註冊指南:在 Microsoft Intune 中註冊 macOS 裝置
個人和組織擁有的裝置可以在Intune中註冊。 在 macOS 裝置上,公司入口網站應用程式或 Apple Setup Assistant 會驗證使用者,並開始註冊。 註冊之後,他們會收到您建立的原則和設定檔。
註冊 macOS 裝置時,您有下列選項:
本文:
- 描述每個註冊方法的公司入口網站應用程式選項。
- 針對支援的裝置管理案例提供註冊建議。
- 包含每個註冊類型的系統管理員和使用者工作概觀。
每個平臺也有不同註冊選項的視覺指南:
提示
本指南是一件即時的工作。 因此,請務必新增或更新您發現有用的現有秘訣和指引。
開始之前
如需準備租使用者進行註冊所需的所有Intune特定必要條件和設定,請參閱註冊指南:Microsoft Intune註冊。
BYOD:裝置註冊
用於個人或攜帶您自己的裝置 (BYOD) 。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 裝置為個人或 BYOD。 | ✔️ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✔️ |
| 您有新的或現有的裝置。 | ✔️ |
| 裝置會與單一使用者相關聯。 | ✔️ |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ✔️ 請留意使用 DEM 帳戶的影響和任何限制。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 當裝置註冊時,MDM 提供者會安裝憑證和其他檔案。 必須移除這些檔案。 最快速的方式可能是取消註冊或將裝置重設為原廠。 如果您不想重設出廠預設值,請連絡 MDM 提供者。 |
| 裝置是由組織或學校所擁有。 | ❌ 不建議用於組織擁有的裝置。 組織擁有的裝置應使用本文) 或 Apple Configurator 中的 自動裝置註冊 (進行註冊。 您可以將 MacBook 序號新增至公司裝置識別碼,以將裝置標示為公司。 但根據預設,裝置會標示為個人。 |
| 裝置是無使用者的,例如 kiosk、專用或共用。 | ❌ 這些裝置是組織擁有的。 無使用者的裝置應使用本文) 或 Apple Configurator 中的 自動裝置註冊 (進行註冊。 |
裝置註冊系統管理員工作
此工作清單提供概觀。
請確定您的裝置 受到支援。
請確定Apple MDM 推播憑證已新增至Intune,且為作用中。 需要此憑證才能註冊 macOS 裝置。 如需詳細資訊,請 參閱取得 Apple MDM 推播憑證。
Apple App Store 中或透過 VPP 的 macOS 裝置沒有公司入口網站應用程式。 使用者必須手動下載並執行公司入口網站應用程式安裝程式套件。 他們會使用其組織帳戶登入 (
user@contoso.com) ,然後逐步執行註冊。 註冊之後,他們必須核准註冊設定檔。核准時,裝置會新增至您的組織 Azure AD。 然後,您可以Intune來接收您的原則和設定檔。
請務必與您的使用者溝通這項資訊。
裝置註冊終端使用者工作
您的使用者必須執行下列步驟。 如需終端使用者步驟的詳細資訊,請參閱使用 公司入口網站 應用程式註冊 macOS 裝置。
- 下載並執行公司入口網站應用程式安裝程式套件。
- 開啟公司入口網站應用程式,並使用其組織帳戶 ()
user@contoso.com登入。 登入之後,他們必須核准註冊設定檔 (系統喜好設定) 。 當使用者核准時,裝置會註冊並視為受控。 如果未核准,則不會註冊,且不會收到您的原則和設定檔。
如需終端使用者步驟的詳細資訊,請參閱使用 公司入口網站 應用程式註冊 macOS 裝置。
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與使用者通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計畫。
