Inschrijving instellen voor MacOS-apparaten in Intune
Microsoft Intune ondersteunt inschrijving op macs in persoonlijke en bedrijfseigendom. In dit artikel worden de methoden en functies beschreven die u kunt gebruiken om persoonlijke apparaten, apparaten in bedrijfseigendom en virtuele machines (VM's) in te schrijven.
Inschrijving in Microsoft Intune inschakelen
Voer eerst deze stappen uit om inschrijving in te schakelen in uw Microsoft Intune-tenant.
- Controleer of apparaten in aanmerking komen voor Apple-apparaatinschrijving
- Domeinen configureren
- De MDM-instantie instellen
- Een Apple MDM Push-certificaat verkrijgen
- Gebruikerslicenties toewijzen in het Microsoft 365-beheercentrum
- Groepen maken
- De bedrijfsportal-app configureren
Apparaten registreren
Nadat u de inschrijving hebt ingeschakeld, gebruikt u een van de ondersteunde methoden die in deze sectie worden beschreven om apparaten in te schrijven die eigendom zijn van de gebruiker en het bedrijf.
MacOS-apparaten in gebruikerseigendom (BYOD)
Intune ondersteunt bring-your-own-device of BYOD, waarmee personen hun persoonlijke apparaten zelf kunnen inschrijven. Als u het instellen van de inschrijving voor BYOD-scenario's wilt voltooien, laat u uw gelicentieerde gebruikers een van deze opties gebruiken om apparaten in te schrijven:
- Meld u aan bij de bedrijfsportalwebsite en volg de instructies op het scherm om een apparaat toe te voegen.
- Installeer de bedrijfsportal-app voor Mac op aka.ms/EnrollMyMac en volgscherminstructies om een apparaat toe te voegen.
MacOS-apparaten in bedrijfseigendom
Intune ondersteunt de volgende inschrijvingsmethoden voor macOS-apparaten in bedrijfseigendom. Selecteer een methode met hyperlinks om de bijbehorende installatiestappen te openen.
- Automatische apparaatinschrijving van Apple: gebruik deze methode om de inschrijvingservaring te automatiseren op apparaten die zijn aangeschaft via Apple Business Manager of Apple School Manager. Geautomatiseerde apparaatinschrijving implementeert het inschrijvingsprofiel over-the-air, zodat u geen fysieke toegang tot apparaten hoeft te hebben.
- Apparaatinschrijvingsmanager (DEM): gebruik deze methode voor grootschalige implementaties en wanneer er meerdere personen in uw organisatie zijn die kunnen helpen bij het instellen van de inschrijving. Iemand met DEM-machtigingen (Device Enrollment Manager) kan maximaal 1000 apparaten inschrijven met één Microsoft Entra-account. Deze methode maakt gebruik van de bedrijfsportal-app of Microsoft Intune-app om apparaten in te schrijven. U kunt een DEM-account niet gebruiken om apparaten in te schrijven via Automatische apparaatinschrijving.
- Directe inschrijving: met directe inschrijving worden apparaten ingeschreven zonder gebruikersaffiniteit, dus deze methode is het beste voor apparaten die niet aan één gebruiker zijn gekoppeld. Voor deze methode moet u fysieke toegang hebben tot de Macs die u wilt inschrijven.
Bootstrap-tokens
Intune ondersteunt het gebruik van bootstraptokens op ingeschreven Macs met macOS 10.15 of hoger. Bootstrap-tokens verlenen de status volumeeigendom aan lokale gebruikers- en gastaccounts, zodat niet-beheerders belangrijke bewerkingen kunnen goedkeuren die een beheerder anders zou moeten uitvoeren. Bewerkingen zoals:
Door de gebruiker geïnitieerde software-updates
Kernelextensie installeren op Apple Silicon
U kunt bootstraptokens gebruiken op Macs onder supervisie en Macs die zijn ingeschreven via geautomatiseerde macOS-apparaatinschrijving.
Bootstrap-token ophalen
Het bootstrap-token wordt automatisch gegenereerd wanneer:
- Een zojuist ingeschreven Mac checkt in bij Intune en
- Een gebruiker met een beveiligd token (meestal een Intune-beheerder) meldt zich aan bij de Mac met een wachtwoord voor duidelijke tekst
Het token wordt vervolgens automatisch geblokkeerd naar Microsoft Intune. U kunt een opdrachtregelprogramma gebruiken om een bootstrap-token handmatig weer te geven, te genereren en te borgen op ondersteunde macOS-apparaten, indien nodig. Zie Beveiligde token, bootstrap-token en volume-eigendom gebruiken in implementaties op Apple Support voor meer informatie over opdrachten.
