共用方式為

Intune 中的 macOS 裝置功能設定

注意事項

Intune 可能支援比本文所列設定更多的設定。 並非所有設定都會記錄在案,也不會記錄在案。 若要查看您可以設定的設定,請建立裝置組態原則,然後選取 [設定目錄]。 如需詳細資訊,請移至 [設定] 目錄

Intune 包含內建設定,可自訂 macOS 裝置上的功能。 例如,管理員可以新增 AirPrint 印表機、選擇使用者登入方式、設定電源控制、使用單一登入驗證等等。

使用這些功能來控制 macOS 裝置,作為行動裝置管理 (MDM) 解決方案的一部分。

本功能適用於:

  • macOS

本文說明這些設定。 它還列出了使用終端應用程序 (模擬器) 獲取 AirPrint 打印機的 IP 地址、路徑和端口的步驟。 如需裝置功能的詳細資訊,請移至 新增 iOS/iPadOS 或 macOS 裝置功能設定

開始之前

隔空列印

設定適用於:所有註冊類型

  • AirPrint 目的地:輸入一或多個 AirPrint 印表機資訊,以便使用者可以從其裝置列印:

    • IP 位址:輸入印表機的 IPv4 或 IPv6 位址。 例如,輸入 10.0.0.1。 如果您使用主機名稱來識別印表機,您可以透過在終端機應用程式中 ping 印表機來取得 IP 位址。 取得本文中的 IP 位址和路徑 () 有更多詳細資訊。
    • 資源路徑:輸入印表機的資源路徑。 此路徑通常 ipp/print 適用於網路上的印表機。 取得本文中的 IP 位址和路徑 () 有更多詳細資訊。
    • iOS 11.0+、iPadOS 13.0+) (連接埠:輸入 AirPrint 目的地的監聽連接埠。 如果您將此屬性保留空白,AirPrint 會使用預設連接埠。
    • iOS 11.0+、iPadOS 13.0+) (強制使用 TLS:你的選項:
      • 停用 (預設) :連線到 AirPrint 印表機時,不會強制執行傳輸層安全性 (TLS) 。
      • 啟用:使用傳輸層安全性 (TLS) 保護 AirPrint 連線。

  • 匯入 包含 AirPrint 印表機清單的逗號分隔檔案 (.csv) 。 此外,在 Intune 中新增 AirPrint 印表機之後,您可以 匯出 此清單。

取得 IP 位址和路徑

要添加 AirPrinter 服務器,您需要打印機的 IP 地址、資源路徑和端口。 下列步驟說明如何取得此資訊。

  1. 在與 AirPrint 印表機連接至相同區域網路 (子網路) 的 Mac 上,從 /Applications/Utilities) (開啟「終端機」App。

  2. 在「終端機」App 中,輸入 ippfind,然後選取 Enter 鍵。

    記下印表機資訊。 例如,它可以傳回類似 ipp://myprinter.local.:631/ipp/port1. 第一部分是印表機的名稱。 ) (ipp/port1 最後一部分是資源路徑。

  3. 在終端機應用程式中,輸入 ping myprinter.local,然後選取 Enter。

    記下 IP 位址。 例如,它可以傳回類似 PING myprinter.local (10.50.25.21).

  4. 使用 IP 位址和資源路徑值。 在本例中,IP地址為 10.50.25.21,資源路徑為 /ipp/port1

關聯網域

在 Intune 中,您可以:

  • 新增許多應用程式對網域關聯。
  • 將多個網域與同一個應用程式相關聯。

此設定適用於:

  • macOS 10.15 及更新版本

設定適用於:使用者核准的裝置註冊和自動化裝置註冊

這些設定會使用 AssociatedDomains.ConfigurationItem 承載 (開啟 Apple 的網站) 。

  • 關聯網域:在您的網域和應用程式之間 新增 關聯。 此功能會在 Contoso 應用程式與 Contoso 網站之間共用登入認證。 另請輸入:

