Microsoft Intune 中的蘋果裝置功能設定

注意事項

Intune 可能支援的設定比本文列出的還多。 並非所有設定都有文件記錄，也不會被記錄。 要查看設定，你可以設定、建立裝置設定政策，然後選擇 設定目錄。 更多資訊請前往 設定目錄。

Intune 內建了蘋果裝置的裝置功能範本設定檔。 它內建設定，管理員可利用這些設定自訂 iOS/iPadOS 及 macOS 裝置上的各種蘋果功能。 例如，你可以新增 AirPrint 印表機、顯示通知、使用單一登入認證等功能。

作為行動裝置管理 (MDM) 解決方案的一部分，利用這些功能來控制和管理 Apple 裝置的功能。

本文列出這些設定，並說明每個設定的功能。 同時也列出了使用 Terminal 應用程式 (模擬器) 取得 AirPrint 印表機 IP 位址、路徑及埠號的步驟。 欲了解更多裝置功能範本的資訊，請參閱 新增 iOS/iPadOS 或 macOS 裝置功能設定。

這些設定適用於不同的註冊類型，有些設定適用於所有登記選項。 關於不同登記類型的更多資訊，請參見 macOS 註冊。

必要條件

裝置平台需求

此功能支援以下平台：

• iOS/iPadOS
• macOS

職務要求

• 請用內建政策與設定檔管理員角色的帳號登入 Microsoft Intune 管理中心。 欲了解更多內建角色資訊，請參閱 Microsoft Intune 的角色基礎存取控制。

裝置配置需求

• 建立 裝置功能設定檔。

空中印刷

設定適用於：所有註冊類型

注意事項

把所有印表機加到同一個設定檔。 Apple 會防止多個 AirPrint 設定檔針對同一裝置。

• IP 位址：輸入印表機的 IPv4 或 IPv6 位址。 如果你用主機名稱來識別印表機，可以透過在終端機裡 ping 印表機來取得 IP 位址。 本文中提供更多細節) 取得IP位址和路徑 (。

• 資源路徑：這條路徑通常是 ipp/print 給你網路上的印表機用的。 本文中提供更多細節) 取得IP位址和路徑 (。

• 埠口：輸入 AirPrint 目的地的聆聽埠。 如果你把這個屬性留空，AirPrint 會使用預設的埠口。

  此設定適用於：

  • iOS 11.0+
  • iPadOS 13.0+

• 強制 TLS： 關閉 預設設定 () 無法用 TLS 保護 AirPrint 連線。 啟用 TLS) 傳輸層安全保護 AirPrint 連線 (TLS 。

  此設定適用於：

  • iOS 11.0+
  • iPadOS 13.0+

要新增 AirPrint 伺服器，您可以：

• 輸入印表機詳細資訊即可將 AirPrint 目的地加入清單。 你可以新增許多 AirPrint 伺服器。
• 匯入 一個逗號分隔的檔案 (.csv) 包含這些資訊。 或者， 匯出 以建立你新增的 AirPrint 伺服器清單。

取得伺服器 IP 位址、資源路徑和埠口

要新增 AirPrinter 伺服器，你需要印表機的 IP 位址、資源路徑和埠口。 以下步驟將教你如何取得這些資訊。

1. 在連接到與 AirPrint 印表機相同的本地網路 (子網) 的 Mac 上，從 /Applications/Utilities) (開啟終端機應用程式。

2. 在終端機應用程式中，輸入 ippfind，然後選擇 enter。

   請注意印表機資訊。 例如，它可以回傳類似 ipp://myprinter.local.:631/ipp/port1的 。 第一部分是印刷廠的名字。 ) (ipp/port1 最後一部分是資源路徑。

3. 在終端機應用程式中，輸入 ping myprinter.local，然後選擇 enter。

   請注意 IP 位址。 例如，它可以回傳類似 PING myprinter.local (10.50.25.21)的 。

4. 使用 IP 位址和資源路徑的值。 在此範例中，IP 位址為 10.50.25.21，資源路徑為 /ipp/port1。

主畫面佈局

本功能適用於：

• iOS 9.3 或更新版本
• iPadOS 13.0 及更新版本
• 自動化裝置登錄 (監督)

你需要知道的事

• 應用程式只能在 Dock、頁面、頁面上的資料夾或 Dock 中的資料夾中新增一次。 如果你在兩個地方加同一個應用程式，裝置上不會顯示該應用程式，可能會發生報告錯誤。

  例如，如果你將相機應用程式加入底座和頁面，相機應用程式就不會顯示，回報時可能會顯示政策錯誤。 要將相機應用程式加入主畫面佈局，請只選擇底座或頁面，不要同時選擇兩個。

• 當你套用主畫面佈局時，它會覆蓋任何使用者自訂的佈局。 因此，我們建議你在無使用者裝置上使用主畫面佈局。

• 你可以在裝置上安裝一些不包含在主畫面配置中的既有應用程式。 這些應用程式會依字母順序排列在設定的應用程式之後。

• 當你使用主畫面格線設定新增頁面，或將頁面和應用程式加入底座時，主畫面和頁面上的圖示會被鎖定。 你無法移動或刪除它們。 這種行為可能是 iOS/iPadOS 和蘋果 MDM 政策的設計所致。

• iOS 或 iPadOS 上必須在受管理瀏覽器開啟的網頁片段，並不會依照你在主畫面佈局政策中輸入的順序出現。

主畫面

使用此功能新增應用程式。 你可以在頁面、Dock 和資料夾裡看到這些應用程式的樣子。 它也會顯示應用程式圖示。 批量採購計畫 (VPP) 應用、業務線應用及網頁連結應用， (網頁應用網址) 由 您新增的客戶端應用程式填入。

• 格線大小：為裝置主畫面選擇合適的格線大小。 應用程式或資料夾佔據格子中的一個位置。 如果目標裝置不支援所選大小，有些應用程式可能無法安裝，會被推到新頁面的下一個可用位置。 供參考：

  • iPhone 5 支援 4 欄 x 5 列
  • iPhone 6 及以後版本支援 4 欄 x 6 列
  • iPad 支援 5 欄 x 6 列

• +： 選擇新增按鈕以新增應用程式。

• 建立資料夾或新增應用程式：新增 應用程式 或 資料夾：

  • 應用程式：從列表中選擇現有應用程式。 這個選項會在裝置的主畫面新增應用程式。 如果你沒有任何應用程式，那就把應用程式加入 Intune。

    你也可以用應用程式名稱搜尋應用程式，例如喜歡 authenticator 或 drive。 或者，依照應用程式發佈者搜尋，喜歡 Microsoft 或 Apple。

  • 資料夾：在主畫面新增一個資料夾。 輸入 資料夾名稱，從清單中選擇現有應用程式進入該資料夾。 這個資料夾名稱會顯示給使用者在他們的裝置上。

    你也可以用應用程式名稱搜尋應用程式，例如喜歡 authenticator 或 drive。 或者，依照應用程式發佈者搜尋，喜歡 Microsoft 或 Apple。

