Konfigurowanie rejestracji urządzeń z systemem MacOS w usłudze Intune

  • Artykuł

Microsoft Intune obsługuje rejestrację na urządzeniach osobistych i należących do firmy. W tym artykule opisano metody i funkcje, których można użyć do rejestrowania urządzeń osobistych, firmowych i maszyn wirtualnych w Intune.

Włączanie rejestracji w Microsoft Intune

Najpierw wykonaj te kroki, aby włączyć rejestrację w dzierżawie Microsoft Intune.

  1. Sprawdź, czy urządzenia kwalifikują się do rejestracji urządzeń firmy Apple
  2. Konfigurowanie domen
  3. Ustawianie urzędu MDM
  4. Pobieranie certyfikatu wypychania mdm firmy Apple
  5. Przypisywanie licencji użytkowników w Centrum administracyjne platformy Microsoft 365
  6. Tworzenie grup
  7. Konfigurowanie aplikacji Portal firmy

Rejestrowanie urządzeń

Po włączeniu rejestracji użyj jednej z obsługiwanych metod opisanych w tej sekcji, aby zarejestrować urządzenia należące do użytkownika i należące do firmy.

Urządzenia z systemem macOS należące do użytkownika (BYOD)

Intune obsługuje funkcję "przynieś własne urządzenie" (BYOD), która umożliwia samodzielne rejestrowanie urządzeń osobistych. Aby zakończyć konfigurowanie rejestracji dla scenariuszy BYOD, poinformuj licencjonowanych użytkowników, aby skorzystali z jednej z tych opcji w celu zarejestrowania urządzeń:

  • Zaloguj się do witryny internetowej Portal firmy i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dodać urządzenie.
  • Zainstaluj aplikację Portal firmy dla komputerów Mac w aka.ms/EnrollMyMac i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dodać urządzenie.

Należące do firmy urządzenia z systemem macOS

Intune obsługuje następujące metody rejestracji dla firmowych urządzeń z systemem macOS. Wybierz metodę hiperłącza, aby otworzyć kroki konfiguracji.

  • Automatyczna rejestracja urządzeń firmy Apple: ta metoda służy do automatyzowania środowiska rejestracji na urządzeniach zakupionych za pośrednictwem programu Apple Business Manager lub Apple School Manager. Automatyczna rejestracja urządzeń wdraża profil rejestracji na antenie, dzięki czemu nie trzeba mieć fizycznego dostępu do urządzeń.
  • Menedżer rejestracji urządzeń (DEM): ta metoda jest używana w przypadku wdrożeń na dużą skalę i gdy w organizacji jest wiele osób, które mogą pomóc w konfiguracji rejestracji. Osoba z uprawnieniami menedżera rejestracji urządzeń (DEM) może zarejestrować maksymalnie 1000 urządzeń przy użyciu jednego konta Microsoft Entra. Ta metoda używa aplikacji Portal firmy lub aplikacji Microsoft Intune do rejestrowania urządzeń. Nie można użyć konta DEM do rejestrowania urządzeń za pośrednictwem zautomatyzowanej rejestracji urządzeń.
  • Rejestracja bezpośrednia: rejestracja bezpośrednia rejestruje urządzenia bez koligacji użytkownika, dlatego ta metoda jest najlepsza w przypadku urządzeń, które nie są skojarzone z jednym użytkownikiem. Ta metoda wymaga fizycznego dostępu do zarejestrowanych komputerów Mac.

Tokeny bootstrap

Intune obsługuje używanie tokenów bootstrap na zarejestrowanych komputerach Mac z systemem macOS 10.15 lub nowszym. Tokeny bootstrap przyznają stan własności woluminu lokalnym kontom użytkownika i gościa, dzięki czemu użytkownicy niebędący administratorami mogą zatwierdzać ważne operacje, które w przeciwnym razie musiałby wykonać administrator. Operacje, takie jak:

  • Aktualizacje oprogramowania inicjowane przez użytkownika

  • Instalacja rozszerzenia jądra w krzemie firmy Apple

Tokeny bootstrap można używać na nadzorowanych komputerach Mac i komputerach Mac zarejestrowanych za pośrednictwem automatycznej rejestracji urządzeń z systemem macOS.

Pobieranie tokenu bootstrap

Token bootstrap jest generowany automatycznie, gdy:

  • Nowo zarejestrowane komputery Mac są zaewidencjonowane za pomocą Intune i
  • Bezpieczny użytkownik z włączoną obsługą tokenu (zazwyczaj administrator Intune) loguje się na komputerze Mac przy użyciu hasła zwykłego tekstu

Token jest następnie automatycznie deponowany do Microsoft Intune. Narzędzie wiersza polecenia umożliwia ręczne wyświetlanie, generowanie i escrowowanie tokenu bootstrap na obsługiwanych urządzeniach z systemem macOS w razie potrzeby. Aby uzyskać więcej informacji na temat poleceń, zobacz Używanie bezpiecznego tokenu, tokenu bootstrap i własności woluminu we wdrożeniach w pomocy technicznej firmy Apple.