    • 應用程式 ID:輸入要與網站關聯的應用程式的應用程式識別碼。 應用程式識別碼包括團隊識別碼和套件組合識別碼: TeamID.BundleID

      團隊 ID 是 Apple 為應用程式開發人員產生的 10 個字元的英數字 (字母和數字) 字串,例如 ABCDE12345找到您的團隊 ID ( 打開 Apple 網站) 其中包含更多信息。

      套件組合 ID 會唯一識別應用程式,而且通常以反向網域名稱表示法格式化。 例如,Finder 的捆綁包 ID 是 com.apple.finder

      若要取得套件組合 ID:

    • 網域:輸入要與應用程式關聯的網站網域。 網域包含服務類型和完整主機名稱,例如 webcredentials:www.contoso.com

      您可以輸入星號萬用字元,並在網域開頭之前輸入句點) ,以 *. 比對關聯網域的所有子網域 (。 該期限是必需的。 精確網域的優先順序高於萬用字元網域。 因此,如果在完整子網域找不到相符項, 會比對父網域的模式。

      服務類型可以是:

      • authsrv:單一登入應用程式延伸模組
      • applink:通用連結
      • webcredentials:密碼自動填入

    • 啟用直接下載 直接從裝置下載網域數據,而不是透過 Apple 的內容交付網路 (CDN) 。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。 默認情況下,操作系統可能會通過專用於關聯域的 Apple CDN 下載數據。

      此設定適用於:

      • macOS 11 和更新版本

提示

若要進行疑難排解,請在 macOS 裝置上開啟「 系統偏好設定>設定檔」。 確認您建立的設定檔位於裝置設定檔清單中。 如果已列出,請確定 關聯網域設定 位於設定檔中,且其中包含正確的應用程式識別碼和網域。

內容快取

內容快取會儲存內容的本機副本。 其他 Apple 裝置無需連接到網路即可取得此資訊。 這種快取透過在首次下載時保存軟體更新、應用程式、照片和其他內容來加速下載。 由於應用程式下載一次並共用到其他裝置,因此擁有許多裝置的學校和組織可以節省頻寬。

注意事項

這些設定僅使用一個設定檔。 如果您使用這些設定指派多個設定檔,則會發生錯誤。

如需有關監視內容快取的詳細資訊,請前往 檢視內容快取記錄和統計資料 , (開啟 Apple 網站) 。

此設定適用於:

  • macOS 10.13.4 及更新版本

設定適用於:所有註冊類型

如需這些設定的詳細資訊,請前往 內容快取承載設定 (開啟 Apple 網站) 。

啟用內容快取 會開啟內容快取,使用者無法停用它。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 預設情況下,作業系統可能會將其關閉。

  • 要快取的內容類型:您的選項:

    • 所有內容:快取 iCloud 內容和共享內容。
    • 僅限使用者內容:快取使用者的 iCloud 內容,包括照片和文件。
    • 僅限共享內容:快取應用程式和軟體更新。

  • 快取大小上限:輸入 (用來快取內容的磁碟空間上限) 位元組。 當預設) (空白時,Intune 不會變更或更新此設定。 根據預設,OS 可能會將此值設定為零 (0) 位元組,這會為快取提供無限的磁碟空間。

    請確定您不會超過裝置上的可用空間。 如需裝置儲存容量的詳細資訊,請移至 iOS 和 macOS 如何報告儲存容量 (開啟 Apple 網站) 。

  • 快取位置:輸入儲存快取內容的路徑。 預設位置是 /Library/Application Support/Apple/AssetCache/Data。 建議您不要變更此位置。

    如果您變更此設定,快取的內容不會移至新位置。 要自動移動它,用戶需要 (系統偏好設置>>共享內容緩存) 更改設備上的位置。

  • 連接埠:輸入裝置上的 TCP 連接埠號碼,以便快取接受下載和上傳請求,範圍為 0-65535。 輸入零 (0) (預設) 以使用任何可用的埠。

  • 阻止互聯網連接和緩存內容共享:也稱為系留緩存。 會阻止因特網連線共用,並防止與 USB 連線至其 Mac 的 iOS/iPadOS 裝置共用快取的內容。 使用者無法啟用此功能。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。

