Implementatiehandleiding: macOS-apparaten beheren in Microsoft Intune
Beveiligde toegang tot zakelijke e-mail, gegevens en apps op macOS-apparaten. In dit artikel wordt u begeleid bij macOS-specifieke taken om intune-beheer van mobiele apparaten voor macOS in te schakelen, beleidsregels te configureren en apps te implementeren.
Vereisten
Voer de volgende vereisten uit om macOS-apparaatbeheer in Te schakelen in Intune:
- Gebruikers en groepen toevoegen
- Licenties toewijzen aan gebruikers
- Instantie voor beheer van mobiele apparaten instellen
- Apple MDM-pushcertificaat (APNs) instellen
Zie RBAC met Microsoft Intune voor meer informatie over Microsoft Intune-rollen en -machtigingen. De rollen Globale beheerder van Microsoft Entra en Intune-beheerder hebben volledige rechten in Microsoft Intune. De globale beheerder heeft meer machtigingen dan nodig is voor veel apparaatbeheertaken in Microsoft Intune. We raden u aan de minst bevoegde rol te gebruiken die nodig is om taken te voltooien. De rol met de minste bevoegdheden waarmee apparaatinschrijvingstaken kunnen worden voltooid, is bijvoorbeeld Beleids- en profielbeheer, een ingebouwde Intune-rol.
Zie de implementatiehandleiding voor Het instellen van Intune voor meer gedetailleerde informatie over het uitvoeren van de eerste installatie, onboarding of overstappen naar Microsoft Intune.
Uw implementatie plannen
Gebruik de Microsoft Intune-planningshandleiding om uw doelen voor apparaatbeheer, use-casescenario's en vereisten te definiëren. Het helpt u ook bij het plannen van implementatie, communicatie, ondersteuning, testen en validatie. Omdat de bedrijfsportal-app voor macOS bijvoorbeeld niet beschikbaar is in de App Store, raden we u aan een communicatieplan te hebben, zodat eindgebruikers weten hoe ze de bedrijfsportal moeten installeren en hun apparaten moeten inschrijven.
Apparaten registreren
Configureer de inschrijvingsmethoden en -ervaring voor macOS-apparaten in bedrijfseigendom en persoonlijke apparaten. Deze stap zorgt ervoor dat apparaten Intune-beleid en -configuraties ontvangen nadat ze zijn ingeschreven. Intune biedt ondersteuning voor BYOD-inschrijving (Bring Your Own Device), Automatische apparaatinschrijving van Apple en directe inschrijving voor bedrijfsapparaten. Zie de handleiding voor macOS-apparaatinschrijving voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u een methode kunt kiezen die geschikt is voor uw organisatie.
Taak | Details |
---|---|
Inschrijving instellen voor BYOD-apparaten (gebruikerseigendom) | Voltooi de vereisten in dit artikel om inschrijving in te schakelen voor apparaten die eigendom zijn van de gebruiker. U vindt ook inschrijvingsresources en koppelingen om te delen met apparaatgebruikers, zodat ze tijdens de inschrijvingservaring worden ondersteund. Deze inschrijvingsmethode is voor organisaties met BYOD-beleid ( Bring Your Own Device ). Met BYOD kunnen mensen hun persoonlijke apparaten gebruiken voor werkgerelateerde zaken. |
Apple Automated Device Enrollment (ADE) instellen | Stel een out-of-the-box-inschrijvingservaring in waarmee de inschrijving wordt geautomatiseerd op apparaten in bedrijfseigendom die zijn aangeschaft via Apple School Manager of Apple Business Manager. Deze methode is ideaal voor organisaties die een groot aantal apparaten hebben om in te schrijven, omdat het niet nodig is om elk apparaat afzonderlijk aan te raken en te configureren. |
Directe inschrijving instellen voor bedrijfsapparaten | Een inschrijvingservaring instellen voor apparaten in bedrijfseigendom die niet verbonden zijn met één gebruiker, zoals apparaten die worden gebruikt in een gedeelde ruimte of winkelinstelling. Met directe inschrijving wordt het apparaat niet gewist, dus het is ideaal om te gebruiken wanneer apparaten geen toegang nodig hebben tot lokale gebruikersgegevens. U moet het inschrijvingsprofiel rechtstreeks overdragen naar de Mac. Hiervoor is een USB-verbinding met een Mac-computer met Apple Configurator vereist. |
Een apparaatinschrijvingsmanager toevoegen | Personen die zijn aangewezen als apparaatinschrijvingsmanagers (DEM) kunnen maximaal 1000 mobiele apparaten in bedrijfseigendom tegelijk inschrijven. DEM-accounts zijn handig in organisaties die apparaten registreren en voorbereiden voordat ze aan gebruikers worden overhandigd. |
