей организации. Затем он будет доступен Intune для получения ваших политик.
Не забудьте сообщить эти сведения пользователям.
Задачи конечных пользователей при регистрации устройств
Пользователи должны выполнить следующие действия. Дополнительные сведения о действиях пользователя см. в статье Регистрация устройства macOS с помощью приложения корпоративного портала.
- Скачайте и запустите пакет установщика приложения "Корпоративный портал".
- Откройте приложение "Корпоративный портал" и выполните вход с учетными данными организации (
user@contoso.com
). После входа они должны утвердить политику регистрации (параметры системы). После утверждения пользователями устройство регистрируется и считается управляемым. Если они не утвердят, они не будут зарегистрированы и не получат ваши политики.
Приложение корпоративного портала обнаруживает установку профиля управления и автоматически регистрирует устройство, если оно не закрыто пользователем вручную. Чтобы завершить регистрацию устройства, пользователь должен повторно открыть приложение. Если вы используете динамические группы, которые используют регистрацию устройств, важно, чтобы пользователи вернулись в приложение и зарегистрируются. Запланируйте информирование пользователей об этих шагах. Если вы используете политики условного доступа (ЦС), никаких действий не требуется, так как любые пользователи приложения, защищенные ЦС, пытаются войти в систему, будут предлагать им вернуться на корпоративный портал для завершения регистрации устройства.
Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.
Автоматическая регистрация устройств (ADE) (защищенная)
Ранее именовалась программой регистрации устройств Apple (DEP). Используйте на устройствах, принадлежащих вашей организации. Этот вариант позволяет настроить параметры с помощью Apple Business Manager (ABM) или Apple School Manager (ASM). Он регистрирует большое количество устройств, не требуя от вас брать в руки хоть одно из них. Эти устройства приобретаются у компании Apple, получают ваши предварительно настроенные параметры и могут быть отправлены непосредственно пользователям или в школы. Вы создаете профиль регистрации в Центре администрирования Intune и отправляете эту политику на устройства.
Дополнительные сведения об этом типе регистрации см. в статье Автоматическая регистрация устройств macOS с помощью Apple Business Manager или Apple School Manager.
Функция | Используйте этот вариант регистрации, когда: |
---|---|
Устройства принадлежат организации или школе. | ✅ |
У вас есть новые устройства. | ✅ |
У вас уже есть устройства. | ✅ Чтобы зарегистрировать существующие устройства, перейдите в раздел Регистрация Mac после помощника по настройке (откроется другая статья Майкрософт). |
Необходима регистрация множества устройств (массовая регистрация). | ✅ |
Устройства связаны с единственным пользователем. | ✅ |
Устройства не имеют пользователей — например, киоски или выделенные устройства. | ✅ |
Устройства являются личными или BYOD. | ❌ Это делать не рекомендуется. BYOD или личные устройства следует зарегистрировать с помощью регистрации устройств (в этой статье). |
Устройства находятся под управлением другого поставщика MDM. | ❌ Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Вы также можете использовать регистрацию устройства для управления конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, рекомендуется зарегистрироваться в Intune. |
Вы используете учетную запись диспетчера регистрации устройств (DEM). | ❌ Учетная запись DEM не поддерживается. |
Задачи администратора ADE
Этот список задач содержит общие сведения. Дополнительные сведения см. в статье Автоматическая регистрация устройств macOS с помощью Apple Business Manager или Apple School Manager.
Убедитесь, что устройства поддерживаются.
Вам нужен доступ к порталу Apple Business Manager (ABM) или порталу Apple School Manager (ASM).
Убедитесь, что токен Apple (
.p7m
) активен. Дополнительные сведения см. в статье Создание токена программы регистрации.Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств macOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.
Решите, как пользователи будут проходить проверку подлинности на своих устройствах: через приложение Корпоративный портал (устаревшая версия) или Помощника по настройке с современной проверкой подлинности. Это решение необходимо принять перед созданием политики регистрации. Использование помощника по настройке с современной проверкой подлинности считается современной проверкой подлинности. Корпорация Майкрософт рекомендует использовать Помощник по настройке с современной проверкой подлинности.
Для всех устройств macOS, принадлежащих организации, помощник по настройке (устаревшая версия) используется всегда и автоматически, даже если вы не видите текст "Помощник по настройке" в Intune. Помощник по настройке (устаревшая версия) проверяет подлинность пользователя и регистрирует устройство.
Выбирайте Помощник по настройке (устаревшая версия) в следующих случаях:
Вы хотите очистить устройство.
Вы не хотите использовать современные функции проверки подлинности, например MFA.
Вы не хотите регистрировать устройства в Microsoft Entra ID. Помощник по настройке (устаревшая версия) проверяет подлинность пользователя с помощью токена Apple
.p7m
. Если можно не регистрировать устройства в Microsoft Entra ID, вам не нужно устанавливать приложение корпоративного портала. Используйте Помощник по настройке (прежних версий) и далее.Если вы хотите использовать приложение Корпоративного портала для проверки подлинности вместо помощника по настройке или хотите, чтобы устройства, зарегистрированные в Microsoft Entra ID, выполните следующие действия:
- Чтобы установить приложение Корпоративного портала на устройствах, добавьте приложение Корпоративного портала. Задайте приложение "Корпоративный портал" как обязательное приложение.