    應用程式依左至右排列，順序與圖示相同。 應用程式可以移到其他位置。 資料夾裡只能有一個頁面。 作為解決方法，可以在資料夾中新增九 (九) 或更多應用程式。 應用程式會自動移到下一頁。 你可以加入任意組合的 VPP 應用程式、網頁連結 (網頁應用程式) 、商店應用程式、業務線應用程式和系統應用程式。

碼頭

iPhone 最多可加四個 (4 個) 項目，iPad 則可加六個 (6 個) 項目， (應用程式和資料夾合併) 到螢幕上的 Dock。 許多裝置支援的項目較少。 例如，iPhone 裝置最多支援四項物品。 所以，只有你新增的前四個項目會被顯示出來。

• +： 選擇新增按鈕以將應用程式或資料夾加入擴充座。

• 建立資料夾或新增應用程式：新增 應用程式 或 資料夾：

  • 應用程式：從列表中選擇現有應用程式。 這個選項會在螢幕上把應用程式加入 Dock。 如果你沒有任何應用程式，那就把應用程式加入 Intune。

    你也可以用應用程式名稱搜尋應用程式，例如喜歡 authenticator 或 drive。 或者，依照應用程式發佈者搜尋，喜歡 Microsoft 或 Apple。

  • 資料夾：在螢幕上的底座中新增一個資料夾。 輸入 資料夾名稱，從清單中選擇現有應用程式進入該資料夾。 這個資料夾名稱會顯示給使用者在他們的裝置上。

    你也可以用應用程式名稱搜尋應用程式，例如喜歡 authenticator 或 drive。 或者，依照應用程式發佈者搜尋，喜歡 Microsoft 或 Apple。

    應用程式依左至右排列，順序與圖示相同。 你可以把應用程式移到其他職位。 如果你新增的應用程式超過頁面容量，應用程式會自動移到另一個頁面。 你最多可以在 Dock 的資料夾裡新增 20 頁。 你可以加入任意組合的 VPP 應用程式、網頁連結 (網頁應用程式) 、商店應用程式、業務線應用程式和系統應用程式。

範例

以下範例中，停靠區畫面顯示 Safari、郵件和股票應用程式。 股票應用程式會被選取以顯示其屬性：

當你將該政策指派給 iPhone 時，底座看起來與以下圖片相似：

應用程式通知

設定適用於：自動裝置註冊 (監督)

新增：新增應用程式通知：

• App Bundle ID：輸入你想新增的 App Bundle ID 。

  要取得應用程式組合 ID：

  • 關於一些範例，請參閱 內建 iOS/iPadOS 應用程式的組合 ID。
  • 對於新增到 Intune 的應用程式，你可以使用 Intune 管理中心。

  當設定為未設定或留空時，Intune 不會更改或更新這個設定。

• 應用程式名稱：輸入你想新增的應用程式名稱。 這個名稱用於 Microsoft Intune 管理中心的參考。 裝置 上不會 顯示。 當設定為未設定或留空時，Intune 不會更改或更新這個設定。

• 出版商：輸入你要新增的應用程式出版商。 這個名稱用於 Microsoft Intune 管理中心的參考。 裝置 上不會 顯示。 當設定為未設定或留空時，Intune 不會更改或更新這個設定。

• 通知： 啟用 或 停用 應用程式向裝置發送通知。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。

  設定為 啟用時，也請設定：

  • 在通知中心顯示： 啟用 讓應用程式在裝置通知中心顯示通知。 停用 會阻止應用程式在通知中心顯示通知。 當設定為未設定或留空時，Intune 不會更改或更新這個設定。

  • 鎖定畫面顯示： 啟用 會在裝置鎖定畫面顯示應用程式通知。 停用 會阻止應用程式在鎖定畫面顯示通知。 當設定為未設定或留空時，Intune 不會更改或更新這個設定。

  • 警示類型：當裝置解鎖時，選擇通知的顯示方式。 選項包括：

    • 無：未顯示任何通知。
    • 橫幅：通知時會短暫顯示橫幅。 這個設定也可以稱為臨時旗幟。
    • 模式：通知會顯示，使用者必須手動關閉通知後才能繼續使用裝置。 此設定也可能被稱為持久旗幟（Persistent Banner）。

  • 應用程式圖示上的徽章：啟用會在應用程式圖示上新增徽章。 徽章代表應用程式發送了通知。 停用 不會在應用程式圖示上加上徽章。 當設定為「未設定」時，Intune 不會更改或更新這個設定。

  • 啟用聲音： 啟用 會在通知發出時播放聲音。 停用 在收到通知時不會播放聲音。 當設定為「未設定」時，Intune 不會更改或更新這個設定。

  • 顯示預覽：顯示近期應用程式通知的預覽。 選擇何時顯示預覽。 你選擇的值會覆蓋使用者在裝置上設定的值 (設定 >> 通知 顯示預覽) 。 選項包括：

    • 未設定：Intune 不會變更或更新此設定。
    • 解鎖時：預覽只顯示裝置解鎖時。
    • 永遠：預覽總是顯示在鎖定畫面上。
    • 絕不：預告從未顯示。

    此設定適用於：

    • iOS/iPadOS 14.0 及更新版本

相關領域

在 Intune 中，你可以：

• 加入許多應用程式與網域的關聯。
• 將多個網域與同一個應用程式關聯。

此設定適用於：

• macOS 10.15 及更新版本

設定適用於：使用者核准裝置註冊，以及自動裝置註冊

這些設定使用 AssociatedDomains.ConfigurationItem payload (開啟蘋果網站) 。

• 相關網域：在你的網域 與應用程式之間建立 關聯。 此設定在 Contoso 應用程式與 Contoso 網站之間共享登入憑證。 同時也加入了：

  • 應用程式識別碼：輸入應用程式識別碼以與網站關聯。 應用程式識別碼包含球隊 ID 和一個組合 ID： TeamID.BundleID。

    團隊 ID 是由 Apple 為你的應用程式開發者產生的 10 個字母數字 () 字串，例如 ABCDE12345。 找到你的團隊 ID ， (打開蘋果網站) 會有更多資訊。

    組合ID唯一識別應用程式，通常以反向網域名稱表示。 例如，Finder 的組合 ID 為 com.apple.finder。

    要取得組合 ID：

    • 開啟終端機應用程式並使用 AppleScript： osascript -e 'id of app "ExampleApp"'
    • 對於新增到 Intune 的應用程式，你可以使用 Intune 管理中心。

  • 網域：輸入網站網域以與應用程式關聯。 該網域包含服務類型及完全限定的主機名稱，例如 webcredentials:www.contoso.com。

    你可以透過輸入 *. 星號萬用卡和網域開始前) 的句點 (來匹配該網域的所有子網域。 必須通過這個期限。 精確網域的優先權高於萬用字元網域。 因此， 如果 在完全限定的子網域找不到匹配，則父網域的模式會被匹配。

