Microsoft Intune'de LAPS ile macOS ADE yerel hesap yapılandırması desteğini yapılandırma

Hem yönetici hem de kullanıcı hesabı yapılandırması için yeni kaydedilen bir macOS cihazını Microsoft yerel yönetici parola çözümü (LAPS) için yapılandırmak için macOS otomatik cihaz kaydı (ADE) profili kullanabilirsiniz. LAPS ile macOS hesabı yapılandırması , yeni ve mevcut macOS ADE profillerinde kullanıcı cihazı benzinimli ve kullanıcısız olarak kullanabileceğiniz isteğe bağlı bir yapılandırma kümesidir. Hesap yönetimi için bu yapılandırmalar yalnızca yeni kayıtlar için geçerlidir.

LAPS ile macOS yerel hesap yapılandırmasıyla cihazlar, Intune tarafından depolanan ve şifrelenen güçlü, şifrelenmiş ve rastgele yönetici parolasına sahip bir yerel yönetici hesabıyla sağlanır. Benzer şekilde, kayıt profilinde yerel bir standart kullanıcı hesabı da sağlanabilir. Kayıttan sonra, Intune LAPS tarafından yönetilen yönetici parolasını altı ayda bir otomatik olarak döndürür. Otomatik döndürmeyi tamamlamak için, yeterli izinlere sahip Intune yöneticiler Intune yönetim merkezini kullanarak bir cihaz yerel yönetici hesabı parolasını görüntüleyebilir ve uzak cihaz eylemleriyle gerektiğinde bu parolayı el ile döndürebilir.

Yönetici hesabı için oluşturulan Intune parola, küçük ve büyük harf, sayı ve özel simgelerin karışımıyla 15 karakterdir.

LAPS ile macOS yerel hesap yapılandırması yalnızca fabrika sıfırlaması sonrasında otomatik cihaz kaydı (ADE) sırasında etkinleştirildiğinden, yönetici hesabı için LAPS için desteklenebilmesi için önceden kaydedilmiş bir cihazın LAPS özellikli ADE profili kullanarak Intune ile yeniden kaydedilmesi gerekir.

Önemli

macOS 26.4'ten önceki macOS sürümlerini çalıştıran cihazları etkileyen bilinen bir sorun vardır. Bir macOS cihazı yapılandırılmış bir yerel yönetici hesabı ve hedeflenen bir geçiş kodu profiliyle ADE aracılığıyla kaydolduğunda, sonraki kimlik doğrulamasında değiştir etkinleştirilmemiş olsa veya Maksimum Yaş (gün) için bir değer ayarlanmış olsa bile yönetici parolası sıfırlaması ister. Bu, standart hesabı etkilemez.

Geçici bir çözüm olarak, Intune ve cihaz parolası durumunu eşitlenmiş durumda tutmak için cihazda sıfırlama işleminden sonra yönetici parolasını el ile döndürün. Bu sorunu çözmek için cihazınızı macOS 26.4 sürümüne yükseltin.

Önemli

Platform sınırlamaları nedeniyle yerel yönetici hesabı güvenli belirteç almaz. Kayıt sonrasında oturum açan ilk hesap, şu anda her zaman yerel kullanıcı hesabı olacak olan güvenli belirteci alır.

İpucu

macOS LAPS'nin Intune uygulaması benzerdir ancak Windows LAPS için Intune desteğinden farklıdır. Intune'de Windows LAPS hakkında bilgi için bkz. Yerel yönetici hesabı.

Önkoşullar

LAPS çözümü ile macOS yerel hesap yapılandırması için cihaz gereksinimleri aşağıdadır:

  • macOS 12 ve üzeri
  • Cihazların Apple Business/School Manager'dan Intune eşitlenmesi gerekir
  • Fabrika sıfırlaması sonrasında cihazların macOS ADE kayıt profili aracılığıyla Intune ile kaydolması gerekir.

Önemli

macOS LAPS, ilk cihaz kurulum deneyiminin bir parçası olarak gerçekleşen ADE kayıtlarını destekler. Mevcut bir macOS yüklemesinden (örneğin komutu kullanarak profiles renew ) ADE'yi yeniden başlatan kayıt senaryoları desteklenmez.

macOS LAPS için rol tabanlı erişim denetimleri

macOS LAPS'ye eklenen bir cihazın yerel yönetici hesabı parolasını görüntülemesi veya döndürmesi güvenilen bir yönetici hesabının rol tabanlı erişim denetimi (RBAC) izinlerine Intune gerekir:

Kategori: Kayıt programları:

  • macOS yönetici parolasını Döndür'üEvet olarak ayarlayın
  • MacOS yönetici parolasını görüntüle'yiEvet olarak ayarlayın

Önemli

Kayıt programları için iki izin, herhangi bir Intune yerleşik rolüne veya Intune Yöneticisi'nin Microsoft Entra yerleşik rolüne dahil değildir. Bunun yerine, bu özelliklere sahip olması gereken kullanıcılara bu izni atamak için özel bir Intune rolü kullanın.

