Delen via


Inschrijving instellen voor MacOS-apparaten in Intune

Microsoft Intune ondersteunt inschrijving op macs in persoonlijk en bedrijfseigendom. In dit artikel worden de methoden en functies beschreven die u kunt gebruiken om persoonlijke apparaten, apparaten in bedrijfseigendom en virtuele machines (VM's) in te schrijven.

Inschrijving inschakelen in Microsoft Intune

Voer eerst deze stappen uit om inschrijving in uw Microsoft Intune tenant in te schakelen.

  1. Controleer of apparaten in aanmerking komen voor Apple-apparaatinschrijving
  2. Domeinen configureren
  3. De MDM-instantie instellen
  4. Een Apple MDM Push-certificaat verkrijgen
  5. Gebruikerslicenties toewijzen in de Microsoft 365-beheercentrum
  6. Groepen maken
  7. De Bedrijfsportal-app configureren

Apparaten registreren

Nadat u de inschrijving hebt ingeschakeld, gebruikt u een van de ondersteunde methoden die in deze sectie worden beschreven om apparaten in te schrijven die eigendom zijn van de gebruiker en het bedrijf.

MacOS-apparaten in gebruikerseigendom (BYOD)

Intune ondersteunt bring-your-own-device of BYOD, waarmee personen hun persoonlijke apparaten zelf kunnen inschrijven. Als u het instellen van de inschrijving voor BYOD-scenario's wilt voltooien, laat u uw gelicentieerde gebruikers een van deze opties gebruiken om apparaten in te schrijven:

  • Meld u aan bij Bedrijfsportal website en volg de instructies op het scherm om een apparaat toe te voegen.
  • Installeer Bedrijfsportal app voor Mac op aka.ms/EnrollMyMac en volg scherminstructies om een apparaat toe te voegen.

MacOS-apparaten in bedrijfseigendom

Intune ondersteunt de volgende inschrijvingsmethoden voor macOS-apparaten in bedrijfseigendom. Selecteer een methode met hyperlinks om de bijbehorende installatiestappen te openen.

  • Automatische apparaatinschrijving van Apple: gebruik deze methode om de inschrijvingservaring te automatiseren op apparaten die zijn aangeschaft via Apple Business Manager of Apple School Manager. Geautomatiseerde apparaatinschrijving implementeert het inschrijvingsprofiel over-the-air, zodat u geen fysieke toegang tot apparaten hoeft te hebben.
  • Apparaatinschrijvingsmanager (DEM): gebruik deze methode voor grootschalige implementaties en wanneer er meerdere personen in uw organisatie zijn die kunnen helpen bij het instellen van de inschrijving. Iemand met DEM-machtigingen (Device Enrollment Manager) kan maximaal 1000 apparaten inschrijven met één Microsoft Entra account. Deze methode maakt gebruik van de Bedrijfsportal-app of Microsoft Intune-app om apparaten in te schrijven. U kunt een DEM-account niet gebruiken om apparaten in te schrijven via Automatische apparaatinschrijving.
  • Directe inschrijving: met directe inschrijving worden apparaten ingeschreven zonder gebruikersaffiniteit, dus deze methode is het beste voor apparaten die niet aan één gebruiker zijn gekoppeld. Voor deze methode moet u fysieke toegang hebben tot de Macs die u wilt inschrijven.

Bootstrap-tokens

Intune ondersteunt het gebruik van bootstraptokens op ingeschreven Macs met macOS 10.15 of hoger. Bootstrap-tokens verlenen de status volumeeigendom aan lokale gebruikers- en gastaccounts, zodat niet-beheerders belangrijke bewerkingen kunnen goedkeuren die een beheerder anders zou moeten uitvoeren. Bewerkingen zoals:

  • Door de gebruiker geïnitieerde software-updates

  • Kernelextensie installeren op Apple Silicon

U kunt bootstraptokens gebruiken op Macs onder supervisie en Macs die zijn ingeschreven via geautomatiseerde macOS-apparaatinschrijving.

Bootstrap-token ophalen

Het bootstrap-token wordt automatisch gegenereerd wanneer:

  • Een nieuw ingeschreven Mac checkt in met Intune en
  • Een gebruiker met een beveiligd token (meestal een Intune-beheerder) meldt zich aan bij de Mac met het wachtwoord voor duidelijke tekst

Het token wordt vervolgens automatisch geblokkeerd naar Microsoft Intune. U kunt een opdrachtregelprogramma gebruiken om een bootstrap-token handmatig weer te geven, te genereren en te borgen op ondersteunde macOS-apparaten, indien nodig. Zie Beveiligde token, bootstrap-token en volume-eigendom gebruiken in implementaties op Apple Support voor meer informatie over opdrachten.

Bootstrap-escrowstatus bewaken

U kunt de escrowstatus voor elke ingeschreven Mac controleren in het beheercentrum. De hardwareeigenschap Bootstrap token escrowed geeft aan of het bootstrap-token al dan niet is geblokkeerd in Intune. Intune rapporteert Ja wanneer het token is geblokkeerd en Nee wanneer het token niet is geblokkeerd.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.
  2. Ga naar Apparaten>op platform>macOS.
  3. Selecteer een apparaat in uw lijst met macOS-apparaten.
  4. Selecteer Hardware.
  5. Schuif in uw hardwaredetails omlaag naar Voorwaardelijke toegang>Bootstrap-token geblokkeerd.

Kernelextensies en software-updates beheren

Belangrijk

Kernelextensies worden niet meer aanbevolen voor macOS. Apple raadt aan om waar mogelijk systeemextensies te gebruiken. Zie Apple Platform Security Guide - Securely uitbreiding van de kernel in macOS op Apple Support voor meer informatie.

Een bootstrap-token kan worden gebruikt om de installatie van zowel kernelextensies als software-updates op een Mac met Apple silicon goed te keuren.

Door de gebruiker geïnitieerde software-updates kunnen worden uitgevoerd met een bootstrap-token op Macs waarop macOS versie 11.1 wordt uitgevoerd en kunnen worden ingeschreven via geautomatiseerde apparaatinschrijving. Als u door de gebruiker geïnitieerde software-updates wilt autoriseren op een apparaat dat niet is ingeschreven via automatische apparaatinschrijving, moet u de Mac opnieuw opstarten in de herstelmodus en de beveiligingsinstellingen downgraden. U kunt het bootstraptoken ook gebruiken voor software-updates op Macs met macOS 11.2 en hoger, met als enige vereiste dat het apparaat onder supervisie moet staan.

Kernelextensiebeheer is automatisch beschikbaar op Macs met macOS 11 of hoger en is geregistreerd via geautomatiseerde apparaatinschrijving. Als u het externe beheer van kernelextensies wilt autoriseren op een apparaat dat niet is ingeschreven via automatische apparaatinschrijving, moet u de Mac opnieuw opstarten in de herstelmodus en de beveiligingsinstellingen downgraden. Zie Beveiligingsinstellingen wijzigen op de opstartschijf van een Mac met Apple silicon op Apple Support voor meer informatie.

MacOS-inschrijving blokkeren

Standaard laat Intune macOS-apparaten inschrijven. Zie Een beperking voor het apparaatplatform instellen om de inschrijving van macOS-apparaten te blokkeren.

Virtuele macOS-machines inschrijven voor testen

Opmerking

Intune ondersteunt virtuele macOS-machines alleen voor testdoeleinden. Gebruik geen virtuele machines (VM's) als officiële apparaten voor werknemers of studenten.

Intune ondersteunt VM's die worden uitgevoerd:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune moet het hardwaremodel en het serienummer van de VM kennen om deze te herkennen en in te schrijven als een apparaat. Als u probeert een virtuele machine in te schrijven zonder deze gegevens op te geven, mislukt de inschrijving. In deze sectie vindt u meer informatie over hoe u vóór de inschrijving aan deze vereiste kunt voldoen.

Parallels Desktop

Wijzig de configuratie-instellingen van de VM om een vm-serienummer en hardwaremodel-id toe te voegen of te wijzigen. Voer een tekenreeks met alfanumerieke tekens in voor het serienummer. Voor een hardwaremodel wordt u aangeraden het model te gebruiken van het apparaat waarop de VM wordt uitgevoerd. Als u het hardwaremodel van uw Mac wilt vinden, selecteert u het Apple-menu en gaat u naar Over dezeMac-systeemrapportmodel-id>>.

Zie de volgende onderwerpen in de Parallellen Knowledge Base voor meer informatie:

VMware Fusion

Voeg de volgende regels toe aan uw VMX-bestand om het hardwaremodel en serienummer van de VM in te stellen. De waarden in dit voorbeeld zijn voorbeelden.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Voer een tekenreeks met alfanumerieke tekens in voor het serienummer. Voor een hardwaremodel wordt u aangeraden het model te gebruiken van het apparaat waarop de VM wordt uitgevoerd. Als u het hardwaremodel van uw Mac wilt vinden, selecteert u het Apple-menu en gaat u naar Over dezeMac-systeemrapportmodel-id>>.

VMware Fusion wordt alleen ondersteund op Intel Macs. Zie de website van VMware-klantverbinding voor meer informatie over het bewerken van het VMX-bestand voor uw VMware Fusion-VM.

Apple Silicon

Er zijn geen wijzigingen vereist voor VM's die worden uitgevoerd op Apple Silicon-hardware. Parallels Desktop wordt ondersteund op Macs met Apple Silicon, dus als u een VM op deze manier instelt, hoeft u de hardwaremodel-id of het serienummer niet te wijzigen.

Door de gebruiker goedgekeurde inschrijving

Alle Mac-inschrijvingen in Intune worden beschouwd als door de gebruiker goedgekeurd. Met door de gebruiker goedgekeurde inschrijving kunt u macOS-apparaten beheren die geen deel uitmaken van Apple School Manager of Apple Business Manager. Het biedt hetzelfde controleniveau als macOS-apparaten onder supervisie die zijn ingeschreven met behulp van automatische apparaatinschrijving of Apple Configurator.

Intune schakelt automatisch toezicht in op door de gebruiker goedgekeurde apparaten met macOS 11 en hoger. Dit doet ook voor ingeschreven apparaten die later worden bijgewerkt naar macOS 11 of hoger.

Opmerking

Intune in juni 2020 ondersteuning aangekondigd voor door de gebruiker goedgekeurde inschrijving. BYOD-inschrijvingen die vóór die tijd zijn opgetreden, zijn mogelijk niet goedgekeurd door de gebruiker. Zie Door de gebruiker goedgekeurde MDM-inschrijving op de apple ondersteuningswebsite voor meer informatie over apple-apparaten die door de gebruiker worden goedgekeurd.

Gebruikerservaring

De gebruiker van het apparaat meldt zich aan bij de Bedrijfsportal-app om de inschrijving te starten. Bedrijfsportal opent vervolgens de systeemvoorkeuren van het apparaat en vraagt de gebruiker om het beheerprofiel te installeren. Bedrijfsportal biedt in-app instructies om gebruikers te helpen het profiel te vinden. Gebruikers gaan naar Systeemvoorkeurenprofielen> om de installatie van het beheerprofiel goed te keuren. Apparaatgebruikers die geen goedkeuring geven tijdens de inschrijving, kunnen later terugkeren naar systeemvoorkeuren om goedkeuring te geven.

Controleren of het apparaat is goedgekeurd door de gebruiker

  1. Selecteer apparaten>Alle apparaten in het beheercentrum.
  2. Kies een macOS-apparaat.
  3. Selecteer Hardware in het zijmenu.
  4. Controleer de waarde naast Door gebruiker goedgekeurde inschrijving.

Back-ups maken en herstellen met Apple Migration Assistant

Gebruik Apple Migration Assistant om een back-up te maken van een macOS-apparaat en deze te herstellen. U kunt het hulpprogramma gebruiken om een back-up te maken van een Mac en de bijbehorende app-gegevens op een nieuw apparaat te herstellen. Het is belangrijk om te weten:

  • Er wordt geen back-up gemaakt van het beheerprofiel op de oorspronkelijke Mac. Het apparaat krijgt een nieuw beheerprofiel wanneer de nieuwe Mac opnieuw wordt ingeschreven. Dit gebeurt op Macs die de automatische apparaatinschrijving van Apple doorlopen en Macs die geen geautomatiseerde apparaatinschrijving doorlopen.
  • Bedrijfsportal app-referenties kunnen worden hersteld op de nieuwe Mac nadat deze de Migratieassistent heeft doorlopen en is ingeschreven. Als dit gebeurt, raden we u of de gebruiker van het apparaat aan om de volgende stappen uit te voeren om app-gegevens te wissen:
    1. Meld u af bij de Bedrijfsportal-app.
    2. Meld u aan bij de app of Bedrijfsportal website.

Volgende stappen