instellingen voor macOS-apparaatfuncties in Intune
Opmerking
Intune ondersteunt mogelijk meer instellingen dan de instellingen die in dit artikel worden vermeld. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratiebeleid en selecteert u Instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.
Intune bevat ingebouwde instellingen om functies op uw macOS-apparaten aan te passen. Beheerders kunnen bijvoorbeeld AirPrint-printers toevoegen, kiezen hoe gebruikers zich aanmelden, de energiebeheeropties configureren, eenmalige aanmelding gebruiken en meer.
Gebruik deze functies om macOS-apparaten te beheren als onderdeel van uw MDM-oplossing (Mobile Device Management).
Deze functie is van toepassing op:
- macOS
In dit artikel worden deze instellingen beschreven. Ook worden de stappen vermeld voor het ophalen van het IP-adres, het pad en de poort van AirPrint-printers met behulp van de Terminal-app (emulator). Ga naar Instellingen voor iOS-/iPadOS- of macOS-apparaatfuncties toevoegen voor meer informatie over apparaatfuncties.
Voordat u begint
Deze instellingen zijn van toepassing op verschillende inschrijvingstypen, waarbij sommige instellingen van toepassing zijn op alle inschrijvingsopties. Ga naar macOS-inschrijving voor meer informatie over de verschillende inschrijvingstypen.
AirPrint
Instellingen zijn van toepassing op: alle inschrijvingstypen
AirPrint-bestemmingen: voer een of meer AirPrint-printergegevens in, zodat gebruikers vanaf hun apparaat kunnen afdrukken:
-
IP-adres: voer het IPv4- of IPv6-adres van de printer in. Voer bijvoorbeeld in
10.0.0.1
. Als u hostnamen gebruikt om printers te identificeren, kunt u het IP-adres ophalen door de printer te pingen in de Terminal-app. Het IP-adres en het pad ophalen (in dit artikel) bevat meer informatie. -
Resourcepad: voer het resourcepad van de printer in. Het pad is doorgaans
ipp/print
voor printers in uw netwerk. Het IP-adres en het pad ophalen (in dit artikel) bevat meer informatie. - Poort (iOS 11.0+, iPadOS 13.0+): Voer de luisterpoort van de AirPrint-bestemming in. Als u deze eigenschap leeg laat, gebruikt AirPrint de standaardpoort.
-
TLS forceren (iOS 11.0+, iPadOS 13.0+): Uw opties:
- Uitschakelen (standaard): Tls (Transport Layer Security) wordt niet afgedwongen wanneer u verbinding maakt met AirPrint-printers.
- Inschakelen: Beveiligt AirPrint-verbindingen met TLS (Transport Layer Security).
-
IP-adres: voer het IPv4- of IPv6-adres van de printer in. Voer bijvoorbeeld in
Importeer een door komma's gescheiden bestand (.csv) dat een lijst met AirPrint-printers bevat. Nadat u AirPrint-printers in Intune hebt toegevoegd, kunt u deze lijst ook exporteren .
Het IP-adres en -pad ophalen
Als u AirPrinter-servers wilt toevoegen, hebt u het IP-adres van de printer, het resourcepad en de poort nodig. In de volgende stappen ziet u hoe u deze informatie kunt verkrijgen.
Op een Mac die verbinding maakt met hetzelfde lokale netwerk (subnet) als de AirPrint-printers, opent u de Terminal-app (vanuit /Toepassingen/Hulpprogramma's).
Voer in de Terminal-app in
ippfind
en selecteer Enter.Noteer de printergegevens. Het kan bijvoorbeeld iets retourneren als
ipp://myprinter.local.:631/ipp/port1
. Het eerste deel is de naam van de printer. Het laatste deel (ipp/port1
) is het resourcepad.Typ in de Terminal-app
ping myprinter.local
en selecteer Enter.Noteer het IP-adres. Het kan bijvoorbeeld iets retourneren als
PING myprinter.local (10.50.25.21)
.Gebruik de waarden van het IP-adres en het resourcepad. In dit voorbeeld is
10.50.25.21
het IP-adres en is het resourcepad/ipp/port1
.
Gekoppelde domeinen
In Intune kunt u het volgende doen:
- Voeg veel app-naar-domeinkoppelingen toe.
- Koppel veel domeinen aan dezelfde app.
Deze instelling is van toepassing op:
- macOS 10.15 en hoger
Instellingen zijn van toepassing op: door de gebruiker goedgekeurde apparaatinschrijving en geautomatiseerde apparaatinschrijving
Deze instellingen maken gebruik van de payload AssociatedDomains.ConfigurationItem (hiermee opent u de website van Apple).
Gekoppelde domeinen: voeg een koppeling toe tussen uw domein en een app. Met deze functie worden aanmeldingsreferenties gedeeld tussen een Contoso-app en een Contoso-website. Voer ook het volgende in:
App-id: voer de app-id in van de app die u wilt koppelen aan een website. De app-id bevat de team-id en een bundel-id:
TeamID.BundleID
.De team-id is een alfanumerieke tekenreeks van 10 tekens (letters en cijfers) die door Apple wordt gegenereerd voor uw app-ontwikkelaars, zoals
ABCDE12345
. Uw team-id zoeken (hiermee opent u de website van Apple) vindt u meer informatie.De bundel-id identificeert de app op unieke wijze en wordt meestal opgemaakt in omgekeerde domeinnaamnotatie. De bundel-id van Finder is
com.apple.finder
bijvoorbeeld .De bundel-id ophalen:
- Open de Terminal-app en gebruik AppleScript:
osascript -e 'id of app "ExampleApp"'
- Voor apps die zijn toegevoegd aan Intune , kunt u het Intune-beheercentrum gebruiken.