  • 啟用網際網路連線共用:也稱為繫留快取。 允許網際網路連線共用,並允許與 USB 連線至 Mac 的 iOS/iPadOS 裝置共用快取的內容。 使用者無法停用此功能。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,作業系統可能會關閉此功能。

    此設定適用於:

    • macOS 10.15.4 及更新版本

  • 啟用快取以記錄用戶端詳細資料 會記錄要求內容之裝置的 IP 位址和連接埠號碼。 如果您要針對裝置問題進行疑難排解,此記錄檔可以提供協助。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會記錄此資訊。

  • 一律保留快取中的內容,即使系統需要其他應用程式的磁碟空間:會保留快取內容,並確保即使磁碟空間不足,也不會刪除任何內容。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,當 OS 需要其他應用程式的儲存空間時,可能會自動清除快取中的內容。

    此設定適用於:

    • macOS 10.15 及更新版本

  • 顯示狀態警示 將警示顯示為系統通知。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會將這些警示顯示為系統通知。

    此設定適用於:

    • macOS 10.15 及更新版本

  • 防止裝置在快取開啟時進入睡眠狀態 可防止電腦在快取開啟時進入睡眠狀態。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許裝置進入睡眠狀態。

    此設定適用於:

    • macOS 10.15 及更新版本

  • 要快取的裝置:選擇可以快取內容的裝置。 選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。
    • 使用相同區域網路的裝置:內容快取會將內容提供給相同直接區域網路上的裝置。 不會向其他網路上的裝置提供任何內容,包括內容快取可存取的裝置。
    • 使用相同公用 IP 位址的裝置:內容快取會將內容提供給使用相同公用 IP 位址的裝置。 不會向其他網路上的裝置提供任何內容,包括內容快取可存取的裝置。
    • 使用自訂區域網路的裝置:內容快取會將內容提供給您輸入的 IP 範圍內的裝置。
      • 用戶端接聽範圍:輸入可接收內容快取的 IP 位址範圍。
    • 使用具有後援功能的自訂區域網路的裝置:內容快取會將內容提供給接聽範圍、對等接聽範圍和父系 IP 位址中的裝置。
      • 用戶端接聽範圍:輸入可接收內容快取的 IP 位址範圍。

  • 自訂公用 IP 位址:輸入公用 IP 位址範圍。 雲端伺服器使用此範圍來比對用戶端裝置與快取。

  • 與其他快取共用內容:當您的網路有多個內容快取時,其他裝置上的內容快取會自動成為對等。 這些設備可以查閱和共享緩存軟件。

    當要求的項目在一個內容快取上無法使用時,它會檢查其對等項目。 如果項目可用,則會從對等裝置上的內容快取下載。 如果仍然無法使用,內容快取會從以下位置下載項目:

    • 父 IP 位址 (如果已設定)

    • 來自 Apple 使用互聯網

    當有多個內容快取可用時,裝置會自動選取正確的內容快取。

    選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。

    • 使用相同區域網路的內容快取:內容快取只會與相同直接區域網路上的其他內容快取對等。

    • 使用相同公用IP位址的內容快取:內容快取只會與相同公用IP位址上的其他內容快取對等。

    • 使用自訂區域網路的內容快取:內容快取只會與您輸入的 IP 位址接聽範圍內的其他內容快取對等:

      • 對等監聽範圍:輸入範圍的 IPv4 或 IPv6 開始和結束 IP 位址。 內容快取只會回應來自您輸入的 IP 位址範圍內內容快取的對等快取要求。
      • 對等篩選器範圍:輸入範圍的 IPv4 或 IPv6 開始和結束 IP 位址。 內容快取會使用您輸入的 IP 位址範圍來篩選其對等清單。

  • 父 IP 位址:輸入要新增為父快取的另一個內容快取的本機 IP 位址。 您的快取會將內容上傳和下載到這些快取,而不是直接向 Apple 上傳/下載。 只新增一次父 IP 位址。

  • 父項選取原則:當父項快取較多時,請選取父項 IP 位址的選擇方式。 選項包括:

