Použití skriptů prostředí na zařízeních s macOS v Intune
Pomocí skriptů prostředí můžete rozšířit možnosti správy zařízení v Intune nad rámec toho, co podporuje operační systém macOS.
Poznámka
Rosetta 2 se vyžaduje ke spouštění aplikací verze x64 (Intel) na počítačích Apple Silicon Mac. Pokud chcete nainstalovat Rosetta 2 na Apple Silicon Mac automaticky, můžete nasadit skript prostředí v Intune. Pokud chcete zobrazit ukázkový skript, přečtěte si téma Instalační skript Rosetta 2.
Požadavky
Ujistěte se, že jsou při vytváření skriptů prostředí a jejich přiřazování zařízením s macOS splněné následující požadavky.
- Na zařízeních běží macOS 12.0 nebo novější.
- Zařízení spravuje Intune.
- Zařízení jsou připojená přímo k internetu. Připojení přes proxy server se nepodporuje.
- Skripty prostředí začínají
#!
na a musí být v platném umístění, jako#!/bin/sh
je nebo#!/usr/bin/env zsh
. - Nainstalují se interprety příkazového řádku pro příslušná prostředí.
Důležité aspekty před použitím skriptů prostředí
- Skripty prostředí vyžadují, aby byl na zařízení s macOS úspěšně nainstalovaný agent pro správu Microsoft Intune. Další informace najdete v tématu Microsoft Intune agent pro správu pro macOS.
- Skripty prostředí běží paralelně na zařízeních jako samostatné procesy.
- Skripty prostředí, které se spouští jako přihlášený uživatel, se spustí pro všechny aktuálně přihlášené uživatelské účty na zařízení v době spuštění.
- Koncový uživatel se musí přihlásit k zařízení, aby spouštět skripty spuštěné jako přihlášený uživatel.
- Oprávnění uživatele root jsou vyžadována, pokud skript vyžaduje provedení změn, které standardní uživatelský účet nemůže provést.
- Skripty prostředí se za určitých podmínek pokusí spouštět častěji, než je zvolená frekvence skriptů, například pokud je disk plný, došlo k manipulaci s umístěním úložiště, odstranění místní mezipaměti nebo restartování zařízení Mac.
- Skripty prostředí, které běží déle než 60 minut, se zastaví a ohlásí se jako neúspěšné.
Vytvoření a přiřazení zásad skriptů prostředí
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>podle platformy>macOS>Spravovat zařízení>Skripty>Přidat.
V části Základy zadejte následující vlastnosti a vyberte Další:
- Název: Zadejte název skriptu prostředí.
- Popis: Zadejte popis skriptu prostředí. Toto nastavení není povinné, ale doporučujeme ho zadat.
V nastavení skriptu zadejte následující vlastnosti a vyberte Další:
- Nahrání skriptu: Přejděte na skript prostředí. Soubor skriptu musí být menší než 1 MB.
- Spustit skript jako přihlášený uživatel: Vyberte Ano , pokud chcete skript spustit s přihlašovacími údaji uživatele na zařízení. Zvolte Ne (výchozí) a spusťte skript jako uživatel root.
- Skrytí oznámení skriptů na zařízeních: Ve výchozím nastavení se oznámení o skriptech zobrazují pro každý spuštěný skript. Koncovým uživatelům se na zařízeních s macOS zobrazí, že it počítač konfiguruje oznámení z Intune.
- Frekvence skriptů: Vyberte, jak často se má skript spouštět. Pokud chcete skript spustit jenom jednou, zvolte Nenakonfigurováno (výchozí). Skripty se sadou kmitočtů se spustí také po restartování zařízení.
- Maximální počet opakování v případě selhání skriptu: Vyberte, kolikrát se má skript spustit, pokud vrátí nenulový ukončovací kód (nula znamená úspěch). Zvolte Nenakonfigurováno (výchozí), pokud se nechcete opakovat, když skript selže.
V části Značky oboru můžete volitelně přidat značky oboru pro skript a vybrat Další. Pomocí značek oboru můžete určit, kdo může zobrazit skripty v Intune. Úplné podrobnosti o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.
Vyberte Přiřazení>: Vyberte skupiny, které chcete zahrnout. Zobrazí se existující seznam skupin Microsoft Entra. Vyberte jednu nebo více skupin uživatelů nebo zařízení, které mají skript přijmout. Zvolte Vybrat. Skupiny, které zvolíte, se zobrazí v seznamu a obdrží zásady skriptů.
