註冊指南:在 Microsoft Intune 中註冊 macOS 裝置
您可以在 Intune 中註冊個人和組織擁有的裝置。 在macOS裝置上,公司入口網站應用程式或Apple安裝助理會驗證使用者,並開始註冊。 註冊之後,他們會收到您建立的原則。
註冊 macOS 裝置時,您有下列選項:
本文內容:
- 描述每個註冊方法的公司入口網站應用程式選項。
- 針對支持的裝置管理案例提供註冊建議。
- 包含每個註冊類型的系統管理員和使用者工作概觀。
每個平臺也有不同註冊選項的可視化指南:
提示
本指南是一件即時的工作。 因此,請務必新增或更新您發現有用的現有秘訣和指引。
開始之前
如需準備租用戶進行註冊所需的所有 Intune 特定必要條件和設定,請移至註冊指南:Microsoft Intune 註冊。
BYOD:裝置註冊
用於個人或攜帶您自己的裝置 (BYOD) 。 此註冊選項也稱為 使用者核准的註冊。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 裝置為個人或 BYOD。 | ✅ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✅ |
| 您有新的或現有的裝置。 | ✅ |
| 裝置會與單一使用者相關聯。 | ✅ |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ✅ 請留意使用 DEM 帳戶的影響和任何限制。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 當裝置註冊時,MDM 提供者會安裝憑證和其他檔案。 必須移除這些檔案。 最快速的方式可能是取消註冊或將裝置重設為原廠。 如果您不想要重設出廠預設值,請連絡 MDM 提供者以取得指引。 |
| 裝置是由組織或學校所擁有。 | ❌ 不建議用於組織擁有的裝置。 組織擁有的裝置應使用本文) 或 Apple Configurator 中的 自動裝置註冊 (進行註冊。 您可以將 MacBook 序號新增至公司裝置識別碼,以將裝置標示為公司。 但根據預設,裝置會標示為個人。 |
| 裝置是無使用者的,例如 kiosk、專用或共用。 | ❌ 這些裝置是組織擁有的。 無使用者的裝置應使用本文) 或 Apple Configurator 中的 自動裝置註冊 (進行註冊。 |
裝置註冊管理工作
此工作清單提供概觀。
請確定您的裝置 受到支援。
請確定 Apple MDM 推播憑證 已新增至 Intune,且為使用中狀態。 需要此憑證才能註冊 macOS 裝置。 如需詳細資訊,請移至 取得Apple MDM推播憑證。
Apple App Store 中或透過 VPP 沒有適用於 macOS 裝置的公司入口網站應用程式。 用戶必須 手動下載並執行公司入口網站應用程式安裝程式套件。 他們會使用其組織帳戶登入 (
user@contoso.com) ,然後逐步執行註冊。 註冊之後,他們必須核准註冊原則。核准時,裝置會新增至您的組織Microsoft Entra ID。 然後,Intune 可以接收您的原則。
請務必與您的用戶溝通這項資訊。
裝置註冊終端使用者工作
您的用戶必須執行下列步驟。 如需終端使用者步驟的詳細資訊,請移至 使用公司入口網站應用程式註冊macOS裝置。
- 下載並執行 公司入口網站應用程式安裝程式套件。
- 開啟公司入口網站應用程式,並使用其組織帳戶登入 (
user@contoso.com) 。 登入之後,他們必須核准註冊原則 (系統喜好設定) 。 當使用者核准時,裝置會註冊並視為受控。 如果他們未核准,則不會註冊,也不會收到您的原則。
除非使用者手動關閉裝置,否則公司入口網站應用程式會偵測管理配置檔的安裝,並自動註冊裝置。 用戶必須重新開啟應用程式,才能完成裝置註冊。 如果您使用依賴裝置註冊的動態群組,用戶必須返回應用程式並註冊。 規劃將這些步驟傳達給使用者。 如果您使用條件式存取 (CA) 原則,則不需要採取任何動作,因為任何受 CA 保護的應用程式使用者嘗試登入都會提示他們返回公司入口網站以完成裝置註冊。
