針對macOS設定 ADE) (自動裝置註冊

發行項
2024/09/25

針對透過Apple註冊計劃購買的新版或抹除Mac，例如Apple Business Manager 或 Apple School Manager，在 Intune 中設定自動裝置註冊。使用此方法時，您不需要讓裝置與您一起進行設定。 Intune 自動與 Apple 同步處理，以從您的註冊計劃帳戶取得裝置資訊，並將預先設定的註冊配置檔部署到無線 Mac。備妥的裝置可以直接寄送給員工或學生。設定助理和裝置註冊會在有人開啟 Mac 時開始。

本文說明如何為公司擁有的 Mac 設定自動化裝置註冊配置檔。

注意

無論您使用 Apple Business Manager 或 Apple School Manager，本文中的步驟都相同。為了簡潔起見，我們只在本文的各個步驟中參考 Apple Business Manager ，但需要釐清之處除外。

憑證

此註冊類型支援自動化憑證管理環境 (ACME) 通訊協定。當新裝置註冊時，來自 Intune的管理配置檔會收到 ACME 憑證。 ACME 通訊協定可透過健全的驗證機制和自動化程式，提供比 SCEP 通訊協定更好的保護來防止未經授權的憑證發行，這有助於減少憑證管理中的錯誤。

已註冊的裝置除非重新註冊到 Microsoft Intune，否則不會取得 ACME 憑證。執行 macOS 13.1 和更新版本的裝置支援 ACME。

限制

裝置註冊管理員帳戶不支援透過Apple Business Manager和 Apple School Manager 進行自動裝置註冊。

必要條件

需要存取 Apple School Manager 或 Apple Business Manager 。您也必須有裝置序號清單，或您透過Apple購買之裝置的採購單號碼。

開始之前，請確定下列工作已完成：

在您的租用戶中設定行動裝置管理授權單位。
取得 Apple MDM 推播憑證。

建立註冊計劃令牌

本節說明如何在 Intune 中建立註冊計劃令牌。 註冊計劃令牌 (有時稱為自動化裝置註冊令牌) 是自動化裝置註冊的必要元件。它可啟用 Intune 與您選擇的Apple註冊計劃之間的通訊和裝置管理功能。它可讓 Intune 從您的 Apple Business Manager 或 Apple School Manager 帳戶同步資訊，並將配置檔套用至裝置。

步驟 1：下載 Intune 公鑰憑證

需要公鑰憑證，才能向 Apple Business Manager 要求信任關係憑證。

在 Microsoft Intune 系統管理中心，移至 [裝置>註冊]。
選取 [Apple] 索引 標籤。
在 [ 大量註冊方法] 下，選取 [ 註冊計劃令牌]。
選取新增。
選取 [我同意 將許可權授與Microsoft，以將使用者和裝置資訊傳送給 Apple。
選 取 [下載您的公鑰 ]，並將金鑰儲存為本機 PEM 檔案。金鑰將用來在下一個步驟中取得 MDM 伺服器令牌。

步驟 2：新增 MDM 伺服器並下載伺服器令牌

將適用於 Intune 的行動裝置管理 (MDM) 伺服器新增至 Apple Business Manager，然後下載其伺服器令牌。

在系統管理中心中，選取與您使用的Apple入口網站對應的連結。選項包括：
- 透過 Apple Business Manager 建立令牌
- 透過 Apple School Manager 建立令牌
選取的入口網站會在新的瀏覽器索引標籤中開啟。您可以安全地切換到新的索引標籤，但讓索引卷標保持開啟 Microsoft Intune 供稍後使用。
使用您的公司 Apple ID 登入 Apple 入口網站。請記住，此標識碼是您和組織必須用來更新和管理令牌的Apple標識碼，因此請勿使用個人標識碼。
移至您的帳戶設定檔 >喜好設定。
移至您的 MDM 伺服器指派。
選取選項以新增 MDM 伺服器。
將 MDM 伺服器命名為。此名稱僅在 Apple Business Manager 中用於識別，不需要是 Microsoft Intune 伺服器的實際名稱或 URL。
上傳公鑰檔案，然後儲存變更。
下載伺服器令牌 (.p7m 檔案) 。