Poznámka
- Skripty prostředí přiřazené skupinám uživatelů platí pro všechny uživatele, kteří se přihlašují k Macu.
- Aktualizace přiřazení pro skripty prostředí také aktualizuje přiřazení pro agenta Microsoft Intune MDM pro macOS.
V části Zkontrolovat a přidat se zobrazí souhrn nastavení, která jste nakonfigurovali. Vyberte Přidat a skript uložte. Když vyberete Přidat, zásady skriptů se nasadí do vámi vybraných skupin.
Skript, který jste vytvořili, se teď zobrazí v seznamu skriptů. V případě potřeby můžete zobrazit obsah skriptů prostředí macOS po jejich nahrání do Intune.
Monitorování zásad skriptů prostředí
Stav spuštění všech přiřazených skriptů pro uživatele a zařízení můžete monitorovat tak, že zvolíte jednu z následujících sestav:
- Skripty>vyberte skript, který chcete monitorovat.>Stav zařízení
- Skripty>vyberte skript, který chcete monitorovat.>Stav uživatele
Důležité
Bez ohledu na vybranou frekvenci skriptů se stav spuštění skriptu hlásí pouze při prvním spuštění skriptu. Stav spuštění skriptu se při dalších spuštěních neaktualizuje. Aktualizované skripty se ale považují za nové skripty a znovu hlásí stav spuštění.
Jakmile se skript spustí, vrátí jeden z následujících stavů:
- Stav spuštění skriptu Failed označuje, že skript vrátil nenulový ukončovací kód nebo je skript poškozený.
- Stav spuštění skriptu Úspěch indikuje, že skript jako ukončovací kód vrátil nulu.
Řešení potíží se zásadami skriptů prostředí macOS pomocí shromažďování protokolů
Můžete shromažďovat protokoly zařízení, které vám pomůžou při řešení potíží se skripty na zařízeních s macOS.
Požadavky na shromažďování protokolů
Ke shromažďování protokolů na zařízení s macOS se vyžadují následující položky:
- Musíte zadat úplnou absolutní cestu k souboru protokolu.
- Cesty k souborům musí být oddělené pouze středníkem (;).
- Maximální velikost kolekce protokolů, která se má nahrát, je 60 MB (komprimované) nebo 25 souborů podle toho, co nastane dříve.
- Mezi typy souborů, které jsou povolené pro shromažďování protokolů, patří následující přípony: .log, .zip, .gz, .tar, .txt, .xml, .crash, .rtf
Shromažďování protokolů zařízení
Přihlaste se k Centru pro správu Microsoft 365.
Přejděte na Zařízení>Správa zařízení>Skripty a nápravy>Skripty platformy a vyberte skript prostředí macOS.
V části Stav zařízení nebo Zpráva o stavu uživatele vyberte zařízení.
Vyberte Shromáždit protokoly a zadejte cesty ke složkám souborů protokolů oddělené pouze středníkem (;) bez mezer nebo nových řádků mezi cestami.
Například více cest by mělo být zapsáno jako/Path/to/logfile1.zip;/Path/to/logfile2.log
.Důležité
Více cest k souborům protokolu oddělených čárkou, tečkou, novým řádekem nebo uvozovkami s nebo bez mezer způsobí chybu shromažďování protokolů. Mezery také nejsou povolené jako oddělovače mezi cestami.
Vyberte OK. Protokoly se shromažďují při příštím přihlášení agenta pro správu Intune na zařízení s Intune. K tomuto ohlášení obvykle dochází každých 8 hodin.
Poznámka
- Shromážděné protokoly se na zařízení šifrují, přenášejí se a ukládají v úložišti Microsoft Azure po dobu 30 dnů. Uložené protokoly se dešifrují na vyžádání a stáhnou se pomocí centra pro správu Microsoft Intune.
- Kromě protokolů zadaných správcem se z těchto složek shromažďují také protokoly agenta pro správu Intune:
/Library/Logs/Microsoft/Intune
a~/Library/Logs/Microsoft/Intune
. Názvy souborů protokolu agenta jsouIntuneMDMDaemon date--time.log
aIntuneMDMAgent date--time.log
. - Pokud některý soubor zadaný správcem chybí nebo má nesprávnou příponu souboru, najdete tyto názvy souborů uvedené v
LogCollectionInfo.txt
.
