Průvodce nasazením: Správa zařízení s macOS v Microsoft Intune
Zabezpečený přístup k pracovnímu e-mailu, datům a aplikacím na zařízeních s macOS Tento článek vás provede úlohami specifickými pro macOS, které vám pomůžou povolit správu Intune mobilních zařízení pro macOS, konfigurovat zásady a nasazovat aplikace.
Požadavky
Pokud chcete povolit správu zařízení s macOS v Intune, postupujte podle následujících požadavků:
- Přidání uživatelů a skupin
- Přiřazení licencí uživatelům
- Nastavení autority pro správu mobilních zařízení
- Nastavení certifikátu Apple MDM Push (APNs)
Informace o Microsoft Intune rolích a oprávněních najdete v tématu RBAC s Microsoft Intune. Role globálního správce Microsoft Entra a správce Intune mají v rámci Microsoft Intune úplná práva. Globální správce má více oprávnění, než je potřeba pro mnoho úloh správy zařízení v Microsoft Intune. Doporučujeme použít roli s nejnižšími oprávněními, která je potřebná k dokončení úkolů. Například role s nejnižšími oprávněními, která může provádět úlohy registrace zařízení, je Správce zásad a profilů, což je integrovaná role Intune.
Podrobnější informace o tom, jak provést počáteční nastavení, onboarding nebo přechod na Microsoft Intune, najdete v průvodci nasazením Intune.
Plánování nasazení
Pomocí průvodce plánováním Microsoft Intune můžete definovat cíle správy zařízení, scénáře použití a požadavky. Pomůže vám také naplánovat zavedení, komunikaci, podporu, testování a ověřování. Protože například aplikace Portál společnosti pro macOS není v App Store dostupná, doporučujeme mít plán komunikace, aby koncoví uživatelé věděli, jak nainstalovat Portál společnosti a zaregistrovat svá zařízení.
Zápis zařízení
Nakonfigurujte metody registrace a prostředí pro zařízení s macOS vlastněná společností a osobní zařízení. Tento krok zajistí, že zařízení po registraci obdrží zásady a konfigurace Intune. Intune podporuje registraci přineste si vlastní zařízení (BYOD), automatickou registraci zařízení Apple a přímou registraci podnikových zařízení. Informace o jednotlivých způsobech registrace a o tom, jak zvolit ten, který je pro vaši organizaci nejvhodnější, najdete v průvodci registrací zařízení s macOS pro Microsoft Intune.
| Úloha | Detail |
|---|---|
| Nastavení registrace pro zařízení vlastněná uživatelem (BYOD) | Pokud chcete povolit registraci zařízení vlastněných uživatelem, dokončete požadavky v tomto článku. Najdete zde také prostředky pro registraci a odkazy, které můžete sdílet s uživateli zařízení, aby byli podporováni v celém prostředí registrace. Tato metoda registrace je určená pro organizace, které mají zásady přineste si vlastní zařízení (BYOD). Funkce BYOD umožňuje uživatelům používat jejich osobní zařízení pro věci související s prací. |
| Nastavení registrace automatizovaných zařízení Apple (ADE) | Nastavte si předpřihledné prostředí pro registraci, které automatizuje registraci na zařízeních vlastněných společností zakoupených prostřednictvím Apple School Manageru nebo Apple Business Manageru. Tato metoda je ideální pro organizace, které mají k registraci velký počet zařízení, protože eliminuje potřebu dotyku a konfigurace jednotlivých zařízení. |
| Nastavení přímé registrace pro podniková zařízení | Nastavte prostředí registrace pro zařízení vlastněná společností, která nejsou přidružená k jednomu uživateli, jako jsou zařízení používaná ve sdíleném prostoru nebo v maloobchodním nastavení. Přímá registrace zařízení nevymaže, takže je ideální ho použít, když zařízení nepotřebují přístup k místním uživatelským datům. Registrační profil budete muset přenést přímo na Mac, což vyžaduje připojení USB k počítači Mac s Apple Configuratorem. |
| Přidání správce registrace zařízení | Lidé určených jako správci registrace zařízení (DEM) můžou najednou zaregistrovat až 1 000 mobilních zařízení vlastněných společností. Účty DEM jsou užitečné v organizacích, které zaregistrují a připraví zařízení před jejich předáním uživatelům. |
| Identifikace zařízení jako vlastněných společností | Pokud chcete v Intune povolit další možnosti správy a identifikace, můžete zařízením přiřadit stav vlastněný společností. Stav vlastněný společností nejde přiřadit zařízením zaregistrovaným prostřednictvím Apple Business Manageru. |
| Změna vlastnictví zařízení | Po registraci zařízení můžete změnit jeho popisek vlastnictví v Intune na vlastněné společností nebo v osobním vlastnictví. Tato úprava změní způsob, jakým můžete zařízení spravovat. |
| Řešení potíží s registrací | Řešení potíží, ke kterým dochází během registrace, a jejich řešení |
Vytvoření pravidel dodržování předpisů
Vytvořte zásady dodržování předpisů, které definují pravidla a podmínky, které uživatelé a zařízení musí splňovat, aby mohli přistupovat k chráněným prostředkům. Tímto způsobem zajistíte, aby zařízení, která přistupují k vašim datům, splňovala vaše standardy. Intune označí zařízení, která nevyhovují vašim požadavkům, jako nedodržující předpisy, a podle vaší konfigurace provede akci (například odeslání oznámení uživateli, omezení přístupu nebo vymazání zařízení).
