funktionsinställningar för macOS-enheter i Intune

Obs!

Intune kan ha stöd för fler inställningar än de inställningar som anges i den här artikeln. Alla inställningar är inte dokumenterade och kommer inte att dokumenteras. Om du vill se de inställningar som du kan konfigurera skapar du en enhetskonfigurationsprincip och väljer Inställningskatalog. Mer information finns i Inställningskatalog.

Intune innehåller inbyggda inställningar för att anpassa funktioner på dina macOS-enheter. Administratörer kan till exempel lägga till AirPrint-skrivare, välja hur användare loggar in, konfigurera energikontroller, använda autentisering med enkel inloggning med mera.

Använd dessa funktioner för att styra macOS-enheter som en del av din MDM-lösning (hantering av mobila enheter).

Den här funktionen gäller för:

• macOS

I den här artikeln beskrivs de här inställningarna. Den visar också stegen för att hämta IP-adressen, sökvägen och porten för AirPrint-skrivare med hjälp av terminalappen (emulatorn). Mer information om enhetsfunktioner finns i Lägg till funktionsinställningar för iOS/iPadOS- eller macOS-enheter.

Innan du börjar

• Skapa en konfigurationsprofil för macOS-enhetsfunktioner.

• De här inställningarna gäller för olika registreringstyper, där vissa inställningar gäller för alla registreringsalternativ. Mer information om de olika registreringstyperna finns i macOS-registrering.

AirPrint

Inställningar gäller för: Alla registreringstyper

• AirPrint-mål: Ange en eller flera AirPrint-skrivarinformation så att användarna kan skriva ut från sina enheter:

  • IP-adress: Ange skrivarens IPv4- eller IPv6-adress. Ange till exempel 10.0.0.1. Om du använder värdnamn för att identifiera skrivare kan du hämta IP-adressen genom att pinga skrivaren i terminalappen. Hämta IP-adressen och sökvägen (i den här artikeln) innehåller mer information.
  • Resurssökväg: Ange resurssökvägen för skrivaren. Sökvägen är vanligtvis ipp/print för skrivare i nätverket. Hämta IP-adressen och sökvägen (i den här artikeln) innehåller mer information.
  • Port (iOS 11.0+, iPadOS 13.0+): Ange lyssningsporten för AirPrint-målet. Om du lämnar den här egenskapen tom använder AirPrint standardporten.
  • Tvinga TLS (iOS 11.0+, iPadOS 13.0+): Dina alternativ:
    • Inaktivera (standard): TLS (Transport Layer Security) tillämpas inte när du ansluter till AirPrint-skrivare.
    • Aktivera: Skyddar AirPrint-anslutningar med TLS (Transport Layer Security).

• Importera en kommaavgränsad fil (.csv) som innehåller en lista över AirPrint-skrivare. När du har lagt till AirPrint-skrivare i Intune kan du exportera den här listan.

Hämta IP-adressen och sökvägen

Om du vill lägga till AirPrinter-servrar behöver du IP-adressen för skrivaren, resurssökvägen och porten. Följande steg visar hur du hämtar den här informationen.

1. På en Mac som ansluter till samma lokala nätverk (undernät) som AirPrint-skrivare öppnar du terminalappen (från /Applications/Utilities).

2. I terminalappen anger du ippfindoch väljer retur.

   Anteckna skrivarinformationen. Den kan till exempel returnera något som liknar ipp://myprinter.local.:631/ipp/port1. Den första delen är namnet på skrivaren. Den sista delen (ipp/port1) är resurssökvägen.

3. I terminalappen skriver du ping myprinter.localoch väljer retur.

   Anteckna IP-adressen. Den kan till exempel returnera något som liknar PING myprinter.local (10.50.25.21).

4. Använd värdena för IP-adress och resurssökväg. I det här exemplet är 10.50.25.21IP-adressen och resurssökvägen är /ipp/port1.

Associerade domäner

I Intune kan du:

• Lägg till många app-till-domän-associationer.
• Associera många domäner med samma app.

Den här inställningen gäller för:

• macOS 10.15 och senare

Inställningar gäller för: Användargodkänd enhetsregistrering och Automatisk enhetsregistrering

De här inställningarna använder nyttolasten AssociatedDomains.ConfigurationItem (öppnar Apples webbplats).

• Associerade domäner: Lägg till en association mellan din domän och en app. Den här funktionen delar inloggningsuppgifter mellan en Contoso-app och en Contoso-webbplats. Ange också:

  • App-ID: Ange appidentifieraren för den app som ska associeras med en webbplats. Appidentifieraren innehåller team-ID:t och ett paket-ID: TeamID.BundleID.