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與用戶通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計劃。
自動化裝置註冊 (ADE) (受監督)
先前稱為 Apple 裝置註冊計劃 (DEP) 。 在您組織所擁有的裝置上使用 。 此選項會使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 來設定設定。 它會註冊大量裝置,而不需要您觸碰裝置。 這些裝置是從 Apple 購買、具有預先設定的設定,而且可以直接寄送給使用者或學校。 您可以在 Intune 系統管理中心建立註冊配置檔,並將此原則推送至裝置。
如需此註冊類型的更具體資訊,請移至使用 Apple Business Manager 或 Apple School Manager 自動註冊 macOS 裝置。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 裝置是由組織或學校所擁有。 | ✅ |
| 您有新的裝置。 | ✅ |
| 您有現有的裝置。 | ✅ 若要註冊現有的裝置,請在設定助理 (開啟另一個Microsoft文章) 之後,移至 註冊 Mac 。 |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✅ |
| 裝置會與單一使用者相關聯。 | ✅ |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ✅ |
| 裝置為個人或 BYOD。 | ❌ 不建議。 在本文) 中,應該使用 裝置註冊 (註冊 BYOD 或個人裝置。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 若要完全由 Intune 管理,用戶必須從目前的 MDM 提供者取消註冊,然後在 Intune 中註冊。 或者,您可以使用 裝置註冊 來管理裝置上的特定應用程式。 由於這些裝置是組織擁有的,因此建議您在 Intune 中註冊。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ❌ 不支援 DEM 帳戶。 |
ADE 系統管理工作
此工作清單提供概觀。 如需更具體的資訊,請移至使用 Apple Business Manager或 Apple School Manager 自動註冊 macOS 裝置。
請確定您的裝置 受到支援。
您需要存取 Apple Business Manager (ABM) 入口網站或 Apple School Manager (ASM) 入口網站。
請確定Apple令牌 (
.p7m) 作用中。 如需更具體的資訊,請移至 建立註冊計劃令牌。請確定 Apple MDM 推播憑證 已新增至 Intune,且為使用中狀態。 需要此憑證才能註冊 macOS 裝置。 如需詳細資訊,請移至 取得Apple MDM推播憑證。
決定使用者在其裝置上驗證的方式: 設定助理 (舊版) 或 使用新式驗證設定助理。 建立註冊原則之前,請先做出此決定。 使用 設定助理搭配新式驗證 會被視為新式驗證。 Microsoft建議搭配使用 設定助理與新式驗證。
對於所有組織擁有的 macOS 裝置,即使您在 Intune 中看不到「設定助理」文字,仍一律會自動使用設定助理 ( 舊版) 。 設定助理 (舊版) 驗證使用者,並註冊裝置。
選取 [設定助理] (舊版) ::
您想要抹除裝置。
您不想要使用新式驗證功能,例如 MFA。
您不想要在 Microsoft Entra ID 中註冊裝置。 設定助理 (舊版) 使用Apple
.p7m令牌來驗證使用者。 如果無法在 Microsoft Entra ID 中註冊裝置是可接受的,則您不需要安裝公司入口網站應用程式。 繼續使用設定助理 (舊版) 。如果您想要使用公司入口網站應用程式進行驗證,而不是使用設定助理,或想要在 Microsoft Entra ID 中註冊裝置,則:
- 若要在裝置上安裝公司入口網站應用程式,請移至 新增公司入口網站應用程式。 將公司入口網站應用程式設定為必要的應用程式。
- 註冊裝置之後 ,請安裝公司入口網站應用程式。
- 安裝之後,用戶會開啟公司入口網站應用程式,並使用其組織登入 Microsoft Entra 帳戶 (
