Konfigurowanie rejestracji urządzeń z systemem MacOS w usłudze Intune
Usługa Microsoft Intune obsługuje rejestrację na komputerach Mac należących do firmy i osobistych. W tym artykule opisano metody i funkcje, których można użyć do rejestrowania urządzeń osobistych, urządzeń należących do firmy i maszyn wirtualnych.
Włączanie rejestracji w usłudze Microsoft Intune
Najpierw wykonaj te kroki, aby włączyć rejestrację w dzierżawie usługi Microsoft Intune.
- Sprawdź, czy urządzenia kwalifikują się do rejestracji urządzeń firmy Apple
- Konfigurowanie domen
- Ustawianie urzędu MDM
- Pobieranie certyfikatu wypychania Apple MDM
- Przypisywanie licencji użytkowników w centrum administracyjnym platformy Microsoft 365
- Tworzenie grup
- Konfigurowanie aplikacji Portal firmy
Rejestrowanie urządzeń
Po włączeniu rejestracji użyj jednej z obsługiwanych metod opisanych w tej sekcji, aby zarejestrować urządzenia należące do użytkownika i należące do firmy.
Urządzenia z systemem macOS należące do użytkownika (BYOD)
Usługa Intune obsługuje funkcję "przynieś własne urządzenie" ( BYOD), która umożliwia samodzielne rejestrowanie urządzeń osobistych. Aby zakończyć konfigurowanie rejestracji dla scenariuszy BYOD, poinformuj licencjonowanych użytkowników, aby skorzystali z jednej z tych opcji w celu zarejestrowania urządzeń:
- Zaloguj się do witryny internetowej Portal firmy i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dodać urządzenie.
- Zainstaluj aplikację Portal firmy dla komputerów Mac w aka.ms/EnrollMyMac i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dodać urządzenie.
Należące do firmy urządzenia z systemem macOS
Usługa Intune obsługuje następujące metody rejestracji dla firmowych urządzeń z systemem macOS. Wybierz metodę hiperłącza, aby otworzyć kroki konfiguracji.
- Automatyczna rejestracja urządzeń firmy Apple: ta metoda służy do automatyzowania środowiska rejestracji na urządzeniach zakupionych za pośrednictwem programu Apple Business Manager lub Apple School Manager. Automatyczna rejestracja urządzeń wdraża profil rejestracji na antenie, dzięki czemu nie trzeba mieć fizycznego dostępu do urządzeń.
- Menedżer rejestracji urządzeń (DEM): ta metoda jest używana w przypadku wdrożeń na dużą skalę i gdy w organizacji jest wiele osób, które mogą pomóc w konfiguracji rejestracji. Osoba z uprawnieniami menedżera rejestracji urządzeń (DEM) może zarejestrować maksymalnie 1000 urządzeń przy użyciu jednego konta Microsoft Entra. Ta metoda używa aplikacji Portal firmy lub aplikacji usługi Microsoft Intune do rejestrowania urządzeń. Nie można użyć konta DEM do rejestrowania urządzeń za pośrednictwem zautomatyzowanej rejestracji urządzeń.
- Rejestracja bezpośrednia: rejestracja bezpośrednia rejestruje urządzenia bez koligacji użytkownika, dlatego ta metoda jest najlepsza w przypadku urządzeń, które nie są skojarzone z jednym użytkownikiem. Ta metoda wymaga fizycznego dostępu do zarejestrowanych komputerów Mac.
Tokeny bootstrap
Usługa Intune obsługuje korzystanie z tokenów bootstrap na zarejestrowanych komputerach Mac z systemem macOS 10.15 lub nowszym. Tokeny bootstrap przyznają stan własności woluminu lokalnym kontom użytkownika i gościa, dzięki czemu użytkownicy niebędący administratorami mogą zatwierdzać ważne operacje, które w przeciwnym razie musiałby wykonać administrator. Operacje, takie jak:
Aktualizacje oprogramowania inicjowane przez użytkownika
Instalacja rozszerzenia jądra w krzemie firmy Apple
Tokeny bootstrap można używać na nadzorowanych komputerach Mac i komputerach Mac zarejestrowanych za pośrednictwem automatycznej rejestracji urządzeń z systemem macOS.