- Open de Terminal-app en gebruik AppleScript:
Domeinen: voer het websitedomein in dat u wilt koppelen aan een app. Het domein bevat een servicetype en een volledig gekwalificeerde hostnaam, zoals
webcredentials:www.contoso.com
.U kunt alle subdomeinen van een gekoppeld domein vergelijken door (een sterretje jokerteken en een punt) in te voeren
*.
vóór het begin van het domein. De periode is vereist. Exacte domeinen hebben een hogere prioriteit dan jokertekendomeinen. Patronen van bovenliggende domeinen worden dus vergeleken als er geen overeenkomst wordt gevonden in het volledig gekwalificeerde subdomein.Het servicetype kan zijn:
- authsrv: app-extensie voor eenmalige aanmelding
- applink: Universele koppeling
- webcredentials: wachtwoord automatisch invullen
Directe downloads inschakelen: Met Ja worden de domeingegevens rechtstreeks vanaf het apparaat gedownload, in plaats van via het CDN (Content Delivery Network) van Apple te gaan. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem gegevens downloaden via het CDN van Apple dat is toegewezen aan gekoppelde domeinen.
Deze instelling is van toepassing op:
- macOS 11 en hoger
Tip
Als u problemen wilt oplossen, opent u op uw macOS-apparaat Systeemvoorkeurenprofielen>. Controleer of het profiel dat u hebt gemaakt in de lijst met apparaatprofielen staat. Als deze wordt vermeld, controleert u of de configuratie van gekoppelde domeinen zich in het profiel bevindt en de juiste app-id en domeinen bevat.
Inhoud in cache opslaan
In de cache opslaan van inhoud wordt een lokale kopie van de inhoud opgeslagen. Andere Apple-apparaten kunnen deze informatie ophalen zonder verbinding te maken met internet. Deze caching versnelt downloads door software-updates, apps, foto's en andere inhoud op te slaan wanneer ze voor het eerst worden gedownload. Omdat apps eenmaal worden gedownload en gedeeld met andere apparaten, besparen scholen en organisaties met veel apparaten bandbreedte.
Opmerking
Gebruik slechts één profiel voor deze instellingen. Als u meerdere profielen met deze instellingen toewijst, treedt er een fout op.
Ga naar Logboeken en statistieken voor inhoud in cache weergeven (hiermee opent u de website van Apple) voor meer informatie over het bewaken van inhoud in de cache.
Deze instelling is van toepassing op:
- macOS 10.13.4 en hoger
Instellingen zijn van toepassing op: alle inschrijvingstypen
Ga voor meer informatie over deze instellingen naar Instellingen voor nettoladingen in cache opslaan (hiermee opent u de website van Apple).
Inhoud in cache opslaan inschakelen: Met Ja wordt het opslaan van inhoud in de cache ingeschakeld en kunnen gebruikers dit niet uitschakelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem dit uitschakelen.
Type inhoud dat in de cache moet worden opgeslagen: Uw opties:
- Alle inhoud: iCloud-inhoud en gedeelde inhoud in de cache opslaan.
- Alleen gebruikersinhoud: hiermee wordt de iCloud-inhoud van de gebruiker in de cache opgeslagen, inclusief foto's en documenten.
- Alleen gedeelde inhoud: hiermee worden apps en software-updates in de cache opgeslagen.
Maximale cachegrootte: voer de maximale hoeveelheid schijfruimte (in bytes) in die wordt gebruikt voor het opslaan van inhoud in de cache. Wanneer deze instelling leeg blijft (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem deze waarde instellen op nul (
0
) bytes, waardoor de cache onbeperkte schijfruimte krijgt.Zorg ervoor dat u de beschikbare ruimte op de apparaten niet overschrijdt. Ga voor meer informatie over de opslagcapaciteit van apparaten naar Hoe iOS en macOS opslagcapaciteit rapporteren (hiermee wordt de website van Apple geopend).
Cachelocatie: voer het pad in voor het opslaan van de inhoud in de cache. De standaardlocatie is
/Library/Application Support/Apple/AssetCache/Data
. We raden u aan deze locatie niet te wijzigen.Als u deze instelling wijzigt, wordt uw inhoud in de cache niet verplaatst naar de nieuwe locatie. Als u deze automatisch wilt verplaatsen, moeten gebruikers de locatie op het apparaat wijzigen (Systeemvoorkeuren>Inhoud in cache opslaan>).
Poort: voer het TCP-poortnummer op apparaten in voor de cache om download- en uploadaanvragen te accepteren, van 0-65535. Voer nul () (
0
standaard) in om de beschikbare poort te gebruiken.Internetverbinding en het delen van inhoud in de cache blokkeren: ook wel tethered caching genoemd. Met Ja voorkomt u delen van internetverbindingen en voorkomt u dat inhoud in de cache wordt gedeeld met iOS-/iPadOS-apparaten die VIA USB zijn verbonden met hun Mac. Gebruikers kunnen deze functie niet inschakelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.
