注册指南:在 Microsoft Intune 中注册 macOS 设备
可以在 Intune 中注册个人和组织拥有的设备。 在 macOS 设备上,“公司门户”应用或 Apple 设置助理会对用户进行身份验证,然后开始注册。 注册后,他们会收到你创建的策略。
注册 macOS 设备时,有以下选项可供选择:
本文:
- 描述适用于每种注册方法的“公司门户”应用选项。
- 为受支持的设备管理方案提供注册建议。
- 概述了适用于每种注册类型的管理员和用户任务。
还有一个用于每个平台的不同注册选项的可视化指南:
提示
本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。
开始之前
有关准备租户进行注册所需的所有特定于 Intune 的先决条件和配置,请转到 注册指南:Microsoft Intune 注册。
BYOD:设备注册
使用个人设备或自带设备 (BYOD)。 此注册选项也称为 用户批准的注册。
| 功能 | 以下情况使用此注册选项 |
|---|---|
| 设备为个人设备或 BYOD。 | ✅ |
| 需要注册一些设备,或者注册大量设备(批量注册)。 | ✅ |
| 你有新设备或现有设备。 | ✅ |
| 设备与一个用户关联。 | ✅ |
| 使用设备注册管理器 (DEM) 帐户。 | ✅ 了解使用 DEM 帐户的相关影响以及限制。 |
| 设备由另一个 MDM 提供商管理。 | ❌ 注册设备时,MDM 提供商将安装证书和其他文件。 必须删除这些文件。 最快的方法是取消注册或恢复出厂设置设备。 如果不想恢复出厂设置,请联系 MDM 提供商获取指导。 |
| 设备归组织或学校所有。 | ❌ 对于组织拥有的设备,不建议使用该方法。 组织自有设备应使用自动设备注册(在本文中)或 Apple Configurator 进行注册。 可以将 MacBook 序列号添加到公司设备标识符中,将设备标记为公司设备。 但默认情况下,设备标记为个人设备。 |
| 设备是无用户设备,例如展台、专用或共享设备。 | ❌ 这些设备是组织拥有的。 无用户设备应使用自动设备注册(在本文中)或 Apple Configurator 进行注册。 |
设备注册管理员任务
此任务列表提供了概述信息。
请确保你的设备受支持。
请确保 Apple MDM 推送证书 已添加到 Intune 并处于活动状态。 注册 macOS 设备需要此证书。 有关详细信息,请转到 获取 Apple MDM 推送证书。
Apple App Store 或 VPP 不提供适用于 macOS 设备的公司门户应用。 用户需要手动下载和运行公司门户应用安装程序包。 他们使用其组织帐户 (
user@contoso.com) 登录,然后逐步完成注册。 注册后,他们必须批准注册策略。当他们批准时,设备将Microsoft Entra ID 添加到你的组织。 然后,Intune 可以使用它来接收策略。
请确保将此信息告知你的用户。
设备注册最终用户任务
用户需要执行以下步骤。 有关最终用户步骤的更具体信息,请转到 使用公司门户应用注册 macOS 设备。
- 手动下载和运行公司门户应用安装程序包。
- 打开公司门户应用并使用他们的组织帐户 (
user@contoso.com) 登录。 登录后,他们必须批准注册策略 (系统首选项) 。 用户批准后,设备成为已注册状态,并被视为托管设备。 如果他们未批准,则他们未注册,并且不会收到你的策略。
除非用户手动关闭设备,否则公司门户应用会检测管理配置文件的安装并自动注册设备。 用户必须重新打开应用才能完成设备注册。 如果使用依赖于设备注册的动态组,则用户必须返回到应用并注册。 计划将这些步骤传达给最终用户。 如果使用条件访问 (CA) 策略,则无需执行任何操作,因为任何受 CA 保护的应用用户尝试登录都会提示他们返回到公司门户完成设备注册。
用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅 规划指南:步骤 5 - 创建推出计划。
自动设备注册 (ADE)(受监督)
以前称为 Apple 设备注册计划 (DEP)。 在组织拥有的设备上使用。 此选项使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 来配置设置。 它能够自行注册大量设备,完全无需你操作设备。 这些设备是从 Apple 购买的,具有你预配置的设置,可以直接寄送给用户或学校。 在 Intune 管理中心创建注册配置文件,并将此策略推送到设备。
有关此注册类型的更具体信息,请转到 使用 Apple Business Manager 或 Apple School Manager 自动注册 macOS 设备。
| 功能 | 以下情况适用此注册选项 |
|---|---|
| 设备归组织或学校所有。 | ✅ |
| 你有新设备。 | ✅ |
| 你有现有的设备。 | ✅ 若要注册现有设备,请转到在设置助理 (打开另一篇Microsoft文章) 后注册 Mac 。 |
| 需要注册一些设备,或者注册大量设备(批量注册)。 | ✅ |
| 设备与一个用户关联。 | ✅ |
| 设备是“无用户的”,例如展台或专用设备。 | ✅ |
| 设备为个人设备或 BYOD。 | ❌ 不建议。 应使用设备注册(在本文中)来注册 BYOD 设备或个人设备。 |
| 设备由另一个 MDM 提供商管理。 | ❌ 若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,可以使用 设备注册 来管理设备上的特定应用。 由于这些设备是组织拥有的,因此我们建议在 Intune 中注册。 |
| 使用设备注册管理器 (DEM) 帐户。 | ❌ 不支持 DEM 帐户。 |
ADE 管理员任务
此任务列表提供了概述信息。 有关更具体的信息,请转到 使用 Apple Business Manager 或 Apple School Manager 自动注册 macOS 设备。
请确保你的设备受支持。
你需要访问 Apple Business Manager (ABM) 门户,或 Apple School Manager (ASM) 门户。
确保 Apple 令牌 (
.p7m) 处于活动状态。 有关更具体的信息,请转到 创建注册计划令牌。请确保 Apple MDM 推送证书 已添加到 Intune 并处于活动状态。 注册 macOS 设备需要此证书。 有关详细信息,请转到 获取 Apple MDM 推送证书。
确定用户将在其设备上进行身份验证的方式:设置助理(旧版)或者使用新式身份验证的设置助理。 在创建注册策略之前做出此决定。 如果使用带新式验证的设置助理,则被视为新式验证。 Microsoft 建议使用带新式验证的设置助理。
对于所有组织拥有的 macOS 设备, 设置助理 (旧版) 始终会自动使用,即使 Intune 中看不到“设置助理”文本也是如此。 设置助理(旧版)会对用户进行身份验证并注册设备。
如遇以下情况,请选择设置助理(旧版):
需要擦除设备。
你不想使用新式身份验证功能,如 MFA。
你不希望在 Entra ID Microsoft注册设备。 设置助理(旧版)使用 Apple
.p7m令牌对用户进行身份验证。 如果不在 Entra ID Microsoft注册设备是可以接受的,则无需安装公司门户应用。 可继续使用设置助理(旧版)。如果要使用公司门户应用进行身份验证,而不是使用设置助理,或者希望设备在 Entra ID Microsoft注册,则:
- 若要在设备上安装公司门户应用,请转到 添加公司门户应用。 将公司门户应用设置为必需的应用。
- 注册设备后,安装公司门户应用。
- 安装后,用户打开公司门户应用,并使用其组织Microsoft Entra 帐户 (
user@contoso.com) 登录。 当他们登录时,他们已经过身份验证,并准备好接收你的策略。
如遇以下情况,请选择带新式验证的设置助理:
- 需要擦除设备。
- 你想要使用多重身份验证 (MFA) 。
- 你想在用户首次登录时提示其更新已过期的密码。
- 你想在注册过程中提示用户重置其已过期的密码。
- 你希望设备Microsoft Entra ID 中注册。 注册后,可以使用Microsoft Entra ID 提供的功能,例如条件访问。
注意
在设置助理期间,用户必须输入其组织Microsoft Entra 凭据 (
user@contoso.com) 。 当用户输入其凭据时,将开始注册。 如果需要,用户还可输入其 Apple ID 来访问 Apple 专属功能,例如 Apple Pay。设置助理完成后,用户就可使用设备。 显示主屏幕时,表示已完成注册,并已建立用户关联。 设备未使用 Microsoft Entra ID 完全注册,并且不会显示在用户的设备列表中,Microsoft Entra ID。
如果用户需要访问受条件访问保护的资源,或者应使用Microsoft Entra ID 完全注册,请 安装公司门户应用。 安装后,用户打开公司门户应用,并使用其组织Microsoft Entra 帐户登录, (
user@contoso.com) 。 在第二次登录期间,将评估任何条件访问策略,并Microsoft Entra 注册完成。 用户可安装和使用组织资源,包括 LOB 应用。
在 Intune 管理中心,转到 Apple Configurator 注册并创建注册配置文件。 选择“注册时进行用户关联”(将用户关联到设备),或选择“注册时不进行用户关联”(“无用户”设备或共享设备)。
注册时进行用户关联:设置助理会对用户进行身份验证,并在 Intune 中注册设备。 还可以选择用户是否可以删除管理配置文件,该选项称为“锁定的注册”。
注册时不进行用户关联:设置助理会对用户进行身份验证,并在 Intune 中注册用户。 还可以选择用户是否可以删除管理配置文件,该选项称为“锁定的注册”。 在不进行用户关联的情况下,不使用、不需要或不支持公司门户应用。
ADE 最终用户任务
这些任务取决于管理员告知用户的安装公司门户应用的方式。 通常,最终用户必须执行的注册步骤越少,他们注册的可能性就越大。