user@contoso.com) 。 當他們登入時,它們會經過驗證,並準備好接收您的原則。
選取具有 新式驗證的設定助理 ,時機如下:
- 您想要抹除裝置。
- 您想要使用多重要素驗證 (MFA) 。
- 您要提示使用者在第一次登入時更新其過期的密碼。
- 您想要提示使用者在註冊期間重設其過期的密碼。
- 您想要在 Microsoft Entra ID 中註冊裝置。 註冊它們時,您可以使用 Microsoft Entra ID 提供的功能,例如條件式存取。
注意事項
在設定助理期間,用戶必須輸入其組織Microsoft Entra 認證 (
user@contoso.com) 。 當他們輸入認證時,就會開始註冊。 如有需要,使用者也可以輸入其 Apple ID 來存取 Apple 特定功能,例如 Apple Pay。安裝助理完成之後,使用者就可以使用裝置。 當主畫面顯示時,註冊完成,並建立用戶親和性。 裝置未向 Microsoft Entra ID 完整註冊,且不會顯示在使用者的裝置清單中,Microsoft Entra ID。
如果使用者需要存取受條件式存取保護的資源,或應向 Microsoft Entra ID 完整註冊,請 安裝公司入口網站應用程式。 安裝之後,用戶會開啟公司入口網站應用程式,並使用其組織登入 Microsoft ()
user@contoso.com。 在第二次登入期間,會評估任何條件式存取原則,Microsoft註冊完成。 用戶可以安裝和使用組織資源,包括LOB應用程式。
在 Intune 系統管理中心中,移至 Apple Configurator 註冊 並建立註冊配置檔。 選擇 [ 使用使用者親和性 註冊], (將使用者與裝置) 建立關聯,或 (無使用者裝置或共用裝置) , 在沒有使用者親和性的情況下 註冊。
使用使用者親和性註冊:設定助理會驗證使用者,並在Intune 中註冊裝置。 此外,選擇使用者是否可以刪除管理配置檔,稱為 鎖定註冊。
無用戶親和性註冊:設定助理會驗證使用者,並在Intune 中註冊使用者。 此外,選擇使用者是否可以刪除管理配置檔,稱為 鎖定註冊。 在沒有使用者親和性的註冊上,不會使用、需要或支援公司入口網站應用程式。
ADE 終端使用者工作
這些工作取決於系統管理員如何告訴使用者安裝公司入口網站應用程式。 一般而言,用戶必須執行的註冊步驟越少,他們註冊的機會就越高。
如需終端使用者步驟的詳細資訊,請移至 使用公司入口網站應用程式註冊macOS裝置。
使用使用者親和性註冊 + 設定助理 (舊版) :
當裝置開啟時,會執行Apple Setup Assistant。 用戶輸入其Apple ID (
user@iCloud.com或user@gmail.com) 。設定助理會提示使用者提供資訊,並在Intune中註冊裝置。 裝置未在 Microsoft Entra ID 中註冊。
如果您使用設定助理進行驗證,請在這裡停止。
選用。 如果您使用公司入口網站應用程式進行驗證 (而非安裝助理) ,則公司入口網站應用程式 會使用您設定的選項進行安裝 。
用戶開啟公司入口網站應用程式,並使用其組織認證 ()
user@contoso.com登入。 登入之後,用戶會經過驗證,而且可以存取組織資源。請記住,安裝公司入口網站應用程式是選擇性的。 如果您想要讓使用者使用公司入口網站應用程式進行驗證,而不是使用設定助理,請 新增公司入口網站應用程式。
使用使用者親和性註冊 + 使用新式驗證的設定助理:
當裝置開啟時,會執行Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) ,並將其組織Microsoft Entra 認證 ()user@contoso.com。當使用者輸入其 Microsoft Entra 認證時,就會開始註冊。
設定助理可以提示使用者提供其他資訊。 完成時,使用者可以使用裝置。 當主畫面顯示時,註冊已完成,且已建立用戶裝置親和性。 使用者會在裝置上看到您的應用程式和原則。
用戶開啟 您安裝的公司入口網站應用程式,並使用其組織認證登入 (
user@contoso.com) 。
註冊時沒有用戶親和性:沒有動作。 請確定您的使用者未安裝公司入口網站應用程式。