Delen van internetverbinding inschakelen: ook wel bekend als cache met tethering. Ja staat delen van internetverbindingen toe en staat het delen van inhoud in de cache toe met iOS-/iPadOS-apparaten die VIA USB zijn verbonden met hun Mac. Gebruikers kunnen deze functie niet uitschakelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem dit uitschakelen.
Deze instelling is van toepassing op:
- macOS 10.15.4 en hoger
Cache inschakelen om clientgegevens te registreren: Ja registreert het IP-adres en poortnummer van de apparaten die inhoud aanvragen. Als u apparaatproblemen wilt oplossen, kan dit logboekbestand helpen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard wordt deze informatie mogelijk niet door het besturingssysteem geregistreerd.
Houd altijd inhoud uit de cache, zelfs wanneer het systeem schijfruimte nodig heeft voor andere apps: Ja behoudt de cache-inhoud en zorgt ervoor dat er niets wordt verwijderd, zelfs als er weinig schijfruimte is. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem inhoud automatisch uit de cache opschonen wanneer er opslagruimte nodig is voor andere apps.
Deze instelling is van toepassing op:
- macOS 10.15 en hoger
Statuswaarschuwingen weergeven: Met Ja worden waarschuwingen weergegeven als systeemmeldingen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard worden deze waarschuwingen mogelijk niet weergegeven als systeemmeldingen in het besturingssysteem.
Deze instelling is van toepassing op:
- macOS 10.15 en hoger
Voorkomen dat het apparaat in de slaapstand staat tijdens het in de cache opslaan is ingeschakeld: Met Ja voorkomt u dat de computer in de slaapstand gaat wanneer caching is ingeschakeld. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat het apparaat in de slaapstand wordt gezet.
Deze instelling is van toepassing op:
- macOS 10.15 en hoger
Apparaten die in de cache moeten worden opgeslagen: kies de apparaten die inhoud in de cache kunnen opslaan. Uw opties:
- Niet geconfigureerd (standaard): deze instelling wordt niet gewijzigd of bijgewerkt in Intune.
- Apparaten die gebruikmaken van hetzelfde lokale netwerk: de inhoudscache biedt inhoud aan apparaten in hetzelfde directe lokale netwerk. Er wordt geen inhoud aangeboden aan apparaten op andere netwerken, inclusief apparaten die bereikbaar zijn via de inhoudscache.
- Apparaten met hetzelfde openbare IP-adres: de inhoudscache biedt inhoud aan apparaten die hetzelfde openbare IP-adres gebruiken. Er wordt geen inhoud aangeboden aan apparaten op andere netwerken, inclusief apparaten die bereikbaar zijn via de inhoudscache.
-
Apparaten die gebruikmaken van aangepaste lokale netwerken: de inhoudscache biedt inhoud aan apparaten in de IP-bereiken die u invoert.
- Luisterbereiken van client: voer het bereik in van IP-adressen die de inhoudscache kunnen ontvangen.
-
Apparaten die gebruikmaken van aangepaste lokale netwerken met terugval: de inhoudscache biedt inhoud aan apparaten in de luisterbereiken, peer-luisterbereiken en bovenliggende IP-adressen.
- Luisterbereiken van client: voer het bereik in van IP-adressen die de inhoudscache kunnen ontvangen.
Aangepaste openbare IP-adressen: voer een bereik van openbare IP-adressen in. De cloudservers gebruiken dit bereik om clientapparaten te koppelen aan caches.
Inhoud delen met andere caches: wanneer uw netwerk meer dan één inhoudscache heeft, worden de inhoudscaches op andere apparaten automatisch peers. Deze apparaten kunnen software in de cache raadplegen en delen.
Wanneer een aangevraagd item niet beschikbaar is in één inhoudscache, worden de peers gecontroleerd op het item. Als het item beschikbaar is, wordt het gedownload vanuit de inhoudscache op het peerapparaat. Als het nog steeds niet beschikbaar is, downloadt de inhoudscache het item van:
Een bovenliggend IP-adres, indien geconfigureerd
OF
Van Apple via internet
Wanneer er meer dan één inhoudscache beschikbaar is, selecteren apparaten automatisch de juiste inhoudscache.
Uw opties:
Niet geconfigureerd (standaard): deze instelling wordt niet gewijzigd of bijgewerkt in Intune.
Inhoudscaches die gebruikmaken van dezelfde lokale netwerken: inhoudscache alleen peers met andere inhoudscaches op hetzelfde directe lokale netwerk.
Inhoudscaches met hetzelfde openbare IP-adres: inhoudscache wordt alleen peers met andere inhoudscaches op hetzelfde openbare IP-adres.
Inhoudscaches met aangepaste lokale netwerken: inhoudscache alleen peers met andere inhoudscaches in het IP-adresbereik dat u invoert:
- Peer-luisterbereiken: voer de IPv4- of IPv6-begin- en eind-IP-adressen voor uw bereik in. De inhoudscache reageert alleen op peercacheaanvragen van inhoudscaches in de IP-adresbereiken die u invoert.
- Peerfilterbereiken: voer het IPv4- of IPv6-begin- en eind-IP-adres voor uw bereik in. De inhoudscache filtert de lijst met peers met behulp van de IP-adresbereiken die u invoert.
