Udostępnij za pośrednictwem


Konfigurowanie automatycznej rejestracji urządzeń (ADE) dla systemu macOS

Skonfiguruj automatyczne rejestrowanie urządzeń w Intune dla nowych lub wyczyszczonych komputerów Mac zakupionych w ramach programu rejestracji firmy Apple, takiego jak Apple Business Manager lub Apple School Manager. Dzięki tej metodzie nie trzeba mieć urządzeń, aby je skonfigurować. Intune automatycznie synchronizuje się z firmą Apple w celu uzyskania informacji o urządzeniu z konta programu rejestracji i wdraża wstępnie skonfigurowane profile rejestracji na komputerach Mac na antenie. Przygotowane urządzenia mogą być dostarczane bezpośrednio do pracowników lub studentów. Asystent ustawień i rejestracja urządzenia rozpoczynają się, gdy ktoś włączy komputer Mac.

W tym artykule opisano sposób konfigurowania profilu automatycznej rejestracji urządzeń dla komputerów Mac należących do firmy.

Uwaga

Kroki opisane w tym artykule są takie same, niezależnie od tego, czy używasz programu Apple Business Manager, czy Apple School Manager. W celu zapewnienia zwięzłości odwołujemy się do usługi Apple Business Manager tylko w ramach kroków opisanych w tym artykule, z wyjątkiem sytuacji, w których konieczne jest wyjaśnienie.

Certyfikaty

Ten typ rejestracji obsługuje protokół Automated Certificate Management Environment (ACME). Po zarejestrowaniu nowych urządzeń profil zarządzania z Intune otrzymuje certyfikat ACME. Protokół ACME zapewnia lepszą ochronę niż protokół SCEP przed nieautoryzowanym wystawianiem certyfikatów za pomocą niezawodnych mechanizmów weryfikacji i zautomatyzowanych procesów, co pomaga zmniejszyć liczbę błędów w zarządzaniu certyfikatami.

Urządzenia, które są już zarejestrowane, nie otrzymują certyfikatu ACME, chyba że zostaną ponownie zarejestrowane w Microsoft Intune. Narzędzie ACME jest obsługiwane na urządzeniach z systemem macOS 13.1 lub nowszym.

Ograniczenia

Automatyczne rejestrowanie urządzeń za pośrednictwem usług Apple Business Manager i Apple School Manager nie jest obsługiwane w przypadku kont menedżera rejestracji urządzeń.

Wymagania wstępne

Wymagany jest dostęp do programu Apple School Manager lub Apple Business Manager . Musisz również mieć listę numerów seryjnych urządzeń lub numer zamówienia zakupu dla urządzeń zakupionych za pośrednictwem firmy Apple.

Przed rozpoczęciem upewnij się, że zostały wykonane następujące zadania:

Tworzenie tokenu programu rejestracji

W tej sekcji opisano sposób tworzenia tokenu programu rejestracji w Intune. Token programu rejestracji (czasami nazywany automatycznym tokenem rejestracji urządzenia) jest niezbędnym składnikiem automatycznej rejestracji urządzeń. Umożliwia ona komunikację i zarządzanie urządzeniami między Intune a wybranym programem rejestracji firmy Apple. Umożliwia Intune synchronizowanie informacji z konta usługi Apple Business Manager lub Apple School Manager oraz stosowanie profilów do urządzeń.

Krok 1. Pobieranie certyfikatu klucza publicznego Intune

Certyfikat klucza publicznego jest wymagany do żądania certyfikatu relacji zaufania od programu Apple Business Manager.

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Rejestracja urządzeń>.
  2. Wybierz kartę Apple .
  3. W obszarze Metody rejestracji zbiorczej wybierz pozycję Tokeny programu rejestracji.
  4. Wybierz opcję Dodaj.
  5. Wybierz pozycję Zgadzam się , aby udzielić firmie Microsoft uprawnień do wysyłania informacji o użytkownikach i urządzeniach do firmy Apple.
  6. Wybierz pozycję Pobierz klucz publiczny i zapisz klucz jako plik PEM lokalnie. Klucz zostanie użyty do pobrania tokenu serwera MDM w następnym kroku.

Krok 2. Dodawanie serwera MDM i pobieranie tokenu serwera

Dodaj serwer zarządzania urządzeniami przenośnymi (MDM) dla Intune do programu Apple Business Manager, a następnie pobierz dla niego token serwera.

  1. W centrum administracyjnym wybierz link odpowiadający używanemu portalowi Firmy Apple. Dostępne opcje:

    • Tworzenie tokenu za pośrednictwem usługi Apple Business Manager
    • Tworzenie tokenu za pośrednictwem usługi Apple School Manager

    Wybrany portal zostanie otwarty na nowej karcie przeglądarki. Możesz bezpiecznie przełączyć się na nową kartę, ale pozostaw kartę z Microsoft Intune otwartą na później.

  2. Zaloguj się do portalu firmy Apple przy użyciu firmowego identyfikatora Apple ID. Pamiętaj, że ten identyfikator to identyfikator Apple ID, którego ty i Twoja organizacja musisz użyć do odnowienia tokenu i zarządzania tym tokenem w przyszłości, więc nie używaj identyfikatora osobistego.

  3. Przejdź do obszaru Preferencje profilu > konta.

  4. Przejdź do przypisań serwera MDM.

  5. Wybierz opcję, aby dodać serwer MDM.

  6. Nazwij serwer MDM. Nazwa jest używana tylko do celów identyfikacji w programie Apple Business Manager i nie musi być rzeczywistą nazwą ani adresem URL serwera Microsoft Intune.

  7. Przekaż plik klucza publicznego, a następnie zapisz zmiany.

  8. Pobierz token serwera (plik p7m).

Krok 3. Przypisywanie urządzeń do serwera MDM

Opcjonalnie po utworzeniu serwera MDM w programie Apple Business Manager można rozpocząć przypisywanie do niego urządzeń. Zalecamy przypisanie ich teraz, ponieważ jesteś już w programie Apple Business Manager, ale możesz wrócić później, jeśli nie jesteś gotowy. Możesz użyć dostępnych funkcji, takich jak filtry i przypisywanie zbiorcze , aby uprościć wybór przypisania. Aby uzyskać więcej informacji i kroków, zobacz Przypisywanie, ponowne przypisywanie lub cofanie przypisania urządzeń w programie Apple Business Manager (otwiera podręcznik użytkownika programu Apple Business Manager).

Krok 4. Zapisywanie identyfikatora Apple ID

Wróć do centrum administracyjnego i wprowadź identyfikator Apple ID użyty do pobrania tokenu serwera. Ten identyfikator to identyfikator Apple ID, którego należy używać do odnawiania tokenu co roku. Upewnij się, że w przyszłości administratorzy Intune wiedzą o używanym identyfikatorze Apple ID, jeśli opuścisz organizację i musisz przenieść do nich zarządzanie tokenami.

Zrzut ekranu przedstawiający pole Apple ID w okienku

Krok 5. Przekazywanie tokenu serwera i zakończenie

Przekaż plik tokenu serwera do Intune, aby zakończyć tworzenie tokenu programu rejestracji.

  1. Wróć do pola tokenu apple centrum administracyjnego>. Przejdź do tokenu serwera (plik p7m) na urządzeniu.
  2. Wybierz pozycję Otwórz, a następnie wybierz pozycję Utwórz.

Intune automatycznie połączy się z programem Apple Business Manager, aby zsynchronizować informacje o urządzeniu z konta programu rejestracji. Aby uzyskać informacje na temat ręcznego synchronizowania tokenu, zobacz Synchronizowanie zarządzanych urządzeń (w tym artykule).

Tworzenie profilu rejestracji firmy Apple

Utwórz profil automatycznej rejestracji urządzeń w centrum administracyjnym. Profil definiuje środowisko rejestracji dla urządzeń z systemem Mac w organizacji oraz wymusza zasady rejestracji i ustawienia dotyczące rejestrowania urządzeń. Profil jest wdrażany na przypisanych urządzeniach w powietrzu.

Po zakończeniu tej procedury możesz przypisać ten profil do Microsoft Entra grup urządzeń.

Ważna

Aby utworzyć profil, musisz mieć konfigurację tokenu programu rejestracji w Intune. Jeśli jeszcze tego nie zrobiono, zobacz Tworzenie tokenu programu rejestracji na początku tego artykułu.

  1. W centrum administracyjnym przejdź do pozycji Rejestracja urządzeń>.

  2. Wybierz kartę Apple .

  3. W obszarze Metody rejestracji zbiorczej wybierz pozycję Tokeny programu rejestracji.

  4. Wybierz token programu rejestracji.

  5. Wybierz pozycję Profile>Utwórz profildla systemu> macOS.

    Utwórz zrzut ekranu profilu.

    Ważna

    Aby urządzenia stały się aktywne, należy przypisać do urządzeń zasady rejestracji. Zalecamy ustawienie domyślnych zasad rejestracji tak szybko, jak to możliwe, aby urządzenia były synchronizowane z programu Apple Business Manager lub Apple School Manager, a następnie włączały je poprawnie za pośrednictwem automatycznej rejestracji urządzeń. Jeśli do urządzenia zsynchronizowanego z firmą Apple nie przypisano zasad rejestracji i ktoś włączy je, aby je skonfigurować, rejestracja zakończy się niepowodzeniem.

  6. W polu Podstawy wprowadź nazwę i opis profilu, aby odróżnić go od innych profilów rejestracji. Te szczegóły nie są widoczne dla użytkowników urządzeń.

    Porada

    Pole nazwy umożliwia utworzenie grupy dynamicznej w Tożsamość Microsoft Entra i automatyczne przypisanie urządzeń do profilu rejestracji. Użyj nazwy profilu, aby zdefiniować parametr enrollmentProfileName . Aby uzyskać więcej informacji, zobacz Microsoft Entra grupy dynamiczne.

  7. Wybierz pozycję Dalej.

  8. Na stronie Ustawienia zarządzania skonfiguruj koligację użytkownika. Koligacja użytkownika określa, czy urządzenia są rejestrowane z przypisanym użytkownikiem, czy bez niego. Dostępne opcje:

    • Rejestrowanie bez koligacji użytkownika: rejestrowanie urządzeń, które nie są skojarzone z jednym użytkownikiem. Wybierz tę opcję dla udostępnionych urządzeń i urządzeń, które nie muszą uzyskiwać dostępu do danych użytkowników lokalnych. Aplikacja Portal firmy nie działa na tego typu urządzeniach.

    • Rejestrowanie przy użyciu koligacji użytkownika: rejestrowanie urządzeń skojarzonych z przypisanym użytkownikiem. Wybierz tę opcję dla urządzeń służbowych należących do użytkowników i jeśli chcesz wymagać od użytkowników posiadania aplikacji Portal firmy do instalowania aplikacji. Uwierzytelnianie wieloskładnikowe (MFA) jest dostępne z tą opcją.

      Opcja 2 wymaga większej liczby konfiguracji. Użytkownicy muszą się uwierzytelnić przed rejestracją, aby potwierdzić swoją tożsamość. Wybierz jedną z następujących metod uwierzytelniania:

      • Asystent ustawień z nowoczesnym uwierzytelnianiem: ta metoda wymaga od użytkowników ukończenia wszystkich ekranów Asystenta ustawień i zalogowania się do aplikacji Portal firmy przy użyciu poświadczeń Microsoft Entra przed uzyskaniem dostępu do zasobów. Po zalogowaniu się do Portal firmy urządzenie:

        • Rejestruje się w Tożsamość Microsoft Entra.
        • Jest dodawany do rekordu urządzenia użytkownika w Tożsamość Microsoft Entra.
        • Można je ocenić pod kątem zgodności urządzeń.
        • Uzyskuje dostęp do zasobów chronionych przez dostęp warunkowy.

        Jeśli użytkownik nie zaloguje się do Portal firmy w celu ukończenia rejestracji, zostanie przekierowany do aplikacji Portal firmy za każdym razem, gdy spróbuje otworzyć zarządzaną aplikację z ochroną dostępu warunkowego.

        Tej metody mogą używać urządzenia z systemem macOS 10.15 lub nowszym. Starsze urządzenia z systemem macOS wracają do korzystania ze starszej metody Asystenta ustawień. Aby uzyskać więcej informacji o sposobie pobierania aplikacji Portal firmy do użytkowników komputerów Mac, zobacz Dodawanie aplikacji Portal firmy dla systemu macOS.

      • Asystent ustawień (starsza wersja): użyj starszego Asystenta ustawień, jeśli chcesz, aby użytkownicy doświadczyli typowego środowiska dla produktów firmy Apple. Ta metoda instaluje standardowe wstępnie skonfigurowane ustawienia, gdy urządzenie zostanie zarejestrowane przy użyciu zarządzania Intune. Jeśli do uwierzytelniania używasz usług federacyjnych Active Directory (AD FS) i Asystenta ustawień, wymagana jest nazwa użytkownika protokołu WS-Trust 1.3/mieszanego punktu końcowego. Aby uzyskać więcej informacji na temat pobierania punktu końcowego usługi ADFS, zobacz [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint?view=win10-ps&preserve-view=true).

  9. Ostateczna konfiguracja await umożliwia zablokowanie środowiska na końcu Asystenta ustawień, aby upewnić się, że na urządzeniu są zainstalowane najważniejsze zasady konfiguracji urządzeń. To ustawienie jest stosowane raz podczas wbudowanego środowiska automatycznej rejestracji urządzeń firmy Apple w Asystentze ustawień. Użytkownik urządzenia nie wystąpi ponownie, chyba że ponownie zarejestruje komputer Mac.

    Dostępne opcje:

    • Tak: tuż przed załadowaniem ekranu głównego Asystent ustawień wstrzymuje działanie i umożliwia Intune zaewidencjonowania przy użyciu urządzenia. Środowisko użytkownika końcowego blokuje się, gdy użytkownicy czekają na końcowe konfiguracje. Ta opcja jest domyślną konfiguracją dla nowych profilów rejestracji.

    • Nie: urządzenie zostanie wydane na ekranie głównym po zakończeniu pracy Asystenta ustawień, niezależnie od stanu instalacji zasad. Użytkownicy urządzeń mogą mieć dostęp do ekranu głównego lub zmienić ustawienia urządzenia przed zainstalowaniem wszystkich zasad. Ta opcja jest domyślną konfiguracją istniejących profilów rejestracji.

    Czas, przez który użytkownicy są przetrzymywani na ekranie Oczekiwanie na ostateczną konfigurację, jest różny i zależy od łącznej liczby zasad i aplikacji przypisanych do urządzenia. Użytkownicy mogą zobaczyć, jak profile konfiguracji urządzeń są pobierane w Asystentze ustawień podczas oczekiwania. Tym więcej przypisanych zasad i aplikacji, tym dłuższy czas oczekiwania. Asystent ustawień i Intune nie wymuszają minimalnego ani maksymalnego limitu czasu podczas tej części konfiguracji. Podczas walidacji produktu większość przetestowanych urządzeń została wydana i mogła uzyskać dostęp do ekranu głównego w ciągu 15 minut. Jeśli włączysz tę funkcję i współpracujesz z partnerem firmy Microsoft lub usługą inną niż Microsoft, aby ułatwić aprowizowanie urządzeń, poinformuj ich o możliwościach wydłużenia czasu aprowizacji.

    Zablokowane środowisko jest obsługiwane na komputerach Mac z systemem macOS 10.11 lub nowszym. Działa ona na komputerach Mac, dla których są przeznaczone nowe lub istniejące profile rejestracji skonfigurowane dla następujących scenariuszy:

    • Rejestracja za pośrednictwem Asystenta ustawień z nowoczesnym uwierzytelnianiem
    • Rejestracja przy użyciu Asystenta ustawień (starsza wersja)
    • Rejestracja bez koligacji urządzenia użytkownika
  10. Możesz wymusić rejestrację zablokowaną, aby uniemożliwić użytkownikom wyrejestrowanie urządzeń z Intune. Wybierz pozycję Tak , aby wyłączyć ustawienia komputerów Mac w obszarze Preferencje systemowe i Terminal, które umożliwiają użytkownikom usuwanie profilu zarządzania. Po zarejestrowaniu urządzenia nie można zmienić tego ustawienia bez wyczyszczenia urządzenia.

  11. Wybierz pozycję Dalej.

  12. Opcjonalnie na stronie Ustawienia konta można skonfigurować lokalne konto podstawowe na docelowych komputerach Mac.

    Obraz centrum administracyjnego przedstawiający sekcję Ustawienia nowego konta w profilu automatycznej rejestracji urządzeń z systemem macOS.

    Te ustawienia są obsługiwane na urządzeniach z systemem macOS 10.11 lub nowszym. Podczas konfigurowania konta podstawowego należy pamiętać, że to konto będzie kontem administratora . Posiadanie co najmniej jednego konta administratora jest wymaganiem konfiguracji komputera Mac.

    Dostępne opcje:

    • Utwórz lokalne konto podstawowe: wybierz pozycję Tak , aby skonfigurować lokalne ustawienia konta podstawowego dla docelowych komputerów Mac. Wybierz pozycję Nie skonfigurowano, aby pominąć wszystkie konfiguracje ustawień konta.
    • Wstępne wypełnianie informacji o koncie: domyślna konfiguracja Nieskonfigurowane wymaga, aby użytkownik urządzenia wprowadził nazwę użytkownika i imię i nazwisko konta w Asystentze ustawień. Aby wstępnie wypełnić dla nich informacje o koncie, wybierz pozycję Tak. Następnie wprowadź nazwę konta podstawowego i imię i nazwisko:
      • Nazwa konta podstawowego: wprowadź nazwę użytkownika konta. {{partialupn}} to obsługiwana zmienna tokenu dla nazwy konta.
      • Pełna nazwa konta podstawowego: wprowadź pełną nazwę konta. {{username}} to obsługiwana zmienna tokenu dla pełnej nazwy.
    • Ogranicz edytowanie: domyślna konfiguracja jest ustawiona na wartość Tak , aby użytkownicy urządzeń nie mogli edytować skonfigurowanej nazwy konta i pełnej nazwy. Aby zezwolić użytkownikom urządzeń na edytowanie nazwy konta i pełnej nazwy, wybierz pozycję Nieskonfigurowane. Jeśli używasz asystenta ustawień (starsza wersja) tylko do rejestrowania urządzeń z systemem macOS 10.15 lub nowszym, możesz oczekiwać następującego środowiska użytkownika końcowego:
      • Tak: Ekran tworzenia konta w Asystentze ustawień nigdy nie jest wyświetlany. Zamiast tego lokalne konto podstawowe jest tworzone automatycznie na podstawie innych konfiguracji ustawień, a hasło jest wypełniane automatycznie z ekranu uwierzytelniania Microsoft Entra. Użytkownik urządzenia nie może edytować tych pól.
      • Nieskonfigurowane: lokalny ekran konta podstawowego jest wyświetlany użytkownikowi końcowemu w Asystentze ustawień i jest wypełniany skonfigurowanymi wartościami konta oraz hasłem z ekranu uwierzytelniania Microsoft Entra. Użytkownik urządzenia może edytować te pola podczas asystenta ustawień.

    Aby ustawienia konta działały zgodnie z oczekiwaniami, profil rejestracji musi mieć następujące konfiguracje:

    • Koligacja użytkownika: wybierz pozycję Zarejestruj przy użyciu koligacji użytkownika.
    • Metoda uwierzytelniania: wybierz pozycję Asystent ustawień z nowoczesnym uwierzytelnianiem lub Asystenta ustawień (starsza wersja).
    • Oczekiwanie na ostateczną konfigurację: wybierz pozycję Tak.

    Konta lokalne zależą od funkcji konfiguracji ostatecznej await podczas ich tworzenia. W związku z tym jeśli skonfigurujesz ustawienia lokalnego konta podstawowego, to ustawienie jest zawsze włączone. Nawet jeśli nie dotkniesz ustawienia konfiguracji await final , zostanie ono włączone w tle i zastosowane do profilu rejestracji.

  13. Wybierz pozycję Dalej.

  14. Na stronie Asystent ustawień skonfiguruj środowisko Asystenta ustawień.

    1. Wprowadź informacje o dziale, aby użytkownicy wiedzieli, z kim się skontaktować w celu uzyskania pomocy technicznej:
      • Nazwa działu: ta nazwa jest wyświetlana, gdy użytkownicy urządzeń wybierają pozycję Informacje o konfiguracji podczas aktywacji.
      • Telefon działu: Ten numer telefonu jest wyświetlany, gdy użytkownicy urządzenia wybierają pozycję Potrzebujesz pomocy podczas aktywacji.
    2. Wybierz ekrany Asystenta ustawień, które chcesz pokazać lub ukryć podczas konfigurowania urządzenia. Aby uzyskać opis wszystkich ekranów, zobacz Dokumentacja ekranu Asystenta ustawień (w tym artykule). Dostępne opcje:
      • Ukryj: ekran nie jest wyświetlany użytkownikom podczas konfigurowania urządzenia. Po skonfigurowaniu urządzenia użytkownik może przejść do ustawień urządzenia, aby skonfigurować tę funkcję.
      • Pokaż: ekran jest wyświetlany użytkownikom podczas konfigurowania urządzenia. Użytkownik nadal może pominąć ekrany, które nie wymagają natychmiastowej akcji. Po skonfigurowaniu urządzenia użytkownik może przejść do ustawień urządzenia, aby skonfigurować tę funkcję.
  15. Wybierz pozycję Dalej.

  16. Przejrzyj podsumowanie zmian, a następnie wybierz pozycję Utwórz , aby zakończyć tworzenie profilu.

Dokumentacja ekranu Asystenta ustawień

W poniższej tabeli opisano ekrany Asystenta ustawień wyświetlane podczas automatycznej rejestracji urządzeń dla komputerów Mac. Te ekrany można wyświetlać lub ukrywać na obsługiwanych urządzeniach podczas rejestracji. Aby uzyskać więcej informacji o tym, jak każdy ekran Asystenta ustawień wpływa na środowisko użytkownika, zobacz następujące zasoby firmy Apple:

Ekran Asystenta ustawień Co się dzieje, gdy jest widoczny
Usługi lokalizacyjne Pokazuje okienko konfiguracji usług lokalizacyjnych, w którym użytkownicy mogą włączać usługi lokalizacyjne na swoim urządzeniu. Dla systemu macOS 10.11 lub nowszego.
Przywróć Pokazuje okienko konfiguracji aplikacji i danych. Na tym ekranie użytkownicy konfigurując urządzenia mogą przywracać lub przesyłać dane z usługi iCloud Backup. W systemie macOS 10.9 lub nowszym.
Identyfikator firmy Apple Pokazuje okienko konfiguracji identyfikatora Apple ID, które umożliwia użytkownikom logowanie się przy użyciu identyfikatora Apple ID i korzystanie z usługi iCloud. W systemie macOS 10.9 lub nowszym.
Warunki i postanowienia Pokazuje okienko Warunki i postanowienia firmy Apple i wymaga od użytkowników ich zaakceptowania. W systemie macOS 10.9 lub nowszym.
Touch ID i Face ID Pokazuje okienko konfiguracji biometrycznej, które umożliwia użytkownikom skonfigurowanie identyfikacji odcisku palca lub twarzy na swoich urządzeniach. Dotyczy systemu macOS 10.12.4 i nowszych.
Apple Pay Pokazuje okienko konfiguracji usługi Apple Pay, które umożliwia użytkownikom skonfigurowanie usługi Apple Pay na swoich urządzeniach. Dotyczy systemu macOS 10.12.4 i nowszych.
Siri Pokazuje użytkownikom okienko konfiguracji Siri. Dla systemu macOS 10.12 lub nowszego.
Dane diagnostyczne Pokazuje okienko diagnostyki, w którym użytkownicy mogą wyrazić zgodę na wysyłanie danych diagnostycznych do firmy Apple. W systemie macOS 10.9 lub nowszym.
Wyświetlanie sygnału Pokazuje okienko konfiguracji dla tonu wyświetlania. Ten ekran umożliwia użytkownikom włączenie wyświetlania prawdziwie tonowego. Dla systemu macOS 10.13.6 lub nowszego.
FileVault Pokazuje użytkownikom ekran szyfrowania FileVault 2. Dotyczy systemu macOS 10.10 i nowszych.
Diagnostyka usługi iCloud Pokazuje użytkownikom ekran usługi iCloud Analytics. Dotyczy systemu macOS 10.12.4 i nowszych.
Rejestracja Wyświetla ekran rejestracji użytkownikom. W systemie macOS 10.9 lub nowszym.
Magazyn iCloud Pokazuje użytkownikowi ekran Dokumenty i pulpit w usłudze iCloud. Dotyczy systemu macOS 10.13.4 i nowszych.
Wygląd Pokazuje okienko wyglądu, w którym użytkownicy mogą wybrać tryb wyglądu. Dla systemu macOS 10.14 lub nowszego.
Czas przed ekranem Pokazuje okienko konfiguracji czasu ekranu systemu macOS, które umożliwia użytkownikom uzyskiwanie szczegółowych informacji na temat czasu korzystania z ekranu oraz działania aplikacji i witryny internetowej. Dla systemu macOS 10.15 lub nowszego.
Prywatność Pokazuje użytkownikowi okienko konfiguracji prywatności. Dotyczy systemu macOS 10.13.4 i nowszych.
Ułatwienia dostępu Pokazuje użytkownikowi ekran konfiguracji ułatwień dostępu. Jeśli ten ekran jest ukryty, użytkownik nie może używać funkcji voice over systemu macOS. Funkcja Voice Over jest obsługiwana na urządzeniach, które:
— obsługują system macOS 11.
— są połączone z Internetem za pomocą sieci Ethernet.
— numer seryjny w programie Apple School Manager lub Apple Business Manager.
Automatyczne odblokowywanie przy użyciu zegarka Apple Watch Pokazuje okienko Odblokowywanie systemu macOS przy użyciu zegarka Apple Watch, w którym użytkownicy mogą skonfigurować zegarek Apple Watch w celu odblokowania komputera Mac. Dla systemu macOS 12.0 lub nowszego.
Warunki adresu Pokazuje terminy okienka adresów, które daje użytkownikom możliwość wyboru sposobu, w jaki mają być rozwiązywane w całym systemie: kobiece, męskie lub neutralne. Ta funkcja firmy Apple jest dostępna dla wybranych języków. Aby uzyskać więcej informacji, zobacz Zmienianie ustawień języka & Region na komputerze Mac (otwiera witrynę internetową firmy Apple). Dla systemu macOS 13.0 lub nowszego.
Tapeta Pokazuje okienko konfiguracji tapety sonoma systemu macOS po zakończeniu uaktualniania oprogramowania przez urządzenia. Jeśli ten ekran zostanie ukryty, urządzenia otrzymają domyślną tapetę sonoma systemu macOS. Dla systemu macOS 14.1 lub nowszego.
Tryb blokady Pokazuje okienko konfiguracji trybu blokady dla użytkowników, którzy skonfigurowali identyfikator Apple ID. Dla systemu macOS 14.0 lub nowszego.
Analiza Pokazuje okienko konfiguracji usługi Apple Intelligence, w którym użytkownicy mogą konfigurować funkcje usługi Apple Intelligence. Dla systemu macOS 15.0 lub nowszego.

Synchronizowanie urządzeń zarządzanych

Synchronizowanie odświeża istniejący stan urządzenia i importuje nowe urządzenia przypisane do serwera MDM firmy Apple. Aby wyświetlić wszystkie skojarzone urządzenia i informacje o urządzeniu firmy Apple, zsynchronizuj token programu rejestracji w centrum administracyjnym.

  1. Wróć do tokenów programu Rejestracji i wybierz token programu rejestracji.

  2. Wybierz pozycję Synchronizacja urządzeń>.

    Zrzut ekranu przedstawiający obszar tokenu programu Enrollment program w centrum administracyjnym z wyróżnionym przykładowym tokenem, linkiem

Ograniczenia synchronizacji

Aby zachować zgodność z warunkami firmy Apple dotyczącymi dopuszczalnego ruchu w programie rejestracji, Microsoft Intune nakłada następujące ograniczenia:

  • Pełna synchronizacja może być uruchamiana nie częściej niż raz na siedem dni. Podczas pełnej synchronizacji Intune pobiera najnowszą, zaktualizowaną listę numerów seryjnych przypisanych do połączonego serwera MDM firmy Apple. Jeśli usuniesz urządzenie z Intune bez cofania przypisania go z serwera MDM w programie Apple Business Manager lub Apple School Manager, nie zostanie ono ponownie zaimportowane do Intune, dopóki nie zostanie uruchomiona pełna synchronizacja.
  • Jeśli urządzenie zostanie wydane z jednego z programów rejestracji firmy Apple, automatyczne usunięcie urządzenia ze strony Urządzenia w Intune może potrwać do 45 dni. W razie potrzeby można ręcznie usunąć wydane urządzenia w Intune jeden po drugim. Intune raporty wydały urządzenia jako usunięte z programu Apple Business Manager lub Apple School Manager do momentu ich automatycznego usunięcia, co nastąpi w ciągu 30–45 dni.
  • Synchronizacja jest uruchamiana automatycznie co 24 godziny. Synchronizację można zainicjować nie częściej niż raz na 15 minut. Każde żądanie synchronizacji ma przydzielone 15 minut na ukończenie. Przycisk Synchronizacja staje się nieaktywny do momentu zakończenia synchronizacji.

Przypisywanie profilu rejestracji do urządzeń

Przypisywanie profilu rejestracji do urządzeń firmy Apple.

  1. Wróć do tokenów programu Rejestracji i wybierz token.
  2. Wybierz pozycję Urządzenia.
  3. Wybierz urządzenia z listy, a następnie wybierz pozycję Przypisz profil.
  4. Wybierz profil do przypisania, a następnie wybierz pozycję Przypisz.

Opcjonalnie możesz wybrać domyślny profil rejestracji. Profil domyślny jest wdrażany na wszystkich urządzeniach rejestrujących skojarzonych z tokenem.

  1. Wróć do tokenów programu Rejestracji i wybierz token.
  2. Wybierz pozycję Ustaw profil domyślny.
  3. Wybierz profil, a następnie wybierz pozycję Zapisz.

Dystrybuowanie urządzeń

Ważna

Użytkownikom skojarzonym z urządzeniami z koligacją użytkownika należy przypisać licencję Intune. Urządzenia bez koligacji użytkownika wymagają licencji urządzenia.

Dystrybuowanie przygotowanych urządzeń w całej organizacji.

  • Nowe lub wyczyszczone komputery Mac: nowe lub wyczyszczone komputery Mac skonfigurowane w programie Apple Business Manager lub Apple School Manager automatycznie rejestrują się w Microsoft Intune podczas Asystenta ustawień, gdy ktoś włączy urządzenie. Jeśli urządzenie zostało przypisane do profilu rejestracji systemu macOS z koligacją użytkownika, użytkownik urządzenia musi zalogować się do Portal firmy po zakończeniu pracy Asystenta ustawień, aby zakończyć Microsoft Entra wymagania dotyczące rejestracji i dostępu warunkowego.

  • Istniejące komputery Mac: możesz zarejestrować urządzenia, które już przeszły przez Asystenta ustawień. Wykonaj te kroki, aby zarejestrować należące do firmy komputery Mac z systemem macOS 10.13 lub nowszym.

    1. Upewnij się, że:

      • Urządzenie jest importowane do programu Apple Business Manager lub Apple School Manager.
      • Do urządzenia przypisano profil rejestracji systemu macOS w centrum administracyjnym.
    2. Zaloguj się do urządzenia przy użyciu konta administratora lokalnego.

    3. Aby wyzwolić rejestrację, na stroniegłównej otwórz terminal i uruchom następujące polecenie:

      sudo profiles renew -type enrollment

    4. Wprowadź hasło urządzenia dla konta administratora lokalnego.

    5. W obszarze Rejestrowanie urządzenia wybierz pozycję Szczegóły.

    6. W obszarze Preferencje systemowe wybierz pozycję Profile.

    7. Postępuj zgodnie z monitami wyświetlanymi na ekranie, aby pobrać profil zarządzania Microsoft Intune, certyfikaty i zasady.

      Porada

      Możesz potwierdzić, które profile znajdują się na urządzeniu w dowolnym momencie, wracając doprofilów>preferencji systemowych.

    8. Jeśli przypisano urządzenie do profilu rejestracji systemu macOS z koligacją użytkownika, zaloguj się do aplikacji Portal firmy, aby ukończyć Microsoft Entra wymagania dotyczące rejestracji i dostępu warunkowego oraz zakończyć rejestrację.

Odnawianie tokenu programu rejestracji

Wykonaj te kroki, aby odnowić token serwera, który wkrótce wygaśnie. Ta procedura gwarantuje, że skojarzony token programu rejestracji w Intune pozostaje aktywny.

  1. Zaloguj się do programu Apple Business Manager lub Apple School Manager i wykonaj następujące kroki, aby pobrać nowy token serwera MDM:
  2. W centrum administracyjnym przejdź do pozycji Rejestracja urządzeń>.
  3. Wybierz kartę Apple .
  4. W obszarze Metody rejestracji zbiorczej wybierz pozycję Tokeny programu rejestracji.
  5. Wybierz token programu rejestracji, który chcesz odnowić.
  6. Wybierz pozycję Odnów token i wprowadź identyfikator Apple ID użyty do utworzenia oryginalnego tokenu.
  7. Przekaż nowy token.
  8. Wybierz pozycję Dalej. Możesz zaktualizować tagi zakresu w tej chwili, jeśli chcesz. W przeciwnym razie przejdź do pozycji Przejrzyj i utwórz.
  9. Wybierz pozycję Utwórz , aby zapisać zmiany.

Następne kroki

Zdalne zarządzanie zarejestrowanymi komputerami Mac za pomocą Microsoft Intune akcji zdalnych.