分享方式:


在 Intune 中設定 macOS 裝置註冊。

Microsoft Intune 支援在個人和公司擁有的 Mac 上註冊。 本文說明您可以用來註冊個人裝置、公司擁有的裝置,以及虛擬機 (VM) 的方法和功能。

在 Microsoft Intune 中啟用註冊

請先完成下列步驟,以在Microsoft Intune 租用戶中啟用註冊。

  1. 確認裝置符合 Apple 裝置註冊的資格
  2. 設定網域
  3. 設定 MDM 授權單位
  4. 取得 Apple MDM 推播憑證
  5. Microsoft 365 系統管理中心指派用戶授權
  6. 建立群組
  7. 設定公司入口網站應用程式

註冊裝置

啟用註冊之後,請使用本節所述的其中一個支援方法來註冊用戶擁有和公司擁有的裝置。

用戶擁有的 macOS 裝置 (BYOD)

Intune 支援 自備裝置BYOD,可讓使用者自行註冊其個人裝置。 若要完成 BYOD 案例的註冊設定,請告訴授權使用者使用下列其中一個選項來註冊裝置:

  • 登入 公司入口網站 ,並遵循畫面上的指示來新增裝置。
  • aka.ms/EnrollMyMac 安裝 Mac 版公司入口網站應用程式,並遵循畫面指示來新增裝置。

公司擁有的macOS裝置

Intune 針對公司擁有的macOS裝置支援下列註冊方法。 選取超連結方法以開啟其設定步驟。

  • Apple 自動化裝置註冊:使用此方法可將透過Apple Business Manager 或 Apple School Manager 購買的裝置註冊體驗自動化。 自動裝置註冊會透過無線方式部署註冊配置檔,因此您不需要實體存取裝置。
  • 裝置註冊管理員 (DEM) :使用此方法進行大規模部署,以及當組織中有多位人員可協助進行註冊設定時。 具有裝置註冊管理員 (DEM) 許可權的人員,可以使用單一 Microsoft Entra 帳戶註冊最多 1,000 個裝置。 此方法會使用公司入口網站應用程式或Microsoft Intune 應用程式來註冊裝置。 您無法使用 DEM 帳戶透過自動裝置註冊來註冊裝置。
  • 直接註冊:直接註冊會註冊沒有用戶親和性的裝置,因此此方法最適合未與單一使用者相關聯的裝置。 此方法會要求您擁有所註冊 Mac 的實體存取權。

啟動程式令牌

Intune 支援在執行 macOS 10.15 或更新版本的已註冊 Mac 上使用啟動程式令牌。 啟動程式令牌會將大量擁有權狀態授與本機使用者和來賓帳戶,讓非系統管理員使用者可以核准系統管理員需要執行的重要作業。 工作,例如:

  • 使用者起始的軟體更新

  • Apple 晶片上的核心延伸模組安裝

您可以利用受監督 Mac 上的啟動程式令牌,以及透過macOS自動化裝置註冊註冊的Mac。

取得啟動程式令牌

啟動程式令牌會在下列狀況下自動產生:

  • 新註冊的 Mac 會簽入 Intune 和
  • 已啟用安全令牌的使用者 (通常 Intune 系統管理員) 使用其明文密碼登入 Mac

令牌接著會自動委付至 Microsoft Intune。 如有需要,您可以使用命令行工具,在支援的macOS裝置上手動檢視、產生及委付啟動程式令牌。 如需命令的詳細資訊,請參閱在Apple支援服務 的部署中使用安全令牌、啟動程式令牌和磁碟區擁有權

監視啟動程式委付狀態

您可以在系統管理中心監視任何已註冊 Mac 的委付狀態。 Bootstrap 令牌委付的硬體屬性會報告啟動程式令牌是否已在 Intune 中委付。 Intune 會在令牌成功委付時回報 [ ],如果尚未委付令牌,則會回報 [ ]。

  1. 登入 Microsoft Intune 系統管理中心
  2. 移至 [依平台>的裝置>] macOS
  3. 從 macOS 裝置清單中選取裝置。
  4. 選取 [硬體]
  5. 在您的硬體詳細數據中,向下捲動至委付 的條件式存取>啟動程式令牌

管理核心延伸模組和軟體更新

重要事項

macOS 不再建議使用核心延伸模組。 Apple 建議盡可能使用系統擴充功能。 如需詳細資訊,請參閱 Apple Platform Security 指南 - 在Apple支援上安全地擴充macOS中的核心

啟動程式令牌可用來核准使用Apple晶片在Mac上安裝核心延伸模組和軟體更新。

使用者起始的軟體更新可以在執行 macOS 11.1 版的 Mac 上使用啟動程式令牌來執行,並透過自動裝置註冊進行註冊。 若要在未透過自動裝置註冊註冊的裝置上授權使用者起始的軟體更新,您必須在復原模式中重新啟動Mac,並降級其安全性設定。 您也可以在執行 macOS 11.2 和更新版本的 Mac 上使用啟動程式令牌進行軟體更新,唯一的需求是裝置必須受到監督。