Bovenliggende IP-adressen: voer het lokale IP-adres van een andere inhoudscache in om toe te voegen als bovenliggende cache. Uw cache uploadt en downloadt inhoud naar deze caches, in plaats van rechtstreeks met Apple te uploaden/downloaden. Voeg slechts eenmaal een bovenliggend IP-adres toe.
Bovenliggend selectiebeleid: als er veel bovenliggende caches zijn, selecteert u hoe het bovenliggende IP-adres wordt gekozen. Uw opties:
- Niet geconfigureerd (standaard): deze instelling wordt niet gewijzigd of bijgewerkt in Intune.
- Round robin: gebruik de bovenliggende IP-adressen op volgorde. Deze optie is geschikt voor taakverdelingsscenario's.
- Eerst beschikbaar: gebruik altijd het eerste beschikbare IP-adres in de lijst.
- Hash: hiermee maakt u een hash-waarde voor het padgedeelte van de aangevraagde URL. Deze optie zorgt ervoor dat hetzelfde bovenliggende IP-adres altijd wordt gebruikt voor dezelfde URL.
- Willekeurig: gebruik willekeurig een IP-adres in de lijst. Deze optie is geschikt voor taakverdelingsscenario's.
- Sticky beschikbaar: gebruik altijd het eerste IP-adres in de lijst. Als dit niet beschikbaar is, gebruikt u het tweede IP-adres in de lijst. Blijf het tweede IP-adres gebruiken totdat het niet beschikbaar is, enzovoort.
Aanmeldingsitems
Instellingen zijn van toepassing op: alle inschrijvingstypen
De bestanden, mappen en aangepaste apps toevoegen die worden gestart bij het aanmelden: Voeg het pad toe van een bestand, map, aangepaste app of systeem-app die wordt geopend wanneer gebruikers zich aanmelden bij hun apparaten. Voer ook het volgende in:
Pad van item: voer het pad naar het bestand, de map of de app in. Systeem-apps, of apps die zijn gebouwd of aangepast voor uw organisatie, bevinden zich meestal in de
Applications
map, met een pad dat/Applications/AppName.app
vergelijkbaar is met .U kunt veel bestanden, mappen en apps toevoegen. Voer bijvoorbeeld het volgende in:
/Applications/Calculator.app
/Applications
/Applications/Microsoft Office/root/Office16/winword.exe
/Users/UserName/music/itunes.app
Wanneer u een app, map of bestand toevoegt, moet u het juiste pad invoeren. Niet alle items bevinden zich in de
Applications
map. Als gebruikers een item van de ene locatie naar de andere verplaatsen, verandert het pad. Dit verplaatste item wordt niet geopend wanneer de gebruiker zich aanmeldt.Verbergen: kies ervoor om de app weer te geven of te verbergen. Uw opties:
- Niet geconfigureerd (standaard): deze instelling wordt niet gewijzigd of bijgewerkt in Intune. Standaard worden in het besturingssysteem items weergegeven in de lijst Gebruikers & Groepsaanmeldingsitems, waarbij de optie verbergen is uitgeschakeld.
- Ja: hiermee wordt de app verborgen in de lijst Gebruikers & Groepen-aanmeldingsitems.
Aanmeldingsvenster
Instellingen zijn van toepassing op: alle inschrijvingstypen
Windows-indeling
Aanvullende informatie weergeven in de menubalk: Wanneer het tijdsgebied op de menubalk is geselecteerd, worden de hostnaam en macOS-versie weergegeven met Ja . Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard wordt deze informatie mogelijk niet weergegeven in het besturingssysteem op de menubalk.
Banner: voer een bericht in dat wordt weergegeven op het aanmeldingsscherm op apparaten. Voer bijvoorbeeld uw organisatiegegevens, een welkomstbericht, verloren en gevonden informatie, enzovoort in.
Tekstvelden voor gebruikersnaam en wachtwoord vereisen: kies hoe gebruikers zich aanmelden bij apparaten. Met Ja moeten gebruikers een gebruikersnaam en wachtwoord invoeren. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem vereisen dat gebruikers hun gebruikersnaam selecteren in een lijst en vervolgens hun wachtwoord invoeren.
Wanneer deze optie is ingesteld op Niet geconfigureerd, voert u ook het volgende in:
- Lokale gebruikers verbergen: Met Ja worden de lokale gebruikersaccounts in de gebruikerslijst verborgen, die de standaard- en beheerdersaccounts kunnen bevatten. Alleen de netwerk- en systeemgebruikersaccounts worden weergegeven. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem de lokale gebruikersaccounts weergeven in de gebruikerslijst.
- Mobiele accounts verbergen: Met Ja worden mobiele accounts in de gebruikerslijst verborgen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard worden in het besturingssysteem mogelijk de mobiele accounts in de gebruikerslijst weergegeven. Sommige mobiele accounts kunnen worden weergegeven als netwerkgebruikers.
- Netwerkgebruikers weergeven: selecteer Ja om de netwerkgebruikers in de gebruikerslijst weer te geven. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard worden in het besturingssysteem mogelijk niet de netwerkgebruikersaccounts weergegeven in de gebruikerslijst.
- Beheerders van de computer verbergen: Met Ja worden de beheerdersaccounts in de gebruikerslijst verborgen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem de beheerdersgebruikersaccounts weergeven in de gebruikerslijst.
- Andere gebruikers weergeven: selecteer Ja om Andere... gebruikers weer te geven in de gebruikerslijst. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard worden in het besturingssysteem mogelijk niet de andere gebruikersaccounts in de gebruikerslijst weergegeven.