Monitorowanie stanu escrow bootstrap

Możesz monitorować stan depozytu dla dowolnego zarejestrowanego komputera Mac w centrum administracyjnym. Właściwość sprzętowa tokenu Bootstrap zgłasza, czy token bootstrap został zdeponowany w Intune. Intune raporty Tak, gdy token został pomyślnie zdeponowany i nie, gdy token nie został zdeponowany.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.
  2. Przejdź do pozycji Urządzenia>z systemem macOS.
  3. Wybierz urządzenie z listy urządzeń z systemem macOS.
  4. Wybierz pozycję Sprzęt.
  5. W szczegółach sprzętu przewiń w dół do pozycji Token rozruchu dostępu >warunkowegoz escrowed.

Zarządzanie rozszerzeniami jądra i aktualizacjami oprogramowania

Token bootstrap może służyć do zatwierdzania instalacji rozszerzeń jądra i aktualizacji oprogramowania na komputerze Mac z krzemem firmy Apple.

Aktualizacje oprogramowania inicjowane przez użytkownika można przeprowadzać przy użyciu tokenu bootstrap na komputerach Mac z systemem macOS w wersji 11.1 i zarejestrowanych za pośrednictwem zautomatyzowanej rejestracji urządzeń. Aby autoryzować aktualizacje oprogramowania inicjowane przez użytkownika na urządzeniu, które nie jest zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń, należy ponownie uruchomić komputer Mac w trybie odzyskiwania i obniżyć jego ustawienia zabezpieczeń. Możesz również użyć tokenu bootstrap dla aktualizacji oprogramowania na komputerach Mac z systemem macOS 11.2 lub nowszym, przy czym jedynym wymaganiem jest, aby urządzenie było nadzorowane.

Zarządzanie rozszerzeniami jądra jest automatycznie dostępne na komputerach Mac z systemem macOS 11 lub nowszym i rejestrowane za pośrednictwem zautomatyzowanej rejestracji urządzeń. Aby autoryzować zdalne zarządzanie rozszerzeniami jądra na urządzeniu, które nie jest zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń, należy ponownie uruchomić komputer Mac w trybie odzyskiwania i obniżyć jego ustawienia zabezpieczeń.

Aby uzyskać więcej informacji na temat zmiany ustawień zabezpieczeń, zobacz Zmienianie ustawień zabezpieczeń na dysku startowym komputera Mac z krzemem firmy Apple w pomocy technicznej firmy Apple.

Blokowanie rejestracji w systemie macOS

Domyślnie Intune umożliwia rejestrowanie urządzeń z systemem macOS. Aby zablokować rejestrowanie urządzeń z systemem macOS, zobacz Ustawianie ograniczeń typu urządzenia.

Rejestrowanie maszyn wirtualnych z systemem macOS na potrzeby testowania

Uwaga

Intune obsługuje maszyny wirtualne z systemem macOS tylko do celów testowych. Nie używaj maszyn wirtualnych z systemem macOS jako oficjalnych urządzeń dla pracowników lub studentów.

Intune obsługuje maszyny wirtualne z systemem:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune musi znać model sprzętowy i numer seryjny maszyny wirtualnej, aby rozpoznać i zarejestrować ją jako urządzenie. Jeśli spróbujesz zarejestrować maszynę wirtualną bez podawania tych szczegółów, rejestracja zakończy się niepowodzeniem. Ta sekcja zawiera więcej informacji o tym, jak spełnić to wymaganie przed rejestracją.

Parallels Desktop

Zmodyfikuj ustawienia konfiguracji maszyny wirtualnej, aby dodać lub zmienić numer seryjny maszyny wirtualnej i identyfikator modelu sprzętowego. Wprowadź dowolny ciąg znaków alfanumerycznych dla numeru seryjnego. W przypadku modelu sprzętowego zalecamy użycie modelu urządzenia z uruchomioną maszyną wirtualną. Aby znaleźć model sprzętowy komputera Mac, wybierz menu Firmy Apple i przejdź do pozycji Informacje o tymidentyfikatorze modeluraportu> systemu Mac>.

Aby uzyskać więcej informacji, zobacz następujące tematy w baza wiedzy Parallels:

VMware Fusion

Dodaj następujące wiersze do pliku vmx, aby ustawić model sprzętowy i numer seryjny maszyny wirtualnej. Wartości przedstawione w tym przykładzie to przykłady.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"

Wprowadź dowolny ciąg znaków alfanumerycznych dla numeru seryjnego. W przypadku modelu sprzętowego zalecamy użycie modelu urządzenia z uruchomioną maszyną wirtualną. Aby znaleźć model sprzętowy komputera Mac, wybierz menu Firmy Apple i przejdź do pozycji Informacje o tymidentyfikatorze modeluraportu> systemu Mac>.

