Compartilhar via

Guia ponto a ponto para começar a utilizar os pontos finais do macOS

  • Artigo

Com o Microsoft Intune, pode gerir e proteger pontos finais do macOS pertencentes à sua organização ou escola. Quando você ou a sua organização gerem os dispositivos, pode implementar as aplicações de que os seus utilizadores finais precisam, configurar as funcionalidades do dispositivo que pretende e utilizar políticas que ajudam a proteger os seus dispositivos & organização contra ameaças.

Este artigo se aplica ao:

  • Dispositivos macOS pertencentes à sua organização

Este artigo é um guia ponto a ponto para ajudá-lo a começar a utilizar os pontos finais do macOS. Concentra-se em:

  • Pontos finais geridos com o Apple Business Manager ou o Apple School Manager
  • Dispositivos inscritos no Intune através da Inscrição Automatizada de Dispositivos com afinidade de utilizador. Normalmente, a afinidade de utilizador é utilizada para dispositivos com um utilizador principal.

Este artigo orienta-o através dos passos ponto a ponto para criar e gerir os pontos finais do macOS com o Microsoft Intune.

Como usar este guia

Este guia tem sete fases. Cada fase tem um conjunto de passos que ajudam a criar a configuração e implementação do ponto final do macOS. Cada fase baseia-se na fase anterior.

Um diagrama que resume todas as fases para integrar dispositivos macOS, incluindo testar, inscrever, proteger, implementar políticas e suportar os dispositivos com o Microsoft Intune

Conclua as fases e os passos por ordem. As fases incluem:

No final deste guia, tem um ponto final do macOS inscrito no Intune e pronto para começar a validar nos seus cenários.

Fase 1 – Configurar o seu ambiente

Antes de criar o seu primeiro ponto final do macOS, existem alguns requisitos e funcionalidades de configuração que configura.

Nesta fase, vai verificar os requisitos, integrar o Intune com o Apple Business Manager (ou o Apple School Manager), configurar algumas funcionalidades e adicionar algumas aplicações ao Intune.

Um diagrama que lista os passos para configurar o seu ambiente para suportar dispositivos macOS no Microsoft Intune, incluindo requisitos netowrk, certificados, configurar o início de sessão único e muito mais

Etapa 1 – Requisitos de rede

Configurar a sua rede

Para preparar e implementar com êxito o ponto final do macOS, o ponto final requer acesso a vários serviços públicos de Internet.

  • Inicie o teste em uma rede aberta. Em alternativa, na rede da sua organização, forneça acesso a todos os pontos finais listados em Pontos finais de rede do Microsoft Intune. Em seguida, pode utilizar a rede da sua organização para testar a configuração.

  • Se a sua rede sem fios necessitar de certificados, pode começar com uma ligação Ethernet durante os testes. A ligação Ethernet dá-lhe algum tempo para determinar a melhor abordagem para as ligações sem fios de que os dispositivos precisam.

Cuidado

A inspeção SSL pode fazer com que o acesso aos serviços Microsoft e Apple falhe. Para obter mais informações sobre os requisitos da Apple, aceda a Utilizar produtos Apple em redes empresariais.

Passo 2 – Inscrição e licenciamento

Criar um novo grupo, configurar restrições de inscrição e atribuir licenças

Para preparar os pontos finais para a inscrição, tem de se certificar de que os pontos finais corretos são direcionados e de que os pontos finais estão corretamente licenciados.

Especificamente:

  • Criar um novo grupo.

    Crie um novo grupo de teste do Microsoft Entra, como Utilizadores de MDM do Intune. Em seguida, adicione contas de utilizador de teste a este grupo. Para limitar quem pode inscrever dispositivos enquanto configura a configuração, direcione as configurações para este grupo.

    Para criar um grupo do Microsoft Entra, utilize o centro de administração do Intune. Quando cria um grupo no Intune, está a criar um grupo do Entra. Não vês a marca Entra, mas é isso que estás a usar.

    Para obter mais informações, aceda a Criar um grupo para gerir utilizadores no Intune.

  • Restrições de Inscrição

    As restrições de inscrição permitem-lhe controlar os tipos de dispositivos que podem ser inscritos na gestão do Intune. Para que este guia seja bem-sucedido, numa restrição de inscrição, certifique-se de que a inscrição no macOS (MDM) é permitida, que é a configuração predefinida. Atribua esta restrição de inscrição ao novo grupo que criou.

    Se necessário/pretendido, também pode impedir a inscrição de dispositivos específicos.

    Para obter informações sobre como configurar as Restrições de Registro, confira Definir restrições de registro no Microsoft Intune.

  • Licenciamento

    Os utilizadores que inscrevem dispositivos macOS necessitam de uma licença do Microsoft Intune ou do Microsoft Intune for Education. Para atribuir licenças, confira Atribuir licenças do Microsoft Intune. Atribua as licenças às contas de teste que criou.

    Observação

    Ambos os tipos de licenças geralmente são incluídos com pacotes de licenciamento, como o Microsoft 365 E3 (ou A3) e superior. Para obter mais informações, aceda a Comparar Planos do Microsoft 365 Enterprise.

Passo 3 – Adicionar o Certificado MDM da Apple

Adicionar o certificado push com um ID Apple Gerido

  • Para gerir dispositivos macOS, a Apple requer que o inquilino do Intune seja configurado com um certificado push de MDM. Se atualmente gerir dispositivos iOS/iPadOS neste mesmo inquilino, este passo é concluído.

  • Certifique-se de que utiliza um ID Apple Gerido com a instância do Apple Business Manager (ou Apple School Manager).

    Não utilize um ID Apple pessoal. A gestão do certificado do Serviço Apple Push Notification é fundamental ao longo da vida útil da sua solução de gestão de dispositivos. O acesso com um ID Apple pessoal pode ficar indisponível, uma vez que a equipa muda ao longo do tempo.

Para obter informações sobre como configurar um certificado push de MDM da Apple, aceda a Obter um certificado Push de MDM da Apple para o Intune.

Passo 4 – Adicionar o token de inscrição de dispositivos automatizados da Apple

Ligar o token da Apple para Inscrição Automática de Dispositivos

Para gerir dispositivos inscritos através do Apple Business Manager (ou Apple School Manager), tem de configurar um token mdm e associar o token ao Intune.

Este token é necessário para a Inscrição Automatizada de Dispositivos (ADE) no Intune. O token:

  • Permite que o Intune sincronize as informações do dispositivo ADE a partir da sua conta do Apple Business Manager (ou Apple School Manager).
  • Permite que o Intune carregue perfis de inscrição para a Apple.
  • Permite que o Intune atribua dispositivos a esses perfis.

Se atualmente gerir dispositivos iOS/iPadOS neste mesmo inquilino com a ADE, alguns destes passos poderão ser efetuados.

Para obter informações sobre como configurar o Apple Business Manager com o Intune, aceda a Inscrever dispositivos macOS – Apple Business Manager ou Apple School Manager.

Os passos de alto nível para configurar o Apple Business Manager (ou Apple School Manager) com o Intune são:

  1. Ligue o Intune ao Apple Business Manager (ou Ao Apple School Manager).
  2. No Intune, crie perfis ADE para o token do Apple Business Manager.
  3. No Apple Business Manager, atribua dispositivos à MDM do Intune.
  4. No Intune, atribua os perfis ADE aos seus dispositivos macOS.

Passo 5 – Dispositivos de destino

Grupos específicos de destino com grupos de utilizadores, filtros do Intune ou grupos dinâmicos

Os dispositivos macOS com afinidade de utilizador podem ser direcionados para perfis e aplicações através de grupos de utilizadores ou dispositivos. Existem duas opções comuns para a forma como as organizações direcionam dinamicamente os dispositivos:

  • Opção 1 - Todos os grupos de dispositivos com um filtro de atribuição em enrollmentProfileName

    Para aplicações e políticas críticas que têm de ser aplicadas imediatamente após a inscrição (definições de segurança, restrições, a aplicação Portal da Empresa), pode atribuir as políticas ao grupo incorporado Todos os Dispositivos do Intune. Crie um filtro de atribuição com o perfil de inscrição que criou no Passo 4 – Adicionar o token de inscrição de dispositivos automatizado da Apple.

    As políticas e aplicações direcionadas para o grupo Todos os Dispositivos aplicam-se mais rapidamente após a inscrição do que os grupos dinâmicos. Nem todos os perfis de configuração (como scripts macOS) suportam filtros.

    Para obter mais informações sobre filtros de atribuição, aceda a Criar filtros no Microsoft Intune.

  • Opção 2 – Grupo dinâmico microsoft Entra baseado em enrollmentProfileName

    Para limitar as configurações deste guia aos dispositivos de teste que importa através do Apple Business Manager, crie um grupo dinâmico do Microsoft Entra. Em seguida, pode direcionar todas as suas configurações e aplicações para este grupo.

    1. Entre no centro de administração do Microsoft Intune.

    2. Selecione Grupos>Novo Grupo e introduza os seguintes detalhes:

      • Tipo de grupo: Selecione Segurança.
      • Nome do Grupo: introduza os pontos finais do macOS.
      • Tipo de associação: selecione Dispositivo Dinâmico.

    3. Para Membros de dispositivos dinâmicos, selecione Adicionar consulta dinâmica e introduza as seguintes propriedades:

      • Propriedade: selecione enrollmentProfileName.
      • Operador: selecione é igual a.
      • Valor: introduza o nome do perfil de inscrição.

    4. Selecione OK>Salvar>Criar.

    Quando cria aplicações e políticas, pode direcionar as políticas para este novo grupo dinâmico do Microsoft Entra.

    Observação

    Após a ocorrência de alterações, os grupos dinâmicos podem demorar vários minutos a preencher. Nas grandes organizações, pode demorar mais tempo. Depois de criar um novo grupo, aguarde vários minutos antes de verificar se o dispositivo é membro do grupo.

    Para obter mais informações sobre grupos dinâmicos para dispositivos, aceda a Regras de associação dinâmicas para grupos no Microsoft Entra ID: Regras para dispositivos.

Passo 6 – Configurar as definições iniciais e o início de sessão único (SSO)

Otimizar a experiência de primeira execução

Com o Intune, pode otimizar a primeira experiência de execução com definições incorporadas no perfil de inscrição ADE. Especificamente, quando cria o perfil de inscrição, pode:

  • Pré-configurar as informações do utilizador final no Assistente de Configuração.
  • Utilize a funcionalidade de configuração final Aguardar . Esta funcionalidade impede que os utilizadores finais acedam a conteúdos restritos ou alterem as definições até serem aplicadas as políticas de configuração de dispositivos do Intune.

Para obter mais informações sobre esta funcionalidade e inscrição na ADE, aceda a Inscrever automaticamente Macs com o Apple Business Manager ou o Apple School Manager.

Reduzir pedidos de início de sessão da aplicação com o SSO

No Intune, pode configurar definições que reduzem o número de pedidos de início de sessão recebidos por utilizadores finais ao utilizar aplicações, incluindo aplicações do Microsoft 365. Existem duas partes nesta configuração:

  • Parte 1 – utilize o plug-in SSO do Microsoft Enterprise para fornecer início de sessão único (SSO) a aplicações e sites que utilizam o Microsoft Entra ID para autenticação, incluindo aplicações do Microsoft 365.

    Existem duas opções para configurar o SSO para Mac – plug-in SSO empresarial e SSO da Plataforma.

    O plug-in SSO do Microsoft Enterprise para dispositivos Apple fornece início de sessão único (SSO) para contas Microsoft Entra no macOS em todas as aplicações que suportam a funcionalidade de início de sessão único empresarial da Apple.

    Para criar estas políticas, no centro de administração do Intune, aceda a:

    • Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de política > Autenticação > Extensível Início de Sessão Único (SSO): Adicionar e configurar as seguintes definições:

      Nome Configuração
      Identificador da Extensão com.microsoft.CompanyPortalMac.ssoextension
      Identificador de Equipe UBF8T346G9
      Tipo Redirecionar
      URLs https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • Configure as seguintes definições opcionais:

      Chave Tipo Valor
      AppPrefixAllowList Cadeia de caracteres com.apple.,com.microsoft
      browser_sso_interaction_enabled Número inteiro 1
      disable_explicit_app_prompt Número inteiro 1

    Para obter mais informações sobre o plug-in SSO enterprise, incluindo como criar a política, aceda a Configurar o plug-in SSO para MacOS Enterprise com o Intune.

  • Parte 2 – utilize o catálogo de definições do Intune para configurar as seguintes definições que reduzem os pedidos de início de sessão, incluindo o Microsoft AutoUpdate (MAU) e o Microsoft Office.

    • Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de Definições de política > Microsoft AutoUpdate (MAU): Adicionar e configurar as seguintes definições:

    • Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas > Microsoft Office > Microsoft Office: Adicionar e configurar as seguintes definições:

      • Endereço de E-mail de Ativação do Office: introduza {{userprincipalname}}.
      • Ativar o início de sessão automático: selecione Verdadeiro.

      Estas definições simplificam o processo de início de sessão ao abrir aplicações do Office pela primeira vez. Para obter mais informações sobre estas definições, aceda a Definir preferências em todo o conjunto de aplicações para o Office para Mac.

    Para obter mais informações sobre o catálogo de definições, incluindo como criar uma política, aceda a Utilizar o catálogo de definições para configurar definições no Microsoft Intune.

Passo 7 – Adicionar e atribuir aplicações obrigatórias

Adicionar um conjunto mínimo de aplicações ao Intune

A sua organização pode ter algumas aplicações que os seus dispositivos macOS têm de ter. A sua organização pode exigir que estas aplicações sejam instaladas em todos os dispositivos geridos pelo Intune.

Neste passo, adicione estas aplicações ao Intune e atribua-as ao seu grupo.

Algumas aplicações obrigatórias incluem:

Fase 2 – Inscrever um ponto final de teste

A fase seguinte inscreve um dispositivo macOS de teste no Intune. Esta fase permite-lhe familiarizar-se com os passos iniciais para que esteja pronto quando chegar a altura de inscrever todos os seus dispositivos macOS no Intune.

Um diagrama que lista os passos para inscrever um dispositivo macOS de teste com o Microsoft Intune, incluindo registar um dispositivo, atribuir um perfil e muito mais

Para inscrever o ponto final macOS da sua primeira organização, certifique-se de que o dispositivo macOS é:

Os passos de alto nível para inscrever o primeiro ponto final do macOS com o Intune são:

  1. Apagar ou repor o ponto final do macOS. Este passo é necessário para dispositivos existentes. Se inscrever um dispositivo macOS que já esteja configurado, o dispositivo é considerado um dispositivo pessoal. Por isso, tem de apagar ou repor o dispositivo antes de poder inscrevê-lo no Intune.

    Para novos dispositivos que não estão configurados, pode ignorar este passo. Se não tiver a certeza se o dispositivo está configurado, reponha o dispositivo.

  2. Aceda ao Assistente de Configuração.

  3. Abra a aplicação Portal da Empresa e inicie sessão com a sua conta da organização (user@contoso.com).

Quando o utilizador inicia sessão, aplica-se a política de inscrição. Quando estiver concluído, o ponto final do macOS é inscrito no Intune.

Fase 3 – Proteger os pontos finais do macOS

Nesta fase, vai configurar definições e funcionalidades de segurança que ajudam a proteger os seus pontos finais, incluindo manter os dispositivos atualizados com atualizações.

Um diagrama que lista os passos para proteger dispositivos macOS através de políticas de conformidade, atualizações de software e muito mais no Microsoft Intune

Esta secção centra-se nas diferentes funcionalidades de segurança de pontos finais no Microsoft Intune, incluindo:

  • Políticas de Conformidade e Acesso Condicional
  • Microsoft Defender para Ponto de Extremidade
  • Segurança do ponto final FileVault, Firewall e Gatekeeper
  • Atualizações de software
  • Conta de convidado
  • Início de sessão inativo
  • Utilitário de Avaliação do Mac

Políticas de Conformidade e Acesso Condicional

Criar políticas de conformidade e impor a conformidade com o Acesso Condicional

  • As políticas de conformidade verificam as definições do dispositivo que configura e podem remediar algumas definições que não estão em conformidade. Por exemplo, pode criar políticas de conformidade que verificam a complexidade da palavra-passe, o estado de jailbreak, os níveis de ameaça, o estado de inscrição e muito mais.

    Se existirem definições de configuração em conflito entre políticas de conformidade e outras políticas, a política de conformidade tem precedência. Para obter mais informações, aceda a Políticas de conformidade e configuração de dispositivos em conflito.

  • O Acesso Condicional pode ser utilizado para impor as políticas de conformidade que criar. Quando combinados, os utilizadores finais podem ser obrigados a inscrever os respetivos dispositivos e a cumprir uma norma de segurança mínima antes de acederem aos recursos da organização. Se um dispositivo não estiver em conformidade, pode bloquear o acesso aos recursos, como o e-mail, ou exigir que o utilizador inscreva o respetivo dispositivo e corrija o problema.

Observação

Para confirmar que está a impor os controlos de dispositivo adequados, trabalhe com a sua equipa que gere as suas políticas de Acesso Condicional do Entra.

Pode criar políticas de conformidade e acesso condicional no centro de administração do Intune.

Para obter mais informações, confira:

Microsoft Defender para Ponto de Extremidade

Utilizar o Microsoft Defender para Endpoint para a defesa contra ameaças

O Microsoft Defender para Endpoint é uma solução de defesa contra ameaças para dispositivos móveis que ajuda a proteger os seus dispositivos contra ameaças de segurança.

No Intune, pode ligar ao serviço Microsoft Defender para Endpoint, criar políticas do Intune com as definições do Microsoft Defender para Endpoint e, em seguida, implementar as políticas nos seus dispositivos.

Para obter mais informações, confira:

Segurança de pontos finais incorporada

Encriptar dispositivos com encriptação de disco FileVault

O FileVault é uma funcionalidade de encriptação de disco inteiro que ajuda a impedir o acesso não autorizado. As definições do FileVault estão incorporadas no catálogo de definições do Intune e estão disponíveis como políticas de conformidade.

Assim, pode configurar o FileVault, verificar a conformidade e implementar as políticas nos seus dispositivos.

Para criar estas políticas, no centro de administração do Intune, aceda a:

  • Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo > de Definições Encriptação de Disco Completa
  • Dispositivos > Gerir dispositivos > Conformidade > Criar política > Segurança do sistema > Exigir encriptação de armazenamento de dados no dispositivo

Para obter mais informações sobre o FileVault, aceda a:

Configurar a firewall

A firewall é uma firewall de aplicações e ajuda a evitar ataques recebidos. As definições da firewall estão incorporadas no catálogo de definições do Intune e estão disponíveis como políticas de conformidade.

Assim, pode configurar a firewall, verificar a conformidade e implementar as políticas nos seus dispositivos.

Para criar estas políticas, no centro de administração do Intune, aceda a:

  • Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo de Definições de política>:

    • Firewall de > Rede
    • Preferências > de Segurança

  • Dispositivos > Gerir dispositivos > Conformidade > Criar política > Firewall de Segurança > do Sistema

Para obter mais informações sobre a firewall do macOS, aceda a:

Configurar o Controlador de Chamadas

O Controlador de Chamadas garante que apenas o software fidedigno é executado no dispositivo. As definições do Controlador de Chamadas estão incorporadas no catálogo de definições do Intune e estão disponíveis como políticas de conformidade.

Assim, pode configurar o Controlador de Chamadas, verificar a conformidade e implementar as políticas nos seus dispositivos.

Para criar estas políticas, no centro de administração do Intune, aceda a:

  • Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas> Controlo de Política > de sistema:

    • Permitir Programador Identificado: selecione Verdadeiro.
    • Ativar Avaliação: selecione Verdadeiro.

  • Dispositivos > Gerir dispositivos > Configuração > Criar >Nova política> Catálogo > de definições Política de sistema > Política de sistema Gerida:

    • Desativar Substituição: selecione Verdadeiro.

  • Dispositivos > Gerir dispositivos > Conformidade > Criar política > Controlador de Segurança > do Sistema

Para obter mais informações sobre o Controlador de Chamadas, aceda a:

Atualizações de software

Configurar Atualizações de Software

Nos dispositivos, as atualizações de software são críticas e tem de determinar como as atualizações são instaladas. Tem algumas opções.

Quando configura estas definições, impõe e restringe o comportamento no nó Atualização de Software da aplicação >Definições no dispositivo.

  • Opção 1 – macOS 14.0 e dispositivos mais recentes (recomendado) – em dispositivos macOS 14.0 e mais recentes, utilize o catálogo de definições do Intune para criar uma política de atualizações de software gerida. Esta funcionalidade utiliza a gestão declarativa de dispositivos (DDM) da Apple e é a abordagem recomendada para atualizar dispositivos macOS.

    Especificamente, no centro de administração do Intune, pode configurar as seguintes definições:

    • Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo > de definições Atualização declarativa de Software de Gestão > de Dispositivos

    • Opcional - Em Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Restrições, pode utilizar as seguintes definições para atrasar quanto tempo após o lançamento de uma atualização que os utilizadores podem instalar manualmente as atualizações. Estas definições utilizam as definições de MDM da Apple:

      • Atualização de Software Imposta Atraso de Instalação Diferida do SO Secundário: 0-30
      • Atualização de Software Imposta – Atraso de Instalação Diferida do SO Principal: 0-30
      • Atualização de Software Imposta Atraso de Instalação Não Diferida do SO: 0-30

      As definições de Atualização de Software de Gestão > de Dispositivos Declarativa do Catálogo > de Definições têm precedência sobre as definições de Restrições do Catálogo > de Definições. Para obter mais informações, aceda a Precedência das definições na política de atualizações do macOS.

  • Opção 2 – macOS 13.0 e mais antigo (recomendado) – em dispositivos macOS 13.0 e mais antigos, pode utilizar uma combinação do catálogo de definições do Intune e uma política de atualizações de software do Intune. Estas funcionalidades utilizam as definições de MDM da Apple.

    Especificamente, no centro de administração do Intune, pode configurar as seguintes definições:

    • Dispositivos > Gerir atualizações > Política de atualizações > do macOS da Apple

    • Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Atualização de Software

    Algumas das definições em ambos os tipos de política (Atualizações de software vs. Catálogo de definições) podem sobrepor-se. Por isso, preste atenção ao que configura em cada política. As definições na política de atualizações do macOS têm precedência sobre as definições de Atualização de Software do Catálogo > de Definições. Para obter mais informações, aceda a Precedência das definições na política de atualizações do macOS.

  • Opção 3 (não recomendado) – os utilizadores finais instalam manualmente as atualizações. Esta abordagem depende dos utilizadores finais para decidir quando devem instalar as atualizações. Além disso, podem instalar uma atualização que a sua organização não aprova.

Para obter mais informações sobre como planear a estratégia de atualização do macOS, aceda ao Guia de planeamento de atualizações de software para dispositivos macOS geridos no Microsoft Intune.

Conta de convidado

Desativar a conta de convidado

Deve desativar a conta de convidado nos pontos finais do macOS. Pode desativar a conta de convidado com o catálogo de definições do Intune:

  • Dispositivos > Gerir dispositivos > Configuração > Criar > Nova políticaDefinições > catálogo > Contas de contas>:
    • Desativar Conta de Convidado: selecione Verdadeiro.

Tempo limite de inatividade

Definir um tempo limite de inatividade

Ao utilizar o catálogo de definições do Intune, controla o período de tempo após a inatividade que o macOS pede para obter uma palavra-passe:

  • Dispositivos > Gerir dispositivos Configuração > Criar > Nova política > Catálogo > de definições Deteção de Ecrãs de Configuração > do > Sistema:

    • Pedir Palavra-passe: selecione Verdadeiro.
    • Tempo de Inatividade do Windows de Início de Sessão: introduza algo como 300, que é de 5 minutos.
    • Pedir Atraso da Palavra-passe: introduza algo como 5.
    • Nome do Módulo: introduza o nome do módulo screensaver, como Flurry.

  • Dispositivos > Gerir dispositivos Configuração > Criar > Nova política > Catálogo > de definições Deteção de Experiência > do UtilizadorEsutilizador>:

    • Tempo de Inatividade: introduza algo como 300, que é 5 minutos.
    • Nome do Módulo: introduza o nome do módulo screensaver, como Flurry.

  • Para os seus dispositivos de computador e portátil, existem definições que podem ajudar a poupar energia:

    Dispositivos > Gerir dispositivos Configuração > Criar > Novo catálogo > de definições de políticas > Sistema Configuração >> Poupança de Energia:

    • Temporizador de Suspensão do Power > Display para Ambiente de Trabalho
    • Temporizador de Suspensão do Ecrã de Bateria > do Portátil
    • Temporizador de Suspensão do Power > Display do Portátil

Dica

Para localizar o nome do módulo screensaver, defina o screensaver, abra a aplicação Terminal e execute o seguinte comando:

defaults -currentHost read com.apple.screensaver

Utilitário de Avaliação do macOS

Utilizar o Utilitário de Avaliação do macOS

O Utilitário de Avaliação do Mac confirma que o seu Mac tem a configuração e as definições recomendadas pela Apple. Para aceder ao Utilitário de Avaliação do Mac, inicie sessão em Apple Seed for IT (abre o site da Apple) >Recursos.

Fase 4 – Aplicar personalizações específicas da organização

Nesta fase, vai aplicar definições e aplicações específicas da organização e rever a configuração no local.

Um diagrama que lista algumas funcionalidades para personalizar dispositivos macOS com aplicações, definições de dispositivos, certificados e muito mais com o Microsoft Intune

A fase ajuda-o a personalizar quaisquer funcionalidades específicas da sua organização. Repare nos vários componentes do macOS. Há seções para cada uma das seguintes áreas:

  • Aplicativos
  • Configuração do dispositivo para a estação de ancoragem, notificações, ficheiros de preferência & políticas personalizadas e padrão de fundo
  • Nome do dispositivo
  • Certificados
  • Wi-Fi

Aplicativos

Adicionar mais aplicações ao Intune

Na Fase 1 – Configurar o seu ambiente, adicionou algumas aplicações que os dispositivos têm de ter. Neste passo, adicione outras aplicações que podem melhorar a experiência ou produtividade do utilizador final.

Configuração do dispositivo

O catálogo de definições simplifica a forma como cria uma política e como pode ver todas as definições disponíveis. Em diferentes fases e passos neste guia, vai utilizar o catálogo de definições do Intune para configurar as funcionalidades e definições do dispositivo.

Por exemplo, utilizámos o catálogo de definições para configurar as seguintes áreas de funcionalidades:

  • Definições do browser Microsoft Edge
  • Microsoft AutoUpdate
  • Microsoft Office
  • Atualizações de software
  • Experiência do Usuário

Existem muitas definições de dispositivo que pode configurar com o catálogo de definições, incluindo:

Estação de Ancoragem

  • Dispositivos > Gerir dispositivos > Configuração > Criar > Novo catálogo > de definições de políticas > Estação de Ancoragem da Experiência > do Utilizador

Também pode adicionar ou remover itens da estação de ancoragem com um exemplo de shell da dock do Microsoft Intune ou ferramentas de linha de comandos de parceiros, como o GitHub – DockUtil.

Pedidos de notificação

  • Dispositivos > Gerir dispositivos > Configuração > Criar > Nova política > Catálogo de definições > Notificações > de Experiência > do Utilizador Definições de Notificação

    Deve introduzir o ID do pacote para cada aplicação para a qual pretende controlar as notificações.

Para obter mais informações, aceda a Notificações Definições de payload mdm para dispositivos Apple (abre o site da Apple).

Ficheiros de preferência e políticas personalizadas

  • Os ficheiros de preferência definem as propriedades ou definições da aplicação que pretende pré-configurar. No catálogo de definições do Intune, existem muitas definições incorporadas para aplicações, como o Microsoft Edge e o Microsoft Office. Por isso, poderá não precisar de um ficheiro de preferência.

    A Microsoft recomenda que utilize as definições incorporadas no catálogo de definições. Se o catálogo de definições não tiver as definições necessárias, adicione um ficheiro de preferência ao Intune.

    Para obter mais informações, aceda a Adicionar um ficheiro de lista de propriedades a dispositivos macOS com o Microsoft Intune

  • Os perfis personalizados foram concebidos para adicionar definições e funcionalidades do dispositivo que não estão incorporadas no Intune.

    A Microsoft recomenda que utilize as definições incorporadas no catálogo de definições. Se o catálogo de definições não tiver as definições de que precisa, utilize um perfil personalizado.

    Para obter mais informações, aceda a perfis personalizados.

Padrão de fundo

Pode impor um padrão de fundo no macOS com uma combinação de um script de exemplo e o catálogo de definições:

  • Dispositivos > Gerir dispositivos Configuração > Criar > Nova política > Catálogo > de definições User Experience > Desktop:>
    • Substituir Caminho da Imagem: "Introduza o <caminho da imagem>".

O ficheiro de imagem tem de existir no ponto final do macOS. Para transferir uma imagem a partir de uma localização na Web, pode utilizar um script de exemplo no Exemplo de shell de padrão de fundo GitHub – Microsoft Intune. Também pode utilizar uma ferramenta de pacote de aplicação para copiar um ficheiro e, em seguida, implementá-lo com a funcionalidade de implementação PKG não gerida .

Nome do dispositivo

Mudar o nome dos dispositivos

Com um script de shell, pode mudar o nome dos dispositivos para incluir informações específicas, como o número de série do dispositivo combinado com o código de país/região.

Para obter mais informações, aceda a GitHub – Scripts do Microsoft Shell para mudar o nome dos dispositivos Mac.

Certificados

Adicionar certificados para autenticação baseada em certificados

Se utilizar a autenticação baseada em certificados para uma experiência sem palavra-passe, pode utilizar o Intune para adicionar e implementar certificados.

Para obter mais informações, aceda a Tipos de certificado disponíveis no Microsoft Intune.

Wi-Fi

Pré-configurar uma ligação Wi-Fi

Com o Intune, pode criar uma ligação Wi-Fi que inclua as suas informações de rede e, em seguida, implementar a ligação aos seus dispositivos macOS. Se os seus dispositivos se ligarem à organização através de Wi-Fi, crie uma política de ligação Wi-Fi.

Para obter mais informações, aceda a Configurar definições de Wi-Fi para dispositivos macOS no Microsoft Intune.

Fase 5 – Colocação em cache (opcional)

Existem algumas funcionalidades de colocação em cache que pode utilizar para ajudar a reduzir a largura de banda da rede.

Um diagrama que descreve a utilização da colocação em cache de conteúdos e da aplicação de cache local AutoUpdate em dispositivos macOS com o Microsoft Intune

Utilizar a colocação em cache de conteúdos

Se tiver um grande número de dispositivos macOS ou iOS/iPadOS na sua rede, pode implementar a Cache de Conteúdos da Apple para ajudar a reduzir a largura de banda da Internet. A Cache de Conteúdos da Apple pode colocar em cache conteúdos alojados em serviços Apple, como Atualizações de Software e aplicações VPP.

Para obter mais informações, aceda a Introdução à colocação em cache de conteúdos (abre o site da Apple).

AutoUpdate local cache

Muitas aplicações Microsoft no macOS são atualizadas com a aplicação Microsoft AutoUpdate. Esta aplicação pode referenciar um URL diferente para conteúdo.

Pode utilizar o Administrador de Cache do GitHub – Microsoft AutoUpdate para configurar uma cache local para o Microsoft AutoUpdate.

Para obter mais informações, aceda a GitHub - Microsoft AutoUpdate Cache Admin.

Fase 6 – Inscrever os pontos finais restantes do macOS

Até agora, criou a configuração e adicionou aplicações. Agora, está pronto para inscrever todos os pontos finais do macOS com uma política de Inscrição de Dispositivos Automatizada com o Microsoft Intune.

Um diagrama a indicar-lhe para inscrever todos os pontos finais do macOS com uma política de Inscrição de Dispositivos Automatizada com o Microsoft Intune

Criar a política de Inscrição de Dispositivos Automatizada

A política de inscrição é atribuída ao novo grupo. Quando os dispositivos recebem a política de inscrição, o processo de inscrição é iniciado e a aplicação & políticas de configuração que criou são aplicadas.

Para obter mais informações sobre a Inscrição Automatizada de Dispositivos e para começar, aceda a Inscrever automaticamente Macs com o Apple Business Manager ou o Apple School Manager.

Fase 7 – Suporte, manutenção e passos seguintes

A fase final é suportar e manter os seus dispositivos macOS. Esta fase inclui a utilização de funcionalidades do Intune, como ajuda remota, monitorização dos certificados da Apple e muito mais.

Um diagrama que lista os passos para suportar e manter os seus dispositivos macOS, incluindo a utilização de ajuda remota, a adição de atributos personalizados e a configuração do Apple Business Manager com o Microsoft Intune

O Intune gere dispositivos macOS com as capacidades de MDM do sistema operativo incorporado e o agente da Extensão de Gestão do Intune (IME).

Estes dois componentes oferecem funcionalidades separadas e comunicam com o dispositivo macOS através de canais diferentes. A inscrição é orquestrada através do Apple Business Manager, a MDM é orquestrada através do Serviço Apple Push Notification e o IME comunica diretamente com o Intune.

Um diagrama que mostra como a MDM do macOS e a Extensão Managemnt do Intune funcionam em conjunto para suportar a gestão de dispositivos macOS com o Microsoft Intune

Para obter mais informações sobre a Extensão de Gestão do Intune, aceda a Compreender o agente de gestão do Microsoft Intune para macOS.

Manutenção da inscrição no macOS

Renovar certificados da Apple e sincronizar tokens do ADE

Para que os seus dispositivos Mac mantenham a ligação ao Intune e continuem a inscrever-se, existem várias áreas importantes que deve verificar na consola periodicamente e tomar medidas conforme necessário:

  • Expiração do certificado do Serviço Apple Push Notification

    O certificado do Serviço de Notificações Push da Apple tem de ser renovado anualmente. Quando este certificado expira, o Intune não consegue gerir os dispositivos inscritos com esse certificado. Certifique-se de que renova este certificado todos os anos.

    Para obter mais informações, aceda a Obter um certificado Push de MDM da Apple para o Intune.

  • Expiração do certificado de Inscrição de Dispositivos Automatizada da Apple

    Quando configura uma ligação entre o Apple Business Manager (ou o Apple School Manager) e o Intune, é utilizado um certificado. Este certificado tem de ser renovado anualmente. Se este certificado não for renovado, as alterações do Apple Business Manager (ou Apple School Manager) não poderão ser sincronizadas com o Intune.

    Para obter mais informações, aceda a Inscrever dispositivos macOS – Apple Business Manager ou Apple School Manager.

  • Estado de sincronização da Inscrição de Dispositivos Automatizada da Apple

    A Apple suspende a sincronização de tokens ADE quando os termos e condições forem alterados no Apple Business Manager (ou Apple School Manager). Podem mudar após uma versão principal do SO, mas pode acontecer em qualquer altura.

    Deve monitorizar o estado da sincronização para quaisquer problemas que necessitem de atenção.

    Para obter mais informações, aceda a sincronizar dispositivos geridos.

Ajuda Remota

Ativar ajuda remota

A Ajuda Remota é uma solução baseada na cloud para ligações de suporte técnico seguras que utilizam controlos de acesso baseados em funções. Com a ligação, a equipa de suporte pode ligar-se remotamente a dispositivos de utilizador final.

Para obter mais informações, confira:

Atributos personalizados

Utilizar propriedades personalizadas para obter informações de relatórios

No Intune, pode utilizar scripts de shell para recolher propriedades personalizadas de dispositivos macOS geridos. Esta funcionalidade é uma excelente forma de obter informações de relatórios personalizadas.

Para obter mais informações, aceda a Utilizar scripts de shell em dispositivos macOS no Microsoft Intune.

Configurar o Apple Business Manager para o aprovisionamento automático de utilizadores

Utilizar contas de utilizador entra para administração ABM e IDs Apple Geridos

O Microsoft Entra ID pode ser configurado para aprovisionar e desaprovisionar automaticamente utilizadores no Apple Business Manager (ABM) através do serviço de aprovisionamento Do Microsoft Entra.

Para obter mais informações, aceda a Tutorial: Configurar o Apple Business Manager para o aprovisionamento automático de utilizadores.