Używanie skryptów powłoki na urządzeniach z systemem macOS w usłudze Intune

Użyj skryptów powłoki, aby rozszerzyć możliwości zarządzania urządzeniami w usłudze Intune, poza to, co jest obsługiwane przez system operacyjny macOS.

Uwaga

Aplikacja Rosetta 2 jest wymagana do uruchamiania aplikacji w wersji x64 (Intel) na komputerach Apple Silicon Mac. Aby automatycznie zainstalować aplikację Rosetta 2 na komputerach Mac z systemem Apple Silicon, możesz wdrożyć skrypt powłoki w usłudze Intune. Aby wyświetlić przykładowy skrypt, zobacz Rosetta 2 Installation Script (Skrypt instalacji rosetta 2).

Wymagania wstępne

Upewnij się, że podczas tworzenia skryptów powłoki i przypisywania ich do urządzeń z systemem macOS spełnione są następujące wymagania wstępne.

• Na urządzeniach działa system macOS 12.0 lub nowszy.
• Urządzenia są zarządzane przez usługę Intune.
• Urządzenia są połączone bezpośrednio z Internetem. Połączenie za pośrednictwem serwera proxy nie jest obsługiwane.
• Skrypty powłoki zaczynają się od #! i muszą znajdować się w prawidłowej lokalizacji, takiej jak #!/bin/sh lub #!/usr/bin/env zsh.
• Są zainstalowane interpretery wiersza polecenia dla odpowiednich powłok.

Ważne zagadnienia przed użyciem skryptów powłoki

• Skrypty powłoki wymagają pomyślnego zainstalowania agenta zarządzania Microsoft Intune na urządzeniu z systemem macOS. Aby uzyskać więcej informacji, zobacz Microsoft Intune agenta zarządzania dla systemu macOS.
• Skrypty powłoki są uruchamiane równolegle na urządzeniach jako oddzielne procesy.
• Skrypty powłoki uruchamiane jako zalogowany użytkownik będą uruchamiane dla wszystkich aktualnie zalogowanych kont użytkowników na urządzeniu w momencie uruchomienia.
• Użytkownik końcowy musi zalogować się na urządzeniu w celu wykonywania skryptów uruchomionych jako zalogowany użytkownik.
• Uprawnienia użytkownika głównego są wymagane, jeśli skrypt wymaga wprowadzenia zmian, których standardowe konto użytkownika nie może.
• Skrypty powłoki będą próbować uruchamiać częściej niż wybrana częstotliwość skryptu dla określonych warunków, na przykład jeśli dysk jest pełny, jeśli lokalizacja magazynu jest naruszona, jeśli lokalna pamięć podręczna zostanie usunięta lub jeśli urządzenie Mac zostanie ponownie uruchomione.
• Skrypty powłoki działające dłużej niż 60 minut są zatrzymywane i zgłaszane jako "zakończone niepowodzeniem".

Tworzenie i przypisywanie zasad skryptu powłoki

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Urządzenia>skrypty powłoki>systemu macOS>Dodaj.

3. W obszarze Podstawy wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

   • Nazwa: wprowadź nazwę skryptu powłoki.
   • Opis: wprowadź opis skryptu powłoki. To ustawienie jest opcjonalne, ale zalecane.

4. W obszarze Ustawienia skryptu wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

   • Przekaż skrypt: przejdź do skryptu powłoki. Rozmiar pliku skryptu musi być mniejszy niż 200 KB.
   • Uruchom skrypt jako zalogowany użytkownik: wybierz pozycję Tak , aby uruchomić skrypt z poświadczeniami użytkownika na urządzeniu. Wybierz pozycję Nie (wartość domyślna), aby uruchomić skrypt jako użytkownik główny.
   • Ukryj powiadomienia skryptu na urządzeniach: Domyślnie powiadomienia skryptów są wyświetlane dla każdego uruchamianego skryptu. Użytkownicy końcowi widzą , że it konfiguruje powiadomienie komputera z usługi Intune na urządzeniach z systemem macOS.
   • Częstotliwość skryptu: Wybierz częstotliwość uruchamiania skryptu. Wybierz pozycję Nie skonfigurowano (wartość domyślna), aby uruchomić skrypt tylko raz. Skrypty z zestawem częstotliwości będą również uruchamiane po ponownym uruchomieniu urządzenia.
   • Maksymalna liczba ponownych prób w przypadku niepowodzenia skryptu: Wybierz, ile razy skrypt powinien zostać uruchomiony, jeśli zwraca kod zakończenia inny niż zero (zero oznacza powodzenie). Wybierz pozycję Nie skonfigurowano (wartość domyślna), aby nie ponawiać próby, gdy skrypt zakończy się niepowodzeniem.