    Team-ID:t är en alfanumerisk sträng på 10 tecken (bokstäver och siffror) som genereras av Apple för apputvecklare, till exempel ABCDE12345. Leta upp ditt team-ID (öppnar Apples webbplats) med mer information.

    Paket-ID:t identifierar appen unikt och är vanligtvis formaterat i omvänd domännamnsnotation. Paket-ID:t för Finder är com.apple.findertill exempel .

    Så här hämtar du paket-ID:t:

    • Öppna terminalappen och använd AppleScript: osascript -e 'id of app "ExampleApp"'
    • För appar som har lagts till i Intune kan du använda Administrationscenter för Intune.

  • Domäner: Ange den webbplatsdomän som ska associeras med en app. Domänen innehåller en tjänsttyp och ett fullständigt kvalificerat värdnamn, till exempel webcredentials:www.contoso.com.

    Du kan matcha alla underdomäner i en associerad domän genom att ange *. (ett asterisk-jokertecken och en punkt) före början av domänen. Perioden krävs. Exakta domäner har högre prioritet än jokerteckendomäner. Därför matchas mönster från överordnade domäner om en matchning inte hittas i den fullständigt kvalificerade underdomänen.

    Tjänsttypen kan vara:

    • authsrv: Apptillägg för enkel inloggning
    • applink: Universell länk
    • webcredentials: Autofyll av lösenord

  • Aktivera direktnedladdning:Ja laddar ned domändata direkt från enheten, i stället för att gå via Apples nätverk för innehållsleverans (CDN). När intune har angetts till Inte konfigurerat ändras eller uppdateras inte den här inställningen. Operativsystemet kan som standard ladda ned data via Apples CDN som är dedikerade till associerade domäner.

    Den här inställningen gäller för:

    • macOS 11 och senare

Tips

Om du vill felsöka öppnar du Systeminställningar-profiler> på din macOS-enhet. Bekräfta att profilen som du skapade finns i listan med enhetsprofiler. Om den visas kontrollerar du att konfigurationen för associerade domäner finns i profilen och att den innehåller rätt app-ID och domäner.

Cachelagring av innehåll

Cachelagring av innehåll sparar en lokal kopia av innehållet. Andra Apple-enheter kan hämta den här informationen utan att ansluta till Internet. Cachelagringen påskyndar nedladdningen genom att spara programuppdateringar, appar, foton och annat innehåll första gången de laddas ned. Eftersom appar laddas ned en gång och delas till andra enheter sparar skolor och organisationer med många enheter bandbredd.

Obs!

Använd bara en profil för de här inställningarna. Om du tilldelar flera profiler med de här inställningarna uppstår ett fel.

Mer information om övervakning av cachelagring av innehåll finns i Visa loggar och statistik för innehållscachelagring (öppnar Apples webbplats).

Den här inställningen gäller för:

• macOS 10.13.4 och senare

Inställningar gäller för: Alla registreringstyper

Mer information om de här inställningarna finns i Inställningar för cachelagring av nyttolast för innehåll (öppnar Apples webbplats).

Aktivera innehållscachelagring: Ja aktiverar innehållscachelagring och användarna kan inte inaktivera det. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard inaktivera det.

• Typ av innehåll som ska cachelagrats: Alternativen är:

  • Allt innehåll: Cachelagrar iCloud-innehåll och delat innehåll.
  • Endast användarinnehåll: Cachelagrar användarens iCloud-innehåll, inklusive foton och dokument.
  • Endast delat innehåll: Cachelagrar appar och programuppdateringar.

• Maximal cachestorlek: Ange den maximala mängden diskutrymme (i byte) som används för att cachelagrar innehåll. När intune lämnas tomt (standard) ändras eller uppdateras inte den här inställningen. Operativsystemet kan som standard ange värdet till noll (0) byte, vilket ger obegränsat diskutrymme till cacheminnet.

  Se till att du inte överskrider det tillgängliga utrymmet på enheterna. Mer information om enhetens lagringskapacitet finns i Hur iOS- och macOS-rapportlagringskapacitet (öppnar Apples webbplats).

• Cacheplats: Ange sökvägen för att lagra det cachelagrade innehållet. Standardplatsen är /Library/Application Support/Apple/AssetCache/Data. Vi rekommenderar att du inte ändrar den här platsen.

  Om du ändrar den här inställningen flyttas inte ditt cachelagrade innehåll till den nya platsen. Om du vill flytta den automatiskt måste användarnaändra platsen på enheten (Cachelagring av delningsinnehåll för systeminställningar>>).

• Port: Ange TCP-portnumret på enheter som cacheminnet ska acceptera nedladdnings- och uppladdningsbegäranden från 0–65535. Ange noll (0) (standard) för att använda den port som är tillgänglig.