    • 未設定 (預設) :Intune 不會變更或更新此設定。
    • 循環配置資源:依序使用父IP位址。 此選項適用於負載平衡案例。
    • 首次可用:一律使用清單中的第一個可用 IP 位址。
    • 雜湊:為所要求 URL 的路徑部分建立雜湊值。 此選項可確保相同的父 IP 位址一律用於相同的 URL。
    • 隨機:隨機使用清單中的 IP 位址。 此選項適用於負載平衡案例。
    • 黏性可用:一律使用清單中的第一個 IP 位址。 如果無法使用,請使用清單中的第二個 IP 位址。 繼續使用第二個 IP 位址,直到它無法使用為止,依此類推。

登入項目

設定適用於:所有註冊類型

  • 新增登入時將啟動的檔案、資料夾和自訂應用程式新增 使用者登入其裝置時開啟的檔案、資料夾、自訂應用程式或系統應用程式的路徑。 另請輸入:

    • 項目路徑:輸入檔案、資料夾或應用程式的路徑。 系統應用程式或為您的組織建置或自訂的應用程式通常位於資料夾中 Applications ,其路徑類似 /Applications/AppName.app於 。

      您可以添加許多文件、文件夾和應用程序。 例如,輸入:

      • /Applications/Calculator.app
      • /Applications
      • /Applications/Microsoft Office/root/Office16/winword.exe
      • /Users/UserName/music/itunes.app

      新增任何應用程式、資料夾或檔案時,請務必輸入正確的路徑。 並非所有項目都在資料夾中 Applications 。 如果使用者將項目從一個位置移動到另一個位置,則路徑會變更。 使用者登入時,不會開啟此移動的專案。

    • 隱藏:選擇顯示或隱藏應用程式。 選項包括:

      • 未設定 (預設) :Intune 不會變更或更新此設定。 根據預設,OS 可能會在 [使用者] & [群組] 登入專案清單中顯示專案,但未核取隱藏選項。
      • :在「使用者」&「群組」登入項目清單中隱藏應用程式。

登入視窗

設定適用於:所有註冊類型

Windows 佈局

  • 在功能表列中顯示其他資訊:選取功能表列上的時間區域時, 「是 」會顯示主機名稱和 macOS 版本。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在功能表列上顯示此資訊。

  • 橫幅:輸入裝置上登入畫面上顯示的訊息。 例如,輸入您的組織資訊、歡迎訊息、失物招領資訊等。

  • 需要使用者名稱和密碼文字欄位:選擇使用者登入裝置的方式。 需要使用者輸入使用者名稱和密碼。 設定為 [ 未設定] 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會要求使用者從清單中選取其使用者名稱,然後輸入其密碼。

    當設定為 未設定時,也輸入:

    • 隱藏本機使用者 隱藏使用者清單中的本機使用者帳戶,其中可以包括標準和管理員帳戶。 只會顯示網路和系統使用者帳戶。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者清單中顯示本機使用者帳戶。
    • 隱藏行動帳戶 隱藏使用者清單中的行動帳戶。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者清單中顯示行動帳戶。 某些行動帳戶可以顯示為網路使用者。
    • 顯示網路使用者:選取 [ ] 以列出使用者清單中的網路使用者。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在使用者清單中顯示網路使用者帳戶。
    • 隱藏電腦的管理員 隱藏使用者清單中的管理員使用者帳戶。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會在使用者清單中顯示系統管理員使用者帳戶。
    • 顯示其他使用者:選取 [ ] 以在使用者清單中列出 [其他...] 使用者。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會在使用者清單中顯示其他使用者帳戶。

登入畫面電源設定

  • 隱藏關機按鈕 隱藏登入畫面上的關機按鈕。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示關機按鈕。
  • 隱藏重新啟動按鈕:隱藏登入畫面上的重新啟動按鈕。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示重新啟動按鈕。
  • 隱藏睡眠按鈕 隱藏登入畫面上的睡眠按鈕。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會顯示睡眠按鈕。
  • 停用從主控台登入使用者:會隱藏用於登入的 macOS 命令列。 對於一般使用者,請將此設定設定為 [是]。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許進階使用者使用 macOS 命令列登入。 若要進入主控台模式,使用者請在使用者名稱欄位中輸入 >console ,且必須在主控台視窗中進行驗證。

蘋果菜單

  • 停用登入時關機可防止使用者在登入後選取關機選項。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者選取裝置上的 [關機] 功能表項目。
  • 停用登入時重新啟動 可防止使用者在登入後選取 重新啟動 選項。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者在裝置上選取 [ 重新啟動 ] 功能表項目。
  • 登入時停用電源關閉 可防止使用者在登入後選取 [關閉電源 ] 選項。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者選取裝置上的 [ 關閉電源 ] 功能表項目。
  • 停用登入時登出 ( macOS 10.13 及更新版本) :可防止使用者在登入後選取登出選項。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者選取裝置上的 [登出] 功能表項目。
  • 在 macOS 10.13 及更新版本 (登入時停用鎖定畫面) : 可防止使用者在登入後選取鎖定畫面選項。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許使用者選取裝置上的 [鎖定畫面] 功能表項目。

單一登入應用程式延伸模組

此設定適用於:

  • macOS 10.15 及更新版本

注意事項

在 macOS 裝置上,您可以使用平台 SSO 來啟用單一登入 (SSO) 。 如需詳細資訊,請移至 在 Microsoft Intune 中設定 macOS 裝置的平臺 SSO

設定適用於:使用者核准的裝置註冊和自動化裝置註冊

  • SSO 應用程式擴充功能類型:選擇 SSO 應用程式擴充功能的類型。 選項包括:

    • 未設定:不會使用應用程式擴充功能。 若要停用應用程式延伸模組,請將 SSO 應用程式延伸模組類型切換為 [未設定]。

    • Microsoft Entra ID:使用 Microsoft Entra ID 企業 SSO 外掛程式,這是重新導向類型的 SSO 應用程式延伸模組。 此外掛程式為所有支援 Apple 企業單一登入功能的 macOS 應用程式中的內部部署的 Active Directory 帳戶提供 SSO。 使用此 SSO 應用程式延伸模組類型,可在使用 Microsoft Entra ID 進行驗證的 Microsoft 應用程式、組織應用程式和網站上啟用 SSO。 如需詳細資訊,請移至 在 macOSOS 裝置上使用 Microsoft Enterprise SSO 外掛程式

      SSO 外掛程式可作為進階驗證代理程式,提供安全性和使用者體驗改進。

      重要事項

      若要使用 Microsoft Entra SSO 應用程式延伸模組類型達成 SSO,請在裝置上安裝 macOS 公司入口網站應用程式。 公司入口網站應用程式會將 Microsoft Enterprise SSO 外掛程式傳遞至裝置。 MDM SSO 應用程式延伸模組設定會啟用外掛程式。 在裝置上安裝公司入口網站應用程式和 SSO 應用程式延伸模組配置檔之後,使用者會使用其認證登入,並在其裝置上建立會話。 此階段作業會跨不同的應用程式使用,而不需要使用者再次驗證。

      如需公司入口網站應用程式的詳細資訊,請移至 安裝公司入口網站應用程式並在 Intune 中註冊 macOS 裝置時會發生什麼事。

      您也可以下載公司入口網站應用程式

    • 重新導向:使用通用、可自訂的重新導向應用程式擴充功能,將 SSO 與新式驗證流程搭配使用。 請確定您知道組織應用程式延伸模組的延伸模組和小組識別碼。

    • 認證:使用通用、可自訂的認證應用程式延伸模組,將 SSO 與質詢和回應驗證流程搭配使用。 請確定您知道組織 SSO 應用程式延伸模組的延伸模組識別碼和小組識別碼。

    • Kerberos:使用 Apple 內建的 Kerberos 擴充功能,該擴充功能包含在 macOS Catalina 10.15 及更新版本中。 此選項是 認證 應用程式延伸模組的 Kerberos 特定版本。

    提示

    使用 重新導向認證 型別,您可以新增自己的組態值以傳遞延伸模組。 如果您使用 Credential,請考慮使用 Apple 在 Kerberos 類型中提供的內建組態設定。

  • 延伸模組 ID (重新導向、認證) :輸入識別 SSO 應用程式延伸模組的套件識別碼,例如 com.apple.ssoexample

  • 團隊 ID (重新導向、認證) :輸入 SSO 應用程式擴充功能的團隊識別碼。 團隊識別碼是 Apple 產生的 10 個字元的字母數字, (數字和字母) 字串,例如 ABCDE12345

    找到您的團隊 ID (打開 Apple 網站) 其中包含更多信息。

  • 網域範圍 (認證、Kerberos) :輸入驗證網域範圍的名稱。 領域名稱應該大寫,例如 CONTOSO.COM。 通常,您的網域範圍名稱與您的 DNS 網域名稱相同,但全部為大寫。

  • 網域 ( 認證、Kerberos) :輸入可透過 SSO 進行驗證的網站網域或主機名稱。 例如,如果您的網站是 mysite.contoso.com,則 mysite 是主機名稱, .contoso.com 並且是網域名稱。 當使用者連線到這些網站中的任何一個時,應用程式延伸模組會處理驗證挑戰。 此身份驗證允許用戶使用 Face ID、Touch ID 或 Apple 密碼/密碼登錄。

    • 單一登入應用程式延伸模組 Intune 配置檔中的所有網域都必須是唯一的。 您無法在任何登入應用程式擴充功能設定檔中重複網域,即使您使用不同類型的 SSO 應用程式擴充功能也一樣。
    • 這些網域不區分大小寫。
    • 網域必須以句點 (.) 開頭。

  • 僅 (重新導向) 的URL:輸入身分識別提供者的URL前置詞,重新導向應用程式延伸模組代表其使用SSO。 當使用者重新導向至這些 URL 時,SSO 應用程式延伸模組會介入,並提示您輸入 SSO。

    • Intune 單一登入應用程式延伸模組配置檔中的所有 URL 都必須是唯一的。 您無法在任何 SSO 應用程式擴充功能設定檔中重複網域,即使您使用不同類型的 SSO 應用程式擴充功能也一樣。
    • URL 必須以 http://https://開頭。

  • 其他設定 (Microsoft Entra ID、重新導向、認證) :輸入更多擴充功能特定的資料,以傳遞至 SSO 應用程式擴充功能:

    • :輸入您要新增的項目名稱,例如 user name

    • 類型:輸入資料類型。 選項包括:

      • 字串
      • 布林值:在 組態值中,輸入 TrueFalse
      • 整數:在 組態值中,輸入一個數字。

    • 值:輸入資料。

  • 僅限 Kerberos (封鎖鑰匙圈使用) 可防止密碼儲存並儲存在鑰匙圈中。 而且,系統不會提示使用者儲存密碼,而且需要在 Kerberos 票證到期時重新輸入密碼。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能允許將密碼儲存並儲存在鑰匙圈中。 票證到期時,系統不會提示使用者重新輸入密碼。

  • 僅) Kerberos (需要 Face ID、Touch ID 或密碼:當需要認證來重新整理 Kerberos 票證時,「是」會強制使用者輸入其 Face ID、Touch ID 或裝置密碼。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要使用者使用生物特徵辨識或裝置密碼來重新整理 Kerberos 票證。 如果 [區塊鑰匙圈使用] 設定為 [是],則此設定不適用。

  • 僅限 Kerberos (設定為預設網域範圍) :選擇 [是] 以將您輸入的 [網域範圍] 值設定為預設網域範圍。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會設定預設領域。

    • 如果您要在組織中設定多個 Kerberos SSO 應用程式延伸模組,請選取 [ ]。
    • 如果您使用多個領域,請選取 [ ]。 它會將您輸入的 Realm 值設定為預設網域範圍。
    • 如果您只有一個網域範圍,請將其保留為預設) (未 設定