    服務類型可以是：

    • authsrv：單一登入應用程式擴充功能
    • AppLink：通用連結
    • webcredentials：密碼自動填充

  • 啟用直接下載： 是 的，直接從裝置下載網域資料，而非經由蘋果的內容傳遞網路 (CDN) 。 當設定為「未設定」時，Intune 不會更改或更新這個設定。 預設情況下，作業系統可能會透過蘋果專用的 CDN 下載資料，該 CDN 專門用於關聯網域。

    此設定適用於：

    • macOS 11 及更新版本

提示

要排除故障，請在你的 macOS 裝置上開啟 系統偏好設定>檔。 確認你建立的設定檔是否在裝置設定檔清單中。 如果有列出，請確保設定檔中有 關聯網域設定 ，並且包含正確的應用程式 ID 和網域。

內容快取

內容快取會儲存內容的本地副本。 其他蘋果裝置也能在不連網的情況下取得這些資訊。 這種快取透過在首次下載時儲存軟體更新、應用程式、照片及其他內容，加速下載速度。 由於應用程式只需下載一次，並分享給其他裝置，擁有多裝置的學校和組織能節省頻寬。

注意事項

這些設定只用一個設定檔。 如果你用這些設定指派多個設定檔，就會出錯。

欲了解更多關於監控內容快取的資訊，請參閱「 查看內容快取日誌與統計 資料」 (開啟蘋果網站) 。

此設定適用於：

• macOS 10.13.4 及更新版本

設定適用於：所有註冊類型

欲了解更多設定資訊，請參閱 Content Caching payload settings ， (開啟 Apple 網站) 。

啟用內容快取： 是 開啟內容快取，使用者無法關閉。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會關閉它。

• 要快取的內容類型：你的選擇：

  • 所有內容：快取 iCloud 內容與分享內容。
  • 僅限使用者內容：快取使用者的 iCloud 內容，包括照片和文件。
  • 僅限共享內容：快取應用程式與軟體更新。

• 最大快取大小：輸入用於快取內容的最大磁碟空間 (以位元組) 為單位。 當預設) (空白時，Intune不會改變或更新這個設定。 預設情況下，作業系統可能會將此值設為零 (0) 位元組，這樣快取就有無限磁碟空間。

  務必不要超出裝置可用的空間。 欲了解更多裝置儲存容量資訊，請參閱 iOS 與 macOS 如何報告儲存容量 (開啟蘋果網站) 。

• 快取位置：輸入快取內容的路徑。 預設位置是 /Library/Application Support/Apple/AssetCache/Data。 不要改變這個地點。

  如果你更改這個設定，快取的內容不會被移到新位置。 要自動移動，使用者需在系統偏好設定>>分享內容快取 (更改裝置位置) 。

• 埠號：在快取接收下載與上傳請求的裝置上輸入 TCP 埠號，範圍為 0-65535。 輸入零 (0) (預設) 使用可用的埠口。

• 封鎖網路連線與快取內容分享：也稱為有軌快取。 是 的會阻止網路連線分享，也防止 iOS 或 iPadOS 裝置以 USB 連接 Mac 分享快取內容。 使用者無法啟用這個設定。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。

• 啟用網路連線共享：也稱為有軌快取。 是的 ，允許網路連線共享，並允許透過 USB 連接 Mac 的 iOS/iPadOS 裝置分享快取內容。 使用者無法關閉這個設定。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會關閉這個功能。

  此設定適用於：

  • macOS 10.15.4 及更新版本

• 啟用快取以記錄用戶端資料： 是 的會記錄請求內容的裝置的 IP 位址和埠號。 如果你正在排查裝置問題，這個日誌檔可以幫上忙。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會記錄這些資訊。

• 即使系統需要其他應用程式的磁碟空間，也一定要保留快取內容： 是 的，快取內容會保留，並確保即使磁碟空間不足，也不會被刪除。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統在需要其他應用程式儲存空間時，會自動清除快取內容。

  此設定適用於：

  • macOS 10.15 及更新版本

• 顯示狀態警示： 是的 ，會以系統通知的形式顯示警示。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會將這些警報顯示為系統通知。

  此設定適用於：

  • macOS 10.15 及更新版本

• 在快取開啟時防止裝置睡眠：是的，當快取開啟時，電腦不會進入睡眠狀態。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許裝置進入睡眠狀態。

  此設定適用於：

  • macOS 10.15 及更新版本

• 快取裝置：選擇能快取內容的裝置。 選項包括：

  • 未設定 (預設) ：Intune不會更改或更新此設定。
  • 使用相同區域網路的裝置：內容快取會將內容提供給同一即時區域網路上的裝置。 其他網路上的裝置（包括內容快取可存取的裝置）不會提供任何內容。
  • 使用相同公共 IP 位址的裝置：內容快取會向使用相同公共 IP 的裝置提供內容。 其他網路上的裝置（包括內容快取可存取的裝置）不會提供任何內容。
  • 使用自訂本地網路的裝置：內容快取會提供給你輸入的 IP 範圍內的裝置。
    • 用戶端監聽範圍：輸入可接收內容快取的 IP 位址範圍。
  • 使用自訂區域網路並備援的裝置：內容快取會將內容提供給位於聆聽範圍、對等聆聽範圍及父 IP 位址的裝置。
    • 用戶端監聽範圍：輸入可接收內容快取的 IP 位址範圍。

• 自訂公共 IP 位址：輸入一系列公共 IP 位址。 雲端伺服器利用此範圍來將用戶端裝置與快取匹配。

• 與其他快取共享內容：當你的網路擁有多個內容快取時，其他裝置上的內容快取會自動成為對等。 這些裝置可以查詢並分享快取的軟體。

  當某個請求的物品在某個內容快取中無法取得時，它會檢查其他同類的物品。 如果物品可用，則會從對等裝置的內容快取下載。 如果仍然無法取得，內容快取會從以下平台下載該物品：

  • 如果你設定了父 IP 位址

    或者，

  • 來自蘋果使用網際網路

  當有多個內容快取可用時，裝置會自動選擇正確的內容快取。

  選項包括：

  • 未設定 (預設) ：Intune不會更改或更新此設定。

  • 使用相同區域網路的內容快取：內容快取僅與同一即時區域網路上的其他內容快取進行對等。

  • 使用相同公開 IP 位址的內容快取：內容快取僅與同一公共 IP 上的其他內容快取對等。

  • 使用自訂本地網路的內容快取：內容快取僅與你輸入的 IP 位址監聽範圍內的其他內容快取對等：

    • 對等監聽範圍：輸入你的範圍的 IPv4 或 IPv6 起始與結束 IP 位址。 內容快取只會回應來自你輸入的 IP 位址範圍內內容快取的對等快取請求。
    • 節點過濾器範圍：輸入 IPv4 或 IPv6 的起始與結束 IP 位址。 內容快取會根據你輸入的 IP 位址範圍來過濾其節點清單。

• 父 IP 位址：輸入另一個內容快取的本地 IP 位址以加入為父快取。 你的快取會上傳和下載內容到這些快取，而不是直接從蘋果上傳或下載。 只加一次父 IP 位址。

• 父級選擇政策：當有多個父快取時，選擇父 IP 位址的選擇方式。 選項包括：

  • 未設定 (預設) ：Intune不會更改或更新此設定。
  • 輪詢：依序使用父 IP 位址。 這個選項適合負載平衡的情境。
  • 先可用：務必使用列表中第一個可用的 IP 位址。
  • 雜湊：為所請求 URL 的路徑部分建立雜湊值。 這個選項可以確保同一個 URL 都使用相同的父 IP 位址。
  • 隨機：隨機使用列表中的 IP 位址。 這個選項適合負載平衡的情境。
  • 置頂名單：務必使用列表中的第一個 IP 位址。 如果沒有，就用清單中的第二個 IP 位址。 繼續使用第二個 IP 位址，直到它無法使用為止，依此類推。

鎖定畫面訊息

本功能適用於：

• iOS 9.3 及更新版本
• iPadOS 13.0 及更新版本

設定適用於：自動裝置註冊 (監督)

• 「若迷失，請返回......」訊息：若裝置遺失或被竊，請留下備註，協助尋回該裝置。 你可以輸入任何你想要的文字。 例如，輸入類似 If found, call Contoso at ...的 。

  你輸入的文字會顯示在登入視窗和裝置的鎖定畫面上。

• 資產標籤資訊：輸入裝置資產標籤的資訊。 例如，輸入 Owned by Contoso Corp 或 Serial Number: {{serialnumber}}。

  使用裝置標記將裝置專屬資訊加入這些欄位。 例如，要顯示序號，請輸入 Serial Number: {{serialnumber}} 或 Device ID: {{DEVICEID}}。 在鎖定畫面上，文字顯示的與 Serial Number 123456789ABC類似。 輸入變數時，務必使用大括號 {{ }}。

  支援以下裝置資訊變數。 介面不會驗證變數，且變數是區分大小寫的。 如果你輸入錯誤的變數，會看到儲存的設定檔輸入錯誤。 例如，如果你輸入 {{DeviceID}}{{deviceid}}{{DEVICEID}}或 ，字串會顯示裝置的唯一 ID。 務必輸入正確的資訊。 支援所有小寫或全部大寫變數，但不支援混合。

  • {{AADDeviceId}}： Microsoft Entra 裝置識別碼
  • {{AccountId}}： Intune 租戶 ID 或帳號 ID
  • {{AccountName}}： Intune 租戶名稱或帳號名稱
  • {{AppleId}}：使用者的 Apple ID
  • {{Department}}：設置助理期間指派的部門
  • {{DeviceId}}： Intune 裝置 ID
  • {{DeviceName}}： Intune 裝置名稱
  • {{domain}}：網域名稱
  • {{EASID}}： Exchange Active Sync ID
  • {{EDUUserType}}：使用者類型
  • {{IMEI}}：裝置的IMEI
  • {{mail}}： Email 使用者地址
  • {{ManagedAppleId}}：用戶的管理 Apple ID
  • {{MEID}}裝置的MEID
  • {{partialUPN}}： UPN 前綴在 @ 符號前
  • {{SearchableDeviceKey}}： NGC 鑰匙識別碼
  • {{SerialNumber}}：裝置序號
  • {{SerialNumberLast4Digits}}：裝置序號的最後四位數字
  • {{SIGNEDDEVICEID}}：在公司入口網站註冊期間指派給客戶端的裝置 ID blob
  • {{SignedDeviceIdWithUserId}}： 裝置 ID blob 在 Apple 設定助理中指派給具有使用者親和度的客戶端
  • {{UDID}}： 裝置 UDID
  • {{UDIDLast4Digits}}裝置 UDID 的最後四位數字
  • {{UserId}}： Intune 使用者 ID
  • {{UserName}}：使用者名稱
  • {{userPrincipalName}}： 使用者的 UPN

登入項目

設定適用於：所有註冊類型

• 新增登入時會啟動的檔案、資料夾和自訂應用程式： 新增 使用者登入裝置時會開啟的檔案、資料夾、自訂應用程式或系統應用程式的路徑。 同時也加入了：

  • 項目路徑：輸入檔案、資料夾或應用程式的路徑。 系統應用程式，或為你的組織打造或自訂的應用程式，通常都位於資料夾中 Applications ，路徑類似 /Applications/AppName.app於 。

    你可以新增許多檔案、資料夾和應用程式。 例如，請輸入：

    • /Applications/Calculator.app
    • /Applications
    • /Applications/Microsoft Office/root/Office16/winword.exe
    • /Users/UserName/music/itunes.app

    新增任何應用程式、資料夾或檔案時，務必輸入正確的路徑。 並非所有項目都在資料夾裡 Applications 。 如果使用者將物品從一個地點移動到另一個地點，路徑就會改變。 這個移動的項目在使用者登入時不會被打開。

  • 隱藏：選擇顯示或隱藏應用程式。 選項包括：

    • 未設定 (預設) ：Intune不會更改或更新此設定。 預設情況下，作業系統可能會在使用者 & 群組登入項目清單中顯示項目，且未勾選隱藏選項。
    • 是的：將應用程式隱藏在使用者 & 群組登入項目清單中。

登入視窗

設定適用於：所有註冊類型

視窗配置

• 在選單列中顯示更多資訊：當選單列的時間區被選取時，會顯示主機名稱及 macOS 版本。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會在選單列顯示這些資訊。

• 橫幅：輸入裝置登入畫面中顯示的訊息。 例如，輸入你的組織資訊、歡迎訊息、失物招領資訊等等。

• 要求使用者名稱與密碼文字欄位：選擇使用者如何登入裝置。 是 的，使用者必須輸入使用者名稱和密碼。 當設定為「未設定」時，Intune 不會更改或更新這個設定。 預設情況下，作業系統可能會要求使用者從清單中選擇使用者名稱，然後輸入密碼。

  當設定為 「未設定」時，也請輸入：

  • 隱藏本地使用者： 是 會將本地使用者帳號隱藏在使用者清單中，該清單可包含標準帳號與管理員帳號。 只顯示網路和系統使用者帳號。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會在使用者清單中顯示本地使用者帳號。
  • 隱藏行動帳號： 是的 ，可以將行動帳號隱藏在使用者清單中。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會在使用者清單中顯示行動帳號。 有些行動帳號可以顯示為網路使用者。
  • 顯示網路使用者：選擇 「是 」以在使用者列表中列出網路使用者。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會在使用者清單中顯示網路使用者帳號。
  • 隱藏電腦管理員： 是 的，會在使用者列表中隱藏管理員的使用者帳號。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會在使用者清單中顯示管理員的使用者帳號。
  • 顯示其他使用者：選擇 「是 」以列出 其他...... 使用者。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會在使用者清單中顯示其他使用者帳號。

登入畫面電源設定

• 隱藏關機按鈕： 是的 ，它能隱藏登入畫面上的關機按鈕。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會顯示關機按鈕。
• 隱藏重新啟動按鈕： 是的 ，它會在登入畫面隱藏重新啟動按鈕。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會顯示重新啟動按鈕。
• 隱藏睡眠按鈕： 是的 ，它會隱藏登入畫面中的睡眠按鈕。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會顯示睡眠按鈕。
• 從主控台停用使用者登入： 是 的，會隱藏用於登入的 macOS 指令列。 對於一般使用者，請將此設定設為 「是」。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能允許進階使用者使用 macOS 指令列登入。 要進入主控台模式，使用者需在使用者名稱欄位輸入 >console ，並需在主控台視窗中進行認證。

蘋果選單

• 登入時停用關機： 是 的，使用者登入後無法選擇 關閉 選項。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許使用者在裝置上選擇 關機 選單項目。
• 登入時停用重新啟動： 是 會阻止使用者在登入後選擇 重新啟動 選項。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能允許使用者在裝置上選擇 重新啟動 選單項目。
• 登入時停用電源關閉： 是 的會阻止使用者在登入後選擇 電源關閉 選項。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能允許使用者在裝置上選擇 關機 選單項目。
• 在 macOS 10.13 及更新版本 (登入時停用登出) ：是的會阻止使用者在登入後選擇登出選項。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能允許使用者在裝置上選擇 登出 選單項目。
• 在 macOS 10.13 及更新版本 (登入時停用鎖定畫面) ：是，這會阻止使用者在登入後選擇鎖定畫面選項。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許使用者在裝置上選擇 鎖定畫面 選單項目。

單一登入

設定適用於：裝置註冊、自動裝置註冊 (監督)

• Microsoft Entra 使用者名稱屬性：Intune 會為 Microsoft Entra ID 中的每個使用者尋找此屬性。 接著 Intune 會像 UPN 一樣填入相應欄位，然後產生安裝在裝置上的 XML。 選項包括：

  • 未設定：Intune 不會變更或更新此設定。 預設情況下，作業系統會在部署設定檔到裝置時，提示使用者輸入 Kerberos 主體名稱。 MDM 安裝 SSO 設定檔需要一個主體名稱。

  • 使用者主體名稱：UPN) (使用者主體名稱的解析方式如下：

    

    你也可以用在 領域 文字框中輸入的文字覆蓋該領域。

    例如，Contoso有多個區域，包括歐洲、亞洲和北美洲。 Contoso 希望他們的亞洲用戶使用 SSO，而該應用程式需要 UPN 格式的 username@asia.contoso.com SSO。 當你選擇使用者主體名稱時，每個使用者的領域會取自 Microsoft Entra ID，也就是 contoso.com。 所以對於亞洲的使用者，選擇 使用者主體名稱，然後輸入 asia.contoso.com。 使用者的 UPN 變為 username@asia.contoso.com，而非 username@contoso.com。

  • Intune 裝置 ID：Intune 會自動選擇 Intune 裝置 ID。 預設情況下：

    • 應用程式只需要使用裝置 ID。 但如果你的應用程式使用伺服器和裝置 ID，請在 伺服器 文字框輸入網域名稱。
    • 如果你用裝置 ID，請保持領域為空。

  • Azure AD Device ID： The Microsoft Entra device ID

  • SAM 帳號名稱：Intune 會將本地安全帳號管理器（Security Accounts Manager） (SAM) 帳號名稱填充。

• 領域：輸入網址的網域部分。 例如，輸入 contoso.com。

• 網址： 加入 組織內任何需要使用者單一登入 (SSO) 認證的網址。

  例如，當使用者連接這些網站時，iOS/iPadOS 裝置會使用 SSO 憑證。 使用者不需要重新輸入憑證。 若啟用多重驗證 (MFA) ，使用者需輸入第二次驗證。

  另外：

  • 這些網址必須正確格式化 FQDN。 蘋果要求網址格式必須符合。http://<yourURL.domain>

  • URL 匹配模式必須以 http:// 或 https://開頭。 執行一個簡單的字串匹配，使 http://www.contoso.com/ URL 前綴不匹配 http://www.contoso.com:80/。 在 iOS 10.0+ 和 iPadOS 13.0+ 中，只需一個通配字元 * 即可輸入所有匹配的值。 例如，匹配 http://*.contoso.com/http://store.contoso.com/ 和 http://www.contoso.com。

    http://.com和 https://.com 模式分別符合所有 HTTP 和 HTTPS URL。

• 應用程式：在使用者裝置 上新增 可使用單一登入的應用程式。

  AppIdentifierMatches陣列必須包含與應用程式組合 ID 相符的字串。 這些字串可以是完全匹配的，例如 com.contoso.myapp，或是用萬 * 用字元在 bundle ID 上輸入前綴匹配。 萬用字元必須出現在句點字元 (.) 之後，且只能出現一次，位於字串末尾，如 com.contoso.*。 當包含萬用字元時，任何以該前綴開頭的套件 ID 都會被授予該帳號的存取權。

  請使用 應用程式名稱 輸入一個使用者友善的名稱，幫助你辨識組合 ID。

• 憑證續期憑證：若使用憑證作為認證 (非密碼) ，請選擇現有的 SCEP 或 PFX 憑證作為認證憑證。 通常，這張憑證與部署給其他使用者的憑證相同，例如VPN、Wi-Fi或電子郵件。

網頁內容過濾器

設定適用於：自動裝置註冊 (監督)

這些設定使用蘋果的網頁內容過濾器設定。 欲了解更多設定資訊，請前往 蘋果的平台部署網站 (開啟蘋果網站) 。

篩選類型：選擇允許特定網站。 選項包括：

• 未設定：Intune 不會變更或更新此設定。

• 設定網址：使用蘋果內建的網頁過濾器，能偵測成人用語，包括髒話和性露骨語言。 此設定會在每個網頁載入時評估，並識別並阻擋不適當內容。 你也可以新增不希望被篩選器檢查的網址。 或者，不管蘋果的過濾設定如何，都封鎖特定網址。

  • 允許的網址： 加入 你想允許的網址。 這些網址能繞過蘋果的網路過濾器。

    你輸入的網址是你不希望被蘋果網頁過濾器評估的網址。 這些網址並非允許使用的網站清單。 要建立允許網站清單，請將 篩選類型 設 為僅限特定網站。

  • 被封鎖的網址：加入你想阻止開啟的網址，不論 Apple 網頁過濾的設定如何。

• 特定網站僅 (Safari 網頁瀏覽器) ：這些網址會被加入 Safari 瀏覽器的書籤中。 用戶 只能 訪問這些網站;其他地點無法開放。 只有在你知道使用者可存取的確切網址清單時，才使用這個選項。

  • 網址：輸入你想允許的網站網址。 例如，輸入 https://www.contoso.com。
  • 書籤路徑：蘋果更改了這個設定。 所有書籤都會放進 「允許網站 」資料夾。 書籤不會進入你進入的書籤路徑。
  • 標題：為書籤輸入描述性標題。

  如果你不輸入任何網址，使用者就無法存取除了 microsoft.com、 microsoft.net、 apple.com和 以外的任何網站。 Intune 會自動允許這些網址。