5. W obszarze Tagi zakresu opcjonalnie dodaj tagi zakresu dla skryptu, a następnie wybierz pozycję Dalej. Tagi zakresu umożliwiają określenie, kto może wyświetlać skrypty w usłudze Intune. Aby uzyskać szczegółowe informacje na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.

6. Wybierz pozycję Przypisania>Wybierz grupy do uwzględnienia. Zostanie wyświetlona istniejąca lista grup Microsoft Entra. Wybierz co najmniej jedną grupę użytkowników lub urządzeń, które mają otrzymać skrypt. Zaznacz pozycję Wybierz. Wybrane grupy są wyświetlane na liście i będą otrzymywać zasady skryptu.

   Uwaga

   • Skrypty powłoki przypisane do grup użytkowników mają zastosowanie do każdego użytkownika logującego się na komputerze Mac.
   • Aktualizowanie przypisań skryptów powłoki powoduje również zaktualizowanie przypisań dla Microsoft Intune agenta MDM dla systemu macOS.

7. W obszarze Przeglądanie i dodawanie zostanie wyświetlone podsumowanie skonfigurowanych ustawień. Wybierz pozycję Dodaj , aby zapisać skrypt. Po wybraniu pozycji Dodaj zasady skryptu są wdrażane w wybranych grupach.

Utworzony skrypt zostanie wyświetlony na liście skryptów. W razie potrzeby możesz wyświetlić zawartość skryptów powłoki systemu macOS po przekazaniu ich do usługi Intune.

Monitorowanie zasad skryptu powłoki

Możesz monitorować stan uruchamiania wszystkich przypisanych skryptów dla użytkowników i urządzeń, wybierając jeden z następujących raportów:

• Skrypty>wybieranie skryptu do monitorowania>Stan urządzenia
• Skrypty>wybieranie skryptu do monitorowania>Stan użytkownika

Ważna

Niezależnie od wybranej częstotliwości skryptu stan uruchomienia skryptu jest zgłaszany tylko przy pierwszym uruchomieniu skryptu. Stan uruchomienia skryptu nie jest aktualizowany w kolejnych przebiegach. Jednak zaktualizowane skrypty są traktowane jako nowe skrypty i ponownie zgłosi stan uruchomienia.

Po uruchomieniu skryptu zwraca on jeden z następujących stanów:

• Stan uruchomienia skryptu Failed wskazuje, że skrypt zwrócił kod zakończenia inny niż zero lub skrypt jest źle sformułowany.
• Stan uruchomienia skryptu powodzenie wskazuje, że skrypt zwrócił zero jako kod zakończenia.

Rozwiązywanie problemów z zasadami skryptów powłoki systemu macOS przy użyciu zbierania dzienników

Dzienniki urządzeń można zbierać, aby ułatwić rozwiązywanie problemów ze skryptami na urządzeniach z systemem macOS.

Wymagania dotyczące zbierania dzienników

Następujące elementy są wymagane do zbierania dzienników na urządzeniu z systemem macOS:

• Musisz określić pełną bezwzględną ścieżkę pliku dziennika.
• Ścieżki plików muszą być rozdzielone tylko średnikami (;).
• Maksymalny rozmiar kolekcji dzienników do przekazania to 60 MB (skompresowane) lub 25 plików, w zależności od tego, co nastąpi wcześniej.
• Typy plików dozwolone do zbierania dzienników obejmują następujące rozszerzenia: .log, .zip, .gz, .tar, .txt, .xml, .crash, .rtf

Zbieranie dzienników urządzeń

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Przejdź do pozycji Skrypty urządzeń> i wybierz skrypt powłoki systemu macOS.

