Delen via

End-to-end-handleiding om aan de slag te gaan met macOS-eindpunten

  • Artikel

Met Microsoft Intune kunt u macOS-eindpunten beheren en beveiligen die eigendom zijn van uw organisatie of school. Wanneer u of uw organisatie de apparaten beheert, kunt u de apps implementeren die uw eindgebruikers nodig hebben, de gewenste apparaatfuncties configureren en beleidsregels gebruiken waarmee uw apparaten & organisatie worden beschermd tegen bedreigingen.

Dit artikel is van toepassing op:

  • macOS-apparaten die eigendom zijn van uw organisatie

Dit artikel is een end-to-end handleiding om u aan de slag te helpen met uw macOS-eindpunten. De focus ligt op:

  • Eindpunten die worden beheerd met Apple Business Manager of Apple School Manager
  • Apparaten die zijn ingeschreven bij Intune met behulp van geautomatiseerde apparaatinschrijving met gebruikersaffiniteit. Gebruikersaffiniteit wordt doorgaans gebruikt voor apparaten met één primaire gebruiker.

In dit artikel wordt u begeleid bij de end-to-end-stappen voor het maken en beheren van uw macOS-eindpunten met Microsoft Intune.

Deze handleiding gebruiken

Deze handleiding bestaat uit zeven fasen. Elke fase bevat een reeks stappen waarmee u de configuratie en implementatie van uw macOS-eindpunt kunt bouwen. Elke fase bouwt voort op de vorige fase.

Een diagram met een overzicht van alle fasen voor het onboarden van macOS-apparaten, waaronder het testen, registreren, beveiligen, implementeren van beleid en ondersteuning van de apparaten met Behulp van Microsoft Intune

Voltooi de fasen en stappen in volgorde. De fasen omvatten:

Aan het einde van deze handleiding hebt u een macOS-eindpunt dat is ingeschreven bij Intune en klaar is om te beginnen met valideren in uw scenario's.

Fase 1: uw omgeving instellen

Voordat u uw eerste macOS-eindpunt bouwt, zijn er enkele vereisten en configuratiefuncties die u configureert.

In deze fase controleert u de vereisten, integreert u Intune met Apple Business Manager (of Apple School Manager), configureert u enkele functies en voegt u enkele apps toe aan Intune.

Een diagram met de stappen voor het instellen van uw omgeving ter ondersteuning van macOS-apparaten in Microsoft Intune, waaronder netowrk-vereisten, certificaten, het configureren van eenmalige aanmelding en meer

Stap 1- Netwerkvereisten

Uw netwerk instellen

Als u uw macOS-eindpunt wilt voorbereiden en implementeren, heeft het eindpunt toegang nodig tot verschillende openbare internetservices.

  • Start het testen op een open netwerk. U kunt ook in het netwerk van uw organisatie toegang bieden tot alle eindpunten die worden vermeld in Netwerkeindpunten voor Microsoft Intune. Vervolgens kunt u het netwerk van uw organisatie gebruiken om uw configuratie te testen.

  • Als uw draadloze netwerk certificaten vereist, kunt u tijdens het testen beginnen met een Ethernet-verbinding. De Ethernet-verbinding geeft u enige tijd om de beste aanpak te bepalen voor de draadloze verbindingen die apparaten nodig hebben.

Voorzichtigheid

SSL-inspectie kan ertoe leiden dat de toegang tot Microsoft- en Apple-services mislukt. Ga naar Apple-producten gebruiken in bedrijfsnetwerken voor meer informatie over de vereisten van Apple.

Stap 2: inschrijving en licenties

Een nieuwe groep maken, inschrijvingsbeperkingen configureren en licenties toewijzen

Als u de eindpunten wilt voorbereiden voor inschrijving, moet u ervoor zorgen dat de juiste eindpunten zijn gericht en of de eindpunten correct zijn gelicentieerd.

Meer specifiek:

  • Een nieuwe groep maken

    Maak een nieuwe Microsoft Entra-testgroep, zoals Intune MDM-gebruikers. Voeg vervolgens testgebruikersaccounts toe aan deze groep. Als u wilt beperken wie apparaten kan inschrijven terwijl u uw configuratie instelt, richt u de configuraties op deze groep.

    Gebruik het Intune-beheercentrum om een Microsoft Entra-groep te maken. Wanneer u een groep maakt in Intune, maakt u een Entra-groep. U ziet de Entra-huisstijl niet, maar dat is wat u gebruikt.

    Ga voor meer informatie naar Een groep maken om gebruikers in Intune te beheren.

  • Inschrijvingsbeperkingen

    Met inschrijvingsbeperkingen kunt u de typen apparaten beheren die kunnen worden ingeschreven bij Intune-beheer. Als u deze handleiding wilt laten slagen, moet u in een inschrijvingsbeperking controleren of macOS -inschrijving (MDM) is toegestaan. Dit is de standaardconfiguratie. Wijs deze inschrijvingsbeperking toe aan de nieuwe groep die u hebt gemaakt.

    Indien nodig of gewenst kunt u ook voorkomen dat specifieke apparaten worden ingeschreven.