Apparaten identificeren als bedrijfseigendom | U kunt de status in bedrijfseigendom toewijzen aan apparaten om meer beheer- en identificatiemogelijkheden in Intune mogelijk te maken. De status bedrijfseigendom kan niet worden toegewezen aan apparaten die zijn ingeschreven via Apple Business Manager. |
Eigendom van apparaat wijzigen | Nadat een apparaat is ingeschreven, kunt u het eigendomslabel in Intune wijzigen in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat kunt beheren. |
Inschrijvingsproblemen oplossen | Problemen oplossen en oplossen die optreden tijdens de inschrijving. |
Nalevingsregels maken
Maak nalevingsbeleid om de regels en voorwaarden te definiëren waaraan gebruikers en apparaten moeten voldoen om toegang te krijgen tot uw beveiligde resources. Zo zorgt u ervoor dat apparaten die toegang hebben tot uw gegevens, voldoen aan uw standaarden. Intune markeert apparaten die niet voldoen aan uw vereisten als niet-compatibel en onderneemt actie (zoals het verzenden van een melding aan de gebruiker, het beperken van de toegang of het wissen van het apparaat) op basis van uw configuraties.
Als u een beleid voor voorwaardelijke toegang maakt, kan dit samen met de nalevingsresultaten van uw apparaat de toegang tot resources van niet-compatibele apparaten blokkeren. Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor een gedetailleerde uitleg over nalevingsbeleid en hoe u aan de slag gaat.
Taak | Details |
---|---|
Een nalevingsbeleid maken | Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen. |
Acties voor niet-naleving toevoegen | Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken. |
Een beleid voor voorwaardelijke toegang op basis van apparaten of apps maken | Geef de app of services op die u wilt beveiligen en definieer de voorwaarden voor toegang. |
Toegang blokkeren tot apps die geen moderne verificatie gebruiken | Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2; Bijvoorbeeld apps die gebruikmaken van basis- en formulierverificatie. Voordat u de toegang blokkeert, meldt u zich echter aan bij Microsoft Entra ID en bekijkt u het activiteitenrapport verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële zaken die u bent vergeten of waarvan u niet op de hoogte bent. Zaken zoals kiosken voor vergaderzalen maken bijvoorbeeld gebruik van basisverificatie. |
Apparaatinstellingen configureren
Gebruik Microsoft Intune om instellingen en functies in of uit te schakelen op macOS-apparaten die worden gebruikt voor werk. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatconfiguratieprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie.
Taak | Details |
---|---|
Een apparaatprofiel maken in Microsoft Intune | Meer informatie over de verschillende typen apparaatprofielen die u voor uw organisatie kunt maken. |
Apparaatfuncties configureren | Algemene macOS-functies en -functionaliteit configureren. Zie de naslaginformatie over apparaatfuncties voor een beschrijving van de instellingen in dit gebied. |
Wi-Fi profiel configureren | Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie de naslaginformatie over Wi-Fi-instellingen voor een beschrijving van de instellingen in dit gebied. |
Bekabeld netwerkprofiel configureren | Met dit profiel kunnen personen op desktopcomputers verbinding maken met het bekabelde netwerk van uw organisatie. Zie de naslaginformatie over het bekabelde netwerk voor een beschrijving van de instellingen in dit gebied. |
VPN-profiel configureren | Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. Zie de naslaginformatie over VPN-instellingen voor een beschrijving van de instellingen in dit gebied. |
Apparaatfuncties beperken | Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie de naslaginformatie over apparaatbeperkingen voor een beschrijving van de instellingen in dit gebied. |
Aangepast profiel configureren | Apparaatinstellingen en -functies toevoegen en toewijzen die niet in Intune zijn ingebouwd. |
MacOS-extensies toevoegen en beheren | Voeg kernelextensies en systeemextensies toe, waarmee gebruikers app-extensies kunnen installeren die de systeemeigen mogelijkheden van het besturingssysteem uitbreiden. Zie de naslaginformatie over macOS-extensies voor een beschrijving van de instellingen in dit gebied. |
Huisstijl en inschrijvingservaring aanpassen | Pas de Intune-bedrijfsportal- en Microsoft Intune-app-ervaring aan met de eigen woorden, huisstijl, schermvoorkeuren en contactgegevens van uw organisatie. |
Eindpuntbeveiliging configureren
Gebruik de intune-eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.
