在 Intune 中设置 macOS 设备注册

Microsoft Intune 支持在个人和公司拥有的 Mac 上进行注册。 本文介绍可用于注册个人设备、公司拥有的设备和虚拟机 (VM) 的方法和功能。

在 Microsoft Intune 中启用注册

首先完成这些步骤,以便在 Microsoft Intune 租户中启用注册。

  1. 验证设备有资格注册 Apple 设备
  2. 配置域
  3. 设置 MDM 机构
  4. 获取 Apple MDM Push Certificate
  5. Microsoft 365 管理中心分配用户许可证
  6. 创建组
  7. 配置公司门户应用

注册设备

启用注册后,使用本部分所述支持的方法之一注册用户所有和公司所有的设备。

用户拥有的 macOS 设备 (BYOD)

Intune 支持 bring-your-own-deviceBYOD,从而允许用户自行注册其个人设备。 若要完成 BYOD 方案的注册设置,请告知许可用户使用以下选项之一注册设备:

公司拥有的 macOS 设备

Intune 支持公司所有的 macOS 设备的以下注册方法。 选择超链接方法以打开其安装步骤。

  • Apple 自动设备注册:使用此方法在通过 Apple Business Manager 或 Apple School Manager 购买的设备上自动执行注册体验。 自动设备注册通过无线方式部署注册配置文件,因此无需对设备进行物理访问。
  • Device 注册管理器 (DEM):使用此方法进行大规模部署,组织中有多个人员可以帮助进行注册设置。 具有设备注册管理器 (DEM) 权限的人可以使用单个 Microsoft Entra 帐户注册最多 1,000 台设备。 此方法使用公司门户应用或 Microsoft Intune 应用来注册设备。 不能使用 DEM 帐户通过自动设备注册来注册设备。
  • 直接注册:直接注册可以注册没有用户关联的设备,因此此方法最适合不与单个用户关联的设备。 此方法要求你对正在注册的 Mac 具有物理访问权限。

启动令牌

Intune 支持在运行 macOS 10.15 或更高版本的已注册 Mac 上使用启动令牌。 启动令牌向本地用户和来宾帐户授予批量所有权状态,非管理员用户可以批准管理员需要执行的重要操作。 如以下操作:

  • 用户发起的软件更新

  • Apple silicon 上的内核扩展安装

可以在受监督的 Mac 和通过 macOS 自动设备注册注册的 Mac 上使用启动令牌。

获取启动令牌

启动令牌在以下情况下自动生成:

  • 新注册的 Mac 使用 Intune 签入并
  • 启用了安全令牌的用户(通常是 Intune 管理员)使用其明文密码登录到 Mac

然后令牌会被自动托管到 Microsoft Intune。 如果需要,可以使用命令行工具在支持的 macOS 设备上手动查看、生成、托管启动令牌。 有关命令的详细信息,请参阅 Apple 客户服务上的 在部署中使用安全令牌、启动引导令牌、卷所有权

监视启动引导托管状态

可以在管理中心监视任何已注册 Mac 的托管状态。 启动引导令牌托管 的硬件属性报告是否已在 Intune 中托管启动引导令牌。 Intune 在成功托管令牌时报告 ,并在未托管令牌时报告

  1. 登录到 Microsoft Intune 管理中心
  2. 转到 “设备>按平台>macOS”。
  3. 从 macOS 设备列表中选择设备。
  4. 选择“硬件”。
  5. 在硬件详细信息中,向下滚动到“条件访问”>“已托管启动引导令牌”。

管理内核扩展和软件更新

重要

不再建议将内核扩展用于 macOS。 Apple 建议尽可能使用系统扩展。 有关更多详细信息,请参阅 Apple 平台安全指南 - 在 Apple 支持上的 macOS 中安全地扩展内核

启动令牌可用于批准在 Mac 上使用 Apple silicon 安装内核扩展和软件更新。

用户发起的软件更新可在运行 macOS、 版本 11.1 且由自动设备注册完成注册的 Mac 上使用启动令牌进行。 若要授权未由自动设备注册完成注册的设备上由用户发起的软件更新,则必须在恢复模式下重启 Mac 并降级其安全设置。 还可以在运行 macOS 11.2 及更高版本的 Mac 上使用启动令牌进行软件更新,唯一的要求是需要对设备进行监督。