自動化裝置註冊 (ADE) (受監督)
先前稱為 Apple 裝置註冊計畫 (DEP) 。 在您組織所擁有的裝置上使用 。 此選項會使用 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 來設定設定。 它會註冊大量裝置,而不需要您觸碰裝置。 這些裝置是從 Apple 購買、具有預先設定的設定,而且可以直接寄送給使用者或學校。 您會在Intune系統管理中心建立註冊設定檔,並將此設定檔推送至裝置。
如需此註冊類型的更具體資訊,請參閱使用 Apple Business Manager 或 Apple School Manager 自動註冊 macOS 裝置。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 裝置是由組織或學校所擁有。 | ✔️ |
| 您有新的裝置。 | ✔️ |
| 您有現有的裝置。 | ✔️ 若要註冊現有的裝置,請參閱設定 助理之後註冊 Mac (開啟另一個 Microsoft 文章) 。 |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✔️ |
| 裝置會與單一使用者相關聯。 | ✔️ |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ✔️ |
| 裝置為個人或 BYOD。 | ❌ 不建議。 在本文) 中,應該使用 裝置註冊 (註冊 BYOD 或個人裝置。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 若要由Intune完全管理,使用者必須從目前的 MDM 提供者取消註冊,然後註冊Intune。 或者,您可以使用裝置註冊來管理裝置上的特定應用程式。 由於這些裝置是組織擁有的,因此建議您註冊Intune。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ❌ 不支援 DEM 帳戶。 |
ADE 系統管理員工作
此工作清單提供概觀。 如需更具體的資訊,請 參閱使用 Apple Business Manager 或 Apple School Manager 自動註冊 macOS 裝置。
請確定您的裝置 受到支援。
需要存取 Apple Business Manager (ABM) 入口網站或 Apple School Manager (ASM) 入口網站。
請確定 Apple 權杖 (.p7m) 作用中。 如需更具體的資訊,請 參閱建立註冊計畫權杖。
請確定Apple MDM 推播憑證已新增至Intune,且為作用中。 需要此憑證才能註冊 macOS 裝置。 如需詳細資訊,請 參閱取得 Apple MDM 推播憑證。
決定使用者在其裝置上驗證的方式: 設定助理 (舊版) 或 使用新式驗證設定助理。 建立註冊設定檔之前,請先做出此決定。 使用 設定助理搭配新式驗證 會被視為新式驗證。 Microsoft 建議使用 設定助理搭配新式驗證。
對於所有組織擁有的 macOS 裝置,即使您在Intune中看不到「設定助理」文字,仍一律會自動使用 (舊版) 。 設定助理 (舊版) 驗證使用者,並註冊裝置。
選取 [設定助理] (舊版) ::
您想要抹除裝置。
您不想要使用新式驗證功能,例如 MFA。
您不想在 Azure AD 中註冊裝置。 設定助理 (舊版) 使用 Apple
.p7m權杖來驗證使用者。 如果無法在 Azure AD 中註冊裝置是可接受的,則您不需要安裝公司入口網站應用程式。 繼續使用設定助理 (舊版) 。如果您想要使用公司入口網站應用程式進行驗證,而不是使用設定助理,或想要在 Azure AD 中註冊裝置,請安裝公司入口網站應用程式。 註冊裝置之後,您可以安裝公司入口網站應用程式。
若要在裝置上安裝公司入口網站應用程式,請參閱新增公司入口網站應用程式。 將公司入口網站應用程式設定為必要的應用程式。
安裝之後,使用者會開啟公司入口網站應用程式,並使用其組織 Azure AD 帳戶 ()
user@contoso.com登入。 當他們登入時,系統會加以驗證,並準備好接收您的原則和設定檔。
選取具有 新式驗證的設定助理 ,時機如下:
- 您想要抹除裝置。
- 您想要使用多重要素驗證 (MFA) 。
- 您想要提示使用者在第一次登入時更新其過期的密碼。
- 您想要提示使用者在註冊期間重設其過期的密碼。
- 您想要在 Azure AD 中註冊裝置。 註冊它們時,您可以使用 Azure AD 提供的功能,例如條件式存取。
注意事項
在設定助理期間,使用者必須輸入其組織 Azure AD 認證 (
user@contoso.com) 。 當他們輸入認證時,就會開始註冊。 如有需要,使用者也可以輸入其 Apple ID 來存取 Apple 特定功能,例如 Apple Pay。安裝助理完成之後,使用者就可以使用裝置。 當主畫面顯示時,註冊完成,並建立使用者親和性。 裝置未向 Azure AD 完整註冊,也不會顯示在 Azure AD 中使用者的裝置清單中。
如果使用者需要存取受條件式存取保護的資源,或應向 Azure AD 完整註冊,請安裝公司入口網站應用程式。 安裝之後,使用者會開啟公司入口網站應用程式,並使用其組織 Azure AD 帳戶登入 (
user@contoso.com) 。 在第二次登入期間,會評估任何條件式存取原則,並完成 Azure AD 註冊。 使用者可以安裝和使用組織資源,包括 LOB 應用程式。
在Intune系統管理中心,建立註冊設定檔。 選擇 [ 使用使用者親和性 註冊], (將使用者與裝置) 建立關聯,或 (無使用者裝置或共用裝置) , 在沒有使用者親和性的情況下 註冊。
使用使用者親和性註冊:設定助理會驗證使用者,並在Intune中註冊裝置。 此外,選擇使用者是否可以刪除管理設定檔,稱為 鎖定註冊。
無使用者親和性註冊:設定助理會驗證使用者,並在Intune中註冊使用者。 此外,選擇使用者是否可以刪除管理設定檔,稱為 鎖定註冊。 在沒有使用者親和性的註冊上,不會使用、需要或支援公司入口網站應用程式。
ADE 終端使用者工作
這些工作取決於系統管理員如何告訴使用者安裝公司入口網站應用程式。 一般而言,使用者必須執行的註冊步驟越少,他們註冊的機會就越高。
如需終端使用者步驟的詳細資訊,請參閱使用 公司入口網站 應用程式註冊 macOS 裝置。
使用使用者親和性註冊 + 設定助理 (舊版) :
當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) 。設定助理會提示使用者提供資訊,並在Intune中註冊裝置。 裝置未在 Azure AD 中註冊。
如果您使用設定助理進行驗證,請在這裡停止。
選用。 如果您使用公司入口網站應用程式進行驗證 (而非設定助理) ,則會使用您設定的選項來安裝公司入口網站應用程式。
使用者開啟公司入口網站應用程式,並使用其組織認證 ()
user@contoso.com登入。 登入之後,使用者會經過驗證,而且可以存取組織資源。請記住,安裝公司入口網站應用程式是選擇性的。 如果您想要讓使用者使用公司入口網站應用程式進行驗證,而不是使用設定助理,請新增公司入口網站應用程式。
使用使用者親和性註冊 + 使用新式驗證的設定助理:
當裝置開啟時,會執行 Apple Setup Assistant。 使用者輸入其 Apple ID (
user@iCloud.com或user@gmail.com) ,以及其組織 Azure AD 認證 (user@contoso.com) 。當使用者輸入其 Azure AD 認證時,就會開始註冊。
設定助理可能會提示使用者提供其他資訊。 完成時,使用者可以使用裝置。 當主畫面顯示時,註冊已完成,且已建立使用者裝置親和性。 使用者會在裝置上看到您的應用程式和原則。
使用者開啟您安裝的公司入口網站應用程式,並使用其組織認證登入 (
user@contoso.com) 。
註冊時沒有使用者親和性:沒有動作。 請確定您的使用者不會安裝公司入口網站應用程式。