    Ga naar Inschrijvingsbeperkingen instellen in Microsoft Intune voor meer informatie over het configureren van inschrijvingsbeperkingen.

  • Licenties

    Gebruikers die macOS-apparaten inschrijven, hebben een licentie voor Microsoft Intune of Microsoft Intune for Education nodig. Als u licenties wilt toewijzen, gaat u naar Microsoft Intune-licenties toewijzen. Wijs de licenties toe aan de testaccounts die u hebt gemaakt.

    Opmerking

    Beide typen licenties zijn doorgaans inbegrepen in licentiebundels, zoals Microsoft 365 E3 (of A3) en hoger. Ga naar Microsoft 365 Enterprise-abonnementen vergelijken voor meer informatie.

Stap 3: het Apple MDM-certificaat toevoegen

Het pushcertificaat toevoegen met een beheerde Apple-id

  • Voor het beheren van macOS-apparaten vereist Apple dat de Intune-tenant is geconfigureerd met een MDM-pushcertificaat. Als u momenteel iOS-/iPadOS-apparaten in dezelfde tenant beheert, wordt deze stap uitgevoerd.

  • Zorg ervoor dat u een beheerde Apple-id gebruikt met het exemplaar van Apple Business Manager (of Apple School Manager).

    Gebruik geen persoonlijke Apple ID. Het beheer van het Apple Push Notification Service-certificaat is essentieel gedurende de levensduur van uw apparaatbeheeroplossing. Toegang met een persoonlijke Apple ID kan niet meer beschikbaar zijn, omdat het personeel in de loop van de tijd verandert.

Ga naar Een Apple MDM-pushcertificaat voor Intune ophalen voor informatie over het configureren van een Apple MDM-pushcertificaat.

Stap 4: het automatische apple-apparaatinschrijvingstoken toevoegen

Apple-token koppelen voor automatische apparaatinschrijving

Als u apparaten wilt beheren die zijn ingeschreven via Apple Business Manager (of Apple School Manager), moet u een MDM-token instellen en het token koppelen aan Intune.

Dit token is vereist voor automatische apparaatinschrijving (ADE) in Intune. Het token:

  • Hiermee kan Intune ADE-apparaatgegevens synchroniseren vanuit uw Apple Business Manager-account (of Apple School Manager).
  • Hiermee kan Intune inschrijvingsprofielen uploaden naar Apple.
  • Hiermee kan Intune apparaten toewijzen aan deze profielen.

Als u momenteel iOS-/iPadOS-apparaten in dezelfde tenant beheert met behulp van ADE, kunnen enkele van deze stappen worden uitgevoerd.

Ga naar MacOS-apparaten inschrijven - Apple Business Manager of Apple School Manager voor informatie over het configureren van Apple Business Manager met Intune.

De stappen op hoog niveau voor het configureren van Apple Business Manager (of Apple School Manager) met Intune zijn:

  1. Intune verbinden met Apple Business Manager (of Apple School Manager).
  2. Maak in Intune ADE-profielen voor het Apple Business Manager-token.
  3. Wijs in Apple Business Manager apparaten toe aan uw Intune MDM.
  4. Wijs in Intune de ADE-profielen toe aan uw macOS-apparaten.

Stap 5- Doelapparaten

Specifieke groepen targeten met gebruikersgroepen, Intune-filters of dynamische groepen

macOS-apparaten met gebruikersaffiniteit kunnen worden gericht op profielen en apps die gebruikers- of apparaatgroepen gebruiken. Er zijn twee algemene opties voor hoe organisaties zich dynamisch richten op apparaten:

  • Optie 1: Alle apparaatgroepen met een toewijzingsfilter op enrollmentProfileName

    Voor kritieke apps en beleidsregels die direct na de inschrijving moeten worden toegepast (beveiligingsinstellingen, beperkingen, de bedrijfsportal-app), kunt u het beleid toewijzen aan de ingebouwde groep Alle apparaten in Intune. Maak een toewijzingsfilter met behulp van het inschrijvingsprofiel dat u hebt gemaakt in Stap 4: het automatische apparaatinschrijvingstoken van Apple toevoegen.

    Beleidsregels en apps die zijn gericht op de groep Alle apparaten worden sneller toegepast na inschrijving dan dynamische groepen. Niet alle configuratieprofielen (zoals macOS-scripts) ondersteunen filters.

    Ga naar Filters maken in Microsoft Intune voor meer informatie over toewijzingsfilters.

  • Optie 2: dynamische Microsoft Entra-groep op basis van enrollmentProfileName

    Maak een dynamische Microsoft Entra-groep om de configuraties uit deze handleiding te beperken tot de testapparaten die u importeert via Apple Business Manager. Vervolgens kunt u al uw configuraties en apps op deze groep richten.

    1. Open het Microsoft Intune-beheercentrum.

    2. Selecteer Groepen>Nieuwe groep en voer de volgende gegevens in:

      • Groepstype: selecteer Beveiliging.
      • Groepsnaam: voer macOS-eindpunten in.
      • Lidmaatschapstype: Selecteer Dynamisch apparaat.

