Partilhar via

Definições de funcionalidade de dispositivo macOS em Intune

  • Artigo

O Intune inclui configurações incorporadas para personalizar funcionalidades nos seus dispositivos macOS. Por exemplo, os administradores podem adicionar impressoras AirPrint, escolher como os utilizadores se inscrevem, configurar os controlos de potência, usar a autenticação de um único sinal e muito mais.

Utilize estas funcionalidades para controlar dispositivos macOS como parte da solução de gestão de dispositivos móveis (MDM).

Este artigo descreve estas definições. Também lista os passos para obter o endereço IP, caminho e porta das impressoras AirPrint usando a aplicação Terminal (emulador). Para obter mais informações sobre as funcionalidades do dispositivo, aceda às definições de funcionalidades do dispositivo iOS/iPadOS ou macOS.

Nota

A interface do utilizador pode não corresponder aos tipos de inscrição neste artigo. A informação neste artigo está correta. A interface do utilizador está a ser atualizada numa próxima versão.

Antes de começar

Crie um perfil de configuração de dispositivos macOS.

Nota

Estas definições aplicam-se a diferentes tipos de matrículas, com algumas configurações aplicáveis a todas as opções de inscrição. Para obter mais informações sobre os diferentes tipos de matrículas, consulte a inscrição no macOS.

AirPrint

Definições se aplicam a: Todos os tipos de inscrição

  • Destinos AirPrint: Adicione uma ou mais impressoras AirPrint que os utilizadores podem imprimir a partir dos seus dispositivos. Introduza também:

    • Porta (iOS 11.0+, iPadOS 13.0+): Entre na porta de escuta do destino AirPrint. Se deixar esta propriedade em branco, a AirPrint utiliza a porta predefinido.
    • Endereço IP: Introduza o endereço IPv4 ou IPv6 da impressora. Por exemplo, introduza 10.0.0.1. Se utilizar nomes de anfitriões para identificar impressoras, pode obter o endereço IP através da impressora na aplicação Terminal. Obtenha o endereço IP e o caminho (neste artigo) tem mais detalhes.
    • Caminho: Introduza o caminho de recurso da impressora. O caminho é normalmente ipp/print para impressoras na sua rede. Obtenha o endereço IP e o caminho (neste artigo) tem mais detalhes.
    • TLS (iOS 11.0+, iPadOS 13.0+): As suas opções:
      • Não (predefinição): A Segurança da Camada de Transporte (TLS) não é aplicada quando se liga às impressoras AirPrint.
      • Sim: Fixa as ligações AirPrint com segurança da camada de transporte (TLS).

  • Importe um ficheiro separado de vírgula (.csv) que inclua uma lista de impressoras AirPrint. Além disso, depois de adicionar impressoras AirPrint no Intune, pode exportar esta lista.

Obtenha o endereço IP e o caminho

Para adicionar servidores AirPrinter, precisa do endereço IP da impressora, do caminho do recurso e da porta. Os passos seguintes mostram-lhe como obter esta informação.

  1. Num Mac que está ligado à mesma rede local (sub-rede) que as impressoras AirPrint, abra o Terminal (de /Aplicações/Utilitários).

  2. Na aplicação Terminal, ippfind escreva e selecione insira.

    Note a informação da impressora. Por exemplo, pode devolver algo semelhante a ipp://myprinter.local.:631/ipp/port1 . A primeira parte é o nome da impressora. A última parte ipp/port1 é o caminho dos recursos.

  3. No Terminal, ping myprinter.local escreva e selecione entrar.

    Note o endereço IP. Por exemplo, pode devolver algo semelhante a PING myprinter.local (10.50.25.21) .

  4. Utilize os valores do endereço IP e do caminho dos recursos. Neste exemplo, o endereço IP é 10.50.25.21 , e o caminho do recurso é /ipp/port1 .

Domínios associados

Em Intune, pode:

  • Adicione muitas associações de apps-a-domínio.
  • Associe muitos domínios à mesma aplicação.

Esta definição aplica-se a:

  • macOS 10.15 e mais recente

Definições aplicam-se a: Inscrição de dispositivo aprovado pelo utilizador e inscrição de dispositivo automatizado

Estas definições utilizam a carga útilAssociatedDomains.ConfigurationItem (abre o web site da Apple).

