Udostępnij za pośrednictwem


Przewodnik wdrażania: zarządzanie urządzeniami z systemem macOS w Microsoft Intune

Zabezpieczanie dostępu do służbowych wiadomości e-mail, danych i aplikacji na urządzeniach z systemem macOS. W tym artykule przedstawiono zadania specyficzne dla systemu macOS, które ułatwiają włączanie zarządzania urządzeniami przenośnymi Intune dla systemu macOS, konfigurowanie zasad i wdrażanie aplikacji.

Wymagania wstępne

Wykonaj następujące wymagania wstępne, aby włączyć zarządzanie urządzeniami z systemem macOS w Intune:

Aby uzyskać informacje o rolach i uprawnieniach Microsoft Intune, zobacz RBAC with Microsoft Intune (Kontrola dostępu oparta na rolach z Microsoft Intune). Role administratora globalnego Microsoft Entra i administratora Intune mają pełne prawa w ramach Microsoft Intune. Administrator globalny ma więcej uprawnień niż jest to wymagane w przypadku wielu zadań zarządzania urządzeniami w Microsoft Intune. Zalecamy użycie roli o najniższych uprawnieniach, która jest potrzebna do wykonywania zadań. Na przykład najmniej uprzywilejowaną rolą, która może wykonywać zadania rejestracji urządzeń, jest menedżer zasad i profilów, wbudowana rola Intune.

Aby uzyskać bardziej szczegółowe informacje o tym, jak przeprowadzić początkową konfigurację, dołączenie lub przejście do Microsoft Intune, zobacz przewodnik wdrażania konfiguracji Intune.

Planowanie wdrożenia

Skorzystaj z przewodnika planowania Microsoft Intune, aby zdefiniować cele zarządzania urządzeniami, scenariusze przypadków użycia i wymagania. Pomoże to również zaplanować wdrożenie, komunikację, pomoc techniczną, testowanie i walidację. Na przykład ze względu na to, że aplikacja Portal firmy dla systemu macOS nie jest dostępna w App Store, zalecamy posiadanie planu komunikacji, aby użytkownicy końcowi wiedzieli, jak zainstalować Portal firmy i zarejestrować swoje urządzenia.

Rejestrowanie urządzeń

Skonfiguruj metody rejestracji i środowisko dla firmowych i osobistych urządzeń z systemem macOS. Ten krok gwarantuje, że urządzenia otrzymają zasady i konfiguracje Intune po ich zarejestrowaniu. Intune obsługuje rejestrację Przynieś własne urządzenie (BYOD), automatyczną rejestrację urządzeń firmy Apple i rejestrację bezpośrednią dla urządzeń firmowych. Aby uzyskać informacje o każdej metodzie rejestracji i o tym, jak wybrać odpowiednią dla Twojej organizacji, zobacz przewodnik rejestracji urządzeń z systemem macOS dla Microsoft Intune.