    3. Voor Leden van dynamische apparaten selecteert u Dynamische query toevoegen en voert u de volgende eigenschappen in:

      • Eigenschap: Selecteer enrollmentProfileName.
      • Operator: selecteer is gelijk aan.
      • Waarde: voer de naam van uw inschrijvingsprofiel in.

    4. Selecteer OK>Opslaan>Maken.

    Wanneer u apps en beleidsregels maakt, kunt u het beleid richten op deze nieuwe dynamische Microsoft Entra-groep.

    Opmerking

    Nadat wijzigingen zijn aangebracht, kan het enkele minuten duren voordat dynamische groepen zijn ingevuld. In grote organisaties kan het langer duren. Nadat u een nieuwe groep hebt gemaakt, wacht u enkele minuten voordat u controleert of het apparaat lid is van de groep.

    Ga naar Dynamische lidmaatschapsregels voor groepen in Microsoft Entra ID: Regels voor apparaten voor meer informatie over dynamische groepen voor apparaten.

Stap 6: initiële instellingen en eenmalige aanmelding (SSO) configureren

Ervaring voor eerste uitvoering optimaliseren

Met Intune kunt u de eerste uitvoeringservaring optimaliseren met behulp van ingebouwde instellingen in het ADE-inschrijvingsprofiel. Wanneer u het inschrijvingsprofiel maakt, kunt u het volgende doen:

  • Configureer gegevens van eindgebruikers vooraf in Configuratieassistent.
  • Gebruik de functie Wacht op definitieve configuratie . Deze functie voorkomt dat eindgebruikers toegang hebben tot beperkte inhoud of instellingen wijzigen totdat het Intune-apparaatconfiguratiebeleid van toepassing is.

Ga voor meer informatie over deze functie en ADE-inschrijving naar Automatisch Macs inschrijven bij Apple Business Manager of Apple School Manager.

Aanmeldingsprompts voor apps verminderen met eenmalige aanmelding

In Intune kunt u instellingen configureren waarmee eindgebruikers minder aanmeldingsprompts ontvangen wanneer ze apps gebruiken, waaronder Microsoft 365-apps. Deze configuratie bestaat uit twee onderdelen:

  • Deel 1 : Gebruik de invoegtoepassing Microsoft Enterprise SSO om eenmalige aanmelding (SSO) te bieden aan apps en websites die Gebruikmaken van Microsoft Entra ID voor verificatie, waaronder Microsoft 365-apps.

    Er zijn twee opties voor het configureren van eenmalige aanmelding voor Mac: Enterprise SSO-invoegtoepassing en Platform SSO.

    De Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten biedt eenmalige aanmelding (SSO) voor Microsoft Entra-accounts op macOS in alle toepassingen die de functie voor eenmalige aanmelding van Apple ondersteunen.

    Als u dit beleid wilt maken, gaat u in het Intune-beheercentrum naar:

    • Apparaten > Apparaten > beheren Configuratie > Create > New policy > Settings catalog > Authentication > Extensible Single Sign On (SSO): Voeg de volgende instellingen toe en configureer deze:

      Naam Configuratie
      Extensie-id com.microsoft.CompanyPortalMac.ssoextension
      Team-id UBF8T346G9
      Type Redirect
      URL's https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • Configureer de volgende optionele instellingen:

      Sleutel Type Waarde
      AppPrefixAllowList Tekenreeks com.apple.,com.microsoft
      browser_sso_interaction_enabled Geheel getal 1
      disable_explicit_app_prompt Geheel getal 1

    Ga naar MacOS Enterprise SSO-invoegtoepassing configureren met Intune voor meer informatie over de Enterprise SSO-invoegtoepassing voor ondernemingen, waaronder het maken van het beleid.

  • Deel 2 : gebruik de intune-instellingencatalogus om de volgende instellingen te configureren waarmee aanmeldingsprompts worden verminderd, waaronder Microsoft AutoUpdate (MAU) en Microsoft Office.

    • Apparaten > Apparaten > beheren Configuratie > Nieuwe catalogus > met beleidsinstellingen > maken > Microsoft AutoUpdate (MAU): Voeg de volgende instellingen toe en configureer deze:

    • Apparaten > Apparaten > beheren Configuratie > Nieuwe catalogus > met beleidsinstellingen > maken > Microsoft Office > Microsoft Office: Voeg de volgende instellingen toe en configureer deze:

      • E-mailadres voor activering van Office: voer in {{userprincipalname}}.
      • Automatische aanmelding inschakelen: selecteer Waar.

      Deze instellingen stroomlijnen het aanmeldingsproces bij het voor het eerst openen van Office-apps. Ga voor meer informatie over deze instellingen naar Voorkeuren voor de hele suite instellen voor Office voor Mac.

    Voor meer informatie over de instellingencatalogus, waaronder het maken van een beleid, gaat u naar De instellingencatalogus gebruiken om instellingen te configureren in Microsoft Intune.

Stap 7: apps toevoegen en toewijzen die u nodig hebt

Een minimale set apps toevoegen aan Intune

Uw organisatie heeft mogelijk enkele apps die uw macOS-apparaten moeten hebben. Uw organisatie kan vereisen dat deze apps worden geïnstalleerd op alle apparaten die door Intune worden beheerd.