Chyby shromažďování protokolů
Shromažďování protokolů nemusí být úspěšné z některého z následujících důvodů uvedených v následující tabulce. Pokud chcete tyto chyby vyřešit, postupujte podle kroků pro nápravu.
Kód chyby (hex) | Kód chyby (dec) | Zpráva o chybě | Nápravné kroky |
---|---|---|---|
0X87D300D1 | 2016214834 | Velikost souboru protokolu nesmí překročit 60 MB. | Zajistěte, aby komprimované protokoly byly menší než 60 MB. |
0X87D300D1 | 2016214831 | Musí existovat zadaná cesta k souboru protokolu. Složka systémového uživatele je neplatné umístění pro soubory protokolu. | Ujistěte se, že zadaná cesta k souboru je platná a přístupná. |
0X87D300D2 | 2016214830 | Nahrávání souboru shromažďování protokolů se nezdařilo kvůli vypršení platnosti adresy URL pro nahrání. | Zkuste akci Shromáždit protokoly znovu. |
0X87D300D3, 0X87D300D5, 0X87D300D7 | 2016214829, 2016214827, 2016214825 | Nahrávání souboru shromažďování protokolů se nezdařilo kvůli selhání šifrování. Zkuste nahrát protokol znovu. | Zkuste akci Shromáždit protokoly znovu. |
2016214828 | Počet souborů protokolu překročil povolený limit 25 souborů. | Najednou je možné shromáždit maximálně 25 souborů protokolu. | |
0X87D300D6 | 2016214826 | Nahrávání souboru kolekce protokolů se nezdařilo kvůli chybě zip. Zkuste nahrát protokol znovu. | Zkuste akci Shromáždit protokoly znovu. |
2016214740 | Protokoly se nedaly zašifrovat, protože se nenašly komprimované protokoly. | Zkuste akci Shromáždit protokoly znovu. | |
2016214739 | Protokoly se shromáždily, ale nešlo je uložit. | Zkuste akci Shromáždit protokoly znovu. |
Vlastní atributy pro macOS
Můžete vytvořit vlastní profily atributů, které umožňují shromažďovat vlastní vlastnosti ze spravovaného zařízení s macOS pomocí skriptů prostředí.
Vytvoření a přiřazení vlastního atributu pro zařízení s macOS
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>podle platformy>macOS>Uspořádat zařízení>Vlastní atributy pro macOS>Přidat.
V části Základy zadejte následující vlastnosti a vyberte Další:
- Název: Zadejte název skriptu.
- Popis: Zadejte popis skriptu. Toto nastavení není povinné, ale doporučujeme ho zadat.
V nastavení atributu zadejte následující vlastnosti a vyberte Další:
- Datový typ atributu: Vyberte datový typ výsledku, který skript vrátí. Dostupné hodnoty jsou String, Integer a Date.
- Skript: Vyberte soubor skriptu.
Další podrobnosti:
- Skript prostředí musí odpovídat atributu, který se má hlásit, a datový typ výstupu musí odpovídat datovému typu atributu v profilu vlastního atributu.
- Výsledek vrácený skriptem prostředí musí být 20 kB nebo méně.
Poznámka
Pokud používáte
Date
atributy typu, ujistěte se, že skript prostředí vrací kalendářní data ve formátu ISO-8601. Podívejte se na následující příklady.Tisk data kompatibilního s normou ISO-8601 s časovým pásmem:
#!/bin/sh var=$(date +"%Y-%m-%dT%H:%M:%S%z") echo $var # Prints an ISO-8601 compliant date with time-zone
Tisk data vyhovujícího standardu ISO-8601 v čase UTC:
#!/bin/sh var=$(date -u +"%Y-%m-%dT%H:%M:%SZ") echo $var # Prints an ISO-8601 compliant date in UTC time
V části Přiřazení klikněte na Vybrat skupiny, které chcete zahrnout. Když zvolíte Vybrat skupiny, které mají zahrnout existující seznam Microsoft Entra skupin se zobrazí. Vyberte jednu nebo více skupin uživatelů nebo zařízení, které mají skript přijmout. Zvolte Vybrat. Skupiny, které zvolíte, se zobrazí v seznamu a obdrží zásady skriptů. Případně můžete vybrat možnost Všichni uživatelé, Všechna zařízení nebo Všichni uživatelé a všechna zařízení tak, že vyberete jednu z těchto možností v rozevíracím seznamu vedle položky Přiřadit.