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與用戶通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計劃。
直接註冊
在您組織擁有且不需要使用者裝置親和性的裝置上使用 。
這些裝置是組織擁有的,並使用Apple Configurator。 唯一的用途是成為 kiosk 樣式裝置。 它們不會與單一或特定使用者相關聯。 這些裝置通常用來掃描專案、列印票證、取得數位簽名、管理清查等等。
如需此註冊類型的更具體資訊,請移至 使用macOS裝置的直接註冊。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 您需要有線連線,或發生網路問題。 | ✅ |
| 您的組織不希望系統管理員使用 ABM 或 ASM 入口網站,或不想設定所有需求。 | ✅ 不使用 ABM 或 ASM 入口網站的概念是讓系統管理員的控制權降低。 |
| 國家/地區不支援 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 。 | ✅ 如果您的國家/地區支援 ABS 或 ASM,則應使用本文中的 自動裝置註冊 (註冊裝置) 。 |
| 裝置是由組織或學校所擁有。 | ✅ |
| 您有新的或現有的裝置。 | ✅ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✅ 如果您有大量的裝置,則此方法需要一些時間。 |
| 裝置會與單一使用者相關聯。 | ❌ 不建議。 需要使用者親和性的裝置應該使用 自動裝置註冊 (ADE) 註冊。 |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ✅ |
| 裝置為個人或 BYOD。 | ❌ 不建議。 應該使用 MAM 註冊 BYOD 或個人裝置 (開啟另一個Microsoft文章) ,或是 BYOD:本文中的裝置註冊 () 。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 若要完全由 Intune 管理,用戶必須從目前的 MDM 提供者取消註冊,然後在 Intune 中註冊。 或者,您可以使用 MAM 來管理裝置上的特定應用程式。 由於這些裝置是組織擁有的,因此建議您在 Intune 中註冊。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ❌ 不支援 DEM 帳戶。 |
直接註冊系統管理員工作
此工作清單提供概觀。 如需更具體的資訊,請移至 macOS直接註冊。
請確定您的裝置 受到支援。
請確定 Apple MDM 推播憑證 已新增至 Intune,且為使用中狀態。 需要此憑證才能註冊 macOS 裝置。 如需詳細資訊,請移至 取得Apple MDM推播憑證。
在 Intune 系統管理中心中,建立註冊配置檔。 選 取 [無使用者親和性註冊] (無使用者裝置或共用裝置) 。 使用無使用者裝置:
- 使用者無法使用需要使用者的應用程式,包括公司入口網站應用程式。 在沒有使用者親和性的註冊上,不會使用、需要或支援公司入口網站應用程式。 請確定使用者不會從Apple 應用程式市集安裝公司入口網站應用程式。
- 使用使用者親和性註冊 可在UI中使用,但無法運作。 請勿選取此選項。 如果您需要使用者親和性,請使用本文) 中的 自動裝置註冊 (。
註冊配置檔準備就緒時,請導出原則,並將檔案複製到macOS裝置。 按兩下檔案以安裝註冊原則。
如需此註冊選項及其必要條件的詳細資訊,請移至 macOS直接註冊。
直接註冊終端使用者工作
註冊時沒有用戶親和性:沒有動作。 請確定他們並未從Apple 應用程式市集安裝公司入口網站應用程式。
![在 Intune 系統管理中心和 Microsoft Intune 中,使用直接註冊來註冊 macOS 裝置。選取 [不使用用戶親和性註冊]。](media/deployment-guide-enrollment-ios-ipados/configurator-enroll-without-user-affinity.png)