Energie-instellingen voor aanmeldingsscherm
- Knop Afsluiten verbergen: Met Ja wordt de afsluitknop op het aanmeldingsscherm verborgen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem de knop Afsluiten weergeven.
- Knop Opnieuw opstarten verbergen: Met Ja wordt de knop opnieuw opstarten op het aanmeldingsscherm verborgen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard wordt in het besturingssysteem mogelijk de knop opnieuw opstarten weergegeven.
- Knop Slaapstand verbergen: Met Ja wordt de slaapstandknop op het aanmeldingsscherm verborgen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem de slaapstandknop weergeven.
-
Gebruikersaanmelding uitschakelen vanuit de console: Met Ja wordt de macOS-opdrachtregel verborgen die wordt gebruikt om u aan te melden. Voor gewone gebruikers stelt u deze instelling in op Ja. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat ervaren gebruikers zich aanmelden via de macOS-opdrachtregel. Om naar de consolemodus te gaan, voeren
>console
gebruikers het veld Gebruikersnaam in en moeten ze zich verifiëren in het consolevenster.
Apple-menu
- Afsluiten uitschakelen tijdens aanmelding: Met Ja voorkomt u dat gebruikers de optie Afsluiten selecteren nadat ze zich hebben aangemeld. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het menu-item Afsluiten op apparaten selecteren.
- Opnieuw opstarten uitschakelen terwijl u bent aangemeld: Met Ja voorkomt u dat gebruikers de optie Opnieuw opstarten selecteren nadat ze zich hebben aangemeld. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het menu-item Opnieuw opstarten op apparaten selecteren.
- Uitschakelen uitschakelen tijdens aanmelding: Met Ja voorkomt u dat gebruikers de optie Uitschakelen selecteren nadat ze zich hebben aangemeld. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het menu-item Uitschakelen op apparaten selecteren.
- Afmelden uitschakelen tijdens aanmelding (macOS 10.13 en hoger): Met Ja voorkomt u dat gebruikers de optie Afmelden selecteren nadat ze zich hebben aangemeld. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het menu-item Afmelden op apparaten selecteren.
- Vergrendelingsscherm uitschakelen tijdens aanmelding (macOS 10.13 en hoger): Met Ja voorkomt u dat gebruikers de optie Vergrendelingsscherm selecteren nadat ze zich hebben aangemeld. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem gebruikers toestaan om het menu-item Vergrendelingsscherm op apparaten te selecteren.
App-extensie voor eenmalige aanmelding
Deze instelling is van toepassing op:
- macOS 10.15 en hoger
Opmerking
Op macOS-apparaten kunt u Platform SSO gebruiken om eenmalige aanmelding (SSO) in te schakelen. Ga voor meer informatie naar Platform SSO configureren voor macOS-apparaten in Microsoft Intune.
Instellingen zijn van toepassing op: door de gebruiker goedgekeurde apparaatinschrijving en geautomatiseerde apparaatinschrijving
Type SSO-app-extensie: kies het type app-extensie voor eenmalige aanmelding. Uw opties:
Niet geconfigureerd: App-extensies worden niet gebruikt. Als u een app-extensie wilt uitschakelen, schakelt u het type SSO-app-extensie over op Niet geconfigureerd.
Microsoft Entra ID: maakt gebruik van de Microsoft Entra ID Enterprise SSO-invoegtoepassing, een omleidingstype SSO-app-extensie. Deze invoegtoepassing biedt eenmalige aanmelding voor on-premises Active Directory-accounts in alle macOS-toepassingen die ondersteuning bieden voor de functie voor eenmalige aanmelding van Apple Enterprise. Gebruik dit type app-extensie voor eenmalige aanmelding om eenmalige aanmelding in te schakelen op Microsoft-apps, organisatie-apps en websites die worden geverifieerd met Behulp van Microsoft Entra ID. Ga voor meer informatie naar De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op macOSOS-apparaten.
De SSO-invoegtoepassing fungeert als een geavanceerde verificatiebroker die verbeteringen biedt op het gebied van beveiliging en gebruikerservaring.
Belangrijk
Installeer de macOS-bedrijfsportal-app-app op apparaten om eenmalige aanmelding te bereiken met het type Microsoft Entra SSO-app. De bedrijfsportal-app levert de SSO-invoegtoepassing van Microsoft Enterprise op apparaten. De app-extensie-instellingen voor MDM SSO activeren de invoegtoepassing. Nadat de bedrijfsportal-app en het SSO-app-extensieprofiel op apparaten zijn geïnstalleerd, melden gebruikers zich aan met hun referenties en maken ze een sessie op hun apparaten. Deze sessie wordt gebruikt in verschillende toepassingen zonder dat gebruikers zich opnieuw hoeven te verifiëren.
Ga voor meer informatie over de bedrijfsportal-app naar Wat gebeurt er als u de bedrijfsportal-app installeert en uw macOS-apparaat registreert bij Intune.
U kunt ook de bedrijfsportal-app downloaden.
Omleiding: gebruik een algemene, aanpasbare omleidings-app-extensie om eenmalige aanmelding te gebruiken met moderne verificatiestromen. Zorg ervoor dat u de extensie en team-id voor de app-extensie van uw organisatie kent.