步驟 3：將裝置指派給 MDM 伺服器

或者，在 Apple Business Manager 中建立 MDM 伺服器之後，您可以開始指派裝置給它。我們建議您立即指派它們，因為您已在 Apple Business Manager 中，但如果您尚未就緒，您可以稍後再回來。您可以使用篩選和大量指派等可用功能來簡化工作分派選取。如需詳細資訊和步驟，請參閱在 Apple Business Manager 中指派、重新指派或取消指派裝置 (開啟 Apple Business Manager 使用者指南) 。

步驟 4：儲存 Apple ID

返回系統管理中心，然後輸入用來下載伺服器令牌的Apple ID。此標識碼是您每年更新令牌所需的 Apple ID。請確定未來 Intune 系統管理員會知道所使用的Apple ID，以防您離開組織，且需要將令牌管理轉換給他們。

醒目提示 [新增註冊計劃令牌] 窗格中 [Apple ID] 字段的螢幕快照。

步驟 5：上傳伺服器令牌並完成

將伺服器令牌檔案上傳至 Intune，以完成註冊計劃令牌的建立。

返回 [系統管理中心 >Apple 令牌 ] 字段。流覽至您裝置上的伺服器令牌 (.p7m 檔案) 。
選擇 [開啟]，然後選取 [ 建立]。

Intune 會自動與 Apple Business Manager 連線，以從您的註冊計劃帳戶同步裝置資訊。如需如何手動同步處理令牌的相關信息，請參閱本文) 中的同步管理的裝置 (。

建立 Apple 註冊設定檔

在系統管理中心建立自動化裝置註冊配置檔。配置檔會定義貴組織 Mac 裝置的註冊體驗，並在註冊裝置時強制執行註冊原則和設定。配置檔會部署到無線指派的裝置。

在此程序結束時，您可以將此設定檔指派給 Microsoft Entra 裝置群組。

重要

若要建立配置檔，您必須在 Intune 中設定註冊計劃令牌。如果您尚未這麼做，請參閱本文開頭的建立註冊計劃令牌。

在系統管理中心，移至 [ 裝置>註冊]。
選取 [Apple] 索引 標籤。
在 [ 大量註冊方法] 下，選取 [ 註冊計劃令牌]。
選取註冊計劃令牌。
選取> [配置檔] [建立配置檔>macOS]。

重要

您必須先將註冊原則指派給您的裝置，裝置才會變成作用中。建議您儘快設定默認註冊原則，讓裝置從 Apple Business Manager 或 Apple School Manager 同步，然後再開啟，它們可以透過自動裝置註冊正確註冊。如果您從 Apple 同步處理的裝置未獲指派註冊原則，且有人開啟該原則進行設定，註冊將會失敗。
針對 [基本概念]，輸入配置檔的名稱和描述，以便與其他註冊配置檔區別。裝置使用者看不到這些詳細數據。

提示

您可以使用 [名稱] 字段在 Microsoft Entra ID 中建立動態群組，並自動將裝置指派給註冊配置檔。使用配置檔名稱來定義 enrollmentProfileName 參數。如需詳細資訊，請參閱 Microsoft Entra 動態群組。
選取 [下一步]。
在 [ 管理設定] 頁面上，設定 [使用者親和性]。 用戶親和性 會決定裝置是否以指派的用戶註冊。選項包括：
- 無用戶親和性註冊：註冊未與單一使用者相關聯的裝置。針對不需要存取本機用戶數據的共用裝置選擇此選項。公司入口網站應用程式無法在這些類型的裝置上運作。
- 使用使用者親和性註冊：註冊與指派用戶相關聯的裝置。針對屬於使用者的工作裝置選擇此選項，如果您想要要求使用者擁有公司入口網站應用程式來安裝應用程式，請選擇此選項。此選項提供 MFA) (多重要素驗證。
  
  選項 2 需要更多設定。用戶必須在註冊之前驗證自己，以確認其身分識別。選取下列其中一個驗證方法：
  - 使用新式驗證設定助理：此方法需要使用者先完成所有設定助理畫面，並使用其 Microsoft Entra 認證登入公司入口網站應用程式，才能存取資源。當他們登入公司入口網站之後，裝置：
    - 向 Microsoft Entra ID 註冊。
    - 會新增至使用者在 Microsoft Entra ID 中的裝置記錄。
    - 可以評估裝置合規性。
    - 取得受條件式存取保護之資源的存取權。
    如果使用者未登入公司入口網站以完成註冊，則每當他們嘗試使用條件式存取保護開啟受控應用程式時，系統就會將他們重新導向至公司入口網站應用程式。
    
    執行 macOS 10.15 和更新版本的裝置可以使用此方法。較舊的macOS裝置會回復為使用舊版設定助理方法。如需如何將公司入口網站應用程式提供給 Mac 使用者的詳細資訊，請參閱新增 macOS 應用程式的公司入口網站。
  - 設定助理 (舊版) ：如果您想要讓用戶體驗Apple產品的典型現成體驗，請使用舊版設定助理。當裝置註冊 Intune 管理時，這個方法會安裝標準預先設定的設定。如果您正在使用的是 Active Directory 同盟服務，而且您正在使用設定助理進行驗證，則需要 WS-Trust 1.3 的使用者名稱/混合端點。如需擷取 ADFS 端點的詳細資訊，請參閱 [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint？view=win10-ps&preserve-view=true) 。
Await 最終設定 可在設定助理結束時啟用鎖定的體驗，以確保您最重要的裝置設定原則已安裝在裝置上。此設定會在安裝助理的全新 Apple 自動化裝置註冊體驗期間套用一次。除非裝置使用者重新註冊其Mac，否則不會再次遇到此問題。

選項包括：
- 是：就在主畫面載入之前，設定助理會暫停並讓 Intune 使用裝置簽入。使用者等候最終設定時，用戶體驗會鎖定。這個選項是新註冊設定檔的預設組態。
- 否：不論原則安裝狀態為何，安裝助理結束時，裝置都會放到主畫面。裝置使用者可能能夠在安裝所有原則之前存取主畫面或變更裝置設定。這個選項是現有註冊設定檔的預設組態。
使用者在等待最終設定畫面上保留的時間量會有所不同，並取決於您指派給裝置的原則和應用程式總數。用戶可以在等候時看到裝置組態配置檔正在安裝助理中下載。指派的原則和應用程式越多，等候時間就越長。設定助理和 Intune 不會在安裝期間強制執行最小或最大時間限制。在產品驗證期間，我們測試的大部分裝置都已發行，而且能夠在15分鐘記憶體取主畫面。如果您啟用這項功能，並且正在與Microsoft合作夥伴或非Microsoft服務合作，以協助您布建裝置，請告知它們布建時間是否可能增加。

執行macOS 10.11或更新版本的Mac支援鎖定體驗。其適用於針對這些案例設定之新的或現有註冊配置檔為目標的Mac：
- 使用新式驗證透過設定助理註冊
- 使用設定助理註冊 (舊版)
- 沒有使用者裝置親和性的註冊
您可以強制執行鎖定註冊，以防止使用者取消註冊其裝置 Intune。選取 [是 ] 以停用 [系統喜好設定] 和 [終端機] 中的 Mac 設定，以允許使用者移除管理配置檔。裝置註冊之後，您就無法在不抹除裝置的情況下變更此設定。
選取 [下一步]。
或者，您可以在 [ 帳戶設定 ] 頁面上，在目標 Mac 上設定本機主要帳戶。

執行 macOS 10.11 或更新版本的裝置支援這些設定。當您設定主要帳戶時，請記住，此帳戶將會是系統 管理員 帳戶。至少擁有一個系統管理員帳戶是 Mac 安裝程式的需求。

