Настройка поддержки конфигурации локальной учетной записи ADE для macOS с помощью LAPS в Microsoft Intune

Вы можете использовать профиль автоматической регистрации устройств macOS (ADE), чтобы настроить только что зарегистрированное устройство macOS для настройки учетной записи администратора и учетной записи пользователя вместе с решением для паролей локального администратора Майкрософт (LAPS). Конфигурация учетной записи macOS с LAPS — это необязательный набор конфигураций, которые можно использовать в новых и существующих профилях ADE macOS с сопоставлением пользователей и без нее. Эти конфигурации для управления учетными записями применяются только к новым регистрациям.

При настройке локальной учетной записи macOS с помощью LAPS устройства подготавливаются с помощью учетной записи локального администратора с надежным, зашифрованным и случайным паролем администратора, который хранится и шифруется Intune. Аналогичным образом можно подготовить локальную учетную запись стандартного пользователя в профиле регистрации. После регистрации Intune автоматически меняет пароль администратора, управляемого LAPS, каждые шесть месяцев. Чтобы дополнить автоматическое выполнение, администраторы Intune с достаточными разрешениями могут использовать центр администрирования Intune для просмотра пароля учетной записи локального администратора устройств и могут вручную сменить этот пароль при необходимости с помощью действий удаленного устройства.

Пароль, созданный Intune для учетной записи администратора, состоит из 15 символов со смесью строчных и прописных букв, цифр и специальных символов.

Так как конфигурация локальной учетной записи macOS с LAPS включена только во время автоматической регистрации устройств (ADE) после сброса настроек, ранее зарегистрированное устройство должно повторно зарегистрироваться с помощью Intune с помощью профиля ADE с поддержкой LAPS для laps для учетной записи администратора.

Важно!

Существует известная проблема, которая влияет на устройства под управлением macOS версий более ранних, чем macOS 26.4. Когда устройство macOS регистрируется через ADE с настроенной учетной записью локального администратора и целевым профилем секретного кода, оно запрашивает сброс пароля администратора, даже если изменение при следующей проверке подлинности не включено или если задано значение Max Age (days). Это не влияет на стандартную учетную запись.

В качестве обходного решения вручную смените пароль администратора после сброса на устройстве, чтобы поддерживать синхронизацию Intune и пароля устройства. Чтобы устранить эту проблему, обновите устройство до macOS 26.4.

Важно!

Учетная запись локального администратора не получает маркер безопасности из-за ограничений платформы. Первая учетная запись, которая входит в систему после регистрации, получает маркер безопасности, который в настоящее время всегда будет локальной учетной записью пользователя.

Совет

Реализация Intune macOS LAPS аналогична, но отличается от Intune поддержки Windows LAPS. Сведения о Windows LAPS в Intune см. в статье Учетная запись локального администратора.

Предварительные условия

Ниже приведены требования к устройству для конфигурации локальной учетной записи macOS с решением LAPS.

  • macOS 12 и более поздних версий
  • Устройства должны быть синхронизированы с Intune от Apple Business/School Manager
  • Устройства должны регистрироваться с помощью Intune через профиль регистрации ADE macOS после сброса заводских настроек.

Важно!

macOS LAPS поддерживает регистрации ADE, которые происходят в процессе начальной настройки устройства. Сценарии регистрации, которые повторно инициируют ADE из существующей установки macOS (например, с помощью profiles renew команды), не поддерживаются.

Управление доступом на основе ролей для macOS LAPS

Учетная запись администратора, которому доверено просматривать или сменить пароль учетной записи локального администратора для устройства, подключенного к macOS LAPS, должна иметь следующие разрешения Intune управления доступом на основе ролей (RBAC):

Категория: Программы регистрации:

  • Установите для параметра Смена пароля администратора macOS значение Да.
  • Задайте для параметра View macOS admin password (Просмотр пароля администратора macOS ) значение Да

Важно!