Referentie: gebruik een algemene, aanpasbare referentie-app-extensie om eenmalige aanmelding te gebruiken met verificatiestromen voor uitdagingen en antwoorden. Zorg ervoor dat u de extensie-id en team-id voor de SSO-app-extensie van uw organisatie kent.
Kerberos: gebruik de ingebouwde Kerberos-extensie van Apple, die is opgenomen in macOS Catalina 10.15 en hoger. Deze optie is een Kerberos-specifieke versie van de app-extensie Referentie .
Tip
Met de typen Omleiding en Referentie voegt u uw eigen configuratiewaarden toe om de extensie te passeren. Als u referentie gebruikt, kunt u overwegen om ingebouwde configuratie-instellingen van Apple te gebruiken in het Kerberos-type .
Extensie-id (omleiding, referentie): voer de bundel-id in waarmee uw SSO-app-extensie wordt geïdentificeerd, zoals
com.apple.ssoexample
.Team-id (omleiding, referentie): voer de team-id van uw SSO-app-extensie in. Een team-id is een alfanumerieke tekenreeks van 10 tekens (cijfers en letters) die door Apple wordt gegenereerd, zoals
ABCDE12345
.Uw team-id zoeken (hiermee opent u de website van Apple) vindt u meer informatie.
Realm (referentie, Kerberos): voer de naam van uw verificatiedomein in. De realm-naam moet een hoofdletter hebben, zoals
CONTOSO.COM
. Normaal gesproken is uw realm-naam hetzelfde als uw DNS-domeinnaam, maar in hoofdletters.Domeinen (referentie, Kerberos): voer de domein- of hostnamen in van de sites die kunnen worden geverifieerd via eenmalige aanmelding. Als uw website bijvoorbeeld is
mysite.contoso.com
,mysite
is dat de hostnaam en.contoso.com
de domeinnaam. Wanneer gebruikers verbinding maken met een van deze sites, verwerkt de app-extensie de verificatievraag. Met deze verificatie kunnen gebruikers zich aanmelden met Face ID, Touch ID of Pincode/wachtwoordcode van Apple.- Alle domeinen in uw Intune-profielen voor de app-extensie voor eenmalige aanmelding moeten uniek zijn. U kunt een domein in een extensieprofiel voor aanmeldingsapps niet herhalen, zelfs niet als u verschillende typen SSO-app-extensies gebruikt.
- Deze domeinen zijn niet hoofdlettergevoelig.
- Het domein moet beginnen met een punt (
.
).
URL's (alleen omleiden): voer de URL-voorvoegsels in van uw id-providers namens wie de omleidings-app-extensie eenmalige aanmelding gebruikt. Wanneer gebruikers worden omgeleid naar deze URL's, treedt de SSO-app-extensie op en wordt om eenmalige aanmelding gevraagd.
- Alle URL's in de app-extensieprofielen voor eenmalige aanmelding van Intune moeten uniek zijn. U kunt een domein niet herhalen in een app-extensieprofiel voor eenmalige aanmelding, zelfs niet als u verschillende typen SSO-app-extensies gebruikt.
- De URL's moeten beginnen met
http://
ofhttps://
.
Aanvullende configuratie (Microsoft Entra-id, omleiding, referentie): voer meer extensiespecifieke gegevens in om door te geven aan de SSO-app-extensie:
Sleutel: Voer de naam in van het item dat u wilt toevoegen, zoals
user name
.Type: voer het type gegevens in. Uw opties:
- Tekenreeks
- Booleaanse waarde: voer in Configuratiewaarde of in
True
False
. - Geheel getal: voer bij Configuratiewaarde een getal in.
Waarde: Voer de gegevens in.
Gebruik van sleutelhangers blokkeren (alleen Kerberos): Met Ja voorkomt u dat wachtwoorden worden opgeslagen en opgeslagen in de sleutelhanger. En gebruikers worden niet gevraagd hun wachtwoord op te slaan en moeten het wachtwoord opnieuw invoeren wanneer het Kerberos-ticket verloopt. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem toestaat dat wachtwoorden worden opgeslagen in de sleutelhanger. Gebruikers worden niet gevraagd hun wachtwoord opnieuw in te voeren wanneer het ticket verloopt.
Face ID, Touch ID of wachtwoordcode vereisen (alleen Kerberos): Met Ja moeten gebruikers hun Face ID, Touch ID of wachtwoordcode voor het apparaat invoeren wanneer de referentie nodig is om het Kerberos-ticket te vernieuwen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat gebruikers in het besturingssysteem geen biometrische gegevens of apparaatcode gebruiken om het Kerberos-ticket te vernieuwen. Als Sleutelhangergebruik blokkeren is ingesteld op Ja, is deze instelling niet van toepassing.
Instellen als standaarddomein (alleen Kerberos): kies Ja om de realm-waarde in te stellen die u hebt ingevoerd als de standaard realm. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen standaarddomein instelt.
- Als u meerdere App-extensies voor eenmalige aanmelding van Kerberos in uw organisatie configureert, selecteert u Ja.
- Als u meerdere realms gebruikt, selecteert u Ja. Hiermee wordt de realm-waarde ingesteld die u hebt ingevoerd als het standaarddomein.
- Als u slechts één realm hebt, laat u deze niet geconfigureerd (standaard).