- После регистрации устройства установите приложение Корпоративного портала.
- После установки пользователи открывают приложение корпоративного портала и войдите с учетной записью Microsoft Entra своей организации (
user@contoso.com
). После входа они проходят проверку подлинности и готовы к получению политик.
Выбирайте Помощник по настройке с современной проверкой подлинности в следующих случаях:
- Вы хотите очистить устройство.
- Вы хотите использовать многофакторную проверку подлинности (MFA).
- Вы хотите предлагать пользователям обновить пароль с истекшим сроком действия при первом входе.
- Вы хотите предлагать пользователям сбросить пароли с истекшим сроком действия во время регистрации.
- Требуется, чтобы устройства регистрировались в Идентификаторе Microsoft Entra. После регистрации вы можете использовать функции, доступные с идентификатором Microsoft Entra, такие как условный доступ.
Примечание.
Во время работы помощника по настройке пользователи должны ввести учетные данные своей организации Microsoft Entra (
user@contoso.com
). Когда пользователи введут учетные данные, начнется регистрация. При необходимости пользователи также могут ввести свой Apple ID для доступа к предлагаемым Apple функциям, например Apple Pay.После завершения работы Помощника по настройке пользователи получат доступ к устройству. Когда отобразится начальный экран, регистрация будет завершена и будет установлено сопоставление пользователей. Устройство не полностью зарегистрировано с идентификатором Microsoft Entra и не отображается в списке устройств пользователя в идентификаторе Microsoft Entra.
Если пользователям требуется доступ к ресурсам, защищенным условным доступом, или они должны быть полностью зарегистрированы с помощью Microsoft Entra ID, установите приложение корпоративного портала. После установки пользователи открывают приложение корпоративного портала и входят в систему с учетной записью Microsoft Entra своей организации (
user@contoso.com
). Во время этого второго входа оцениваются все политики условного доступа, и регистрация Microsoft Entra завершается. Пользователи получают возможность устанавливать и использовать ресурсы организации, в том числе бизнес-приложения.
В Центре администрирования Intune перейдите в раздел Регистрация Apple Configurator и создайте профиль регистрации. Выберите Регистрация с сопоставлением пользователей (связать пользователя с устройством) или Регистрация без сопоставления пользователей (устройства, не имеющие пользователей или общие устройства).
Регистрация с сопоставлением пользователей. Помощник по настройке проверяет подлинность пользователя и регистрирует устройство в Intune. Также выберите, могут ли пользователи удалить профиль управления, называемый Заблокированная регистрация.
Регистрация без сопоставления пользователей. Помощник по настройке проверяет подлинность пользователя и регистрирует пользователя в Intune. Также выберите, могут ли пользователи удалить профиль управления, называемый Заблокированная регистрация. Приложение "Корпоративный портал" не используется, не требуется или поддерживается при регистрации без сопоставления пользователей.
Задачи конечных пользователей ADE
Эти задачи зависят от того, как администраторы сообщают пользователям о необходимости установки приложения "Корпоративный портал". Как правило, чем меньше конечным пользователям нужно выполнить действий для регистрации, тем выше вероятность их регистрации.
Дополнительные сведения о действиях пользователя см. в статье Регистрация устройства macOS с помощью приложения корпоративного портала.
Регистрация с сопоставлением пользователей + Помощник по настройке (устаревшая версия):
При включении устройства запустится помощник по настройке Apple. Пользователи вводят свои идентификаторы Apple ID (
user@iCloud.com
илиuser@gmail.com
).Помощник по настройке запрашивает информацию у пользователя и регистрирует устройство в Intune. Устройство не зарегистрировано в идентификаторе Microsoft Entra.
Если вы используете помощник по настройке для проверки подлинности, остановитесь на этом месте.
Необязательный параметр. Если вы используете приложение "Корпоративный портал" для проверки подлинности (вместо помощника по настройке), то это приложение устанавливается согласно варианту, который вы настроили.
Пользователи открывают приложение "Корпоративный портал" и выполняют вход с учетными данными их организации (
user@contoso.com
). После входа пользователи проходят проверку подлинности и получают доступ к ресурсам организации.Помните, установка приложения "Корпоративный портал" необязательна. Если вы хотите, чтобы пользователи прошли проверку подлинности с помощью приложения "Корпоративный портал", а не помощника по настройке, добавьте приложение "Корпоративный портал".
Регистрация с использованием сходства пользователей + Помощник по настройке с современной проверкой подлинности:
При включении устройства запустится помощник по настройке Apple. Пользователи вводят свой идентификатор Apple ID (
user@iCloud.com
илиuser@gmail.com
) и учетные данные Организации Microsoft Entra (user@contoso.com
).Когда пользователи вводят свои учетные данные Microsoft Entra, начинается регистрация.
