Kompleksowy przewodnik rozpoczynania pracy z punktami końcowymi systemu macOS

Za pomocą usługi Microsoft Intune można zarządzać punktami końcowymi systemu macOS należącymi do organizacji lub szkoły oraz zabezpieczać je. Gdy Ty lub Twoja organizacja zarządzasz urządzeniami, możesz wdrażać aplikacje potrzebne użytkownikom końcowym, konfigurować żądane funkcje urządzeń i korzystać z zasad, które pomagają chronić urządzenia & organizacji przed zagrożeniami.

Ten artykuł dotyczy:

• Urządzenia z systemem macOS należące do Organizacji

Ten artykuł zawiera kompleksowy przewodnik ułatwiający rozpoczęcie pracy z punktami końcowymi systemu macOS. Koncentruje się on na:

• Punkty końcowe zarządzane za pomocą programu Apple Business Manager lub Apple School Manager
• Urządzenia zarejestrowane w usłudze Intune przy użyciu automatycznej rejestracji urządzeń z koligacją użytkownika. Koligacja użytkownika jest zwykle używana dla urządzeń z jednym użytkownikiem podstawowym.

W tym artykule przedstawiono kompleksowe kroki tworzenia punktów końcowych systemu macOS i zarządzania nimi przy użyciu usługi Microsoft Intune.

Jak korzystać z tego przewodnika

Ten przewodnik zawiera siedem faz. Każda faza zawiera zestaw kroków, które ułatwiają tworzenie konfiguracji i wdrażania punktu końcowego systemu macOS. Każda faza opiera się na poprzedniej fazie.

Wykonaj etapy i kroki w kolejności. Fazy obejmują:

• Faza 1 — konfigurowanie środowiska
• Faza 2 — rejestrowanie testowego punktu końcowego
• Faza 3 — zabezpieczanie punktu końcowego systemu macOS
• Faza 4 — stosowanie dostosowań specyficznych dla organizacji
• Faza 5 — opcjonalna konfiguracja zaawansowana
• Faza 6 — rejestrowanie pozostałych punktów końcowych systemu macOS
• Faza 7 — pomoc techniczna, konserwacja i następne kroki

Na końcu tego przewodnika masz punkt końcowy systemu macOS zarejestrowany w usłudze Intune i gotowy do rozpoczęcia sprawdzania poprawności w scenariuszach.

Faza 1 — konfigurowanie środowiska

Przed utworzeniem pierwszego punktu końcowego systemu macOS skonfigurowano pewne wymagania i funkcje konfiguracji.

W tej fazie sprawdzasz wymagania, integrujesz usługę Intune z usługą Apple Business Manager (lub Apple School Manager), konfigurujesz niektóre funkcje i dodajesz niektóre aplikacje do usługi Intune.

Krok 1 . Wymagania dotyczące sieci

✅Konfigurowanie sieci

Aby pomyślnie przygotować i wdrożyć punkt końcowy systemu macOS, punkt końcowy wymaga dostępu do kilku publicznych usług internetowych.

• Rozpocznij testowanie w otwartej sieci. W sieci organizacji możesz też zapewnić dostęp do wszystkich punktów końcowych wymienionych w temacie Punkty końcowe sieci dla usługi Microsoft Intune. Następnie możesz użyć sieci organizacji do przetestowania konfiguracji.

• Jeśli sieć bezprzewodowa wymaga certyfikatów, możesz rozpocząć od połączenia Ethernet podczas testowania. Połączenie Ethernet daje trochę czasu na określenie najlepszego podejścia do połączeń bezprzewodowych potrzebnych urządzeniom.

Uwaga

Inspekcja protokołu SSL może spowodować niepowodzenie dostępu do usług firmy Microsoft i firmy Apple. Aby uzyskać więcej informacji na temat wymagań firmy Apple, przejdź do tematu Korzystanie z produktów firmy Apple w sieciach przedsiębiorstwa.

Krok 2 . Rejestracja i licencjonowanie

✅Tworzenie nowej grupy, konfigurowanie ograniczeń rejestracji i przypisywanie licencji

Aby przygotować punkty końcowe do rejestracji, musisz upewnić się, że odpowiednie punkty końcowe są ukierunkowane i że punkty końcowe są prawidłowo licencjonowane.

Konkretnie:

• Tworzenie nowej grupy

  Utwórz nową grupę testową Microsoft Entra, taką jak Użytkownicy zarządzania urządzeniami przenośnymi w usłudze Intune. Następnie dodaj testowe konta użytkowników do tej grupy. Aby ograniczyć liczbę osób, które mogą rejestrować urządzenia podczas konfigurowania konfiguracji, należy kierować konfiguracje do tej grupy.

  Aby utworzyć grupę Microsoft Entra, użyj centrum administracyjnego usługi Intune. Podczas tworzenia grupy w usłudze Intune tworzysz grupę Entra. Nie widzisz znakowania Entra, ale tego właśnie używasz.

  Aby uzyskać więcej informacji, zobacz Tworzenie grupy do zarządzania użytkownikami w usłudze Intune.

• Ograniczenia rejestracji

  Ograniczenia rejestracji umożliwiają kontrolowanie typów urządzeń, które mogą zostać zarejestrowane w usłudze Intune management. Aby ten przewodnik zakończył się pomyślnie, w ramach ograniczenia rejestracji upewnij się, że rejestracja w systemie macOS (MDM) jest dozwolona, co jest konfiguracją domyślną. Przypisz to ograniczenie rejestracji do utworzonej nowej grupy.

  W razie potrzeby lub w razie potrzeby można również uniemożliwić rejestrowanie określonych urządzeń.

  Aby uzyskać informacje na temat konfigurowania ograniczeń rejestracji, przejdź do tematu Ustawianie ograniczeń rejestracji w usłudze Microsoft Intune.

• Licencjonowanie:

  Użytkownicy rejestrujący urządzenia z systemem macOS wymagają licencji usługi Microsoft Intune lub Microsoft Intune for Education. Aby przypisać licencje, przejdź do pozycji Przypisywanie licencji usługi Microsoft Intune. Przypisz licencje do utworzonych kont testowych.

  Uwaga

  Oba typy licencji są zwykle dołączane do pakietów licencjonowania, takich jak Microsoft 365 E3 (lub A3) i nowsze. Aby uzyskać więcej informacji, zobacz Porównanie planów platformy Microsoft 365 Enterprise.

Krok 3. Dodawanie certyfikatu MDM firmy Apple

✅Dodawanie certyfikatu wypychania za pomocą zarządzanego identyfikatora Apple ID

• Aby zarządzać urządzeniami z systemem macOS, firma Apple wymaga skonfigurowania dzierżawy usługi Intune przy użyciu certyfikatu wypychania MDM. Jeśli obecnie zarządzasz urządzeniami z systemem iOS/iPadOS w tej samej dzierżawie, ten krok zostanie wykonany.

• Upewnij się, że używasz zarządzanego identyfikatora Apple ID z wystąpieniem programu Apple Business Manager (lub Apple School Manager).

  Nie używaj osobistego identyfikatora Apple ID. Zarządzanie certyfikatem usługi Apple Push Notification Service ma kluczowe znaczenie dla życia rozwiązania do zarządzania urządzeniami. Dostęp przy użyciu osobistego identyfikatora Apple ID może stać się niedostępny, ponieważ personel zmienia się wraz z upływem czasu.

Aby uzyskać informacje na temat konfigurowania certyfikatu wypychania mdm firmy Apple, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple dla usługi Intune.

Krok 4. Dodawanie tokenu automatycznej rejestracji urządzeń firmy Apple

✅Łączenie tokenu firmy Apple na potrzeby automatycznej rejestracji urządzeń

Aby zarządzać urządzeniami zarejestrowanymi za pośrednictwem usługi Apple Business Manager (lub Apple School Manager), należy skonfigurować token MDM i połączyć token z usługą Intune.

Ten token jest wymagany w przypadku automatycznej rejestracji urządzeń (ADE) w usłudze Intune. Token:

• Umożliwia usłudze Intune synchronizowanie informacji o urządzeniu ADE z konta usługi Apple Business Manager (lub Apple School Manager).
• Umożliwia usłudze Intune przekazywanie profilów rejestracji do firmy Apple.
• Umożliwia usłudze Intune przypisywanie urządzeń do tych profilów.

Jeśli obecnie zarządzasz urządzeniami z systemem iOS/iPadOS w tej samej dzierżawie przy użyciu usługi ADE, niektóre z tych kroków można wykonać.

Aby uzyskać informacje na temat konfigurowania programu Apple Business Manager w usłudze Intune, przejdź do tematu Rejestrowanie urządzeń z systemem macOS — Apple Business Manager lub Apple School Manager.

Ogólne kroki konfigurowania programu Apple Business Manager (lub Apple School Manager) w usłudze Intune to:

1. Połącz usługę Intune z usługą Apple Business Manager (lub Apple School Manager).
2. W usłudze Intune utwórz profile ADE dla tokenu usługi Apple Business Manager.
3. W programie Apple Business Manager przypisz urządzenia do usługi Intune MDM.
4. W usłudze Intune przypisz profile ADE do urządzeń z systemem macOS.

Krok 5. Urządzenia docelowe

✅Kierowanie określonych grup przy użyciu grup użytkowników, filtrów usługi Intune lub grup dynamicznych

Urządzenia z systemem macOS z koligacją użytkownika mogą być przeznaczone dla profilów i aplikacji przy użyciu grup użytkowników lub urządzeń. Istnieją dwie typowe opcje dynamicznego kierowania urządzeń przez organizacje:

• Opcja 1 — wszystkie grupy urządzeń z filtrem przypisania w obszarze enrollmentProfileName

  W przypadku krytycznych aplikacji i zasad, które muszą być stosowane natychmiast po rejestracji (ustawienia zabezpieczeń, ograniczenia, aplikacja Portal firmy), możesz przypisać zasady do wbudowanej grupy Wszystkie urządzenia usługi Intune. Utwórz filtr przypisania przy użyciu profilu rejestracji utworzonego w kroku 4 — dodawanie tokenu automatycznej rejestracji urządzeń firmy Apple.

  Zasady i aplikacje przeznaczone dla grupy Wszystkie urządzenia są stosowane szybciej po rejestracji niż grupy dynamiczne. Nie wszystkie profile konfiguracji (takie jak skrypty systemu macOS) obsługują filtry.

  Aby uzyskać więcej informacji na temat filtrów przypisań, przejdź do tematu Tworzenie filtrów w usłudze Microsoft Intune.

• Opcja 2 — grupa dynamiczna Microsoft Entra oparta na enrollmentProfileName

  Aby ograniczyć konfiguracje z tego przewodnika do urządzeń testowych importowanych za pośrednictwem programu Apple Business Manager, utwórz dynamiczną grupę Microsoft Entra. Następnie możesz skierować wszystkie konfiguracje i aplikacje do tej grupy.

  1. Otwórz centrum administracyjne usługi Microsoft Intune.

  2. Wybierz pozycję Grupy>Nowa grupa i wprowadź następujące szczegóły:

     • Typ grupy: wybierz pozycję Zabezpieczenia.
     • Nazwa grupy: wprowadź punkty końcowe systemu macOS.
     • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

  3. W polu Dynamiczne elementy członkowskie urządzenia wybierz pozycję Dodaj zapytanie dynamiczne i wprowadź następujące właściwości:

     • Właściwość: wybierz pozycję enrollmentProfileName.
     • Operator: Wybierz pozycję równa się.
     • Wartość: wprowadź nazwę profilu rejestracji.

  4. Wybierz przycisk OK>Zapisz>utwórz.

  Podczas tworzenia aplikacji i zasad można kierować zasady do tej nowej dynamicznej grupy Microsoft Entra.

  Uwaga

  Po wprowadzeniu zmian wypełnienie grup dynamicznych może potrwać kilka minut. W dużych organizacjach może to potrwać dłużej. Po utworzeniu nowej grupy poczekaj kilka minut, zanim sprawdzisz, czy urządzenie jest członkiem grupy.

  Aby uzyskać więcej informacji na temat grup dynamicznych dla urządzeń, przejdź do sekcji Dynamiczne reguły członkostwa dla grup w usłudze Microsoft Entra ID: Reguły dla urządzeń.

Krok 6. Konfigurowanie ustawień początkowych i logowania jednokrotnego

✅Optymalizowanie środowiska pierwszego uruchomienia

Za pomocą usługi Intune można zoptymalizować środowisko pierwszego uruchomienia przy użyciu wbudowanych ustawień w profilu rejestracji ADE. W szczególności podczas tworzenia profilu rejestracji można:

• Wstępnie skonfiguruj informacje o użytkowniku końcowym w Asystentze ustawień.
• Użyj funkcji ostatecznej konfiguracji Await . Ta funkcja uniemożliwia użytkownikom końcowym dostęp do ograniczonej zawartości lub zmienianie ustawień do momentu zastosowania zasad konfiguracji urządzeń usługi Intune.

Aby uzyskać więcej informacji na temat tej funkcji i rejestracji w usłudze ADE, przejdź do tematu Automatyczne rejestrowanie komputerów Mac w programie Apple Business Manager lub Apple School Manager.

✅Zmniejszanie monitów o logowanie do aplikacji przy użyciu logowania jednokrotnego

W usłudze Intune można skonfigurować ustawienia, które zmniejszają liczbę monitów logowania otrzymywanych przez użytkowników końcowych podczas korzystania z aplikacji, w tym aplikacji platformy Microsoft 365. W tej konfiguracji istnieją dwie części:

• Część 1 — używanie wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft w celu zapewnienia logowania jednokrotnego dla aplikacji i witryn internetowych korzystających z identyfikatora Microsoft Entra na potrzeby uwierzytelniania, w tym aplikacji platformy Microsoft 365.

  Istnieją dwie opcje konfigurowania logowania jednokrotnego dla komputerów Mac — wtyczka logowania jednokrotnego dla przedsiębiorstw i logowanie jednokrotne platformy.

  Wtyczka logowania jednokrotnego w przedsiębiorstwie

  Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple zapewnia logowanie jednokrotne dla kont Microsoft Entra w systemie macOS we wszystkich aplikacjach obsługujących funkcję logowania jednokrotnego firmy Apple dla przedsiębiorstw.

  Aby utworzyć te zasady, w centrum administracyjnym usługi Intune przejdź do:

  • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy wykaz > ustawień zasad > Uwierzytelnianie > rozszerzalne logowanie jednokrotne: Dodaj i skonfiguruj następujące ustawienia:

    Name (Nazwa)	Konfiguracja
    Identyfikator rozszerzenia	com.microsoft.CompanyPortalMac.ssoextension
    Identyfikator zespołu	UBF8T346G9
    Wpisać	Przekierowanie
    Adresy URL	https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.us https://login-us.microsoftonline.com

  • Skonfiguruj następujące ustawienia opcjonalne:

    Klucz	Wpisać	Value
    AppPrefixAllowList	Ciąg	com.apple.,com.microsoft
    browser_sso_interaction_enabled	Liczba całkowita	1
    disable_explicit_app_prompt	Liczba całkowita	1

  Aby uzyskać więcej informacji na temat wtyczki Enterprise SSO, w tym sposobu tworzenia zasad, przejdź do tematu Konfigurowanie wtyczki logowania jednokrotnego systemu macOS Enterprise w usłudze Intune.

  Logo jednokrotne platformy

  Logowanie jednokrotne platformy jest oparte na istniejących limitach w wtyczce Enterprise SSO. Logowanie jednokrotne platformy umożliwia korzystanie z poświadczeń związanych z urządzeniem, kart inteligentnych lub opcji uwierzytelniania synchronizacji haseł. W systemie macOS 14 logowanie jednokrotne platformy obsługuje również tworzenie nowych kont użytkowników na ekranie logowania systemu macOS.

  Aby uzyskać więcej informacji, zobacz:

  • Konfigurowanie logowania jednokrotnego platformy dla urządzeń z systemem macOS w usłudze Microsoft Intune

  • Logo jednokrotne platformy w witrynie internetowej firmy Apple (otwiera witrynę internetową firmy Apple)

---

• Część 2 — użyj wykazu ustawień usługi Intune , aby skonfigurować następujące ustawienia, które zmniejszają liczbę monitów o zalogowanie, w tym microsoft AutoUpdate (MAU) i Microsoft Office.

  • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Microsoft AutoUpdate (MAU): Dodaj i skonfiguruj następujące ustawienia:

    • Automatycznie potwierdź zasady zbierania danych: wybierz pozycję Potwierdź — wyślij wymagane i opcjonalne dane.

      Aby uzyskać więcej informacji na temat tego ustawienia, przejdź do tematu Używanie preferencji do zarządzania mechanizmami kontroli prywatności dla pakietu Office dla komputerów Mac

    • Włącz funkcję AutoUpdate: wybierz pozycję True.

      To ustawienie wymusza włączenie funkcji Autoupdate firmy Microsoft. Aby uzyskać więcej informacji o usłudze Microsoft AutoUpdate, która aktualizuje aplikacje platformy Microsoft 365 i portal firmy, przejdź do tematu Wdrażanie aktualizacji dla pakietu Office dla komputerów Mac.

  • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy wykaz > ustawień zasad > Microsoft Office > Microsoft Office: Dodaj i skonfiguruj >następujące ustawienia:

    • Adres e-mail aktywacji pakietu Office: wprowadź {{userprincipalname}}.
    • Włącz automatyczne logowanie: wybierz pozycję Prawda.

    Te ustawienia usprawniają proces logowania podczas pierwszego otwierania aplikacji pakietu Office. Aby uzyskać więcej informacji na temat tych ustawień, przejdź do tematu Ustawianie preferencji dla całego pakietu dla pakietu Office dla komputerów Mac.

  Aby uzyskać więcej informacji na temat katalogu ustawień, w tym sposobu tworzenia zasad, przejdź do tematu Używanie wykazu ustawień do konfigurowania ustawień w usłudze Microsoft Intune.

Krok 7. Dodawanie i przypisywanie aplikacji obowiązkowych

✅Dodawanie minimalnego zestawu aplikacji do usługi Intune

Organizacja może mieć aplikacje, które muszą mieć urządzenia z systemem macOS. Twoja organizacja może wymagać zainstalowania tych aplikacji na wszystkich urządzeniach zarządzanych przez usługę Intune.

W tym kroku dodaj te aplikacje do usługi Intune i przypisz je do grupy.

Niektóre aplikacje, które muszą mieć, obejmują:

• Aplikacja Portal firmy

  Firma Microsoft zaleca wdrożenie aplikacji Portal firmy usługi Intune na wszystkich urządzeniach jako wymaganej aplikacji. Aplikacja Portal firmy jest centrum samoobsługowym dla użytkowników. W aplikacji Portal firmy użytkownicy mogą instalować aplikacje, synchronizować swoje urządzenie z usługą Intune, sprawdzać stan zgodności i nie tylko.

  Aplikacja Portal firmy jest również wymagana dla rozszerzenia logowania jednokrotnego skonfigurowanego w kroku 6 — konfigurowanie ustawień początkowych i logowania jednokrotnego (SSO) (w tym artykule).

  Aby wdrożyć aplikację Portal firmy jako wymaganą aplikację, przejdź do obszaru Dodawanie aplikacji Portal firmy dla systemu macOS.

• Aplikacje Microsoft 365

  Aplikacje platformy Microsoft 365, takie jak Word, Excel, OneDrive i Outlook, można łatwo wdrażać na urządzeniach przy użyciu wbudowanych aplikacji platformy Microsoft 365 dla profilu aplikacji systemu macOS w usłudze Intune.

  Aby wdrożyć aplikacje platformy Microsoft 365, przejdź do:

  • Przypisywanie platformy Microsoft 365 do urządzeń z systemem macOS za pomocą usługi Microsoft Intune
  • Wdrażanie aplikacji platformy Microsoft 365 dla komputerów Mac za pomocą usługi Microsoft Intune — szczegółowe informacje

Faza 2 — rejestrowanie testowego punktu końcowego

Następna faza rejestruje testowe urządzenie z systemem macOS w usłudze Intune. Ta faza umożliwia zapoznanie się z początkowymi krokami, dzięki czemu możesz przystąpić do rejestrowania wszystkich urządzeń z systemem macOS w usłudze Intune.

Aby zarejestrować pierwszy punkt końcowy systemu macOS w organizacji, upewnij się, że urządzenie z systemem macOS to:

• Zarejestrowane w programie Apple Business Manager (lub Apple School Manager) i przypisane do urządzenia MDM usługi Intune (otwiera witrynę internetową firmy Apple)
• Przypisano profil rejestracji w usłudze Intune

Ogólne kroki rejestrowania pierwszego punktu końcowego systemu macOS w usłudze Intune to:

1. Wymazywanie lub resetowanie punktu końcowego systemu macOS. Ten krok jest wymagany dla istniejących urządzeń. Jeśli zarejestrujesz już skonfigurowane urządzenie z systemem macOS, urządzenie zostanie uznane za urządzenie osobiste. Dlatego przed zarejestrowaniem urządzenia w usłudze Intune należy je wymazać lub zresetować.

   W przypadku nowych urządzeń, które nie są skonfigurowane, możesz pominąć ten krok. Jeśli nie masz pewności, czy urządzenie jest skonfigurowane, zresetuj urządzenie.

2. Przejdź przez Asystenta ustawień.

3. Otwórz aplikację Portal firmy i zaloguj się przy użyciu konta organizacji (user@contoso.com).

Gdy użytkownik się zaloguje, obowiązują zasady rejestracji. Po zakończeniu punkt końcowy systemu macOS zostanie zarejestrowany w usłudze Intune.

Faza 3 — zabezpieczanie punktów końcowych systemu macOS

W tej fazie skonfigurujesz ustawienia zabezpieczeń i funkcje, które ułatwiają ochronę punktów końcowych, w tym utrzymywanie na bieżąco urządzeń z aktualizacjami.

W tej sekcji skupiono się na różnych funkcjach zabezpieczeń punktów końcowych w usłudze Microsoft Intune, w tym:

• Zasady zgodności i dostępu warunkowego
• Ochrona punktu końcowego w usłudze Microsoft Defender
• Zabezpieczenia punktu końcowego programu FileVault, zapory i programu Gatekeeper
• Aktualizacje oprogramowania
• Konto gościa
• Bezczynne logowanie
• Narzędzie do oceny komputerów Mac

Zasady zgodności i dostępu warunkowego

✅Tworzenie zasad zgodności i wymuszanie zgodności z dostępem warunkowym

• Zasady zgodności sprawdzają skonfigurowane ustawienia urządzenia i mogą korygować niektóre niezgodne ustawienia. Można na przykład utworzyć zasady zgodności, które sprawdzają złożoność hasła, stan zdjętych zabezpieczeń systemu, poziomy zagrożeń, stan rejestracji i nie tylko.

  Jeśli istnieją ustawienia konfiguracji powodujące konflikt między zasadami zgodności a innymi zasadami, pierwszeństwo mają zasady zgodności. Aby uzyskać więcej informacji, przejdź do obszaru Zgodność i zasady konfiguracji urządzeń, które powodują konflikt.

• Dostęp warunkowy może służyć do wymuszania utworzonych zasad zgodności. W połączeniu użytkownicy końcowi mogą być zobowiązani do zarejestrowania swoich urządzeń i spełnienia minimalnego standardu zabezpieczeń przed uzyskaniem dostępu do zasobów organizacji. Jeśli urządzenie jest niezgodne, możesz zablokować dostęp do zasobów, takich jak poczta e-mail, lub wymagać od użytkownika zarejestrowania urządzenia i rozwiązania problemu.

Uwaga

Aby potwierdzić, że wymuszasz odpowiednie kontrolki urządzeń, skontaktuj się z zespołem, który zarządza zasadami dostępu warunkowego Entra.

Zasady zgodności i dostępu warunkowego można utworzyć w centrum administracyjnym usługi Intune.

Aby uzyskać więcej informacji, zobacz:

• Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą usługi Intune
• Dostęp warunkowy i usługa Intune
• Jak wymagać zgodnego urządzenia lub uwierzytelniania wieloskładnikowego
• Co to jest dostęp warunkowy w identyfikatorze Microsoft Entra?

Ochrona punktu końcowego w usłudze Microsoft Defender

✅Używanie usługi Microsoft Defender dla punktu końcowego do ochrony przed zagrożeniami

Microsoft Defender for Endpoint to rozwiązanie do ochrony przed zagrożeniami mobilnymi, które pomaga chronić urządzenia przed zagrożeniami bezpieczeństwa.

W usłudze Intune możesz nawiązać połączenie z usługą Microsoft Defender for Endpoint, utworzyć zasady usługi Intune przy użyciu ustawień punktu końcowego w usłudze Microsoft Defender, a następnie wdrożyć zasady na urządzeniach.

Aby uzyskać więcej informacji, zobacz:

• Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w usłudze Intune
• Wdrażanie usługi Microsoft Defender dla punktu końcowego w systemie macOS za pomocą usługi Microsoft Intune

Wbudowane zabezpieczenia punktu końcowego

✅Szyfrowanie urządzeń za pomocą szyfrowania dysków programu FileVault

FileVault to funkcja szyfrowania całego dysku, która pomaga zapobiegać nieautoryzowanemu dostępowi. Ustawienia programu FileVault są wbudowane w wykaz ustawień usługi Intune i są dostępne jako zasady zgodności.

Można więc skonfigurować program FileVault, sprawdzić zgodność i wdrożyć zasady na urządzeniach.

Aby utworzyć te zasady, w centrum administracyjnym usługi Intune przejdź do:

• Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Tworzenie > nowych zasad > Wykaz ustawień > szyfrowania pełnego dysku
• Urządzenia > Zarządzanie urządzeniami > Zgodność > Tworzenie zasad > Zabezpieczenia > systemu Wymagaj szyfrowania magazynu danych na urządzeniu

Aby uzyskać więcej informacji o usłudze FileVault, przejdź do:

• Szyfrowanie urządzeń z systemem macOS za pomocą szyfrowania dysków fileVault za pomocą usługi Intune
• Użyj programu FileVault, aby zaszyfrować dysk startowy na komputerze Mac (otwiera witrynę internetową firmy Apple)

✅Konfigurowanie zapory

Zapora jest zaporą aplikacji i pomaga zapobiegać atakom przychodzącym. Ustawienia zapory są wbudowane w wykaz ustawień usługi Intune i są dostępne jako zasady zgodności.

Można więc skonfigurować zaporę, sprawdzić zgodność i wdrożyć zasady na urządzeniach.

Aby utworzyć te zasady, w centrum administracyjnym usługi Intune przejdź do:

• Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog ustawień zasad>:

  • Zapora sieciowa >
  • Preferencje zabezpieczeń >

• Urządzenia > Zarządzanie urządzeniami > Zgodność > Tworzenie zasad > Zapora zabezpieczeń > systemu

Aby uzyskać więcej informacji na temat zapory systemu macOS, przejdź do:

• Zasady zapory dla zabezpieczeń punktu końcowego w usłudze Intune
• Zmienianie ustawień zapory na komputerach Mac (otwiera witrynę internetową firmy Apple)

✅Konfigurowanie strażnika

Strażnik zapewnia, że na urządzeniu działa tylko zaufane oprogramowanie. Ustawienia strażnika są wbudowane w wykaz ustawień usługi Intune i są dostępne jako zasady zgodności.

Można więc skonfigurować usługę Gatekeeper, sprawdzić zgodność i wdrożyć zasady na urządzeniach.

Aby utworzyć te zasady, w centrum administracyjnym usługi Intune przejdź do:

• Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy wykaz > ustawień zasad> System policy > Control:

  • Zezwalaj na zidentyfikowanego dewelopera: wybierz pozycję True.
  • Włącz ocenę: wybierz pozycję Prawda.

• Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad> Zarządzanie zasadami > systemowymi:

  • Wyłącz zastępowanie: wybierz pozycję Prawda.

• Urządzenia > Zarządzanie urządzeniami > Zgodność > Tworzenie zasad > System Security > Gatekeeper

Aby uzyskać więcej informacji na temat usługi Gatekeeper, przejdź do:

• Konfigurowanie ustawień w usłudze Microsoft Intune przy użyciu wykazu ustawień
• Ochrona strażnika i środowiska uruchomieniowego w systemie macOS (otwiera witrynę internetową firmy Apple)

Aktualizacje oprogramowania

✅Konfigurowanie aktualizacji oprogramowania

Na urządzeniach aktualizacje oprogramowania mają krytyczne znaczenie i należy określić sposób instalowania aktualizacji. Masz kilka opcji.

Podczas konfigurowania tych ustawień wymuszasz i ograniczasz zachowanie w węźle Aktualizacja oprogramowania aplikacji >Ustawienia na urządzeniu.

• Opcja 1 — urządzenia z systemem macOS 14.0 i nowszym (zalecane) — na urządzeniach z systemem macOS 14.0 i nowszym użyj katalogu ustawień usługi Intune , aby utworzyć zarządzane zasady aktualizacji oprogramowania. Ta funkcja korzysta z deklaratywnego zarządzania urządzeniami (DDM) firmy Apple i jest zalecanym podejściem do aktualizowania urządzeń z systemem macOS.

  W szczególności w centrum administracyjnym usługi Intune skonfigurujesz następujące ustawienia:

  • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Deklaratywna aktualizacja oprogramowania do zarządzania urządzeniami >

  • Opcjonalnie — w obszarze Urządzenia > Zarządzaj urządzeniami > Konfiguracja > Utwórz > nowe > ustawienia ustawienia katalogu > Ograniczenia można użyć następujących ustawień, aby opóźnić czas po wydaniu aktualizacji, aby użytkownicy mogli ręcznie zainstalować aktualizacje. Te ustawienia używają ustawień MDM firmy Apple:

    • Wymuszone opóźnienie instalacji systemu operacyjnego pomocniczego aktualizacji oprogramowania: 0–30
    • Wymuszone opóźnienie instalacji głównego systemu operacyjnego aktualizacji oprogramowania: 0–30
    • Wymuszone opóźnienie instalacji aktualizacji oprogramowania bez systemu operacyjnego: 0–30

    Ustawienia deklaratywnej aktualizacji oprogramowania do zarządzania urządzeniami > katalogu > ustawień mają pierwszeństwo przed ustawieniami ograniczeń wykazu > ustawień. Aby uzyskać więcej informacji, przejdź do pozycji Pierwszeństwo ustawień w zasadach aktualizacji systemu macOS.

• Opcja 2 — system macOS 13.0 i starsze (zalecane) — na urządzeniach z systemem macOS 13.0 i starszymi można użyć kombinacji katalogu ustawień usługi Intune i zasad aktualizacji oprogramowania usługi Intune. Te funkcje korzystają z ustawień mdm firmy Apple.

  W szczególności w centrum administracyjnym usługi Intune można skonfigurować następujące ustawienia:

  • Urządzenia > Zarządzaj aktualizacjami > Zasady aktualizacji systemu macOS firmy > Apple

  • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Aktualizacja oprogramowania

  Niektóre ustawienia w obu typach zasad (aktualizacje oprogramowania a katalog ustawień) mogą się nakładać. Dlatego należy zwrócić uwagę na to, co konfigurujesz w poszczególnych zasadach. Ustawienia w zasadach aktualizacji systemu macOS mają pierwszeństwo przed ustawieniami aktualizacji oprogramowania wykazu > ustawień. Aby uzyskać więcej informacji, przejdź do pozycji Pierwszeństwo ustawień w zasadach aktualizacji systemu macOS.

• Opcja 3 (niezalecana) — użytkownicy końcowi ręcznie instalują aktualizacje. Takie podejście polega na tym, że użytkownicy końcowi decydują, kiedy zainstalować aktualizacje. Ponadto mogą zainstalować aktualizację, która nie jest zatwierdzana przez organizację.

Aby uzyskać więcej informacji na temat planowania strategii aktualizacji systemu macOS, przejdź do przewodnika planowania aktualizacji oprogramowania dla zarządzanych urządzeń z systemem macOS w usłudze Microsoft Intune.

Konto gościa

✅Wyłączanie konta gościa

Należy wyłączyć konto gościa w punktach końcowych systemu macOS. Konto gościa można wyłączyć przy użyciu katalogu ustawień usługi Intune:

• Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowe ustawienia zasad > Konta > katalogu>:>
  • Wyłącz konto gościa: wybierz pozycję Prawda.

Limit czasu bezczynności

✅Ustawianie limitu czasu bezczynności

Korzystając z wykazu ustawień usługi Intune, możesz kontrolować okres po bezczynności, przez który system macOS monituje o podanie hasła:

• Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Wygaszacz ekranu konfiguracji > systemu:

  • Zapytaj o hasło: wybierz pozycję Prawda.
  • Czas bezczynności systemu Windows logowania: wprowadź wartość podobną do 300, która wynosi 5 minut.
  • Poproś o opóźnienie hasła: wprowadź wartość podobną do 5.
  • Nazwa modułu: wprowadź nazwę modułu wygaszacz ekranu, na przykład Flurry.

• Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Użytkownik Środowisko > Użytkownika Wygaszacz > ekranu Użytkownik:

  • Czas bezczynności: wprowadź wartość podobną do 300wartości , która wynosi 5 minut.
  • Nazwa modułu: wprowadź nazwę modułu wygaszacz ekranu, na przykład Flurry.

• W przypadku urządzeń stacjonarnych i przenośnych dostępne są ustawienia, które mogą pomóc w oszczędzaniu energii:

  Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > System Configuration >> Energy Saver:

  • Czasomierz uśpienia w programie > Power Display
  • Czasomierz uśpienia wyświetlacza baterii > laptopa
  • > Czasomierz uśpienia wyświetlacza laptopa

Porada

Aby znaleźć nazwę modułu wygaszacz ekranu, ustaw wygaszacz ekranu, otwórz aplikację Terminal i uruchom następujące polecenie:

defaults -currentHost read com.apple.screensaver

Narzędzie do oceny systemu macOS

✅Korzystanie z narzędzia do oceny systemu macOS

Narzędzie do oceny komputerów Mac potwierdza, że komputer Mac ma konfigurację i ustawienia zalecane przez firmę Apple. Aby uzyskać dostęp do narzędzia do oceny komputerów Mac, zaloguj się do zasobów apple seed for IT (otwiera witrynę internetową firmy Apple).>

Faza 4 — stosowanie dostosowań specyficznych dla organizacji

W tej fazie zastosujesz ustawienia i aplikacje specyficzne dla organizacji i przejrzysz konfigurację lokalną.

Faza pomaga dostosować wszystkie funkcje specyficzne dla twojej organizacji. Zwróć uwagę na różne składniki systemu macOS. Istnieją sekcje dla każdego z następujących obszarów:

• Aplikacje
• Konfiguracja urządzenia dla docka, powiadomień, plików preferencji & zasad niestandardowych i tapety
• Nazwa urządzenia
• Certyfikaty
• Wi-Fi

Aplikacje

✅Dodawanie większej liczby aplikacji do usługi Intune

W fazie 1 — skonfigurowanie środowiska zostało dodane kilka aplikacji, które muszą mieć urządzenia. W tym kroku dodaj inne aplikacje, które mogą poprawić środowisko użytkownika końcowego lub produktywność.

• Aplikacje biznesowe (LOB)

  W usłudze Intune można wdrażać aplikacje biznesowe przy użyciu następujących opcji:

  • Dodaj pakiet aplikacji (.pkg) do usługi Intune i użyj skryptu powłoki, aby wdrożyć aplikację. Ta funkcja używa rozszerzenia do zarządzania usługi Intune. Może wdrażać niepodpisane pakiety i pakiety bez ładunku i obsługuje skrypty przed i po.
  • Dodawanie obrazu dysku aplikacji (.dmg) do usługi Intune i wdrażanie aplikacji przy użyciu zasad usługi Intune
  • Aplikacje licencjonowane przy użyciu planu zakupów zbiorczych firmy Apple (VPP) i używają zasad usługi Intune do wdrażania aplikacji
  • Dodawanie pakietu aplikacji (.pkg) do usługi Intune i wdrażanie aplikacji przy użyciu zasad usługi Intune

• Microsoft Edge

  Przeglądarkę Microsoft Edge można wdrożyć w punktach końcowych systemu macOS przy użyciu wbudowanego typu wdrożenia. Aby uzyskać więcej informacji, przejdź do tematu Dodawanie przeglądarki Microsoft Edge do urządzeń z systemem macOS przy użyciu usługi Microsoft Intune.

  Ustawienia przeglądarki Microsoft Edge można również skonfigurować przy użyciu wykazu ustawień usługi Intune:

  • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Microsoft Edge

• Microsoft OneDrive

  W sekcji Faza 1 — konfigurowanie środowiska dodano aplikacje platformy Microsoft 365, które obejmują usługę Microsoft OneDrive. Jeśli więc wcześniej dodano usługę Microsoft OneDrive, nie musisz jej ponownie dodawać. Jeśli wcześniej go nie dodano, możesz również wdrożyć usługę Microsoft OneDrive oddzielnie przy użyciu pobranego pakietu aplikacji (.pkg).

  Ustawienia usługi Microsoft OneDrive można również skonfigurować przy użyciu wykazu ustawień usługi Intune. Na przykład następujące ustawienia mogą mieć zastosowanie do Twojej organizacji:

  • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Microsoft Office >> Microsoft OneDrive:

    • Automatycznie i w trybie dyskretnym włącz funkcję kopii zapasowej folderu (Znane przenoszenie folderów): wprowadź identyfikator <>dzierżawy usługi Microsoft Entra.
    • Włącz pliki na żądanie: wybierz pozycję Prawda.
    • Otwórz przy logowaniu: wybierz pozycję Prawda.

  • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Zarządzanie aplikacjami > NS > Extension Management:

    • Dozwolone rozszerzenia: wprowadź com.microsoft.OneDrive.FinderSync.

    Jeśli wdrażasz wersję programu VPP w usłudze OneDrive, wprowadź wartość com.microsoft.OneDrive-Mac.FinderSync.

    Podczas konfiguracji usługi Microsoft OneDrive użytkownicy końcowi są monitowani o zezwolenie na ikony synchronizacji, włączając rozszerzenie Synchronizacja wyszukiwania. Istnieje przykładowy skrypt, który może skonfigurować rozszerzenie wyszukiwania dla użytkownika. Aby uzyskać więcej informacji na temat skryptu, przejdź do przykładów usługi GitHub — Microsoft Intune Shell.

Konfiguracja urządzenia

Katalog ustawień upraszcza sposób tworzenia zasad i sposób wyświetlania wszystkich dostępnych ustawień. W różnych fazach i krokach opisanych w tym przewodniku do konfigurowania funkcji i ustawień urządzenia służy katalog ustawień usługi Intune .

Na przykład użyliśmy katalogu ustawień, aby skonfigurować następujące obszary funkcji:

• Ustawienia przeglądarki Microsoft Edge
• Microsoft AutoUpdate
• Microsoft Office
• Aktualizacje oprogramowania
• Środowisko użytkownika

Istnieje wiele ustawień urządzenia, które można skonfigurować przy użyciu katalogu ustawień, w tym:

✅Dok

• Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy wykaz > ustawień zasad > Dok środowiska > użytkownika

Możesz również dodawać lub usuwać elementy z doku przy użyciu przykładowej powłoki dokowania usługi GitHub — Microsoft Intune lub narzędzi wiersza polecenia partnera, takich jak GitHub — DockUtil.

✅Monity o powiadomienie

• Urządzenia > Zarządzaj urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Ustawienia powiadomienia o środowisku > użytkownika Ustawienia powiadomień >

  Należy wprowadzić identyfikator pakietu dla każdej aplikacji, dla których chcesz kontrolować powiadomienia.

Aby uzyskać więcej informacji, przejdź do pozycji Ustawienia ładunku MDM powiadomień dla urządzeń firmy Apple (otwiera witrynę internetową firmy Apple).

✅Pliki preferencji i zasady niestandardowe

• Pliki preferencji definiują właściwości lub ustawienia aplikacji, które chcesz wstępnie skonfigurować. W katalogu ustawień usługi Intune istnieje wiele wbudowanych ustawień dla aplikacji, takich jak Microsoft Edge i Microsoft Office. Dlatego może nie być potrzebny plik preferencji.

  Firma Microsoft zaleca użycie wbudowanych ustawień w katalogu ustawień. Jeśli katalog ustawień nie ma wymaganych ustawień, dodaj plik preferencji do usługi Intune.

  Aby uzyskać więcej informacji, przejdź do tematu Dodawanie pliku listy właściwości do urządzeń z systemem macOS przy użyciu usługi Microsoft Intune

• Profile niestandardowe są przeznaczone do dodawania ustawień i funkcji urządzeń, które nie są wbudowane w usługę Intune.

  Firma Microsoft zaleca użycie wbudowanych ustawień w katalogu ustawień. Jeśli katalog ustawień nie ma wymaganych ustawień, użyj profilu niestandardowego.

  Aby uzyskać więcej informacji, przejdź do profilów niestandardowych.

✅Tapeta

Tapetę w systemie macOS można wymusić przy użyciu kombinacji przykładowego skryptu i katalogu ustawień:

• Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Pulpit środowiska > użytkownika:>
  • Zastąp ścieżkę obrazu: "Wprowadź <ścieżkę obrazu>".

Plik obrazu musi istnieć w punkcie końcowym systemu macOS. Aby pobrać obraz z lokalizacji internetowej, możesz użyć przykładowego skryptu w witrynie GitHub — przykład powłoki tapety usługi Microsoft Intune. Możesz również użyć narzędzia pakietu aplikacji, aby skopiować plik, a następnie wdrożyć go przy użyciu niezarządzanej funkcji wdrażania PKG .

Nazwa urządzenia

✅Zmienianie nazw urządzeń

Za pomocą skryptu powłoki można zmienić nazwę urządzeń tak, aby zawierały określone informacje, takie jak numer seryjny urządzenia połączony z kodem kraju/regionu.

Aby uzyskać więcej informacji, przejdź do witryny GitHub — skrypty usługi Microsoft Shell w celu zmiany nazwy urządzeń Mac.

Certyfikaty

✅Dodawanie certyfikatów na potrzeby uwierzytelniania opartego na certyfikatach

Jeśli używasz uwierzytelniania opartego na certyfikatach dla środowiska bez hasła, możesz użyć usługi Intune do dodawania i wdrażania certyfikatów.

Aby uzyskać więcej informacji, przejdź do tematu Typy certyfikatów dostępne w usłudze Microsoft Intune.

Wi-Fi

✅Wstępne konfigurowanie połączenia Wi-Fi

Za pomocą usługi Intune można utworzyć połączenie Wi-Fi zawierające informacje o sieci, a następnie wdrożyć połączenie na urządzeniach z systemem macOS. Jeśli urządzenia łączą się z organizacją przy użyciu sieci Wi-Fi, utwórz zasady połączenia Wi-Fi.

Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień Wi-Fi dla urządzeń z systemem macOS w usłudze Microsoft Intune.

Faza 5 — buforowanie (opcjonalnie)

Istnieją pewne funkcje buforowania, których można użyć, aby zmniejszyć przepustowość sieci.

✅Korzystanie z buforowania zawartości

Jeśli masz dużą liczbę urządzeń z systemem macOS lub iOS/iPadOS w sieci, możesz wdrożyć usługę Apple Content Cache, aby zmniejszyć przepustowość Internetu. Usługa Apple Content Cache może buforować zawartość hostowaną w usługach firmy Apple, takich jak aktualizacje oprogramowania i aplikacje VPP.

Aby uzyskać więcej informacji, przejdź do pozycji Wprowadzenie do buforowania zawartości (otwiera witrynę internetową firmy Apple).

✅Automatyczne aktualizowanie lokalnej pamięci podręcznej

Wiele aplikacji firmy Microsoft w systemie macOS jest aktualizowanych przy użyciu aplikacji Microsoft AutoUpdate. Ta aplikacja może odwoływać się do innego adresu URL zawartości.

Aby skonfigurować lokalną pamięć podręczną dla usługi Microsoft AutoUpdate, możesz użyć administratora pamięci podręcznej GitHub — Microsoft AutoUpdate .

Aby uzyskać więcej informacji, przejdź do witryny GitHub — Microsoft AutoUpdate Cache Admin.

Faza 6 — rejestrowanie pozostałych punktów końcowych systemu macOS

Do tej pory utworzono konfigurację i dodano aplikacje. Teraz możesz zarejestrować wszystkie punkty końcowe systemu macOS przy użyciu zasad automatycznej rejestracji urządzeń przy użyciu usługi Microsoft Intune.

✅Tworzenie zasad automatycznej rejestracji urządzeń

Zasady rejestracji są przypisywane do nowej grupy. Gdy urządzenia otrzymają zasady rejestracji, zostanie uruchomiony proces rejestracji, a aplikacja & utworzone zasady konfiguracji zostaną zastosowane.

Aby uzyskać więcej informacji na temat automatycznej rejestracji urządzeń i rozpocząć pracę, przejdź do tematu Automatyczne rejestrowanie komputerów Mac w programie Apple Business Manager lub Apple School Manager.

Faza 7 — pomoc techniczna, konserwacja i następne kroki

Ostatnią fazą jest obsługa i obsługa urządzeń z systemem macOS. Ta faza obejmuje korzystanie z funkcji usługi Intune, takich jak pomoc zdalna, monitorowanie certyfikatów firmy Apple i nie tylko.

Usługa Intune zarządza urządzeniami z systemem macOS przy użyciu wbudowanych funkcji zarządzania urządzeniami przenośnymi systemu operacyjnego i agenta IME (Intune Management Extension).

Te dwa składniki oferują oddzielne funkcje i komunikują się z urządzeniem z systemem macOS za pośrednictwem różnych kanałów. Rejestracja jest organizowana za pośrednictwem usługi Apple Business Manager, zarządzanie urządzeniami przenośnymi jest aranżowane za pośrednictwem usługi Apple Push Notification Service, a program IME komunikuje się bezpośrednio z usługą Intune.

Aby uzyskać więcej informacji na temat rozszerzenia do zarządzania usługi Intune, przejdź do tematu Understanding Microsoft Intune management agent for macOS (Omówienie agenta zarządzania usługi Microsoft Intune dla systemu macOS).

Konserwacja rejestracji w systemie macOS

✅Odnawianie certyfikatów firmy Apple i synchronizowanie tokenów ADE

Aby urządzenia z systemem Mac utrzymywały połączenie z usługą Intune i kontynuowały rejestrację, istnieje kilka ważnych obszarów, które należy okresowo zaewidencjonować w konsoli i podjąć odpowiednie działania:

• Wygaśnięcie certyfikatu usługi Apple Push Notification Service

  Certyfikat usługi powiadomień wypychanych firmy Apple musi być odnawiany co rok. Po wygaśnięciu tego certyfikatu usługa Intune nie może zarządzać urządzeniami zarejestrowanymi przy użyciu tego certyfikatu. Upewnij się, że certyfikat jest odnawiany co roku.

  Aby uzyskać więcej informacji, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple dla usługi Intune.

• Wygaśnięcie certyfikatu automatycznej rejestracji urządzeń firmy Apple

  Podczas konfigurowania połączenia między usługą Apple Business Manager (lub Apple School Manager) i usługą Intune jest używany certyfikat. Ten certyfikat musi być odnawiany co rok. Jeśli ten certyfikat nie zostanie odnowiony, zmiany wprowadzone w programie Apple Business Manager (lub Apple School Manager) nie będą mogły zostać zsynchronizowane z usługą Intune.

  Aby uzyskać więcej informacji, przejdź do tematu Rejestrowanie urządzeń z systemem macOS — Apple Business Manager lub Apple School Manager.

• Stan synchronizacji automatycznej rejestracji urządzeń firmy Apple

  Firma Apple wstrzymuje synchronizację tokenów ADE po zmianie warunków i postanowień w programie Apple Business Manager (lub Apple School Manager). Mogą one ulec zmianie po głównym wydaniu systemu operacyjnego, ale może się to zdarzyć w dowolnym momencie.

  Należy monitorować stan synchronizacji pod kątem wszelkich problemów, które wymagają uwagi.

  Aby uzyskać więcej informacji, przejdź do tematu Synchronizuj urządzenia zarządzane.

Pomoc zdalna

✅Włączanie pomocy zdalnej

Pomoc zdalna to oparte na chmurze rozwiązanie do zabezpieczania połączeń pomocy technicznej korzystających z kontroli dostępu opartej na rolach. Dzięki połączeniu pracownicy pomocy technicznej mogą zdalnie łączyć się z urządzeniami użytkowników końcowych.

Aby uzyskać więcej informacji, zobacz:

• Pomoc zdalna w systemie macOS ułatwia uwierzytelnionym użytkownikom
• Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune

Atrybuty niestandardowe

✅Uzyskiwanie informacji o raportowaniu przy użyciu właściwości niestandardowych

W usłudze Intune można używać skryptów powłoki do zbierania właściwości niestandardowych z zarządzanych urządzeń z systemem macOS. Ta funkcja jest doskonałym sposobem uzyskiwania niestandardowych informacji raportowania.

Aby uzyskać więcej informacji, zobacz Używanie skryptów powłoki na urządzeniach z systemem macOS w usłudze Microsoft Intune.

Konfigurowanie usługi Apple Business Manager na potrzeby automatycznej aprowizacji użytkowników

✅Używanie kont użytkowników Entra do administrowania usługą ABM i zarządzanych identyfikatorów Apple ID

Identyfikator Entra firmy Microsoft można skonfigurować tak, aby automatycznie aprowizować i anulować aprowizację użytkowników w usłudze Apple Business Manager (ABM) przy użyciu usługi aprowizowania Microsoft Entra.

Aby uzyskać więcej informacji, przejdź do artykułu Samouczek: konfigurowanie usługi Apple Business Manager na potrzeby automatycznej aprowizacji użytkowników.

Artykuły pokrewne

• Przewodnik po platformie systemu macOS
• Usługa Microsoft Intune bezpiecznie zarządza tożsamościami, zarządza aplikacjami i urządzeniami