選項包括：
- 建立本機主要帳戶：選取 [是 ] 以設定目標 Mac 的本機主要帳戶設定。選 取 [未設定 ] 以略過所有帳戶設定組態。
- 預先填入帳戶資訊：預設設定 [未設定] 需要裝置使用者在 [設定助理] 中輸入其帳戶用戶名稱和完整名稱。若要改為預先填入帳戶資訊，請選取 [ 是]。然後輸入主要帳戶名稱和完整名稱：
  - 主要帳戶名稱：輸入帳戶的用戶名稱。 {{partialupn}} 是 帳戶名稱支援的令牌變數。
  - 主要帳戶完整名稱：輸入帳戶的完整名稱。 {{username}} 是 支援完整名稱的令牌變數。
- 限制編輯：預設組態設定為 [ 是 ]，讓裝置使用者無法編輯他們所設定的帳戶名稱和完整名稱。若要允許裝置使用者編輯帳戶名稱和完整名稱，請選取 [ 未設定]。如果您只使用安裝助理 (舊版) 來註冊執行 macOS 10.15 和更新版本的裝置，您可以預期下列用戶體驗：
  - 是：設定助理中的帳戶建立畫面永遠不會出現。相反地，會根據其他設定組態自動建立本機主要帳戶，並自動從 Microsoft Entra 驗證畫面填入密碼。裝置使用者無法編輯這些欄位。
  - 未設定：本機主要帳戶畫面會顯示給設定助理中的使用者，並填入已設定的帳戶值，以及來自 Microsoft Entra 驗證畫面的密碼。裝置用戶可以在設定助理期間編輯這些欄位。
若要讓帳戶設定如預期般運作，您的註冊配置檔必須具有下列設定：
- 用戶親和性：選 取 [使用用戶親和性註冊]。
- 驗證方法：選 取 [具有新式驗證的設定助理 ]，或選 取 [設定助理 (舊版) 。
- 等候最終設定：選取 [是]。
本機帳戶會在建立時相依於 等候最終 設定功能。因此，如果您設定任何本機主要帳戶設定，則一律會啟用此設定。即使您未觸控 await 最終 組態設定，它仍會在背景啟用並套用至註冊配置檔。
選取 [下一步]。
在 [ 設定助理 ] 頁面上，設定設定助理體驗。
1. 輸入您的部門資訊，讓使用者知道要連絡哪些人以尋求支援：
  - 部門名稱：當裝置使用者在啟用期間選取 [關於 組態] 時，就會出現此名稱。
  - 部門電話：當裝置使用者在啟用期間選取 [需要協助 ] 時，就會出現此電話號碼。
2. 選取您要在裝置安裝期間顯示或隱藏的設定助理畫面。如需所有畫面的說明，請參閱本文) 中的設定助理畫面參考 (。選項包括：
  - 隱藏：在裝置設定期間，螢幕不會對用戶顯示。設定裝置之後，使用者可以移至其裝置設定來設定功能。
  - 顯示：使用者在裝置設定期間會出現畫面。使用者仍然可以略過不需要立即採取動作的畫面。設定裝置之後，使用者可以移至其裝置設定來設定功能。
選取 [下一步]。
檢閱變更摘要，然後選取 [建立 ] 以完成配置檔的建立。

設定助理畫面參考

下表描述 Mac 自動裝置註冊期間顯示的設定助理畫面。您可以在註冊期間，在支援的裝置上顯示或隱藏這些畫面。如需每個設定助理畫面如何影響用戶體驗的詳細資訊，請參閱下列Apple資源：

設定助理畫面	可見時會發生什麼事
定位服務	顯示 [位置服務設定] 窗格，用戶可在其中啟用其裝置上的位置服務。適用於macOS 10.11和更新版本。
還原	顯示應用程式和資料設定窗格。在此畫面上，設定裝置的使用者可以從 iCloud 備份還原或傳輸數據。適用於 macOS 10.9 及更高版本。
Apple ID	顯示 [Apple ID 設定] 窗格，讓使用者可以選擇使用其 Apple ID 登入並使用 iCloud。適用於 macOS 10.9 及更高版本。
條款及條件	顯示 [Apple 條款及條件] 窗格，並要求使用者接受這些條款和條件。適用於 macOS 10.9 及更高版本。
觸控標識碼和臉部標識碼	顯示 [生物特徵辨識設定] 窗格，讓使用者可以選擇在其裝置上設定指紋或臉部識別。適用於 macOS 10.12.4 及更高版本。
Apple Pay	顯示 [Apple Pay 設定] 窗格，讓使用者可以選擇在其裝置上設定 Apple Pay。適用於 macOS 10.12.4 及更高版本。
Siri	向使用者顯示 [Siri 設定] 窗格。適用於macOS 10.12和更新版本。
診斷數據	顯示使用者可以選擇將診斷數據傳送至 Apple 的診斷窗格。適用於 macOS 10.9 及更高版本。
顯示音	顯示顯示音調的設定窗格。此畫面可讓使用者選擇開啟真正的音調顯示。適用於macOS 10.13.6和更新版本。
FileVault	向用戶顯示 FileVault 2 加密畫面。適用於 macOS 10.10 及更高版本。
iCloud 診斷	向用戶顯示 iCloud Analytics 畫面。適用於 macOS 10.12.4 及更高版本。
註冊	向用戶顯示註冊畫面。適用於 macOS 10.9 及更高版本。
iCloud 儲存空間	向用戶顯示 iCloud 檔和桌面畫面。適用於 macOS 10.13.4 及更高版本。
外觀	顯示使用者可在其中選取外觀模式的外觀窗格。適用於macOS 10.14和更新版本。
螢幕時間	顯示 [macOS 畫面時間設定] 窗格、使用者可以啟用的功能，以深入瞭解屏幕時間，以及應用程式和網站活動。適用於macOS 10.15和更新版本。
隱私權	向使用者顯示隱私權設定窗格。適用於 macOS 10.13.4 及更高版本。
協助工具	向用戶顯示輔助功能設定畫面。如果隱藏此畫面，用戶就無法使用macOS Voice Over功能。在下列裝置上支援 Voice Over： - 執行 macOS 11。 - 使用乙太網連線到網際網路。 - 在 Apple School Manager 或 Apple Business Manager 中具有序號。
使用 Apple Watch 自動解除鎖定	顯示 [使用 Apple Watch 解除鎖定] 窗格，用戶可在其中設定其 Apple Watch 以解除鎖定 Mac。適用於macOS 12.0和更新版本。
地址條款	顯示 [位址條款] 窗格，可讓用戶選擇要在整個系統中尋址方式的選項：[女性]、[偽裝] 或 [中性]。此 Apple 功能適用於選取的語言。如需詳細資訊，請參閱在 Mac 上變更語言 & 區域設定 (開啟 Apple 網站) 。適用於macOS 13.0和更新版本。
壁紙	在裝置完成軟體升級之後，顯示 macOS Sonoma 桌布設定窗格。如果您隱藏此畫面，裝置會取得預設的macOS Sonoma 桌布。適用於macOS 14.1和更新版本。
鎖定模式	向設定 Apple ID 的使用者顯示鎖定模式設定窗格。適用於macOS 14.0和更新版本。
智慧	顯示 [Apple Intelligence 設定] 窗格，用戶可在其中設定 Apple Intelligence 功能。適用於macOS 15.0和更新版本。

同步受控裝置

同步處理會重新整理現有的裝置狀態，並匯入指派給 Apple MDM 伺服器的新裝置。若要查看所有相關聯的 Apple 裝置和裝置資訊，請在系統管理中心同步您的註冊計劃令牌。