3. W obszarze Stan urządzenia lub Raport o stanie użytkownika wybierz urządzenie.

4. Wybierz pozycję Zbierz dzienniki, podaj ścieżki folderów plików dziennika oddzielone tylko średnikami (;) bez spacji lub nowych wierszy między ścieżkami.
   Na przykład wiele ścieżek powinno być zapisywanych jako /Path/to/logfile1.zip;/Path/to/logfile2.log.

   Ważna

   Wiele ścieżek plików dziennika rozdzielonych przecinkami, kropkami, nowymi wierszami lub cudzysłowami ze spacjami lub bez tych znaków spowoduje błąd zbierania dzienników. Spacje są również niedozwolone jako separatory między ścieżkami.

5. Wybierz przycisk OK. Dzienniki są zbierane przy następnym zaewidencjonowaniu agenta zarządzania usługi Intune na urządzeniu w usłudze Intune. To zaewidencjonowynie odbywa się zwykle co 8 godzin.

   Uwaga

   • Zebrane dzienniki są szyfrowane na urządzeniu, przesyłane i przechowywane w usłudze Microsoft Azure Storage przez 30 dni. Przechowywane dzienniki są odszyfrowywane na żądanie i pobierane przy użyciu centrum administracyjnego Microsoft Intune.
   • Oprócz dzienników określonych przez administratora dzienniki agenta zarządzania usługi Intune są również zbierane z następujących folderów: /Library/Logs/Microsoft/Intune i ~/Library/Logs/Microsoft/Intune. Nazwy plików dziennika agenta to IntuneMDMDaemon date--time.log i IntuneMDMAgent date--time.log.
   • Jeśli brakuje dowolnego pliku określonego przez administratora lub ma nieprawidłowe rozszerzenie pliku, te nazwy plików znajdują się na liście w LogCollectionInfo.txtpliku .

Błędy zbierania dzienników

Zbieranie dzienników może zakończyć się niepowodzeniem z powodu któregokolwiek z następujących powodów podanych w poniższej tabeli. Aby rozwiązać te błędy, wykonaj kroki korygowania.

Kod błędu (szesnastkowa)	Kod błędu (grudzień)	Komunikat o błędzie	Kroki korygowania
0X87D300D1	2016214834	Rozmiar pliku dziennika nie może przekraczać 60 MB.	Upewnij się, że skompresowane dzienniki mają rozmiar mniejszy niż 60 MB.
0X87D300D1	2016214831	Podana ścieżka pliku dziennika musi istnieć. Folder użytkownika systemu jest nieprawidłową lokalizacją plików dziennika.	Upewnij się, że podana ścieżka pliku jest prawidłowa i dostępna.
0X87D300D2	2016214830	Przekazywanie pliku zbierania dzienników nie powiodło się z powodu wygaśnięcia adresu URL przekazywania.	Ponów próbę wykonania akcji Zbierz dzienniki .
0X87D300D3, 0X87D300D5, 0X87D300D7	2016214829, 2016214827, 2016214825	Przekazywanie pliku zbierania dzienników nie powiodło się z powodu błędu szyfrowania. Ponów próbę przekazania dziennika.	Ponów próbę wykonania akcji Zbierz dzienniki .
	2016214828	Liczba plików dziennika przekroczyła dozwolony limit 25 plików.	Jednocześnie można zbierać tylko maksymalnie 25 plików dziennika.
0X87D300D6	2016214826	Przekazywanie pliku zbierania dzienników nie powiodło się z powodu błędu zip. Ponów próbę przekazania dziennika.	Ponów próbę wykonania akcji Zbierz dzienniki .
	2016214740	Nie można zaszyfrować dzienników, ponieważ nie znaleziono skompresowanych dzienników.	Ponów próbę wykonania akcji Zbierz dzienniki .
	2016214739	Dzienniki zostały zebrane, ale nie można ich przechowywać.	Ponów próbę wykonania akcji Zbierz dzienniki .