Zadanie Szczegóły
Konfigurowanie rejestracji dla urządzeń należących do użytkownika (BYOD) Wypełnij wymagania wstępne opisane w tym artykule, aby włączyć rejestrację urządzeń należących do użytkownika. Znajdziesz również zasoby rejestracji i linki do udostępniania użytkownikom urządzeń, dzięki czemu będą one obsługiwane w całym środowisku rejestracji. Ta metoda rejestracji dotyczy organizacji, które mają zasady BYOD (Bring Your Own Device ). Dzięki funkcji BYOD użytkownicy mogą używać swoich urządzeń osobistych do pracy.
Konfigurowanie automatycznej rejestracji urządzeń firmy Apple (ADE) Skonfiguruj wbudowane środowisko rejestracji, które automatyzuje rejestrację na urządzeniach należących do firmy zakupionych za pośrednictwem programu Apple School Manager lub Apple Business Manager. Ta metoda jest idealna dla organizacji, które mają dużą liczbę urządzeń do zarejestrowania, ponieważ eliminuje konieczność dotykania i konfigurowania każdego urządzenia indywidualnie.
Konfigurowanie rejestracji bezpośredniej dla urządzeń firmowych Skonfiguruj środowisko rejestracji dla urządzeń należących do firmy, które nie są powiązane z jednym użytkownikiem, takich jak urządzenia używane w przestrzeni udostępnionej lub w środowisku handlu detalicznego. Rejestracja bezpośrednia nie powoduje wyczyszczenia urządzenia, dlatego jest idealnym rozwiązaniem do użycia, gdy urządzenia nie potrzebują dostępu do danych użytkowników lokalnych. Musisz bezpośrednio przenieść profil rejestracji na komputer Mac, co wymaga połączenia USB z komputerem Mac z programem Apple Configurator.
Dodawanie menedżera rejestracji urządzeń Osoby wyznaczeni jako menedżerowie rejestracji urządzeń (DEM) mogą rejestrować do 1000 firmowych urządzeń przenośnych jednocześnie. Konta DEM są przydatne w organizacjach, które rejestrują i przygotowują urządzenia przed przekazaniem ich użytkownikom.
Identyfikowanie urządzeń firmowych Możesz przypisać do urządzeń stan należący do firmy, aby umożliwić większe możliwości zarządzania i identyfikacji w Intune. Nie można przypisać statusu własności firmy do urządzeń zarejestrowanych za pomocą usługi Apple Business Manager.
Zmienianie własności urządzeń Po zarejestrowaniu urządzenia możesz zmienić jego etykietę własności w usłudze Intune na własność firmową lub osobistą. Ta zmiana wpływa na sposób zarządzania urządzeniem.
Rozwiązywanie problemów z rejestracją Rozwiąż problemy występujące podczas rejestracji.

Tworzenie reguł zgodności

Utwórz zasady zgodności, aby zdefiniować reguły i warunki, które użytkownicy i urządzenia muszą spełnić, aby uzyskać dostęp do chronionych zasobów. W ten sposób zapewniasz, że urządzenia uzyskujące dostęp do danych spełniają Twoje standardy. Intune oznacza urządzenia, które nie spełniają wymagań, jako niezgodne i podejmuje działania (takie jak wysyłanie użytkownikowi powiadomienia, ograniczanie dostępu lub czyszczenie urządzenia) zgodnie z konfiguracjami.

Jeśli tworzysz zasady dostępu warunkowego, mogą one działać razem z wynikami zgodności urządzeń, aby zablokować dostęp do zasobów z niezgodnych urządzeń. Aby uzyskać szczegółowe informacje dotyczące zasad zgodności oraz rozpoczynania pracy, zobacz Korzystanie z zasad zgodności w celu ustawiania reguł dla urządzeń zarządzanych w usłudze Intune.

Zadanie Szczegóły
Tworzenie zasad zgodności Uzyskaj szczegółowe wskazówki dotyczące tworzenia i przypisywania zasad zgodności do grup użytkowników i urządzeń.
Dodawanie akcji w przypadku niezgodności Wybierz, co się stanie, gdy urządzenia przestaną spełniać warunki określone przez zasady zgodności. Możesz dodać akcje na wypadek niezgodności podczas konfigurowania zasad zgodności urządzenia lub edytując je później.
Tworzenie zasad dostępu warunkowego opartych na urządzeniach lub opartych na aplikacjach Określ aplikacje lub usługi, które chcesz chronić, i zdefiniuj warunki dostępu.
Blokowanie dostępu do aplikacji, które nie korzystają z nowoczesnego uwierzytelniania Utwórz zasady dostępu warunkowego oparte na aplikacji, aby blokować aplikacje korzystające z metod uwierzytelniania innych niż OAuth2 — na przykład aplikacje, które używają uwierzytelniania podstawowego i uwierzytelniania opartego na formularzach. Zanim jednak zablokujesz dostęp, zaloguj się do Tożsamość Microsoft Entra i przejrzyj raport aktywności metod uwierzytelniania, aby sprawdzić, czy użytkownicy korzystają z uwierzytelniania podstawowego, aby uzyskać dostęp do podstawowych elementów, o których nie pamiętasz lub o których nie wiesz. Na przykład z uwierzytelniania podstawowego mogą korzystać kioski kalendarza sali konferencyjnej.

Konfigurowanie ustawień urządzenia

Użyj Microsoft Intune, aby włączyć lub wyłączyć ustawienia i funkcje na urządzeniach z systemem macOS używanych do pracy. Aby skonfigurować i wymusić te ustawienia, utwórz profil konfiguracji urządzenia, a następnie przypisz ten profil do grup w organizacji.