Otomatik cihaz kaydı için macOS ilkelerini yönetmek için gereken izinler ve ayrıntılar için bkz. macOS için otomatik cihaz kaydını (ADE) ayarlama.

Yapılandırma hesabı ve parola seçenekleri

Bu bölümde, macOS otomatik cihaz kaydı (ADE) profilleri için kayıt ilkesi oluşturma yordamının 12. adımı sırasında gerçekleştirilen LAPS ile macOS yerel hesap yapılandırmasını yapılandırmaya ilişkin ayrıntılar sağlanır.

MacOS otomatik cihaz kayıt profilini yapılandırdığınızda, Hesap Ayarları sekmesi hem Yerel yönetici hesabını hem de Yerel kullanıcı hesabını yapılandırma seçeneklerini sunar. Varsayılan olarak, bu seçeneklerin her ikisi de Hayır olarak ayarlanır.

Otomatik cihaz kayıt profilleri Hesap Ayarı bölmesinin varsayılan görünümünün ekran görüntüsü.

Yerel veya yönetici veya kullanıcı hesabı seçenekleri için Evet'i seçtiğinizde, hem LAPS yapılandırmasına sahip macOS yerel yönetici hesabını hem de bu kayıt profilini kullanarak kaydolan cihazlar için standart bir kullanıcı hesabı yapılandırmış olursunuz.

Benzersiz hesap parolaları küçük ve büyük harf, sayı ve özel simgelerin karışımıyla 15 karakter kullanılarak oluşturulur.

Önemli

LAPS hesapları yapılandırılmış cihazlar için parola ilkelerini yalnızca ayarlar kataloğu aracılığıyla hedefleyip Sonraki kimlik doğrulamasında değiştir ayarını devre dışı bırakın.

Uyumluluk ilkeleri veya cihaz kısıtlama şablonları aracılığıyla yapılandırılan parola ayarları, Varsayılan olarak bir sonraki kimlik doğrulamasında Değiştir'i etkinleştirir ve yeni oluşturulan LAPS hesapları için oturum açma sorunlarına neden olabilir.

Yerel hesap yapılandırmasının herhangi bir parçası olduğunda, Son yapılandırmayı bekle ayarı varsayılan olarak arka uçta her zaman Evet olarak ayarlanır. Hesap yapılandırması Kurulum Yardımcısı sırasında gerçekleştiğinden bu ayar ayarlanır.

Yerel yönetici hesabı

Yönetici hesabı için kullanılabilen seçenekleri gösteren ekran görüntüsü.

Kullanılabilir yapılandırma seçeneklerine örnekler aşağıda verilmiştir. Ek ayrıntılara, bazı ayarların adını izleyen Bilgi simgeleri aracılığıyla erişilebilir.

  • hesap kullanıcı adını Yönetici - Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Varsayılan olarak, bu alan Yönetici kullanır.

    • {{serialNumber}} - örneğin , F4KN99ZUG5V2
    • {{partialupn}} - örneğin, John.Dupont
    • {{managedDeviceName}} - örneğin, F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} - örneğin, JDoe

  • hesabın tam adını Yönetici - Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Varsayılan olarak, bu alan Yönetici kullanır.

    • {{username}} - örneğin, John@contoso.com
    • {{serialNumber}} - örneğin , F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} - örneğin, JDoe

  • Kullanıcılar & Gruplarında Gizle - Yönetici hesabını oturum açma penceresinde ve Kullanıcılar & Grupları'nda gizleyin. Varsayılan olarak, bu ayar Yapılandırılmadı olarak ayarlanır.

  • Yönetici hesap parolası döndürme süresi (gün) - Yapılandırıldıysa, bu ayar yönetici hesabı parolasının otomatik olarak döndürüldükten sonraki süresini (1-180 gün) belirler. Bu döndürme, her 180 günde bir gerçekleşen otomatik döndürmeye ek olarak gerçekleşir.

Yerel kullanıcı hesabı

Yönetici olmayan bir kullanıcı hesabı için kullanılabilen seçenekleri gösteren ekran görüntüsü.

Aşağıda, kullanılabilir seçenekler için bazı yönergeler verilmiştir. Ek ayrıntılara, bazı ayarların adını izleyen Bilgi simgeleri aracılığıyla erişilebilir.

  • Hesap türü - Standart kullanıcı hesabı oluşturmak için varsayılan olarak Standart olarak ayarlanır. Hiçbir yerel yönetici hesabı yapılandırılmamışsa yerel kullanıcı hesabı türü yönetici olarak ayarlanır. Bu, herhangi bir macOS cihazını ayarlamak için her zaman bir yönetici hesabı gerektiğinden bir platform sınırlamasıdır.