In deze stap voegt u deze apps toe aan Intune en wijst u ze toe aan uw groep.

Enkele must-have apps zijn onder andere:

Fase 2: een testeindpunt inschrijven

In de volgende fase wordt een macOS-testapparaat ingeschreven bij Intune. In deze fase maakt u kennis met de eerste stappen, zodat u klaar bent wanneer het tijd is om al uw macOS-apparaten in Intune in te schrijven.

Een diagram met de stappen voor het registreren van een macOS-testapparaat met Microsoft Intune, waaronder het registreren van een apparaat, het toewijzen van een profiel en meer

Als u het eerste macOS-eindpunt van uw organisatie wilt registreren, controleert u of het macOS-apparaat het volgende is:

De stappen op hoog niveau voor het registreren van uw eerste macOS-eindpunt bij Intune zijn:

  1. Het macOS-eindpunt wissen of opnieuw instellen. Deze stap is vereist voor bestaande apparaten. Als u een macOS-apparaat inschrijft dat al is ingesteld, wordt het apparaat beschouwd als een persoonlijk apparaat. U moet het apparaat dus wissen of opnieuw instellen voordat u het kunt inschrijven bij Intune.

    Voor nieuwe apparaten die niet zijn ingesteld, kunt u deze stap overslaan. Als u niet zeker weet of het apparaat is ingesteld, stelt u het apparaat opnieuw in.

  2. Doorloop configuratieassistent.

  3. Open de bedrijfsportal-app en meld u aan met uw organisatieaccount (user@contoso.com).

Wanneer de gebruiker zich aanmeldt, is het inschrijvingsbeleid van toepassing. Wanneer dit is voltooid, wordt uw macOS-eindpunt geregistreerd bij Intune.

Fase 3: uw macOS-eindpunten beveiligen

In deze fase configureert u beveiligingsinstellingen en -functies waarmee u uw eindpunten kunt beveiligen, waaronder het actueel houden van apparaten met updates.

Een diagram met de stappen voor het beveiligen van macOS-apparaten met nalevingsbeleid, software-updates en meer in Microsoft Intune

Deze sectie is gericht op de verschillende eindpuntbeveiligingsfuncties in Microsoft Intune, waaronder:

  • Nalevings- en beleid voor voorwaardelijke toegang
  • Microsoft Defender voor Eindpunt
  • FileVault-, firewall- en gatekeeper-eindpuntbeveiliging
  • Software-updates
  • Gastaccount
  • Niet-actieve aanmelding
  • Mac-evaluatiehulpprogramma

Nalevings- en beleid voor voorwaardelijke toegang

Nalevingsbeleid maken en naleving afdwingen met voorwaardelijke toegang

  • Nalevingsbeleid controleert de apparaatinstellingen die u configureert en kan bepaalde instellingen herstellen die niet compatibel zijn. U kunt bijvoorbeeld nalevingsbeleid maken waarmee de complexiteit van wachtwoorden, de status van jailbroken, bedreigingsniveaus, inschrijvingsstatus en meer worden gecontroleerd.

    Als er configuratie-instellingen zijn die conflicteren tussen nalevingsbeleid en andere beleidsregels, heeft het nalevingsbeleid voorrang. Ga voor meer informatie naar Nalevings- en apparaatconfiguratiebeleid dat conflict veroorzaakt.

  • Voorwaardelijke toegang kan worden gebruikt om het nalevingsbeleid dat u maakt af te dwingen. In combinatie kunnen eindgebruikers worden verplicht hun apparaten in te schrijven en te voldoen aan een minimale beveiligingsstandaard voordat ze toegang krijgen tot organisatieresources. Als een apparaat niet compatibel is, kunt u de toegang tot resources blokkeren, zoals e-mail, of de gebruiker verplichten zijn apparaat in te schrijven en het probleem op te lossen.

Opmerking

Als u wilt controleren of u de juiste apparaatbesturingselementen afdwingt, werkt u met uw team dat uw Entra-beleid voor voorwaardelijke toegang beheert.

U kunt nalevings- en beleid voor voorwaardelijke toegang maken in het Intune-beheercentrum.

Ga voor meer informatie naar:

Microsoft Defender voor Eindpunt

Microsoft Defender voor Eindpunt gebruiken voor bedreigingsbeveiliging

Microsoft Defender voor Eindpunt is een mobile threat defense-oplossing waarmee uw apparaten worden beschermd tegen beveiligingsrisico's.

In Intune kunt u verbinding maken met uw Microsoft Defender for Endpoint-service, Intune-beleid maken met behulp van Microsoft Defender voor Eindpunt-instellingen en het beleid vervolgens implementeren op uw apparaten.

Ga voor meer informatie naar:

Ingebouwde eindpuntbeveiliging

Apparaten versleutelen met FileVault-schijfversleuteling

FileVault is een functie voor volledige schijfversleuteling waarmee onbevoegde toegang wordt voorkomen. De FileVault-instellingen zijn ingebouwd in de catalogus met Intune-instellingen en zijn beschikbaar als nalevingsbeleid.

U kunt FileVault dus configureren, controleren op naleving en het beleid implementeren op uw apparaten.

Als u dit beleid wilt maken, gaat u in het Intune-beheercentrum naar:

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe > beleidsinstellingen > maken catalogus > Volledige schijfversleuteling
  • Apparaten > Apparaten beheren > Naleving > Beleid maken > Systeembeveiliging > Versleuteling van gegevensopslag op apparaat vereisen

Ga voor meer informatie over FileVault naar:

De firewall configureren

De firewall is een toepassingsfirewall en helpt binnenkomende aanvallen te voorkomen. De firewallinstellingen zijn ingebouwd in de catalogus met Intune-instellingen en zijn beschikbaar als nalevingsbeleid.

U kunt dus de firewall configureren, controleren op naleving en het beleid implementeren op uw apparaten.

Als u dit beleid wilt maken, gaat u in het Intune-beheercentrum naar:

  • Apparaten > Apparaten > beheren Configuratie >Nieuwe catalogus met beleidsinstellingen> maken>:

    • Netwerkfirewall >
    • Beveiligingsvoorkeuren >

  • Apparaten > Apparaten beheren > Naleving > Beleid maken > Systeembeveiligingsfirewall >

Ga voor meer informatie over de macOS-firewall naar:

Gatekeeper configureren

Gatekeeper zorgt ervoor dat alleen vertrouwde software op het apparaat wordt uitgevoerd. De Gatekeeper-instellingen zijn ingebouwd in de catalogus met Intune-instellingen en zijn beschikbaar als nalevingsbeleid.

U kunt gatekeeper dus configureren, controleren op naleving en het beleid implementeren op uw apparaten.

Als u dit beleid wilt maken, gaat u in het Intune-beheercentrum naar:

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe >beleidsinstellingen> catalogus > Systeembeleid > Systeembeleid beheren:

    • Geïdentificeerde ontwikkelaar toestaan: selecteer Waar.
    • Evaluatie inschakelen: selecteer Waar.

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe >beleidsinstellingen> catalogus > Systeembeleid Beheerd systeembeleid>:

    • Onderdrukking uitschakelen: selecteer Waar.

  • Apparaten > Apparaten beheren > Naleving > Beleid maken > Systeembeveiliging > Gatekeeper

Ga voor meer informatie over Gatekeeper naar:

Software-updates

Software-updates configureren

Op apparaten zijn software-updates essentieel en moet u bepalen hoe de updates worden geïnstalleerd. U hebt een aantal opties.

Wanneer u deze instellingen configureert, dwingt u het gedrag af en beperkt u het gedrag in de app Instellingen-app>Software-update op het apparaat.

  • Optie 1- macOS 14.0 en nieuwere apparaten (aanbevolen): op macOS 14.0 en nieuwere apparaten gebruikt u de intune-instellingencatalogus om een beleid voor beheerde software-updates te maken. Deze functie maakt gebruik van declaratief apparaatbeheer (DDM) van Apple en is de aanbevolen methode om macOS-apparaten bij te werken.

    In het Intune-beheercentrum configureert u met name de volgende instellingen:

    • Apparaten > Apparaten beheren > Configuratie > Nieuwe > beleidsinstellingen > catalogus > declaratief apparaatbeheer > Software-update

    • Optioneel: bij Apparaten > apparaten beheren > configuratie >> Nieuwe beleidsinstellingen > maken catalogus > Beperkingen, kunt u de volgende instellingen gebruiken om te vertragen hoe lang nadat een update is uitgebracht dat gebruikers de updates handmatig kunnen installeren. Deze instellingen gebruiken de MDM-instellingen van Apple:

      • Uitgestelde installatievertraging voor secundaire software-update van het besturingssysteem: 0-30
      • Uitgestelde installatievertraging voor primaire software-update van het besturingssysteem: 0-30
      • Afgedwongen software-update Niet-uitgestelde installatievertraging van het besturingssysteem: 0-30

      De instellingen voor > declaratieve apparaatbeheersoftware-update-instellingen > hebben voorrang op de instellingen catalogusbeperkingen>. Ga voor meer informatie naar Prioriteit van instellingen in macOS-updatesbeleid.

  • Optie 2 - macOS 13.0 en ouder (aanbevolen): op macOS 13.0 en oudere apparaten kunt u een combinatie van de Intune-instellingencatalogus en een Intune-beleid voor software-updates gebruiken. Deze functies maken gebruik van de MDM-instellingen van Apple.

    In het Intune-beheercentrum kunt u met name de volgende instellingen configureren:

    • Apparaten > Updates beheren > Apple werkt > macOS-updatesbeleid bij

    • Apparaten > Apparaten beheren > Configuratie > Nieuwe > beleidsinstellingen > maken Catalogus > software-update

    Sommige instellingen in beide beleidstypen (Software-updates versus instellingencatalogus) kunnen elkaar overlappen. Let dus op wat u in elk beleid configureert. De instellingen in het macOS-updatesbeleid hebben voorrang op de instellingen catalogus > Software-update-instellingen. Ga voor meer informatie naar Prioriteit van instellingen in macOS-updatesbeleid.