内核扩展管理在运行 macOS 11 或更高版本的 Mac 上自动可用,并通过自动设备注册进行注册。 若要授权远程管理未通过自动设备注册注册的设备上的内核扩展,必须在恢复模式下重启 Mac 并降级其安全设置。 有关详细信息,请参阅 Apple 支持部门上的使用 Apple silicon 更改 Mac 启动磁盘上的安全设置

阻止 macOS 注册

默认情况下,Intune 允许注册 macOS 设备。 若要阻止 macOS 设备注册,请参阅 设置设备平台限制

注册用于测试的虚拟 macOS 计算机

注意

Intune 仅支持用于测试目的的虚拟 macOS 计算机。 不要将虚拟机 (VM) 用作员工或学生的官方设备。

Intune 支持运行以下项的 VM:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune 需要知道 VM 的硬件模型和序列号,才能将其识别并注册为设备。 如果尝试注册 VM 而不提供这些详细信息,则注册将失败。 本部分提供有关如何在注册前满足此要求的详细信息。

Parallels Desktop

修改 VM 的配置设置以添加或更改 VM 序列号和硬件模型标识符。 输入序列号的任何字母数字字符串。 对于硬件模型,我们建议使用运行 VM 的设备的模型。 若要查找 Mac 的硬件模型,请选择 Apple 菜单并转到关于此 Mac>系统报告>模型标识符

有关详细信息,请参阅 Parallels 知识库中的以下主题:

VMware Fusion

将以下行添加到 .vmx 文件,以设置 VM 的硬件模型和序列号。 此示例中显示的值是示例。

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

输入序列号的任何字母数字字符串。 对于硬件模型,我们建议使用运行 VM 的设备的模型。 若要查找 Mac 的硬件模型,请选择 Apple 菜单并转到关于此 Mac>系统报告>模型标识符

VMware Fusion 仅在 Intel Mac 上受支持。 有关编辑 VMware Fusion VM 的 .vmx 文件的详细信息,请参阅 VMware 客户连接网站。

Apple Silicon

在 Apple Silicon 硬件上运行的 VM 无需更改。 使用 Apple Silicon 的 Mac 支持 Parallels Desktop,因此,如果以这种方式设置 VM,则无需修改硬件型号 ID 或序列号。

用户已批准注册

Intune 中的全部 Mac 注册都被视为用户已批准。 可通过用户已批准的注册管理不属于 Apple School Manager 或 Apple Business Manager 的 macOS 设备。 它提供与由自动设备注册或 Apple Configurator 注册的受监督 macOS 设备相同的控制级别。

Intune 会自动为运行 macOS 11 及更高版本的用户已批准的设备启用监督。 它还适用于稍后更新到 macOS 11 或更高版本的已注册设备。

注意

Intune 于 2020 年 6 月宣布支持用户已批准注册。 在该时间之前发生的 BYOD 注册可能无法实现用户已批准。 有关 Apple 设备获得用户批准的详细信息,请参阅 Apple 支持部门网站用户批准的 MDM 注册

用户体验

设备用户登录到公司门户应用以启动注册。 公司门户会打开设备的系统首选项,并提示用户安装管理配置文件。 公司门户会提供应用内说明以帮助用户查找配置文件。 用户转到 “系统首选项>配置文件” 以批准管理配置文件安装。 在注册期间不提供批准的设备用户稍后可以返回到系统首选项以进行批准。

查明设备是否处于“用户已批准”状态

  1. 管理中心,选择“ 设备>”“所有设备”。
  2. 选择 macOS 设备。
  3. 从侧边菜单选择 硬件
  4. 检查用户已批准注册旁边的值。

使用 Apple 迁移助手进行备份和还原

使用 Apple 迁移助手备份和还原 macOS 设备。 可以使用该工具备份 Mac 并在新设备上还原其应用数据。 请务必了解:

  • 未备份原始 Mac 上的管理配置文件。 新 Mac 重新注册时,会向设备发送新的管理配置文件。 这种情况发生在通过 Apple 自动设备注册的 Mac 和未通过自动设备注册的 Mac 上。
  • 通过迁移助手并注册后,公司门户应用凭据可能会在新 Mac 上还原。 如果发生这种情况,我们建议你或设备用户完成以下步骤以清除应用数据:
    1. 注销公司门户应用。
    2. 登录到应用或公司门户网站。

后续步骤