Два разрешения для программ регистрации не включены ни в одну Intune встроенную роль или Microsoft Entra встроенную роль администратора Intune. Вместо этого используйте настраиваемую роль Intune, чтобы назначить это разрешение пользователям, у которых должны быть эти возможности.

Разрешения и сведения, необходимые для управления политиками macOS для автоматической регистрации устройств, см. в статье Настройка автоматической регистрации устройств (ADE) для macOS.

Параметры учетной записи конфигурации и пароля

В этом разделе содержатся сведения о настройке конфигурации локальной учетной записи macOS с помощью LAPS, которая выполняется на шаге 12 процедуры создания политики регистрации для профилей автоматической регистрации устройств macOS (ADE).

При настройке профиля автоматической регистрации устройств macOS на вкладке Параметры учетной записи отображаются параметры для настройки учетной записи локального администратора и учетной записи локального пользователя. По умолчанию для этих параметров задано значение Нет.

Снимок экрана: внешний вид по умолчанию панели

При выборе параметра Да для параметра локальной учетной записи или учетной записи администратора или пользователя вы настраиваете учетную запись локального администратора macOS с конфигурацией LAPS, а также учетную запись стандартного пользователя для устройств, зарегистрированных с помощью этого профиля регистрации.

Уникальные пароли учетных записей создаются с использованием 15 символов с сочетанием строчных и прописных букв, цифр и специальных символов.

Важно!

Для устройств с настроенными учетными записями LAPS нацеливаете политики паролей только через каталог параметров и отключите параметр Изменить при следующей проверке подлинности .

Параметры паролей, настроенные с помощью политик соответствия требованиям или шаблонов ограничений устройств, по умолчанию позволяют изменить при следующей проверке подлинности и могут вызвать проблемы со входом для вновь созданных учетных записей LAPS.

Каждый раз, когда какая-либо часть конфигурации локальной учетной записи, для параметра await final configuration всегда устанавливается значение Да в серверной части по умолчанию. Этот параметр задается, так как конфигурация учетной записи происходит во время помощника по настройке.

Учетная запись локального администратора

Снимок экрана с параметрами, доступными для учетной записи администратора.

Ниже приведены примеры доступных параметров конфигурации. Дополнительные сведения доступны с помощью значков Сведений , которые соответствуют имени некоторых параметров.

  • Администратор имя пользователя учетной записи. Укажите имя учетной записи или используйте одну из следующих поддерживаемых переменных для динамического создания имени. По умолчанию в этом поле используется Администратор.

    • {{serialNumber}} — например, F4KN99ZUG5V2
    • {{partialupn}} — например, John.Dupont
    • {{managedDeviceName}} — например, F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} — например, JDoe

  • Администратор полное имя учетной записи. Укажите имя учетной записи или используйте одну из следующих поддерживаемых переменных для динамического создания имени. По умолчанию в этом поле используется Администратор.

    • {{username}} — например, John@contoso.com
    • {{serialNumber}} — например, F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} — например, JDoe

  • Скрыть в разделе Пользователи & группы . Сделайте учетную запись администратора скрытой в окне входа и в разделе Пользователи & группы. По умолчанию для этого параметра задано значение Не настроено.

  • Администратор период смены пароля учетной записи (в днях) — если он настроен, этот параметр определяет период (от 1 до 180 дней), после которого пароль учетной записи администратора автоматически сменяется. Эта смена является дополнением к автоматической смене, которая происходит раз в 180 дней.

Учетная запись локального пользователя

Снимок экрана с параметрами, доступными для учетной записи пользователя без прав администратора.

Ниже приведены некоторые рекомендации по доступным параметрам. Дополнительные сведения доступны с помощью значков Сведений, которые соответствуют имени некоторых параметров.

  • Тип учетной записи. По умолчанию для этого параметра задано значение Standard для создания стандартной учетной записи пользователя. Если учетная запись локального пользователя не настроена, для типа учетной записи локального пользователя задается значение администратор, что является ограничением платформы, так как учетная запись администратора всегда требуется для настройки любого устройства macOS.