  • Domínios associados: Adicione uma associação entre o seu domínio e uma aplicação. Esta funcionalidade partilha o sinal de credenciais entre uma app Contoso e um website Contoso. Introduza também:

    • ID da aplicação: Introduza o identificador de aplicações da aplicação para associar a um website. O identificador da aplicação inclui o ID da equipa e um iD do pacote: TeamID.BundleID .

      O ID da equipa é uma cadeia alfanumérica de 10 caracteres (letras e números) gerada pela Apple para os seus desenvolvedores de aplicações, tais como ABCDE12345 . Localize o seu ID   de equipa (abre o site da Apple) tem mais informações.

      O iD do pacote identifica exclusivamente a aplicação, e normalmente é formatado na notação de nome de domínio invertido. Por exemplo, o pacote ID de Finder é com.apple.finder . Para encontrar o iD do pacote, utilize o AppleScript no Terminal:

      osascript -e 'id of app "ExampleApp"'

    • Domínios: Introduza o domínio do site para associar-se a uma aplicação. O domínio inclui um tipo de serviço e um nome de hospedeiro totalmente qualificado, tais como webcredentials:www.contoso.com .

      Pode combinar todos os subdomínios de um domínio associado introduzindo *. (um wildcard asterisco e um período) antes do início do domínio. O período é necessário. Os domínios exatos têm uma prioridade maior do que os domínios wildcard. Assim, os padrões dos domínios dos pais são combinados se uma correspondência não for encontrada no subdomínio totalmente qualificado.

      O tipo de serviço pode ser:

      • authsrv: Extensão única da aplicação de inscrição
      • applink: Ligação universal
      • webcredentials: Preenchimento automático de palavras-passe

    • Ativar o download direto: Sim, descarrega os dados de domínio diretamente do dispositivo, em vez de passar pela rede de entrega de conteúdos da Apple (CDN). Quando definido para Não configurado, o Intune não altera nem atualiza esta definição. Por padrão, o SISTEMA poderá descarregar dados através do CDN da Apple dedicado aos Domínios Associados.

      Esta definição aplica-se a:

      • macOS 11 e mais recente

Dica

Para resolver problemas, no seu dispositivo macOS, abra os perfis de preferências do sistema > . Confirme que o perfil criado está na lista de perfis do dispositivo. Se estiver listado, certifique-se de que a Configuração de Domínios Associados está no perfil, e inclui o ID e domínios de aplicação corretos.

Caching de conteúdo

O conteúdo guarda uma cópia local do conteúdo. Estas informações podem ser recuperadas por outros dispositivos da Apple sem se ligarem à Internet. Este caching acelera os downloads guardando atualizações de software, apps, fotos e outros conteúdos da primeira vez que são descarregados. Uma vez que as aplicações são descarregadas uma vez e partilhadas para outros dispositivos, escolas e organização com muitos dispositivos salvam largura de banda.

Nota

Utilize apenas um perfil para estas definições. Se atribuir vários perfis com estas definições, ocorre um erro.

Para obter mais informações sobre a monitorização do caching de conteúdos, consulte ver registos e estatísticas de caching de conteúdos (abre o site da Apple).

Esta definição aplica-se a:

  • macOS 10.13.4 e mais recente

Definições se aplicam a: Todos os tipos de inscrição

Para obter mais informações sobre estas definições, consulte as definições de carga Colocação em Cache de conteúdo (abre o web site da Apple).

Ativar o caching de conteúdo: Sim liga-se ao caching de conteúdo e os utilizadores não podem desativá-lo. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o sistema operativo pode desligá-lo.

  • Tipo de conteúdo para cache: As suas opções:

    • Todos os conteúdos: Caches iCloud conteúdo e conteúdo partilhado.
    • Apenas conteúdo do utilizador: Caches o conteúdo do iCloud do utilizador, incluindo fotos e documentos.
    • Apenas conteúdo partilhado: Caches apps e atualizações de software.

  • Tamanho máximo da cache: Introduza a quantidade máxima de espaço em disco (em bytes) que é usada para cache conteúdo. Quando deixada em branco (predefinição), o Intune não altera nem atualiza esta definição. Por predefinição, o SO pode definir este valor para zero ( 0 ) bytes, o que dá espaço ilimitado em disco à cache.

    Certifique-se de que não excede o espaço disponível nos dispositivos. Para obter mais informações sobre a capacidade de armazenamento do dispositivo, consulte como iOS e macOS reportam capacidade de armazenamento (abre o site da Apple).