單一登入應用程式擴充功能

本功能適用於：

• iOS 13.0 及更新版本
• iPadOS 13.0 及更新版本

設定適用於：所有註冊類型

本功能適用於：

• macOS 10.15 及更新版本

注意事項

在 macOS 裝置上，Microsoft 建議你使用 Platform SSO 來啟用單點登入 (SSO) 。 欲了解更多資訊，請參考 Microsoft Intune 中的「為 macOS 裝置配置平台單點登入」。

設定適用於：使用者核准裝置註冊，以及自動裝置註冊

SSO 應用程式擴充功能類型：選擇 SSO 應用程式擴充功能的類型。 選項包括：

尚未設定

Intune 不會更改或更新這個設定。 預設情況下，作業系統不會使用應用程式擴充功能。 要停用應用程式擴充功能，請將 SSO 應用程式擴充功能類型改為「未設定」。

Microsoft Entra ID SSO 應用程式擴充功能類型

使用 Microsoft Entra ID Enterprise SSO 外掛，這是一個重定向型 SSO 應用程式擴充功能。 此外掛為所有支援蘋果企業單一登入功能的內部部署的 Active Directory 帳號提供單點登入（SSO）。 使用此 SSO 應用程式擴充功能類型，啟用使用 Microsoft 應用程式、組織應用程式及使用 Microsoft Entra ID 認證的網站的 SSO。 SSO 外掛作為進階認證代理，提供安全性與使用者體驗的提升。

所有使用 Microsoft Authenticator 應用程式進行認證的應用程式，仍會透過 Microsoft Enterprise 的 SSO 外掛（適用於 Apple 裝置）取得 SSO。 欲了解更多資訊，請參閱 iOS 或 iPadOS 裝置上的 Microsoft Enterprise SSO 外掛。

重要事項

要使用 Microsoft Entra SSO 應用程式擴充功能實現 SSO，請先在裝置上安裝 iOS/iPadOS 的 Microsoft Authenticator 應用程式。 Authenticator 應用程式將 Microsoft Enterprise SSO 外掛提供給裝置，而 MDM SSO 應用程式擴充功能的設定則啟用該外掛。 一旦 Authenticator 和 SSO 應用程式擴充功能設定檔安裝在裝置上，使用者必須輸入憑證才能登入，並在裝置上建立會話。 此會話可在不同應用程式間使用，無需使用者重新驗證。 欲了解更多關於 Authenticator 的資訊，請參考 「什麼是 Microsoft Authenticator 應用程式」。

欲了解更多資訊，請參閱 「在macOSOS裝置上使用Microsoft企業SSO外掛」。

重要事項

若要使用 Microsoft Entra 的 SSO 應用程式擴充功能類型達成單點登入，請在裝置上安裝 macOS 公司入口網站應用程式。 公司入口網站應用程式將 Microsoft Enterprise SSO 外掛提供給裝置。 MDM 的 SSO 應用程式擴充功能設定會啟用外掛。 在裝置安裝公司入口網站應用程式與 SSO 應用程式擴充設定檔後，使用者需使用憑證登入並在裝置上建立會話。 此會話可在不同應用程式間使用，且不需使用者重新驗證。

欲了解更多公司入口網站應用程式的資訊，請前往「安裝公司入口網站應用程式並將 macOS 裝置註冊至 Intune 會發生什麼事」。

您也可以下載公司入口網站應用程式。

• 啟用共用裝置模式：如果您正在部署 Microsoft Enterprise SSO 外掛到 iOS/iPadOS 裝置，設定為 Microsoft Entra 共享裝置模式功能，請選擇「是」。 處於共享模式的裝置允許許多使用者在全球範圍內登出支援共享裝置模式的應用程式。 當設定為「未設定」時，Intune 不會更改或更新這個設定。 預設情況下，iOS/iPadOS 裝置不適合多位使用者共用。

  欲了解更多關於共享裝置模式及啟用方法，請參閱 共享裝置模式概述。

  此設定適用於：

  • iOS/iPadOS 13.5 及更新版本

• App Bundle ID：輸入其他應該透過裝置擴充功能實現單一登入的應用程式的 Bundle ID。 要讓應用程式的套件 ID 加入 Intune，可以使用 Intune 管理中心。

  • 這些應用程式使用 Microsoft Enterprise SSO 外掛來驗證使用者身份，無需登入。

  • 你輸入的應用程式套件 ID 有權限使用 Microsoft Entra SSO 應用擴充功能，前提是它們沒有使用任何Microsoft函式庫，例如 Microsoft 認證庫 (MSAL) 。

    這些應用程式的體驗可能不如 Microsoft 函式庫那麼順暢。 使用MSAL驗證的舊應用程式，或不使用最新Microsoft函式庫的應用程式，必須加入此清單，才能正常使用Microsoft Azure SSO應用程式擴充功能。

• 額外設定：輸入更多擴充功能專用資料以傳遞給 SSO 應用程式擴充功能：

  • 關鍵字：輸入你想新增的項目名稱，如讚 user name 或 AppAllowList。

  • 類型：輸入資料類型。 選項包括：

    • 字串
    • 布林值：在 配置值中輸入 True 或 False。
    • 整數：在 配置值中輸入一個數字。

  • 價值：輸入資料。

重定向 SSO 應用程式擴充功能類型

使用通用且可自訂的重定向應用程式擴充功能，搭配現代認證流程來使用 SSO。

• 擴充功能 ID：輸入能識別你 SSO 應用擴充功能的套件識別碼，例如 com.apple.extensiblesso。

• 團隊識別碼：輸入你的 SSO 應用程式擴充功能的團隊識別碼。 球隊識別碼是由 Apple 產生的 10 個字母數字 (字串) ，例如 ABCDE12345。

  找到你的團隊 ID ， (打開蘋果網站) 會有更多資訊。

• 網址：輸入可聯絡身份提供者的網址。 當使用者被導向到這些 URL 時，SSO 應用程式擴充功能會介入並提示 SSO。 每個網址必須是唯一的，且不能已經存在於其他個人檔案中。 必須使用 HTTP 或 HTTPS 協定。

  例如，當使用者連接這些網站時，裝置會使用SSO憑證。 使用者不需要重新輸入憑證。 若啟用多重驗證 (MFA) ，使用者需輸入第二次驗證。

  另外：

  • 這些網址必須正確格式化 FQDN。 蘋果要求網址格式必須符合。http://<yourURL.domain>
  • 你 Intune 單一登入應用程式擴充功能設定檔中的所有網址必須是唯一的。 即使你使用不同類型的 SSO 應用擴充功能，也不能在任何 SSO 應用擴充設定檔中重複使用網域。
  • 網址必須以 http://.com 或 https://.com開頭。 執行一個簡單的字串匹配，使 http://www.contoso.com/ URL 前綴不匹配 http://www.contoso.com:80/。

  在 iOS 10.0+ 和 iPadOS 13.0+ 中，只需一個通配字元 * 即可輸入所有匹配的值。 例如，匹配 http://*.contoso.com/http://store.contoso.com/ 和 http://www.contoso.com。