返回 註冊計劃令牌 ，然後選擇您的註冊計劃令牌。
選 取 [裝置>同步]。

同步處理限制

為了符合 Apple 對於可接受註冊計劃流量的條款，Microsoft Intune 會施加下列限制：

完整同步處理每七天只能執行一次。在完整同步處理期間，Intune 擷取指派給已連線 Apple MDM 伺服器的最新更新序號清單。如果您從 Intune 刪除裝置，但未從 Apple Business Manager 或 Apple School Manager 中的 MDM 伺服器取消指派，則在執行完整同步處理之前，不會重新匯入至 Intune。
如果裝置是從其中一個 Apple 註冊計劃發行，則最多可能需要 45 天，才會自動從 Intune 中的 [裝置] 頁面中刪除裝置。如有需要，您可以在 Intune 一個接一個地手動刪除已發行的裝置。 Intune 報告已將裝置從 Apple Business Manager 或 Apple School Manager 中移除，直到在 30-45 天內自動刪除為止。
同步會每 24 小時自動執行一次。每隔 15 分鐘可以起始一次同步處理。所有同步要求都必須在 15 分鐘內完成。 同步處理按鈕會變成非作用中，直到同步處理完成為止。

將註冊設定檔指派給裝置

將註冊配置檔指派給Apple裝置。

返回 註冊計劃令牌 ，然後選取令牌。
選 取 [裝置]。
從清單中選擇您的裝置，然後選取 [ 指派配置檔]。
選擇要指派的配置檔，然後選取 [ 指派]。

您可以選擇性地選取預設註冊設定檔。默認配置檔會部署到與令牌相關聯的所有註冊裝置。

返回 註冊計劃令牌 ，然後選取令牌。
選 取 [設定預設設定檔]。
選擇設定檔，然後選取 [ 儲存]。

發佈裝置

重要

與具有使用者親和性的裝置相關聯的用戶必須獲指派 Intune 授權。缺少使用者親和性的裝置則需有裝置授權。

在整個組織中散發備妥的裝置。

新增或抹除 Mac：當有人開啟裝置時，Apple Business Manager 或 Apple School Manager 中設定的新 Mac 或抹除 Mac 會在安裝助理期間自動註冊 Microsoft Intune。如果您將裝置指派給具有用戶親和性的macOS註冊配置檔，則裝置用戶必須在安裝助理完成之後登入公司入口網站，才能完成 Microsoft Entra 註冊和條件式存取需求。
現有的 Mac：您可以註冊已通過設定助理的裝置。完成下列步驟，以註冊執行macOS 10.13和更新版本的公司擁有Mac。
1. 請確定：
  - 裝置會匯入 Apple Business Manager 或 Apple School Manager。
  - 系統管理中心會將macOS註冊配置檔指派給裝置。
2. 使用本機系統管理員帳戶登入裝置。
3. 若要觸發註冊，請從首頁開啟 終端機，然後執行下列命令：
  
  sudo profiles renew -type enrollment
4. 輸入本機系統管理員帳戶的裝置密碼。
5. 在 [ 裝置註冊] 上，選取 [ 詳細數據]。
6. 在 [系統喜好設定] 上，選取 [ 配置檔]。
7. 遵循螢幕上的提示，下載 Microsoft Intune 管理配置檔、憑證和原則。
  
  提示
  
  您可以回到 [系統喜好>設定配置檔]，隨時確認裝置上有哪些配置檔。
8. 如果您將裝置指派給具有用戶親和性的macOS註冊配置檔，請登入公司入口網站應用程式以完成 Microsoft Entra 註冊和條件式存取需求，並完成註冊。

更新註冊計劃令牌

完成下列步驟，以更新即將到期的伺服器令牌。此程式可確保 Intune 中相關聯的註冊計劃令牌保持作用中。

登入 Apple Business Manager 或 Apple School Manager，並遵循下列步驟下載新的 MDM 伺服器令牌：
- 在 Apple Business Manager 中下載令牌
- 在 Apple School Manager 中下載令牌，
在系統管理中心，移至 [ 裝置>註冊]。
選取 [Apple] 索引 標籤。
在 [ 大量註冊方法] 下，選取 [ 註冊計劃令牌]。
選擇您想要更新的註冊計劃令牌。
選 取 [更新令牌 ]，然後輸入用來建立原始令牌的 Apple ID。
上傳新的令牌。
選取 [下一步]。您可以視需要在此時更新範圍標籤。否則，請繼續 檢閱 + 建立。
選 取 [建立 ] 以儲存您的變更。

後續步驟

使用 Microsoft Intune 遠端動作從遠端管理已註冊的 Mac。

共用方式為