Utilize scripts de conchas em dispositivos macOS em Intune
Utilize scripts de conchas para alargar as capacidades de gestão do dispositivo no Intune, para além do suportado pelo sistema operativo macOS.
Nota
Rosetta 2 é obrigado a executar a versão x64 (Intel) de aplicações em Apple Silicon Macs. Para instalar Rosetta 2 em Macs Apple Silicon automaticamente, pode implementar um script de concha em Endpoint Manager. Para ver um script de amostra, consulte Rosetta Script de Instalação 2.
Pré-requisitos
Certifique-se de que os seguintes pré-requisitos são cumpridos ao compor scripts de conchas e atribuí-los a dispositivos macOS.
- Os dispositivos estão a executar o macOS 10.13 ou mais tarde.
- Os dispositivos são geridos pela Intune.
- Os scripts de concha começam
#!e devem estar num local válido, como ou#!/bin/sh#!/usr/bin/env zsh. - Intérpretes de linha de comando para os reservatórios aplicáveis são instalados.
Considerações importantes antes de usar scripts de concha
- Os scripts da Shell requerem que o agente de gestão Microsoft Intune seja instalado com sucesso no dispositivo macOS. Para mais informações, consulte Microsoft Intune agente de gestão para o macOS.
- Os scripts de concha são executados em paralelo em dispositivos como processos separados.
- Os scripts de shell que são executados como o utilizador inscrito serão executados para todas as contas de utilizador atualmente inscritas no dispositivo no momento da execução.
- É necessário que um utilizador final entre no dispositivo para executar scripts em execução como utilizador inscrito.
- Os privilégios do utilizador raiz são necessários se o script exigir fazer alterações que uma conta de utilizador padrão não pode.
- Os scripts de concha tentarão ser executados com mais frequência do que a frequência de script escolhida para determinadas condições, como se o disco estiver cheio, se o local de armazenamento for adulterado, se a cache local for eliminada, ou se o dispositivo Mac for reiniciado.
Criar e atribuir uma política de script de concha
Inscreva-se no Centro de Administração Microsoft Endpoint Manager.
Selecione dispositivos > macOS > Scripts > Add.
Em Basics, insira as seguintes propriedades e selecione Seguinte:
- Nome: Introduza um nome para o script da concha.
- Descrição: Introduza uma descrição para o script da concha. Esta definição é opcional, mas recomendada.
Nas definições do Script, insira as seguintes propriedades e selecione Seguinte:
- Upload script: Navegue para o script da concha. O ficheiro do script deve ter menos de 200 KB de tamanho.
- Executar o script como utilizador inscrito: Selecione Sim para executar o script com as credenciais do utilizador no dispositivo. Escolha Não (predefinição) para executar o script como utilizador de raiz.
- Ocultar notificações de scripts em dispositivos: Por predefinição, são apresentadas notificações de scripts para cada script que é executado. Os utilizadores finais vêem que uma TI está a configurar a notificação do seu computador a partir do Intune em dispositivos macOS.
- Frequência do script: Selecione a frequência com que o script será executado. Escolha Não configurado (predefinido) para executar um script apenas uma vez.
- Número máximo de vezes para tentar novamente se o script falhar: Selecione quantas vezes o script deve ser executado se devolver um código de saída não zero (zero significa sucesso). Escolha Não configurado (predefinição) para não voltar a tentar quando um script falha.
Nas etiquetas Scope, adicione opcionalmente etiquetas de âmbito para o script e selecione Next. Pode utilizar etiquetas de âmbito para determinar quem pode ver scripts no Intune. Para obter informações completas sobre etiquetas de âmbito, consulte use o controlo de acesso baseado em funções e etiquetas de âmbito para TI distribuídos.
Selecione Atribuições > Selecione grupos para incluir. É apresentada uma lista existente de grupos AD Azure. Selecione um ou mais grupos de utilizador ou dispositivo que devem receber o script. Escolha Selecionar. Os grupos que escolher são mostrados na lista e receberão a sua política de scripts.
Nota
- Os scripts de concha atribuídos a grupos de utilizadores aplicam-se a qualquer utilizador que faça login no Mac.
- A atualização de atribuições para scripts de concha também atualiza atribuições para Microsoft Intune agente MDM para o macOS.
Em Comentário + adicionar, é mostrado um resumo das definições configuradas. Selecione Adicionar para guardar o script. Quando selecionar Adicionar, a política de scripts é implementada para os grupos que escolheu.
O script que criou agora aparece na lista de scripts.