  • Localização da cache: Introduza o caminho para armazenar o conteúdo em cache. A localização predefinida é /Library/Application Support/Apple/AssetCache/Data . Recomenda-se que não mude este local.

    Se alterar esta definição, o seu conteúdo em cache não será transferido para o novo local. Para movê-lo automaticamente, os utilizadores precisam de alterar a localização do dispositivo (Colocação em Cache de partilha de preferências do > > sistema).

  • Porta: Introduza o número da porta TCP em dispositivos para que o cache aceite pedidos de descarregamento e upload, a partir de 0-65535. Introduza zero ( 0 ) (predefinido) para utilizar qualquer porta disponível.

  • Bloquear a ligação à Internet e a partilha de conteúdos em cache : Também conhecido como cache amarrado. Sim impede a partilha de ligações à Internet e impede a partilha de conteúdo em cache com dispositivos iOS/iPadOS ligados ao seu Mac. Os utilizadores não podem ativar esta funcionalidade. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição.

  • Ativar a partilha de ligações à Internet: Também conhecido como caching amarrado. Sim permite a partilha de ligações à Internet e permite a partilha de conteúdo em cache com dispositivos iOS/iPadOS ligados ao seu Mac. Os utilizadores não podem desativar esta funcionalidade. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o sistema operativo pode desligá-lo.

    Esta definição aplica-se a:

    • macOS 10.15.4 e mais recente

  • Ativar cache para registar os dados do cliente : Sim regista o endereço IP e o número de porta dos dispositivos que solicitam o conteúdo.Se estiver a resolver problemas com o dispositivo, este ficheiro de registo pode ajudar. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode não registar esta informação.

  • Mantenha sempre o conteúdo fora da cache, mesmo quando o sistema necessita de espaço em disco para outras aplicações: Sim mantém o conteúdo da cache, e garante que nada é apagado, mesmo quando o espaço do disco é baixo. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode expurgar o conteúdo da cache automaticamente quando necessita de espaço de armazenamento para outras aplicações.

    Esta definição aplica-se a:

    • macOS 10.15 e mais recente

  • Mostrar alertas de estado: Sim mostra como alertas como notificações do sistema. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode não mostrar estes alertas como notificações do sistema.

    Esta definição aplica-se a:

    • macOS 10.15 e mais recente

  • Evite que o aparelho durma enquanto o caching está ligado: Sim, evita que o computador durma quando estiver ligado. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o sistema operativo pode permitir que o dispositivo durma.

    Esta definição aplica-se a:

    • macOS 10.15 e mais recente

  • Dispositivos para cache: Escolha os dispositivos que podem cache conteúdo. As opções são:

    • Não configurado (predefinição): Intune não altera ou atualiza esta definição.
    • Dispositivos que utilizam a mesma rede local: A cache de conteúdo oferece conteúdo a dispositivos na mesma rede local imediata. Não é oferecido conteúdo a dispositivos noutras redes, incluindo dispositivos que cheguem à cache de conteúdo.
    • Dispositivos que utilizam o mesmo endereço IP público: A cache de conteúdo oferece conteúdo a dispositivos que utilizam o mesmo endereço IP público. Não é oferecido conteúdo a dispositivos noutras redes, incluindo dispositivos que cheguem à cache de conteúdo.
    • Dispositivos que utilizam redes locais personalizadas: A cache de conteúdo fornece conteúdo aos dispositivos nas gamas IP que introduz.
      • Intervalos de escuta do cliente: Introduza o leque de endereços IP que podem receber a cache de conteúdo.
    • Dispositivos que utilizam redes locais personalizadas com recuo: A cache de conteúdo fornece conteúdo aos dispositivos nas gamas de escuta, gamas de escutas por pares e endereços IP dos pais.
      • Intervalos de escuta do cliente: Introduza o leque de endereços IP que podem receber a cache de conteúdo.

  • Endereços IP públicos personalizados: Introduza uma série de endereços IP públicos. Os servidores em nuvem utilizam esta gama para combinar dispositivos do cliente com caches.

  • Partilhar conteúdo com outras caches: Quando a sua rede tiver mais de uma cache de conteúdo, as caches de conteúdo noutros dispositivos tornam-se automaticamente pares. Estes dispositivos podem consultar e partilhar software em cache.