Poznámka
- Skripty přiřazené skupinám uživatelů platí pro všechny uživatele, kteří se přihlašují k Macu.
V části Zkontrolovat a přidat se zobrazí souhrn nastavení, která jste nakonfigurovali. Vyberte Přidat a skript uložte. Když vyberete Přidat, zásady skriptů se nasadí do vámi vybraných skupin.
Skript, který jste vytvořili, se teď zobrazí v seznamu vlastních atributů. V případě potřeby můžete obsah vlastních atributů zobrazit po jejich nahrání do Intune.
Monitorování zásad vlastních atributů
Stav spuštění všech přiřazených profilů vlastních atributů pro uživatele a zařízení můžete monitorovat volbou jedné z následujících sestav:
- Vlastní atributy>vyberte profil vlastního atributu, který chcete monitorovat>.Stav zařízení
- Vlastní atributy>vyberte profil vlastního atributu, který chcete monitorovat>.Stav uživatele
Důležité
Skripty prostředí poskytované v profilech vlastních atributů se na spravovaných počítačích Mac spouštějí každých 8 hodin a hlásí se.
Po spuštění vlastního profilu atributu vrátí jeden z následujících stavů:
- Stav Neúspěšné označuje, že skript vrátil nenulový ukončovací kód nebo je skript poškozený. Chyba je hlášena ve sloupci Výsledek .
- Jako stav Úspěch označuje, že skript vrátil nulu jako ukončovací kód. Výstup, který skript odráží, se hlásí ve sloupci Výsledek .
Nejčastější dotazy
Proč na zařízení nejsou spuštěné přiřazené skripty prostředí?
Může to mít několik důvodů:
- Agent se možná bude muset vrátit se změnami, aby mohl přijímat nové nebo aktualizované skripty. Tento proces ohlášení se provádí každých 8 hodin a liší se od ohlášení mdm. Ujistěte se, že je zařízení probuzené a připojené k síti pro úspěšné přihlášení agenta, a počkejte, až se agent přihlásí se změnami. Můžete také požádat koncového uživatele, aby otevřel Portál společnosti na Macu, vyberte zařízení a klikněte na Zkontrolovat nastavení.
- Agent nemusí být nainstalovaný. Zkontrolujte, že je agent nainstalovaný
/Library/Intune/Microsoft Intune Agent.app
na zařízení s macOS. - Agent nemusí být v dobrém stavu. Agent se pokusí obnovit po dobu 24 hodin, odebere se a přeinstaluje, pokud jsou skripty prostředí stále přiřazené.
Jak často se hlásí stav spuštění skriptu?
Po dokončení spuštění skriptu se Microsoft Intune Centru pro správu nahlásí stav spuštění skriptu. Pokud je naplánované pravidelné spouštění skriptu s nastavenou frekvencí, hlásí stav pouze při prvním spuštění.
Kdy se skripty prostředí znovu spustí?
Skript se znovu spustí pouze v případě, že je nakonfigurované nastavení Maximální počet opakování v případě selhání skriptu a skript při spuštění selže. Pokud není nakonfigurovaná možnost Maximální počet opakování v případě selhání skriptu a skript selže při spuštění, nebude se znovu spustit a stav spuštění se ohlásí jako neúspěšný.
Jaká Intune oprávnění rolí se vyžadují pro skripty prostředí?
Vaše přiřazená role Intune vyžaduje oprávnění konfigurace zařízení k odstraňování, přiřazování, vytváření, aktualizaci nebo čtení skriptů prostředí.
Známé problémy
- Žádný stav spuštění skriptu: V nepravděpodobném případě, že je na zařízení přijat skript a zařízení přejde do režimu offline před nahlášeným stavem spuštění, zařízení nebude hlásit stav spuštění skriptu v Centru pro správu.
Další informace
Když nasadíte skripty prostředí nebo vlastní atributy pro zařízení s macOS z Microsoft Intune, nasadí se nová univerzální verze aplikace Intune agenta pro správu, která běží nativně na počítačích Apple Silicon Mac. Stejné nasazení nainstaluje verzi x64 aplikace na počítače Intel Mac. Rosetta 2 se vyžaduje ke spouštění aplikací verze x64 (Intel) na počítačích Apple Silicon Mac. Pokud chcete nainstalovat Rosetta 2 na Apple Silicon Mac automaticky, můžete nasadit skript prostředí v Intune. Pokud chcete zobrazit ukázkový skript, přečtěte si téma Instalační skript Rosetta 2.