Monitorize uma política de script de concha
Pode monitorizar o estado de execução de todos os scripts atribuídos para utilizadores e dispositivos, escolhendo um dos seguintes relatórios:
- Scripts > selecione o script para monitorizar > Estado do dispositivo
- Scripts > selecione o script para monitorizar > Estado do utilizador
Importante
Independentemente da frequência de Script selecionada, o estado de execução do script é relatado apenas na primeira vez que um script é executado. O estado de execução do script não é atualizado nas execuções subsequentes. No entanto, os scripts atualizados são tratados como novos scripts e reportarão novamente o estado de execução.
Uma vez que um script é executado, ele devolve um dos seguintes statuss:
- Um estado de execução do script de Failed indica que o script devolveu um código de saída não-zero ou o script está mal formado.
- Um estado de execução do script de Sucesso indicou que o script devolveu zero como código de saída.
Resolução de problemas políticas de script de concha macOS usando a coleção de registos
Pode recolher registos de dispositivos para ajudar a resolver problemas de scripts em dispositivos macOS.
Requisitos para recolha de registos
São necessários os seguintes itens para recolher registos num dispositivo macOS:
- Tem de especificar o caminho completo do ficheiro de registo absoluto.
- Os caminhos de arquivo devem ser separados usando apenas um ponto e vírgula (;).
- O tamanho máximo de recolha de registos para carregar é de 60 MB (comprimido) ou 25 ficheiros, o que ocorre primeiro.
- Os tipos de ficheiros que são permitidos para a recolha de registos incluem as seguintes extensões: .log, .zip, .gz, .tar, .txt, .xml, .crash, .rtf
Recolher registos de dispositivos
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
No estado do dispositivo ou no relatório do estado do utilizador, selecione um dispositivo.
Selecione Recolher registos, forneça caminhos de pasta de ficheiros de registo separados apenas por um ponto e vírgula (;) sem espaços ou novidades entre caminhos.
Por exemplo, vários caminhos devem ser escritos como/Path/to/logfile1.zip;/Path/to/logfile2.log.Importante
Vários caminhos de ficheiro de log separados usando vírgula, período, marcas de linha nova ou de aspas com ou sem espaços resultarão em erro de recolha de registos. Os espaços também não são permitidos como separadores entre caminhos.
Selecione OK. Os registos são recolhidos da próxima vez que o agente de gestão Intune no dispositivo iniciar o check-in com o Intune. Este check-in ocorre geralmente a cada 8 horas.
Nota
- Os registos recolhidos são encriptados no dispositivo, transmitidos e armazenados em Microsoft Azure armazenamento durante 30 dias. Os registos armazenados são desencriptados a pedido e descarregados usando Microsoft Endpoint Manager centro de administração.
- Para além dos registos especificados para administração, os registos do agente de gestão Intune são também recolhidos a partir destas pastas:
/Library/Logs/Microsoft/Intunee~/Library/Logs/Microsoft/Intune. Os nomes dos ficheiros de registo do agente sãoIntuneMDMDaemon date--time.logeIntuneMDMAgent date--time.log. - Se algum ficheiro especificado por administração estiver em falta ou tiver a extensão do ficheiro errada, encontrará estes nomes de ficheiros listados em
LogCollectionInfo.txt.
Erros de recolha de registos
A recolha de registos pode não ser bem sucedida devido a nenhuma das seguintes razões apresentadas na tabela abaixo. Para resolver estes erros, siga os passos de reparação.
| Código de erro (hexá) | Código de erro (dez) | Mensagem de erro | Passos de remediação |
|---|---|---|---|
| 0X87D300D1 | 2016214834 | O tamanho do ficheiro de registo não pode exceder 60 MB. | Certifique-se de que os troncos comprimidos têm menos de 60 MB de tamanho. |
| 0X87D300D1 | 2016214831 | O caminho do ficheiro de registo fornecido deve existir. A pasta do utilizador do sistema é uma localização inválida para ficheiros de registo. | Certifique-se de que a trajetória de ficheiro fornecida é válida e acessível. |
| 0X87D300D2 | 2016214830 | O upload do ficheiro de recolha de registos falhou devido à expiração do URL de upload. | Re-tentar a ação de registos de recolha. |
| 0X87D300D3, 0X87D300D5, 0X87D300D7 | 2016214829, 2016214827, 2016214825 | O upload do ficheiro de recolha de registos falhou devido a falha de encriptação. Retry log upload. | Re-tentar a ação de registos de recolha. |
| 2016214828 | O número de ficheiros de registo excedeu o limite permitido de 25 ficheiros. | Apenas até 25 ficheiros de registo podem ser recolhidos de cada vez. | |
| 0X87D300D6 | 2016214826 | O upload do ficheiro de recolha de registos falhou devido a um erro de zíper. Retry log upload. | Re-tentar a ação de registos de recolha. |
| 2016214740 | Os registos não podiam ser encriptados, uma vez que não foram encontrados registos comprimidos. | Re-tentar a ação de registos de recolha. | |
| 2016214739 | Os registos foram recolhidos, mas não puderam ser guardados. | Re-tentar a ação de registos de recolha. |
Atributos personalizados para macOS
Pode criar perfis de atributos personalizados que lhe permitem recolher propriedades personalizadas a partir de dispositivos geridos para macOS usando scripts de concha.