    Quando um item solicitado não está disponível numa cache de conteúdo, verifica os seus pares para o item. Se o item estiver disponível, é descarregado a partir da cache de conteúdo no dispositivo por pares. Se ainda não estiver disponível, o cache de conteúdo descarrega o item a partir de:

    • Um endereço IP dos pais, se houver configurados

      OU,

    • Da Apple através da Internet

    Quando há mais de uma cache de conteúdo disponível, os dispositivos selecionam automaticamente a cache de conteúdo certo.

    As opções são:

    • Não configurado (predefinição): Intune não altera ou atualiza esta definição.

    • Caches de conteúdo usando as mesmas redes locais: Cache de conteúdo apenas pares com outras caches de conteúdo na mesma rede local imediata.

    • Caches de conteúdo usando o mesmo endereço IP público: Cache de conteúdo apenas pares com outras caches de conteúdo no mesmo endereço IP público.

    • Caches de conteúdo usando redes locais personalizadas: Cache de conteúdo apenas pares com outras caches de conteúdo no intervalo de escuta do endereço IP que insere:

      • Intervalos de escuta por pares: Introduza os endereços IP de início e final do IPv4 ou IPv6 para o seu intervalo. A cache de conteúdo responde apenas a pedidos de cache de pares a partir de caches de conteúdo nos intervalos de endereço IP que insere.
      • Gamas de filtros para pares: Introduza os endereços IP de início e final do IPv4 ou IPv6 para a sua gama. A cache de conteúdo filtra a sua lista de pares utilizando os intervalos de endereço IP que introduz.

  • Endereços IP dos pais: Introduza o endereço IP local de outra cache de conteúdo para adicionar como cache dos pais. O seu cache faz uploads e downloads de conteúdos para estes caches, em vez de fazer upload/download diretamente com a Apple. Adicione apenas um endereço IP dos pais uma vez.

  • Política de seleção dos pais: Quando existirem muitos caches dos pais, selecione como o endereço IP principal é escolhido. As opções são:

    • Não configurado (predefinição): Intune não altera ou atualiza esta definição.
    • Robin redondo: Utilize os endereços IP dos pais por ordem. Esta opção é boa para cenários de equilíbrio de carga.
    • Primeira disponível: Utilize sempre o primeiro endereço IP disponível na lista.
    • Hash: cria um valor de hash para a parte de caminho do URL pedido. Esta opção garante que o mesmo endereço IP dos pais é sempre utilizado para o mesmo URL.
    • Aleatório: Utilize aleatoriamente um endereço IP na lista. Esta opção é boa para cenários de equilíbrio de carga.
    • Adesivo disponível: Utilize sempre o primeiro endereço IP da lista. Se não estiver disponível, use o segundo endereço IP da lista. Continue a utilizar o segundo endereço IP até que não esteja disponível, e assim por diante.

Itens de login

Definições se aplicam a: Todos os tipos de inscrição

  • Adicione os ficheiros, pastas e aplicações personalizadas que serão lançadas no login: Adicione o caminho de um ficheiro, pasta, aplicação personalizada ou aplicação do sistema que se abre quando os utilizadores iniciarem sessão nos seus dispositivos. Introduza também:

    • Caminho do item: Introduza o caminho para o ficheiro, pasta ou app. Aplicações do sistema, ou aplicações construídas ou personalizadas para a sua organização estão tipicamente na Applications pasta, com um caminho semelhante a /Applications/AppName.app .

      Pode adicionar muitos ficheiros, pastas e aplicações. Por exemplo, introduza:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      Ao adicionar qualquer aplicação, pasta ou ficheiro, certifique-se de entrar no caminho correto. Nem todos os itens estão na Applications pasta. Se os utilizadores moverem um item de um local para outro, então o caminho muda. Este item movido não será aberto quando o utilizador entrar.

    • Ocultar: Escolha mostrar ou esconder a aplicação. As opções são:

      • Não configurado (predefinição): Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode mostrar itens na lista de itens de login do Grupo de Utilizadores & com a opção oculta não verificada.
      • Sim: Esconde a aplicação na lista de itens de login do Grupo de Utilizadores &.

Janela de login

Definições se aplicam a: Todos os tipos de inscrição

  • Mostrar informações adicionais na barra de menus: Quando a área de tempo na barra de menus for selecionada, sim mostra o nome do anfitrião e a versão macOS. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode não mostrar esta informação na barra de menu.