Pokud vytvoříte zásadu podmíněného přístupu, může společně s výsledky dodržování předpisů zařízením blokovat přístup k prostředkům ze zařízení nesplňujících předpisy. Podrobné vysvětlení o zásadách dodržování předpisů a o tom, jak začít, najdete v tématu Použití zásad dodržování předpisů k nastavení pravidel pro zařízení spravovaná pomocí Intune.
| Úloha | Detail |
|---|---|
| Vytvoření zásady dodržování předpisů | Získejte podrobné pokyny k vytvoření a přiřazení zásad dodržování předpisů skupinám uživatelů a zařízení. |
| Přidání akcí pro nedodržení předpisů | Zvolte, co se stane, když zařízení přestanou splňovat podmínky zásad dodržování předpisů. Akce pro nedodržení předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. |
| Vytvoření zásad podmíněného přístupu založených na zařízení nebo aplikacích | Zadejte aplikaci nebo služby, které chcete chránit, a definujte podmínky pro přístup. |
| Blokování přístupu k aplikacím, které nepoužívají moderní ověřování | Vytvořte zásady podmíněného přístupu založené na aplikacích, které budou blokovat aplikace, které používají jiné metody ověřování než OAuth2. například aplikace, které používají základní ověřování a ověřování na základě formulářů. Než ale přístup zablokujete, přihlaste se k Microsoft Entra ID a zkontrolujte sestavu aktivit metod ověřování, abyste zjistili, jestli uživatelé používají základní ověřování pro přístup k základním věcem, na které jste zapomněli nebo o které nevíte. Například veřejné terminály kalendáře zasedacích místností používají základní ověřování. |
Konfigurace nastavení zařízení
Pomocí Microsoft Intune povolte nebo zakažte nastavení a funkce na zařízeních s macOS, která se používají k práci. Pokud chcete tato nastavení nakonfigurovat a vynutit, vytvořte profil konfigurace zařízení a pak ho přiřaďte skupinám ve vaší organizaci.
| Úloha | Detail |
|---|---|
| Vytvoření profilu Monitorování stavu Windows v Microsoft Intune | Seznamte se s různými typy profilů zařízení, které můžete vytvořit pro svoji organizaci. |
| Konfigurace funkcí zařízení | Nakonfigurujte běžné funkce a funkce macOS. Popis nastavení v této oblasti najdete v referenčních informacích k funkcím zařízení. |
| Konfigurace profilu Wi-Fi | Tento profil umožňuje uživatelům najít Wi-Fi síť vaší organizace a připojit se k této síti. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení Wi-Fi. |
| Konfigurace profilu kabelové sítě | Tento profil umožňuje lidem na stolních počítačích připojit se k drátové síti vaší organizace. Popis nastavení v této oblasti najdete v referenčních informacích k drátové síti. |
| Konfigurace profilu SÍTĚ VPN | Nastavte pro lidi, kteří se připojují k síti vaší organizace, možnost zabezpečené sítě VPN, například Tunel Microsoft. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení sítě VPN. |
| Omezení funkcí zařízení | Chraňte uživatele před neoprávněným přístupem a vyrušováním tím, že omezíte funkce zařízení, které můžou používat v práci nebo ve škole. Popis nastavení v této oblasti najdete v referenčních informacích o omezeních zařízení. |
| Konfigurace vlastního profilu | Přidejte a přiřaďte nastavení a funkce zařízení, které nejsou součástí Intune. |
| Přidání a správa rozšíření pro macOS | Přidejte rozšíření jádra a systémová rozšíření, která uživatelům umožní instalovat rozšíření aplikací, která rozšiřují nativní možnosti operačního systému. Popis nastavení v této oblasti najdete v referenčních informacích k rozšířením pro macOS. |
| Přizpůsobení brandingu a prostředí registrace | Přizpůsobte si prostředí Portál společnosti Intune a Microsoft Intune aplikací vlastními slovy, brandingem, předvolbami obrazovky a kontaktními informacemi vaší organizace. |
Konfigurace zabezpečení koncových bodů
Funkce zabezpečení koncových bodů Intune slouží ke konfiguraci zabezpečení zařízení a ke správě úloh zabezpečení ohrožených zařízení.