  • 封鎖 Kerberos (自動探索 僅限) :設定為 [] 時,Kerberos 延伸模組不會自動使用 LDAP 和 DNS 來判斷其 Active Directory 網站名稱。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許延伸模組自動尋找 Active Directory 網站名稱。

  • 僅允許受控應用程式 (Kerberos) :設定為 [是] 時,Kerberos 延伸模組只允許受控應用程式,以及使用 App Bundle ID 輸入的任何應用程式存取認證。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許非受控應用程式存取認證。

    本功能適用於:

    • macOS 12 和更新版本

  • 僅限 Kerberos () 封鎖密碼變更[是] 可防止使用者變更他們用來登入您輸入之網域的密碼。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會允許密碼變更。

  • 僅在 Kerberos (啟用本機密碼同步) :選擇 [是] ,將使用者的本機密碼同步至 Microsoft Entra ID。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會停用密碼同步處理至 Microsoft Entra ID。

    使用此設定作為 SSO 的替代或備份。 如果使用者使用 Apple 行動帳戶登入,則此設定無法運作。

  • 僅限 Kerberos) 延遲 Kerberos 延伸模組設定 (:設定為 [] 時,系統不會提示使用者設定 Kerberos 延伸模組,直到系統管理員啟用延伸模組,或收到 Kerberos 挑戰為止。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會立即提示使用者設定 Kerberos 延伸模組。

    本功能適用於:

    • macOS 11 和更新版本

  • 允許標準 Kerberos 公用程式 (Kerberos) :設定為 [是] 時,Kerberos 延伸模組會允許使用 App Bundle ID 輸入的任何應用程式、受管理應用程式和標準 Kerberos 公用程式 (例如 TicketViewer 和 klist) 存取和使用認證。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不允許列出的應用程式存取和使用認證。

    本功能適用於:

    • macOS 12 和更新版本

  • 僅要求 Kerberos (認證) :設定為 [是] 時,會在下一個相符的 Kerberos 挑戰或網路狀態變更時要求認證。 當認證過期或遺失時,會建立新的認證。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會要求新的認證。

    本功能適用於:

    • macOS 12 和更新版本

  • ) 僅限 Kerberos (TLS 需要 LDAP 連線:設定為時,需要 LDAP 連線才能使用傳輸層安全性 (TLS) 。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,作業系統可能不需要 LDAP 連線即可使用 TLS。

    本功能適用於:

    • macOS 11 和更新版本

  • 僅) Kerberos (需要 Active Directory 密碼複雜度:選擇 [] 以強制使用者密碼符合 Active Directory 的密碼複雜度需求。 在裝置上,此設定會顯示一個帶有核取方塊的彈出式視窗,讓使用者看到他們正在完成密碼要求。 它可以幫助用戶知道他們需要輸入什麼密碼。 如需詳細資訊,請移至 密碼必須符合複雜性需求。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不需要使用者符合 Active Directory 的密碼需求。

  • 僅限 Kerberos) (密碼長度下限:輸入可組成使用者密碼的字元數下限。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會對使用者強制執行密碼長度下限。

  • 僅限 Kerberos (密碼重複使用限制) :輸入在網域上重複使用先前密碼為止使用的新密碼數目 (從 1 到 24)。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會強制執行密碼重複使用限制。

  • 密碼存留期下限 (天) 僅限 (Kerberos) :輸入使用者變更密碼之前在網域上使用的天數。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能不會強制執行密碼的最低存留期,才能變更密碼。

  • 密碼到期通知 (天) 僅限 (Kerberos) :輸入密碼到期前使用者收到密碼到期通知的天數。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能會使用 15 天數。

  • 密碼到期 (天) ( Kerberos 僅限) :輸入裝置密碼必須變更之前的天數。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。 根據預設,OS 可能永遠不會使密碼過期。

  • 僅限 Kerberos (密碼變更 URL) :輸入使用者開始變更 Kerberos 密碼時開啟的 URL。

  • 僅限 Kerberos (自訂使用者名稱) :輸入取代 Kerberos 延伸中顯示的使用者名稱的文字。 您可以輸入與公司或組織名稱相符的名稱。 例如,您可以輸入 Contoso