  • Banner: Introduza uma mensagem que seja mostrada no sinal no ecrã nos dispositivos. Por exemplo, insira as informações da sua organização, uma mensagem de boas-vindas, informações perdidas e encontradas, e assim por diante.

  • Requer nome de utilizador e password : Escolha como os utilizadores se inscrevem nos dispositivos. Sim, exige que os utilizadores introduzam um nome de utilizador e uma palavra-passe. Quando definido para Não configurado, o Intune não altera nem atualiza esta definição. Por predefinição, o SISTEMA pode exigir que os utilizadores selecionem o seu nome de utilizador a partir de uma lista e, em seguida, digitem a sua palavra-passe.

    Introduza também:

    • Ocultar os utilizadores locais: Sim esconde as contas de utilizadores locais na lista de utilizadores, que podem incluir as contas standard e administração. Apenas são apresentadas as contas de utilizador da rede e do sistema. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode mostrar as contas de utilizador locais na lista de utilizadores.
    • Ocultar contas móveis: Sim esconde contas móveis na lista de utilizadores. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode mostrar as contas móveis na lista de utilizadores. Algumas contas móveis podem aparecer como utilizadores da rede.
    • Utilizadores da rede de espetáculos : Selecione Sim para listar os utilizadores da rede na lista de utilizadores. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode não mostrar as contas de utilizador da rede na lista de utilizadores.
    • Ocultar os administradores do computador: Sim esconde as contas de utilizador do administrador na lista de utilizadores. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode mostrar as contas de utilizador do administrador na lista de utilizadores.
    • Mostrar outros utilizadores: Selecione Sim para listar Outros... utilizadores na lista de utilizadores. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode não apresentar as outras contas de utilizador na lista de utilizadores.

  • Ocultar botão desligado: Sim esconde o botão de paragem no sinal no ecrã. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode mostrar o botão de paragem.

  • Ocultar o botão de reinício: Sim esconde o botão de reinício da placa no ecrã. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode mostrar o botão de reinício.

  • Ocultar botão de sono: Sim esconde o botão de sono no sinal no ecrã. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o sistema operativo pode mostrar o botão de sono.

  • Desativar o login do utilizador a partir da Consola: Sim esconde a linha de comando macOS utilizada para iniciar sessão. Para os utilizadores típicos, defina esta definição para Sim. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que utilizadores avançados entrem na linha de comando do macOS. Para entrar no modo consola, os utilizadores entram >console no campo Username e devem autenticar-se na janela da consola.

  • Desativar desligar-se enquanto inicia sessão em: Sim, impede que os utilizadores selecionem a opção 'Desligar' depois de iniciarem sessão. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores selecionem o item do menu 'Desligar' nos dispositivos.

  • Desativar o Reinício enquanto inicia sessão: Sim, impede que os utilizadores selecionem a opção Reiniciar depois de iniciarem a sessão. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores selecionem o item do menu Restart nos dispositivos.

  • Desativar a alimentação durante o login: Sim, impede que os utilizadores selecionem a opção 'Desligar', depois de iniciarem a sessão. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores selecionem o item do menu 'Desligar' nos dispositivos.

  • Desativar o Registo enquanto inicia sessão (macOS 10.13 e posterior): Sim, impede que os utilizadores selecionem a opção 'Iniciar registos' depois de iniciarem sessão. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores selecionem o item do menu 'Registar', nos dispositivos.

  • Desativar o ecrã de bloqueio durante o login (macOS 10.13 e mais tarde): Sim, impede que os utilizadores selecionem a opção de ecrã de bloqueio depois de iniciarem sessão. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que os utilizadores selecionem o item do menu do ecrã Lock nos dispositivos.

Extensão de aplicação de inscrição única

Esta definição aplica-se a:

  • macOS 10.15 e mais recente

Definições aplicam-se a: Inscrição de dispositivo aprovado pelo utilizador e inscrição de dispositivo automatizado

  • Tipo de extensão de aplicação SSO: Escolha o tipo de extensão de aplicação SSO. As opções são:

    • Não configurados: As extensões de aplicações não são utilizadas. Para desativar uma extensão de aplicação, altere o tipo de extensão da aplicação SSO para Não configurado.

    • Microsoft Azure AD: Utiliza o plug-in Microsoft Enterprise SSO, que é uma extensão de aplicação SSO do tipo redirecionamento. Este plug-in fornece contas SSO para Ative Directory em todas as aplicações do macOS que suportam a funcionalidade Enterprise Single Sign-On da Apple. Utilize este tipo de extensão de aplicações SSO para permitir sSO em aplicações da Microsoft, aplicações de organização e websites que autenticam usando Azure AD.

      O plug-in SSO funciona como um corretor avançado de autenticação que oferece melhorias na segurança e na experiência do utilizador.

      Importante

      • A extensão SSO Microsoft Azure AD está em pré-visualização pública. Esta versão de pré-visualização é fornecida sem um contrato de nível de serviço (SLA). Não é recomendado para ser usado na produção. Certas funcionalidades podem não ser suportadas, ou podem ter um comportamento restrito. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

      • Para obter OSS com o tipo de extensão de aplicação SSO Microsoft Azure AD, instale a aplicação Portal da Empresa macOS nos dispositivos. A aplicação Portal da Empresa fornece o plug-in Microsoft Enterprise SSO aos dispositivos. As definições de extensão da aplicação MDM SSO ativam o plug-in. Depois da aplicação Portal da Empresa e do perfil de extensão da aplicação SSO serem instalados em dispositivos, os utilizadores fazem sessão com as suas credenciais e criam uma sessão nos seus dispositivos. Esta sessão é utilizada em diferentes aplicações sem que os utilizadores voltem a autenticar.

        Para obter mais informações sobre a aplicação Portal da Empresa, veja o que acontece se instalar a aplicação Portal da Empresa e inscrever o seu dispositivo macOS no Intune.

        Também pode descarregar a aplicação Portal da Empresa.

    • Redirecionamento: Utilize uma extensão de aplicação de redirecionamento genérico e personalizável para utilizar sSO com fluxos de autenticação modernos. Certifique-se de que conhece a extensão e o ID da equipa para a extensão da aplicação da sua organização.

    • Credencial: Utilize uma extensão de aplicação de credencial genérica e personalizável para utilizar sSO com fluxos de autenticação de desafio e resposta. Certifique-se de que conhece o ID de extensão e o ID da equipa para a extensão da aplicação SSO da sua organização.

    • Kerberos: Use a extensão Kerberos incorporada da Apple, que está incluída no macOS Catalina 10.15 e mais recente. Esta opção é uma versão específica de Kerberos da extensão da aplicação Credencial.

    Dica

    Com os tipos de Redirecionamento e Credencial, adiciona os seus próprios valores de configuração para passar através da extensão. Se estiver a utilizar o Credencial, considere utilizar as definições de configuração incorporadas fornecidas pela Apple no tipo Kerberos.

  • ID de extensão (Redirecionamento, Credencial): Introduza o identificador de pacotes que identifica a extensão da sua aplicação SSO, tal como com.apple.ssoexample .

  • ID da equipa (Redirecionamento, Credencial): Introduza o identificador de equipa da extensão da sua aplicação SSO. Um identificador de equipa é uma cadeia alfanumérica de 10 caracteres (números e letras) gerada pela Apple, tal como ABCDE12345 .

    Localizar o seu Team ID (abre o site da Apple) tem mais informações.

  • Reino (Credencial, Kerberos): Introduza o nome do seu reino de autenticação. O nome do reino deve ser capitalizado, tal CONTOSO.COM como. Tipicamente, o seu nome de reino é o mesmo que o seu nome de domínio DNS, mas em todas as maiúsculas.

  • Domínios (Credencial, Kerberos): Introduza o domínio ou os nomes de anfitrião dos sites que podem autenticar através de SSO. Por exemplo, se o seu website é mysite.contoso.com , então mysite é o nome de anfitrião, e .contoso.com é o nome de domínio. Quando os utilizadores se ligam a qualquer um destes sites, a extensão da aplicação lida com o desafio de autenticação. Esta autenticação permite que os utilizadores utilizem o Face ID, Touch ID ou Apple pincode/senha para iniciar sação.

    • Todos os domínios da extensão de aplicações de inscrição única Os perfis intune devem ser únicos. Não é possível repetir um domínio em qualquer perfil de extensão de aplicações de assinatura, mesmo que esteja a utilizar diferentes tipos de extensões de aplicações SSO.
    • Estes domínios não são sensíveis a casos.
    • O domínio deve começar com um período . ().

  • URLs (Apenas Redirecionamento): Introduza os prefixos URL dos seus fornecedores de identidade em nome de quem a extensão da aplicação de redirecionamento utiliza SSO. Quando os utilizadores são redirecionados para estes URLs, a extensão da aplicação SSO intervém e solicita SSO.

