Delen via


Automatische apparaatinschrijving (ADE) instellen voor macOS

Automatische apparaatinschrijving instellen in Intune voor nieuwe of gewiste Macs die zijn aangeschaft via een Apple-inschrijvingsprogramma, zoals Apple Business Manager of Apple School Manager. Met deze methode hoeft u de apparaten niet bij u te hebben om ze te configureren. Intune wordt automatisch gesynchroniseerd met Apple om apparaatgegevens op te halen uit het account van uw inschrijvingsprogramma en implementeert uw vooraf geconfigureerde inschrijvingsprofielen via de lucht op Macs. Voorbereide apparaten kunnen rechtstreeks naar werknemers of studenten worden verzonden. Configuratieassistent en apparaatinschrijving beginnen wanneer iemand de Mac inschakelt.

In dit artikel wordt beschreven hoe u een geautomatiseerd apparaatinschrijvingsprofiel instelt voor Macs in bedrijfseigendom.

Opmerking

De stappen in dit artikel zijn hetzelfde, ongeacht of u Apple Business Manager of Apple School Manager gebruikt. Kortheidshalve verwijzen we alleen naar Apple Business Manager in de stappen in dit artikel, behalve wanneer dit nodig is.

Certificaten

Dit inschrijvingstype ondersteunt het ACME-protocol (Automated Certificate Management Environment). Wanneer nieuwe apparaten worden ingeschreven, ontvangt het beheerprofiel van Intune een ACME-certificaat. Het ACME-protocol biedt een betere bescherming dan het SCEP-protocol tegen niet-geautoriseerde certificaatuitgifte via robuuste validatiemechanismen en geautomatiseerde processen, waardoor fouten in certificaatbeheer worden verminderd.

Apparaten die al zijn ingeschreven, krijgen geen ACME-certificaat, tenzij ze zich opnieuw inschrijven bij Microsoft Intune. ACME wordt ondersteund op apparaten met macOS 13.1 en hoger.

Beperkingen

Automatische apparaatinschrijving via Apple Business Manager en Apple School Manager wordt niet ondersteund met apparaatinschrijvingsmanageraccounts.

Vereisten

Toegang tot Apple School Manager of Apple Business Manager is vereist. U moet ook een lijst met serienummers van apparaten of een inkoopordernummer hebben voor de apparaten die u via Apple hebt gekocht.

Voordat u begint, moet u ervoor zorgen dat de volgende taken zijn voltooid:

Token voor inschrijvingsprogramma maken

In deze sectie wordt beschreven hoe u een token voor het inschrijvingsprogramma maakt in Intune. Het token voor het inschrijvingsprogramma (ook wel een geautomatiseerd apparaatinschrijvingstoken genoemd) is een noodzakelijk onderdeel van automatische apparaatinschrijving. Het maakt de communicatie- en apparaatbeheermogelijkheden mogelijk tussen Intune en het door u gekozen Apple-inschrijvingsprogramma. Hiermee kunnen Intune gegevens uit uw Apple Business Manager- of Apple School Manager-account synchroniseren en profielen toepassen op apparaten.

Stap 1: het Intune openbare-sleutelcertificaat downloaden

Het openbare-sleutelcertificaat is nodig om een vertrouwensrelatiecertificaat aan te vragen bij Apple Business Manager.

  1. Ga in het Microsoft Intune-beheercentrum naarApparaatinschrijving>.
  2. Selecteer het tabblad Apple .
  3. Selecteer onder Bulkinschrijvingsmethodende optie Tokens voor het inschrijvingsprogramma.
  4. Kies Toevoegen.
  5. Selecteer Ik ga akkoord om Microsoft toestemming te geven om gebruikers- en apparaatgegevens naar Apple te verzenden.
  6. Selecteer Uw openbare sleutel downloaden en sla de sleutel lokaal op als een PEM-bestand. De sleutel wordt gebruikt om het MDM-servertoken op te halen in de volgende stap.

Stap 2: MDM-server toevoegen en servertoken downloaden

Voeg een MDM-server (Mobile Device Management) voor Intune toe aan Apple Business Manager en download vervolgens het servertoken ervoor.

  1. Selecteer in het beheercentrum de koppeling die overeenkomt met de Apple-portal die u gebruikt. Uw opties:

    • Een token maken via Apple Business Manager
    • Een token maken via Apple School Manager

    De geselecteerde portal wordt geopend in een nieuw browsertabblad. U kunt veilig overschakelen naar het nieuwe tabblad, maar houd het tabblad met Microsoft Intune geopend voor later.

  2. Meld u aan bij de Apple-portal met de Apple ID van uw bedrijf. Houd er rekening mee dat deze id de Apple-id is die u en uw organisatie moeten gebruiken om het token in de toekomst te vernieuwen en te beheren, dus gebruik geen persoonlijke id.

  3. Ga naar voorkeuren voor uw accountprofiel>.

  4. Ga naar uw MDM-servertoewijzingen.

  5. Selecteer de optie om een MDM-server toe te voegen.

  6. Geef de MDM-server een naam. De naam is alleen bedoeld voor identificatiedoeleinden in Apple Business Manager en hoeft niet de werkelijke naam of URL van de Microsoft Intune server te zijn.

  7. Upload het bestand met de openbare sleutel en sla uw wijzigingen op.

  8. Download het servertoken (.p7m-bestand).

Stap 3: apparaten toewijzen aan MDM-server

Nadat u de MDM-server in Apple Business Manager hebt gemaakt, kunt u eventueel apparaten aan de MDM-server toewijzen. We raden u aan ze nu toe te wijzen, omdat u al in Apple Business Manager werkt, maar u kunt later terugkomen als u nog niet klaar bent. U kunt beschikbare functies zoals filters en bulksgewijs toewijzen gebruiken om het selecteren van toewijzingen te vereenvoudigen. Zie Apparaten toewijzen, opnieuw toewijzen of intrekken in Apple Business Manager voor meer informatie en stappen(opent gebruikershandleiding voor Apple Business Manager).

Stap 4: Apple ID opslaan

Ga terug naar het beheercentrum en voer de Apple-id in die is gebruikt om het servertoken te downloaden. Deze id is de Apple ID die u moet gebruiken om het token elk jaar te vernieuwen. Zorg ervoor dat toekomstige Intune beheerders op de hoogte zijn van de Gebruikte Apple-id voor het geval u uw organisatie verlaat en tokenbeheer naar hen moet overzetten.

Schermopname van het veld Apple ID in het deelvenster 'Token voor inschrijvingsprogramma toevoegen'.

Stap 5: servertoken uploaden en voltooien

Upload het servertokenbestand naar Intune om het token voor het inschrijvingsprogramma te voltooien.

  1. Ga terug naar het apple-tokenveld van het beheercentrum>. Blader naar het servertoken (.p7m-bestand) op uw apparaat.
  2. Kies Openen en selecteer vervolgens Maken.

Intune maakt automatisch verbinding met Apple Business Manager om apparaatgegevens uit het account van uw inschrijvingsprogramma te synchroniseren. Zie Beheerde apparaten synchroniseren (in dit artikel) voor meer informatie over het handmatig synchroniseren van het token.

Een Apple-inschrijvingsprofiel maken

Maak een geautomatiseerd apparaatinschrijvingsprofiel in het beheercentrum. Het profiel definieert de inschrijvingservaring voor de Mac-apparaten van uw organisatie en dwingt inschrijvingsbeleid en -instellingen af op registratieapparaten. Het profiel wordt via de air geïmplementeerd op toegewezen apparaten.

Aan het einde van deze procedure kunt u dit profiel toewijzen aan Microsoft Entra apparaatgroepen.

Belangrijk

Als u het profiel wilt maken, moet u een token voor het inschrijvingsprogramma hebben ingesteld in Intune. Als u dat nog niet hebt gedaan, raadpleegt u Token voor inschrijvingsprogramma maken aan het begin van dit artikel.

  1. Ga in het beheercentrum naar Inschrijving van apparaten>.

  2. Selecteer het tabblad Apple .

  3. Selecteer onder Bulkinschrijvingsmethodende optie Tokens voor het inschrijvingsprogramma.

  4. Selecteer een token voor het inschrijvingsprogramma.

  5. Selecteer Profielen>Profiel maken>macOS.

    Maak een schermopname van het profiel.

    Belangrijk

    U moet een inschrijvingsbeleid toewijzen aan uw apparaten voordat de apparaten actief worden. U wordt aangeraden zo snel mogelijk een standaardinschrijvingsbeleid in te stellen, zodat apparaten die vanuit Apple Business Manager of Apple School Manager worden gesynchroniseerd en vervolgens worden ingeschakeld, correct kunnen worden ingeschreven via geautomatiseerde apparaatinschrijving. Als aan een apparaat dat u vanuit Apple hebt gesynchroniseerd, geen inschrijvingsbeleid is toegewezen en iemand het apparaat inschakelt om het in te stellen, mislukt de inschrijving.

  6. Voer bij Basisinformatie een naam en beschrijving in voor het profiel, zodat u het kunt onderscheiden van andere inschrijvingsprofielen. Deze details zijn niet zichtbaar voor apparaatgebruikers.

    Tip

    U kunt het naamveld gebruiken om een dynamische groep in Microsoft Entra ID te maken en apparaten automatisch toe te wijzen aan het inschrijvingsprofiel. Gebruik de profielnaam om de parameter enrollmentProfileName te definiëren. Zie dynamische groepen Microsoft Entra voor meer informatie.

  7. Selecteer Volgende.

  8. Configureer gebruikersaffiniteit op de pagina Beheerinstellingen. Gebruikersaffiniteit bepaalt of apparaten worden ingeschreven met of zonder toegewezen gebruiker. Uw opties:

    • Inschrijven zonder gebruikersaffiniteit: apparaten inschrijven die niet aan één gebruiker zijn gekoppeld. Kies deze optie voor gedeelde apparaten en apparaten die geen toegang nodig hebben tot lokale gebruikersgegevens. De Bedrijfsportal-app werkt niet op dit type apparaten.

    • Inschrijven met gebruikersaffiniteit: apparaten inschrijven die zijn gekoppeld aan een toegewezen gebruiker. Kies deze optie voor zakelijke apparaten die deel uitmaken van gebruikers en als u wilt vereisen dat gebruikers de Bedrijfsportal-app hebben om apps te installeren. Meervoudige verificatie (MFA) is beschikbaar met deze optie.

      Voor optie 2 zijn meer configuraties vereist. Gebruikers moeten zichzelf verifiëren voordat ze worden ingeschreven om hun identiteit te bevestigen. Selecteer een van de volgende verificatiemethoden:

      • Configuratieassistent met moderne verificatie: voor deze methode moeten gebruikers alle schermen van configuratieassistent voltooien en zich aanmelden bij de Bedrijfsportal-app met hun Microsoft Entra referenties voordat ze toegang hebben tot resources. Nadat ze zich hebben aangemeld bij Bedrijfsportal, gaat het apparaat:

        • Registreert bij Microsoft Entra ID.
        • Wordt toegevoegd aan de apparaatrecord van de gebruiker in Microsoft Entra ID.
        • Kan worden geëvalueerd op apparaatcompatibiliteit.
        • Krijgt toegang tot resources die worden beveiligd door voorwaardelijke toegang.

        Als de gebruiker zich niet aanmeldt bij de Bedrijfsportal om de registratie te voltooien, wordt deze omgeleid naar de Bedrijfsportal app telkens wanneer ze een beheerde app met beveiliging voor voorwaardelijke toegang proberen te openen.

        Apparaten met macOS 10.15 en hoger kunnen deze methode gebruiken. Oudere macOS-apparaten worden teruggezet op het gebruik van de verouderde methode Setup Assistant. Zie De Bedrijfsportal voor macOS-app toevoegen voor meer informatie over het verkrijgen van de Bedrijfsportal-app voor Mac-gebruikers.

      • Configuratieassistent (verouderd): gebruik de verouderde Configuratieassistent als u wilt dat gebruikers de typische out-of-box-ervaring voor Apple-producten ervaren. Met deze methode worden vooraf geconfigureerde standaardinstellingen geïnstalleerd wanneer het apparaat wordt ingeschreven met Intune-beheer. Als u Active Directory Federation Services gebruikt en Configuratieassistent gebruikt om te verifiëren, is een WS-Trust 1.3 Gebruikersnaam/Gemengd eindpunt vereist. Zie [Get-ADfsEndpoint] (/powershell/module/adfs/adfs/get-adfsdpoint?view=win10-ps&preserve-view=true) voor meer informatie over het ophalen van het ADFS-eindpunt.

  9. Wachten op de definitieve configuratie maakt een vergrendelde ervaring mogelijk aan het einde van Configuratieassistent om ervoor te zorgen dat uw meest kritieke apparaatconfiguratiebeleid op het apparaat wordt geïnstalleerd. Deze instelling wordt eenmaal toegepast tijdens de out-of-box automatische apparaatinschrijving van Apple in Configuratieassistent. De gebruiker van het apparaat ervaart dit niet opnieuw, tenzij hij of zij zijn Mac opnieuw registreert.

    Uw opties:

    • Ja: Net voordat het startscherm wordt geladen, wordt setup assistant onderbroken en kan Intune inchecken met het apparaat. De eindgebruikerservaring wordt vergrendeld terwijl gebruikers wachten op definitieve configuraties. Deze optie is de standaardconfiguratie voor nieuwe inschrijvingsprofielen.

    • Nee: het apparaat wordt vrijgegeven aan het startscherm wanneer De Configuratieassistent wordt beëindigd, ongeacht de status van de beleidsinstallatie. Apparaatgebruikers kunnen mogelijk toegang krijgen tot het startscherm of apparaatinstellingen wijzigen voordat alle beleidsregels zijn geïnstalleerd. Deze optie is de standaardconfiguratie voor bestaande inschrijvingsprofielen.

    De hoeveelheid tijd die gebruikers worden vastgehouden op het scherm Wachten op definitieve configuratie varieert en is afhankelijk van het totale aantal beleidsregels en apps dat u aan het apparaat toewijst. Gebruikers kunnen de apparaatconfiguratieprofielen zien die worden gedownload in Configuratieassistent terwijl ze wachten. Hoe meer beleidsregels en apps zijn toegewezen, hoe langer de wachttijd. Configuratieassistent en Intune geen minimale of maximale tijdslimiet afdwingen tijdens dit gedeelte van de installatie. Tijdens de productvalidatie zijn de meeste apparaten die we hebben getest, uitgebracht en hebben ze binnen 15 minuten toegang tot het startscherm. Als u deze functie inschakelt en met een Microsoft-partner of niet-Microsoft-service werkt om u te helpen bij het inrichten van apparaten, vertelt u hen over de mogelijkheid voor een langere inrichtingstijd.

    De vergrendelde ervaring wordt ondersteund op Macs met macOS 10.11 of hoger. Het werkt op Macs met nieuwe of bestaande inschrijvingsprofielen die zijn ingesteld voor deze scenario's:

    • Inschrijving via Configuratieassistent met moderne verificatie
    • Inschrijving met Configuratieassistent (verouderd)
    • Inschrijving zonder gebruikersaffiniteit voor apparaten
  10. U kunt vergrendelde inschrijving afdwingen om te voorkomen dat gebruikers de registratie van hun apparaten bij Intune ongedaan maken. Selecteer Ja om de Mac-instellingen in Systeemvoorkeuren en Terminal uit te schakelen waarmee gebruikers het beheerprofiel kunnen verwijderen. Nadat het apparaat is ingeschreven, kunt u deze instelling niet wijzigen zonder het apparaat te wissen.

  11. Selecteer Volgende.

  12. Optioneel kunt u op de pagina Accountinstellingen het lokale primaire account configureren op doel-Macs.

    Afbeelding van het beheercentrum met de nieuwe sectie Accountinstellingen in het profiel voor automatische apparaatinschrijving van macOS.

    Deze instellingen worden ondersteund op apparaten met macOS 10.11 of hoger. Houd er tijdens het configureren van het primaire account rekening mee dat dit account een beheerdersaccount wordt. Het hebben van ten minste één beheerdersaccount is een Mac-installatievereiste.

    Uw opties:

    • Een lokaal primair account maken: selecteer Ja om de instellingen voor het lokale primaire account voor de doel-Macs te configureren. Selecteer Niet geconfigureerd om alle configuraties van accountinstellingen over te slaan.
    • Accountgegevens vooraf invullen: voor de standaardconfiguratie , Niet geconfigureerd, moet de gebruiker van het apparaat de gebruikersnaam en volledige naam van het account invoeren in Configuratieassistent. Als u de accountgegevens voor hen vooraf wilt invullen, selecteert u Ja. Voer vervolgens de naam van het primaire account en de volledige naam in:
      • Primaire accountnaam: voer de gebruikersnaam voor het account in. {{partialupn}} is de ondersteunde tokenvariabele voor accountnaam.
      • Volledige naam van het primaire account: voer de volledige naam van het account in. {{username}} is de ondersteunde tokenvariabele voor de volledige naam.
    • Bewerken beperken: de standaardconfiguratie is ingesteld op Ja , zodat apparaatgebruikers de accountnaam en volledige naam die voor hen zijn geconfigureerd, niet kunnen bewerken. Als u wilt toestaan dat apparaatgebruikers de accountnaam en volledige naam kunnen bewerken, selecteert u Niet geconfigureerd. Als u alleen configuratieassistent (verouderd) gebruikt om apparaten met macOS 10.15 en hoger in te schrijven, kunt u de volgende eindgebruikerservaring verwachten:
      • Ja: het scherm voor het maken van een account in Configuratieassistent wordt nooit weergegeven. In plaats daarvan wordt het lokale primaire account automatisch gemaakt op basis van de andere instellingsconfiguraties en wordt het wachtwoord automatisch ingevuld vanuit het Microsoft Entra verificatiescherm. De gebruiker van het apparaat kan deze velden niet bewerken.
      • Niet geconfigureerd: het scherm van het lokale primaire account wordt weergegeven aan de eindgebruiker in configuratieassistent en wordt gevuld met de geconfigureerde accountwaarden en het wachtwoord van het Microsoft Entra verificatiescherm. De gebruiker van het apparaat kan deze velden bewerken tijdens configuratieassistent.

    Accountinstellingen werken alleen naar behoren als uw inschrijvingsprofiel de volgende configuraties heeft:

    • Gebruikersaffiniteit: selecteer Inschrijven met Gebruikersaffiniteit.
    • Verificatiemethode: selecteer Configuratieassistent met moderne verificatie of Configuratieassistent (verouderd).
    • Wachten op de definitieve configuratie: selecteer Ja.

    Lokale accounts zijn afhankelijk van de functie Wacht op de definitieve configuratie wanneer ze worden gemaakt. Als u instellingen voor een lokaal primair account configureert, is deze instelling daarom altijd ingeschakeld. Zelfs als u de definitieve configuratie-instelling wachten niet aanraakt, wordt deze op de achtergrond ingeschakeld en toegepast op het inschrijvingsprofiel.

  13. Selecteer Volgende.

  14. Configureer op de pagina Configuratieassistent de configuratieassistent-ervaring.

    1. Voer uw afdelingsgegevens in, zodat gebruikers weten met wie ze contact kunnen opnemen voor ondersteuning:
      • Afdelingsnaam: deze naam wordt weergegeven wanneer apparaatgebruikers Tijdens de activering Over configuratie selecteren.
      • Afdelingstelefoon: dit telefoonnummer wordt weergegeven wanneer apparaatgebruikers Hulp nodig hebben tijdens de activering selecteren.
    2. Selecteer de schermen van de configuratieassistent die u wilt weergeven of verbergen tijdens de installatie van het apparaat. Zie Schermreferentie voor configuratieassistent (in dit artikel) voor een beschrijving van alle schermen. Uw opties:
      • Verbergen: het scherm wordt niet weergegeven voor gebruikers tijdens de installatie van het apparaat. Nadat het apparaat is ingesteld, kan de gebruiker naar de apparaatinstellingen gaan om de functie in te stellen.
      • Weergeven: het scherm wordt weergegeven voor gebruikers tijdens de installatie van het apparaat. De gebruiker kan nog steeds schermen overslaan waarvoor geen onmiddellijke actie is vereist. Nadat het apparaat is ingesteld, kan de gebruiker naar de apparaatinstellingen gaan om de functie in te stellen.
  15. Selecteer Volgende.

  16. Bekijk het overzicht van de wijzigingen en selecteer vervolgens Maken om het maken van het profiel te voltooien.

Schermreferentie voor Configuratieassistent

In de volgende tabel worden de schermen van de configuratieassistent beschreven die worden weergegeven tijdens automatische apparaatinschrijving voor Macs. U kunt deze schermen tijdens de inschrijving weergeven of verbergen op ondersteunde apparaten. Zie deze Apple-resources voor meer informatie over hoe elk scherm van de configuratieassistent van invloed is op de gebruikerservaring:

Scherm Configuratieassistent Wat gebeurt er wanneer deze zichtbaar is
Locatieservices Toont het installatievenster van locatieservices, waar gebruikers locatieservices op hun apparaat kunnen inschakelen. Voor macOS 10.11 en hoger.
Herstellen Toont het deelvenster apps en gegevens instellen. Op dit scherm kunnen gebruikers die apparaten instellen gegevens herstellen of overdragen vanuit iCloud Backup. Voor macOS 10.9 en hoger.
Apple-id Toont het deelvenster Apple ID-installatie, waarin gebruikers de optie hebben om zich aan te melden met hun Apple ID en iCloud te gebruiken. Voor macOS 10.9 en hoger.
Voorwaarden Toont het deelvenster Voorwaarden van Apple en vereist dat gebruikers deze accepteren. Voor macOS 10.9 en hoger.
Touch ID en Face ID Toont het deelvenster biometrische instellingen, waarmee gebruikers de mogelijkheid hebben om vingerafdruk- of gezichtsidentificatie op hun apparaten in te stellen. Voor macOS 10.12.4 en hoger.
Apple Pay Toont het deelvenster Apple Pay-installatie, waarin gebruikers apple pay kunnen instellen op hun apparaten. Voor macOS 10.12.4 en hoger.
Siri Toont het siri-installatievenster voor gebruikers. Voor macOS 10.12 en hoger.
Diagnostische gegevens Toont het deelvenster Diagnostische gegevens waar gebruikers zich kunnen aanmelden om diagnostische gegevens naar Apple te verzenden. Voor macOS 10.9 en hoger.
Weergavetoon Hiermee wordt het installatievenster voor de weergavetoon weergegeven. Dit scherm biedt gebruikers de mogelijkheid om true tone display in te schakelen. Voor macOS 10.13.6 en hoger.
FileVault Toont het versleutelingsscherm van FileVault 2 voor gebruikers. Voor macOS 10.10 en hoger.
Diagnostische gegevens van iCloud Toont het scherm iCloud Analytics voor gebruikers. Voor macOS 10.12.4 en hoger.
Registratie Toont het registratiescherm voor gebruikers. Voor macOS 10.9 en hoger.
iCloud-opslag Toont het scherm iCloud-documenten en -bureaublad voor de gebruiker. Voor macOS 10.13.4 en hoger.
Uiterlijk Toont het weergavevenster waarin gebruikers een weergavemodus kunnen selecteren. Voor macOS 10.14 en hoger.
Schermtijd Toont het installatievenster van macOS-schermtijd, een functie die gebruikers kunnen inschakelen om inzicht te krijgen in schermtijd en app- en websiteactiviteit. Voor macOS 10.15 en hoger.
Privacy Hiermee wordt het deelvenster privacyinstellingen weergegeven aan de gebruiker. Voor macOS 10.13.4 en hoger.
Toegankelijkheid Hiermee wordt het scherm voor het instellen van toegankelijkheid weergegeven aan de gebruiker. Als dit scherm is verborgen, kan de gebruiker de functie macOS Voice Over niet gebruiken. Voice Over wordt ondersteund op apparaten die:
- macOS 11 uitvoeren.
- zijn verbonden met internet via Ethernet.
- Een serienummer hebben in Apple School Manager of Apple Business Manager.
Automatisch ontgrendelen met Apple Watch Toont het deelvenster macOS Ontgrendelen met Apple Watch, waar gebruikers hun Apple Watch kunnen configureren om hun Mac te ontgrendelen. Voor macOS 12.0 en hoger.
Adresvoorwaarden Toont de termen van het adresvenster, waarmee gebruikers de mogelijkheid hebben om te kiezen hoe ze in het hele systeem willen worden aangepakt: vrouwelijk, mannelijk of neutraal. Deze Apple-functie is beschikbaar voor bepaalde talen. Zie Instellingen voor taal & regio wijzigen op Mac (hiermee opent u de Apple-website) voor meer informatie. Voor macOS 13.0 en hoger.
Behang Toont het installatievenster met de achtergrond van macOS Sonoma nadat apparaten een software-upgrade hebben voltooid. Als u dit scherm verbergt, krijgen apparaten de standaardachtergrond met macOS Sonoma. Voor macOS 14.1 en hoger.
Vergrendelingsmodus Hiermee wordt het installatievenster voor de vergrendelingsmodus weergegeven aan gebruikers die een Apple ID hebben ingesteld. Voor macOS 14.0 en hoger.
Intelligence Toont het deelvenster Apple Intelligence-configuratie, waar gebruikers Apple Intelligence-functies kunnen configureren. Voor macOS 15.0 en hoger.

Beheerde apparaten synchroniseren

Synchroniseren vernieuwt de bestaande apparaatstatus en importeert nieuwe apparaten die zijn toegewezen aan de Apple MDM-server. Als u alle gekoppelde Apple-apparaten en apparaatgegevens wilt zien, synchroniseert u het token van het inschrijvingsprogramma in het beheercentrum.

  1. Ga terug naar tokens voor het inschrijvingsprogramma en kies uw token voor het inschrijvingsprogramma.

  2. Selecteer Apparaten>synchroniseren.

    Schermopname van het tokengebied Van het inschrijvingsprogramma in het beheercentrum, met het voorbeeldtoken, de koppeling Apparaten en de knop Synchroniseren gemarkeerd.

Synchronisatiebeperkingen

Om te voldoen aan de voorwaarden van Apple voor acceptabel verkeer van het inschrijvingsprogramma, legt Microsoft Intune de volgende beperkingen op:

  • Een volledige synchronisatie kan niet meer dan één keer per zeven dagen worden uitgevoerd. Tijdens een volledige synchronisatie haalt Intune de meest recente, bijgewerkte lijst met serienummers op die zijn toegewezen aan de verbonden Apple MDM-server. Als u een apparaat verwijdert uit Intune zonder het op te heffen van de MDM-server in Apple Business Manager of Apple School Manager, wordt het pas opnieuw in Intune importeren totdat de volledige synchronisatie is uitgevoerd.
  • Als een apparaat wordt uitgebracht vanuit een van de Apple-inschrijvingsprogramma's, kan het tot 45 dagen duren voordat het automatisch wordt verwijderd van de pagina Apparaten in Intune. U kunt zo nodig handmatig vrijgegeven apparaten in Intune een voor een verwijderen. Intune meldt dat vrijgegeven apparaten zijn verwijderd uit Apple Business Manager of Apple School Manager totdat ze automatisch worden verwijderd, wat binnen 30-45 dagen gebeurt.
  • Er wordt automatisch elke 24 uur een synchronisatie uitgevoerd. U kunt een synchronisatie niet meer dan één keer per 15 minuten starten. Synchronisatieaanvragen krijgen 15 minuten de tijd om te worden uitgevoerd. De knop Synchroniseren wordt inactief totdat de synchronisatie is voltooid.

Een inschrijvingsprofiel toewijzen aan apparaten

Wijs een inschrijvingsprofiel toe aan Apple-apparaten.

  1. Ga terug naar inschrijvingsprogrammatokens en selecteer een token.
  2. Selecteer Apparaten.
  3. Kies uw apparaten in de lijst en selecteer vervolgens Profiel toewijzen.
  4. Kies een profiel dat u wilt toewijzen en selecteer vervolgens Toewijzen.

U kunt desgewenst een standaardinschrijvingsprofiel selecteren. Het standaardprofiel wordt geïmplementeerd op alle registratieapparaten die aan het token zijn gekoppeld.

  1. Ga terug naar inschrijvingsprogrammatokens en selecteer een token.
  2. Selecteer Standaardprofiel instellen.
  3. Kies een profiel en selecteer vervolgens Opslaan.

Apparaten distribueren

Belangrijk

Gebruikers die zijn gekoppeld aan apparaten die gebruikersaffiniteit hebben, moeten een Intune-licentie krijgen. Voor apparaten zonder gebruikersaffiniteit is een apparaatlicentie vereist.

Voorbereide apparaten in uw organisatie distribueren.

  • Nieuwe of gewiste Macs: Nieuwe of gewiste Macs die zijn geconfigureerd in Apple Business Manager of Apple School Manager, worden automatisch ingeschreven in Microsoft Intune tijdens configuratieassistent wanneer iemand het apparaat inschakelt. Als u het apparaat hebt toegewezen aan een macOS-inschrijvingsprofiel met gebruikersaffiniteit, moet de gebruiker van het apparaat zich aanmelden bij de Bedrijfsportal nadat configuratieassistent is voltooid om Microsoft Entra registratie- en voorwaardelijke toegangsvereisten te voltooien.

  • Bestaande Macs: U kunt apparaten inschrijven die al configuratieassistent hebben doorlopen. Voer deze stappen uit om Macs in bedrijfseigendom met macOS 10.13 en hoger in te schrijven.

    1. Zorg ervoor dat:

      • Het apparaat wordt geïmporteerd in Apple Business Manager of Apple School Manager.
      • Het apparaat krijgt een macOS-inschrijvingsprofiel toegewezen in het beheercentrum.
    2. Meld u aan bij het apparaat met een lokaal beheerdersaccount.

    3. Als u de inschrijving wilt activeren, opent u Terminal op de startpagina en voert u de volgende opdracht uit:

      sudo profiles renew -type enrollment

    4. Voer het apparaatwachtwoord in voor het lokale beheerdersaccount.

    5. Selecteer details bij Apparaatinschrijving.

    6. Selecteer profielen in Systeemvoorkeuren.

    7. Volg de aanwijzingen op het scherm om het Microsoft Intune-beheerprofiel, -certificaten en -beleid te downloaden.

      Tip

      U kunt op elk gewenst moment controleren welke profielen zich op het apparaat bevinden door terug te keren naar Systeemvoorkeurenprofielen>.

    8. Als u het apparaat hebt toegewezen aan een macOS-inschrijvingsprofiel met gebruikersaffiniteit, meldt u zich aan bij de Bedrijfsportal-app om Microsoft Entra vereisten voor registratie en voorwaardelijke toegang te voltooien en de inschrijving te voltooien.

Token inschrijvingsprogramma vernieuwen

Voer deze stappen uit om een servertoken te vernieuwen dat bijna verloopt. Deze procedure zorgt ervoor dat het gekoppelde token voor het inschrijvingsprogramma in Intune actief blijft.

  1. Meld u aan bij Apple Business Manager of Apple School Manager en volg deze stappen om een nieuw MDM-servertoken te downloaden:
  2. Ga in het beheercentrum naar Inschrijving van apparaten>.
  3. Selecteer het tabblad Apple .
  4. Selecteer onder Bulkinschrijvingsmethodende optie Tokens voor het inschrijvingsprogramma.
  5. Kies het token voor het inschrijvingsprogramma dat u wilt verlengen.
  6. Selecteer Token vernieuwen en voer de Apple ID in die is gebruikt om het oorspronkelijke token te maken.
  7. Upload het nieuwe token.
  8. Selecteer Volgende. U kunt bereiktags op dit moment bijwerken als u wilt. Ga anders verder met Beoordelen en maken.
  9. Selecteer Maken om uw wijzigingen op te slaan.

Volgende stappen

Gebruik Microsoft Intune externe acties om ingeschreven Macs op afstand te beheren.