Atrybuty niestandardowe dla systemu macOS

Można tworzyć niestandardowe profile atrybutów, które umożliwiają zbieranie właściwości niestandardowych z zarządzanego urządzenia z systemem macOS przy użyciu skryptów powłoki.

Tworzenie i przypisywanie atrybutu niestandardowego dla urządzeń z systemem macOS

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Urządzenia>z systemem macOS>Atrybuty niestandardowe>Dodaj.

3. W obszarze Podstawy wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

   • Nazwa: wprowadź nazwę skryptu.
   • Opis: wprowadź opis skryptu. To ustawienie jest opcjonalne, ale zalecane.

4. W obszarze Ustawienia atrybutu wprowadź następujące właściwości, a następnie wybierz pozycję Dalej:

   • Typ danych atrybutu: wybierz typ danych wyniku zwracanego przez skrypt. Dostępne wartości to Ciąg, Liczba całkowita i Data.
   • Skrypt: wybierz plik skryptu.

   Dodatkowe szczegóły:

   • Skrypt powłoki musi odzwierciedlać atrybut do zgłoszenia, a typ danych wyjściowych musi być zgodny z typem danych atrybutu w profilu atrybutu niestandardowego.
   • Wynik zwrócony przez skrypt powłoki musi mieć wartość 20 KB lub mniejszą.

   Uwaga

   W przypadku używania Date atrybutów typu upewnij się, że skrypt powłoki zwraca daty w formacie ISO-8601. Zobacz poniższe przykłady.

   Aby wydrukować datę zgodną z normą ISO-8601 ze strefą czasową:

   #!/bin/sh
   var=$(date +"%Y-%m-%dT%H:%M:%S%z")
   echo $var # Prints an ISO-8601 compliant date with time-zone
   

   Aby wydrukować datę zgodną z normą ISO-8601 w godzinie UTC:

   #!/bin/sh
   var=$(date -u +"%Y-%m-%dT%H:%M:%SZ")
   echo $var # Prints an ISO-8601 compliant date in UTC time
   

5. W obszarze Przypisania kliknij pozycję Wybierz grupy do uwzględnienia. Po wybraniu pozycji Wybierz grupy do uwzględnienia jest wyświetlana istniejąca lista grup Microsoft Entra. Wybierz co najmniej jedną grupę użytkowników lub urządzeń, które mają otrzymać skrypt. Zaznacz pozycję Wybierz. Wybrane grupy są wyświetlane na liście i będą otrzymywać zasady skryptu. Alternatywnie możesz wybrać pozycję Wszyscy użytkownicy, Wszystkie urządzenia lub Wszyscy użytkownicy i wszystkie urządzenia , wybierając jedną z tych opcji w polu listy rozwijanej obok pozycji Przypisz do.

   Uwaga

   • Skrypty przypisane do grup użytkowników mają zastosowanie do każdego użytkownika logującego się na komputerze Mac.

6. W obszarze Przeglądanie i dodawanie zostanie wyświetlone podsumowanie skonfigurowanych ustawień. Wybierz pozycję Dodaj , aby zapisać skrypt. Po wybraniu pozycji Dodaj zasady skryptu są wdrażane w wybranych grupach.

Utworzony skrypt zostanie wyświetlony na liście atrybutów niestandardowych. W razie potrzeby możesz wyświetlić zawartość atrybutów niestandardowych po przekazaniu ich do usługi Intune.

Monitorowanie niestandardowych zasad atrybutów

Możesz monitorować stan uruchomienia wszystkich przypisanych profilów atrybutów niestandardowych dla użytkowników i urządzeń, wybierając jeden z następujących raportów:

• Atrybuty niestandardowe>wybieranie profilu atrybutu niestandardowego do monitorowania>Stan urządzenia
• Atrybuty niestandardowe>wybieranie profilu atrybutu niestandardowego do monitorowania>Stan użytkownika

Ważna

Skrypty powłoki udostępniane w niestandardowych profilach atrybutów są uruchamiane co 8 godzin na zarządzanych komputerach Mac i raportowane.