Помощник по настройке может предложить пользователю дополнительные сведения. По завершении процедуры пользователи получают доступ к устройству. Когда отобразится начальный экран, регистрация будет завершена и будет установлено сопоставление пользователей. Пользователи увидят на устройстве ваши политики и приложения.
Пользователи должны открыть приложение "Корпоративный портал" и заново войти под корпоративными учетными данными (
user@contoso.com
).
Регистрация без сопоставления пользователей. Действия не требуются. Убедитесь, что пользователи не устанавливают приложение "Корпоративный портал".
Обычно пользователи не регистрируются самостоятельно и могут быть не знакомы с приложением корпоративного портала. Обязательно предоставьте рекомендации, в том числе о том, какие сведения нужно ввести. Некоторые рекомендации по взаимодействию с пользователями см. в статье Руководство по планированию. Шаг 5. Создание плана развертывания.
Регистрация без участия торгового посредника
Используйте устройства, которые принадлежат вашей организации и не нуждаются в сопоставлении с пользователем.
Эти устройства принадлежат организации и используют Apple Configurator. Единственной целью является работа устройства в стиле киоска. Они не связаны с одним или конкретным пользователем. Эти устройства обычно используются для сканирования предметов, печати билетов, получения цифровых подписей, управления инвентаризацией и многого другого.
Дополнительные сведения об этом типе регистрации см. в статье Использование прямой регистрации для устройств macOS.
Функция | Используйте этот вариант регистрации, когда: |
---|---|
Необходимо проводные подключения или имеются неполадки сети. | ✅ |
Ваша организация не хочет, чтобы администраторы использовали портал ABM или ASM или не хочет выполнять все необходимые настройки. | ✅ Смысл неиспользования портала ABM или ASM — предоставление администраторам меньшего уровня контроля. |
Страна или регион не поддерживают Apple Business Manager (ABM) или Apple School Manager (ASM). | ✅ Если ваша страна или регион поддерживает ABS или ASM, устройства должны быть зарегистрированы с помощью автоматической регистрации устройств (в этой статье). |
Устройства принадлежат организации или школе. | ✅ |
У вас имеются новые или существующие устройства. | ✅ |
Необходима регистрация множества устройств (массовая регистрация). | ✅ При наличии большого количества устройств этот метод занимает некоторое время. |
Устройства связаны с единственным пользователем. | ❌ Это делать не рекомендуется. Устройства, которые нуждаются в сопоставлении с пользователем, должны быть зарегистрированы с помощью автоматической регистрации устройств (ADE). |
Устройства не имеют пользователей — например, киоски или выделенные устройства. | ✅ |
Устройства являются личными или BYOD. | ❌ Это делать не рекомендуется. BYOD или личные устройства должны быть зарегистрированы с помощью MAM (откроется другая статья Майкрософт) или BYOD: регистрация устройств (в этой статье). |
Устройства находятся под управлением другого поставщика MDM. | ❌ Чтобы обеспечить полное управление с помощью Intune, пользователям необходимо отменять регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune. Или вы можете использовать MAM, чтобы управлять конкретными приложениями на устройстве. Так как эти устройства принадлежат организации, мы рекомендуем зарегистрировать их в Intune. |
Вы используете учетную запись диспетчера регистрации устройств (DEM). | ❌ Учетная запись DEM не поддерживается. |
Задачи администратора прямой регистрации
Этот список задач содержит общие сведения. Дополнительные сведения см. в статье Прямая регистрация macOS.
Убедитесь, что устройства поддерживаются.
Убедитесь, что push-сертификат Apple MDM добавлен в Intune и активен. Этот сертификат необходим для регистрации устройств macOS. Дополнительные сведения см. в статье Получение push-сертификата Apple MDM.
В Центре администрирования Intune создайте профиль регистрации. Выберите Регистрация без сопоставления пользователей (устройства, не имеющие пользователей, или общие устройства). С применением устройств, не имеющих пользователей:
- Пользователи не могут использовать приложения, для которых требуется пользователь, включая приложение "Корпоративный портал". Приложение "Корпоративный портал" не используется, не требуется или поддерживается при регистрации без сопоставления пользователей. Убедитесь, что пользователи не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.
- Регистрация с сопоставлением пользователей доступна в пользовательском интерфейсе, но не будет работать. Не выбирайте этот параметр. Если требуется сопоставление пользователей, используйте автоматическую регистрацию устройств (раздел в этой статье).
Когда профиль регистрации будет готов, экспортируйте политику и скопируйте файл на устройство macOS. Дважды щелкните файл, чтобы установить политику регистрации.
Дополнительные сведения об этом параметре регистрации и его предварительных требованиях см. в статье Прямая регистрация macOS.
Задачи конечных пользователей при регистрации без участия торгового посредника
Регистрация без сопоставления пользователей. Действия не требуются. Убедитесь, что они не устанавливают приложение "Корпоративный портал" из магазина Apple App Store.