    • Todos os URLs nos perfis de extensão de aplicações de inscrição única intune devem ser únicos. Não é possível repetir um domínio em qualquer perfil de extensão de aplicações SSO, mesmo que esteja a utilizar diferentes tipos de extensões de aplicações SSO.
    • Os URLs devem começar com http:// ou https:// . .

  • Configuração adicional (Microsoft Azure AD, Redirecionamento, Credencial): Introduza dados adicionais específicos de extensão para passar para a extensão da aplicação SSO:

    • Tecla: Introduza o nome do item que pretende adicionar, tal como user name .

    • Tipo: Introduza o tipo de dados. As opções são:

      • String
      • Boolean: No valor de configuração, insira True ou . False .
      • Número inteiro: No valor de configuração, introduza um número.

    • Valor: Introduza os dados.

  • Bloquear a utilização do Keychain (apenas Kerberos): Sim, impede que as palavras-passe sejam guardadas e armazenadas no chaveiro. Quando definido para Sim, os utilizadores não são solicitados a guardar a sua senha, e precisam de reentrar na palavra-passe quando o bilhete Kerberos expirar. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir que as palavras-passe sejam guardadas e armazenadas no porta-chaves. Os utilizadores não são solicitados a reentrar na sua senha quando o bilhete expirar.

  • Requerem identificação facial, ID de toque ou código de acesso (apenas Kerberos): Sim força os utilizadores a introduzir o seu Face ID, Touch ID ou código de acesso do dispositivo quando a credencial é necessária para refrescar o bilhete Kerberos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode não exigir que os utilizadores utilizem biometria ou código de acesso do dispositivo para atualizar o bilhete Kerberos. Se a utilização do Keychain estiver bloqueada, esta definição não se aplica.

  • Definir como reino predefinido (apenas Kerberos): Escolha Sim para definir o valor real que inseriu como o reino predefinido. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode não definir um reino predefinido.

    Dica

    • Selecione Sim para esta definição se estiver a configurar várias extensões de aplicações Kerberos SSO na sua organização.
    • Selecione Sim para esta definição se estiver a utilizar vários reinos. Define o valor real que inseriste como o reino predefinido.
    • Se tiver apenas um reino, deixe-o não configurado (predefinido).

  • Bloquear Autodiscover (apenas Kerberos): Quando definido para Sim, a extensão Kerberos não utiliza automaticamente LDAP e DNS para determinar o nome do site ative directory. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA poderá permitir que a extensão encontre automaticamente o nome do site do Ative Directory.

  • Bloquear alterações de palavra-passe (apenas Kerberos): Sim, impede que os utilizadores mudem as palavras-passe que usam para iniciar súmito nos domínios introduzidos. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode permitir alterações na palavra-passe.

  • Ativar a sincronização de palavras-passe locais (apenas Kerberos): Escolha Sim para sincronizar as palavras-passe locais dos seus utilizadores para Azure AD. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode desativar a sincronização de palavras-passe para Azure AD. Utilize esta definição como alternativa ou cópia de segurança para sSO. Esta definição não funciona se os utilizadores estiverem inscritos numa conta móvel da Apple.

  • Requerer a complexidade da palavra-passe do Ative Directory (apenas Kerberos): Escolha Sim para forçar as palavras-passe do utilizador a satisfazer os requisitos de complexidade da palavra-passe do Ative Directory. Nos dispositivos, esta definição mostra uma janela pop-up com caixas de verificação para que os utilizadores vejam que estão a preencher os requisitos de senha. Ajuda os utilizadores a saber o que precisam para introduzir a palavra-passe. Para mais informações, consulte a Palavra-passe deve satisfazer os requisitos de complexidade. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode não exigir que os utilizadores cumpram o requisito de senha do Ative Directory.

  • Comprimento mínimo da palavra-passe (apenas Kerberos): Introduza o número mínimo de caracteres que podem compor as palavras-passe dos utilizadores. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode não impor um comprimento mínimo de senha nos utilizadores.

  • Limite de reutilização de palavra-passe (apenas Kerberos): Introduza o número de novas palavras-passe, a partir de 1-24, que são utilizadas até que uma palavra-passe anterior possa ser reutilizada no domínio. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode não impor um limite de reutilização de palavra-passe.