有关最终用户步骤的更具体信息,请转到 使用公司门户应用注册 macOS 设备。
注册时进行用户关联 + 设置助理(旧版):
启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID(
user@iCloud.com或user@gmail.com)。设置助理会提示用户输入信息,并在 Intune 中注册设备。 设备未在 Entra ID Microsoft中注册。
如果使用设置助理进行身份验证,在这里就结束了。
可选。 如果使用公司门户应用进行身份验证(而不是设置助理),系统会使用你配置的选项安装公司门户应用。
用户打开公司门户应用并使用他们的组织凭据 (
user@contoso.com) 登录。 用户登录后,将进行身份验证,然后便能够访问组织资源。请记住,安装公司门户应用是可选的。 如果希望用户使用公司门户应用进行身份验证,而不是使用设置助理,那么请添加公司门户应用。
注册时进行用户关联 + 带新式验证的设置助理:
启动设备后,Apple 设置助理开始运行。 用户输入其 Apple ID (
user@iCloud.com或user@gmail.com) 及其组织Microsoft Entra 凭据 (user@contoso.com) 。当用户输入其Microsoft Entra 凭据时,将开始注册。
设置助理可以提示用户提供其他信息。 完成后,用户即可使用设备。 显示主屏幕时,表示已完成注册,并已建立用户设备关联。 用户将在设备上看到你的应用和策略。
用户打开你安装的公司门户应用,并使用其组织凭据 (
user@contoso.com) 再次登录。
注册时不进行用户关联:无操作。 请确保用户不安装公司门户应用。
用户一般不喜欢自己注册,可能不熟悉公司门户应用。 请务必提供指导,包括要输入的信息。 有关与用户通信的一些指南,请参阅 规划指南:步骤 5 - 创建推出计划。
直接注册
在组织自有的不需要用户设备相关性的设备上使用。
这些设备由组织自有,并使用 Apple Configurator。 其唯一用途是充当展台式设备。 它们不与单个或特定用户关联。 这些设备通常用于扫描项目、打印票证、获取数字签名、管理库存等。
有关此注册类型的更具体信息,请转到 为 macOS 设备使用直接注册。
| 功能 | 以下情况使用此注册选项 |
|---|---|
| 需要有线连接,或者遇到网络问题。 | ✅ |
| 你的组织不希望管理员使用 ABM 或 ASM 门户,或者不想设置所有需求。 | ✅ 不考虑使用 ABM 或 ASM 门户,是为了缩减管理员的控制权。 |
| 国家/地区不支持 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 。 | ✅ 如果你的国家/地区支持 ABS 或 ASM,则应使用本文) 中的 自动设备注册 (注册设备。 |
| 设备归组织或学校所有。 | ✅ |
| 你有新设备或现有设备。 | ✅ |
| 需要注册一些设备,或者注册大量设备(批量注册)。 | ✅ 如果你有大量设备,则此方法需要一些时间。 |
| 设备与一个用户关联。 | ❌ 不建议。 需要用户相关性的设备应使用自动设备注册 (ADE) 进行注册。 |
| 设备是“无用户的”,例如展台或专用设备。 | ✅ |
| 设备为个人设备或 BYOD。 | ❌ 不建议。 应使用 MAM 注册 BYOD 或个人设备, (打开另一篇Microsoft文章) 或 BYOD:设备注册 (本文) 。 |
| 设备由另一个 MDM 提供商管理。 | ❌ 若要由 Intune 完全托管设备,用户需要从当前 MDM 提供商取消注册,然后在 Intune 中注册。 或者,你可以使用 MAM 来管理设备上的特定应用。 由于这些设备是组织拥有的设备,建议在 Intune 中进行注册。 |
| 使用设备注册管理员 (DEM) 帐户。 | ❌ 不支持 DEM 帐户。 |
直接注册管理员任务
此任务列表提供了概述信息。 有关更具体的信息,请转到 macOS 直接注册。
请确保你的设备受支持。
请确保 Apple MDM 推送证书 已添加到 Intune 并处于活动状态。 注册 macOS 设备需要此证书。 有关详细信息,请转到 获取 Apple MDM 推送证书。
在 Intune 管理中心,创建注册配置文件。 选择在没有用户相关性的情况下注册(无用户设备或共享设备)。 使用无用户设备:
- 用户不能使用需要用户的应用,包括公司门户应用。 在不进行用户关联的情况下,不使用、不需要或不支持公司门户应用。 确保用户不从 Apple App Store 安装公司门户应用。
- 使用用户相关性注册在 UI 中可用,但它不起作用。 不要选择此选项。 如果需要用户相关性,请使用自动设备注册(在本文中)。
注册配置文件准备就绪后,导出策略,并将文件复制到 macOS 设备。 双击该文件以安装注册策略。
有关此注册选项及其先决条件的详细信息,请转到 macOS 直接注册。
直接注册最终用户任务
注册时不进行用户关联:无操作。 确保用户不从 Apple App Store 安装公司门户应用。