    本功能適用於:

    • macOS 11 和更新版本

  • Kerberos 延伸模組僅 ( Kerberos 使用,) :選取其他處理程序如何使用 Kerberos 延伸模組認證。 選項包括:

    • 一律:如果 SPN 列在 [網域] 中,則一律會使用延伸認證。 如果呼叫應用程式未列在 App Bundle ID 中,則不會使用它。
    • 未指定時:只有在呼叫端未輸入另一個認證,且 SPN 列在 [網域] 中時,才會使用延伸認證。 如果呼叫應用程式未列在 App Bundle ID 中,則不會使用該選項。
    • Kerberos 預設值:Intune 不會變更或更新此設定。 根據預設,OS 會使用預設的 Kerberos 程序來選取認證。 此選項與未配置此設定相同。

    本功能適用於:

    • macOS 11 和更新版本

  • 僅限 Kerberos (主體名稱) :輸入 Kerberos 主體的使用者名稱。 您不需要包含領域名稱。 例如,in user@contoso.comuser 主體名稱,而 contoso.com 是領域名稱。

    • 您也可以輸入大括號 {{ }},在主體名稱中使用變數。 例如,若要顯示使用者名稱,請輸入 Username: {{username}}
    • 請小心變數取代,因為變數不會在 UI 中驗證,而且會區分大小寫。 請務必輸入正確的資訊。

  • Active Directory 網站代碼 (Kerberos 僅限) :輸入 Kerberos 延伸模組應該使用的 Active Directory 網站名稱。 您可能不需要變更此值,因為 Kerberos 延伸模組可以自動尋找 Active Directory 網站代碼。

  • 僅限 Kerberos (快取名稱) :輸入 Kerberos 快取的通用安全服務 (GSS) 名稱。 您很可能不需要設定此值。

  • 僅限 Kerberos (登入視窗文字) :輸入在 Kerberos 登入視窗中向使用者顯示的文字。

    本功能適用於:

    • macOS 11 和更新版本

  • 僅限 Kerberos (密碼需求訊息) :輸入向使用者顯示的組織密碼需求文字版本。 如果您不需要 Active Directory 的密碼複雜度需求,或未輸入密碼長度下限,則會顯示此訊息。

    當設定為 時,所有現有的使用者帳戶都會從裝置抹除。 為避免資料遺失或防止恢復原廠設定,請務必瞭解此設定如何變更裝置。

    如需共用裝置模式的詳細資訊,請移至 共用裝置模式概觀

  • App Bundle ID (Microsoft Entra ID、Kerberos) :輸入應在裝置上使用單一登入的 App Bundle 識別碼。 這些應用程式已獲授與 Kerberos 票證授與票證和驗證票證的存取權。 這些應用程式也會向使用者驗證他們有權存取的服務。

    若要取得新增至 Intune 之應用程式的套件組合識別碼, 您可以使用 Intune 系統管理中心

  • 僅限 Kerberos (網域領域對應) :輸入應對應至您的網域範圍的網域 DNS 尾碼。 當主機的 DNS 名稱與網域範圍名稱不符時,請使用此設定。 您很可能不需要建立此自訂網域到網域範圍的對應。

  • 僅限 Kerberos (PKINIT 憑證) :選取可用於 Kerberos 驗證的 PKINIT) 憑證 (初始驗證的公開金鑰加密。 您可以從您在 Intune 中新增的 PKCSSCEP 憑證中進行選擇。 如需憑證的詳細資訊,請移至 在 Microsoft Intune 中使用憑證進行驗證

  • 僅限 Kerberos (偏好的 KDC) :依喜好設定順序輸入) 用於 Kerberos 流量的金鑰發佈中心 (KDC。 當無法使用 DNS 探索伺服器時,會使用此清單。 當伺服器可探索時,清單會用於連線檢查,並首先用於 Kerberos 流量。 如果伺服器沒有回應,則裝置會使用 DNS 探索。

    本功能適用於:

    • macOS 12 和更新版本
  • Last updated on