Rozwiązanie VMware Fusion jest obsługiwane tylko na komputerach Intel Mac. Aby uzyskać więcej informacji na temat edytowania pliku vmx maszyny wirtualnej VMware Fusion, zobacz witrynę internetową VMware Customer Connect.

Apple Silicon

W przypadku maszyn wirtualnych działających na sprzęcie Apple Silicon nie są wymagane żadne zmiany. Program Parallels Desktop jest obsługiwany na komputerach Mac z systemem Apple Silicon, więc jeśli skonfigurujesz maszynę wirtualną w ten sposób, nie musisz modyfikować identyfikatora modelu sprzętu ani numeru seryjnego.

Rejestracja zatwierdzona przez użytkownika

Wszystkie rejestracje komputerów Mac w Intune są uznawane za zatwierdzone przez użytkownika. Rejestracja zatwierdzona przez użytkownika umożliwia zarządzanie urządzeniami z systemem macOS, które nie są częścią programu Apple School Manager lub Apple Business Manager. Zapewnia ten sam poziom kontroli co nadzorowane urządzenia z systemem macOS zarejestrowane przy użyciu zautomatyzowanej rejestracji urządzeń lub programu Apple Configurator.

Intune automatycznie włącza nadzór nad urządzeniami zatwierdzonymi przez użytkownika z systemem macOS 11 lub nowszym. Robi to również w przypadku zarejestrowanych urządzeń, które później są aktualizowane do systemu macOS 11 lub nowszego.

Uwaga

Intune ogłosiła obsługę rejestracji zatwierdzonej przez użytkownika w czerwcu 2020 r. Rejestracje BYOD, które miały miejsce przed tym czasem, mogą nie zostać zatwierdzone przez użytkownika. Aby uzyskać więcej informacji na temat urządzeń firmy Apple, które zostały zatwierdzone przez użytkownika, zobacz Rejestracja mdm zatwierdzona przez użytkownika w witrynie internetowej pomocy technicznej firmy Apple.

Środowisko użytkownika

Użytkownik urządzenia loguje się do aplikacji Portal firmy w celu zainicjowania rejestracji. Portal firmy następnie otwiera preferencje systemowe urządzenia i monituje użytkownika o zainstalowanie profilu zarządzania. Portal firmy zawiera instrukcje w aplikacji, aby ułatwić użytkownikom znalezienie profilu. Użytkownicy przechodzą dopozycji Profilepreferencji systemowych>, aby zatwierdzić instalację profilu zarządzania. Użytkownicy urządzeń, którzy nie zapewniają zatwierdzenia podczas rejestracji, mogą później wrócić do preferencji systemowych, aby udzielić zatwierdzenia.

Dowiedz się, czy urządzenie zostało zatwierdzone przez użytkownika

  1. W centrum administracyjnym wybierz pozycję Urządzenia>Wszystkie urządzenia.
  2. Wybierz urządzenie z systemem macOS.
  3. Z menu bocznego wybierz pozycję Sprzęt.
  4. Sprawdź wartość obok pozycji Rejestracja zatwierdzona przez użytkownika.

Tworzenie kopii zapasowej i przywracanie za pomocą narzędzia Apple Migration Assistant

Użyj narzędzia Apple Migration Assistant, aby utworzyć kopię zapasową i przywrócić urządzenie z systemem macOS. Możesz użyć tego narzędzia, aby utworzyć kopię zapasową komputera Mac i przywrócić dane aplikacji na nowym urządzeniu. Ważne jest, aby wiedzieć:

  • Nie jest kopia zapasowa profilu zarządzania na oryginalnym komputerze Mac. Urządzenie jest wysyłane do nowego profilu zarządzania w miarę ponownego rejestrowania nowego komputera Mac. Dzieje się tak na komputerach Mac, które przechodzą przez zautomatyzowane rejestrowanie urządzeń firmy Apple i komputery Mac, które nie przechodzą przez automatyczną rejestrację urządzeń.
  • Portal firmy poświadczenia aplikacji mogą zostać przywrócone na nowym komputerze Mac po przejściu przez narzędzie Migration Assistant i zarejestrowaniu. W takim przypadku zalecamy wykonanie przez Ciebie lub użytkownika urządzenia następujących kroków w celu wyczyszczenia danych aplikacji:
    1. Wyloguj się z aplikacji Portal firmy.
    2. Zaloguj się do aplikacji lub witryny internetowej Portal firmy.

Następne kroki