Bootstrap-escrowstatus bewaken
U kunt de escrowstatus voor elke ingeschreven Mac controleren in het beheercentrum. De hardwareeigenschap Bootstrap token escrowed geeft aan of het bootstrap-token al dan niet is geblokkeerd in Intune. Intune rapporteert Ja wanneer het token is geblokkeerd en Nee wanneer het token niet is geblokkeerd.
- Meld je aan bij het Microsoft Intune-beheercentrum.
- Ga naar Apparaten>op platform>macOS.
- Selecteer een apparaat in uw lijst met macOS-apparaten.
- Selecteer Hardware.
- Schuif in uw hardwaredetails omlaag naar Voorwaardelijke toegang>Bootstrap-token geblokkeerd.
Kernelextensies en software-updates beheren
Belangrijk
Kernelextensies worden niet meer aanbevolen voor macOS. Apple raadt aan om waar mogelijk systeemextensies te gebruiken. Zie Apple Platform Security Guide - Securely uitbreiding van de kernel in macOS op Apple Support voor meer informatie.
Een bootstrap-token kan worden gebruikt om de installatie van zowel kernelextensies als software-updates op een Mac met Apple silicon goed te keuren.
Door de gebruiker geïnitieerde software-updates kunnen worden uitgevoerd met een bootstrap-token op Macs waarop macOS versie 11.1 wordt uitgevoerd en kunnen worden ingeschreven via geautomatiseerde apparaatinschrijving. Als u door de gebruiker geïnitieerde software-updates wilt autoriseren op een apparaat dat niet is ingeschreven via automatische apparaatinschrijving, moet u de Mac opnieuw opstarten in de herstelmodus en de beveiligingsinstellingen downgraden. U kunt het bootstraptoken ook gebruiken voor software-updates op Macs met macOS 11.2 en hoger, met als enige vereiste dat het apparaat onder supervisie moet staan.
Kernelextensiebeheer is automatisch beschikbaar op Macs met macOS 11 of hoger en is geregistreerd via geautomatiseerde apparaatinschrijving. Als u het externe beheer van kernelextensies wilt autoriseren op een apparaat dat niet is ingeschreven via automatische apparaatinschrijving, moet u de Mac opnieuw opstarten in de herstelmodus en de beveiligingsinstellingen downgraden. Zie Beveiligingsinstellingen wijzigen op de opstartschijf van een Mac met Apple silicon op Apple Support voor meer informatie.
MacOS-inschrijving blokkeren
Standaard staat Intune macOS-apparaten toe om zich in te schrijven. Zie Een beperking voor het apparaatplatform instellen om de inschrijving van macOS-apparaten te blokkeren.
Virtuele macOS-machines inschrijven voor testen
Opmerking
Intune ondersteunt virtuele macOS-machines alleen voor testdoeleinden. Gebruik geen virtuele machines (VM's) als officiële apparaten voor werknemers of studenten.
Intune ondersteunt VM's die worden uitgevoerd:
- Parallels Desktop
- VMware Fusion
- Apple Silicon
Intune moet het hardwaremodel en het serienummer van de VM kennen om deze te herkennen en in te schrijven als een apparaat. Als u probeert een virtuele machine in te schrijven zonder deze gegevens op te geven, mislukt de inschrijving. In deze sectie vindt u meer informatie over hoe u vóór de inschrijving aan deze vereiste kunt voldoen.
Parallels Desktop
Wijzig de configuratie-instellingen van de VM om een vm-serienummer en hardwaremodel-id toe te voegen of te wijzigen. Voer een tekenreeks met alfanumerieke tekens in voor het serienummer. Voor een hardwaremodel wordt u aangeraden het model te gebruiken van het apparaat waarop de VM wordt uitgevoerd. Als u het hardwaremodel van uw Mac wilt vinden, selecteert u het Apple-menu en gaat u naar Over dezeMac-systeemrapportmodel-id>>.
Zie de volgende onderwerpen in de Knowledge Base van Parallels voor meer informatie:
VMware Fusion
Voeg de volgende regels toe aan uw VMX-bestand om het hardwaremodel en serienummer van de VM in te stellen. De waarden in dit voorbeeld zijn voorbeelden.
serialNumber = "ABC123456789"
hw.model = "MacBookAir10,1"
Voer een tekenreeks met alfanumerieke tekens in voor het serienummer. Voor een hardwaremodel wordt u aangeraden het model te gebruiken van het apparaat waarop de VM wordt uitgevoerd. Als u het hardwaremodel van uw Mac wilt vinden, selecteert u het Apple-menu en gaat u naar Over dezeMac-systeemrapportmodel-id>>.