• 額外設定：輸入更多擴充功能專用資料以傳遞給 SSO 應用程式擴充功能：

  • 關鍵字：輸入你想新增的項目名稱，如讚 user name 或 AppAllowList。

  • 類型：輸入資料類型。 選項包括：

    • 字串
    • 布林值：在 配置值中輸入 True 或 False。
    • 整數：在 配置值中輸入一個數字。

  • 價值：輸入資料。

憑證 SSO 應用程式擴充功能類型

使用通用且可自訂的憑證應用程式擴充功能，搭配 SSO 與挑戰與回應驗證流程。

• 擴充功能 ID：輸入能識別你 SSO 應用擴充功能的套件識別碼，例如 com.apple.extensiblesso。

• 團隊識別碼：輸入你的 SSO 應用程式擴充功能的團隊識別碼。 球隊識別碼是由 Apple 產生的 10 個字母數字 (字串) ，例如 ABCDE12345。

  找到你的團隊 ID ， (打開蘋果網站) 會有更多資訊。

• 領域：輸入你的認證領域名稱。 領域名稱應該大寫，例如 CONTOSO.COM。 通常，你的網域名稱和 DNS 網域名稱是一樣的，但都是大寫的。

• 網域：輸入可透過單點單點認證的網站的網域或主機名稱。 例如，如果你的網站是 mysite.contoso.com，那麼 mysite 是主機名稱，而 .contoso.com 是網域名稱。 當使用者連接到這些網站時，應用程式擴充功能會處理認證挑戰。 此認證允許使用者使用 Face ID、Touch ID 或 Apple 郵遞碼/密碼登入。

  • 你單一登入應用程式擴充功能的 Intune 設定檔中的所有網域必須是唯一的。 即使使用不同類型的 SSO 擴充功能，也不能在任何登入應用程式擴充檔中重複使用網域。
  • 這些網域不區分大小寫。
  • 網域必須以) (. 句點開始。

• 額外設定：輸入更多擴充功能專用資料以傳遞給 SSO 應用程式擴充功能：

  • 關鍵字：輸入你想新增的項目名稱，如讚 user name 或 AppAllowList。

  • 類型：輸入資料類型。 選項包括：

    • 字串
    • 布林值：在 配置值中輸入 True 或 False。
    • 整數：在 配置值中輸入一個數字。

  • 價值：輸入資料。

Kerberos SSO app extension type

請使用蘋果內建的 Kerberos 擴充功能，這是 Kerberos 專用的 Credential 應用程式擴充功能。

Kerberos 擴展包含於：

• iOS 13.0+ 與 iPadOS 13.0+

使用者成功登入 Authenticator 應用程式後，不會被要求登入使用該 SSO 擴充功能的其他應用程式。 使用者第一次開啟不使用 SSO 擴充功能的託管應用程式時，會被提示選擇已登入的帳號。

• macOS Catalina 10.15 及更新版本

提示

透過 Redirect 和 Credential 類型，你加入自己的設定值來傳遞擴充功能。 如果你用 的是 Credential，可以考慮使用 Apple 內建的 Kerberos 設定。

• 領域：輸入你的認證領域名稱。 領域名稱應該大寫，例如 CONTOSO.COM。 通常，你的網域名稱和 DNS 網域名稱是一樣的，但都是大寫的。

• 網域：輸入可透過單點單點認證的網站的網域或主機名稱。 例如，如果你的網站是 mysite.contoso.com，那麼 mysite 是主機名稱，而 .contoso.com 是網域名稱。 當使用者連接到這些網站時，應用程式擴充功能會處理認證挑戰。 此認證允許使用者使用 Face ID、Touch ID 或 Apple 郵遞碼/密碼登入。

  • 你單一登入應用程式擴充功能的 Intune 設定檔中的所有網域必須是唯一的。 即使使用不同類型的 SSO 擴充功能，也不能在任何登入應用程式擴充檔中重複使用網域。
  • 這些網域不區分大小寫。
  • 網域必須以) (. 句點開始。

• 方塊鑰匙圈使用： 是 的，防止密碼被儲存在鑰匙圈中。 若被封鎖，使用者不會被要求儲存密碼，且在 Kerberos 工單到期時需重新輸入密碼。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許密碼儲存在鑰匙圈中。 當工單到期時，使用者不會被要求重新輸入密碼。

• 要求 Face ID、Touch ID 或密碼： 是 強制用戶在刷新 Kerberos 工單時輸入 Face ID、Touch ID 或裝置密碼。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不要求使用者使用生物識別或裝置密碼來刷新 Kerberos 工單。 如果 Block 鑰匙圈使用 設定為 「是」，則此設定不適用。

• 設定為預設伺服器：是的，會將你輸入的伺服器設定為預設伺服器。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會設定預設的伺服器。

  • 如果你在組織中設定多個 Kerberos SSO 應用程式擴充功能，請選擇 「是」。
  • 如果你使用多個伺服器，請選擇 「是」。 它會設定你輸入的 Realm 值作為預設 Realm 。
  • 如果你只有一個伺服器，請選擇 預設 (未設定) 。

• 封鎖自動發現： 是 會阻止 Kerberos 擴充功能自動使用 LDAP 和 DNS 來決定其 Active Directory 站點名稱。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許擴充功能自動找到 Active Directory 的網站名稱。

• 只允許受管理應用程式：設定為 「是」時，Kerberos 擴充功能只允許受管理應用程式，以及任何輸入 app bundle ID 以存取憑證的應用程式。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許非受管理的應用程式存取該憑證。

  此設定適用於：

  • iOS/iPadOS 14 及更新版本
  • macOS 12 及更新版本

• 封鎖密碼更改： 是 的，防止使用者更改他們用來登入你輸入的網域密碼。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會允許更改密碼。

• 啟用本地密碼同步：選擇「是」以將使用者的本地密碼同步到 Microsoft Entra ID。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會停用與 Microsoft Entra ID 的密碼同步。

  將此設定作為單點單點的替代方案或備份。 如果使用者是用 Apple 行動帳號登入，這個設定就無法運作。

• 延遲 Kerberos 擴充功能設定：設定為 「是」時，使用者不會被提示設定 Kerberos 擴充功能，直到管理員啟用該擴充功能，或收到 Kerberos 挑戰。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會立即提示使用者設定 Kerberos 擴充功能。

  此設定適用於：

  • macOS 11 及更新版本

• 允許標準 Kerberos 工具：設定為 「是」時，Kerberos 擴充功能允許任何以應用程式組合 ID 輸入的應用程式、管理應用程式，以及標準的 Kerberos 工具（如 TicketViewer 和 klist）存取並使用該憑證。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不允許列出的應用程式存取並使用該憑證。

  此設定適用於：

  • macOS 12 及更新版本

• 請求憑證：當設定為 「是」時，該憑證會在下一次匹配的 Kerberos 挑戰或網路狀態變更時請求。 當憑證過期或遺失時，會建立新的憑證。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會要求新的憑證。

  此設定適用於：

  • macOS 12 及更新版本

• TLS 要求 LDAP 連線：設定 為 Yes 時，LDAP 連線必須使用 TLS) 傳輸層安全 (TLS 。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不需要 LDAP 連線即可使用 TLS。