  • Optie 3 (niet aanbevolen): eindgebruikers installeren de updates handmatig. Deze benadering is afhankelijk van eindgebruikers om te bepalen wanneer ze de updates installeren. En ze kunnen een update installeren die uw organisatie niet goedkeurt.

Ga naar Handleiding voor het plannen van software-updates voor beheerde macOS-apparaten in Microsoft Intune voor meer informatie over het plannen van uw macOS-updatestrategie.

Gastaccount

Het gastaccount uitschakelen

U moet het gastaccount uitschakelen op macOS-eindpunten. U kunt het gastaccount uitschakelen met behulp van de intune-instellingencatalogus:

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe > beleidsinstellingen > catalogus > Accounts > accounts maken:
    • Gastaccount uitschakelen: selecteer Waar.

Time-out voor inactiviteit

Een time-out voor inactiviteit instellen

Met behulp van de intune-instellingencatalogus bepaalt u de periode na inactiviteit die macOS om een wachtwoord vraagt:

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe > beleidsinstellingen > catalogus > Systeemconfiguratie > Screensaver:

    • Wachtwoord vragen: selecteer Waar.
    • Aanmeldingstijd voor Windows Inactieve tijd: voer iets in als 300, dat 5 minuten is.
    • Vraag om wachtwoordvertraging: voer iets in als 5.
    • Modulenaam: voer de naam in van de schermbeveiligingsmodule, zoals Flurry.

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe > beleidsinstellingen > catalogus > Gebruikerservaring > Screensaver Gebruiker:

    • Niet-actieve tijd: voer iets in als 300, dat is 5 minuten.
    • Modulenaam: voer de naam in van de schermbeveiligingsmodule, zoals Flurry.

  • Voor uw desktop- en laptopapparaten zijn er instellingen waarmee u energie kunt besparen:

    Apparaten > Apparaten > beheren Configuratie > Nieuwe > beleidsinstellingen > catalogus > Systeemconfiguratie > Energiebesparing:

    • > Power Display-timer voor de slaapstand van het bureaublad
    • Laptop Batterij Power > Display Slaapstand Timer
    • Laptop Power > Display slaapstandtimer

Tip

Als u de naam van de screensavermodule wilt vinden, stelt u de schermbeveiliging in, opent u de Terminal-app en voert u de volgende opdracht uit:

defaults -currentHost read com.apple.screensaver

macOS-evaluatiehulpprogramma

Het macOS-evaluatiehulpprogramma gebruiken

Het Mac-evaluatiehulpprogramma bevestigt dat uw Mac de configuratie en instellingen heeft die door Apple worden aanbevolen. Meld u aan bij Apple Seed for IT (hiermee opent u de website van Apple) >om toegang te krijgen tot het Mac-evaluatiehulpprogramma.

Fase 4- Organisatiespecifieke aanpassingen toepassen

In deze fase past u organisatiespecifieke instellingen en apps toe en controleert u uw on-premises configuratie.

Een diagram met enkele functies voor het aanpassen van macOS-apparaten met behulp van apps, apparaatinstellingen, certificaten en meer met Behulp van Microsoft Intune

De fase helpt u bij het aanpassen van functies die specifiek zijn voor uw organisatie. Let op de verschillende onderdelen van macOS. Er zijn secties voor elk van de volgende gebieden:

  • Apps
  • Apparaatconfiguratie voor het dock, meldingen, voorkeursbestanden & aangepaste beleidsregels en achtergrond
  • Apparaatnaam
  • Certificaten
  • Wi-Fi

Apps

Meer apps toevoegen aan Intune

In fase 1: uw omgeving instellen hebt u een aantal apps toegevoegd die de apparaten moeten hebben. In deze stap voegt u andere apps toe die de ervaring of productiviteit van de eindgebruiker kunnen verbeteren.

Apparaatconfiguratie

De instellingencatalogus vereenvoudigt het maken van een beleid en hoe u alle beschikbare instellingen kunt zien. In verschillende fasen en stappen in deze handleiding gebruikt u de catalogus met Intune-instellingen om apparaatfuncties en -instellingen te configureren.

We hebben bijvoorbeeld de catalogus met instellingen gebruikt om de volgende functiegebieden te configureren:

  • Microsoft Edge-browserinstellingen
  • Microsoft AutoUpdate
  • Microsoft Office
  • Software-updates
  • Gebruikerservaring

Er zijn veel apparaatinstellingen die u kunt configureren met behulp van de instellingencatalogus, waaronder:

Dok

  • Apparaten > Apparaten beheren > Configuratie > Nieuwe > beleidsinstellingen > maken catalogus > Gebruikerservaring > dock

U kunt ook items toevoegen aan of verwijderen uit het dock met behulp van een GitHub - Microsoft Intune Dock Shell-voorbeeld of opdrachtregelprogramma's van partners, zoals GitHub - DockUtil.