| Úloha | Detail |
|---|---|
| Správa zařízení pomocí funkcí zabezpečení koncových bodů | Pomocí nastavení zabezpečení koncového bodu v Intune můžete efektivně spravovat zabezpečení zařízení a opravovat problémy u zařízení. |
| Použití podmíněného přístupu k omezení přístupu k tunelu Microsoft Tunnel | Pomocí zásad podmíněného přístupu můžete hradit přístup zařízení k bráně VPN v tunelu Microsoft Tunnel. |
| Přidání nastavení ochrany koncových bodů | Nakonfigurujte běžné funkce zabezpečení ochrany koncových bodů, včetně brány firewall, gatekeeperu a FileVaultu. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení ochrany koncových bodů. |
Nastavení zabezpečených metod ověřování
Nastavte metody ověřování v Intune, abyste zajistili, že k vašim interním prostředkům budou přistupovat jenom autorizovaní lidé. Intune podporuje vícefaktorové ověřování, certifikáty a odvozené přihlašovací údaje. Certifikáty je také možné použít k podepisování a šifrování e-mailů pomocí S/MIME.
| Úloha | Detail |
|---|---|
| Vyžadovat vícefaktorové ověřování (MFA) | Vyžadovat, aby uživatelé v době registrace zadáli dva formuláře přihlašovacích údajů. |
| Vytvoření profilu důvěryhodného certifikátu | Před vytvořením profilu importovaného certifikátu SCEP, PKCS nebo PKCS vytvořte a nasaďte profil důvěryhodného certifikátu. Profil důvěryhodného certifikátu nasadí důvěryhodný kořenový certifikát do zařízení a uživatelů pomocí importovaných certifikátů SCEP, PKCS a PKCS. |
| Použití certifikátů SCEP s Intune | Zjistěte, co je potřeba k používání certifikátů SCEP s Intune, a nakonfigurujte požadovanou infrastrukturu. Potom můžete vytvořit profil certifikátu SCEP nebo nastavit certifikační autoritu třetí strany pomocí SCEP. |
| Použití certifikátů PKCS s Intune | Nakonfigurujte požadovanou infrastrukturu (například místní certificate connectory), exportujte certifikát PKCS a přidejte certifikát do konfiguračního profilu Intune zařízení. |
| Použití importovaných certifikátů PKCS s Intune | Nastavte importované certifikáty PKCS, které umožňují nastavit a používat S/MIME k šifrování e-mailů. |
Nasazení aplikací
Při nastavování aplikací a zásad aplikací se zamyslete nad požadavky vaší organizace, jako jsou platformy, které budete podporovat, úkoly, které uživatelé dělají, typ aplikací, které potřebují k dokončení těchto úkolů, a o tom, kdo je potřebuje. Intune můžete použít ke správě celého zařízení (včetně aplikací) nebo můžete použít Intune ke správě jenom aplikací.
| Úloha | Detail |
|---|---|
| Přidání aplikace Portál společnosti Intune | Zjistěte, jak získat Portál společnosti na zařízeních nebo instruovat uživatele, jak to udělat sami. |
| Přidat Microsoft Edge | Přidejte a přiřaďte Microsoft Edge v Intune. |
| Přidat Microsoft 365 | Přidejte a přiřaďte aplikace Microsoft 365 v Intune. |
| Přidání obchodních aplikací | Přidejte a přiřaďte obchodní aplikace pro macOS v Intune. |
| Přiřazení aplikací ke skupinám | Po přidání aplikací do Intune je přiřaďte uživatelům a zařízením. |
| Zahrnutí a vyloučení přiřazení aplikací | Řízení přístupu a dostupnosti aplikace zahrnutím a vyloučením vybraných skupin z přiřazení |
| Použití skriptů prostředí na zařízeních s macOS | Pomocí skriptů prostředí můžete rozšířit možnosti správy zařízení v Intune nad rámec toho, co podporuje operační systém macOS. |
Spouštění vzdálených akcí
Po nastavení zařízení můžete pomocí vzdálených akcí v Intune spravovat zařízení s macOS a řešit potíže na dálku. Následující články vás seznámí se vzdálenými akcemi v Intune. Pokud akce na portálu chybí nebo je zakázaná, není v macOS podporovaná.
| Úloha | Detail |
|---|---|
| Provedení vzdálené akce na zařízeních | Zjistěte, jak procházet podrobnosti a vzdáleně spravovat jednotlivá zařízení v Intune a řešit potíže s tím. Tento článek obsahuje seznam všech vzdálených akcí dostupných v Intune a odkazy na tyto postupy. |
| Použití TeamVieweru ke vzdálené správě zařízení Intune | Nakonfigurujte TeamViewer v rámci Intune a zjistěte, jak vzdáleně spravovat zařízení. |
| Použití úloh zabezpečení k zobrazení hrozeb a ohrožení zabezpečení | Integrujte Intune s Microsoft Defender for Endpoint, abyste mohli využívat Threat and Vulnerability Management Defenderu for Endpoint a používat Intune k nápravě slabých míst koncového bodu zjištěného schopností správy ohrožení zabezpečení defenderu. |
Další kroky
Kurz navigace a používání Intune najdete v článku Projděte si Centrum pro správu Intune. Kurzy jsou obsah na úrovni 100 až 200 pro lidi, kteří Intune nebo konkrétní scénář.
Kurzy týkající se nasazení aplikací najdete v následujících Microsoft Tech Community blogech, které napsal tým podpory Intune:
Další verze této příručky najdete tady: