Compartilhar via


Configurar o registro de dispositivos macOS no Intune

O Microsoft Intune suporta a inscrição em Macs pessoais e pertencentes à empresa. Este artigo descreve os métodos e funcionalidades que pode utilizar para inscrever dispositivos pessoais, dispositivos pertencentes à empresa e máquinas virtuais (VM).

Habilitar o registro no Microsoft Intune

Conclua estas etapas primeiro para habilitar o registro em seu locatário do Microsoft Intune.

  1. Verifique se os dispositivos estão qualificados para o registro de dispositivo da Apple
  2. Configurar domínios
  3. Definir a Autoridade MDM
  4. Obtenha um certificado push de MDM da Apple
  5. Atribua licenças de usuário no Centro de administração do Microsoft 365
  6. Criar grupos
  7. Configurar o aplicativo do Portal da Empresa

Registrar dispositivos

Depois de habilitar o registro, use um dos métodos compatíveis descritos nesta seção para registrar dispositivos de propriedade do usuário e da empresa.

Dispositivos macOS de propriedade do usuário (BYOD)

O Intune dá suporte a bring-your-own-device ou BYOD, que permite que as pessoas registrem seus próprios dispositivos pessoais. Para concluir a configuração do registro para cenários BYOD, informe aos usuários licenciados para usarem uma dessas opções para registrar dispositivos:

  • Entre no site Portal da Empresa e siga as instruções na tela para adicionar o dispositivo.
  • Instale o aplicativo Portal da Empresa para Mac em aka.ms/EnrollMyMac e siga as instruções da tela para adicionar o dispositivo.

Dispositivos macOS de propriedade da empresa

O Intune dá suporte aos seguintes métodos de registro para dispositivos macOS de propriedade da empresa. Selecione um método vinculado por hyperlink para abrir suas etapas de configuração.

  • Registro de dispositivo automatizado da Apple: use este método para automatizar a experiência de registro em dispositivos adquiridos por meio do Apple Business Manager ou do Apple School Manager. O registro de dispositivo automatizado implanta o perfil de registro sem fio, portanto, você não precisa ter acesso físico aos dispositivos.
  • Gerenciador de registro de dispositivo (DEM): use esse método para implantações em grande escala e quando houver várias pessoas em sua organização que possam ajudar na configuração do registro. Alguém com permissões de gestor de inscrição de dispositivos (DEM) pode inscrever até 1000 dispositivos com uma única conta microsoft Entra. Esse método usa o aplicativo Portal da Empresa ou o Microsoft Intune para registrar dispositivos. Não é possível usar uma conta do DEM para registrar dispositivos por meio do Registro Automatizado de Dispositivos.
  • Registro direto: o registro direto registra dispositivos sem afinidade de usuário, portanto, esse método é melhor para dispositivos que não estão associados a um único usuário. Esse método exige que você tenha acesso físico aos Macs que está registrando.

Tokens de inicialização

O Intune dá suporte ao uso de tokens de inicialização em Macs registrados que executam o macOS 10.15 ou posterior. Os tokens de bootstrap concedem o status de propriedade do volume a contas de usuários e convidados locais para que usuários não administradores possam aprovar operações importantes que um administrador precisaria fazer. Operações como:

  • Atualizações de software iniciadas pelo usuário

  • Instalação da extensão Kernel no Apple Silicon

Você pode utilizar tokens de inicialização em Macs supervisionados e Macs registrados por meio do registro de dispositivo automatizado do macOS.

Obter token de inicialização

O token de inicialização é gerado automaticamente quando:

  • Um Mac recém-registrado faz o logon com o Intune e
  • Um usuário seguro habilitado para token (normalmente um Administrador do Intune) entra no Mac com sua senha de texto não criptografado

Em seguida, o token é automaticamente vinculado ao Microsoft Intune. Você pode usar uma ferramenta de linha de comando para exibir, gerar e criar manualmente um token de inicialização em dispositivos macOS com suporte, se necessário. Para obter mais informações sobre comandos, consulte Usar token seguro, token de inicialização e propriedade de volume em implantações no Suporte da Apple.

Monitorar status de caução de inicialização

Você pode monitorar o status de caução de qualquer Mac registrado no centro de administração. A propriedade de hardware Token de inicialização caucionado informa se o token de inicialização foi ou não caucionado no Intune. O Intune relata Sim quando o token foi caucionado com êxito e Não quando o token não tiver sido caucionado.

  1. Entre no Centro de administração do Microsoft Intune.
  2. Aceda a Dispositivos>Por plataforma>macOS.
  3. Selecione um dispositivo na sua lista de dispositivos macOS.
  4. Selecione Hardware.
  5. Nos detalhes do hardware, role para baixo até Acesso condicional>Token de inicialização caucionado.

Gerenciar extensões kernel e atualizações de software

Importante

As extensões de kernel já não são recomendadas para macOS. A Apple recomenda a utilização de extensões de sistema sempre que possível. Para obter mais detalhes, consulte Apple Platform Security guide - Securely extending the kernel in macOS on Apple Support (Guia de Segurança da Plataforma da Apple – expandir o kernel em macOS em segurança no Suporte da Apple).

Um token de inicialização pode ser usado para aprovar a instalação de extensões kernel e atualizações de software em um Mac com Apple Silicon.

As atualizações de software iniciadas pelo usuário podem ser realizadas com um token de inicialização em Macs com o macOS, versão 11.1, e registrados por meio de registro automatizado de dispositivo. Para autorizar atualizações de software iniciados pelo usuário em um dispositivo que não está registrado por meio do registro de dispositivo automatizado, você deve reiniciar o Mac no modo de recuperação e fazer downgrade de suas configurações de segurança. Você também pode utilizar o token de inicialização para atualizações de software em Macs com o macOS 11.2 e posterior, com o único requisito de que o dispositivo precisa ser supervisionado.

O gerenciamento de extensão kernel está automaticamente disponível em Macs que executam o macOS 11 ou posterior e é registrado por meio do registro de dispositivo automatizado. Para autorizar o gerenciamento remoto de extensões kernel em um dispositivo que não está registrado por meio do registro de dispositivo automatizado, você deve reiniciar o Mac no modo de recuperação e fazer downgrade de suas configurações de segurança. Para obter mais informações, consulte Alterar configurações de segurança no disco de inicialização de um Mac com Apple Silicon no Suporte da Apple.

Bloquear registro do macOS

Por padrão, o Intune permite o registro de dispositivos macOS. Para bloquear a inscrição de dispositivos macOS, consulte Definir uma restrição da plataforma de dispositivos.

Registrar máquinas macOS virtuais para teste

Observação

O Intune suporta máquinas virtuais macOS apenas para fins de teste. Não utilize máquinas virtuais (VMs) como dispositivos oficiais para funcionários ou estudantes.

O Intune suporta VMs em execução:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

O Intune precisa saber o modelo de hardware e o número de série da VM para reconhecer e registrá-lo como um dispositivo. Se você tentar registrar uma VM sem fornecer esses detalhes, o registro falhará. Esta seção fornece mais informações sobre como atender a esse requisito antes do registro.

Parallels Desktop

Modifique as definições de configuração da VM para adicionar ou alterar um número de série de VM e um identificador de modelo de hardware. Insira qualquer cadeia de caracteres alfanuméricos para o número de série. Para o modelo de hardware, recomendamos usar o modelo do dispositivo que está executando a VM. Para localizar o modelo de hardware do Mac, selecione o menu da Apple e vá para Sobre este Mac>Relatório de Sistema>Identificador de Modelo.

Para obter mais informações, consulte os seguintes tópicos na base de dados de conhecimento do Parallels:

VMware Fusion

Adicione as linhas a seguir ao arquivo .vmx para definir o modelo de hardware e o número de série da VM. Os valores mostrados neste exemplo são exemplos.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Insira qualquer cadeia de caracteres alfanuméricos para o número de série. Para o modelo de hardware, recomendamos usar o modelo do dispositivo que está executando a VM. Para localizar o modelo de hardware do Mac, selecione o menu da Apple e vá para Sobre este Mac>Relatório de Sistema>Identificador de Modelo.

A VMware Fusion só é suportada em Intel Macs. Consulte o site de conexão do cliente VMware para obter mais informações sobre edição do arquivo .vmx para sua VM do VMware Fusion.

Apple Silicon

Não são necessárias alterações para as VMs em execução no hardware Apple Silicon. O Parallels Desktop é suportado em Macs com o Apple Silicon, por isso, se configurar uma VM desta forma, não precisa de modificar o ID do modelo de hardware ou o número de série.

Registro aprovado pelo usuário

Todos os registro do Mac no Intune são considerados aprovados pelo usuário. O registro aprovado pelo usuário permite gerenciar dispositivos macOS que não fazem parte do Apple School Manager ou do Apple Business Manager. Ele fornece o mesmo nível de controle que os dispositivos macOS supervisionados registrados usando o Registro Automatizado de Dispositivos ou o Apple Configurator.

O Intune ativa automaticamente a supervisão para dispositivos aprovados pelo usuário com o macOS 11 e posterior. Ele também faz isso para dispositivos registrados que são atualizados depois para o macOS 11 ou posterior.

Observação

O Intune anunciou suporte para o registro aprovado pelo usuário em junho de 2020. Os registro BYOD que ocorreram antes dessa hora podem não ser aprovados pelo usuário. Para obter mais informações sobre os dispositivos Apple sendo aprovados pelo usuário, confira Registro MDM aprovado pelo usuário no site de Suporte da Apple.

Experiência do usuário

O usuário do dispositivo entra no aplicativo Portal da Empresa para iniciar o registro. O Portal da Empresa abre as preferências do sistema do dispositivo e solicita que o usuário instale o perfil de gerenciamento. O Portal da Empresa fornece instruções no aplicativo para ajudar os usuários a encontrar o perfil. Os utilizadores acedem aPerfis de Preferências> do Sistemapara aprovar a instalação do perfil de gestão. Os usuários de dispositivos que não fornecem aprovação durante o registro podem retornar às preferências do sistema posteriormente para aprovar.

Descubra se o dispositivo foi aprovado pelo usuário

  1. No centro de administração, selecione Dispositivos>Todos os dispositivos.
  2. Escolha um dispositivo macOS.
  3. No menu lateral, selecione Hardware.
  4. Verifique o valor ao lado de Registro aprovado pelo usuário.

Criar cópias de segurança e restaurar com o Assistente de Migração da Apple

Utilize o Assistente de Migração da Apple para fazer uma cópia de segurança e restaurar um dispositivo macOS. Pode utilizar a ferramenta para fazer uma cópia de segurança de um Mac e restaurar os respetivos dados de aplicação num novo dispositivo. É importante saber:

  • Não é efetuada uma cópia de segurança do perfil de gestão no Mac original. O dispositivo é enviado um novo perfil de gestão à medida que o novo Mac se inscreve novamente. Isto acontece em Macs que passam pela inscrição de dispositivos automatizados da Apple e macs que não passam pela inscrição automatizada de dispositivos.
  • As credenciais da aplicação Portal da Empresa podem ser restauradas no novo Mac depois de passar pelo Assistente de Migração e se inscrever. Se isto acontecer, recomendamos que o utilizador do dispositivo efetue os seguintes passos para limpar os dados da aplicação:
    1. Termine sessão na aplicação Portal da Empresa.
    2. Inicie sessão na aplicação ou no site do Portal da Empresa.

Próximas etapas