Automatische detectie blokkeren (alleen Kerberos): wanneer deze is ingesteld op Ja, gebruikt de Kerberos-extensie niet automatisch LDAP en DNS om de Naam van de Active Directory-site te bepalen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat de extensie automatisch de naam van de Active Directory-site vindt.
Alleen beheerde apps toestaan (alleen Kerberos): wanneer deze is ingesteld op Ja, staat de Kerberos-extensie alleen beheerde apps en alle apps die zijn ingevoerd met de app-bundel-id toe om toegang te krijgen tot de referentie. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem niet-beheerde apps toegang geeft tot de referentie.
Deze functie is van toepassing op:
- macOS 12 en hoger
Wachtwoordwijzigingen blokkeren (alleen Kerberos): Met Ja voorkomt u dat gebruikers de wachtwoorden wijzigen die ze gebruiken om zich aan te melden bij de domeinen die u hebt ingevoerd. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem wachtwoordwijzigingen toestaat.
Lokale wachtwoordsynchronisatie inschakelen (alleen Kerberos): kies Ja om de lokale wachtwoorden van uw gebruikers te synchroniseren met Microsoft Entra ID. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem wachtwoordsynchronisatie met Microsoft Entra ID uitschakelt.
Gebruik deze instelling als alternatief of als back-up van eenmalige aanmelding. Deze instelling werkt niet als gebruikers zijn aangemeld met een mobiel Apple-account.
Installatie van Kerberos-extensie uitstellen (alleen Kerberos): wanneer deze is ingesteld op Ja, wordt de gebruiker niet gevraagd de Kerberos-extensie in te stellen totdat de extensie is ingeschakeld door de beheerder of een Kerberos-uitdaging is ontvangen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem de gebruiker onmiddellijk vragen om de Kerberos-extensie in te stellen.
Deze functie is van toepassing op:
- macOS 11 en hoger
Standaard Kerberos-hulpprogramma's toestaan (alleen Kerberos): wanneer deze is ingesteld op Ja, staat de Kerberos-extensie toe dat alle apps die zijn ingevoerd met de app-bundel-id, beheerde apps en standaard Kerberos-hulpprogramma's, zoals TicketViewer en klist, toegang krijgen tot de referentie en deze gebruiken. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem niet toestaat dat vermelde apps toegang hebben tot de referentie en deze gebruiken.
Deze functie is van toepassing op:
- macOS 12 en hoger
Referentie aanvragen (alleen Kerberos): wanneer deze is ingesteld op Ja, wordt de referentie aangevraagd bij de volgende overeenkomende Kerberos-uitdaging of netwerkstatuswijziging. Wanneer de referentie is verlopen of ontbreekt, wordt er een nieuwe referentie gemaakt. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen nieuwe referentie aanvraagt.
Deze functie is van toepassing op:
- macOS 12 en hoger
LDAP-verbindingen vereisen voor TLS (alleen Kerberos): wanneer deze is ingesteld op Ja, zijn LDAP-verbindingen vereist voor het gebruik van TLS (Transport Layer Security). Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen LDAP-verbindingen vereist om TLS te gebruiken.
Deze functie is van toepassing op:
- macOS 11 en hoger
Active Directory-wachtwoordcomplexiteit vereisen (alleen Kerberos): kies Ja om gebruikerswachtwoorden af te dwingen te voldoen aan de vereisten voor wachtwoordcomplexiteit van Active Directory. Op apparaten wordt met deze instelling een pop-upvenster met selectievakjes weergegeven, zodat gebruikers zien dat ze aan de wachtwoordvereisten voldoen. Hiermee weten gebruikers wat ze moeten invoeren voor het wachtwoord. Ga voor meer informatie naar Wachtwoord moet voldoen aan complexiteitsvereisten. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard vereist het besturingssysteem mogelijk niet dat gebruikers voldoen aan de wachtwoordvereiste van Active Directory.
Minimale wachtwoordlengte (alleen Kerberos): voer het minimale aantal tekens in dat gebruikerswachtwoorden kan vormen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen minimale wachtwoordlengte afdwingt voor de gebruikers.
Limiet voor wachtwoordgebruik (alleen Kerberos): voer het aantal nieuwe wachtwoorden in, van 1 tot 24, dat wordt gebruikt totdat een eerder wachtwoord opnieuw kan worden gebruikt in het domein. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen limiet voor het opnieuw gebruiken van wachtwoorden afdwingt.
Minimale wachtwoordleeftijd (dagen) (alleen Kerberos): voer het aantal dagen in dat een wachtwoord wordt gebruikt voor het domein voordat gebruikers het kunnen wijzigen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen minimale leeftijd van wachtwoorden afdwingt voordat ze kunnen worden gewijzigd.
Melding over wachtwoordverloop (dagen) (alleen Kerberos): voer het aantal dagen in voordat een wachtwoord verloopt dat gebruikers een melding krijgen dat hun wachtwoord verloopt. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem dagen gebruiken
15
.Wachtwoord verloopt (dagen) (alleen Kerberos): voer het aantal dagen in voordat het wachtwoord van het apparaat moet worden gewijzigd. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard verloopt het besturingssysteem mogelijk nooit wachtwoorden.
URL voor wachtwoordwijziging (alleen Kerberos): voer de URL in die wordt geopend wanneer gebruikers een Kerberos-wachtwoordwijziging starten.