Criar e atribuir um atributo personalizado para dispositivos macOS
Inscreva-se no Centro de Administração Microsoft Endpoint Manager.
Selecione dispositivos > macOS > Atributos personalizados > Adicionar.
Em Basics, insira as seguintes propriedades e selecione Seguinte:
- Nome: Introduza um nome para o guião.
- Descrição: Introduza uma descrição para o guião. Esta definição é opcional, mas recomendada.
Nas definições de Atributos, insira as seguintes propriedades e selecione Seguinte:
- Tipo de atributo de dados: Selecione o tipo de dados do resultado que o script devolve. Os valores disponíveis são String, Inteiro, e Data.
- Script: Selecione um ficheiro de script.
Detalhes adicionais:
- O script da concha deve ecoar o atributo a ser reportado e o tipo de dados da saída deve corresponder ao tipo de atributo no perfil de atributo personalizado.
- O resultado devolvido pelo script da concha deve ser de 20KB ou menos.
Nota
Ao utilizar
Dateatributos de tipo, certifique-se de que o script da concha retorna as datas no formato ISO-8601. Veja os exemplos abaixo.Para imprimir uma data compatível com ISO-8601 com fuso horário:
#!/bin/sh var=$(date +"%Y-%m-%dT%H:%M:%S%z") echo $var # Prints an ISO-8601 compliant date with time-zonePara imprimir uma data compatível com a ISO-8601 na hora UTC:
#!/bin/sh var=$(date -u +"%Y-%m-%dT%H:%M:%SZ") echo $var # Prints an ISO-8601 compliant date in UTC timeEm Atribuições, clique em Selecionar grupos para incluir. Quando escolhe Selecionar grupos para incluir uma lista existente de grupos AD Azure é mostrado. Selecione um ou mais grupos de utilizador ou dispositivo que devem receber o script. Escolha Selecionar. Os grupos que escolher são mostrados na lista e receberão a sua política de scripts. Alternativamente, pode optar por selecionar Todos os utilizadores, Todos os dispositivos ou todos os utilizadores e todos os dispositivos, selecionando uma destas opções na caixa de entrega ao lado de Atribuição a.
Nota
- Os scripts atribuídos a grupos de utilizadores aplicam-se a qualquer utilizador que faça login no Mac.
Em Comentário + adicionar, é mostrado um resumo das definições configuradas. Selecione Adicionar para guardar o script. Quando selecionar Adicionar, a política de scripts é implementada para os grupos que escolheu.
O script que criou agora aparece na lista de atributos personalizados.
Monitorize uma política de atributos personalizados
Pode monitorizar o estado de funcionamento de todos os perfis de atributos personalizados atribuídos para utilizadores e dispositivos, escolhendo um dos seguintes relatórios:
- Atributos personalizados > selecione o perfil de atributo personalizado para monitorizar > Estado do dispositivo
- Atributos personalizados > selecione o perfil de atributo personalizado para monitorizar > Estado do utilizador
Importante
Os scripts de concha fornecidos em perfis de atributos personalizados são executados a cada 8 horas em Macs geridos e reportados.
Uma vez executado um perfil de atributo personalizado, devolve um dos seguintes status:
- Um estado de Falha indica que o script devolveu um código de saída não zero ou o script está mal formado. O erro é relatado na coluna Resultado.
- Como estado de sucesso indica que o script devolveu zero como código de saída. A saída ecoada pelo script é relatada na coluna Resultado.
Perguntas mais frequentes
Por que razão os scripts de concha atribuídos não estão a funcionar no dispositivo?
Pode haver várias razões:
- O agente pode precisar de fazer o check-in para receber scripts novos ou atualizados. Este processo de check-in ocorre a cada 8 horas e é diferente do check-in DOM. Certifique-se de que o dispositivo está acordado e ligado a uma rede para um agente de sucesso e aguarde que o agente faça o check-in. Também pode solicitar ao utilizador final que abra Portal da Empresa no Mac, selecione o dispositivo e clique em Verificar as definições.
- O agente não pode ser instalado. Verifique se o agente está instalado
/Library/Intune/Microsoft Intune Agent.appno dispositivo macOS. - O agente pode não estar num estado saudável. O agente tentará recuperar durante 24 horas, remover-se-á e reinstalar-se-á se os scripts da concha ainda estiverem atribuídos.
Com que frequência é reportado o estado da execução do script?