• Blockera internetanslutning och cachelagring av innehållsdelning: Kallas även för tjudd cachelagring. Ja förhindrar delning av Internetanslutningar och förhindrar delning av cachelagrat innehåll med iOS/iPadOS-enheter SOM ÄR USB-anslutna till mac-datorn. Användare kan inte aktivera den här funktionen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen.

• Aktivera delning av Internetanslutning: Kallas även för tjudad cachelagring. Ja tillåter delning av Internetanslutning och tillåter delning av cachelagrat innehåll med iOS/iPadOS-enheter USB-anslutna till deras Mac. Användare kan inte inaktivera den här funktionen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard inaktivera detta.

  Den här inställningen gäller för:

  • macOS 10.15.4 och senare

• Aktivera cache för att logga klientinformation: Ja loggar IP-adressen och portnumret för de enheter som begär innehåll. Om du felsöker enhetsproblem kan den här loggfilen vara till hjälp. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske inte loggar den här informationen som standard.

• Behåll alltid innehåll från cacheminnet, även när systemet behöver diskutrymme för andra appar: Ja behåller cacheinnehållet och ser till att ingenting tas bort, även när diskutrymmet är lågt. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard rensa innehåll från cachen automatiskt när det behöver lagringsutrymme för andra appar.

  Den här inställningen gäller för:

  • macOS 10.15 och senare

• Visa statusaviseringar: Ja visar aviseringar som systemaviseringar. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte visar dessa aviseringar som systemaviseringar.

  Den här inställningen gäller för:

  • macOS 10.15 och senare

• Förhindra att enheten försätts i viloläge medan cachelagring är aktiverat: Ja förhindrar att datorn försätts i viloläge när cachelagring är aktiverat. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta att enheten för strömsparläge.

  Den här inställningen gäller för:

  • macOS 10.15 och senare

• Enheter som ska cachelagrats: Välj de enheter som kan cachelagrat innehåll. Dina alternativ:

  • Inte konfigurerad (standard): Intune ändrar eller uppdaterar inte den här inställningen.
  • Enheter som använder samma lokala nätverk: Innehållscachen erbjuder innehåll till enheter i samma omedelbara lokala nätverk. Inget innehåll erbjuds till enheter i andra nätverk, inklusive enheter som kan nås av innehållscachen.
  • Enheter som använder samma offentliga IP-adress: Innehållscachen erbjuder innehåll till enheter som använder samma offentliga IP-adress. Inget innehåll erbjuds till enheter i andra nätverk, inklusive enheter som kan nås av innehållscachen.
  • Enheter som använder anpassade lokala nätverk: Innehållscachen tillhandahåller innehåll till enheter i de IP-intervall som du anger.
    • Klientlyssningsintervall: Ange det intervall med IP-adresser som kan ta emot innehållscachen.
  • Enheter som använder anpassade lokala nätverk med återställning: Innehållscachen tillhandahåller innehåll till enheter i lyssningsintervall, peer-lyssningsintervall och överordnade IP-adresser.
    • Klientlyssningsintervall: Ange det intervall med IP-adresser som kan ta emot innehållscachen.

• Anpassade offentliga IP-adresser: Ange ett intervall med offentliga IP-adresser. Molnservrarna använder det här intervallet för att matcha klientenheter till cacheminnen.

• Dela innehåll med andra cacheminnen: När nätverket har mer än en innehållscache blir innehållscachen på andra enheter automatiskt peer-datorer. Dessa enheter kan konsultera och dela cachelagrad programvara.

  När ett begärt objekt inte är tillgängligt i ett innehållscachen kontrollerar det dess peer-datorer efter objektet. Om objektet är tillgängligt laddas det ned från innehållscachen på peer-enheten. Om det fortfarande inte är tillgängligt laddar innehållscachen ned objektet från:

  • En överordnad IP-adress, om någon är konfigurerad

    ELLER

  • Från Apple via Internet

  När mer än en innehållscache är tillgänglig väljer enheterna automatiskt rätt innehållscachen.

  Dina alternativ:

  • Inte konfigurerad (standard): Intune ändrar eller uppdaterar inte den här inställningen.

  • Innehållscacheminnen med samma lokala nätverk: Innehållscache endast peer-datorer med andra innehållscacheminnen i samma omedelbara lokala nätverk.

  • Innehåll cachelagrar med samma offentliga IP-adress: Endast innehållscachelagring med andra innehållscacheminnen på samma offentliga IP-adress.