Zadanie Szczegóły
Tworzenie profilu urządzenia w usłudze Microsoft Intune Dowiedz się więcej o różnych typach profilów urządzeń, które można utworzyć dla organizacji.
Konfigurowanie funkcji urządzenia Konfigurowanie typowych funkcji i funkcji systemu macOS. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień urządzenia.
Konfigurowanie profilu sieci Wi-Fi Ten profil umożliwia użytkownikom znajdowanie sieci Wi-Fi organizacji i łączenie się z nią. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień sieci Wi-Fi.
Konfigurowanie profilu sieci przewodowej Ten profil umożliwia użytkownikom komputerów stacjonarnych łączenie się z siecią przewodową organizacji. Opis ustawień w tym obszarze można znaleźć w dokumentacji sieci przewodowej.
Konfigurowanie profilu sieci VPN Skonfiguruj opcję bezpiecznej sieci VPN, taką jak aplikacja Microsoft Tunnel, dla osób łączących się z siecią organizacji. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień sieci VPN.
Ograniczanie funkcji urządzeń Chroń użytkowników przed nieautoryzowanym dostępem i rozproszeniem uwagi, ograniczając funkcje urządzeń, z których korzystają służbowo. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ograniczeń urządzenia.
Konfigurowanie profilu niestandardowego Dodaj i przypisz ustawienia i funkcje urządzenia, które nie są wbudowane w usługę Intune.
Dodawanie rozszerzeń systemu macOS i zarządzanie nimi Dodaj rozszerzenia jądra i rozszerzenia systemowe, które umożliwiają użytkownikom instalowanie rozszerzeń aplikacji, które rozszerzają natywne możliwości systemu operacyjnego. Opis ustawień w tym obszarze można znaleźć w dokumentacji rozszerzeń systemu macOS.
Dostosowywanie procesu znakowania i rejestracji Dostosowywanie portalu firmy i aplikacji Microsoft Intune przy użyciu tekstów, znakowania, preferencji ekranu i informacji kontaktowych organizacji.

Konfigurowanie zabezpieczeń punktu końcowego

Funkcje zabezpieczeń punktu końcowego w usłudze Intune umożliwiają konfigurowanie zabezpieczeń urządzeń i zarządzanie zadaniami zabezpieczeń dla zagrożonych urządzeń.

Zadanie Szczegóły
Zarządzanie urządzeniami za pomocą funkcji zabezpieczeń punktu końcowego Użyj ustawień zabezpieczeń punktu końcowego w usłudze Intune, aby skutecznie zarządzać zabezpieczeniami urządzeń i naprawiać związane z nimi problemy.
Korzystanie z dostępu warunkowego w celu ograniczenia dostępu do aplikacji Microsoft Tunnel Użyj zasad dostępu warunkowego, aby ograniczyć dostęp urządzenia do bramy sieci VPN aplikacji Microsoft Tunnel.
Dodawanie ustawień ochrony punktu końcowego Skonfiguruj typowe funkcje zabezpieczeń programu Endpoint Protection, w tym zaporę, strażnika i program FileVault. Opis ustawień w tym obszarze można znaleźć w dokumentacji ustawień programu Endpoint Protection.

Konfigurowanie bezpiecznych metod uwierzytelniania

Skonfiguruj metody uwierzytelniania w usłudze Intune, aby upewnić się, że dostęp do zasobów wewnętrznych mają tylko autoryzowane osoby. Usługa Intune obsługuje uwierzytelnianie wieloskładnikowe, certyfikaty i poświadczenia pochodne. Certyfikaty mogą być również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME.