Meldingsprompts

  • Apparaten > Apparaten > beheren Configuratie > Nieuwe > beleidsinstellingencatalogus >> maken Gebruikerservaring > meldingen > Instellingen voor meldingen

    Voer de bundel-id in voor elke toepassing waarvoor u meldingen wilt beheren.

Ga voor meer informatie naar Instellingen voor MDM-nettoladingen voor Apple-apparaten (hiermee opent u de website van Apple).

Voorkeursbestanden en aangepast beleid

  • Voorkeursbestanden definiëren app-eigenschappen of -instellingen die u vooraf wilt configureren. De catalogus met Intune-instellingen bevat veel ingebouwde instellingen voor apps, zoals Microsoft Edge en Microsoft Office. U hebt dus mogelijk geen voorkeursbestand nodig.

    Microsoft raadt u aan de ingebouwde instellingen in de catalogus met instellingen te gebruiken. Als de instellingencatalogus niet de instellingen bevat die u nodig hebt, voegt u een voorkeursbestand toe aan Intune.

    Ga voor meer informatie naar Een eigenschappenlijstbestand toevoegen aan macOS-apparaten met Microsoft Intune

  • Aangepaste profielen zijn ontworpen om apparaatinstellingen en -functies toe te voegen die niet zijn ingebouwd in Intune.

    Microsoft raadt u aan de ingebouwde instellingen in de catalogus met instellingen te gebruiken. Als de instellingencatalogus niet de instellingen bevat die u nodig hebt, gebruikt u een aangepast profiel.

    Ga naar aangepaste profielen voor meer informatie.

Behang

U kunt een achtergrond op macOS afdwingen met behulp van een combinatie van een voorbeeldscript en de instellingencatalogus:

  • Apparaten > Apparaten > beheren Configuratie > Create > New policy > Settings catalog > User Experience > Desktop:
    • Afbeeldingspad overschrijven: 'Voer het <pad van de afbeelding> in'.

Het afbeeldingsbestand moet aanwezig zijn op het macOS-eindpunt. Als u een afbeelding wilt downloaden van een weblocatie, kunt u een voorbeeldscript gebruiken op GitHub - Microsoft Intune wallpaper shell sample. U kunt ook een app-pakketprogramma gebruiken om een bestand te kopiëren en vervolgens te implementeren met behulp van de onbeheerde PKG-implementatiefunctie .

Apparaatnaam

De naam van apparaten wijzigen

Met behulp van een shellscript kunt u de naam van de apparaten wijzigen om specifieke informatie op te nemen, zoals het serienummer van het apparaat in combinatie met de land-/regiocode.

Ga voor meer informatie naar GitHub - Microsoft Shell-scripts om de naam van Mac-apparaten te wijzigen.

Certificaten

Certificaten toevoegen voor verificatie op basis van certificaten

Als u verificatie op basis van certificaten gebruikt voor een ervaring zonder wachtwoord, kunt u Intune gebruiken om certificaten toe te voegen en te implementeren.

Ga voor meer informatie naar Typen certificaten die beschikbaar zijn in Microsoft Intune.

Wi-Fi

Een Wi-Fi-verbinding vooraf configureren

Met Intune kunt u een Wi-Fi-verbinding maken die uw netwerkgegevens bevat en vervolgens de verbinding implementeren op uw macOS-apparaten. Als uw apparaten verbinding maken met de organisatie via Wi-Fi, maakt u een Wi-Fi-verbindingsbeleid.

Ga voor meer informatie naar Wi-Fi-instellingen voor macOS-apparaten configureren in Microsoft Intune.

Fase 5 - Caching (optioneel)

Er zijn enkele cachefuncties die u kunt gebruiken om de bandbreedte van uw netwerk te verminderen.

Een diagram waarin het gebruik van inhoudscache en de lokale cache-app AutoUpdate op macOS-apparaten wordt beschreven met Behulp van Microsoft Intune

Inhoudscache gebruiken

Als u een groot aantal macOS- of iOS-/iPadOS-apparaten in uw netwerk hebt, kunt u Apple Content Cache implementeren om uw internetbandbreedte te verminderen. Apple Content Cache kan inhoud in de cache opslaan die wordt gehost op Apple-services, zoals Software-updates en VPP-apps.

Ga voor meer informatie naar Inleiding tot het opslaan van inhoud in de cache (hiermee opent u de website van Apple).

AutoUpdate lokale cache

Veel Microsoft-apps op macOS worden bijgewerkt met behulp van de Microsoft AutoUpdate-toepassing. Deze app kan verwijzen naar een andere URL voor inhoud.

U kunt gitHub - Microsoft AutoUpdate-cachebeheerder gebruiken om een lokale cache voor Microsoft AutoUpdate te configureren.

Ga voor meer informatie naar GitHub - Microsoft AutoUpdate Cache Admin.

Fase 6: uw resterende macOS-eindpunten inschrijven

Tot nu toe hebt u uw configuratie gemaakt en apps toegevoegd. U bent nu klaar om al uw macOS-eindpunten in te schrijven met een beleid voor automatische apparaatinschrijving met behulp van Microsoft Intune.