  • Innehållscacheminnen med anpassade lokala nätverk: Innehållscache endast peer-datorer med andra innehållscacheminnen i det IP-adresslyssningsintervall som du anger:

    • Peer-lyssningsintervall: Ange IPv4- eller IPv6-start- och slut-IP-adresserna för ditt intervall. Innehållscachen svarar bara på peer-cachebegäranden från innehållscacheminnen i de IP-adressintervall som du anger.
    • Peerfilterintervall: Ange IPv4- eller IPv6-start- och slut-IP-adresserna för ditt intervall. Innehållscachen filtrerar sin lista över peer-datorer med hjälp av de IP-adressintervall som du anger.

• Överordnade IP-adresser: Ange den lokala IP-adressen för ett annat innehållscachen som ska läggas till som överordnad cache. Din cache överför och laddar ned innehåll till dessa cacheminnen i stället för att ladda upp/ladda ned direkt med Apple. Lägg bara till en överordnad IP-adress en gång.

• Princip för överordnad markering: När det finns många överordnade cacheminnen väljer du hur den överordnade IP-adressen väljs. Dina alternativ:

  • Inte konfigurerad (standard): Intune ändrar eller uppdaterar inte den här inställningen.
  • Resursallokering: Använd de överordnade IP-adresserna i ordning. Det här alternativet är bra för belastningsutjämningsscenarier.
  • Först tillgänglig: Använd alltid den första tillgängliga IP-adressen i listan.
  • Hash: Skapar ett hashvärde för sökvägsdelen av den begärda URL:en. Det här alternativet ser till att samma överordnade IP-adress alltid används för samma URL.
  • Slumpmässigt: Använd slumpmässigt en IP-adress i listan. Det här alternativet är bra för belastningsutjämningsscenarier.
  • Fäst: Använd alltid den första IP-adressen i listan. Om den inte är tillgänglig använder du den andra IP-adressen i listan. Fortsätt att använda den andra IP-adressen tills den inte är tillgänglig och så vidare.

Inloggningsobjekt

Inställningar gäller för: Alla registreringstyper

• Lägg till de filer, mappar och anpassade appar som ska starta vid inloggning: Lägg till sökvägen till en fil, mapp, anpassad app eller systemapp som öppnas när användarna loggar in på sina enheter. Ange också:

  • Sökväg till objektet: Ange sökvägen till filen, mappen eller appen. Systemappar eller appar som skapats eller anpassats för din organisation finns vanligtvis i Applications mappen med en sökväg som liknar /Applications/AppName.app.

    Du kan lägga till många filer, mappar och appar. Ange till exempel:

    • /Applications/Calculator.app
    • /Applications
    • /Applications/Microsoft Office/root/Office16/winword.exe
    • /Users/UserName/music/itunes.app

    När du lägger till en app, mapp eller fil måste du ange rätt sökväg. Alla objekt finns inte i Applications mappen . Om användarna flyttar ett objekt från en plats till en annan ändras sökvägen. Det här flyttade objektet öppnas inte när användaren loggar in.

  • Dölj: Välj att visa eller dölja appen. Dina alternativ:

    • Inte konfigurerad (standard): Intune ändrar eller uppdaterar inte den här inställningen. Operativsystemet kan som standard visa objekt i listan Användare & Grupper med alternativet Dölj avmarkerat.
    • Ja: Döljer appen i listan Användare & grupper för inloggningsobjekt.

Inloggningsfönster

Inställningar gäller för: Alla registreringstyper

Windows-layout

• Visa ytterligare information i menyraden: När tidsområdet på menyraden är markerat visar Ja värdnamnet och macOS-versionen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske inte visar den här informationen på menyraden som standard.

• Banderoll: Ange ett meddelande som visas på inloggningsskärmen på enheter. Ange till exempel organisationsinformation, ett välkomstmeddelande, förlorad och hittad information och så vidare.

• Kräv textfält för användarnamn och lösenord: Välj hur användare loggar in på enheter. Ja kräver att användarna anger ett användarnamn och lösenord. När intune har angetts till Inte konfigurerat ändras eller uppdateras inte den här inställningen. Operativsystemet kan som standard kräva att användarna väljer sitt användarnamn i en lista och sedan skriver sitt lösenord.

  När värdet är Inte konfigurerat anger du även:

  • Dölj lokala användare: Ja döljer de lokala användarkontona i användarlistan, som kan innehålla standard- och administratörskontona. Endast nätverks- och systemanvändarkonton visas. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard visa de lokala användarkontona i användarlistan.
  • Dölj mobilkonton: Ja döljer mobilkonton i användarlistan. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard visa mobilkontona i användarlistan. Vissa mobilkonton kan visas som nätverksanvändare.
  • Visa nätverksanvändare: Välj Ja om du vill visa en lista över nätverksanvändare i användarlistan. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte visar nätverksanvändarkontona i användarlistan.
  • Dölj datorns administratörer: Ja döljer administratörsanvändarkontona i användarlistan. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard visa administratörsanvändarkontona i användarlistan.
  • Visa andra användare: Välj Ja om du vill visa andra... användare i användarlistan. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte visar de andra användarkontona i användarlistan.

Energiinställningar för inloggningsskärmen

• Dölj avstängningsknappen: Ja döljer avstängningsknappen på inloggningsskärmen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard visa avstängningsknappen.
• Dölj omstartsknappen: Ja döljer omstartsknappen på inloggningsskärmen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard visa omstartsknappen.
• Dölj strömsparknappen: Ja döljer vilolägesknappen på inloggningsskärmen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard visa strömsparknappen.
• Inaktivera användarinloggning från konsolen: Ja döljer macOS-kommandoraden som används för att logga in. För vanliga användare ställer du in den här inställningen på Ja. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta avancerade användare att logga in med hjälp av macOS-kommandoraden. Om du vill ange konsolläge anger >console användarna fältet Användarnamn och måste autentisera sig i konsolfönstret.

Apple-meny

• Inaktivera Stäng av när de är inloggade: Ja hindrar användare från att välja alternativet Stäng av när de har loggat in. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta användare att välja menyalternativet Stäng av på enheter.
• Inaktivera Omstart när du är inloggad: Ja hindrar användare från att välja alternativet Starta om när de har loggat in. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta användare att välja menyalternativet Starta om på enheter.
• Inaktivera avstängning när du är inloggad: Ja hindrar användare från att välja alternativet Stäng av när de har loggat in. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta användare att välja menyalternativet Stäng av på enheter.
• Inaktivera utloggning när du är inloggad (macOS 10.13 och senare): Ja hindrar användare från att välja alternativet Logga ut när de har loggat in. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta användare att välja menyalternativet Logga ut på enheter.
• Inaktivera låsskärm när du är inloggad (macOS 10.13 och senare): Ja hindrar användare från att välja alternativet Lås skärm när de har loggat in. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta användare att välja menyalternativet Lås skärm på enheter.

Apptillägg för enkel inloggning

Den här inställningen gäller för:

• macOS 10.15 och senare

Obs!

På macOS-enheter kan du använda plattforms-SSO för att aktivera enkel inloggning (SSO). Mer information finns i Konfigurera plattforms-SSO för macOS-enheter i Microsoft Intune.

Inställningar gäller för: Användargodkänd enhetsregistrering och Automatisk enhetsregistrering

• Typ av SSO-apptillägg: Välj typ av SSO-apptillägg. Dina alternativ:

  • Inte konfigurerat: Apptillägg används inte. Om du vill inaktivera ett apptillägg växlar du apptilläggstypen för enkel inloggning till Inte konfigurerad.

  • Microsoft Entra-ID: Använder plugin-programmet Microsoft Entra ID Enterprise SSO, som är ett SSO-apptillägg av omdirigeringstyp. Det här plugin-programmet tillhandahåller enkel inloggning för lokala Active Directory-konton i alla macOS-program som stöder Apples enterprise-funktion för enkel inloggning . Använd den här apptilläggstypen för enkel inloggning för att aktivera enkel inloggning i Microsoft-appar, organisationsappar och webbplatser som autentiserar med Hjälp av Microsoft Entra-ID. Mer information finns i Använda plugin-programmet Microsoft Enterprise SSO på macOSOS-enheter.

    Plugin-programmet för enkel inloggning fungerar som en avancerad autentiseringskoordinator som erbjuder förbättringar av säkerhet och användarupplevelse.

    Viktigt

    Om du vill uppnå enkel inloggning med apptilläggstypen Microsoft Entra SSO installerar du företagsportalappen för macOS på enheter. Företagsportalappen levererar plugin-programmet Microsoft Enterprise SSO till enheter. Inställningarna för MDM SSO-apptillägget aktiverar plugin-programmet. När företagsportalappen och profilen för SSO-apptillägget har installerats på enheter loggar användarna in med sina autentiseringsuppgifter och skapar en session på sina enheter. Den här sessionen används i olika program utan att användarna behöver autentisera igen.

    Mer information om företagsportalappen finns i Vad händer om du installerar företagsportalappen och registrerar din macOS-enhet i Intune.

    Du kan också ladda ned företagsportalappen.

  • Omdirigering: Använd ett allmänt, anpassningsbart omdirigeringsapptillägg för att använda enkel inloggning med moderna autentiseringsflöden. Se till att du känner till tillägget och team-ID:t för din organisations apptillägg.