Pobieranie tokenu bootstrap
Token bootstrap jest generowany automatycznie, gdy:
- Nowo zarejestrowane komputery Mac są zaewidencjonowane w usłudze Intune i
- Bezpieczny użytkownik z włączoną obsługą tokenu (zazwyczaj administrator usługi Intune) loguje się na komputerze Mac przy użyciu hasła zwykłego tekstu
Token jest następnie automatycznie deponowany w usłudze Microsoft Intune. Narzędzie wiersza polecenia umożliwia ręczne wyświetlanie, generowanie i escrowowanie tokenu bootstrap na obsługiwanych urządzeniach z systemem macOS w razie potrzeby. Aby uzyskać więcej informacji na temat poleceń, zobacz Używanie bezpiecznego tokenu, tokenu bootstrap i własności woluminu we wdrożeniach w pomocy technicznej firmy Apple.
Monitorowanie stanu escrow bootstrap
Możesz monitorować stan depozytu dla dowolnego zarejestrowanego komputera Mac w centrum administracyjnym. Właściwość sprzętowa ze depozytem tokenu Bootstrap zgłasza, czy token bootstrap został zdeponowany w usłudze Intune. Usługa Intune zgłasza wartość Tak , gdy token został pomyślnie zdeponowany, i nie , gdy token nie został zdeponowany.
- Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
- Przejdź do pozycji Urządzenia>według platformy>macOS.
- Wybierz urządzenie z listy urządzeń z systemem macOS.
- Wybierz pozycję Sprzęt.
- W szczegółach sprzętu przewiń w dół do pozycji Token rozruchu dostępu >warunkowegoz escrowed.
Zarządzanie rozszerzeniami jądra i aktualizacjami oprogramowania
Ważna
Rozszerzenia jądra nie są już zalecane dla systemu macOS. Firma Apple zaleca używanie rozszerzeń systemowych tam, gdzie to możliwe. Aby uzyskać więcej informacji, zobacz Apple Platform Security guide — Securely extending the kernel in macOS on Apple Support (Przewodnik dotyczący zabezpieczeń platformy firmy Apple — bezpieczne rozszerzanie jądra w systemie macOS w usłudze Apple Support).
Token bootstrap może służyć do zatwierdzania instalacji rozszerzeń jądra i aktualizacji oprogramowania na komputerze Mac z krzemem firmy Apple.
Aktualizacje oprogramowania inicjowane przez użytkownika można przeprowadzać przy użyciu tokenu bootstrap na komputerach Mac z systemem macOS w wersji 11.1 i zarejestrowanych za pośrednictwem zautomatyzowanej rejestracji urządzeń. Aby autoryzować aktualizacje oprogramowania inicjowane przez użytkownika na urządzeniu, które nie jest zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń, należy ponownie uruchomić komputer Mac w trybie odzyskiwania i obniżyć jego ustawienia zabezpieczeń. Możesz również użyć tokenu bootstrap dla aktualizacji oprogramowania na komputerach Mac z systemem macOS 11.2 lub nowszym, przy czym jedynym wymaganiem jest, aby urządzenie było nadzorowane.
Zarządzanie rozszerzeniami jądra jest automatycznie dostępne na komputerach Mac z systemem macOS 11 lub nowszym i rejestrowane za pośrednictwem zautomatyzowanej rejestracji urządzeń. Aby autoryzować zdalne zarządzanie rozszerzeniami jądra na urządzeniu, które nie jest zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń, należy ponownie uruchomić komputer Mac w trybie odzyskiwania i obniżyć jego ustawienia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zmienianie ustawień zabezpieczeń na dysku startowym komputera Mac z krzemem firmy Apple w pomocy technicznej firmy Apple.
Blokowanie rejestracji w systemie macOS
Domyślnie usługa Intune umożliwia rejestrowanie urządzeń z systemem macOS. Aby zablokować rejestrowanie urządzeń z systemem macOS, zobacz Ustawianie ograniczeń platformy urządzeń.
Rejestrowanie maszyn wirtualnych z systemem macOS na potrzeby testowania
Uwaga
Usługa Intune obsługuje maszyny wirtualne z systemem macOS tylko do celów testowych. Nie używaj maszyn wirtualnych jako oficjalnych urządzeń dla pracowników lub studentów.
Usługa Intune obsługuje maszyny wirtualne z systemem:
- Parallels Desktop
- VMware Fusion
- Apple Silicon
Aby rozpoznać i zarejestrować ją jako urządzenie, usługa Intune musi znać model sprzętowy i numer seryjny maszyny wirtualnej. Jeśli spróbujesz zarejestrować maszynę wirtualną bez podawania tych szczegółów, rejestracja zakończy się niepowodzeniem. Ta sekcja zawiera więcej informacji o tym, jak spełnić to wymaganie przed rejestracją.
Parallels Desktop
Zmodyfikuj ustawienia konfiguracji maszyny wirtualnej, aby dodać lub zmienić numer seryjny maszyny wirtualnej i identyfikator modelu sprzętowego. Wprowadź dowolny ciąg znaków alfanumerycznych dla numeru seryjnego. W przypadku modelu sprzętowego zalecamy użycie modelu urządzenia z uruchomioną maszyną wirtualną. Aby znaleźć model sprzętowy komputera Mac, wybierz menu Firmy Apple i przejdź do pozycji Informacje o tymidentyfikatorze modeluraportu> systemu Mac>.
Aby uzyskać więcej informacji, zobacz następujące tematy w bazie wiedzy Parallels:
- Jak zarejestrować maszynę wirtualną z systemem macOS w programie Parallels Desktop przy użyciu usługi Intune
- Jak znaleźć i zmienić numer seryjny
VMware Fusion
Dodaj następujące wiersze do pliku vmx, aby ustawić model sprzętowy i numer seryjny maszyny wirtualnej. Wartości przedstawione w tym przykładzie to przykłady.
serialNumber = "ABC123456789"
hw.model = "MacBookAir10,1"
Wprowadź dowolny ciąg znaków alfanumerycznych dla numeru seryjnego. W przypadku modelu sprzętowego zalecamy użycie modelu urządzenia z uruchomioną maszyną wirtualną. Aby znaleźć model sprzętowy komputera Mac, wybierz menu Firmy Apple i przejdź do pozycji Informacje o tymidentyfikatorze modeluraportu> systemu Mac>.
Rozwiązanie VMware Fusion jest obsługiwane tylko na komputerach Intel Mac. Aby uzyskać więcej informacji na temat edytowania pliku vmx maszyny wirtualnej VMware Fusion, zobacz witrynę internetową VMware Customer Connect.
Apple Silicon
W przypadku maszyn wirtualnych działających na sprzęcie Apple Silicon nie są wymagane żadne zmiany. Program Parallels Desktop jest obsługiwany na komputerach Mac z systemem Apple Silicon, więc jeśli skonfigurujesz maszynę wirtualną w ten sposób, nie musisz modyfikować identyfikatora modelu sprzętu ani numeru seryjnego.
Rejestracja zatwierdzona przez użytkownika
Wszystkie rejestracje komputerów Mac w usłudze Intune są uznawane za zatwierdzone przez użytkownika. Rejestracja zatwierdzona przez użytkownika umożliwia zarządzanie urządzeniami z systemem macOS, które nie są częścią programu Apple School Manager lub Apple Business Manager. Zapewnia ten sam poziom kontroli co nadzorowane urządzenia z systemem macOS zarejestrowane przy użyciu zautomatyzowanej rejestracji urządzeń lub programu Apple Configurator.
Usługa Intune automatycznie włącza nadzór nad urządzeniami zatwierdzonymi przez użytkownika z systemem macOS 11 lub nowszym. Robi to również w przypadku zarejestrowanych urządzeń, które później są aktualizowane do systemu macOS 11 lub nowszego.
Uwaga
Usługa Intune ogłosiła obsługę rejestracji zatwierdzonej przez użytkownika w czerwcu 2020 r. Rejestracje BYOD, które miały miejsce przed tym czasem, mogą nie zostać zatwierdzone przez użytkownika. Aby uzyskać więcej informacji na temat urządzeń firmy Apple, które zostały zatwierdzone przez użytkownika, zobacz Rejestracja mdm zatwierdzona przez użytkownika w witrynie internetowej pomocy technicznej firmy Apple.
Środowisko użytkownika
Użytkownik urządzenia loguje się do aplikacji Portal firmy, aby zainicjować rejestrację. Następnie aplikacja Portal firmy otwiera preferencje systemowe urządzenia i monituje użytkownika o zainstalowanie profilu zarządzania. Portal firmy zawiera instrukcje w aplikacji ułatwiające użytkownikom znalezienie profilu. Użytkownicy przechodzą dopozycji Profilepreferencji systemowych>, aby zatwierdzić instalację profilu zarządzania. Użytkownicy urządzeń, którzy nie zapewniają zatwierdzenia podczas rejestracji, mogą później wrócić do preferencji systemowych, aby udzielić zatwierdzenia.
Dowiedz się, czy urządzenie zostało zatwierdzone przez użytkownika
- W centrum administracyjnym wybierz pozycję Urządzenia>Wszystkie urządzenia.
- Wybierz urządzenie z systemem macOS.
- Z menu bocznego wybierz pozycję Sprzęt.
- Sprawdź wartość obok pozycji Rejestracja zatwierdzona przez użytkownika.
Tworzenie kopii zapasowej i przywracanie za pomocą narzędzia Apple Migration Assistant
Użyj narzędzia Apple Migration Assistant, aby utworzyć kopię zapasową i przywrócić urządzenie z systemem macOS. Możesz użyć tego narzędzia, aby utworzyć kopię zapasową komputera Mac i przywrócić dane aplikacji na nowym urządzeniu. Ważne jest, aby wiedzieć:
- Nie jest kopia zapasowa profilu zarządzania na oryginalnym komputerze Mac. Urządzenie jest wysyłane do nowego profilu zarządzania w miarę ponownego rejestrowania nowego komputera Mac. Dzieje się tak na komputerach Mac, które przechodzą przez zautomatyzowane rejestrowanie urządzeń firmy Apple i komputery Mac, które nie przechodzą przez automatyczną rejestrację urządzeń.
- Poświadczenia aplikacji Portal firmy mogą zostać przywrócone na nowym komputerze Mac po przejściu przez narzędzie Migration Assistant i zarejestrowaniu. W takim przypadku zalecamy wykonanie przez Ciebie lub użytkownika urządzenia następujących kroków w celu wyczyszczenia danych aplikacji:
- Wyloguj się z aplikacji Portal firmy.
- Zaloguj się do aplikacji lub witryny internetowej Portal firmy.
Następne kroki
Aby uzyskać dokumentację pomocy dla użytkowników, która zawiera instrukcje krok po kroku dotyczące rejestracji dla użytkowników urządzeń, zobacz Rejestrowanie urządzenia z systemem macOS w usłudze Intune. Możesz również utworzyć własne instrukcje, jeśli wolisz przechwycić markowe lub dostosowane środowisko rejestracji organizacji.
Po zarejestrowaniu urządzeń z systemem macOS można utworzyć ustawienia niestandardowe dla urządzeń z systemem macOS.