Po uruchomieniu profilu atrybutu niestandardowego zwraca on jeden z następujących stanów:

• Stan Niepowodzenie wskazuje, że skrypt zwrócił kod zakończenia inny niż zero lub skrypt jest źle sformułowany. Błąd jest zgłaszany w kolumnie Wynik .
• Stan Powodzenie wskazuje, że skrypt zwrócił zero jako kod zakończenia. Dane wyjściowe powtórzone przez skrypt są zgłaszane w kolumnie Wynik .

Często zadawane pytania

Dlaczego przypisane skrypty powłoki nie są uruchomione na urządzeniu?

Może istnieć kilka powodów:

• Agent może wymagać zaewidencjonowania, aby otrzymywać nowe lub zaktualizowane skrypty. Ten proces ewidencjonowania odbywa się co 8 godzin i różni się od ewidencjonowania mdm. Upewnij się, że urządzenie jest wybudzone i połączone z siecią w celu pomyślnego zaewidencjonowania agenta i poczekaj na zaewidencjonowanie agenta. Możesz również poprosić użytkownika końcowego o otwarcie Portal firmy na komputerze Mac, wybranie urządzenia i kliknięcie przycisku Sprawdź ustawienia.
• Agent może nie być zainstalowany. Sprawdź, czy agent jest zainstalowany na /Library/Intune/Microsoft Intune Agent.app urządzeniu z systemem macOS.
• Agent może nie być w dobrej kondycji. Agent podejmie próbę odzyskania przez 24 godziny, usunie się i zainstaluje ponownie, jeśli skrypty powłoki są nadal przypisane.

Jak często zgłaszany jest stan uruchomienia skryptu?

Stan uruchomienia skryptu jest zgłaszany do centrum administracyjnego Microsoft Intune natychmiast po zakończeniu uruchamiania skryptu. Jeśli skrypt ma być uruchamiany okresowo z określoną częstotliwością, raportuje stan tylko przy pierwszym uruchomieniu.

Kiedy skrypty powłoki są uruchamiane ponownie?

Skrypt jest uruchamiany ponownie tylko wtedy, gdy maksymalna liczba prób ponowienia próby w przypadku skonfigurowania ustawienia skryptu kończy się niepowodzeniem i uruchomienie skryptu kończy się niepowodzeniem. Jeśli maksymalna liczba prób ponownych prób w przypadku niepowodzenia skryptu nie zostanie skonfigurowana, a skrypt zakończy się niepowodzeniem po uruchomieniu, nie zostanie on uruchomiony ponownie, a stan uruchomienia zostanie zgłoszony jako zakończony niepowodzeniem.

Jakie uprawnienia roli usługi Intune są wymagane dla skryptów powłoki?

Przypisana rola usługi Intune wymaga uprawnień konfiguracji urządzenia do usuwania, przypisywania , tworzenia, aktualizowania lub odczytywania skryptów powłoki.

Znane problemy

• Brak stanu uruchomienia skryptu: W mało prawdopodobnym przypadku odebrania skryptu na urządzeniu i przełączeniu urządzenia w tryb offline przed zgłoszeniem stanu uruchomienia urządzenie nie zgłosi stanu uruchomienia skryptu w centrum administracyjnym.

Informacje dodatkowe

Podczas wdrażania skryptów powłoki lub atrybutów niestandardowych dla urządzeń z systemem macOS z Microsoft Intune wdraża nową uniwersalną wersję aplikacji agenta zarządzania usługi Intune, która działa natywnie na maszynach Apple Silicon Mac. To samo wdrożenie spowoduje zainstalowanie wersji x64 aplikacji na komputerach Intel Mac. Aplikacja Rosetta 2 jest wymagana do uruchamiania aplikacji w wersji x64 (Intel) na komputerach Apple Silicon Mac. Aby automatycznie zainstalować aplikację Rosetta 2 na komputerach Mac z systemem Apple Silicon, możesz wdrożyć skrypt powłoki w usłudze Intune. Aby wyświetlić przykładowy skrypt, zobacz Rosetta 2 Installation Script (Skrypt instalacji rosetta 2).

Następne kroki

• Tworzenie zasad zgodności w Microsoft Intune