Sdílet prostřednictvím

Kompletní průvodce začínáme s koncovými body macOS

  • Článek

Pomocí Microsoft Intune můžete spravovat a zabezpečit koncové body macOS vlastněné vaší organizací nebo školou. Když vy nebo vaše organizace spravujete zařízení, můžete nasadit aplikace, které vaši koncoví uživatelé potřebují, nakonfigurovat požadované funkce zařízení a používat zásady, které pomáhají chránit vaše zařízení & organizaci před hrozbami.

Tento článek se týká:

  • Zařízení s macOS vlastněná vaší organizací

Tento článek je uceleným průvodcem, který vám pomůže začít s koncovými body macOS. Zaměřuje se na:

  • Koncové body spravované pomocí Apple Business Manageru nebo Apple School Manageru
  • Zařízení zaregistrovaná v Intune pomocí automatizované registrace zařízení s přidružením uživatele. Přidružení uživatele se obvykle používá pro zařízení s jedním primárním uživatelem.

Tento článek vás provede kompletními kroky při vytváření a správě koncových bodů macOS pomocí Microsoft Intune.

Jak používat tuto příručku

Tato příručka má sedm fází. Každá fáze obsahuje sadu kroků, které vám pomůžou sestavit konfiguraci a nasazení koncového bodu macOS. Každá fáze vychází z předchozí fáze.

Diagram, který shrnuje všechny fáze onboardingu zařízení s macOS, včetně testování, registrace, zabezpečení, nasazení zásad a podpory zařízení pomocí Microsoft Intune

Dokončete fáze a kroky v pořadí. Mezi tyto fáze patří:

Na konci této příručky máte koncový bod macOS zaregistrovaný do Intune a připravený začít ověřovat ve vašich scénářích.

Fáze 1 – Nastavení prostředí

Před vytvořením prvního koncového bodu macOS je potřeba nakonfigurovat několik požadavků a konfiguračních funkcí.

V této fázi zkontrolujete požadavky, integrujete Intune s Apple Business Managerem (nebo Apple School Managerem), nakonfigurujete některé funkce a přidáte některé aplikace do Intune.

Diagram, který obsahuje postup nastavení prostředí pro podporu zařízení s macOS v Microsoft Intune, včetně požadavků na netowrk, certifikátů, konfigurace jednotného přihlašování a dalších

Krok 1 – požadavky na síť

Nastavení sítě

K úspěšné přípravě a nasazení koncového bodu macOS vyžaduje koncový bod přístup k několika veřejným internetovým službám.

  • Zahajte testování v otevřené síti. Nebo v síti vaší organizace poskytněte přístup ke všem koncovým bodům uvedeným v části Koncové body sítě pro Microsoft Intune. Pak můžete použít síť vaší organizace k testování konfigurace.

  • Pokud vaše bezdrátová síť vyžaduje certifikáty, můžete během testování začít s připojením k síti Ethernet. Ethernetové připojení vám poskytne čas na určení nejlepšího přístupu pro bezdrátová připojení, která zařízení potřebují.

Upozornění

Kontrola SSL může způsobit selhání přístupu ke službám Microsoftu a Apple. Další informace o požadavcích společnosti Apple najdete v tématu Používání produktů Apple v podnikových sítích.

Krok 2 – registrace a licencování

Vytvoření nové skupiny, konfigurace omezení registrace a přiřazení licencí

Pokud chcete koncové body připravit na registraci, musíte se ujistit, že jsou cílené na správné koncové body a že jsou koncové body správně licencované.

Konkrétně:

  • Vytvoření nové skupiny

    Vytvořte novou testovací skupinu Microsoft Entra, například Intune MDM Users. Pak do této skupiny přidejte testovací uživatelské účty. Pokud chcete omezit, kdo může zařízení při nastavování konfigurace registrovat, zaměřte konfigurace na tuto skupinu.

    Pokud chcete vytvořit skupinu Microsoft Entra, použijte Centrum pro správu Intune. Když vytváříte skupinu v Intune, vytváříte skupinu Entra. Nevidíte značku Entra, ale to je to, co používáte.

    Další informace najdete v tématu Vytvoření skupiny pro správu uživatelů v Intune.

  • Omezení registrace

    Omezení registrace umožňují řídit typy zařízení, která se můžou zaregistrovat do správy Intune. Aby byl tento průvodce úspěšný, ujistěte se, že je v rámci omezení registrace povolená registrace macOS (MDM), což je výchozí konfigurace. Toto omezení registrace přiřaďte nové skupině, kterou jste vytvořili.

    V případě potřeby nebo potřeby můžete také zabránit registraci konkrétních zařízení.

    Informace o konfiguraci omezení registrace najdete v tématu Nastavení omezení registrace v Microsoft Intune.

  • Licencování

    Uživatelé, kteří registruje zařízení s macOS, vyžadují licenci Microsoft Intune nebo Microsoft Intune for Education. Pokud chcete přiřadit licence, přejděte na Přiřazení licencí Microsoft Intune. Přiřaďte licence k testovacím účtům, které jste vytvořili.

    Poznámka

    Oba typy licencí jsou obvykle součástí licenčních balíčků, jako je Microsoft 365 E3 (nebo A3) a vyšší. Další informace najdete v článku Porovnání plánů Microsoft 365 Enterprise.

Krok 3 – přidání certifikátu Apple MDM

Přidání nabízeného certifikátu se spravovaným Apple ID

  • Ke správě zařízení s macOS apple vyžaduje, aby byl tenant Intune nakonfigurovaný pomocí certifikátu MDM Push Certificate. Pokud aktuálně spravujete zařízení s iOS/iPadOS ve stejném tenantovi, je tento krok hotový.

  • Ujistěte se, že používáte spravované Apple ID s instancí Apple Business Manageru (nebo Apple School Manageru).

    Nepoužívejte osobní Apple ID. Správa certifikátu služby Apple Push Notification Service je po celou dobu životnosti vašeho řešení pro správu zařízení důležitá. Přístup pomocí osobního Apple ID může být nedostupný, protože personál se v průběhu času mění.

Informace o konfiguraci certifikátu Apple MDM Push Certificate najdete v tématu Získání certifikátu Apple MDM Push certificate pro Intune.

Krok 4 – Přidání tokenu automatické registrace zařízení Apple

Propojení tokenu Apple pro automatizovanou registraci zařízení

Pokud chcete spravovat zařízení zaregistrovaná prostřednictvím Apple Business Manageru (nebo Apple School Manageru), musíte nastavit token MDM a propojit ho s Intune.

Tento token se vyžaduje pro automatizovanou registraci zařízení (ADE) v Intune. Token:

  • Umožňuje Intune synchronizovat informace o zařízeních ADE z účtu Apple Business Manageru (nebo Apple School Manageru).
  • Umožňuje Intune nahrát registrační profily společnosti Apple.
  • Umožňuje Intune přiřadit zařízení k těmto profilům.

Pokud aktuálně spravujete zařízení s iOS/iPadOS v tomto stejném tenantovi pomocí ADE, můžete některé z těchto kroků provést.

Informace o konfiguraci Apple Business Manageru s Intune najdete v článku Registrace zařízení s macOS – Apple Business Manager nebo Apple School Manager.

Základní kroky konfigurace Apple Business Manageru (nebo Apple School Manageru) s Intune:

  1. Připojte Intune k Apple Business Manageru (nebo Apple School Manageru).
  2. V Intune vytvořte profily ADE pro token Apple Business Manageru.
  3. V Apple Business Manageru přiřaďte zařízení k Intune MDM.
  4. V Intune přiřaďte profily ADE zařízením s macOS.

Krok 5 – Cílová zařízení

Cílení na konkrétní skupiny pomocí skupin uživatelů, filtrů Intune nebo dynamických skupin

Na zařízení s macOS s přidružením uživatele je možné cílit na profily a aplikace využívající skupiny uživatelů nebo zařízení. Existují dvě běžné možnosti, jak organizace dynamicky cílit na zařízení:

  • Možnost 1 – Všechna zařízení skupiny s filtrem přiřazení podle registraceProfileName

    Pro důležité aplikace a zásady, které se musí použít ihned po registraci (nastavení zabezpečení, omezení, Portál společnosti aplikace), můžete zásady přiřadit integrované skupině Intune Všechna zařízení. Vytvořte filtr přiřazení pomocí registračního profilu, který jste vytvořili v kroku 4 – Přidání tokenu automatické registrace zařízení Apple.

    Zásady a aplikace cílené na skupinu Všechna zařízení se po registraci použijí rychleji než dynamické skupiny. Filtry nepodporují všechny konfigurační profily (například skripty macOS).

    Další informace o filtrech přiřazení najdete v tématu Vytvoření filtrů v Microsoft Intune.

  • Možnost 2 – Microsoft Entra dynamickou skupinu na základě názvu profilu registrace

    Pokud chcete omezit konfigurace z této příručky na testovací zařízení importovaná přes Apple Business Manager, vytvořte dynamickou skupinu Microsoft Entra. Na tuto skupinu pak můžete cílit všechny své konfigurace a aplikace.

    1. Otevřete Centrum pro správu Microsoft Intune.

    2. Vyberte Skupiny>Nová skupina a zadejte následující podrobnosti:

      • Typ skupiny: Vyberte Zabezpečení.
      • Název skupiny: Zadejte koncové body macOS.
      • Typ členství: Vyberte Dynamické zařízení.

    3. V části Členové dynamického zařízení vyberte Přidat dynamický dotaz a zadejte následující vlastnosti:

      • Vlastnost: Vyberte enrollmentProfileName.
      • Operátor: Vyberte rovná se.
      • Hodnota: Zadejte název registračního profilu.

    4. Vyberte OK>Uložit>vytvořit.

    Když vytváříte aplikace a zásady, můžete zásady cílit na tuto novou dynamickou Microsoft Entra skupinu.

    Poznámka

    Po provedení změn může naplnění dynamických skupin trvat několik minut. Ve velkých organizacích to může trvat déle. Po vytvoření nové skupiny počkejte několik minut, než zkontrolujete, jestli je zařízení členem skupiny.

    Další informace o dynamických skupinách pro zařízení najdete v článku Pravidla dynamického členství pro skupiny v Microsoft Entra ID: Pravidla pro zařízení.

Krok 6 – Konfigurace počátečního nastavení a jednotného přihlašování (SSO)

Optimalizace prostředí při prvním spuštění

Pomocí Intune můžete optimalizovat prostředí prvního spuštění pomocí předdefinovaných nastavení v profilu registrace ADE. Při vytváření registračního profilu můžete konkrétně:

  • Předem nakonfigurujte informace o koncovém uživateli v Pomocníkovi s nastavením.
  • Použijte funkci poslední konfigurace await . Tato funkce zabraňuje koncovým uživatelům v přístupu k omezenému obsahu nebo změně nastavení, dokud nebudou platit zásady konfigurace Intune zařízení.

Další informace o této funkci a registraci ADE najdete v článku Automatická registrace Počítačů Mac pomocí Apple Business Manageru nebo Apple School Manageru.

Omezení výzev k přihlášení k aplikacím pomocí jednotného přihlašování

V Intune můžete nakonfigurovat nastavení, která sníží počet výzev k přihlášení, které se koncovým uživatelům zobrazí při používání aplikací, včetně aplikací Microsoft 365. Tato konfigurace má dvě části:

  • Část 1 – Pomocí modulu plug-in Microsoft Enterprise SSO můžete poskytovat jednotné přihlašování (SSO) aplikacím a webům, které k ověřování používají Microsoft Entra ID, včetně aplikací Microsoft 365.

    Existují dvě možnosti konfigurace jednotného přihlašování pro Mac – modul plug-in podnikového jednotného přihlašování a jednotné přihlašování platformy.

    Modul plug-in Microsoft Enterprise SSO pro zařízení Apple poskytuje jednotné přihlašování (SSO) pro účty Microsoft Entra v systému macOS ve všech aplikacích, které podporují funkci podnikového jednotného přihlašování společnosti Apple.

    Pokud chcete tyto zásady vytvořit, přejděte v Centru pro správu Intune na:

    • Zařízení > Správa zařízení > Konfigurace > Vytvoření > nového katalogu zásad > Nastavení Jednotné přihlašování > ověřování > (SSO): Přidejte a nakonfigurujte následující nastavení:

      Name (Název) Konfigurace
      Identifikátor rozšíření com.microsoft.CompanyPortalMac.ssoextension
      Identifikátor týmu UBF8T346G9
      Typ Přesměrovat
      Adresy URL https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • Nakonfigurujte následující volitelná nastavení:

      Klíč Typ Hodnota
      AppPrefixAllowList String com.apple.,com.microsoft
      browser_sso_interaction_enabled Celé číslo 1
      disable_explicit_app_prompt Celé číslo 1

    Další informace o modulu plug-in podnikového jednotného přihlašování, včetně postupu vytvoření zásady, najdete v tématu Konfigurace modulu plug-in podnikového jednotného přihlašování pro macOS pomocí Intune.

  • Část 2 – Pomocí katalogu nastavení Intune nakonfigurujte následující nastavení, která zkracují výzvy k přihlášení, včetně Microsoft AutoUpdate (MAU) a Microsoft Office.

    • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Microsoft AutoUpdate (MAU): Přidejte a nakonfigurujte následující nastavení:

    • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Microsoft Office > Microsoft Office: Přidejte a nakonfigurujte následující nastavení:

      • Adresa Email aktivace Office: Zadejte {{userprincipalname}}.
      • Povolit automatické přihlašování: Vyberte True.

      Tato nastavení zjednodušují proces přihlašování při prvním otevření aplikací Office. Další informace o těchto nastaveních najdete v tématu Nastavení předvoleb pro celou sadu pro Office pro Mac.

    Další informace o katalogu nastavení, včetně postupu vytvoření zásady, najdete v tématu Použití katalogu nastavení ke konfiguraci nastavení v Microsoft Intune.

Krok 7 – přidání a přiřazení požadovaných aplikací

Přidání minimální sady aplikací do Intune

Vaše organizace může mít některé aplikace, které vaše zařízení s macOS musí mít. Vaše organizace může vyžadovat, aby tyto aplikace byly nainstalované na všech zařízeních spravovaných službou Intune.

V tomto kroku přidejte tyto aplikace do Intune a přiřaďte je ke skupině.

Mezi aplikace, které musíte mít, patří:

Fáze 2 – Registrace testovacího koncového bodu

V další fázi se testovací zařízení s macOS zaregistruje do Intune. Tato fáze vás seznámí s počátečními kroky, takže budete připraveni, až bude čas zaregistrovat všechna zařízení s macOS v Intune.

Diagram, který obsahuje postup registrace testovacího zařízení s macOS pomocí Microsoft Intune, včetně registrace zařízení, přiřazení profilu a dalších

Pokud chcete zaregistrovat svůj první koncový bod macOS organizace, ujistěte se, že zařízení s macOS je:

Základní postup registrace prvního koncového bodu macOS s Intune:

  1. Vymažte nebo resetujte koncový bod macOS. Tento krok je povinný pro stávající zařízení. Pokud zaregistrujete zařízení s macOS, které je už nastavené, považuje se za osobní zařízení. Proto musíte zařízení před registrací do Intune vymazat nebo obnovit do továrního nastavení.

    U nových zařízení, která nejsou nastavená, můžete tento krok přeskočit. Pokud si nejste jistí, jestli je zařízení nastavené, resetujte ho.

  2. Projděte si Průvodce nastavením.

  3. Otevřete aplikaci Portál společnosti a přihlaste se pomocí účtu vaší organizace (user@contoso.com).

Když se uživatel přihlásí, použijí se zásady registrace. Po dokončení se koncový bod macOS zaregistruje v Intune.

Fáze 3 – Zabezpečení koncových bodů macOS

V této fázi nakonfigurujete nastavení zabezpečení a funkce, které pomáhají chránit koncové body, včetně udržování zařízení v aktuálním stavu pomocí aktualizací.

Diagram, který obsahuje postup zabezpečení zařízení s macOS pomocí zásad dodržování předpisů, aktualizací softwaru a dalších akcí v Microsoft Intune

Tato část se zaměřuje na různé funkce zabezpečení koncových bodů v Microsoft Intune, mezi které patří:

  • Zásady dodržování předpisů a podmíněného přístupu
  • Microsoft Defender for Endpoint
  • Zabezpečení koncového bodu FileVault, brány firewall a gatekeeperu
  • Softwarové Aktualizace
  • Účet hosta
  • Nečinné přihlášení
  • Mac Evaluation Utility

Zásady dodržování předpisů a podmíněného přístupu

Vytvoření zásad dodržování předpisů a vynucení dodržování předpisů pomocí podmíněného přístupu

  • Zásady dodržování předpisů ověřují nastavení zařízení, která konfigurujete, a můžou opravit některá nastavení, která nevyhovují předpisům. Můžete například vytvořit zásady dodržování předpisů, které kontrolují složitost hesla, stav jailbreaku, úrovně hrozeb, stav registrace a další.

    Pokud existují nastavení konfigurace, která jsou v konfliktu mezi zásadami dodržování předpisů a jinými zásadami, mají přednost zásady dodržování předpisů. Další informace najdete v článku Zásady dodržování předpisů a konfigurace zařízení, které jsou v konfliktu.

  • Podmíněný přístup se dá použít k vynucení zásad dodržování předpisů, které vytvoříte. V kombinaci může být od koncových uživatelů vyžadováno, aby si před přístupem k prostředkům organizace zaregistrovali svá zařízení a splňovali minimální standard zabezpečení. Pokud zařízení nedodržuje předpisy, můžete zablokovat přístup k prostředkům, jako je e-mail, nebo vyžadovat, aby uživatel svoje zařízení zaregistroval a problém vyřešil.

Poznámka

Pokud chcete ověřit, že vynucujete správné ovládací prvky zařízení, spolupracujte se svým týmem, který spravuje zásady podmíněného přístupu Entra.

Zásady dodržování předpisů a podmíněného přístupu můžete vytvořit v Centru pro správu Intune.

Další informace najdete v článku:

Microsoft Defender for Endpoint

Použití Microsoft Defender for Endpoint pro ochranu před hrozbami

Microsoft Defender for Endpoint je řešení ochrany před mobilními hrozbami, které pomáhá chránit vaše zařízení před bezpečnostními hrozbami.

V Intune se můžete připojit ke službě Microsoft Defender for Endpoint, vytvořit zásady Intune pomocí nastavení Microsoft Defender for Endpoint a pak je nasadit do svých zařízení.

Další informace najdete v článku:

Integrované zabezpečení koncových bodů

Šifrování zařízení pomocí šifrování disku FileVault

FileVault je funkce šifrování celého disku, která pomáhá zabránit neoprávněnému přístupu. Nastavení FileVault jsou integrovaná do katalogu nastavení Intune a jsou k dispozici jako zásady dodržování předpisů.

Můžete tedy nakonfigurovat FileVault, zkontrolovat dodržování předpisů a nasadit zásady do svých zařízení.

Pokud chcete tyto zásady vytvořit, přejděte v Centru pro správu Intune na:

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Nastavení katalogu > Úplné šifrování disku
  • Zařízení > Správa zařízení > – Dodržování předpisů > Vytvoření zásady > Zabezpečení > systému Vyžadovat šifrování úložiště dat na zařízení

Další informace o fileVault najdete tady:

Konfigurace brány firewall

Brána firewall je brána firewall aplikace a pomáhá předcházet příchozím útokům. Nastavení brány firewall jsou integrovaná do katalogu nastavení Intune a jsou k dispozici jako zásady dodržování předpisů.

Můžete tedy nakonfigurovat bránu firewall, zkontrolovat dodržování předpisů a nasadit zásady do svých zařízení.

Pokud chcete tyto zásady vytvořit, přejděte v Centru pro správu Intune na:

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit >nový katalog nastavení zásad>:

    • Síťová > brána firewall
    • Předvolby zabezpečení > zabezpečení

  • Zařízení > Správa zařízení > – Dodržování předpisů > – Vytvoření zásady > Zabezpečení > systému Firewall

Další informace o bráně firewall macOS najdete tady:

Konfigurace vrátného

Gatekeeper zajišťuje, aby na zařízení běžel jenom důvěryhodný software. Nastavení Gatekeeperu jsou integrovaná do katalogu nastavení Intune a jsou k dispozici jako zásady dodržování předpisů.

Takže můžete nakonfigurovat gatekeepera, zkontrolovat dodržování předpisů a nasadit zásady do svých zařízení.

Pokud chcete tyto zásady vytvořit, přejděte v Centru pro správu Intune na:

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit >novou zásadu> Katalog > nastavení Zásady > systému Řízení zásad systému:

    • Povolit identifikovaného vývojáře: Vyberte Pravda.
    • Povolit hodnocení: Vyberte Pravda.

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit >novou zásadu> Katalog > nastavení Zásady > systému Zásady systému Spravované zásady systému:

    • Zakázat přepsání: Vyberte True.

  • Zařízení > Správa zařízení > – Dodržování předpisů > – Vytvoření zásady > Zabezpečení > systému Gatekeeper

Další informace o gatekeeperu najdete tady:

Softwarové Aktualizace

Konfigurace Aktualizace softwaru

Na zařízeních jsou aktualizace softwaru kritické a musíte určit, jak se aktualizace instalují. Máte několik možností.

Při konfiguraci těchto nastavení vynucujete a omezujete chování v uzlu Aktualizace softwaru aplikace >Nastavení na zařízení.

  • Možnost 1 – zařízení s macOS 14.0 a novějšími (doporučeno) – Na zařízeních s macOS 14.0 a novějších použijte katalog nastavení Intune k vytvoření zásady spravovaných aktualizací softwaru. Tato funkce používá deklarativní správu zařízení (DDM) společnosti Apple a je doporučeným přístupem k aktualizaci zařízení s macOS.

    Konkrétně v Centru pro správu Intune nakonfigurujete následující nastavení:

    • Zařízení > Správa zařízení > Konfigurace > Vytvořit > nový katalog > zásad > Nastavení Deklarativní Správa zařízení > aktualizace softwaru

    • Volitelné – v části Zařízení > Spravovat zařízení > Konfigurace > Vytvořit > nový katalog > nastavení > Omezení můžete pomocí následujících nastavení odložit, jak dlouho po vydání aktualizace můžou uživatelé aktualizace nainstalovat ručně. Tato nastavení používají nastavení MDM společnosti Apple:

      • Vynucené dílčí odložené instalace aktualizace softwaru: 0–30
      • Vynucené odložené instalace hlavní aktualizace softwaru: 0–30
      • Vynucené odložené instalace aktualizace softwaru mimo operační systém: 0–30

      Nastavení Katalogu > deklarativní Správa zařízení > aktualizace softwaru mají přednost před nastavením Omezení katalogu > nastavení. Další informace najdete v tématu Priorita nastavení v zásadách aktualizací macOS.

  • Možnost 2 – macOS 13.0 a starší (doporučeno) – Na zařízeních s macOS 13.0 a starších můžete použít kombinaci katalogu nastavení Intune a zásad Intune aktualizací softwaru. Tyto funkce používají nastavení MDM společnosti Apple.

    Konkrétně v Centru pro správu Intune můžete nakonfigurovat následující nastavení:

    • Zařízení > Správa aktualizací > Apple aktualizuje > zásady aktualizací pro macOS

    • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Aktualizace softwaru

    Některá nastavení v obou typech zásad (aktualizace softwaru a katalog nastavení) se můžou překrývat. Proto věnujte pozornost tomu, co konfigurujete v jednotlivých zásadách. Nastavení v zásadách aktualizací macOS mají přednost před nastavením aktualizace softwaru katalogu > nastavení. Další informace najdete v tématu Priorita nastavení v zásadách aktualizací macOS.

  • Možnost 3 (nedoporučuje se) – Koncoví uživatelé nainstalují aktualizace ručně. Tento přístup závisí na tom, kdy se koncoví uživatelé rozhodnou, kdy mají aktualizace nainstalovat. A můžou nainstalovat aktualizaci, kterou vaše organizace neschválí.

Další informace o plánování strategie aktualizací macOS najdete v tématu Průvodce plánováním aktualizací softwaru pro spravovaná zařízení s macOS v Microsoft Intune.

Účet hosta

Zakázání účtu hosta

V koncových bodech macOS byste měli účet hosta zakázat. Účet hosta můžete zakázat pomocí katalogu nastavení Intune:

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Nastavení katalogu > Účty>:
    • Zakázat účet hosta: Vyberte True.

Časový limit nečinnosti

Nastavení časového limitu nečinnosti

Pomocí katalogu nastavení Intune řídíte časové období po nečinnosti, po které macOS vyzve k zadání hesla:

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Konfigurace > systému Screensaver:

    • Požádat o heslo: Vyberte Pravda.
    • Přihlášení k Windows Nečinný čas: Zadejte třeba 300, což je 5 minut.
    • Požádat o zpoždění hesla: Zadejte něco jako 5.
    • Název modulu: Zadejte název modulu screensaver, například Flurry.

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Uživatelské prostředí > Screensaver Uživatel:

    • Doba nečinnosti: Zadejte něco jako 300, což je 5 minut.
    • Název modulu: Zadejte název modulu screensaver, například Flurry.

  • U stolních a přenosných zařízení existují nastavení, která vám můžou pomoct šetřit energii:

    Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Konfigurace systému Spořič > energie:

    • Desktopový časovač režimu spánku Power > Display
    • Časovač režimu spánku displeje napájení > z baterie přenosného počítače
    • Časovač režimu spánku displeje napájení > přenosného počítače

Tip

Pokud chcete najít název modulu screensaver, nastavte screensaver, otevřete aplikaci Terminál a spusťte následující příkaz:

defaults -currentHost read com.apple.screensaver

nástroj pro hodnocení macOS

Použití nástroje pro vyhodnocení macOS

Nástroj pro vyhodnocení Macu potvrzuje, že váš Počítač Mac má konfiguraci a nastavení doporučené společností Apple. Pokud chcete získat přístup k nástroji Mac Evaluation, přihlaste se k prostředkůmApple Seed for IT (otevře se web společnosti Apple). >

Fáze 4 – Použití přizpůsobení specifických pro organizaci

V této fázi použijete nastavení a aplikace specifické pro organizaci a zkontrolujete místní konfiguraci.

Diagram s některými funkcemi pro přizpůsobení zařízení s macOS pomocí aplikací, nastavení zařízení, certifikátů a dalších funkcí pomocí Microsoft Intune

Fáze vám pomůže přizpůsobit všechny funkce specifické pro vaši organizaci. Všimněte si různých komponent systému macOS. Existují oddíly pro každou z následujících oblastí:

  • Apps
  • Konfigurace zařízení pro dok, oznámení, soubory předvoleb & vlastní zásady a tapeta
  • Název zařízení
  • Certifikáty
  • Wi-Fi

Apps

Přidání dalších aplikací do Intune

Ve fázi 1 – Nastavení prostředí jste přidali některé aplikace, které zařízení musí mít. V tomto kroku přidejte další aplikace, které můžou zlepšit prostředí nebo produktivitu koncového uživatele.

Konfigurace zařízení

Katalog nastavení zjednodušuje způsob vytváření zásad a zobrazení všech dostupných nastavení. V různých fázích a krocích v této příručce můžete ke konfiguraci funkcí a nastavení zařízení použít katalog nastavení Intune.

Katalog nastavení jsme například použili ke konfiguraci následujících oblastí funkcí:

  • Nastavení prohlížeče Microsoft Edge
  • Microsoft AutoUpdate
  • Microsoft Office
  • Softwarové Aktualizace
  • Uživatelské prostředí

Existuje mnoho nastavení zařízení, která můžete nakonfigurovat pomocí katalogu nastavení, včetně:

Dok

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > nastavení Dok pro uživatelské prostředí >

Položky z doku můžete také přidávat nebo odebírat pomocí ukázky prostředí GitHubu Microsoft Intune nebo nástrojů příkazového řádku partnerů, jako je GitHub – DockUtil.

Výzvy k oznámení

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > novou zásadu > Katalog > Nastavení Oznámení > uživatelského prostředí > Nastavení oznámení

    Měli byste zadat ID sady pro každou aplikaci, pro kterou chcete řídit oznámení.

Další informace najdete v části Nastavení datové části MDM oznámení pro zařízení Apple (otevře web společnosti Apple).

Soubory předvoleb a vlastní zásady

  • Soubory předvoleb definují vlastnosti nebo nastavení aplikace, které chcete předem nakonfigurovat. V katalogu nastavení Intune existuje mnoho integrovaných nastavení pro aplikace, jako je Microsoft Edge a Microsoft Office. Proto možná nebudete potřebovat soubor s předvolbou.

    Microsoft doporučuje používat předdefinované nastavení v katalogu nastavení. Pokud katalog nastavení nemá potřebná nastavení, přidejte do Intune soubor předvoleb.

    Další informace najdete v tématu Přidání souboru seznamu vlastností do zařízení s macOS pomocí Microsoft Intune

  • Vlastní profily jsou navržené tak, aby přidávaly nastavení a funkce zařízení, které nejsou integrované do Intune.

    Microsoft doporučuje používat předdefinované nastavení v katalogu nastavení. Pokud katalog nastavení nemá potřebná nastavení, použijte vlastní profil.

    Další informace najdete v části Vlastní profily.

Tapeta

Tapetu v systému macOS můžete vynutit pomocí kombinace ukázkového skriptu a katalogu nastavení:

  • Zařízení > Správa zařízení > Konfigurace > Vytvořit > nový katalog > zásad > Nastavení Uživatelské prostředí > Desktopu:
    • Přepsat cestu k obrázku<: Zadejte cestu k obrázku>.

Soubor image musí existovat v koncovém bodu macOS. Pokud chcete stáhnout obrázek z webového umístění, můžete použít ukázkový skript na GitHubu – Microsoft Intune ukázku tapety. Můžete také použít nástroj balíčku aplikace ke zkopírování souboru a jeho následnému nasazení pomocí nespravované funkce nasazení PKG .

Název zařízení

Přejmenování zařízení

Pomocí skriptu prostředí můžete zařízení přejmenovat tak, aby obsahovala konkrétní informace, například sériové číslo zařízení v kombinaci s kódem země/oblasti.

Další informace najdete na githubu – skripty Microsoft Shellu pro přejmenování zařízení Mac.

Certifikáty

Přidání certifikátů pro ověřování na základě certifikátů

Pokud používáte ověřování založené na certifikátech pro prostředí bez hesla, můžete k přidání a nasazení certifikátů použít Intune.

Další informace najdete v tématu Typy certifikátů dostupné v Microsoft Intune.

Wi-Fi

Předkonfigurace připojení Wi-Fi

Pomocí Intune můžete vytvořit Wi-Fi připojení, které obsahuje informace o síti, a pak ho nasadit do zařízení s macOS. Pokud se vaše zařízení připojují k organizaci pomocí Wi-Fi, vytvořte zásady Wi-Fi připojení.

Další informace najdete v článku Konfigurace nastavení Wi-Fi pro zařízení s macOS v Microsoft Intune.

Fáze 5 – ukládání do mezipaměti (volitelné)

Existují některé funkce ukládání do mezipaměti, které můžete použít ke snížení šířky pásma sítě.

Diagram, který popisuje použití ukládání obsahu do mezipaměti a aplikace místní mezipaměti AutoUpdate na zařízeních s macOS pomocí Microsoft Intune

Použití ukládání obsahu do mezipaměti

Pokud máte v síti velký počet zařízení s macOS nebo iOS/iPadOS, můžete nasadit Apple Content Cache, abyste snížili šířku pásma internetu. Apple Content Cache může ukládat do mezipaměti obsah hostovaný ve službách Apple, jako jsou softwarové Aktualizace a aplikace VPP.

Další informace najdete v článku Úvod do ukládání obsahu do mezipaměti (otevře web společnosti Apple).

Místní mezipaměť AutoUpdate

Mnoho aplikací Microsoftu v systému macOS se aktualizuje pomocí aplikace Microsoft AutoUpdate. Tato aplikace může odkazovat na jinou adresu URL obsahu.

Ke konfiguraci místní mezipaměti pro Microsoft AutoUpdate můžete použít Správa GitHub – Microsoft AutoUpdate Cache.

Další informace najdete na stránce GitHub – Microsoft AutoUpdate Cache Správa.

Fáze 6 – Registrace zbývajících koncových bodů macOS

Zatím jste vytvořili konfiguraci a přidali aplikace. Teď jste připraveni zaregistrovat všechny koncové body macOS pomocí zásad automatizované registrace zařízení pomocí Microsoft Intune.

Diagram s informací, že máte zaregistrovat všechny koncové body macOS pomocí zásad automatizované registrace zařízení pomocí Microsoft Intune

Vytvoření zásady automatizované registrace zařízení

Zásady registrace se přiřadí vaší nové skupině. Když zařízení obdrží zásady registrace, spustí se proces registrace a použijí se zásady konfigurace & aplikací, které jste vytvořili.

Další informace o automatické registraci zařízení a začněte tím, že přejdete do článku Automatická registrace počítačů Mac pomocí Apple Business Manageru nebo Apple School Manageru.

Fáze 7 – podpora, údržba a další kroky

Poslední fází je podpora a údržba zařízení s macOS. Tato fáze zahrnuje používání Intune funkcí, jako je vzdálená nápověda, monitorování certifikátů Apple a další.

Diagram, který obsahuje postup podpory a údržby zařízení s macOS, včetně použití vzdálené nápovědy, přidání vlastních atributů a konfigurace Apple Business Manageru pomocí Microsoft Intune

Intune spravuje zařízení s macOS pomocí integrovaných funkcí MDM operačního systému a agenta IME (Intune Management Extension).

Tyto dvě komponenty nabízejí samostatné funkce a komunikují se zařízením s macOS prostřednictvím různých kanálů. Registrace se orchestruje prostřednictvím Apple Business Manageru, MDM se orchestruje prostřednictvím služby Apple Push Notification Service a editor IME komunikuje přímo s Intune.

Diagram znázorňující, jak mdm macOS a rozšíření Intune Managemnt spolupracují na podpoře správy zařízení s macOS pomocí Microsoft Intune

Další informace o rozšíření Intune Management najdete v tématu Principy agenta pro správu Microsoft Intune pro macOS.

Údržba registrace macOS

Obnovení certifikátů Apple a synchronizace tokenů ADE

Aby si vaše zařízení se systémem Mac zachovala připojení k Intune a pokračovala v registraci, měli byste v konzole pravidelně kontrolovat několik důležitých oblastí a podle potřeby provádět akce:

  • Vypršení platnosti certifikátu služby Apple Push Notification Service

    Certifikát služby nabízených oznámení společnosti Apple se musí každoročně obnovovat. Po vypršení platnosti tohoto certifikátu Intune nebude moct spravovat zařízení zaregistrovaná pomocí tohoto certifikátu. Ujistěte se, že tento certifikát obnovujete každý rok.

    Další informace najdete v článku Získání certifikátu Apple MDM Push certificate pro Intune.

  • Vypršení platnosti certifikátu registrace automatizovaného zařízení Apple

    Když nastavíte připojení mezi Apple Business Managerem (nebo Apple School Managerem) a Intune, použije se certifikát. Tento certifikát se musí každoročně obnovovat. Pokud se tento certifikát neprodlouží, změny z Apple Business Manageru (nebo Apple School Manageru) se nedají synchronizovat s Intune.

    Další informace najdete v článku Registrace zařízení s macOS – Apple Business Manager nebo Apple School Manager.

  • Stav synchronizace automatické registrace zařízení Apple

    Apple pozastaví synchronizaci tokenů ADE při změně podmínek v Apple Business Manageru (nebo Apple School Manageru). Po vydání hlavního operačního systému se můžou změnit, ale může k tomu dojít kdykoli.

    Měli byste sledovat stav synchronizace, jestli nedochází k problémům, které vyžadují pozornost.

    Další informace najdete v tématu Synchronizace spravovaných zařízení.

Pomoc na dálku

Povolení vzdálené nápovědy

Pomoc na dálku je cloudové řešení pro zabezpečená připojení helpdesku, která používají řízení přístupu na základě role. Díky připojení se vaši pracovníci podpory můžou vzdáleně připojit k zařízením koncových uživatelů.

Další informace najdete v článku:

Vlastní atributy

Získání informací o sestavách pomocí vlastních vlastností

V Intune můžete pomocí skriptů prostředí shromažďovat vlastní vlastnosti ze spravovaných zařízení s macOS. Tato funkce představuje skvělý způsob, jak získat informace o vlastních sestavách.

Další informace najdete v článku Použití skriptů prostředí na zařízeních s macOS v Microsoft Intune.

Konfigurace Apple Business Manageru pro automatické zřizování uživatelů

Použití uživatelských účtů Entra pro správu ABM a spravovaných Apple ID

Microsoft Entra ID je možné nakonfigurovat tak, aby automaticky zřizovat a rušit zřízení uživatelů v Apple Business Manageru (ABM) pomocí služby Microsoft Entra zřizování.

Další informace najdete v článku Kurz: Konfigurace Apple Business Manageru pro automatické zřizování uživatelů.