Aangepaste gebruikersnaam (alleen Kerberos): voer de tekst in die de gebruikersnaam vervangt die wordt weergegeven in de Kerberos-extensie. U kunt een naam invoeren die overeenkomt met de naam van uw bedrijf of organisatie. U kunt bijvoorbeeld invoeren
Contoso
.Deze functie is van toepassing op:
- macOS 11 en hoger
Kerberos-extensie gebruiken (alleen Kerberos): selecteer hoe andere processen de Kerberos-extensiereferentie gebruiken. Uw opties:
- Altijd: de extensiereferentie wordt altijd gebruikt als de SPN wordt vermeld in Domeinen. Deze wordt niet gebruikt als de aanroepende app niet wordt vermeld in app-bundel-id's.
- Wanneer niet opgegeven: de extensiereferentie wordt alleen gebruikt wanneer een andere referentie niet wordt ingevoerd door de aanroeper en de SPN wordt vermeld in Domeinen. Deze wordt niet gebruikt als de aanroepende app niet wordt vermeld in App-bundel-id's.
- Kerberos-standaardinstelling: Deze instelling wordt niet door Intune gewijzigd of bijgewerkt. Standaard gebruikt het besturingssysteem de standaard Kerberos-processen voor het selecteren van referenties. Deze optie is hetzelfde als het niet configureren van deze instelling.
Deze functie is van toepassing op:
- macOS 11 en hoger
Principal-naam (alleen Kerberos): voer de gebruikersnaam van de Kerberos-principal in. U hoeft de realmnaam niet op te nemen. In is bijvoorbeeld
user@contoso.com
user
de principal-naam encontoso.com
is de realmnaam.- U kunt ook variabelen in de principal-naam gebruiken door accolades
{{ }}
in te voeren. Als u bijvoorbeeld de gebruikersnaam wilt weergeven, voert u inUsername: {{username}}
. - Wees voorzichtig met het vervangen van variabelen omdat variabelen niet worden gevalideerd in de gebruikersinterface en ze hoofdlettergevoelig zijn. Zorg ervoor dat u de juiste gegevens invoert.
- U kunt ook variabelen in de principal-naam gebruiken door accolades
Active Directory-sitecode (alleen Kerberos): voer de naam in van de Active Directory-site die de Kerberos-extensie moet gebruiken. Mogelijk hoeft u deze waarde niet te wijzigen, omdat de Kerberos-extensie automatisch de Active Directory-sitecode kan vinden.
Cachenaam (alleen Kerberos): voer de GSS-naam (Generic Security Services) van de Kerberos-cache in. U hoeft deze waarde waarschijnlijk niet in te stellen.
Tekst van aanmeldingsvenster (alleen Kerberos): voer de tekst in die wordt weergegeven voor gebruikers in het aanmeldingsvenster van Kerberos.
Deze functie is van toepassing op:
- macOS 11 en hoger
Wachtwoordvereistenbericht (alleen Kerberos): voer een tekstversie in van de wachtwoordvereisten van uw organisatie die aan gebruikers wordt weergegeven. Het bericht wordt weergegeven als u de vereisten voor wachtwoordcomplexiteit van Active Directory niet nodig hebt of geen minimale wachtwoordlengte invoert.
Wanneer deze optie is ingesteld op Ja, worden alle bestaande gebruikersaccounts van de apparaten gewist. Als u gegevensverlies wilt voorkomen of het terugzetten van de fabrieksinstellingen wilt voorkomen, moet u ervoor zorgen dat u begrijpt hoe deze instelling uw apparaten wijzigt.
App-bundel-id's (Microsoft Entra-id, Kerberos): voer de app-bundel-id's in die gebruikmaken van eenmalige aanmelding op uw apparaten. Deze apps krijgen toegang tot het Kerberos Ticket Granting Ticket en het verificatieticket. De apps verifiëren ook gebruikers voor services die ze mogen openen.
Als u de bundel-id wilt ophalen van een app die is toegevoegd aan Intune, kunt u het Intune-beheercentrum gebruiken.
Domeindomeintoewijzing (alleen Kerberos): voer de DNS-achtervoegsels van het domein in die moeten worden toegewezen aan uw realm. Gebruik deze instelling wanneer de DNS-namen van de hosts niet overeenkomen met de realmnaam. U hoeft deze aangepaste domein-naar-realm-toewijzing waarschijnlijk niet te maken.
PKINIT-certificaat (alleen Kerberos): selecteer het PKINIT-certificaat (Public Key Cryptography for Initial Authentication) dat kan worden gebruikt voor Kerberos-verificatie. U kunt kiezen uit PKCS - of SCEP-certificaten die u toevoegt in Intune. Ga naar Certificaten gebruiken voor verificatie in Microsoft Intune voor meer informatie over certificaten.
Voorkeurs-KDC's (alleen Kerberos): voer de sleuteldistributiecentra (KDC's) in die u wilt gebruiken voor Kerberos-verkeer in volgorde van voorkeur. Deze lijst wordt gebruikt wanneer de servers niet kunnen worden gedetecteerd met behulp van DNS. Wanneer de servers detecteerbaar zijn, wordt de lijst gebruikt voor zowel connectiviteitscontroles als eerst gebruikt voor Kerberos-verkeer. Als de servers niet reageren, gebruikt het apparaat DNS-detectie.
Deze functie is van toepassing op:
- macOS 12 en hoger
Verwante artikelen
Apparaatfuncties configureren op iOS/iPadOS.