  • Предварительная заполнение сведений об учетной записи . Задайте для этого параметра значение Да , если вы хотите управлять именем учетной записи или ограничить редактирование.

  • Имя основной учетной записи . Укажите имя учетной записи или используйте одну из следующих поддерживаемых переменных для динамического создания имени. Помощник по настройке использует это значение для предварительного заполнения поля Имя учетной записи, если для параметра Сведения об учетной записи предварительного заполнениязадано значение Не настроено. По умолчанию в этом поле используется переменная {{partialupn}} .

    • {{serialNumber}} — например, F4KN99ZUG5V2
    • {{partialupn}} — например, John.Dupont
    • {{managedDeviceName}} — например, F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} — например, JDoe

  • Полное имя основной учетной записи . Укажите полное имя учетной записи или используйте одну из следующих переменных для динамического создания имени. Помощник по настройке использует это значение для предварительного заполнения поля Полное имя, если для параметра Сведения об учетной записи предварительного заполнения задано значение Не настроено. По умолчанию в этом поле используется переменная {{username}} :

    • {{username}} — например, John@contoso.com
    • {{serialNumber}} — например, F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} — например, JDoe

  • Ограничить редактирование . Запретить пользователю изменять полное имя и имя учетной записи. По умолчанию задано значение Не настроено.

Просмотр сведений об учетной записи и пароле

Чтобы просмотреть пароль локального администратора устройства, вашей учетной записи должно быть назначено следующее Intune разрешения RBAC:

  • Категория: Программы регистрации с параметром "Просмотр пароля администратора macOS" (Да)

Просмотр пароля учетной записи администратора

  1. В центре администрирования Microsoft Intune перейдите в раздел Устройства>macOS>, выберите устройство macOS, чтобы открыть его панель >ОбзорПароли и ключи.

В области Пароли и ключи можно получить пароль администратора для устройства macOS в разделе Пароль учетной записи локального администратора . Здесь также можно увидеть время последней смены пароля вручную или автоматически.

Чтобы узнать, имеет ли зарегистрированное устройство macOS пароль Intune управляемого администратора, если пароль можно успешно получить в консоли, это означает, что пароль для учетной записи локального администратора управляется Intune.

Снимок экрана: панель

Смена пароля учетной записи администратора вручную

Политика LAPS включает расписание автоматической смены паролей учетных записей (раз в шесть месяцев). Помимо запланированной смены, вы можете использовать действие Intune устройстваСмена пароля локального администратора, чтобы вручную сменить пароль устройства в любое время.

Чтобы использовать это действие устройства, вашей учетной записи необходимо назначить [разрешение Intune RBAC](#role-based-access-controls-for-macos-laps) следующего:

  • Категория: Программы регистрации с паролем администратора Для смены macOS задано значение Да

Смена пароля администратора

  1. В центре администрирования Microsoft Intune перейдите в раздел Устройства>macOS> выберите устройство macOS с учетной записью, которую вы хотите сменить.

  2. В области Обзор устройств в списке параметров в верхней части панели выберите Смена пароля локального администратора.

    Снимок экрана панели обзора устройств.

  3. Чтобы подтвердить, когда пароль был в последний раз сменялся для устройства, в области Обзор устройства:

    1. Разверните элемент Монитор , а затем выберите Пароли и ключи.
    2. На панели Пароли и ключи можно найти дату и время последней смены пароля.

Мониторинг смены паролей

Просмотр и смена паролей создают события аудита Intune, которые можно просматривать в Центре администрирования Intune.

В Центре администрирования Microsoft Intune перейдите в разделЖурналы аудитаадминистрирования> клиента.

Найдите следующие записи:

  • Get AdminAccountDto — определяет, когда кто-то просматривал пароль администратора.
  • rotateLocalAdminPassword ManagedDevice — определяет, когда был изменен пароль администратора.

Связанные материалы

  • Last updated on