VMware Fusion wordt alleen ondersteund op Intel Macs. Zie de website van VMware-klantverbinding voor meer informatie over het bewerken van het VMX-bestand voor uw VMware Fusion-VM.
Apple Silicon
Er zijn geen wijzigingen vereist voor VM's die worden uitgevoerd op Apple Silicon-hardware. Parallels Desktop wordt ondersteund op Macs met Apple Silicon, dus als u een VM op deze manier instelt, hoeft u de hardwaremodel-id of het serienummer niet te wijzigen.
Door de gebruiker goedgekeurde inschrijving
Alle Mac-inschrijvingen in Intune worden beschouwd als door de gebruiker goedgekeurd. Met door de gebruiker goedgekeurde inschrijving kunt u macOS-apparaten beheren die geen deel uitmaken van Apple School Manager of Apple Business Manager. Het biedt hetzelfde controleniveau als macOS-apparaten onder supervisie die zijn ingeschreven met behulp van automatische apparaatinschrijving of Apple Configurator.
Intune schakelt automatisch toezicht in voor door de gebruiker goedgekeurde apparaten met macOS 11 en hoger. Dit doet ook voor ingeschreven apparaten die later worden bijgewerkt naar macOS 11 of hoger.
Opmerking
Intune heeft in juni 2020 ondersteuning aangekondigd voor door de gebruiker goedgekeurde inschrijving. BYOD-inschrijvingen die vóór die tijd zijn opgetreden, zijn mogelijk niet goedgekeurd door de gebruiker. Zie Door de gebruiker goedgekeurde MDM-inschrijving op de apple ondersteuningswebsite voor meer informatie over apple-apparaten die door de gebruiker worden goedgekeurd.
Gebruikerservaring
De gebruiker van het apparaat meldt zich aan bij de bedrijfsportal-app om de inschrijving te starten. Bedrijfsportal opent vervolgens de systeemvoorkeuren van het apparaat en vraagt de gebruiker om het beheerprofiel te installeren. Bedrijfsportal biedt in-app instructies om gebruikers te helpen het profiel te vinden. Gebruikers gaan naar Systeemvoorkeurenprofielen> om de installatie van het beheerprofiel goed te keuren. Apparaatgebruikers die geen goedkeuring geven tijdens de inschrijving, kunnen later terugkeren naar systeemvoorkeuren om goedkeuring te geven.
Controleren of het apparaat is goedgekeurd door de gebruiker
- Selecteer apparaten>Alle apparaten in het beheercentrum.
- Kies een macOS-apparaat.
- Selecteer Hardware in het zijmenu.
- Controleer de waarde naast Door gebruiker goedgekeurde inschrijving.
Back-ups maken en herstellen met Apple Migration Assistant
Gebruik Apple Migration Assistant om een back-up te maken van een macOS-apparaat en deze te herstellen. U kunt het hulpprogramma gebruiken om een back-up te maken van een Mac en de bijbehorende app-gegevens op een nieuw apparaat te herstellen. Het is belangrijk om te weten:
- Er wordt geen back-up gemaakt van het beheerprofiel op de oorspronkelijke Mac. Het apparaat krijgt een nieuw beheerprofiel wanneer de nieuwe Mac opnieuw wordt ingeschreven. Dit gebeurt op Macs die de automatische apparaatinschrijving van Apple doorlopen en Macs die geen geautomatiseerde apparaatinschrijving doorlopen.
- De referenties van de bedrijfsportal-app worden mogelijk hersteld op de nieuwe Mac nadat deze de Migratieassistent heeft doorlopen en is ingeschreven. Als dit gebeurt, raden we u of de gebruiker van het apparaat aan om de volgende stappen uit te voeren om app-gegevens te wissen:
- Meld u af bij de bedrijfsportal-app.
- Meld u aan bij de app of de bedrijfsportalwebsite.
Volgende stappen
Zie Uw macOS-apparaat inschrijven bij Intune voor documentatie voor gebruikersondersteuning, met stapsgewijze instructies voor inschrijving voor apparaatgebruikers. U kunt ook uw eigen instructies maken als u liever de eigen of aangepaste inschrijvingservaring van uw organisatie vastlegt.
Nadat macOS-apparaten zijn ingeschreven, kunt u aangepaste instellingen maken voor macOS-apparaten.