Configurar a inscrição automatizada de dispositivos para macOS

Aplica-se ao macOS

Este artigo descreve como criar uma política de inscrição para a inscrição de dispositivos automatizados (ADE) macOS no Microsoft Intune. Para obter uma descrição geral do ADE e da configuração de pré-requisitos, veja Descrição geral da Inscrição automatizada de dispositivos da Apple para macOS.

Observação

Os passos neste artigo são os mesmos, quer esteja a utilizar o Apple Business ou o Apple School Manager. Por questões de brevidade, referimo-nos ao Apple Business apenas ao longo dos passos neste artigo, exceto quando for necessário clarificar.

Pré-requisitos

Antes de criar a política de inscrição, tem de ter:

Implementar a aplicação Portal da Empresa

Ao inscrever dispositivos macOS com a ADE com afinidade de utilizador e o Assistente de Configuração com autenticação moderna, os utilizadores têm de iniciar sessão na aplicação Portal da Empresa com as respetivas credenciais de Microsoft Entra para concluir o registo do dispositivo no Microsoft Entra ID. Para adicionar a aplicação Portal da Empresa a dispositivos macOS, consulte Adicionar o Portal da Empresa para a aplicação macOS.

Criar uma política de inscrição

Crie uma política de inscrição de dispositivos automatizada no centro de administração. A política define a experiência de inscrição para os dispositivos Mac da sua organização e impõe políticas de inscrição e definições na inscrição de dispositivos. A política é implementada em dispositivos atribuídos através do ar.

No final deste procedimento, pode atribuir esta política a Microsoft Entra grupos de dispositivos.

  1. No centro de administração, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Em Métodos de Inscrição em Massa, selecione Tokens do programa de inscrição.

  4. Selecione um token do programa de inscrição.

  5. Selecione Políticas> de inscriçãoCriar política>macOS.

    Criar uma captura de ecrã de política.

    Importante

    Tem de atribuir uma política de inscrição aos seus dispositivos antes de os dispositivos ficarem ativos. Recomendamos que defina uma política de inscrição predefinida o mais rapidamente possível para que, à medida que os dispositivos são sincronizados a partir do Apple Business ou do Apple School Manager e, em seguida, ative a inscrição correta através da inscrição automática de dispositivos. Se um dispositivo que sincronizou a partir da Apple não lhe for atribuída uma política de inscrição e alguém a ativar para o configurar, a inscrição falhará.

  6. Para Informações Básicas, introduza um nome e uma descrição para a política para que possa distingui-la de outras políticas de inscrição. Estes detalhes não são visíveis para os utilizadores do dispositivo.

    Dica

    Pode utilizar o campo de nome para criar um grupo dinâmico no Microsoft Entra ID e atribuir dispositivos à política de inscrição automaticamente. Utilize o nome da política para definir o parâmetro enrollmentProfileName . Para obter mais informações, veja Microsoft Entra grupos dinâmicos.

  7. Selecione Avançar.

  8. Na página Definições de Gestão , configure a Afinidade de Utilizador. A afinidade do utilizador determina se os dispositivos são inscritos com ou sem um utilizador atribuído. Suas opções:

    • Inscrever sem Afinidade de Utilizador: inscreva dispositivos que não estejam associados a um único utilizador. Escolha esta opção para dispositivos e dispositivos partilhados que não precisam de aceder aos dados do utilizador local. A aplicação Portal da Empresa não funciona nestes tipos de dispositivos. A inscrição sem afinidade de utilizador também é referida como inscrição sem utilizador.

    • Inscrever com Afinidade de Utilizador: inscrever dispositivos associados a um utilizador atribuído. Selecione esta opção para dispositivos de trabalho que pertencem aos utilizadores e, se quiser exigir que os utilizadores tenham a aplicação Portal da Empresa para instalar aplicações. A autenticação multifator (MFA) está disponível com esta opção. A inscrição com afinidade de utilizador também é referida como inscrição com um utilizador.

      A opção 2 requer mais configurações. Os utilizadores têm de se autenticar antes da inscrição para confirmar a respetiva identidade. Selecione um dos seguintes métodos de autenticação:

      • Assistente de Configuração com autenticação moderna (recomendado): este método requer que os utilizadores completem todos os ecrãs do Assistente de Configuração e iniciem sessão na aplicação Portal da Empresa com as respetivas credenciais de Microsoft Entra antes de poderem aceder aos recursos. Depois de iniciar sessão no Portal da Empresa, o dispositivo:

        • Regista-se no Microsoft Entra ID.
        • É adicionado ao registo do dispositivo do utilizador no Microsoft Entra ID.
        • Pode ser avaliado quanto à conformidade do dispositivo.
        • Obtém acesso aos recursos protegidos pelo Acesso Condicional.

        Se o utilizador não iniciar sessão no Portal da Empresa para concluir o registo, será redirecionado para a aplicação Portal da Empresa sempre que tentar abrir uma aplicação gerida com a proteção de Acesso Condicional.

        Os dispositivos com o macOS 10.15 e posteriores podem utilizar este método. Os dispositivos macOS mais antigos voltam a utilizar o método legado do Assistente de Configuração. Para obter mais informações sobre como obter a aplicação Portal da Empresa para utilizadores de Mac, consulte Adicionar o Portal da Empresa para a aplicação macOS.

      Importante

      Recomendamos que utilize o Assistente de Configuração com autenticação moderna para os seus dispositivos Apple para cenários de ADE (inscrição automatizada de dispositivos) com afinidade dispositivo/utilizador. Embora a utilização da autenticação legada permaneça disponível, não recomendamos a sua utilização.

      • Assistente de Configuração (legado) (já não recomendado): utilize o Assistente de Configuração legado se quiser que os utilizadores experimentem a experiência típica de configuração inicial para produtos Apple. Este método instala definições pré-configuradas padrão quando o dispositivo é inscrito na gestão de Intune. Se estiver usando os Serviços de Federação do Active Directory e o Assistente de Configuração para se autenticar, você precisará de um Nome de usuário/Ponto de extremidade misto do WS-Trust 1.3. Para obter mais informações sobre como obter o ponto final do ADFS, veja Get-ADfsEndpoint.

  9. Aguardar configuração final permite uma experiência bloqueada no final do Assistente de Configuração para garantir que as políticas de configuração de dispositivos mais críticas estão instaladas no dispositivo. Esta definição é aplicada uma vez durante a experiência de inscrição automática de dispositivos da Apple no Assistente de Configuração. O utilizador do dispositivo não volta a experimentá-lo, a menos que volte a inscrever o Mac.

    Suas opções:

    • Sim: imediatamente antes de o ecrã principal ser carregado, o Assistente de Configuração é colocado em pausa e permite que Intune marcar com o dispositivo. A experiência do utilizador final bloqueia enquanto os utilizadores aguardam configurações finais. Esta opção é a configuração predefinida para novas políticas de inscrição.

    • Não: o dispositivo é lançado para o ecrã principal quando o Assistente de Configuração termina, independentemente da instalação da política status. Os utilizadores do dispositivo poderão aceder ao ecrã principal ou alterar as definições do dispositivo antes de todas as políticas serem instaladas. Esta opção é a configuração predefinida para as políticas de inscrição existentes.

    A quantidade de tempo que os utilizadores são mantidos no ecrã Aguardar configuração final varia e depende do número total de políticas e aplicações que atribuir ao dispositivo. Os utilizadores podem ver as políticas de configuração do dispositivo a serem transferidas no Assistente de Configuração enquanto aguardam. Quanto mais políticas e aplicações forem atribuídas, maior será o tempo de espera. O Assistente de Configuração e Intune não impõem um limite de tempo mínimo ou máximo durante esta parte da configuração. Durante a validação do produto, a maioria dos dispositivos que testámos foram libertados e conseguiram aceder ao ecrã principal no prazo de 15 minutos. Se ativar esta funcionalidade e estiver a trabalhar com um parceiro da Microsoft ou um serviço que não seja da Microsoft para o ajudar a aprovisionar dispositivos, informe-os sobre o potencial de aumento do tempo de aprovisionamento.

    A experiência bloqueada é suportada em Macs com o macOS 10.11 ou posterior. Funciona em Macs direcionados com políticas de inscrição novas ou existentes configuradas para estes cenários:

    • Inscrição através do Assistente de Configuração com autenticação moderna
    • Inscrição com o Assistente de Configuração (legado)
    • Inscrição sem afinidade dispositivo/utilizador

  10. Pode impor a inscrição Bloqueada para impedir que os utilizadores anurem a inscrição dos respetivos dispositivos Intune. Selecione Sim para desativar as definições do Mac nas Preferências do Sistema e no Terminal que permitem aos utilizadores remover a política de gestão. Após a inscrição do dispositivo, não pode alterar esta definição sem limpar o dispositivo.

  11. Selecione Avançar.

  12. Opcionalmente, na página Definições da Conta , pode configurar o administrador local e as contas de utilizador em Macs visados.

    Quando um dispositivo macOS suportado é inscrito com Intune através de uma política de inscrição automática de dispositivos (ADE) que configura o administrador local, o dispositivo é ativado para a configuração da conta local do macOS com a solução de palavra-passe de administrador local (LAPS) da Microsoft. Com esta capacidade, os dispositivos inscritos recentemente recebem uma conta de administrador local exclusiva com uma palavra-passe de administrador forte, encriptada e aleatória (15 carateres alfanuméricos), que também é armazenada e encriptada por Intune. Após a inscrição, Intune roda automaticamente uma palavra-passe de administrador gerida por LAPS a cada seis meses por predefinição e suporta a procura e a rotação manual da palavra-passe de administrador por Intune administradores com permissões suficientes.

    Para obter informações sobre como configurar e, em seguida, gerir esta capacidade, configure a configuração da conta macOS com LAPS.

    Imagem do centro de administração a mostrar a nova secção Definições da conta na política de inscrição de dispositivos automatizada do macOS.

    As seguintes definições para a conta de utilizador local são suportadas em dispositivos com o macOS 12 ou posterior. Tenha em atenção enquanto configura a conta principal de que esta conta será uma conta de administrador . Ter, pelo menos, uma conta de administrador é um requisito de configuração do Mac. Se também estiver a configurar a palavra-passe de administrador local através desta política, consulte a conta de administrador local no artigo Configurar a conta macOS com LAPS e, em seguida, regresse aqui.

    Suas opções:

    • Criar uma conta de utilizador local: selecione Sim para configurar as definições da conta de utilizador local para Macs visados. Selecione Não configurado para ignorar todas as configurações de definições de conta.

    • Informações da conta predefinida: a configuração predefinida , Não configurada, requer que o utilizador do dispositivo introduza o nome de utilizador da conta e o nome completo no Assistente de Configuração. Para pré-preenchimento das informações da conta, selecione Sim. Em seguida, introduza o nome da conta principal e o nome completo:

    • Nome de utilizador da conta de utilizador local:

      • {{serialNumber}} - por exemplo, F4KN99ZUG5V2
      • {{partialupn}} - por exemplo, João
      • {{managedDeviceName}} - por exemplo, F2AL10ZUG4W2_14_4/15/2025_12:45PM
      • {{OnPremisesSamAccountName}} - por exemplo, contoso\João

    • Nome completo da conta de utilizador local::

      • {{username}} - por exemplo, John@contoso.com
      • {{serialNumber}} - por exemplo, F4KN99ZUG5V2
      • {{OnPremisesSamAccountName}} - por exemplo, contoso\João

    • Restringir edição: a configuração predefinida está definida como Sim para que os utilizadores do dispositivo não possam editar o nome da conta e o nome completo configurados para os mesmos. Para permitir que os utilizadores do dispositivo editem o nome da conta e o nome completo, selecione Não configurado. Se estiver a utilizar apenas o Assistente de Configuração (legado) para inscrever dispositivos com o macOS 10.15 e posterior, pode esperar a seguinte experiência de utilizador final:

      • Sim: o ecrã de criação da conta no Assistente de Configuração nunca é apresentado. Em vez disso, a conta de utilizador local é criada automaticamente com base nas outras configurações de definição e a palavra-passe é preenchida automaticamente a partir do ecrã de autenticação Microsoft Entra. O utilizador do dispositivo não pode editar estes campos.
      • Não configurado: o ecrã da conta de utilizador local é apresentado ao utilizador final no Assistente de Configuração e é preenchido com os valores da conta configurada e a palavra-passe do ecrã de autenticação Microsoft Entra. O utilizador do dispositivo pode editar estes campos durante o Assistente de Configuração.

    Para que as definições da conta funcionem conforme pretendido, a política de inscrição tem de ter as seguintes configurações:

    • Afinidade de utilizador: selecione Inscrever com Afinidade de utilizador.
    • Método de autenticação: selecione Assistente de Configuração com autenticação moderna ou Assistente de Configuração (legado).
    • Aguardar configuração final: selecione Sim.

    As contas locais dependem da funcionalidade de configuração final aguardada quando estão a ser criadas. Como resultado, se configurar definições de conta de administrador ou utilizador local, esta definição estará sempre ativada. Mesmo que não toque na definição de configuração final aguardar, esta é sempre ativada em segundo plano e aplicada à política de inscrição.

  13. Selecione Avançar.

  14. Na página Assistente de Configuração , configure a experiência do Assistente de Configuração.

    1. Introduza as informações do departamento para que os utilizadores saibam quem contactar para obter suporte:
      • Nome do Departamento: este nome é apresentado quando os utilizadores do dispositivo selecionam Acerca da Configuração durante a ativação.
      • Telefone do Departamento: este número de telefone é apresentado quando os utilizadores do dispositivo selecionam Precisa de Ajuda durante a ativação.
    2. Selecione os ecrãs do Assistente de Configuração que pretende mostrar ou ocultar durante a configuração do dispositivo. Para obter uma descrição de todos os ecrãs, consulte Referência de ecrã do Assistente de Configuração (neste artigo). Suas opções:
      • Ocultar: o ecrã não é apresentado aos utilizadores durante a configuração do dispositivo. Após a configuração do dispositivo, o utilizador pode aceder às definições do dispositivo para configurar a funcionalidade.
      • Mostrar: o ecrã é apresentado aos utilizadores durante a configuração do dispositivo. O utilizador ainda pode ignorar ecrãs que não necessitam de ação imediata. Após a configuração do dispositivo, o utilizador pode aceder às definições do dispositivo para configurar a funcionalidade.

  15. Selecione Avançar.

  16. Reveja o resumo das alterações e, em seguida, selecione Criar para concluir a criação da política.

Referência de ecrã do Assistente de Configuração

A tabela seguinte descreve os ecrãs do Assistente de Configuração apresentados durante a inscrição automatizada de dispositivos para Macs. Pode mostrar ou ocultar estes ecrãs em dispositivos suportados durante a inscrição. Para obter mais informações sobre como cada ecrã do Assistente de Configuração afeta a experiência do utilizador, consulte estes recursos da Apple:

Ecrã assistente de configuração O que acontece quando visível
Serviços de Localização Mostra o painel de configuração dos serviços de localização, onde os utilizadores podem ativar os serviços de localização nos respetivos dispositivos. Para macOS 10.11 e posterior.
Restaurar Mostra o painel de configuração de aplicações e dados. Neste ecrã, os utilizadores que configuram dispositivos podem restaurar ou transferir dados a partir da Cópia de Segurança do iCloud. Para macOS 10.9-15.3. Para o macOS 15.4 e posterior, este ecrã não pode ser ocultado e o utilizador recebe um alerta após a inscrição de que não consegue transferir dados de outro dispositivo porque a MDM controla a definição.
ID Apple Mostra o painel de configuração do Apple ID, que dá aos utilizadores a opção de iniciar sessão com o ID Apple e utilizar o iCloud. Para macOS 10.9 e posterior.
Termos e condições Mostra o painel de termos e condições da Apple e requer que os utilizadores os aceitem. Para macOS 10.9 e posterior.
Touch ID e Face ID Mostra o painel de configuração biométrica, que dá aos utilizadores a opção de configurar a identificação por impressão digital ou facial nos respetivos dispositivos. Para macOS 10.12.4 e posterior.
Apple Pay Mostra o painel de configuração do Apple Pay, que dá aos utilizadores a opção de configurar o Apple Pay nos seus dispositivos. Para macOS 10.12.4 e posterior.
Siri Mostra o painel de configuração da Siri aos utilizadores. Para macOS 10.12 e posterior.
Dados de Diagnóstico Mostra o painel diagnóstico onde os utilizadores podem optar por enviar dados de diagnóstico para a Apple. Para macOS 10.9 e posterior.
Tom da Tela Mostra o painel de configuração do tom de apresentação. Este ecrã dá aos utilizadores a opção de ativar o ecrã de tom verdadeiro. Para macOS 10.13.6 e posterior.
FileVault Mostra o ecrã de encriptação FileVault 2 aos utilizadores. Para macOS 10.10 e posterior.
Diagnósticos do iCloud Mostra o ecrã do iCloud Analytics aos utilizadores. Para macOS 10.12.4 e posterior.
Registro Mostra o ecrã de registo aos utilizadores. Para macOS 10.9 e posterior.
Armazenamento do iCloud Mostra o ecrã iCloud Documents and Desktop (Documentos e Ambiente de Trabalho do iCloud) ao utilizador. Para macOS 10.13.4 e posterior.
Aparência Mostra o painel de aspeto onde os utilizadores podem selecionar um modo de aspeto. Para macOS 10.14 e posterior.
Tempo de Tela Mostra o painel de configuração do Tempo de Ecrã do macOS, uma funcionalidade que os utilizadores podem ativar para obter informações sobre o tempo de ecrã e a atividade da aplicação e do site. Para macOS 10.15 e posterior.
Privacidade Mostra o painel de configuração de privacidade ao utilizador. Para macOS 10.13.4 e posterior.
Acessibilidade Mostra o ecrã de configuração de acessibilidade ao utilizador. Se este ecrã estiver oculto, o utilizador não poderá utilizar a funcionalidade Voice Over do macOS. O Voice Over é suportado em dispositivos que:
– Executam o macOS 11.
– Conectam-se à internet usando a Ethernet.
- Ter um número de série no Apple School Manager ou no Apple Business.
Desbloqueio automático com Apple Watch Mostra o painel Desbloquear do macOS com o Apple Watch, onde os utilizadores podem configurar o Apple Watch para desbloquear o mac. Para o macOS 12.0 e posterior.
Termos de Endereço Mostra o painel de termos de endereço, que dá aos utilizadores a opção de escolher como querem ser abordados em todo o sistema: feminino, masculino ou neutro. Esta funcionalidade da Apple está disponível para idiomas selecionados. Para obter mais informações, consulte Alterar definições de Idioma & Região no Mac (abre o site da Apple). Para macOS 13.0 e posterior.
Papel de parede Mostra o painel de configuração do padrão de fundo macOS Sonoma depois de os dispositivos concluirem uma atualização de software. Se ocultar este ecrã, os dispositivos obterão o padrão de fundo macOS Sonoma. Para macOS 14.1 e posterior.
Modo bloqueado Mostra o painel de configuração do modo de bloqueio aos utilizadores que configuram um ID Apple. Para macOS 14.0 e posterior.
Inteligência Mostra o painel de configuração do Apple Intelligence, onde os utilizadores podem configurar as funcionalidades do Apple Intelligence. Para macOS 15.0 e posterior.
App Store Mostra o painel apple App Store. Para macOS 11.1 e posterior.
Atualização de software Mostra o ecrã de atualização de software obrigatório. Para macOS 15.4 e posterior.
Definições de privacidade adicionais Mostra o painel de definições de privacidade adicional. Para macOS 26.0 e posterior.
Apresentação do SO Mostra o painel de apresentação do SO. Para macOS 26.1 e posterior.
Atualização concluída Mostra o painel atualização de software concluída. Para macOS 26.1 e posterior.
Introdução Mostra o painel de introdução. Para macOS 15.0 e posterior.

Atribuir uma política de inscrição a dispositivos

Atribua uma política de inscrição a dispositivos Apple.

  1. Regresse aos tokens do programa de inscrição e selecione um token.
  2. Selecione Dispositivos.
  3. Escolha os seus dispositivos na lista e, em seguida, selecione Atribuir política.
  4. Escolha uma política a atribuir e, em seguida, selecione Atribuir.

Opcionalmente, pode selecionar uma política de inscrição predefinida. A política predefinida é implementada em todos os dispositivos de inscrição associados ao token.

  1. Regresse aos tokens do programa de inscrição e selecione um token.
  2. Selecione Predefinir Política.
  3. Escolha uma política e, em seguida, selecione Guardar.

Próximas etapas

  • Last updated on