核心延伸模組管理會在執行 macOS 11 或更新版本的 Mac 上自動提供,並透過自動裝置註冊進行註冊。 若要在未透過自動裝置註冊註冊的裝置上授權核心延伸模組的遠端管理,您必須在復原模式中重新啟動Mac,並降級其安全性設定。 如需詳細資訊,請參閱在 Apple Support 上使用 Apple 晶片變更 Mac 啟動磁碟上的安全性設定

封鎖macOS註冊

根據預設,Intune 會讓macOS裝置註冊。 若要封鎖macOS裝置進行註冊,請 參閱設定裝置平臺限制

註冊虛擬macOS機器以進行測試

注意事項

Intune 僅支援用於測試的虛擬macOS機器。 請勿使用虛擬機 (VM) 作為員工或學生的官方裝置。

Intune 支援執行下列作業的 VM:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune 必須知道 VM 的硬體型號和序號,才能辨識並註冊為裝置。 如果您嘗試註冊 VM 但未提供這些詳細數據,註冊會失敗。 本節提供如何在註冊之前滿足此需求的詳細資訊。

Parallels Desktop

修改 VM 的組態設定,以新增或變更 VM 序號和硬體型號識別碼。 輸入序號的任何英數位元字元字串。 針對硬體型號,建議您使用執行 VM 之裝置的模型。 若要尋找 Mac 的硬體型號,請選取 Apple 功能表,然後移至 [關於此 Mac>系統報>表模型標識符]

如需詳細資訊,請參閱 Parallels 知識庫中的下列主題:

VMware Fusion

將下列幾行新增至您的 .vmx 檔案,以設定 VM 的硬體型號和序號。 此範例中顯示的值為範例。

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

輸入序號的任何英數位元字元字串。 針對硬體型號,建議您使用執行 VM 之裝置的模型。 若要尋找 Mac 的硬體型號,請選取 Apple 功能表,然後移至 [關於此 Mac>系統報>表模型標識符]

只有 Intel Mac 支援 VMware Fusion。 如需 編輯 VMware Fusion VM 之 .vmx 檔案的詳細資訊,請參閱 VMware 客戶連線網站。

Apple Silicon

在 Apple Silicon 硬體上執行的 VM 不需要進行任何變更。 Apple Silicon 在 Mac 上支援 Parallels Desktop,因此如果您以這種方式設定 VM,就不需要修改硬體型號標識碼或序號。

使用者核准的註冊

Intune 中的所有 Mac 註冊都會被視為使用者核准。 使用者核准的註冊可讓您管理不屬於Apple School Manager或Apple Business Manager的macOS裝置。 它提供與使用自動裝置註冊或 Apple Configurator 註冊的受監督 macOS 裝置相同的控制層級。

Intune 會自動對執行macOS 11和更新版本的使用者核准裝置開啟監督。 它也會針對稍後更新至macOS 11或更新版本的已註冊裝置執行此動作。

注意事項

Intune於 2020 年 6 月宣佈支持使用者核准的註冊。 在該時間之前發生的 BYOD 註冊可能不會經過使用者核准。 如需 Apple 裝置獲得使用者核准的詳細資訊,請參閱 Apple 支援網站上的 使用者核准 MDM 註冊

使用者體驗

裝置使用者登入公司入口網站應用程式以起始註冊。 公司入口網站接著會開啟裝置的系統喜好設定,並提示使用者安裝管理配置檔。 公司入口網站提供應用程式內指示,協助使用者尋找配置檔。 使用者移至 [系統喜好設定>設定檔] 來核准管理設定檔安裝。 未在註冊期間提供核准的裝置使用者稍後可以返回系統喜好設定以提供核准。

了解裝置是否已獲得使用者核准

  1. 系統管理中心中,選取 [ 裝置>所有裝置]
  2. 選擇macOS裝置。
  3. 從側邊功能表中,選取 [ 硬體]
  4. 檢查 [使用者核准的註冊] 旁的值。

使用 Apple Migration Assistant 進行備份和還原

使用 Apple Migration Assistant 來備份和還原 macOS 裝置。 您可以使用此工具來備份 Mac,並在新裝置上還原其應用程式數據。 請務必瞭解:

  • 原始 Mac 上的管理設定檔未備份。 當新的 Mac 重新註冊時,裝置會傳送新的管理配置檔。 這會在通過 Apple 自動化裝置註冊的 Mac 和未通過自動裝置註冊的 Mac 上發生。
  • 公司入口網站應用程式認證可能會在新 Mac 上通過移轉小幫手並註冊之後還原。 如果發生這種情況,建議您或裝置使用者完成下列步驟來清除應用程式資料:
    1. 註銷公司入口網站應用程式。
    2. 登入應用程式或公司入口網站。

後續步驟