Zadanie Szczegóły
Wymaganie uwierzytelniania wieloskładnikowego (MFA) Wymagaj od użytkowników podania dwóch form poświadczeń podczas rejestracji.
Tworzenie profilu zaufanego certyfikatu Zanim utworzysz profil certyfikatu SCEP, PKCS lub zaimportowanego certyfikatu PKCS, utwórz i wdróż profil certyfikatu zaufanego. Profil certyfikatu zaufanego wdraża zaufany certyfikat główny dla urządzeń i użytkowników przy użyciu certyfikatów SCEP, PKCS i zaimportowanego certyfikatu PKCS.
Używanie certyfikatów SCEP w usłudze Intune Dowiedz się, co jest potrzebne do korzystania z certyfikatów SCEPT w usłudze Intune, i skonfiguruj wymaganą infrastrukturę. Po wykonaniu tych czynności możesz utworzyć profil certyfikatu SCEP lub skonfigurować urząd certyfikacji innej firmy za pomocą protokołu SCEP.
Używanie certyfikatów PKCS w usłudze Intune Skonfiguruj wymaganą infrastrukturę (na przykład lokalne łączniki certyfikatów), wyeksportuj certyfikat PKCS, a następnie dodaj go do profilu konfiguracji urządzenia w usłudze Intune.
Korzystanie z zaimportowanych certyfikatów PKCS w usłudze Intune Skonfiguruj zaimportowane certyfikaty PKCS, które umożliwiają konfigurowanie protokołu S/MIME i używanie go do szyfrowanie wiadomości e-mail.

Wdrażanie aplikacji

Podczas konfigurowania aplikacji i zasad aplikacji zastanów się nad wymaganiami organizacji, takimi jak platformy, które będziesz obsługiwać, zadania wykonywane przez użytkowników, typ aplikacji potrzebnych do wykonywania tych zadań i to, kto ich potrzebuje. Za pomocą Intune można zarządzać całym urządzeniem (w tym aplikacjami) lub używać Intune tylko do zarządzania aplikacjami.

Zadanie Szczegóły
Dodawanie aplikacji Intune — Portal firmy Dowiedz się, jak uzyskać Portal firmy na urządzeniach lub poinstruować użytkowników, jak to zrobić samodzielnie.
Dodawanie przeglądarki Microsoft Edge Dodaj i przypisz przeglądarkę Microsoft Edge w Intune.
Dodawanie platformy Microsoft 365 Dodawanie i przypisywanie aplikacji platformy Microsoft 365 w Intune.
Dodawanie aplikacji biznesowych Dodawanie i przypisywanie aplikacji biznesowych (LOB) dla systemu macOS w Intune.
Przypisywanie aplikacji do grup Po dodaniu aplikacji do Intune przypisz je do użytkowników i urządzeń.
Dołączanie i wykluczanie przypisań aplikacji Kontroluj dostęp do aplikacji, dołączając i wykluczając wybrane grupy z przypisania.
Używanie skryptów powłoki na urządzeniach z systemem macOS Użyj skryptów powłoki, aby rozszerzyć możliwości zarządzania urządzeniami w Intune poza to, co jest obsługiwane przez system operacyjny macOS.

Uruchamianie akcji zdalnych

Po skonfigurowaniu urządzeń można używać akcji zdalnych w Intune do zarządzania urządzeniami z systemem macOS i rozwiązywania problemów z nimi z daleka. W poniższych artykułach przedstawiono akcje zdalne w Intune. Jeśli akcja jest nieobecna lub wyłączona w portalu, nie jest obsługiwana w systemie macOS.

Zadanie Szczegóły
Zdalne działania na urządzeniach Dowiedz się, jak przejść do szczegółów i zdalnie zarządzać poszczególnymi urządzeniami oraz rozwiązywać związane z nimi problemy w usłudze Intune. Ten artykuł zawiera listę wszystkich akcji zdalnych dostępnych w usłudze Intune oraz linki do tych procedur.
Używanie aplikacji TeamViewer do zdalnego administrowania urządzeniami usługi Intune Skonfiguruj aplikację TeamViewer w usłudze Intune i dowiedz się, jak zdalnie administrować urządzeniem.
Wyświetlanie zagrożeń i luk w zabezpieczeniach przy użyciu zadań zabezpieczeń Zintegruj usługę Intune z platformą ochrony punktu końcowego w usłudze Microsoft Defender, aby korzystać z jej funkcji zarządzania zagrożeniami i lukami, i korzystaj z usługi Intune do korygowania zagrożeń punktu końcowego identyfikowanych przez funkcję zarządzania lukami w zabezpieczeniach usługi Defender.

Następne kroki