Taak | Details |
---|---|
Apparaten beheren met eindpuntbeveiligingsfuncties | Gebruik de instellingen voor eindpuntbeveiliging in Intune om de beveiliging van apparaten effectief te beheren en problemen voor apparaten op te lossen. |
Voorwaardelijke toegang gebruiken om de toegang tot Microsoft Tunnel te beperken | Gebruik beleid voor voorwaardelijke toegang om apparaattoegang tot uw Microsoft Tunnel VPN-gateway te gateen. |
Instellingen voor eindpuntbeveiliging toevoegen | Configureer algemene beveiligingsfuncties voor eindpuntbeveiliging, waaronder Firewall, Gatekeeper en FileVault. Zie de referentie voor endpoint protection-instellingen voor een beschrijving van de instellingen in dit gebied. |
Veilige verificatiemethoden instellen
Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.
Taak | Details |
---|---|
Meervoudige verificatie (MFA) vereisen | Vereisen dat personen twee vormen van referenties opgeven op het moment van inschrijving. |
Een vertrouwd certificaatprofiel maken | Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Met het profiel voor vertrouwd certificaat wordt het vertrouwde basiscertificaat geïmplementeerd op apparaten en gebruikers met geïmporteerde SCEP-, PKCS- en PKCS-certificaten. |
SCEP-certificaten gebruiken met Intune | Ontdek wat er nodig is om SCEP-certificaten te gebruiken met Intune en de vereiste infrastructuur te configureren. Nadat u dit hebt uitgevoerd, kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie instellen met SCEP. |
PKCS-certificaten gebruiken met Intune | Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune-apparaatconfiguratieprofiel. |
Geïmporteerde PKCS-certificaten gebruiken met Intune | Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen. |
Apps implementeren
Denk bij het instellen van apps en app-beleid na over de vereisten van uw organisatie, zoals de platforms die u ondersteunt, de taken die mensen uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en wie ze nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen apps te beheren.
Taak | Details |
---|---|
Intune-bedrijfsportal-app toevoegen | Meer informatie over het ophalen van de bedrijfsportal op apparaten of het instrueren van gebruikers hoe ze dit zelf kunnen doen. |
Microsoft Edge toevoegen | Microsoft Edge toevoegen en toewijzen in Intune. |
Microsoft 365 toevoegen | Microsoft 365-apps toevoegen en toewijzen in Intune. |
Line-Of-Business-apps toevoegen | MacOS LOB-apps (Line-Of-Business) toevoegen en toewijzen in Intune. |
Apps toewijzen aan groepen | Nadat u apps aan Intune hebt toegevoegd, wijst u deze toe aan gebruikers en apparaten. |
App-toewijzingen opnemen en uitsluiten | De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing. |
Shell-scripts gebruiken op macOS-apparaten | Gebruik shellscripts om de mogelijkheden voor apparaatbeheer in Intune uit te breiden buiten wat wordt ondersteund door het macOS-besturingssysteem. |
Externe acties uitvoeren
Nadat apparaten zijn ingesteld, kunt u externe acties in Intune gebruiken om macOS-apparaten op afstand te beheren en problemen op te lossen. In de volgende artikelen maakt u kennis met de externe acties in Intune. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund in macOS.
Taak | Details |
---|---|
Externe actie ondernemen op apparaten | Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures. |
TeamViewer gebruiken om Intune-apparaten op afstand te beheren | Configureer TeamViewer in Intune en leer hoe u een apparaat op afstand beheert. |
Beveiligingstaken gebruiken om bedreigingen en beveiligingsproblemen weer te geven | Integreer Intune met Microsoft Defender voor Eindpunt om te profiteren van het bedreigings- en beveiligingsbeheer van Defender voor Eindpunt en gebruik Intune om eindpuntproblemen op te lossen die zijn geïdentificeerd door de mogelijkheid voor het beheer van beveiligingsproblemen van Defender. |
Volgende stappen
Bekijk Walk through Intune-beheercentrum voor een zelfstudie over het navigeren en gebruiken van Intune. Zelfstudies bestaan uit inhoud van 100 tot 200 niveaus voor personen die nieuw zijn bij Intune of een specifiek scenario.
Zie de volgende Microsoft Tech Community-blogs die zijn geschreven door het Intune-ondersteuningsteam voor zelfstudies over de implementatie van apps:
Zie voor andere versies van deze handleiding: