Przewodnik wdrażania: zarządzanie urządzeniami z systemem macOS w usłudze Microsoft Intune
Zabezpieczanie dostępu do służbowych wiadomości e-mail, danych i aplikacji na urządzeniach z systemem macOS. W tym artykule przedstawiono zadania specyficzne dla systemu macOS, które ułatwiają włączanie zarządzania urządzeniami przenośnymi w usłudze Intune dla systemu macOS, konfigurowanie zasad i wdrażanie aplikacji.
Wymagania wstępne
Wykonaj następujące wymagania wstępne, aby włączyć zarządzanie urządzeniami z systemem macOS w usłudze Intune:
- Dodawanie użytkowników i grup
- Przypisywanie licencji do użytkowników
- Ustawianie urzędu zarządzania urządzeniami przenośnymi
- Konfigurowanie certyfikatu wypychania Apple (APNs)
Aby uzyskać informacje o rolach i uprawnieniach usługi Microsoft Intune, zobacz RBAC with Microsoft Intune (Kontrola dostępu oparta na rolach w usłudze Microsoft Intune). Role administratora globalnego usługi Microsoft Entra i administratora usługi Intune mają pełne prawa w usłudze Microsoft Intune. Administrator globalny ma więcej uprawnień niż jest to wymagane w przypadku wielu zadań zarządzania urządzeniami w usłudze Microsoft Intune. Zalecamy użycie roli o najniższych uprawnieniach, która jest potrzebna do wykonywania zadań. Na przykład najmniej uprzywilejowaną rolą, która może wykonywać zadania rejestracji urządzeń, jest menedżer zasad i profilów, wbudowana rola usługi Intune.
Aby uzyskać bardziej szczegółowe informacje na temat sposobu wykonywania początkowej konfiguracji, dołączania lub przenoszenia do usługi Microsoft Intune, zobacz przewodnik wdrażania konfiguracji usługi Intune.
Planowanie wdrożenia
Skorzystaj z przewodnika planowania usługi Microsoft Intune , aby zdefiniować cele zarządzania urządzeniami, scenariusze przypadków użycia i wymagania. Pomoże to również zaplanować wdrożenie, komunikację, pomoc techniczną, testowanie i walidację. Na przykład ze względu na to, że aplikacja Portal firmy dla systemu macOS nie jest dostępna w sklepie App Store, zalecamy posiadanie planu komunikacji, aby użytkownicy końcowi wiedzieli, jak zainstalować portal firmy i zarejestrować swoje urządzenia.
Rejestrowanie urządzeń
Skonfiguruj metody rejestracji i środowisko dla firmowych i osobistych urządzeń z systemem macOS. Ten krok gwarantuje, że urządzenia otrzymają zasady i konfiguracje usługi Intune po ich zarejestrowaniu. Usługa Intune obsługuje rejestrację Przynieś własne urządzenie (BYOD), automatyczną rejestrację urządzeń firmy Apple i rejestrację bezpośrednią dla urządzeń firmowych. Aby uzyskać informacje o każdej metodzie rejestracji i o tym, jak wybrać odpowiednią dla Twojej organizacji, zobacz przewodnik rejestracji urządzeń z systemem macOS dla usługi Microsoft Intune.
Zadanie | Szczegóły |
---|---|
Konfigurowanie rejestracji dla urządzeń należących do użytkownika (BYOD) | Wypełnij wymagania wstępne opisane w tym artykule, aby włączyć rejestrację urządzeń należących do użytkownika. Znajdziesz również zasoby rejestracji i linki do udostępniania użytkownikom urządzeń, dzięki czemu będą one obsługiwane w całym środowisku rejestracji. Ta metoda rejestracji dotyczy organizacji, które mają zasady BYOD (Bring Your Own Device ). Dzięki funkcji BYOD użytkownicy mogą używać swoich urządzeń osobistych do pracy. |
Konfigurowanie automatycznej rejestracji urządzeń firmy Apple (ADE) | Skonfiguruj wbudowane środowisko rejestracji, które automatyzuje rejestrację na urządzeniach należących do firmy zakupionych za pośrednictwem programu Apple School Manager lub Apple Business Manager. Ta metoda jest idealna dla organizacji, które mają dużą liczbę urządzeń do zarejestrowania, ponieważ eliminuje konieczność dotykania i konfigurowania każdego urządzenia indywidualnie. |
Konfigurowanie rejestracji bezpośredniej dla urządzeń firmowych | Skonfiguruj środowisko rejestracji dla urządzeń należących do firmy, które nie są powiązane z jednym użytkownikiem, takich jak urządzenia używane w przestrzeni udostępnionej lub w środowisku handlu detalicznego. Rejestracja bezpośrednia nie powoduje wyczyszczenia urządzenia, dlatego jest idealnym rozwiązaniem do użycia, gdy urządzenia nie potrzebują dostępu do danych użytkowników lokalnych. Musisz bezpośrednio przenieść profil rejestracji na komputer Mac, co wymaga połączenia USB z komputerem Mac z programem Apple Configurator. |
Dodawanie menedżera rejestracji urządzeń | Osoby wyznaczone jako menedżerowie rejestracji urządzeń (DEM) mogą rejestrować maksymalnie 1000 firmowych urządzeń przenośnych jednocześnie. Konta DEM są przydatne w organizacjach, które rejestrują i przygotowują urządzenia przed przekazaniem ich użytkownikom. |
Identyfikowanie urządzeń firmowych | Do urządzeń można przypisać stan należący do firmy, aby umożliwić większe możliwości zarządzania i identyfikacji w usłudze Intune. Nie można przypisać statusu własności firmy do urządzeń zarejestrowanych za pomocą usługi Apple Business Manager. |
Zmienianie własności urządzeń | Po zarejestrowaniu urządzenia możesz zmienić jego etykietę własności w usłudze Intune na własność firmową lub osobistą. Ta zmiana wpływa na sposób zarządzania urządzeniem. |
Rozwiązywanie problemów z rejestracją | Rozwiąż problemy występujące podczas rejestracji. |
Tworzenie reguł zgodności
Utwórz zasady zgodności, aby zdefiniować reguły i warunki, które użytkownicy i urządzenia muszą spełnić, aby uzyskać dostęp do chronionych zasobów. W ten sposób zapewniasz, że urządzenia uzyskujące dostęp do danych spełniają Twoje standardy. Usługa Intune oznacza urządzenia, które nie spełniają twoich wymagań, jako niezgodne i podejmuje działania (takie jak wysyłanie użytkownikowi powiadomienia, ograniczanie dostępu lub czyszczenie urządzenia) zgodnie z konfiguracjami.
Jeśli tworzysz zasady dostępu warunkowego, mogą one działać razem z wynikami zgodności urządzeń, aby zablokować dostęp do zasobów z niezgodnych urządzeń. Aby uzyskać szczegółowe informacje dotyczące zasad zgodności oraz rozpoczynania pracy, zobacz Korzystanie z zasad zgodności w celu ustawiania reguł dla urządzeń zarządzanych w usłudze Intune.
Zadanie | Szczegóły |
---|---|
Tworzenie zasad zgodności | Uzyskaj szczegółowe wskazówki dotyczące tworzenia i przypisywania zasad zgodności do grup użytkowników i urządzeń. |
Dodawanie akcji w przypadku niezgodności | Wybierz, co się stanie, gdy urządzenia przestaną spełniać warunki określone przez zasady zgodności. Możesz dodać akcje na wypadek niezgodności podczas konfigurowania zasad zgodności urządzenia lub edytując je później. |
Tworzenie zasad dostępu warunkowego opartych na urządzeniach lub opartych na aplikacjach | Określ aplikacje lub usługi, które chcesz chronić, i zdefiniuj warunki dostępu. |
Blokowanie dostępu do aplikacji, które nie korzystają z nowoczesnego uwierzytelniania | Utwórz zasady dostępu warunkowego oparte na aplikacji, aby blokować aplikacje korzystające z metod uwierzytelniania innych niż OAuth2 — na przykład aplikacje, które używają uwierzytelniania podstawowego i uwierzytelniania opartego na formularzach. Zanim jednak zablokujesz dostęp, zaloguj się do usługi Microsoft Entra ID i przejrzyj raport aktywności metod uwierzytelniania , aby sprawdzić, czy użytkownicy korzystają z uwierzytelniania podstawowego w celu uzyskania dostępu do podstawowych elementów, o których nie pamiętasz lub o których nie wiesz. Na przykład z uwierzytelniania podstawowego mogą korzystać kioski kalendarza sali konferencyjnej. |
Konfigurowanie ustawień urządzenia
Użyj usługi Microsoft Intune, aby włączyć lub wyłączyć ustawienia i funkcje na urządzeniach z systemem macOS używanych do pracy. Aby skonfigurować i wymusić te ustawienia, utwórz profil konfiguracji urządzenia, a następnie przypisz ten profil do grup w organizacji.
Zadanie | Szczegóły |
---|---|
Tworzenie profilu urządzenia w usłudze Microsoft Intune | Dowiedz się więcej o różnych typach profilów urządzeń, które można utworzyć dla organizacji. |
Konfigurowanie funkcji urządzenia | Konfigurowanie typowych funkcji i funkcji systemu macOS. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień urządzenia. |
Konfigurowanie profilu sieci Wi-Fi | Ten profil umożliwia użytkownikom znajdowanie sieci Wi-Fi organizacji i łączenie się z nią. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień sieci Wi-Fi. |
Konfigurowanie profilu sieci przewodowej | Ten profil umożliwia użytkownikom komputerów stacjonarnych łączenie się z siecią przewodową organizacji. Opis ustawień w tym obszarze można znaleźć w dokumentacji sieci przewodowej. |
Konfigurowanie profilu sieci VPN | Skonfiguruj opcję bezpiecznej sieci VPN, taką jak aplikacja Microsoft Tunnel, dla osób łączących się z siecią organizacji. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień sieci VPN. |
Ograniczanie funkcji urządzeń | Chroń użytkowników przed nieautoryzowanym dostępem i rozproszeniem uwagi, ograniczając funkcje urządzeń, z których korzystają służbowo. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ograniczeń urządzenia. |
Konfigurowanie profilu niestandardowego | Dodaj i przypisz ustawienia i funkcje urządzenia, które nie są wbudowane w usługę Intune. |
Dodawanie rozszerzeń systemu macOS i zarządzanie nimi | Dodaj rozszerzenia jądra i rozszerzenia systemowe, które umożliwiają użytkownikom instalowanie rozszerzeń aplikacji, które rozszerzają natywne możliwości systemu operacyjnego. Opis ustawień w tym obszarze można znaleźć w dokumentacji rozszerzeń systemu macOS. |
Dostosowywanie procesu znakowania i rejestracji | Dostosowywanie portalu firmy i aplikacji Microsoft Intune przy użyciu tekstów, znakowania, preferencji ekranu i informacji kontaktowych organizacji. |
Konfigurowanie zabezpieczeń punktu końcowego
Funkcje zabezpieczeń punktu końcowego w usłudze Intune umożliwiają konfigurowanie zabezpieczeń urządzeń i zarządzanie zadaniami zabezpieczeń dla zagrożonych urządzeń.
Zadanie | Szczegóły |
---|---|
Zarządzanie urządzeniami za pomocą funkcji zabezpieczeń punktu końcowego | Użyj ustawień zabezpieczeń punktu końcowego w usłudze Intune, aby skutecznie zarządzać zabezpieczeniami urządzeń i naprawiać związane z nimi problemy. |
Korzystanie z dostępu warunkowego w celu ograniczenia dostępu do aplikacji Microsoft Tunnel | Użyj zasad dostępu warunkowego, aby ograniczyć dostęp urządzenia do bramy sieci VPN aplikacji Microsoft Tunnel. |
Dodawanie ustawień ochrony punktu końcowego | Skonfiguruj typowe funkcje zabezpieczeń programu Endpoint Protection, w tym zaporę, strażnika i program FileVault. Opis ustawień w tym obszarze można znaleźć w dokumentacji ustawień programu Endpoint Protection. |
Konfigurowanie bezpiecznych metod uwierzytelniania
Skonfiguruj metody uwierzytelniania w usłudze Intune, aby upewnić się, że dostęp do zasobów wewnętrznych mają tylko autoryzowane osoby. Usługa Intune obsługuje uwierzytelnianie wieloskładnikowe, certyfikaty i poświadczenia pochodne. Certyfikaty mogą być również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME.
Zadanie | Szczegóły |
---|---|
Wymaganie uwierzytelniania wieloskładnikowego (MFA) | Wymagaj od użytkowników podania dwóch form poświadczeń podczas rejestracji. |
Tworzenie profilu zaufanego certyfikatu | Zanim utworzysz profil certyfikatu SCEP, PKCS lub zaimportowanego certyfikatu PKCS, utwórz i wdróż profil certyfikatu zaufanego. Profil certyfikatu zaufanego wdraża zaufany certyfikat główny dla urządzeń i użytkowników przy użyciu certyfikatów SCEP, PKCS i zaimportowanego certyfikatu PKCS. |
Używanie certyfikatów SCEP w usłudze Intune | Dowiedz się, co jest potrzebne do korzystania z certyfikatów SCEPT w usłudze Intune, i skonfiguruj wymaganą infrastrukturę. Po wykonaniu tych czynności możesz utworzyć profil certyfikatu SCEP lub skonfigurować urząd certyfikacji innej firmy za pomocą protokołu SCEP. |
Używanie certyfikatów PKCS w usłudze Intune | Skonfiguruj wymaganą infrastrukturę (na przykład lokalne łączniki certyfikatów), wyeksportuj certyfikat PKCS, a następnie dodaj go do profilu konfiguracji urządzenia w usłudze Intune. |
Korzystanie z zaimportowanych certyfikatów PKCS w usłudze Intune | Skonfiguruj zaimportowane certyfikaty PKCS, które umożliwiają konfigurowanie protokołu S/MIME i używanie go do szyfrowanie wiadomości e-mail. |
Wdrażanie aplikacji
Podczas konfigurowania aplikacji i zasad aplikacji zastanów się nad wymaganiami organizacji, takimi jak platformy, które będziesz obsługiwać, zadania wykonywane przez użytkowników, typ aplikacji potrzebnych do wykonywania tych zadań i to, kto ich potrzebuje. Usługa Intune umożliwia zarządzanie całym urządzeniem (w tym aplikacjami) lub używanie usługi Intune do zarządzania tylko aplikacjami.
Zadanie | Szczegóły |
---|---|
Dodawanie aplikacji Portal firmy usługi Intune | Dowiedz się, jak uzyskać aplikację Portal firmy na urządzeniach lub poinstruować użytkowników, jak to zrobić samodzielnie. |
Dodawanie przeglądarki Microsoft Edge | Dodaj i przypisz przeglądarkę Microsoft Edge w usłudze Intune. |
Dodawanie platformy Microsoft 365 | Dodawanie i przypisywanie aplikacji platformy Microsoft 365 w usłudze Intune. |
Dodawanie aplikacji biznesowych | Dodawanie i przypisywanie aplikacji biznesowych (LOB) dla systemu macOS w usłudze Intune. |
Przypisywanie aplikacji do grup | Po dodaniu aplikacji do usługi Intune przypisz je do użytkowników i urządzeń. |
Dołączanie i wykluczanie przypisań aplikacji | Kontroluj dostęp do aplikacji, dołączając i wykluczając wybrane grupy z przypisania. |
Używanie skryptów powłoki na urządzeniach z systemem macOS | Użyj skryptów powłoki, aby rozszerzyć możliwości zarządzania urządzeniami w usłudze Intune poza to, co jest obsługiwane przez system operacyjny macOS. |
Uruchamianie akcji zdalnych
Po skonfigurowaniu urządzeń można używać akcji zdalnych w usłudze Intune do zarządzania urządzeniami z systemem macOS i rozwiązywania problemów z nimi z daleka. W poniższych artykułach przedstawiono akcje zdalne w usłudze Intune. Jeśli akcja jest nieobecna lub wyłączona w portalu, nie jest obsługiwana w systemie macOS.
Zadanie | Szczegóły |
---|---|
Zdalne działania na urządzeniach | Dowiedz się, jak przejść do szczegółów i zdalnie zarządzać poszczególnymi urządzeniami oraz rozwiązywać związane z nimi problemy w usłudze Intune. Ten artykuł zawiera listę wszystkich akcji zdalnych dostępnych w usłudze Intune oraz linki do tych procedur. |
Używanie aplikacji TeamViewer do zdalnego administrowania urządzeniami usługi Intune | Skonfiguruj aplikację TeamViewer w usłudze Intune i dowiedz się, jak zdalnie administrować urządzeniem. |
Wyświetlanie zagrożeń i luk w zabezpieczeniach przy użyciu zadań zabezpieczeń | Zintegruj usługę Intune z platformą ochrony punktu końcowego w usłudze Microsoft Defender, aby korzystać z jej funkcji zarządzania zagrożeniami i lukami, i korzystaj z usługi Intune do korygowania zagrożeń punktu końcowego identyfikowanych przez funkcję zarządzania lukami w zabezpieczeniach usługi Defender. |
Następne kroki
Zapoznaj się z tematem Przewodnik po centrum administracyjnym usługi Intune , aby zapoznać się z samouczkiem dotyczącym nawigowania po usłudze Intune i korzystania z niej. Zawartość samouczków klasyfikowana jest na poziomie 100–200 w przypadku nowych użytkowników usługi Intune lub określonego scenariusza.
Samouczki dotyczące wdrażania aplikacji można znaleźć w następujących blogach społeczności technicznej firmy Microsoft napisanych przez zespół pomocy technicznej usługi Intune:
Aby zapoznać się z innymi wersjami tego przewodnika, zobacz: