Partilhar via

Inscreva automaticamente dispositivos macOS com o Apple Business Manager ou Apple School Manager

  • Artigo

Importante

A Apple mudou recentemente de usar o Programa de Inscrição de Dispositivos apple (DEP) para a Apple Automated Device Registration (ADE). A Intune está em processo de atualização da interface de utilizador Intune para refletir isso. Até que tais alterações estejam concluídas, continuará a ver o Programa de Inscrição de Dispositivos no portal Intune. Onde quer que isso seja mostrado, agora utiliza a Inscrição automática de Dispositivos.

Pode configurar a inscrição intune para dispositivos macOS adquiridos através do Apple Business Manager da Apple ou do Apple School Manager. Pode utilizar qualquer uma destas inscrições para um grande número de dispositivos de forma remota. Pode enviar dispositivos macOS diretamente para os utilizadores. Quando o utilizador ativar o dispositivo, o Assistente de Configuração será executado com as predefinições configuradas e o dispositivo será inscrito na gestão do Intune.

Para configurar a inscrição, você usa os portais Intune e Apple. Deve criar os perfis de inscrição com as definições aplicadas aos dispositivos durante a inscrição.

Nem a inscrição no Apple Business Manager nem o Apple School Manager trabalham com o gestor de inscrição do dispositivo.

Pré-requisitos

Obtenha um token Apple ADE

Antes de conseguir inscrever dispositivos macOS com ADE ou Apple School Manager, precisa de um ficheiro simbólico (.p7m) da Apple. Este token permite ao Intune sincronizar informações sobre os dispositivos que são propriedade da sua organização. Também permite que o Intune carrele os perfis de inscrição para a Apple e atribua estes perfis aos dispositivos.

Pode utilizar o portal da Apple para criar um token. Também pode utilizar o portal da Apple para atribuir dispositivos ao Intune para gestão.

Passo 1. Faça o download do certificado de chave pública Intune necessário para criar o token

  1. No centro de administração Microsoft Endpoint Manager,escolha Dispositivos > macOS > para inscrição no programa > tokens > Add.

    Obtenha um token do programa de inscrição.

  2. Conceda permissão à Microsoft para enviar informações sobre o utilizador e o dispositivo à Apple, ao selecionar Concordo.

    Captura de ecrã a mostrar o painel Token do Programa de Inscrição, na área de trabalho Certificados da Apple, para transferir a chave pública.

  3. Selecione Transferir a chave pública para transferir e guardar o ficheiro da chave de encriptação (.pem) localmente. O ficheiro .pem é utilizado para pedir um certificado de relação de confiança a partir do portal da Apple.

Passo 2. Use a sua chave para descarregar um token da Apple

  1. Escolha Criar um símbolo para via Apple Business Manager ou Criar um token via Apple School Manager para abrir o portal apple apropriado, e iniciar sessão com a sua empresa Apple ID. Pode utilizar este Apple ID para renovar o token.

  2. Para o DEP, no portal da Apple, escolha Começar para Programa de Registo de Aparelho > Gerir Servidores > Adicionar Servidor MDM.

  3. Para apple school manage, no portal Apple, escolha servidores MDM > Adicionar SERVIDOR MDM.

  4. Introduza o Nome do Servidor MDM e, em seguida, selecione Seguinte. O nome do servidor é uma referência para identificar o servidor de gestão de dispositivos móveis (MDM). Não é o nome nem o URL do Microsoft Intune.

  5. A caixa de diálogo Adicionar <NomeDoServidor> é aberta e pede para Atualizar a Chave Pública. Selecione Escolher Ficheiro… para carregar o ficheiro .pem e, em seguida, selecione Seguinte.

  6. Vá a programas de implementação > programa de inscrição de > dispositivos gerem dispositivos.

  7. Em Selecionar Dispositivos Por, especifique a forma como os dispositivos são identificados:

    • Número de série
    • Número da Encomenda
    • Carregar Ficheiro CSV.

    Captura de ecrã a mostrar a especificação de dispositivos selecionados pelo número de série, a definição da ação de seleção como Atribuir ao servidor e a seleção do nome do servidor.

  8. Em Selecionar Ação, selecione Atribuir ao Servidor, selecione o <NomeDoServidor> especificado no Microsoft Intune e, em seguida, selecione OK. O portal da Apple atribui os dispositivos especificados para o servidor do Intune para gestão e, em seguida, apresenta a mensagem Atribuição Concluída.

Passo 3. Guardar o Apple ID que serviu para criar este token

No centro de administração Microsoft Endpoint Manager,forneça o Apple ID para referência futura.

Captura de ecrã a mostrar a especificação do ID Apple utilizado para criar o token do programa de inscrição e o acesso ao token do programa de inscrição.

Passo 4: Carregar o token

Na caixa Token da Apple, procure o ficheiro de certificado (.pem), escolha Abrir e, em seguida, escolha Criar. Com o certificado push, o Intune pode inscrever e gerir dispositivos macOS ao enviar políticas para dispositivos inscritos. O Intune é sincronizado automaticamente na Apple para que possa ver a conta do seu programa de inscrição.

Criar um perfil de inscrição da Apple

Agora que instalou o token, pode criar um perfil de inscrição para os dispositivos. Um perfil de inscrição de dispositivos especifica as definições aplicadas a um grupo de dispositivos durante a inscrição.

  1. No centro de administração Microsoft Endpoint Manager,escolha tokens do programa de > > inscrição de macOS macOS > devices macOS .

  2. Selecione um token, escolha Perfis e, em seguida, escolha Criar perfil > macOS.

    Crie uma captura de ecrã de perfil.

  3. Na página Basics, insira um Nome e Descrição para o perfil para fins administrativos. Os utilizadores não verão estes detalhes. Pode utilizar este campo Nome para criar um grupo dinâmico em Azure Ative Directory. Utilize o nome de perfil para definir o parâmetro enrollmentProfileName para atribuir dispositivos com este perfil de inscrição. Saiba mais sobre Azure Ative Directory grupos dinâmicos.

    Nome do perfil e descrição.

  4. Em Plataforma, selecione macOS.

  5. Selecione Seguinte para ir à página gestão Definições.

  6. Em Afinidade de Utilizador, escolha se os dispositivos com este perfil têm ou não de ser inscritos com ou sem um utilizador atribuído.

    • Inscrever com Afinidade de Utilizador: selecione esta opção para os dispositivos que pertençam aos utilizadores e que queiram utilizar a aplicação Portal da Empresa para serviços como a instalação de aplicações. Se estiver a utilizar o Sistema de Ficheiros Distribuído do Azure, a afinidade de utilizador precisa de um Nome de utilizador/Ponto final misto WS-Trust 1.3. Saiba mais. Escolha esta opção se necessitar de autenticação multi-factor (MFA).

    • Inscrever sem Afinidade do Utilizador – escolha esta opção para dispositivos não associados a um único utilizador. Utilize esta opção para dispositivos que realizem tarefas sem aceder aos dados de utilizador locais. Aplicações como a aplicação Portal da Empresa não funcionam.

  7. Se selecionou Inscrever-se com a Affinity do Utilizador para o campo De afinidade do utilizador, tem agora a opção de escolher o método de autenticação a utilizar quando autenticar os utilizadores. Para o método de autenticação, selecione uma das seguintes opções:

    • Assistente de configuração (legado): Utilize o legado 'Assistente de Configuração' se quiser que os utilizadores experimentem a experiência típica e fora de caixa para os produtos Apple. Isto instala definições pré-configuradas padrão quando o dispositivo se inscreve na gestão Intune. Se estiver a utilizar os Serviços da Federação de Diretório Ativo e estiver a utilizar o Assistente de Configuração para autenticar, é necessário um nome de utilizador/ponto final misto do WS-Trust 1.3. Saiba mais.

    • Assistente de configuração com autenticação moderna: Os dispositivos que executam o macOS 10.15 e depois podem utilizar este método (dispositivos macOS mais antigos neste perfil vão voltar a utilizar o processo de Assistente de Configuração (legado).

      Se uma política de acesso condicional que requer autenticação multi-factor (MFA) se aplicar na inscrição ou na inscrição e durante Portal da Empresa iniciar sação, então é necessário MFA. No entanto, o MFA é opcional com base nas definições AZURE AD na política de acesso condicional direcionada.

      Depois de completar todos os ecrãs do Assistente de Configuração, o utilizador final aterra na página inicial (altura em que a afinidade do utilizador é estabelecida). No entanto, até que o utilizador assine a Portal da Empresa utilizando as suas credenciais AZure AD, o dispositivo:

      • Não será registado na Azure AD.
      • Não aparecerá na lista de dispositivos do utilizador no portal AD Azure.
      • Não terá acesso a recursos protegidos por acesso condicional.
      • Não será avaliado para a conformidade do dispositivo.
      • Será redirecionado para o Portal da Empresa de outras aplicações caso o utilizador tente abrir quaisquer aplicações geridas que estejam protegidas por acesso condicional.

      Para obter mais informações sobre como obter o Portal da Empresa do macOS no dispositivo dos utilizadores, consulte Adicionar o Portal da Empresa para a aplicação macOS.

  8. Para a inscrição bloqueada, escolha se pretende ou não inscrição bloqueada para dispositivos que utilizem este perfil. Sim desativa as definições de macOS que permitem remover o perfil de gestão do menu Preferências do Sistema ou através do Terminal. Após a inscrição de dispositivos, não poderá alterar esta definição sem apagar os dados do dispositivo.

  9. Selecione Seguinte para ir para a página 'Assistente de configuração'.

  10. Na página 'Assistente de Configuração', configufique as seguintes definições de perfil:

    Definições do departamento Description
    Nome do Departamento É apresentado quando os utilizadores tocam em Acerca da Configuração durante a ativação.
    Número de Telefone do Departamento Aparece quando o utilizador clica no botão Preciso de Ajuda durante a ativação.

    Pode optar por mostrar ou ocultar vários ecrãs do Assistente de Configuração no dispositivo quando o utilizador o configurar.

    • Se selecionar Ocultar, o ecrã não será apresentado durante a configuração. Depois de configurar o dispositivo, o utilizador ainda pode aceder ao menu Definições para configurar a funcionalidade.
    • Se selecionar Mostrar, o ecrã será apresentado durante a configuração. Por vezes, o utilizador pode ignorar o ecrã sem realizar qualquer ação. No entanto, terá a possibilidade de aceder ao menu Definições do dispositivo para configurar a funcionalidade.
    Definições do ecrã Assistente de Configuração Se selecionar Mostrar durante a configuração, o dispositivo irá…
    Serviços de Localização Pedir ao utilizador a respetiva localização. Para o macOS 10.11 e mais tarde e iOS/iPadOS 7.0 e mais tarde.
    Restaurar Exibir as aplicações & ecrã de dados. Este ecrã permite que o utilizador opte por restaurar ou transferir os dados da Cópia de Segurança do iCloud quando configurar o dispositivo. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Apple ID Apresentar ao utilizador as opções para iniciar sessão com o respetivo ID Apple e utilizar o iCloud. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Terms and Conditions Pedir ao utilizador para aceitar os termos e condições da Apple. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Touch ID Apresentar ao utilizador a opção para configurar a identificação através de impressão digital no dispositivo. Para o macOS 10.12.4 e posterior, e iOS/iPadOS 8.1 e posterior.
    Apple Pay Apresentar ao utilizador a opção para configurar o Apple Pay no dispositivo. Para o macOS 10.12.4 e posterior, e iOS/iPadOS 7.0 e posterior.
    Siri Apresentar ao utilizador a opção para configurar o Siri. Para o macOS 10.12 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    Dados de Diagnóstico Apresentar o ecrã Diagnósticos ao utilizador. Este ecrã permite que o utilizador opte por enviar dados de diagnóstico para a Apple. Para o macOS 10.9 e posterior, e iOS/iPadOS 7.0 e mais tarde.
    FileVault Apresente o ecrã de encriptação FileVault 2 ao utilizador. Para o macOS 10.10 e mais tarde.
    diagnósticos iCloud Exiba o ecrã iCloud Analytics ao utilizador. Para o macOS 10.12.4 e mais tarde.
    Armazenamento do iCloud Apresentar os documentos do iCloud e o ecrã de ambiente de trabalho ao utilizador. Para o macOS 10.13.4 e mais tarde.
    Sinal de Exibição Apresentar ao utilizador a opção para ativar o Sinal de Apresentação. Para o macOS 10.13.6 e posterior, e iOS/iPadOS 9.3.2 e posterior.
    Aspeto Apresentar o ecrã Aspeto ao utilizador. Para o macOS 10.14 e posterior, e iOS/iPadOS 13.0 e posterior.
    Registo Exiba o ecrã de registo ao utilizador. Para o macOS 10.9 e mais tarde.
    Tempo do Ecrã Apresentar o ecrã Tempo do Ecrã. Para o macOS 10.15 e posterior, e iOS/iPadOS 12.0 e posterior.
    Privacidade Apresentar o ecrã Privacidade ao utilizador. Para o macOS 10.13.4 e posterior, e iOS/iPadOS 11.3 e posterior.
    Acessibilidade Exiba o ecrã de acessibilidade ao utilizador. Se este ecrã estiver escondido, o utilizador não poderá ouvir automaticamente a voz. A voz over só é suportada em dispositivos que:
    - Executar macOS 11.
    - Estão ligados à internet utilizando o Ethernet.
    - Que o número de série apareça no Apple School Manager ou no Apple Business Manager.

  11. Selecione Seguinte para ir à página 'Rever + criar'.

  12. Para guardar o perfil, escolha Criar.

Sincronizar dispositivos geridos

Agora que o Intune tem permissão para gerir os seus dispositivos, pode sincronizar o Intune com a Apple para ver os seus dispositivos geridos no Intune no portal do Azure.

  1. No centro de administração Microsoft Endpoint Manager,escolha tokens do programa de > > inscrição de macOS macOS > devices macOS .

  2. Escolha um símbolo na lista > Sincronização de Dispositivos > . Screenshot do nó de dispositivos do programa de inscrição selecionado e link Sync sendo escolhido.

    Para cumprir os termos da Apple para o tráfego aceitável do programa de matrículas, a Intune impõe as seguintes restrições:

    • As sincronizações completas não podem ser executadas mais do que uma vez a cada sete dias. Durante uma sincronização completa, o Intune obtém a lista atualizada completa de números de série atribuídos ao servidor de MDM da Apple ligado ao Intune. Depois de um dispositivo do Programa de Inscrição ser eliminado do portal Intune sem ser atribuído ao servidor MD da Apple no portal da Apple, este não será re importado para o Intune até que a sincronização total seja executada.
    • Se um dispositivo for libertado da ABM/ASM, pode demorar até 45 dias para que seja automaticamente eliminado da página de dispositivos no Intune. Pode eliminar manualmente os dispositivos libertados do Intune, um a um, se necessário. Os dispositivos libertados serão comunicados com precisão como sendo removidos da ABM/ASM em Intune até que sejam automaticamente eliminados dentro de 30-45 dias.
    • É executa automaticamente uma sincronização a cada 24 horas. Também pode sincronizar ao clicar no botão Sincronizar (não mais do que uma vez a cada 15 minutos). Todos os pedidos de sincronização têm 15 minutos para serem concluídos. O botão Sincronizar está desativado até a sincronização ser concluída. Esta sincronização irá atualizar o estado do dispositivo existente e importar novos dispositivos atribuídos ao servidor de MDM da Apple.

Atribuir um perfil de inscrição a dispositivos

Tem de atribuir um perfil do programa de inscrição aos dispositivos para poder inscrevê-los.

  1. No centro de administração Microsoft Endpoint Manager, escolha dispositivos > macOS > macOS > Inscrição No programa de inscrição > escolha um símbolo na lista.
  2. Escolha Dispositivos > escolha dispositivos na lista > Atribuir perfil.
  3. Em Atribuir perfil, escolha um perfil para os dispositivos > Atribuir.

Atribuir um perfil predefinido

Pode escolher um perfil padrão de macOS e iOS/iPadOS para ser aplicado a todos os dispositivos que se inscrevam com um token específico.

  1. No centro de administração Microsoft Endpoint Manager, escolha dispositivos > macOS > macOS > Inscrição No programa de inscrição > escolha um símbolo na lista.
  2. Escolha Definir o Perfil Predefinido, escolha um perfil na lista pendente e, em seguida, escolha Guardar. Este perfil será aplicado a todos os dispositivos inscritos com o token.

Distribuir dispositivos

Ativou a gestão e a sincronização entre a Apple e o Intune e atribuiu um perfil para permitir a inscrição dos dispositivos. Agora pode distribuir os dispositivos aos utilizadores. Os dispositivos com afinidade do utilizador necessitam que seja atribuída uma licença do Intune a cada utilizador. Os dispositivos sem afinidade do utilizador necessitam de uma licença de dispositivo.

Os dispositivos registados na ABM/ASM e atribuídos a um perfil no Intune podem ser matriculados:

  • Durante a configuração, o Assistente para novos dispositivos ou dispositivos limpos.
  • Após a configuração, o Assistente utilizando o comando de perfis.

Inscreva o seu dispositivo macOS registado em ABM/ASM com inscrição de dispositivo automatizado durante o Assistente de Configuração

Os dispositivos configurados em ABM/ASM inscrever-se-ão automaticamente na gestão com o Intune durante o Assistente de Configuração com uma solicitação de Gestão Remota.

Nota

Se o dispositivo foi atribuído a um perfil de inscrição de macOS com afinidade do utilizador, deve iniciar sessão no Portal da Empresa de registo AD Azure e Acesso Condicional.

Inscreva o seu dispositivo macOS registado em ABM/ASM com inscrição de dispositivo automatizado após assistente de configuração

Para os dispositivos macOS 10.13 e posteriores, pode seguir estes passos para se inscrever.

  1. No Apple Business Manager ou no portal Apple School Manager, importe o dispositivo.
  2. No centro de administração Microsoft Endpoint Manager, certifique-se de que o dispositivo é atribuído um perfil de inscrição de macOS com ou sem afinidade do utilizador.
  3. Inicie sessão no dispositivo como conta de administrador local.
  4. Para desencadear a inscrição, na página inicial, abra o Terminal e execute o seguinte comando: perfis de sudo renovam inscrição tipo
  5. Introduza a palavra-passe do seu dispositivo para a conta de administrador local.
  6. Na janela de inscrição do Dispositivo, escolha Detalhes.
  7. Na janela de preferências do Sistema, escolha Perfis.
  8. Siga as indicações que irão descarregar o perfil de gestão, certs e políticas da Intune. Pode ver os perfis do dispositivo a qualquer momento indo para perfis de preferências > do sistema.
  9. Se o dispositivo foi atribuído a um perfil de inscrição de macOS com afinidade do utilizador, deve iniciar sessão no Portal da Empresa de registo AD Azure e Acesso Condicional.

Renovar um token ADE

  1. Vá a business.apple.com e inscreva-se com uma conta que tem o papel de Administrador ou Gestor de Inscrição de Dispositivos.

  2. Escolha Definições > em Servidores MDM escolha o seu servidor MDM associado ao ficheiro token que pretende renovar > Download Token.

    Screenshot de Download Token.

  3. Escolha o download do token do servidor.

  4. No centro de administração Microsoft Endpoint Manager, escolha o programa de > inscrição da Apple > no dispositivo > escolha o símbolo. Captura de ecrã a mostrar tokens de programas de inscrição.

  5. Selecione Renovar token e introduza o ID Apple utilizado para criar o token original.
    Captura de ecrã a mostrar a criação do novo token.

  6. Carregue o token transferido recentemente.

  7. Selecione Renovar token. Verá a confirmação de que o token foi renovado. Captura de ecrã a mostrar a confirmação.

Passos seguintes

Depois de inscrever dispositivos macOS, pode começar a geri-los.