O estado da execução do script é reportado à Microsoft Endpoint Manager Admin Console assim que o script é executado. Se um script for programado para ser executado periodicamente numa frequência definida, apenas reporta o estado da primeira vez que executa.
Quando é que os scripts das conchas voltam a ser executados?
Um script é executado novamente apenas quando o número Max de vezes para tentar se a definição de script falhar é configurado e o script falha em execução. Se o número max de vezes para tentar novamente se o script falhar não estiver configurado e um script falhar, não será executado novamente e o estado de execução será reportado como falhado.
Quais as permissões de funções intune necessárias para scripts de conchas?
A sua função de intune atribuída requer permissões de configurações do Dispositivo para eliminar, atribuir, criar, atualizar ou ler scripts de concha.
Microsoft Intune agente de gestão para o macOS
Por que o agente é necessário?
O Microsoft Intune agente de gestão é necessário para ser instalado em dispositivos geridos para macOS de forma a permitir capacidades avançadas de gestão de dispositivos que não sejam suportadas pelo sistema operativo macOS nativo.
Como é instalado o agente?
O agente é instalado automaticamente e silenciosamente em dispositivos macOS geridos pelo Intune a que atribui pelo menos um script de concha no Microsoft Endpoint Manager Admin Center. O agente é instalado /Library/Intune/Microsoft Intune Agent.app quando aplicável e não aparece em Aplicações Finder em > dispositivos macOS. O agente aparece como IntuneMdmAgent no Activity Monitor quando está a correr em dispositivos macOS.
O que faz o agente?
- O agente autentica silenciosamente os serviços Intune antes de fazer o check-in para receber scripts de concha atribuídos para o dispositivo macOS.
- O agente recebe scripts de concha atribuídos e executa os scripts com base na programação configurada, tentativas de repetição, definições de notificação e outras definições definidas pela administração.
- O agente verifica scripts novos ou atualizados com os serviços Intune geralmente a cada 8 horas. Este processo de check-in é independente do check-in do MDM.
Como posso iniciar manualmente um check-in de um agente de um Mac?
Num Mac gerido que tenha o agente instalado, abra Portal da Empresa, selecione o dispositivo local, clique nas definições de Verificação. Isto inicia um check-in MDM, bem como um check-in de agente.
Em alternativa, abra o Terminal, executar o sudo killall IntuneMdmAgent comando para terminar o IntuneMdmAgent processo. O IntuneMdmAgent processo recomeçará imediatamente, o que iniciará um check-in com o Intune.
Nota
A ação Sync para dispositivos em Microsoft Endpoint Manager Admin Console inicia um check-in MDM e não obriga um agente a fazer check-in.
Quando é que o agente é removido?
Existem várias condições que podem fazer com que o agente seja removido do dispositivo, tais como:
- Os scripts da concha já não são atribuídos ao dispositivo.
- O dispositivo macOS já não é gerido.
- O agente encontra-se em estado irrecuperável durante mais de 24 horas (tempo de despertar do dispositivo).
Porque é que os scripts estão a funcionar mesmo que o Mac já não seja gerido?
Quando um Mac com scripts atribuídos já não é gerido, o agente não é removido imediatamente. O agente deteta que o Mac não é gerido no próximo agente de check-in (geralmente a cada 8 horas) e cancela script-runs programados. Assim, quaisquer scripts armazenados localmente programados para executar mais freqüentemente do que o próximo agente programado check-in será executado. Quando o agente não consegue fazer o check-in, faz o check-in durante 24 horas (hora do dispositivo de despertar) e depois retira-se do Mac.
Como desativar os dados de utilização enviados à Microsoft para scripts de conchas?
Para desativar os dados de utilização enviados para a Microsoft a partir do agente de gestão Intune, abra Portal da Empresa e selecione As Preferências do Menu > desativá-los > "permitem à Microsoft recolher dados de utilização". Isto irá desligar os dados de utilização enviados tanto para o agente como para Portal da Empresa.
Problemas conhecidos
- Sem estado de execução do script: No caso improvável de um script ser recebido no dispositivo e o dispositivo ficar offline antes de o estado de execução ser reportado, o dispositivo não reportará o estado de execução do script na consola de administração.
Informações adicionais
Quando implementa scripts de shell ou atributos personalizados para dispositivos macOS a partir de Microsoft Endpoint Manager, implementa a nova versão universal da aplicação de agente de gestão Intune que funciona de forma nativa nas máquinas Apple Silicon Mac. A mesma implementação irá instalar a versão x64 da aplicação nas máquinas Intel Mac. Rosetta 2 é obrigado a executar a versão x64 (Intel) de aplicações em Apple Silicon Macs. Para instalar Rosetta 2 em Macs Apple Silicon automaticamente, pode implementar um script de concha em Endpoint Manager. Para ver um script de amostra, consulte Rosetta Script de Instalação 2.