  此設定適用於：

  • macOS 11 及更新版本

• 要求 Active Directory 密碼複雜度：選擇 「是 」以強制使用者密碼符合 Active Directory 的密碼複雜度要求。 在裝置上，這個設定會顯示一個彈出視窗，並有勾選框，讓使用者看到他們正在完成密碼要求。 它幫助使用者知道需要輸入哪些密碼。 欲了解更多資訊，請參閱 「密碼必須符合複雜度要求」。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不要求使用者符合 Active Directory 的密碼要求。

• 密碼長度：輸入使用者密碼可組成的最小字元數。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會強制使用者設定最低密碼長度。

• 密碼重用限制：輸入新密碼的數量，從 1 到 24 個，直到先前的密碼能在網域中重複使用為止。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會強制執行密碼重用限制。

• 密碼最低年齡 (天) ：輸入密碼在網域上使用後的天數，才能讓使用者更改密碼。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能不會強制執行密碼的最低年齡限制，才能更改密碼。

• 密碼過期通知 (天) ：輸入密碼到期前的天數，該天數是用戶收到通知其密碼即將到期的天數。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能會使用 15 天數。

• 密碼到期日 () ：輸入裝置密碼必須更改的天數。 當預設) 設為未設定 (時，Intune 不會改變或更新這個設定。 預設情況下，作業系統可能永遠不會讓密碼過期。

• 密碼更改網址：輸入使用者開始更改密碼時開啟的網址。

• 自訂使用者名稱：輸入取代擴充功能中顯示的使用者名稱的文字。 您可以輸入與您公司或組織名稱相符的名稱。 例如，你可以輸入 Contoso。

  此設定適用於：

  • macOS 11 及更新版本

• Kerberos 擴充功能的使用：選擇其他程序如何使用 Kerberos 擴充套件的憑證。 選項包括：

  • 永遠：只要 SPN 列在 網域中，擴充憑證就會被使用。 如果呼叫的應用程式沒有在 App Bundle ID 中列出，則不會使用。
  • 未指定時：只有當呼叫者未輸入其他憑證且 SPN 列在網域中時，才會使用擴充憑證。 如果呼叫的應用程式沒有在 App Bundle ID 中列出，則不會使用。
  • Kerberos 預設：Intune 不會更改或更新這個設定。 預設情況下，作業系統會使用預設的 Kerberos 程序來選擇憑證。 這個選項等同於不設定這個設定。

  此設定適用於：

  • macOS 11 及更新版本

• 主要名稱：輸入 Kerberos 主要使用者名稱。 你不需要包含網域名稱。 例如，在 user@contoso.com中 是 user 主要名稱，而 contoso.com 是領域名稱。

  • 你也可以在主名稱中使用變數，方法是輸入大括號 {{ }}。 例如，要顯示使用者名稱，請輸入 Username: {{username}}。
  • 要小心變數替換。 變數在 UI 裡不會被驗證，而且大小寫區分。 務必輸入正確的資訊。

• Active Directory 網站代碼：輸入 Kerberos 擴充功能應使用的 Active Directory 網站名稱。 你可能不需要更改這個值，因為 Kerberos 擴充功能可以自動找到 Active Directory 的網站代碼。

• 快取名稱：輸入通用安全服務 (GSS) Kerberos 快取名稱。 你很可能不需要設定這個數值。

• 登入視窗文字：輸入 Kerberos 登入視窗中顯示的文字。

  此設定適用於：

  • iOS/iPadOS 14 及更新版本
  • macOS 11 及更新版本

• 密碼需求訊息：輸入你組織密碼要求的文字版本，並顯示給使用者。 訊息顯示你是否需要 Active Directory 的密碼複雜度要求，或是未輸入最低密碼長度。

  當設定為 「是」時，所有現有的使用者帳號都會從裝置中被清除。 為了避免資料遺失或避免恢復出廠設定，務必了解這個設定如何改變你的裝置。

  欲了解更多關於共享裝置模式的資訊，請參考 「共享裝置模式概覽」。

• App Bundle ID：輸入其他應該透過裝置擴充功能實現單一登入的應用程式的 Bundle ID。 要讓應用程式的套件 ID 加入 Intune，可以使用 Intune 管理中心。

  如果你使用 Kerberos 的 SSO 應用程式擴充功能 類型，那麼以下應用程式：

  • 擁有 Kerberos 票券發放券的權限
  • 取得認證工單
  • 將使用者認證到他們被授權存取的服務

• 網域領域映射：輸入應該對應到你的網域的網域 DNS 後綴。 當主機的 DNS 名稱與領域名稱不符時，請使用這個設定。 你大概不需要建立這種自訂的網域對領域映射。

• PKINIT 憑證： 選擇 可用於 Kerberos 認證的 PKINIT) 憑證 (選擇公鑰密碼學作為初始認證。 你可以選擇你在 Intune 新增的 PKCS 或 SCEP 憑證。

  欲了解更多關於憑證的資訊，請前往「使用憑證進行 Microsoft Intune 認證」頁面。

• 首選 KDC：依偏好順序輸入 Key Distribution Center () 用於 Kerberos 流量的 KDC。 這個清單用於伺服器無法被 DNS 發現的情況。 當伺服器可被發現時，清單會用於連接性檢查，並優先用於 Kerberos 流量。 如果伺服器沒有回應，裝置就會使用 DNS 發現。

  此設定適用於：

  • macOS 12 及更新版本

壁紙

當你把沒有圖片的設定檔指派給已有映像檔的裝置時，可能會遇到意想不到的行為。 舉例來說，你可以建立一個沒有圖片的設定檔，然後把它指派給已經有圖片的裝置。 在這種情況下，映像檔可以變回裝置預設值，或是原始影像會保留在裝置上。 蘋果的 MDM 平台會控制並限制這種行為。

設定適用於：自動裝置註冊 (監督)

• 桌布顯示位置：在裝置上選擇顯示該圖片的位置。 選項包括：
  • 未設定：Intune 不會變更或更新此設定。 自訂映像不會被加入裝置。 預設情況下，作業系統可能會自行設定映像檔。
  • 鎖定畫面：將圖片加入鎖定畫面。
  • 主畫面：將圖片加入主畫面。
  • 鎖定畫面與主畫面：鎖定畫面與主畫面使用相同圖片。
• 桌布圖片：上傳你想使用的現有 .png、.jpg 或.jpeg圖片。 請確保檔案大小小於 750 KB。 你也可以 移除 你新增的圖片。

提示

• 當你設定桌布政策時，Microsoft 建議啟用「 封鎖壁紙修改 」設定。 此設定防止使用者更改桌布。
• 要在鎖定畫面和主畫面顯示不同圖片，請建立包含鎖定畫面圖片的個人檔案。 建立另一個帶有主畫面圖片的個人檔案。 將兩個設定檔都指派給你的 iOS/iPadOS 使用者或裝置群組。

相關文章

• 指派設定檔 並 監視其狀態。
• 了解更多關於 裝置功能配置檔範本的資訊。