  • Autentiseringsuppgifter: Använd ett allmänt, anpassningsbart apptillägg för autentiseringsuppgifter för att använda enkel inloggning med autentiseringsflöden för utmaning och svar. Se till att du känner till tilläggs-ID och team-ID för din organisations SSO-apptillägg.

  • Kerberos: Använd Apples inbyggda Kerberos-tillägg, som ingår i macOS Catalina 10.15 och senare. Det här alternativet är en Kerberos-specifik version av apptillägget Credential .

  Tips

  Med typerna Omdirigering och Autentiseringsuppgifter lägger du till dina egna konfigurationsvärden för att gå igenom tillägget. Om du använder autentiseringsuppgifter bör du överväga att använda inbyggda konfigurationsinställningar som tillhandahålls av Apple i Kerberos-typen .

• Tilläggs-ID (omdirigering, autentiseringsuppgifter): Ange den paketidentifierare som identifierar ditt SSO-apptillägg, till exempel com.apple.ssoexample.

• Team-ID (omdirigering, autentiseringsuppgifter): Ange teamidentifieraren för ditt SSO-apptillägg. En teamidentifierare är en alfanumerisk sträng på 10 tecken (siffror och bokstäver) som genereras av Apple, till exempel ABCDE12345.

  Leta upp ditt team-ID (öppnar Apples webbplats) med mer information.

• Sfär (Autentiseringsuppgift, Kerberos): Ange namnet på din autentiseringssfär. Sfärnamnet ska vara versalt, till exempel CONTOSO.COM. Vanligtvis är ditt sfärnamn samma som ditt DNS-domännamn, men i versaler.

• Domäner (autentiseringsuppgifter, Kerberos): Ange domän- eller värdnamnen för de webbplatser som kan autentiseras via enkel inloggning. Om din webbplats till exempel är mysite.contoso.comär mysite värdnamnet och .contoso.com är domännamnet. När användare ansluter till någon av dessa webbplatser hanterar apptillägget autentiseringsuppgiften. Med den här autentiseringen kan användare använda Ansikts-ID, Touch-ID eller Apple-pinkod/lösenord för att logga in.

  • Alla domäner i intune-profilerna för apptillägget för enkel inloggning måste vara unika. Du kan inte upprepa en domän i en apptilläggsprofil för inloggning, även om du använder olika typer av SSO-apptillägg.
  • Dessa domäner är inte skiftlägeskänsliga.
  • Domänen måste börja med en punkt (.).

• URL:er (endast omdirigering): Ange URL-prefixen för dina identitetsprovidrar för vars räkning omdirigeringsapptillägget använder enkel inloggning. När användare omdirigeras till dessa URL:er ingriper SSO-apptillägget och frågar efter enkel inloggning.

  • Alla URL:er i apptilläggsprofilerna för enkel inloggning i Intune måste vara unika. Du kan inte upprepa en domän i någon profil för SSO-apptillägg, även om du använder olika typer av SSO-apptillägg.
  • URL:erna måste börja med http:// eller https://.

• Ytterligare konfiguration (Microsoft Entra-ID, omdirigering, autentiseringsuppgifter): Ange fler tilläggsspecifika data som ska skickas till SSO-apptillägget:

  • Nyckel: Ange namnet på det objekt som du vill lägga till, till exempel user name.

  • Typ: Ange typ av data. Dina alternativ:

    • Sträng
    • Booleskt värde: I Konfigurationsvärde anger du True eller False.
    • Heltal: I Konfigurationsvärde anger du ett tal.

  • Värde: Ange data.

• Blockera nyckelringsanvändning (endast Kerberos): Ja förhindrar att lösenord sparas och lagras i nyckelringen. Användarna uppmanas inte att spara sitt lösenord och måste ange lösenordet igen när Kerberos-biljetten upphör att gälla. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta att lösenord sparas och lagras i nyckelringen. Användarna uppmanas inte att ange sitt lösenord igen när biljetten upphör att gälla.

• Kräv ansikts-ID, Touch-ID eller lösenord (endast Kerberos): Ja tvingar användarna att ange sitt Ansikts-ID, Touch-ID eller enhetslösenord när autentiseringsuppgifterna behövs för att uppdatera Kerberos-biljetten. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte kräver att användarna använder biometri eller enhetslösenord för att uppdatera Kerberos-biljetten. Om Blockera nyckelringsanvändning är inställt på Ja gäller inte den här inställningen.

• Ange som standardsfär (endast Kerberos): Välj Ja om du vill ange det sfärvärde som du angav som standardsfär. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte anger någon standardsfär.

  • Om du konfigurerar flera Kerberos SSO-apptillägg i din organisation väljer du Ja.
  • Om du använder flera sfärer väljer du Ja. Den anger sfärvärdet som du angav som standardsfär.
  • Om du bara har en sfär lämnar du den Inte konfigurerad (standard).

• Blockera automatisk upptäckt (endast Kerberos): När värdet är Ja använder Kerberos-tillägget inte automatiskt LDAP och DNS för att fastställa dess Active Directory-platsnamn. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta att tillägget automatiskt hittar Active Directory-platsnamnet.

• Tillåt endast hanterade appar (endast Kerberos): När det är inställt på Ja tillåter Kerberos-tillägget endast hanterade appar och alla appar som anges med appsamlings-ID:t att komma åt autentiseringsuppgifterna. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta att icke-hanterade appar får åtkomst till autentiseringsuppgifterna.

  Den här funktionen gäller för:

  • macOS 12 och senare

• Blockera lösenordsändringar (endast Kerberos): Ja hindrar användare från att ändra de lösenord som de använder för att logga in på de domäner som du har angett. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard tillåta lösenordsändringar.

• Aktivera lokal lösenordssynkronisering (endast Kerberos): Välj Ja om du vill synkronisera användarnas lokala lösenord med Microsoft Entra-ID. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard inaktivera lösenordssynkronisering till Microsoft Entra-ID.

  Använd den här inställningen som ett alternativ eller en säkerhetskopia till enkel inloggning. Den här inställningen fungerar inte om användarna är inloggade med ett Apple-mobilkonto.

• Fördröj konfiguration av Kerberos-tillägg (endast Kerberos): När det är inställt på Ja uppmanas användaren inte att konfigurera Kerberos-tillägget förrän tillägget har aktiverats av administratören, eller så tas en Kerberos-utmaning emot. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard omedelbart uppmana användaren att konfigurera Kerberos-tillägget.

  Den här funktionen gäller för:

  • macOS 11 och senare

• Tillåt standardverktyg för Kerberos (endast Kerberos): När det är inställt på Ja tillåter Kerberos-tillägget att alla appar som anges med appsamlings-ID, hanterade appar och standardverktyg för Kerberos, som TicketViewer och klist, får åtkomst till och använder autentiseringsuppgifterna. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte tillåter att appar i listan får åtkomst till och använder autentiseringsuppgifterna.

  Den här funktionen gäller för:

  • macOS 12 och senare

• Begär autentiseringsuppgifter (endast Kerberos): När värdet är Ja begärs autentiseringsuppgifterna vid nästa matchande Kerberos-utmaning eller nätverkstillståndsändring. När autentiseringsuppgifterna har upphört att gälla eller saknas skapas en ny autentiseringsuppgift. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte begär en ny autentiseringsuppgift.

  Den här funktionen gäller för:

  • macOS 12 och senare

• Kräv LDAP-anslutningar för TLS (endast Kerberos): När värdet är Ja krävs LDAP-anslutningar för att använda TLS (Transport Layer Security). När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte kräver LDAP-anslutningar för att använda TLS.

  Den här funktionen gäller för:

  • macOS 11 och senare

• Kräv Active Directory-lösenordskomplexitet (endast Kerberos): Välj Ja om du vill tvinga användarlösenord att uppfylla Active Directorys krav på lösenordskomplexitet. På enheter visar den här inställningen ett popup-fönster med kryssrutor så att användarna ser att de uppfyller lösenordskraven. Det hjälper användarna att veta vad de behöver ange för lösenordet. Mer information finns i Lösenord måste uppfylla komplexitetskraven. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte kräver att användarna uppfyller Active Directorys lösenordskrav.

• Minsta längd på lösenord (endast Kerberos): Ange det minsta antal tecken som kan utgöra användarnas lösenord. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte tillämpar en minsta längd på lösenord för användarna.

• Gräns för återanvändning av lösenord (endast Kerberos): Ange antalet nya lösenord mellan 1 och 24 som används tills ett tidigare lösenord kan återanvändas i domänen. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte tillämpar en gräns för återanvändning av lösenord.

• Lägsta ålder för lösenord (dagar) (endast Kerberos): Ange hur många dagar ett lösenord ska användas i domänen innan användarna kan ändra det. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte framtvingar en minimiålder för lösenord innan de kan ändras.

• Meddelande om förfallodatum för lösenord (endast dagar) (Endast Kerberos): Ange antalet dagar innan ett lösenord upphör att gälla om användarna får ett meddelande om att lösenordet upphör att gälla. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kan som standard använda 15 dagar.

• Lösenordets giltighetstid (endast dagar) (endast Kerberos): Ange antalet dagar innan enhetens lösenord måste ändras. När detta anges till Inte konfigurerad (standard) ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske aldrig upphör att gälla lösenord som standard.

• URL för lösenordsändring (endast Kerberos): Ange den URL som öppnas när användarna startar en Kerberos-lösenordsändring.

• Anpassat användarnamn (endast Kerberos): Ange den text som ersätter användarnamnet som visas i Kerberos-tillägget. Du kan ange ett namn som matchar namnet på ditt företag eller din organisation. Du kan till exempel ange Contoso.

  Den här funktionen gäller för:

  • macOS 11 och senare

• Användning av Kerberos-tillägg (endast Kerberos): Välj hur andra processer använder Kerberos-tilläggets autentiseringsuppgifter. Dina alternativ:

  • Alltid: Tilläggsautentiseringsuppgifter används alltid om SPN visas i Domäner. Den används inte om den anropande appen inte finns med i appsamlings-ID:t.
  • När det inte anges: Tilläggsautentiseringsuppgiften används bara när en annan autentiseringsuppgift inte anges av anroparen och SPN visas i Domäner. Den används inte om den anropande appen inte finns med i appsamlings-ID:t.
  • Kerberos-standard: Intune ändrar eller uppdaterar inte den här inställningen. Operativsystemet använder som standard Kerberos-processer för att välja autentiseringsuppgifter. Det här alternativet är detsamma som att inte konfigurera den här inställningen.

  Den här funktionen gäller för:

  • macOS 11 och senare

• Huvudnamn (endast Kerberos): Ange användarnamnet för Kerberos-huvudkontot. Du behöver inte inkludera sfärnamnet. I user@contoso.comuser är till exempel huvudnamnet och contoso.com sfärnamnet.

  • Du kan också använda variabler i huvudnamnet genom att ange klammerparenteser {{ }}. Om du till exempel vill visa användarnamnet anger du Username: {{username}}.
  • Var försiktig med variabel ersättning eftersom variabler inte verifieras i användargränssnittet och de är skiftlägeskänsliga. Se till att ange rätt information.

• Active Directory-platskod (endast Kerberos): Ange namnet på den Active Directory-plats som Kerberos-tillägget ska använda. Du kanske inte behöver ändra det här värdet eftersom Kerberos-tillägget automatiskt kan hitta Active Directory-platskoden.

• Cachenamn (endast Kerberos): Ange GSS-namnet (Generic Security Services) för Kerberos-cachen. Du behöver förmodligen inte ange det här värdet.

• Logga in fönstertext (endast Kerberos): Ange den text som visas för användarna vid Kerberos-inloggningsfönstret.

  Den här funktionen gäller för:

  • macOS 11 och senare

• Meddelande om lösenordskrav (endast Kerberos): Ange en textversion av organisationens lösenordskrav som visas för användarna. Meddelandet visar om du inte behöver Active Directorys krav på lösenordskomplexitet eller om du inte anger en minsta längd på lösenord.

  När värdet är Ja rensas alla befintliga användarkonton från enheterna. Se till att du förstår hur den här inställningen ändrar dina enheter för att undvika dataförlust eller förhindra en fabriksåterställning.

  Mer information om läget för delad enhet finns i Översikt över läget för delade enheter.

• Appsamlings-ID :n (Microsoft Entra-ID, Kerberos): Ange de appsamlingsidentifierare som ska använda enkel inloggning på dina enheter. Dessa appar beviljas åtkomst till Kerberos Ticket Granting Ticket och autentiseringsbiljetten. Apparna autentiserar även användare till tjänster som de har behörighet att komma åt.

  Om du vill hämta paket-ID:t för en app som lagts till i Intune kan du använda administrationscentret för Intune.

• Domänsfärmappning (endast Kerberos): Ange domänens DNS-suffix som ska mappas till din sfär. Använd den här inställningen när DNS-namnen för värdarna inte matchar sfärnamnet. Du behöver förmodligen inte skapa den här anpassade domän-till-sfär-mappningen.

• PKINIT-certifikat (endast Kerberos): Välj kryptografi för offentlig nyckel för PKINIT-certifikat (Initial Authentication) som kan användas för Kerberos-autentisering. Du kan välja mellan PKCS - eller SCEP-certifikat som du lägger till i Intune. Mer information om certifikat finns i Använda certifikat för autentisering i Microsoft Intune.

• Önskade KDCs (endast Kerberos): Ange nyckeldistributionscenter (KDCs) som ska användas för Kerberos-trafik i prioritetsordning. Den här listan används när servrarna inte kan identifieras med DNS. När servrarna kan identifieras används listan för båda anslutningskontrollerna och används först för Kerberos-trafik. Om servrarna inte svarar använder enheten DNS-identifiering.

  Den här funktionen gäller för:

  • macOS 12 och senare

Relaterade artiklar

• Tilldela sedan profilen och övervaka dess status.

• Konfigurera enhetsfunktioner på iOS/iPadOS.