  • Hesap bilgilerini önceden doldurma - Hesap adını yönetmek veya düzenlemeyi kısıtlamak istiyorsanız bu seçeneği Evet olarak ayarlayın.

  • Birincil hesap adı - Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Hesap bilgilerini önceden doldur ayarı Yapılandırılmadı olarak ayarlandıysa Kurulum Yardımcısı, Hesap Adı alanını önceden doldurmak için bu değeri kullanır. Varsayılan olarak, bu alan {{partialupn}} değişkenini kullanır.

    • {{serialNumber}} - örneğin , F4KN99ZUG5V2
    • {{partialupn}} - örneğin, John.Dupont
    • {{managedDeviceName}} - örneğin, F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} - örneğin, JDoe

  • Birincil hesap tam adı - Hesabın tam adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki değişkenlerden birini kullanın. Ön Doldurma hesabı bilgileriYapılandırılmadı olarak ayarlandıysa, Kurulum Yardımcısı Tam Ad alanını önceden doldurmak için bu değeri kullanır. Varsayılan olarak, bu alan {{username}} değişkenini kullanır:

    • {{username}} - örneğin, John@contoso.com
    • {{serialNumber}} - örneğin , F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} - örneğin, JDoe

  • Düzenlemeyi kısıtla - Son kullanıcının tam adı ve hesap adını düzenlemesini engelleyin. Varsayılan olarak, bu ayar Yapılandırılmadı olarak ayarlanır.

Hesap ve parola ayrıntılarını görüntüleme

Bir cihazın yerel Yönetici parolasını görüntülemek için kendi hesabınıza aşağıdaki RBAC izni Intune atanmalıdır:

  • Kategori: MacOS yönetici parolasını görüntüle'ninEvet olarak ayarlandığı kayıt programları

Yönetici hesabı parolasını görüntülemek için

  1. Microsoft Intune yönetim merkezindeCihazlar>macOS cihazları'na> giderek bir macOS cihazı seçerek Genel Bakış bölmesini >Parolalar ve anahtarlar açın.

Parolalar ve anahtarlar bölmesinde, macOS cihazının yönetici parolasını Yerel yönetici hesabı parolası bölümünden alabilirsiniz. Burada parolanın en son ne zaman döndürüldüğünü el ile veya otomatik olarak da görebilirsiniz.

Kayıtlı bir macOS cihazının Intune yönetilen yönetici parolası olup olmadığını görmek için, parola konsolda başarıyla alınabiliyorsa, bu, yerel yönetici hesabının parolasının Intune tarafından yönetileceği anlamına gelir.

Parolalar ve anahtarlar bölmesini ve Yerel yönetici parolasını döndür seçeneklerini gösteren ekran görüntüsü.

Yönetici hesabı parolasını el ile döndürme

LAPS ilkesi, hesap parolalarını otomatik olarak döndürmek için bir zamanlama içerir (altı ayda bir). Zamanlanmış döndürmeye ek olarak, bir cihaz parolasını istediğiniz zaman el ile döndürmek için Yerel yönetici parolasını döndür'ün Intune cihaz eylemini kullanabilirsiniz.

Bu cihaz eylemini kullanmak için hesabınıza şu [Intune RBAC izni](#role tabanlı-erişim- controls-for-macos-laps) atanmalıdır:

  • Kategori: MacOS yönetici parolasını döndürseçeneğinin Evet olarak ayarlandığı kayıt programları

Yönetici parolasını döndürmek için

  1. Microsoft Intune yönetim merkezindeCihazlar>macOS cihazları'na> gidin ve döndürmek istediğiniz hesabı içeren bir macOS cihazı seçin.

  2. Cihazlara Genel Bakış bölmesinde, bölmenin üst kısmındaki seçenekler listesinden Yerel yönetici parolasını döndür'ü seçin.

    Cihazlara genel bakış bölmesinin ekran görüntüsü.

  3. Cihazın Genel Bakış bölmesinde parolanın en son ne zaman döndürüldüğünü onaylamak için:

    1. İzleyici'yi genişletin ve ardından Parolalar ve anahtarlar'ı seçin.
    2. Parolalar ve anahtarlar bölmesinde, parolanın döndürülmüş olduğu son tarih ve saati bulabilirsiniz.

Parola döndürmeyi izleme

Hem parola görüntüleme hem de döndürme, Intune yönetim merkezinden görüntüleyebileceğiniz Intune Denetim olayları oluşturur.

Microsoft Intune yönetim merkezindeKiracı yönetimi>Denetim günlükleri'ne gidin.

Aşağıdaki girdileri arayın:

  • Get AdminAccountDto - Bir kişinin yönetici parolasını ne zaman görüntülemiş olduğunu tanımlar.
  • rotateLocalAdminPassword ManagedDevice - Yönetici parolasının ne zaman döndürüldüğünü tanımlar.

İlgili içerik

  • Last updated on