Een diagram dat aangeeft dat u al uw macOS-eindpunten moet inschrijven met een beleid voor automatische apparaatinschrijving met Behulp van Microsoft Intune

Het beleid voor automatische apparaatinschrijving maken

Het inschrijvingsbeleid wordt toegewezen aan uw nieuwe groep. Wanneer de apparaten het inschrijvingsbeleid ontvangen, wordt het inschrijvingsproces gestart en worden de app-& configuratiebeleidsregels die u hebt gemaakt, toegepast.

Voor meer informatie over automatische apparaatinschrijving en om aan de slag te gaan, gaat u naar Automatisch Macs inschrijven bij Apple Business Manager of Apple School Manager.

Fase 7: ondersteuning, onderhoud en volgende stappen

De laatste fase is het ondersteunen en onderhouden van uw macOS-apparaten. Deze fase omvat het gebruik van Intune-functies, zoals help op afstand, het bewaken van uw Apple-certificaten en meer.

Een diagram met de stappen voor het ondersteunen en onderhouden van uw macOS-apparaten, waaronder het gebruik van externe Help, het toevoegen van aangepaste kenmerken en het configureren van Apple Business Manager met Microsoft Intune

Intune beheert macOS-apparaten met behulp van de ingebouwde MDM-mogelijkheden van het besturingssysteem en de Intune Management Extension (IME)-agent.

Deze twee onderdelen bieden afzonderlijke functionaliteit en communiceren via verschillende kanalen met het macOS-apparaat. De inschrijving wordt ingedeeld via Apple Business Manager, MDM wordt ingedeeld via de Apple Push Notification Service en de IME communiceert rechtstreeks met Intune.

Een diagram dat laat zien hoe macOS MDM en de Intune Managemnt-extensie samenwerken om het beheer van macOS-apparaten met Microsoft Intune te ondersteunen

Ga naar Inzicht in microsoft Intune-beheeragent voor macOS voor meer informatie over de Intune-beheerextensie.

macOS-inschrijvingsonderhoud

Apple-certificaten vernieuwen en ADE-tokens synchroniseren

Voordat uw Mac-apparaten verbinding kunnen houden met Intune en doorgaan met inschrijven, zijn er verschillende belangrijke gebieden die u regelmatig in de console moet controleren en zo nodig actie moet ondernemen:

  • Apple Push Notification Service-certificaat verloopt

    Het Push Notification Service-certificaat van Apple moet jaarlijks worden vernieuwd. Wanneer dit certificaat verloopt, kan Intune geen apparaten beheren die zijn ingeschreven met dat certificaat. Zorg ervoor dat u dit certificaat elk jaar vernieuwt.

    Ga voor meer informatie naar Een Apple MDM-pushcertificaat voor Intune ophalen.

  • Verlopen van apple-certificaat voor automatische apparaatinschrijving

    Wanneer u een verbinding instelt tussen Apple Business Manager (of Apple School Manager) en Intune, wordt een certificaat gebruikt. Dit certificaat moet jaarlijks worden vernieuwd. Als dit certificaat niet wordt vernieuwd, kunnen wijzigingen van Apple Business Manager (of Apple School Manager) niet worden gesynchroniseerd met Intune.

    Ga voor meer informatie naar MacOS-apparaten inschrijven - Apple Business Manager of Apple School Manager.

  • Synchronisatiestatus van automatische apparaatinschrijving van Apple

    Apple onderbreekt de synchronisatie van ADE-tokens wanneer de voorwaarden worden gewijzigd in Apple Business Manager (of Apple School Manager). Ze kunnen worden gewijzigd na een belangrijke release van het besturingssysteem, maar dit kan op elk gewenst moment gebeuren.

    U moet de synchronisatiestatus controleren op problemen die aandacht vereisen.

    Ga naar Beheerde apparaten synchroniseren voor meer informatie.

Externe Help

Externe Help inschakelen

Externe Help is een cloudoplossing voor beveiligde helpdeskverbindingen die gebruikmaken van op rollen gebaseerde toegangsbeheer. Met de verbinding kan uw ondersteuningsmedewerkers op afstand verbinding maken met apparaten van eindgebruikers.

Ga voor meer informatie naar:

Aangepaste kenmerken

Aangepaste eigenschappen gebruiken om rapportagegegevens op te halen

In Intune kunt u shell-scripts gebruiken om aangepaste eigenschappen van beheerde macOS-apparaten te verzamelen. Deze functie is een uitstekende manier om aangepaste rapportagegegevens op te halen.

Ga voor meer informatie naar Shell-scripts gebruiken op macOS-apparaten in Microsoft Intune.

Apple Business Manager configureren voor automatische inrichting van gebruikers

Entra-gebruikersaccounts gebruiken voor ABM-beheer en beheerde Apple-id's

Microsoft Entra ID kan worden geconfigureerd om gebruikers automatisch in te richten en de inrichting ervan ongedaan te maken voor Apple Business Manager (ABM) met behulp van de Microsoft Entra-inrichtingsservice.

Ga voor meer informatie naar Zelfstudie: Apple Business Manager configureren voor automatische inrichting van gebruikers.