Configurações do recurso do dispositivo macOS no Intune

Observação

Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.

Intune inclui configurações internas para personalizar recursos em seus dispositivos macOS. Por exemplo, os administradores podem adicionar impressoras AirPrint, escolher como os usuários entrar, configurar os controles de energia, usar autenticação de logon único e muito mais.

Use esses recursos para controlar dispositivos macOS como parte da solução MDM (gerenciamento de dispositivo móvel).

Esse recurso aplica-se a:

• macOS

Este artigo descreve essas configurações. Ele também lista as etapas para obter o endereço IP, o caminho e a porta das impressoras AirPrint usando o aplicativo Terminal (emulador). Para obter mais informações sobre os recursos do dispositivo, acesse Adicionar configurações de recursos do dispositivo iOS/iPadOS ou macOS.

Antes de começar

• Create um perfil de configuração de recursos de dispositivo macOS.

• Essas configurações se aplicam a diferentes tipos de registro, com algumas configurações se aplicando a todas as opções de registro. Para obter mais informações sobre os diferentes tipos de registro, acesse o registro do macOS.

Airprint

As configurações se aplicam a: Todos os tipos de registro

• Destinos airprint: insira uma ou mais informações da impressora AirPrint para que os usuários possam imprimir em seus dispositivos:

  • Endereço IP: insira o endereço IPv4 ou IPv6 da impressora. Por exemplo, digite 10.0.0.1. Se você usar nomes de host para identificar impressoras, poderá obter o endereço IP pingando a impressora no aplicativo Terminal. Obter o endereço IP e o caminho (neste artigo) tem mais detalhes.
  • Caminho do recurso: insira o caminho do recurso da impressora. O caminho normalmente ipp/print é para impressoras em sua rede. Obter o endereço IP e o caminho (neste artigo) tem mais detalhes.
  • Porta (iOS 11.0+, iPadOS 13.0+): Insira a porta de escuta do destino AirPrint. Se você deixar essa propriedade em branco, o AirPrint usará a porta padrão.
  • Force TLS (iOS 11.0+, iPadOS 13.0+): Suas opções:
    • Desabilitar (padrão): O TLS (Transport Layer Security) não é imposto ao se conectar a impressoras AirPrint.
    • Habilitar: protege as conexões airprint com o TLS (Transport Layer Security).

• Importe um arquivo separado por vírgulas (.csv) que inclua uma lista de impressoras AirPrint. Além disso, depois de adicionar impressoras AirPrint em Intune, você pode exportar essa lista.

Obter o endereço IP e o caminho

Para adicionar servidores AirPrinter, você precisa do endereço IP da impressora, do caminho do recurso e da porta. As etapas a seguir mostram como obter essas informações.

1. Em um Mac que se conecta à mesma rede local (sub-rede) que as impressoras AirPrint, abra o aplicativo Terminal (de /Aplicativos/Utilitários).

2. No aplicativo Terminal, insira ippfinde selecione inserir.

   Observe as informações da impressora. Por exemplo, ele pode retornar algo como ipp://myprinter.local.:631/ipp/port1. A primeira parte é o nome da impressora. A última parte (ipp/port1) é o caminho do recurso.

3. No aplicativo Terminal, digite ping myprinter.locale selecione inserir.

   Observe o endereço IP. Por exemplo, ele pode retornar algo como PING myprinter.local (10.50.25.21).

4. Use os valores de endereço IP e caminho de recurso. Neste exemplo, o endereço IP é 10.50.25.21, e o caminho do recurso é /ipp/port1.

Domínios associados

Em Intune, você pode:

• Adicione muitas associações de aplicativo para domínio.
• Associe muitos domínios ao mesmo aplicativo.

Essa configuração se aplica a:

• macOS 10.15 e mais recente

As configurações se aplicam a: registro de dispositivo aprovado pelo usuário e registro automatizado de dispositivo

Essas configurações usam o conteúdo AssociatedDomains.ConfigurationItem (abre o site da Apple).

• Domínios associados: adicione uma associação entre seu domínio e um aplicativo. Esse recurso compartilha credenciais de logon entre um aplicativo Contoso e um site da Contoso. Insira também:

  • ID do aplicativo: insira o identificador de aplicativo do aplicativo para associar a um site. O identificador do aplicativo inclui a ID da equipe e uma ID do pacote: TeamID.BundleID.

    A ID da equipe é uma cadeia de caracteres alfanumérica de 10 caracteres (letras e números) gerada pela Apple para seus desenvolvedores de aplicativos, como ABCDE12345. Localizar sua ID da Equipe (abre o site da Apple) tem mais informações.

    A ID do pacote identifica exclusivamente o aplicativo e normalmente é formatada em notação de nome de domínio reverso. Por exemplo, a ID do pacote do Finder é com.apple.finder.

    Para obter a ID do pacote:

    • Abra o aplicativo Terminal e use o AppleScript: osascript -e 'id of app "ExampleApp"'
    • Para aplicativos adicionados ao Intune, você pode usar o Intune centro de administração.

  • Domínios: insira o domínio do site para associar a um aplicativo. O domínio inclui um tipo de serviço e um nome de host totalmente qualificado, como webcredentials:www.contoso.com.

    Você pode corresponder a todos os subdomínios de um domínio associado inserindo *. (um curinga de asterisco e um período) antes do início do domínio. O período é necessário. Os domínios exatos têm uma prioridade maior do que os domínios curinga. Portanto, os padrões de domínios pai são correspondidos se uma correspondência não for encontrada no subdomínio totalmente qualificado.

    O tipo de serviço pode ser:

    • authsrv: Extensão de aplicativo de logon único
    • applink: link universal
    • Webcredentials: preenchimento automático de senha

  • Habilitar downloads diretos: Sim baixa os dados de domínio diretamente do dispositivo, em vez de passar pela CDN (rede de entrega de conteúdo) da Apple. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode baixar dados por meio da CDN da Apple dedicada aos Domínios Associados.

    Essa configuração se aplica a:

    • macOS 11 e mais recente

Dica

Para solucionar problemas, em seu dispositivo macOS, abra Perfis de Preferências>do Sistema. Confirme se o perfil criado está na lista de perfis de dispositivo. Se ele estiver listado, certifique-se de que a Configuração de Domínios Associados esteja no perfil e inclua a ID do aplicativo e os domínios corretos.

Cache de conteúdo

O cache de conteúdo salva uma cópia local do conteúdo. Outros dispositivos Apple podem obter essas informações sem se conectar à Internet. Esse cache acelera os downloads salvando atualizações de software, aplicativos, fotos e outros conteúdos na primeira vez que são baixados. Como os aplicativos são baixados uma vez e compartilhados em outros dispositivos, as escolas e a organização com muitos dispositivos salvam a largura de banda.

Observação

Use apenas um perfil para essas configurações. Se você atribuir vários perfis com essas configurações, ocorrerá um erro.

Para obter mais informações sobre como monitorar o cache de conteúdo, acesse Exibir logs e estatísticas de cache de conteúdo (abre o site da Apple).

Essa configuração se aplica a:

• macOS 10.13.4 e mais recente

As configurações se aplicam a: Todos os tipos de registro

Para obter mais informações sobre essas configurações, acesse Configurações de conteúdo de cache (abre o site da Apple).

Habilitar o cache de conteúdo: Sim ativa o cache de conteúdo e os usuários não podem desabilitá-lo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode desativá-lo.

• Tipo de conteúdo para armazenar em cache: suas opções:

  • Todo o conteúdo: armazena em cache conteúdo e conteúdo compartilhado do iCloud.
  • Somente conteúdo do usuário: armazena em cache o conteúdo do usuário do iCloud, incluindo fotos e documentos.
  • Somente conteúdo compartilhado: armazena em cache aplicativos e atualizações de software.

• Tamanho máximo do cache: insira a quantidade máxima de espaço em disco (em bytes) usada para armazenar conteúdo em cache. Quando deixado em branco (padrão), Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode definir esse valor como zero (0) bytes, o que dá espaço ilimitado em disco ao cache.

  Certifique-se de não exceder o espaço disponível nos dispositivos. Para obter mais informações sobre a capacidade de armazenamento do dispositivo, acesse Como a capacidade de armazenamento de relatórios do iOS e macOS (abre o site da Apple).

• Local do cache: insira o caminho para armazenar o conteúdo armazenado em cache. O local padrão é /Library/Application Support/Apple/AssetCache/Data. Recomendamos que você não altere esse local.

  Se você alterar essa configuração, o conteúdo armazenado em cache não será movido para o novo local. Para movê-lo automaticamente, os usuários precisam alterar o local no dispositivo (Cache deConteúdode Compartilhamento>de Preferências> do Sistema).

• Porta: insira o número da porta TCP em dispositivos para que o cache aceite solicitações de download e upload, de 0 a 65535. Insira zero (0) (padrão) para usar qualquer porta disponível.

• Bloquear a conexão com a Internet e o compartilhamento de conteúdo em cache: também conhecido como cache amarrado. Sim impede o compartilhamento de conexões com a Internet e impede o compartilhamento de conteúdo armazenado em cache com dispositivos iOS/iPadOS conectados usb ao Mac. Os usuários não podem habilitar esse recurso. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração.

• Habilitar o compartilhamento de conexão com a Internet: também conhecido como cache amarrado. Sim permite o compartilhamento de conexões com a Internet e permite o compartilhamento de conteúdo armazenado em cache com dispositivos iOS/iPadOS conectados usb ao Mac. Os usuários não podem desabilitar esse recurso. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode desativar isso.

  Essa configuração se aplica a:

  • macOS 10.15.4 e mais recente

• Habilitar o cache para registrar detalhes do cliente: Sim registra o endereço IP e o número da porta dos dispositivos que solicitam conteúdo. Se você estiver solucionando problemas do dispositivo, esse arquivo de log poderá ajudar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não registrar essas informações.

• Mantenha sempre o conteúdo do cache, mesmo quando o sistema precisa de espaço em disco para outros aplicativos: Sim , mantém o conteúdo do cache e garante que nada seja excluído, mesmo quando o espaço em disco está baixo. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode limpar o conteúdo do cache automaticamente quando precisar de espaço de armazenamento para outros aplicativos.

  Essa configuração se aplica a:

  • macOS 10.15 e mais recente

• Mostrar alertas status: Sim mostra alertas como notificações do sistema. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não mostrar esses alertas como notificações do sistema.

  Essa configuração se aplica a:

  • macOS 10.15 e mais recente

• Impedir que o dispositivo durma enquanto o cache é ativado: Sim impede que o computador durma quando o cache está ativado. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que o dispositivo durma.

  Essa configuração se aplica a:

  • macOS 10.15 e mais recente

• Dispositivos para armazenar em cache: escolha os dispositivos que podem armazenar em cache o conteúdo. Suas opções:

  • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
  • Dispositivos que usam a mesma rede local: o cache de conteúdo oferece conteúdo para dispositivos na mesma rede local imediata. Nenhum conteúdo é oferecido a dispositivos em outras redes, incluindo dispositivos acessíveis pelo cache de conteúdo.
  • Dispositivos usando o mesmo endereço IP público: o cache de conteúdo oferece conteúdo para dispositivos usando o mesmo endereço IP público. Nenhum conteúdo é oferecido a dispositivos em outras redes, incluindo dispositivos acessíveis pelo cache de conteúdo.
  • Dispositivos que usam redes locais personalizadas: o cache de conteúdo fornece conteúdo para dispositivos nos intervalos de IP inseridos.
    • Intervalos de escuta do cliente: insira o intervalo de endereços IP que podem receber o cache de conteúdo.
  • Dispositivos que usam redes locais personalizadas com fallback: o cache de conteúdo fornece conteúdo para dispositivos nos intervalos de escuta, intervalos de escuta par e endereços IP dos pais.
    • Intervalos de escuta do cliente: insira o intervalo de endereços IP que podem receber o cache de conteúdo.

• Endereços IP públicos personalizados: insira um intervalo de endereços IP públicos. Os servidores de nuvem usam esse intervalo para corresponder dispositivos cliente a caches.

• Compartilhar conteúdo com outros caches: quando sua rede tem mais de um cache de conteúdo, os caches de conteúdo em outros dispositivos se tornam automaticamente pares. Esses dispositivos podem consultar e compartilhar software armazenado em cache.

  Quando um item solicitado não está disponível em um cache de conteúdo, ele verifica seus pares para o item. Se o item estiver disponível, ele será baixado do cache de conteúdo no dispositivo par. Se ainda não estiver disponível, o cache de conteúdo baixará o item de:

  • Um endereço IP pai, se houver configurado

    OU

  • Da Apple usando a Internet

  Quando mais de um cache de conteúdo está disponível, os dispositivos selecionam automaticamente o cache de conteúdo certo.

  Suas opções:

  • Não configurado (padrão): Intune não altera nem atualiza essa configuração.

  • Caches de conteúdo usando as mesmas redes locais: o cache de conteúdo só emparelha com outros caches de conteúdo na mesma rede local imediata.

  • Caches de conteúdo usando o mesmo endereço IP público: o cache de conteúdo só emparelha com outros caches de conteúdo no mesmo endereço IP público.

  • Caches de conteúdo usando redes locais personalizadas: o cache de conteúdo só emparelha com outros caches de conteúdo no intervalo de escuta de endereço IP inserido:

    • Intervalos de escuta por pares: insira os endereços IP inicial e final do IPv4 ou IPv6 para seu intervalo. O cache de conteúdo responde apenas a solicitações de cache de pares de caches de conteúdo nos intervalos de endereços IP inseridos.
    • Intervalos de filtro de par: insira os endereços IP de início e de término IPv4 ou IPv6 para seu intervalo. O cache de conteúdo filtra sua lista de pares usando os intervalos de endereços IP inseridos.

• Endereços IP pai: insira o endereço IP local de outro cache de conteúdo para adicionar como um cache pai. Seu cache carrega e baixa conteúdo para esses caches, em vez de carregar/baixar diretamente com a Apple. Adicione apenas um endereço IP pai uma vez.

• Política de seleção pai: quando houver muitos caches pai, selecione como o endereço IP pai é escolhido. Suas opções:

  • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
  • Round robin: use os endereços IP pai em ordem. Essa opção é boa para cenários de balanceamento de carga.
  • Primeiro disponível: use sempre o primeiro endereço IP disponível na lista.
  • Hash: cria um valor de hash para a parte de caminho da URL solicitada. Essa opção garante que o mesmo endereço IP pai seja sempre usado para a mesma URL.
  • Aleatório: use aleatoriamente um endereço IP na lista. Essa opção é boa para cenários de balanceamento de carga.
  • Sticky disponível: sempre use o primeiro endereço IP na lista. Se ele não estiver disponível, use o segundo endereço IP na lista. Continue a usar o segundo endereço IP até que ele não esteja disponível e assim por diante.

Itens de logon

As configurações se aplicam a: Todos os tipos de registro

• Adicione os arquivos, pastas e aplicativos personalizados que serão iniciados no logon: Adicione o caminho de um arquivo, pasta, aplicativo personalizado ou aplicativo do sistema que é aberto quando os usuários entrarem em seus dispositivos. Insira também:

  • Caminho do item: insira o caminho para o arquivo, pasta ou aplicativo. Aplicativos do sistema ou aplicativos criados ou personalizados para sua organização normalmente estão na Applications pasta, com um caminho semelhante a /Applications/AppName.app.

    Você pode adicionar muitos arquivos, pastas e aplicativos. Por exemplo, digite:

    • /Applications/Calculator.app
    • /Applications
    • /Applications/Microsoft Office/root/Office16/winword.exe
    • /Users/UserName/music/itunes.app

    Ao adicionar qualquer aplicativo, pasta ou arquivo, insira o caminho correto. Nem todos os itens estão na Applications pasta. Se os usuários moverem um item de um local para outro, o caminho será alterado. Esse item movido não é aberto quando o usuário entra.

  • Ocultar: escolha mostrar ou ocultar o aplicativo. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar itens na lista Usuários & Grupos itens de logon com a opção oculta desmarcada.
    • Sim: oculta o aplicativo na lista Usuários & Grupos itens de logon.

Janela de entrada

As configurações se aplicam a: Todos os tipos de registro

Windows Layout

• Mostrar informações adicionais na barra de menus: quando a área de tempo na barra de menus estiver selecionada, Sim mostra o nome do host e a versão do macOS. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não mostrar essas informações na barra de menus.

• Banner: insira uma mensagem exibida na tela de entrada em dispositivos. Por exemplo, insira suas informações de organização, uma mensagem de boas-vindas, informações perdidas e encontradas e assim por diante.

• Exigir campos de texto de nome de usuário e senha: escolha como os usuários entrem em dispositivos. Sim exige que os usuários insiram um nome de usuário e uma senha. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode exigir que os usuários selecionem seu nome de usuário em uma lista e digitem sua senha.

  Quando definido como Não configurado, insira também:

  • Ocultar usuários locais: Sim oculta as contas de usuário locais na lista de usuários, que podem incluir as contas padrão e administrador. Somente as contas de usuário da rede e do sistema são mostradas. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar as contas de usuário locais na lista de usuários.
  • Ocultar contas móveis: Sim oculta contas móveis na lista de usuários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar as contas móveis na lista de usuários. Algumas contas móveis podem ser exibidas como usuários de rede.
  • Mostrar usuários de rede: selecione Sim para listar os usuários de rede na lista de usuários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não mostrar as contas de usuário de rede na lista de usuários.
  • Ocultar administradores do computador: Sim oculta as contas de usuário do administrador na lista de usuários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar as contas de usuário do administrador na lista de usuários.
  • Mostrar outros usuários: selecione Sim para listar Outros usuários... na lista de usuários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não mostrar as outras contas de usuário na lista de usuários.

Configurações de energia de tela de logon

• Botão Ocultar desligamento: Sim oculta o botão de desligamento na tela de entrada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar o botão de desligamento.
• Botão Ocultar reinicialização: Sim oculta o botão reiniciar na tela de entrada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar o botão reiniciar.
• Ocultar o botão de dormir: Sim oculta o botão de dormir na tela de entrada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode mostrar o botão de dormir.
• Desabilitar o logon do usuário do Console: Sim oculta a linha de comando macOS usada para entrar. Para usuários típicos, defina essa configuração como Sim. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que usuários avançados entrem usando a linha de comando macOS. Para inserir o modo de console, os usuários entram >console no campo Nome de Usuário e devem se autenticar na janela do console.

Apple Menu

• Desabilitar Desligar enquanto estiver conectado: Sim impede que os usuários selecionem a opção Desligamento após entrarem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários selecionem o item de menu Desligamento em dispositivos.
• Desabilitar a reinicialização durante o log: Sim impede que os usuários selecionem a opção Reiniciar depois que eles entrarem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários selecionem o item de menu Reiniciar em dispositivos.
• Desabilitar o Power Off durante o logon: Sim impede que os usuários selecionem a opção Power off após entrarem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários selecionem o item de menu Power off em dispositivos.
• Desabilitar o Log Out enquanto estiver conectado (macOS 10.13 e posterior): Sim impede que os usuários selecionem a opção Log out após entrarem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários selecionem o item de menu Log out em dispositivos.
• Desabilitar a Tela de Bloqueio ao fazer logon (macOS 10.13 e posterior): Sim impede que os usuários selecionem a opção Bloquear tela após entrarem. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que os usuários selecionem o item de menu Bloquear tela em dispositivos.

Extensão do aplicativo de logon único

Essa configuração se aplica a:

• macOS 10.15 e mais recente

As configurações se aplicam a: registro de dispositivo aprovado pelo usuário e registro automatizado de dispositivo

• Tipo de extensão de aplicativo SSO: escolha o tipo de extensão de aplicativo SSO. Suas opções:

  • Não configurado: as extensões de aplicativo não são usadas. Para desabilitar uma extensão de aplicativo, alterne o tipo de extensão do aplicativo SSO para Não configurado.

  • Microsoft Entra ID: usa o plug-in Microsoft Entra ID Enterprise SSO, que é uma extensão de aplicativo SSO do tipo redirecionamento. Esse plug-in fornece SSO para contas Active Directory local em todos os aplicativos macOS que dão suporte ao recurso de logon único enterprise da Apple. Use esse tipo de extensão de aplicativo SSO para habilitar o SSO em aplicativos da Microsoft, aplicativos de organização e sites que se autenticam usando Microsoft Entra ID. Para obter mais informações, acesse Usar o plug-in do Microsoft Enterprise SSO em dispositivos macOSOS.

    O plug-in do SSO atua como um agente avançado de autenticação que oferece melhorias de segurança e experiência do usuário.

    Importante

    Para obter o SSO com o tipo de extensão de aplicativo SSO Microsoft Entra, instale o aplicativo macOS Portal da Empresa em dispositivos. O aplicativo Portal da Empresa fornece o plug-in do Microsoft Enterprise SSO para dispositivos. As configurações de extensão de aplicativo SSO do MDM ativam o plug-in. Depois que o aplicativo Portal da Empresa e o perfil de extensão do aplicativo SSO forem instalados em dispositivos, os usuários entrarão com suas credenciais e criarão uma sessão em seus dispositivos. Essa sessão é usada em diferentes aplicativos sem exigir que os usuários se autentiquem novamente.

    Para obter mais informações sobre o aplicativo Portal da Empresa, acesse O que acontece se você instalar o aplicativo Portal da Empresa e registrar seu dispositivo macOS no Intune.

    Você também pode baixar o aplicativo Portal da Empresa.

  • Redirecionamento: use uma extensão de aplicativo de redirecionamento genérico e personalizável para usar o SSO com fluxos de autenticação modernos. Certifique-se de saber a extensão e a ID da equipe para a extensão de aplicativo da sua organização.

  • Credencial: use uma extensão de aplicativo de credencial genérica e personalizável para usar o SSO com fluxos de autenticação de desafio e resposta. Certifique-se de saber a ID de extensão e a ID da equipe para a extensão de aplicativo SSO da sua organização.

  • Kerberos: use a extensão kerberos interna da Apple, que está incluída no macOS Catalina 10.15 e mais recente. Essa opção é uma versão específica do Kerberos da extensão do aplicativo Credential .

  Dica

  Com os tipos redirecionamento e credencial , você adiciona seus próprios valores de configuração para passar pela extensão. Se você estiver usando a Credencial, considere usar configurações internas fornecidas pela Apple no tipo Kerberos .

• ID de extensão (Redirecionamento, Credencial): insira o identificador de pacote que identifica sua extensão de aplicativo SSO, como com.apple.ssoexample.

• ID da equipe (Redirecionamento, Credencial): insira o identificador de equipe da extensão do aplicativo SSO. Um identificador de equipe é uma cadeia de caracteres alfanumérica de 10 caracteres (números e letras) gerada pela Apple, como ABCDE12345.

  Localizar sua ID da Equipe (abre o site da Apple) tem mais informações.

• Realm (Credencial, Kerberos): insira o nome do seu reino de autenticação. O nome do reino deve ser capitalizado, como CONTOSO.COM. Normalmente, seu nome de reino é o mesmo que seu nome de domínio DNS, mas em todas as maiúsculas.

• Domínios (Credencial, Kerberos): insira os nomes de domínio ou host dos sites que podem ser autenticados por meio do SSO. Por exemplo, se o site for mysite.contoso.com, o mysite nome do host será e .contoso.com o nome do domínio. Quando os usuários se conectam a qualquer um desses sites, a extensão do aplicativo lida com o desafio de autenticação. Essa autenticação permite que os usuários usem a ID facial, a ID do Toque ou a senha/senha da Apple para entrar.

  • Todos os domínios em sua extensão de aplicativo de logon único Intune perfis devem ser exclusivos. Você não pode repetir um domínio em nenhum perfil de extensão de aplicativo de logon, mesmo que esteja usando diferentes tipos de extensões de aplicativo SSO.
  • Esses domínios não são sensíveis a casos.
  • O domínio deve começar com um período (.).

• URLs (somente redirecionamento): insira os prefixos de URL de seus provedores de identidade em cujo nome a extensão do aplicativo de redirecionamento usa SSO. Quando os usuários são redirecionados para essas URLs, a extensão do aplicativo SSO intervém e solicita o SSO.

  • Todas as URLs em seu Intune perfis de extensão de aplicativo de logon único devem ser exclusivas. Você não pode repetir um domínio em nenhum perfil de extensão de aplicativo SSO, mesmo que esteja usando diferentes tipos de extensões de aplicativo SSO.
  • As URLs devem começar com http:// ou https://.

• Configuração adicional (Microsoft Entra ID, Redirecionamento, Credencial): insira dados mais específicos de extensão para passar para a extensão do aplicativo SSO:

  • Chave: insira o nome do item que você deseja adicionar, como user name.

  • Tipo: insira o tipo de dados. Suas opções:

    • Cadeia de caracteres
    • Boolean: no valor de configuração, insira True ou False.
    • Inteiro: no valor de configuração, insira um número.

  • Valor: insira os dados.

• Bloquear keychain uso (somente Kerberos): Sim impede que senhas sejam salvas e armazenadas no keychain. E os usuários não são solicitados a salvar sua senha e precisam reentrada na senha quando o tíquete Kerberos expirar. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que senhas sejam salvas e armazenadas no keychain. Os usuários não são solicitados a reentrada em sua senha quando o tíquete expirar.

• Exigir iD facial, ID de toque ou senha (somente Kerberos): Sim força os usuários a inserir sua ID facial, ID de toque ou senha do dispositivo quando a credencial for necessária para atualizar o tíquete Kerberos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir que os usuários usem a biometria ou a senha do dispositivo para atualizar o tíquete Kerberos. Se Bloquear keychain uso for definido como Sim, essa configuração não se aplicará.

• Definir como realm padrão (somente Kerberos): escolha Sim para definir o valor realm que você inseriu como o reino padrão. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não definir um reino padrão.

  • Se você estiver configurando várias extensões de aplicativo SSO kerberos em sua organização, selecione Sim.
  • Se você estiver usando vários reinos, selecione Sim. Ele define o valor realm que você inseriu como o reino padrão.
  • Se você tiver apenas um reino, deixe-o não configurado (padrão).

• Bloquear Autodiscover (somente Kerberos): quando definida como Sim, a extensão Kerberos não usa automaticamente LDAP e DNS para determinar o nome do site do Active Directory. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que a extensão localize automaticamente o nome do site do Active Directory.

• Permitir apenas aplicativos gerenciados (somente Kerberos): quando definido como Sim, a extensão Kerberos permite apenas aplicativos gerenciados e todos os aplicativos inseridos com a ID do pacote de aplicativos para acessar a credencial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que aplicativos não gerenciados acessem a credencial.

  Esse recurso aplica-se a:

  • macOS 12 e mais recente

• Bloquear alterações de senha (somente Kerberos): Sim impede que os usuários alterem as senhas que usam para entrar nos domínios inseridos. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir alterações de senha.

• Habilitar a sincronização de senha local (somente Kerberos): escolha Sim para sincronizar as senhas locais dos usuários para Microsoft Entra ID. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode desabilitar a sincronização de senha para Microsoft Entra ID.

  Use essa configuração como alternativa ou backup no SSO. Essa configuração não funcionará se os usuários estiverem conectados com uma conta móvel da Apple.

• Atrasar a instalação da extensão kerberos (somente Kerberos): quando definido como Sim, o usuário não é solicitado a configurar a extensão Kerberos até que a extensão seja habilitada pelo administrador ou um desafio Kerberos seja recebido. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode solicitar imediatamente que o usuário configure a extensão Kerberos.

  Esse recurso aplica-se a:

  • macOS 11 e mais recente

• Permitir utilitários Kerberos padrão (somente Kerberos): quando definida como Sim, a extensão Kerberos permite que todos os aplicativos inseridos com a ID do pacote de aplicativos, aplicativos gerenciados e utilitários Kerberos padrão, como TicketViewer e klist, acessem e usem a credencial. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não permitir que aplicativos listados acessem e usem a credencial.

  Esse recurso aplica-se a:

  • macOS 12 e mais recente

• Credencial de solicitação (somente Kerberos): Quando definida como Sim, a credencial é solicitada no próximo desafio Kerberos correspondente ou alteração de estado de rede. Quando a credencial está expirada ou ausente, uma nova credencial é criada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não solicitar uma nova credencial.

  Esse recurso aplica-se a:

  • macOS 12 e mais recente

• Exigir conexões LDAP para TLS (somente Kerberos): quando definidas como Sim, as conexões LDAP são necessárias para usar o TLS (Transport Layer Security). Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir conexões LDAP para usar o TLS.

  Esse recurso aplica-se a:

  • macOS 11 e mais recente

• Exigir complexidade de senha do Active Directory (somente Kerberos): escolha Sim para forçar as senhas do usuário a atender aos requisitos de complexidade de senha do Active Directory. Em dispositivos, essa configuração mostra uma janela pop-up com caixas de marcar para que os usuários vejam que estão completando os requisitos de senha. Ele ajuda os usuários a saber o que precisam inserir para a senha. Para obter mais informações, acesse Senha deve atender aos requisitos de complexidade. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não exigir que os usuários atendam aos requisitos de senha do Active Directory.

• Comprimento mínimo da senha (somente Kerberos): insira o número mínimo de caracteres que podem compõe as senhas dos usuários. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não impor um tamanho mínimo de senha aos usuários.

• Limite de reutilização de senha (somente Kerberos): insira o número de novas senhas, de 1 a 24, que são usadas até que uma senha anterior possa ser reutilizadas no domínio. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não impor um limite de reutilização de senha.

• Idade mínima da senha (dias) (somente Kerberos): insira o número de dias em que uma senha é usada no domínio antes que os usuários possam alterá-la. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não impor uma idade mínima de senhas antes que elas possam ser alteradas.

• Notificação de expiração de senha (dias) (somente Kerberos): insira o número de dias antes de uma senha expirar para que os usuários sejam notificados de que sua senha expirará. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode usar 15 dias.

• Expiração de senha (dias) (somente Kerberos): insira o número de dias antes que a senha do dispositivo precise ser alterada. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode nunca expirar senhas.

• URL de alteração de senha (somente Kerberos): insira a URL que é aberta quando os usuários iniciam uma alteração de senha kerberos.

• Nome de usuário personalizado (somente Kerberos): insira o texto que substitui o nome de usuário mostrado na extensão Kerberos. Você pode inserir um nome que corresponda ao nome da sua empresa ou organização. Por exemplo, você pode inserir Contoso.

  Esse recurso aplica-se a:

  • macOS 11 e mais recente

• Uso da extensão Kerberos (somente Kerberos): selecione como outros processos usam a credencial de Extensão Kerberos. Suas opções:

  • Sempre: a credencial de extensão sempre será usada se o SPN estiver listado em Domínios. Ele não será usado se o aplicativo de chamada não estiver listado em IDs do Pacote de Aplicativos.
  • Quando não especificada: a credencial de extensão só é usada quando outra credencial não é inserida pelo chamador e o SPN é listado em Domínios. Ele não será usado se o aplicativo de chamada não estiver listado em IDs do Pacote de Aplicativos.
  • Padrão Kerberos: Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional usa os processos kerberos padrão para selecionar credenciais. Essa opção é a mesma que não configurar essa configuração.

  Esse recurso aplica-se a:

  • macOS 11 e mais recente

• Nome da entidade (somente Kerberos): insira o nome de usuário da entidade Kerberos. Você não precisa incluir o nome do reino. Por exemplo, em user@contoso.com, user é o nome principal e contoso.com é o nome do reino.

  • Você também pode usar variáveis no nome principal inserindo colchetes {{ }}encaracolados . Por exemplo, para mostrar o nome de usuário, insira Username: {{username}}.
  • Tenha cuidado com a substituição de variável porque as variáveis não são validadas na interface do usuário e são sensíveis a casos. Insira as informações corretas.

• Código do site do Active Directory (somente Kerberos): insira o nome do site do Active Directory que a extensão Kerberos deve usar. Talvez você não precise alterar esse valor, pois a extensão Kerberos pode localizar automaticamente o código do site do Active Directory.

• Nome do cache (somente Kerberos): insira o nome GSS (Generic Security Services) do cache Kerberos. Você provavelmente não precisa definir esse valor.

• Texto da janela de entrada (somente Kerberos): insira o texto mostrado aos usuários na janela de entrada Kerberos.

  Esse recurso aplica-se a:

  • macOS 11 e mais recente

• Mensagem de requisitos de senha (somente Kerberos): insira uma versão de texto dos requisitos de senha da sua organização que é mostrada aos usuários. A mensagem mostra se você não precisar dos requisitos de complexidade de senha do Active Directory ou não inserir um comprimento mínimo de senha.

  Quando definido como Sim, todas as contas de usuário existentes são apagadas dos dispositivos. Para evitar a perda de dados ou impedir uma redefinição de fábrica, certifique-se de entender como essa configuração altera seus dispositivos.

  Para obter mais informações sobre o modo de dispositivo compartilhado, acesse Visão geral do modo de dispositivo compartilhado.

• IDs do pacote de aplicativos (Microsoft Entra ID, Kerberos): insira os identificadores do pacote de aplicativos que devem usar logon único em seus dispositivos. Esses aplicativos têm acesso ao Tíquete de Concessão de Tíquete Kerberos e ao tíquete de autenticação. Os aplicativos também autenticam os usuários nos serviços que estão autorizados a acessar.

  Para obter a ID do pacote de um aplicativo adicionado ao Intune, você pode usar o Intune centro de administração.

• Mapeamento de domínio (somente Kerberos): insira os sufixos DNS de domínio que devem ser mapeados para o seu reino. Use essa configuração quando os nomes DNS dos hosts não corresponderem ao nome do reino. Você provavelmente não precisa criar esse mapeamento personalizado de domínio para reino.

• Certificado PKINIT (somente Kerberos): selecione o certificado PKINIT (Criptografia de Chave Pública para Autenticação Inicial) que pode ser usado para autenticação Kerberos. Você pode escolher entre certificados PKCS ou SCEP que você adiciona em Intune. Para obter mais informações sobre certificados, acesse Usar certificados para autenticação no Microsoft Intune.

• KDCs preferenciais (somente Kerberos): insira os KDCs (Key Distribution Centers) a serem usados para tráfego Kerberos por ordem de preferência. Essa lista é usada quando os servidores não são detectáveis usando DNS. Quando os servidores são detectáveis, a lista é usada para verificações de conectividade e usada primeiro para o tráfego Kerberos. Se os servidores não responderem, o dispositivo usará a descoberta de DNS.

  Esse recurso aplica-se a:

  • macOS 12 e mais recente

Artigos relacionados

• Atribuir o perfil e monitorar seu status.

• Configurar recursos do dispositivo no iOS/iPadOS.