使用者通常不喜歡自行註冊,而且可能不熟悉公司入口網站應用程式。 請務必提供指引,包括要輸入的資訊。 如需與使用者通訊的一些指引,請參閱 規劃指南:步驟 5 - 建立首度發行計畫。
直接註冊
在您組織擁有且不需要使用者裝置親和性的裝置上使用 。
這些裝置是組織擁有的,並使用 Apple Configurator。 唯一的用途是成為 kiosk 樣式裝置。 它們不會與單一或特定使用者相關聯。 這些裝置通常用來掃描專案、列印票證、取得數位簽章、管理清查等等。
如需此註冊類型的更具體資訊,請 參閱針對 macOS 裝置使用直接註冊。
| 功能 | 使用此註冊選項的時機 |
|---|---|
| 您需要有線連線,或發生網路問題。 | ✔️ |
| 您的組織不希望系統管理員使用 ABM 或 ASM 入口網站,或不想設定所有需求。 | ✔️ 不使用 ABM 或 ASM 入口網站的概念是讓系統管理員的控制權降低。 |
| 國家/地區不支援 Apple Business Manager (ABM) 或 Apple School Manager (ASM) 。 | ✔️ 如果您的國家/地區支援 ABS 或 ASM,則應使用本文中的 自動裝置註冊 (註冊裝置) 。 |
| 裝置是由組織或學校所擁有。 | ✔️ |
| 您有新的或現有的裝置。 | ✔️ |
| 需要註冊一些裝置,或大量註冊 (大量註冊) 大量裝置。 | ✔️ 如果您有大量的裝置,則此方法需要一些時間。 |
| 裝置會與單一使用者相關聯。 | ❌ 不建議。 需要使用者親和性的裝置應該使用 自動裝置註冊 (ADE) 來註冊。 |
| 裝置是無使用者的,例如 kiosk 或專用裝置。 | ✔️ |
| 裝置為個人或 BYOD。 | ❌ 不建議。 應該使用 MAM-WE 註冊 BYOD 或個人裝置 (開啟另一個 Microsoft 文章) ,或是本文章中的 BYOD:裝置註冊 () 。 |
| 裝置是由另一個 MDM 提供者管理。 | ❌ 若要由Intune完全管理,使用者必須從目前的 MDM 提供者取消註冊,然後註冊Intune。 或者,您可以使用 MAM-WE 來管理裝置上的特定應用程式。 由於這些裝置是組織擁有的,因此建議您在Intune註冊。 |
| 您可以使用裝置註冊管理員 (DEM) 帳戶。 | ❌ 不支援 DEM 帳戶。 |
直接註冊系統管理員工作
此工作清單提供概觀。 如需更具體的資訊,請參閱 macOS 直接註冊。
請確定您的裝置 受到支援。
請確定Apple MDM 推播憑證已新增至Intune,且為作用中。 需要此憑證才能註冊 macOS 裝置。 如需詳細資訊,請 參閱取得 Apple MDM 推播憑證。
在Intune系統管理中心,建立註冊設定檔。 選 取 [無使用者親和性註冊] (無使用者裝置或共用裝置) 。 使用無使用者裝置:
- 使用者無法使用需要使用者的應用程式,包括公司入口網站應用程式。 在沒有使用者親和性的註冊上,不會使用、需要或支援公司入口網站應用程式。 請確定使用者不會從 Apple 應用程式市集安裝公司入口網站應用程式。
- 使用使用者親和性註冊 可在 UI 中使用,但無法運作。 請勿選取此選項。 如果您需要使用者親和性,請使用本文) 中的 自動裝置註冊 (。
註冊設定檔準備就緒時,請匯出原則,並將檔案複製到 macOS 裝置。 按兩下檔案以安裝註冊原則。
如需此註冊選項及其必要條件的詳細資訊,請參閱 macOS 直接註冊。
直接註冊終端使用者工作
註冊時沒有使用者親和性:沒有動作。 請確定其不會從 Apple App Store 安裝公司入口網站應用程式。
![在Intune系統管理中心和Microsoft Intune中,使用直接註冊來註冊 macOS 裝置。選取 [不使用使用者親和性註冊]。](media/deployment-guide-enrollment-ios-ipados/configurator-enroll-without-user-affinity.png)