Udostępnij za pośrednictwem

Kompleksowy przewodnik rozpoczynania pracy z punktami końcowymi systemu macOS

  • Artykuł

Za pomocą Microsoft Intune można zarządzać punktami końcowymi systemu macOS należącymi do organizacji lub szkoły oraz zabezpieczać je. Gdy Ty lub Twoja organizacja zarządzasz urządzeniami, możesz wdrażać aplikacje potrzebne użytkownikom końcowym, konfigurować żądane funkcje urządzeń i korzystać z zasad, które pomagają chronić urządzenia & organizacji przed zagrożeniami.

Ten artykuł dotyczy:

  • Urządzenia z systemem macOS należące do Organizacji

Ten artykuł zawiera kompleksowy przewodnik ułatwiający rozpoczęcie pracy z punktami końcowymi systemu macOS. Koncentruje się on na:

  • Punkty końcowe zarządzane za pomocą programu Apple Business Manager lub Apple School Manager
  • Urządzenia zarejestrowane w Intune przy użyciu automatycznej rejestracji urządzeń z koligacją użytkownika. Koligacja użytkownika jest zwykle używana dla urządzeń z jednym użytkownikiem podstawowym.

W tym artykule przedstawiono kompleksowe kroki tworzenia punktów końcowych systemu macOS i zarządzania nimi przy użyciu Microsoft Intune.

Jak korzystać z tego przewodnika

Ten przewodnik zawiera siedem faz. Każda faza zawiera zestaw kroków, które ułatwiają tworzenie konfiguracji i wdrażania punktu końcowego systemu macOS. Każda faza opiera się na poprzedniej fazie.

Diagram podsumowujący wszystkie fazy dołączania urządzeń z systemem macOS, w tym testowanie, rejestrowanie, zabezpieczanie, wdrażanie zasad i obsługę urządzeń przy użyciu Microsoft Intune

Wykonaj etapy i kroki w kolejności. Fazy obejmują:

Na końcu tego przewodnika masz punkt końcowy systemu macOS zarejestrowany w Intune i gotowy do rozpoczęcia sprawdzania poprawności w scenariuszach.

Faza 1 — konfigurowanie środowiska

Przed utworzeniem pierwszego punktu końcowego systemu macOS skonfigurowano pewne wymagania i funkcje konfiguracji.

W tej fazie sprawdzasz wymagania, integrujesz Intune z programem Apple Business Manager (lub Apple School Manager), konfigurujesz niektóre funkcje i dodajesz aplikacje do Intune.

Diagram przedstawiający kroki konfigurowania środowiska do obsługi urządzeń z systemem macOS w Microsoft Intune, w tym wymagania netowrk, certyfikaty, konfigurowanie logowania jednokrotnego i nie tylko

Krok 1 . Wymagania dotyczące sieci

Konfigurowanie sieci

Aby pomyślnie przygotować i wdrożyć punkt końcowy systemu macOS, punkt końcowy wymaga dostępu do kilku publicznych usług internetowych.

  • Rozpocznij testowanie w otwartej sieci. W sieci organizacji możesz też zapewnić dostęp do wszystkich punktów końcowych wymienionych w obszarze Punkty końcowe sieci dla Microsoft Intune. Następnie możesz użyć sieci organizacji do przetestowania konfiguracji.

  • Jeśli sieć bezprzewodowa wymaga certyfikatów, możesz rozpocząć od połączenia Ethernet podczas testowania. Połączenie Ethernet daje trochę czasu na określenie najlepszego podejścia do połączeń bezprzewodowych potrzebnych urządzeniom.

Uwaga

Inspekcja protokołu SSL może spowodować niepowodzenie dostępu do usług firmy Microsoft i firmy Apple. Aby uzyskać więcej informacji na temat wymagań firmy Apple, przejdź do tematu Korzystanie z produktów firmy Apple w sieciach przedsiębiorstwa.

Krok 2 . Rejestracja i licencjonowanie

Tworzenie nowej grupy, konfigurowanie ograniczeń rejestracji i przypisywanie licencji

Aby przygotować punkty końcowe do rejestracji, musisz upewnić się, że odpowiednie punkty końcowe są ukierunkowane i że punkty końcowe są prawidłowo licencjonowane.

Konkretnie:

  • Tworzenie nowej grupy

    Utwórz nową grupę testów Microsoft Entra, na przykład Intune Użytkownicy mdm. Następnie dodaj testowe konta użytkowników do tej grupy. Aby ograniczyć liczbę osób, które mogą rejestrować urządzenia podczas konfigurowania konfiguracji, należy kierować konfiguracje do tej grupy.

    Aby utworzyć grupę Microsoft Entra, użyj centrum administracyjnego Intune. Podczas tworzenia grupy w Intune tworzysz grupę Entra. Nie widzisz znakowania Entra, ale tego właśnie używasz.

    Aby uzyskać więcej informacji, przejdź do sekcji Tworzenie grupy do zarządzania użytkownikami w Intune.

  • Ograniczenia rejestracji

    Ograniczenia rejestracji umożliwiają kontrolowanie typów urządzeń, które mogą rejestrować się w zarządzaniu Intune. Aby ten przewodnik zakończył się pomyślnie, w ramach ograniczenia rejestracji upewnij się, że rejestracja w systemie macOS (MDM) jest dozwolona, co jest konfiguracją domyślną. Przypisz to ograniczenie rejestracji do utworzonej nowej grupy.

    W razie potrzeby lub w razie potrzeby można również uniemożliwić rejestrowanie określonych urządzeń.

    Aby uzyskać informacje na temat konfigurowania ograniczeń rejestracji, przejdź do tematu Ustawianie ograniczeń rejestracji w Microsoft Intune.

  • Licencjonowanie:

    Użytkownicy rejestrujący urządzenia z systemem macOS wymagają licencji Microsoft Intune lub Microsoft Intune for Education. Aby przypisać licencje, przejdź do obszaru Przypisywanie licencji Microsoft Intune. Przypisz licencje do utworzonych kont testowych.

    Uwaga

    Oba typy licencji są zwykle dołączane do pakietów licencjonowania, takich jak Microsoft 365 E3 (lub A3) i nowszych. Aby uzyskać więcej informacji, przejdź do tematu Porównanie planów Microsoft 365 Enterprise.

Krok 3. Dodawanie certyfikatu MDM firmy Apple

Dodawanie certyfikatu wypychania za pomocą zarządzanego identyfikatora Apple ID

  • Aby zarządzać urządzeniami z systemem macOS, firma Apple wymaga skonfigurowania dzierżawy Intune przy użyciu certyfikatu wypychania MDM. Jeśli obecnie zarządzasz urządzeniami z systemem iOS/iPadOS w tej samej dzierżawie, ten krok zostanie wykonany.

  • Upewnij się, że używasz zarządzanego identyfikatora Apple ID z wystąpieniem programu Apple Business Manager (lub Apple School Manager).

    Nie używaj osobistego identyfikatora Apple ID. Zarządzanie certyfikatem usługi Apple Push Notification Service ma kluczowe znaczenie dla życia rozwiązania do zarządzania urządzeniami. Dostęp przy użyciu osobistego identyfikatora Apple ID może stać się niedostępny, ponieważ personel zmienia się wraz z upływem czasu.

Aby uzyskać informacje na temat konfigurowania certyfikatu wypychania mdm firmy Apple, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple dla Intune.

Krok 4. Dodawanie tokenu automatycznej rejestracji urządzeń firmy Apple

Łączenie tokenu firmy Apple na potrzeby automatycznej rejestracji urządzeń

Aby zarządzać urządzeniami zarejestrowanymi za pośrednictwem usługi Apple Business Manager (lub Apple School Manager), należy skonfigurować token MDM i połączyć token z Intune.

Ten token jest wymagany do zautomatyzowanej rejestracji urządzeń (ADE) w Intune. Token:

  • Umożliwia Intune synchronizowanie informacji o urządzeniu ADE z konta usługi Apple Business Manager (lub Apple School Manager).
  • Umożliwia Intune przekazywanie profilów rejestracji do firmy Apple.
  • Umożliwia Intune przypisywanie urządzeń do tych profilów.

Jeśli obecnie zarządzasz urządzeniami z systemem iOS/iPadOS w tej samej dzierżawie przy użyciu usługi ADE, niektóre z tych kroków można wykonać.

Aby uzyskać informacje na temat konfigurowania programu Apple Business Manager za pomocą Intune, przejdź do tematu Rejestrowanie urządzeń z systemem macOS — Apple Business Manager lub Apple School Manager.

Ogólne kroki konfigurowania programu Apple Business Manager (lub Apple School Manager) przy użyciu Intune to:

  1. Połącz Intune z usługą Apple Business Manager (lub Apple School Manager).
  2. W Intune utwórz profile ADE dla tokenu usługi Apple Business Manager.
  3. W programie Apple Business Manager przypisz urządzenia do Intune MDM.
  4. W Intune przypisz profile ADE do urządzeń z systemem macOS.

Krok 5. Urządzenia docelowe

Kierowanie określonych grup przy użyciu grup użytkowników, filtrów Intune lub grup dynamicznych

Urządzenia z systemem macOS z koligacją użytkownika mogą być przeznaczone dla profilów i aplikacji przy użyciu grup użytkowników lub urządzeń. Istnieją dwie typowe opcje dynamicznego kierowania urządzeń przez organizacje:

  • Opcja 1 — wszystkie grupy urządzeń z filtrem przypisania w obszarze enrollmentProfileName

    W przypadku krytycznych aplikacji i zasad, które muszą być stosowane natychmiast po rejestracji (ustawienia zabezpieczeń, ograniczenia, aplikacja Portal firmy), możesz przypisać zasady do wbudowanej grupy Intune Wszystkie urządzenia. Utwórz filtr przypisania przy użyciu profilu rejestracji utworzonego w kroku 4 — dodawanie tokenu automatycznej rejestracji urządzeń firmy Apple.

    Zasady i aplikacje przeznaczone dla grupy Wszystkie urządzenia są stosowane szybciej po rejestracji niż grupy dynamiczne. Nie wszystkie profile konfiguracji (takie jak skrypty systemu macOS) obsługują filtry.

    Aby uzyskać więcej informacji na temat filtrów przypisania, przejdź do obszaru Tworzenie filtrów w Microsoft Intune.

  • Opcja 2 — Microsoft Entra grupy dynamicznej na podstawie enrollmentProfileName

    Aby ograniczyć konfiguracje z tego przewodnika do urządzeń testowych importowanych za pośrednictwem programu Apple Business Manager, utwórz dynamiczną grupę Microsoft Entra. Następnie możesz skierować wszystkie konfiguracje i aplikacje do tej grupy.

    1. Otwórz centrum administracyjne Microsoft Intune.

    2. Wybierz pozycję Grupy>Nowa grupa i wprowadź następujące szczegóły:

      • Typ grupy: wybierz pozycję Zabezpieczenia.
      • Nazwa grupy: wprowadź punkty końcowe systemu macOS.
      • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

    3. W polu Dynamiczne elementy członkowskie urządzenia wybierz pozycję Dodaj zapytanie dynamiczne i wprowadź następujące właściwości:

      • Właściwość: wybierz pozycję enrollmentProfileName.
      • Operator: Wybierz pozycję równa się.
      • Wartość: wprowadź nazwę profilu rejestracji.

    4. Wybierz przycisk OK>Zapisz>utwórz.

    Podczas tworzenia aplikacji i zasad można kierować zasady do tej nowej dynamicznej grupy Microsoft Entra.

    Uwaga

    Po wprowadzeniu zmian wypełnienie grup dynamicznych może potrwać kilka minut. W dużych organizacjach może to potrwać dłużej. Po utworzeniu nowej grupy poczekaj kilka minut, zanim sprawdzisz, czy urządzenie jest członkiem grupy.

    Aby uzyskać więcej informacji na temat grup dynamicznych dla urządzeń, przejdź do sekcji Dynamiczne reguły członkostwa dla grup w Tożsamość Microsoft Entra: Reguły dla urządzeń.

Krok 6. Konfigurowanie ustawień początkowych i logowania jednokrotnego

Optymalizowanie środowiska pierwszego uruchomienia

Korzystając z Intune, można zoptymalizować środowisko pierwszego uruchomienia przy użyciu wbudowanych ustawień w profilu rejestracji ADE. W szczególności podczas tworzenia profilu rejestracji można:

  • Wstępnie skonfiguruj informacje o użytkowniku końcowym w Asystentze ustawień.
  • Użyj funkcji ostatecznej konfiguracji Await . Ta funkcja uniemożliwia użytkownikom końcowym dostęp do ograniczonej zawartości lub zmienianie ustawień do momentu zastosowania zasad konfiguracji urządzenia Intune.

Aby uzyskać więcej informacji na temat tej funkcji i rejestracji w usłudze ADE, przejdź do tematu Automatyczne rejestrowanie komputerów Mac w programie Apple Business Manager lub Apple School Manager.

Zmniejszanie monitów o logowanie do aplikacji przy użyciu logowania jednokrotnego

W Intune można skonfigurować ustawienia, które zmniejszają liczbę monitów logowania otrzymywanych przez użytkowników końcowych podczas korzystania z aplikacji, w tym aplikacji platformy Microsoft 365. W tej konfiguracji istnieją dwie części:

  • Część 1 — używanie wtyczki logowania jednokrotnego w przedsiębiorstwie firmy Microsoft w celu zapewnienia logowania jednokrotnego dla aplikacji i witryn internetowych, które używają Tożsamość Microsoft Entra do uwierzytelniania, w tym aplikacji platformy Microsoft 365.

    Istnieją dwie opcje konfigurowania logowania jednokrotnego dla komputerów Mac — wtyczka logowania jednokrotnego dla przedsiębiorstw i logowanie jednokrotne platformy.

    Wtyczka logowania jednokrotnego przedsiębiorstwa firmy Microsoft dla urządzeń firmy Apple zapewnia logowanie jednokrotne (SSO) dla kont Microsoft Entra w systemie macOS we wszystkich aplikacjach obsługujących funkcję logowania jednokrotnego firmy Apple.

    Aby utworzyć te zasady, w centrum administracyjnym Intune przejdź do:

    • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy wykaz > ustawień zasad > Uwierzytelnianie > rozszerzalne Logowanie jednokrotne (SSO): Dodaj i skonfiguruj następujące ustawienia:

      Name (Nazwa) Konfiguracja
      Identyfikator rozszerzenia com.microsoft.CompanyPortalMac.ssoextension
      Identyfikator zespołu UBF8T346G9
      Wpisać Przekierowanie
      Adresy URL https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • Skonfiguruj następujące ustawienia opcjonalne:

      Klucz Wpisać Value
      AppPrefixAllowList Ciąg com.apple.,com.microsoft
      browser_sso_interaction_enabled Liczba całkowita 1
      disable_explicit_app_prompt Liczba całkowita 1

    Aby uzyskać więcej informacji na temat wtyczki Enterprise SSO, w tym sposobu tworzenia zasad, przejdź do tematu Konfigurowanie wtyczki logowania jednokrotnego systemu macOS Enterprise z Intune.

  • Część 2 — użyj wykazu ustawień Intune, aby skonfigurować następujące ustawienia, które zmniejszają liczbę monitów o zalogowanie, w tym Microsoft AutoUpdate (MAU) i Microsoft Office.

    • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Microsoft AutoUpdate (MAU): Dodaj i skonfiguruj następujące ustawienia:

    • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy wykaz > ustawień zasad > Microsoft Office > Microsoft Office: Dodaj i skonfiguruj >następujące ustawienia:

      • Adres Email aktywacji pakietu Office: wprowadź {{userprincipalname}}.
      • Włącz automatyczne logowanie: wybierz pozycję Prawda.

      Te ustawienia usprawniają proces logowania podczas pierwszego otwierania aplikacji pakietu Office. Aby uzyskać więcej informacji na temat tych ustawień, przejdź do tematu Ustawianie preferencji dla całego pakietu dla Office dla komputerów Mac.

    Aby uzyskać więcej informacji na temat katalogu ustawień, w tym sposobu tworzenia zasad, przejdź do tematu Używanie wykazu ustawień do konfigurowania ustawień w Microsoft Intune.

Krok 7. Dodawanie i przypisywanie aplikacji obowiązkowych

Dodawanie minimalnego zestawu aplikacji do Intune

Organizacja może mieć aplikacje, które muszą mieć urządzenia z systemem macOS. Organizacja może wymagać zainstalowania tych aplikacji na wszystkich urządzeniach zarządzanych przez Intune.

W tym kroku dodaj te aplikacje, aby Intune i przypisać je do grupy.

Niektóre aplikacje, które muszą mieć, obejmują:

Faza 2 — rejestrowanie testowego punktu końcowego

Następna faza rejestruje testowe urządzenie z systemem macOS w Intune. Ta faza umożliwia zapoznanie się z początkowymi krokami, dzięki czemu możesz przystąpić do rejestrowania wszystkich urządzeń z systemem macOS w Intune.

Diagram zawierający listę kroków rejestrowania testowego urządzenia z systemem macOS przy użyciu Microsoft Intune, w tym rejestrowania urządzenia, przypisywania profilu i nie tylko

Aby zarejestrować pierwszy punkt końcowy systemu macOS w organizacji, upewnij się, że urządzenie z systemem macOS to:

Kroki wysokiego poziomu umożliwiające zarejestrowanie pierwszego punktu końcowego systemu macOS przy użyciu Intune to:

  1. Wymazywanie lub resetowanie punktu końcowego systemu macOS. Ten krok jest wymagany dla istniejących urządzeń. Jeśli zarejestrujesz już skonfigurowane urządzenie z systemem macOS, urządzenie zostanie uznane za urządzenie osobiste. Dlatego należy wymazać lub zresetować urządzenie, zanim będzie można je zarejestrować w Intune.

    W przypadku nowych urządzeń, które nie są skonfigurowane, możesz pominąć ten krok. Jeśli nie masz pewności, czy urządzenie jest skonfigurowane, zresetuj urządzenie.

  2. Przejdź przez Asystenta ustawień.

  3. Otwórz aplikację Portal firmy i zaloguj się przy użyciu konta organizacji (user@contoso.com).

Gdy użytkownik się zaloguje, obowiązują zasady rejestracji. Po zakończeniu punkt końcowy systemu macOS zostanie zarejestrowany w Intune.

Faza 3 — zabezpieczanie punktów końcowych systemu macOS

W tej fazie skonfigurujesz ustawienia zabezpieczeń i funkcje, które ułatwiają ochronę punktów końcowych, w tym utrzymywanie na bieżąco urządzeń z aktualizacjami.

Diagram przedstawiający kroki zabezpieczania urządzeń z systemem macOS przy użyciu zasad zgodności, aktualizacji oprogramowania i innych elementów w Microsoft Intune

Ta sekcja koncentruje się na różnych funkcjach zabezpieczeń punktów końcowych w Microsoft Intune, w tym:

  • Zasady zgodności i dostępu warunkowego
  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Zabezpieczenia punktu końcowego programu FileVault, zapory i programu Gatekeeper
  • Aktualizacje oprogramowania
  • Konto gościa
  • Bezczynne logowanie
  • Narzędzie do oceny komputerów Mac

Zasady zgodności i dostępu warunkowego

Tworzenie zasad zgodności i wymuszanie zgodności z dostępem warunkowym

  • Zasady zgodności sprawdzają skonfigurowane ustawienia urządzenia i mogą korygować niektóre niezgodne ustawienia. Można na przykład utworzyć zasady zgodności, które sprawdzają złożoność hasła, stan zdjętych zabezpieczeń systemu, poziomy zagrożeń, stan rejestracji i nie tylko.

    Jeśli istnieją ustawienia konfiguracji powodujące konflikt między zasadami zgodności a innymi zasadami, pierwszeństwo mają zasady zgodności. Aby uzyskać więcej informacji, przejdź do obszaru Zgodność i zasady konfiguracji urządzeń, które powodują konflikt.

  • Dostęp warunkowy może służyć do wymuszania utworzonych zasad zgodności. W połączeniu użytkownicy końcowi mogą być zobowiązani do zarejestrowania swoich urządzeń i spełnienia minimalnego standardu zabezpieczeń przed uzyskaniem dostępu do zasobów organizacji. Jeśli urządzenie jest niezgodne, możesz zablokować dostęp do zasobów, takich jak poczta e-mail, lub wymagać od użytkownika zarejestrowania urządzenia i rozwiązania problemu.

Uwaga

Aby potwierdzić, że wymuszasz odpowiednie kontrolki urządzeń, skontaktuj się z zespołem, który zarządza zasadami dostępu warunkowego Entra.

Zasady zgodności i dostępu warunkowego można utworzyć w centrum administracyjnym Intune.

Aby uzyskać więcej informacji, zobacz:

Ochrona punktu końcowego w usłudze Microsoft Defender

Używanie Ochrona punktu końcowego w usłudze Microsoft Defender do ochrony przed zagrożeniami

Ochrona punktu końcowego w usłudze Microsoft Defender to rozwiązanie do ochrony przed zagrożeniami mobilnymi, które pomaga chronić urządzenia przed zagrożeniami bezpieczeństwa.

W Intune możesz nawiązać połączenie z usługą Ochrona punktu końcowego w usłudze Microsoft Defender, utworzyć zasady Intune przy użyciu ustawień Ochrona punktu końcowego w usłudze Microsoft Defender, a następnie wdrożyć zasad na urządzeniach.

Aby uzyskać więcej informacji, zobacz:

Wbudowane zabezpieczenia punktu końcowego

Szyfrowanie urządzeń za pomocą szyfrowania dysków programu FileVault

FileVault to funkcja szyfrowania całego dysku, która pomaga zapobiegać nieautoryzowanemu dostępowi. Ustawienia programu FileVault są wbudowane w wykaz ustawień Intune i są dostępne jako zasady zgodności.

Można więc skonfigurować program FileVault, sprawdzić zgodność i wdrożyć zasady na urządzeniach.

Aby utworzyć te zasady, w centrum administracyjnym Intune przejdź do:

  • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Tworzenie > nowych zasad > Wykaz ustawień > szyfrowania pełnego dysku
  • Urządzenia > Zarządzanie urządzeniami > Zgodność > Tworzenie zasad > Zabezpieczenia > systemu Wymagaj szyfrowania magazynu danych na urządzeniu

Aby uzyskać więcej informacji o usłudze FileVault, przejdź do:

Konfigurowanie zapory

Zapora jest zaporą aplikacji i pomaga zapobiegać atakom przychodzącym. Ustawienia zapory są wbudowane w wykaz ustawień Intune i są dostępne jako zasady zgodności.

Można więc skonfigurować zaporę, sprawdzić zgodność i wdrożyć zasady na urządzeniach.

Aby utworzyć te zasady, w centrum administracyjnym Intune przejdź do:

  • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog ustawień zasad>:

    • Zapora sieciowa >
    • Preferencje zabezpieczeń >

  • Urządzenia > Zarządzanie urządzeniami > Zgodność > Tworzenie zasad > Zapora zabezpieczeń > systemu

Aby uzyskać więcej informacji na temat zapory systemu macOS, przejdź do:

Konfigurowanie strażnika

Strażnik zapewnia, że na urządzeniu działa tylko zaufane oprogramowanie. Ustawienia strażnika są wbudowane w wykaz ustawień Intune i są dostępne jako zasady zgodności.

Można więc skonfigurować usługę Gatekeeper, sprawdzić zgodność i wdrożyć zasady na urządzeniach.

Aby utworzyć te zasady, w centrum administracyjnym Intune przejdź do:

  • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy wykaz > ustawień zasad> System policy > Control:

    • Zezwalaj na zidentyfikowanego dewelopera: wybierz pozycję True.
    • Włącz ocenę: wybierz pozycję Prawda.

  • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad> Zarządzanie zasadami > systemowymi:

    • Wyłącz zastępowanie: wybierz pozycję Prawda.

  • Urządzenia > Zarządzanie urządzeniami > Zgodność > Tworzenie zasad > System Security > Gatekeeper

Aby uzyskać więcej informacji na temat usługi Gatekeeper, przejdź do:

Aktualizacje oprogramowania

Konfigurowanie Aktualizacje oprogramowania

Na urządzeniach aktualizacje oprogramowania mają krytyczne znaczenie i należy określić sposób instalowania aktualizacji. Masz kilka opcji.

Podczas konfigurowania tych ustawień wymuszasz i ograniczasz zachowanie w węźle Aktualizacja oprogramowania aplikacji >Ustawienia na urządzeniu.

  • Opcja 1 — urządzenia z systemem macOS 14.0 i nowszym (zalecane) — na urządzeniach z systemem macOS 14.0 i nowszym użyj wykazu ustawień Intune, aby utworzyć zarządzane zasady aktualizacji oprogramowania. Ta funkcja korzysta z deklaratywnego zarządzania urządzeniami (DDM) firmy Apple i jest zalecanym podejściem do aktualizowania urządzeń z systemem macOS.

    W szczególności w centrum administracyjnym Intune należy skonfigurować następujące ustawienia:

    • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Deklaratywna Zarządzanie urządzeniami > aktualizacji oprogramowania

    • Opcjonalnie — w obszarze Urządzenia > Zarządzaj urządzeniami > Konfiguracja > Utwórz > nowe > ustawienia ustawienia katalogu > Ograniczenia można użyć następujących ustawień, aby opóźnić czas po wydaniu aktualizacji, aby użytkownicy mogli ręcznie zainstalować aktualizacje. Te ustawienia używają ustawień MDM firmy Apple:

      • Wymuszone opóźnienie instalacji systemu operacyjnego pomocniczego aktualizacji oprogramowania: 0–30
      • Wymuszone opóźnienie instalacji głównego systemu operacyjnego aktualizacji oprogramowania: 0–30
      • Wymuszone opóźnienie instalacji aktualizacji oprogramowania bez systemu operacyjnego: 0–30

      Ustawienia deklaratywne Zarządzanie urządzeniami > aktualizacji oprogramowania wykazu > ustawień ma pierwszeństwo przed ustawieniami ograniczeń wykazu > ustawień. Aby uzyskać więcej informacji, przejdź do pozycji Pierwszeństwo ustawień w zasadach aktualizacji systemu macOS.

  • Opcja 2 — macOS 13.0 i starsze (zalecane) — na urządzeniach z systemem macOS 13.0 i starszymi można użyć kombinacji wykazu ustawień Intune i zasad Intune aktualizacji oprogramowania. Te funkcje korzystają z ustawień mdm firmy Apple.

    W szczególności w centrum administracyjnym Intune można skonfigurować następujące ustawienia:

    • Urządzenia > Zarządzaj aktualizacjami > Zasady aktualizacji systemu macOS firmy > Apple

    • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Aktualizacja oprogramowania

    Niektóre ustawienia w obu typach zasad (aktualizacje oprogramowania a katalog ustawień) mogą się nakładać. Dlatego należy zwrócić uwagę na to, co konfigurujesz w poszczególnych zasadach. Ustawienia w zasadach aktualizacji systemu macOS mają pierwszeństwo przed ustawieniami aktualizacji oprogramowania wykazu > ustawień. Aby uzyskać więcej informacji, przejdź do pozycji Pierwszeństwo ustawień w zasadach aktualizacji systemu macOS.

  • Opcja 3 (niezalecana) — użytkownicy końcowi ręcznie instalują aktualizacje. Takie podejście polega na tym, że użytkownicy końcowi decydują, kiedy zainstalować aktualizacje. Ponadto mogą zainstalować aktualizację, która nie jest zatwierdzana przez organizację.

Aby uzyskać więcej informacji na temat planowania strategii aktualizacji systemu macOS, przejdź do przewodnika planowania aktualizacji oprogramowania dla zarządzanych urządzeń z systemem macOS w Microsoft Intune.

Konto gościa

Wyłączanie konta gościa

Należy wyłączyć konto gościa w punktach końcowych systemu macOS. Konto gościa można wyłączyć przy użyciu wykazu ustawień Intune:

  • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowe ustawienia zasad > Konta > katalogu>:>
    • Wyłącz konto gościa: wybierz pozycję Prawda.

Limit czasu bezczynności

Ustawianie limitu czasu bezczynności

Korzystając z wykazu ustawień Intune, możesz kontrolować okres po bezczynności monitu o podanie hasła przez system macOS:

  • Urządzeń > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Wygaszacz ekranu konfiguracji > systemu:

    • Zapytaj o hasło: wybierz pozycję Prawda.
    • Czas bezczynności systemu Windows logowania: wprowadź wartość podobną do 300, która wynosi 5 minut.
    • Poproś o opóźnienie hasła: wprowadź wartość podobną do 5.
    • Nazwa modułu: wprowadź nazwę modułu wygaszacz ekranu, na przykład Flurry.

  • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Użytkownik Środowisko > Użytkownika Wygaszacz > ekranu Użytkownik:

    • Czas bezczynności: wprowadź wartość podobną do 300wartości , która wynosi 5 minut.
    • Nazwa modułu: wprowadź nazwę modułu wygaszacz ekranu, na przykład Flurry.

  • W przypadku urządzeń stacjonarnych i przenośnych dostępne są ustawienia, które mogą pomóc w oszczędzaniu energii:

    Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > System Configuration >> Energy Saver:

    • Czasomierz uśpienia w programie > Power Display
    • Czasomierz uśpienia wyświetlacza baterii > laptopa
    • > Czasomierz uśpienia wyświetlacza laptopa

Porada

Aby znaleźć nazwę modułu wygaszacz ekranu, ustaw wygaszacz ekranu, otwórz aplikację Terminal i uruchom następujące polecenie:

defaults -currentHost read com.apple.screensaver

Narzędzie do oceny systemu macOS

Korzystanie z narzędzia do oceny systemu macOS

Narzędzie do oceny komputerów Mac potwierdza, że komputer Mac ma konfigurację i ustawienia zalecane przez firmę Apple. Aby uzyskać dostęp do narzędzia do oceny komputerów Mac, zaloguj się do zasobów apple seed for IT (otwiera witrynę internetową firmy Apple).>

Faza 4 — stosowanie dostosowań specyficznych dla organizacji

W tej fazie zastosujesz ustawienia i aplikacje specyficzne dla organizacji i przejrzysz konfigurację lokalną.

Diagram przedstawiający niektóre funkcje dostosowywania urządzeń z systemem macOS przy użyciu aplikacji, ustawień urządzenia, certyfikatów i innych funkcji przy użyciu Microsoft Intune

Faza pomaga dostosować wszystkie funkcje specyficzne dla twojej organizacji. Zwróć uwagę na różne składniki systemu macOS. Istnieją sekcje dla każdego z następujących obszarów:

  • Aplikacje
  • Konfiguracja urządzenia dla docka, powiadomień, plików preferencji & zasad niestandardowych i tapety
  • Nazwa urządzenia
  • Certyfikaty
  • Wi-Fi

Aplikacje

Dodawanie większej liczby aplikacji do Intune

W fazie 1 — skonfigurowanie środowiska zostało dodane kilka aplikacji, które muszą mieć urządzenia. W tym kroku dodaj inne aplikacje, które mogą poprawić środowisko użytkownika końcowego lub produktywność.

Konfiguracja urządzenia

Katalog ustawień upraszcza sposób tworzenia zasad i sposób wyświetlania wszystkich dostępnych ustawień. W różnych fazach i krokach opisanych w tym przewodniku do konfigurowania funkcji i ustawień urządzenia służy wykaz ustawień Intune.

Na przykład użyliśmy katalogu ustawień, aby skonfigurować następujące obszary funkcji:

  • Ustawienia przeglądarki Microsoft Edge
  • Microsoft AutoUpdate
  • Microsoft Office
  • Aktualizacje oprogramowania
  • Środowisko użytkownika

Istnieje wiele ustawień urządzenia, które można skonfigurować przy użyciu katalogu ustawień, w tym:

Dok

  • Urządzenia > Zarządzanie urządzeniami > Konfiguracja > Utwórz > nowy wykaz > ustawień zasad > Dok środowiska > użytkownika

Możesz również dodawać lub usuwać elementy z doku przy użyciu przykładowej powłoki gitHub — Microsoft Intune dock lub narzędzi wiersza polecenia partnera, takich jak GitHub — DockUtil.

Monity o powiadomienie

  • Urządzenia > Zarządzaj urządzeniami > Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Ustawienia powiadomienia o środowisku > użytkownika Ustawienia powiadomień >

    Należy wprowadzić identyfikator pakietu dla każdej aplikacji, dla których chcesz kontrolować powiadomienia.

Aby uzyskać więcej informacji, przejdź do pozycji Ustawienia ładunku MDM powiadomień dla urządzeń firmy Apple (otwiera witrynę internetową firmy Apple).

Pliki preferencji i zasady niestandardowe

  • Pliki preferencji definiują właściwości lub ustawienia aplikacji, które chcesz wstępnie skonfigurować. W wykazie ustawień Intune istnieje wiele wbudowanych ustawień dla aplikacji, takich jak Microsoft Edge i Microsoft Office. Dlatego może nie być potrzebny plik preferencji.

    Firma Microsoft zaleca użycie wbudowanych ustawień w katalogu ustawień. Jeśli katalog ustawień nie ma wymaganych ustawień, dodaj plik preferencji, aby Intune.

    Aby uzyskać więcej informacji, przejdź do tematu Dodawanie pliku listy właściwości do urządzeń z systemem macOS przy użyciu Microsoft Intune

  • Profile niestandardowe są przeznaczone do dodawania ustawień i funkcji urządzeń, które nie są wbudowane w Intune.

    Firma Microsoft zaleca użycie wbudowanych ustawień w katalogu ustawień. Jeśli katalog ustawień nie ma wymaganych ustawień, użyj profilu niestandardowego.

    Aby uzyskać więcej informacji, przejdź do profilów niestandardowych.

Tapeta

Tapetę w systemie macOS można wymusić przy użyciu kombinacji przykładowego skryptu i katalogu ustawień:

  • Urządzeń > Zarządzanie urządzeniami Konfiguracja > Utwórz > nowy katalog > ustawień zasad > Pulpit środowiska > użytkownika:>
    • Zastąp ścieżkę obrazu: "Wprowadź <ścieżkę obrazu>".

Plik obrazu musi istnieć w punkcie końcowym systemu macOS. Aby pobrać obraz z lokalizacji internetowej, możesz użyć przykładowego skryptu w witrynie GitHub — Microsoft Intune przykład powłoki tapety. Możesz również użyć narzędzia pakietu aplikacji, aby skopiować plik, a następnie wdrożyć go przy użyciu niezarządzanej funkcji wdrażania PKG .

Nazwa urządzenia

Zmienianie nazw urządzeń

Za pomocą skryptu powłoki można zmienić nazwę urządzeń tak, aby zawierały określone informacje, takie jak numer seryjny urządzenia połączony z kodem kraju/regionu.

Aby uzyskać więcej informacji, przejdź do witryny GitHub — skrypty usługi Microsoft Shell w celu zmiany nazwy urządzeń Mac.

Certyfikaty

Dodawanie certyfikatów na potrzeby uwierzytelniania opartego na certyfikatach

Jeśli używasz uwierzytelniania opartego na certyfikatach dla środowiska bez hasła, możesz użyć Intune do dodawania i wdrażania certyfikatów.

Aby uzyskać więcej informacji, przejdź do tematu Typy certyfikatów dostępne w Microsoft Intune.

Wi-Fi

Wstępne konfigurowanie połączenia Wi-Fi

Za pomocą Intune można utworzyć połączenie Wi-Fi zawierające informacje o sieci, a następnie wdrożyć połączenie z urządzeniami z systemem macOS. Jeśli urządzenia łączą się z organizacją przy użyciu sieci Wi-Fi, utwórz zasady połączenia Wi-Fi.

Aby uzyskać więcej informacji, przejdź do tematu Konfigurowanie ustawień Wi-Fi dla urządzeń z systemem macOS w Microsoft Intune.

Faza 5 — buforowanie (opcjonalnie)

Istnieją pewne funkcje buforowania, których można użyć, aby zmniejszyć przepustowość sieci.

Diagram opisujący używanie buforowania zawartości i automatycznego uzupełniania lokalnej aplikacji pamięci podręcznej na urządzeniach z systemem macOS przy użyciu Microsoft Intune

Korzystanie z buforowania zawartości

Jeśli masz dużą liczbę urządzeń z systemem macOS lub iOS/iPadOS w sieci, możesz wdrożyć usługę Apple Content Cache, aby zmniejszyć przepustowość Internetu. Usługa Apple Content Cache może buforować zawartość hostowaną w usługach firmy Apple, takich jak Aktualizacje oprogramowania i aplikacje VPP.

Aby uzyskać więcej informacji, przejdź do pozycji Wprowadzenie do buforowania zawartości (otwiera witrynę internetową firmy Apple).

Automatyczne aktualizowanie lokalnej pamięci podręcznej

Wiele aplikacji firmy Microsoft w systemie macOS jest aktualizowanych przy użyciu aplikacji Microsoft AutoUpdate. Ta aplikacja może odwoływać się do innego adresu URL zawartości.

Za pomocą usługi GitHub — Microsoft AutoUpdate Cache Administracja można skonfigurować lokalną pamięć podręczną dla usługi Microsoft AutoUpdate.

Aby uzyskać więcej informacji, przejdź do witryny GitHub — Microsoft AutoUpdate Cache Administracja.

Faza 6 — rejestrowanie pozostałych punktów końcowych systemu macOS

Do tej pory utworzono konfigurację i dodano aplikacje. Teraz możesz zarejestrować wszystkie punkty końcowe systemu macOS przy użyciu zasad automatycznej rejestracji urządzeń przy użyciu Microsoft Intune.

Diagram informujący o zarejestrowaniu wszystkich punktów końcowych systemu macOS przy użyciu zasad automatycznej rejestracji urządzeń przy użyciu Microsoft Intune

Tworzenie zasad automatycznej rejestracji urządzeń

Zasady rejestracji są przypisywane do nowej grupy. Gdy urządzenia otrzymają zasady rejestracji, zostanie uruchomiony proces rejestracji, a aplikacja & utworzone zasady konfiguracji zostaną zastosowane.

Aby uzyskać więcej informacji na temat automatycznej rejestracji urządzeń i rozpocząć pracę, przejdź do tematu Automatyczne rejestrowanie komputerów Mac w programie Apple Business Manager lub Apple School Manager.

Faza 7 — pomoc techniczna, konserwacja i następne kroki

Ostatnią fazą jest obsługa i obsługa urządzeń z systemem macOS. Ta faza obejmuje korzystanie z funkcji Intune, takich jak pomoc zdalna, monitorowanie certyfikatów firmy Apple i nie tylko.

Diagram przedstawiający kroki obsługi i obsługi urządzeń z systemem macOS, w tym korzystanie ze zdalnej pomocy, dodawanie atrybutów niestandardowych i konfigurowanie programu Apple Business Manager przy użyciu Microsoft Intune

Intune zarządza urządzeniami z systemem macOS przy użyciu wbudowanych funkcji mdm systemu operacyjnego i agenta rozszerzenia zarządzania Intune (IME).

Te dwa składniki oferują oddzielne funkcje i komunikują się z urządzeniem z systemem macOS za pośrednictwem różnych kanałów. Rejestracja jest organizowana za pośrednictwem usługi Apple Business Manager, zarządzanie urządzeniami przenośnymi jest aranżowane za pośrednictwem usługi Apple Push Notification Service, a program IME komunikuje się bezpośrednio z Intune.

Diagram przedstawiający sposób współdziałania rozwiązania mdm systemu macOS i rozszerzenia Intune Managemnt w celu obsługi zarządzania urządzeniami z systemem macOS przy użyciu Microsoft Intune

Aby uzyskać więcej informacji na temat rozszerzenia zarządzania Intune, przejdź do tematu Understanding Microsoft Intune management agent for macOS (Omówienie agenta zarządzania Microsoft Intune dla systemu macOS).

Konserwacja rejestracji w systemie macOS

Odnawianie certyfikatów firmy Apple i synchronizowanie tokenów ADE

Aby urządzenia Mac utrzymywały połączenie z Intune i kontynuowały rejestrację, istnieje kilka ważnych obszarów, które należy okresowo zaewidencjonować w konsoli i podjąć działania zgodnie z potrzebami:

  • Wygaśnięcie certyfikatu usługi Apple Push Notification Service

    Certyfikat usługi powiadomień wypychanych firmy Apple musi być odnawiany co rok. Po wygaśnięciu tego certyfikatu Intune nie może zarządzać urządzeniami zarejestrowanymi przy użyciu tego certyfikatu. Upewnij się, że certyfikat jest odnawiany co roku.

    Aby uzyskać więcej informacji, przejdź do tematu Pobieranie certyfikatu wypychania mdm firmy Apple dla Intune.

  • Wygaśnięcie certyfikatu automatycznej rejestracji urządzeń firmy Apple

    Podczas konfigurowania połączenia między programem Apple Business Manager (lub Apple School Manager) i Intune jest używany certyfikat. Ten certyfikat musi być odnawiany co rok. Jeśli ten certyfikat nie zostanie odnowiony, zmiany wprowadzone w programie Apple Business Manager (lub Apple School Manager) nie mogą zostać zsynchronizowane z Intune.

    Aby uzyskać więcej informacji, przejdź do tematu Rejestrowanie urządzeń z systemem macOS — Apple Business Manager lub Apple School Manager.

  • Stan synchronizacji automatycznej rejestracji urządzeń firmy Apple

    Firma Apple wstrzymuje synchronizację tokenów ADE po zmianie warunków i postanowień w programie Apple Business Manager (lub Apple School Manager). Mogą one ulec zmianie po głównym wydaniu systemu operacyjnego, ale może się to zdarzyć w dowolnym momencie.

    Należy monitorować stan synchronizacji pod kątem wszelkich problemów, które wymagają uwagi.

    Aby uzyskać więcej informacji, przejdź do tematu Synchronizuj urządzenia zarządzane.

Pomoc zdalna

Włączanie pomocy zdalnej

Pomoc zdalna to oparte na chmurze rozwiązanie do zabezpieczania połączeń pomocy technicznej korzystających z kontroli dostępu opartej na rolach. Dzięki połączeniu pracownicy pomocy technicznej mogą zdalnie łączyć się z urządzeniami użytkowników końcowych.

Aby uzyskać więcej informacji, zobacz:

Atrybuty niestandardowe

Uzyskiwanie informacji o raportowaniu przy użyciu właściwości niestandardowych

W Intune można używać skryptów powłoki do zbierania właściwości niestandardowych z zarządzanych urządzeń z systemem macOS. Ta funkcja jest doskonałym sposobem uzyskiwania niestandardowych informacji raportowania.

Aby uzyskać więcej informacji, zobacz Używanie skryptów powłoki na urządzeniach z systemem macOS w Microsoft Intune.

Konfigurowanie usługi Apple Business Manager na potrzeby automatycznej aprowizacji użytkowników

Używanie kont użytkowników Entra do administrowania usługą ABM i zarządzanych identyfikatorów Apple ID

Tożsamość Microsoft Entra można skonfigurować do automatycznego aprowizowania i cofania aprowizacji użytkowników w usłudze Apple Business Manager (ABM) przy użyciu usługi aprowizacji Microsoft Entra.

Aby uzyskać więcej informacji, przejdź do artykułu Samouczek: konfigurowanie usługi Apple Business Manager na potrzeby automatycznej aprowizacji użytkowników.