  • Idade mínima da palavra-passe (dias) (apenas Kerberos): Introduza o número de dias que uma palavra-passe é usada no domínio antes que os utilizadores possam alterá-la. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por padrão, o SISTEMA pode não impor uma idade mínima de senhas antes de poderem ser alteradas.

  • Notificação de expiração da palavra-passe (apenas dias): Introduza o número de dias antes de expirar uma palavra-passe para que os utilizadores sejam notificados de que a sua palavra-passe expirará. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode usar 15 dias.

  • Expiração da palavra-passe (dias) (apenas Kerberos): Introduza o número de dias antes da alteração da palavra-passe do dispositivo. Quando definido para Não configurado (predefinição), o Intune não altera ou atualiza esta definição. Por predefinição, o SISTEMA pode nunca expirar palavras-passe.

  • URL de alteração de palavra-passe (apenas Kerberos): Introduza o URL que abre quando os utilizadores iniciarem uma alteração de palavra-passe Kerberos.

  • Nome principal (apenas Kerberos): Introduza o nome de utilizador do principal Kerberos. Não precisas de incluir o nome do reino. Por exemplo, em user@contoso.com , é o nome user principal, e é o nome do contoso.com reino.

    Dica

    • Também pode utilizar variáveis no nome principal, introduzindo suportes {{ }} encaracolados. Por exemplo, para mostrar o nome de utilizador, insira Username: {{username}} .
    • No entanto, tenha cuidado com a substituição variável porque as variáveis não são validadas na UI e são sensíveis a casos. Certifique-se de inserir a informação correta.

  • Código do site do Diretório Ativo (apenas Kerberos): Introduza o nome do site ative directory que a extensão Kerberos deve utilizar. Pode não precisar de alterar este valor, uma vez que a extensão Kerberos pode automaticamente encontrar o código do site do Ative Directory.

  • Nome cache (apenas Kerberos): Introduza o nome dos Serviços de Segurança Genéricos (GSS) da cache Kerberos. É provável que não precises de definir este valor.

  • Mensagem de requisitos de palavra-passe (apenas Kerberos): Introduza uma versão de texto dos requisitos de senha da sua organização que é mostrada aos utilizadores. A mensagem mostra se não necessitar dos requisitos de complexidade da palavra-passe do Ative Directory ou se não introduzir um comprimento mínimo de senha.

  • Ativar o modo de dispositivo partilhado (apenas Microsoft Azure AD): Selecione Sim se estiver a implementar o plug-in Microsoft Enterprise SSO para dispositivos macOS configurados para a funcionalidade de modo de dispositivo partilhado do Azure AD. Os dispositivos em modo partilhado permitem a muitos utilizadores iniciar sôs globalmente dentro e fora das aplicações que suportam o modo de dispositivo partilhado. Quando definido para Não configurado, o Intune não altera nem atualiza esta definição.

    Quando definido para Sim, todas as contas de utilizador existentes são eliminadas dos dispositivos. Para evitar a perda de dados ou evitar o reset da fábrica, certifique-se de que compreende como esta definição muda os seus dispositivos.

    Para obter mais informações sobre o modo de dispositivo partilhado, consulte a visão geral do modo dispositivo partilhado.

  • IDs do pacote de aplicações (Microsoft Azure AD, Kerberos): Introduza os identificadores do pacote de aplicações que devem utilizar um único sinal nos seus dispositivos. Estas aplicações têm acesso ao Bilhete de Concessão de Bilhetes Kerberos e ao bilhete de autenticação. As aplicações também autenticam os utilizadores nos serviços a que estão autorizados a aceder.

  • Mapeamento do domínio do domínio (apenas Kerberos): Introduza os sufixos DNS de domínio que devem mapear para o seu reino. Utilize esta definição quando os nomes DNS dos anfitriões não corresponderem ao nome do reino. É provável que não precise de criar este mapeamento personalizado de domínio a reino.

  • Certificado PKINIT (apenas Kerberos): Selecione o certificado de criptografia da chave pública para autenticação inicial (PKINIT) que pode ser utilizado para a autenticação kerberos. Pode escolher entre certificados PKCS ou SCEP que adicionou no Intune. Para obter mais informações sobre certificados, consulte os certificados de autenticação em Microsoft Intune.

Passos seguintes

Atribua o perfil e monitorize o respetivo estado.

Também pode configurar as funcionalidades do dispositivo no iOS/iPadOS.