Руководство по развертыванию средств управления устройствами macOS в Microsoft Intune
Обеспечьте безопасный доступ к электронной почте, данным и приложениям на устройствах macOS. В этой статье описываются задачи macOS, которые помогут включить управление мобильными устройствами Intune для macOS, настроить политики и развернуть приложения.
Предварительные требования
Выполните следующие предварительные действия, чтобы включить управление устройствами macOS в Intune:
- Добавление пользователей и групп
- Назначение лицензий пользователям
- Задание центра управления мобильными устройствами
- Настройка сертификата push-уведомлений Apple MDM (APNs)
Сведения о ролях и разрешениях Microsoft Intune см. в разделе RBAC с Microsoft Intune. Роли глобального администратора Microsoft Entra и администратора Intune имеют полные права в Microsoft Intune. Глобальный администратор имеет больше разрешений, чем требуется для многих задач управления устройствами в Microsoft Intune. Рекомендуется использовать роль с наименьшими привилегиями, необходимую для выполнения задач. Например, наименее привилегированной ролью, которая может выполнять задачи регистрации устройств, является диспетчер политик и профилей, встроенная Intune роль.
Дополнительная информация о начальной настройке, подключении Microsoft Intune и переходе на этот сервис приведена в руководстве по развертыванию настройки Intune.
Планирование развертывания
Используйте руководство по планированию Microsoft Intune, чтобы определить цели управления устройствами, сценарии вариантов использования и требования. Это также поможет спланировать развертывание, обмен данными, поддержку, тестирование и проверку. Например, так как приложение Корпоративный портал для macOS не доступно в магазине приложений, рекомендуется использовать план взаимодействия, чтобы конечные пользователи могли понять, как устанавливать Корпоративный портал и регистрировать свои устройства.
Регистрация устройств
Настройте методы регистрации и возможности для устройств macOS, принадлежащих компании. Это гарантирует, что устройства получат политики и конфигурации Intune после регистрации. Intune поддерживает регистрацию собственного устройства (BYOD), автоматическую регистрацию устройств Apple и регистрацию без участия торгового посредника для корпоративных устройств. Сведения о каждом методе регистрации и о том, как выбрать подходящий для вашей организации, см. в статье Руководство по регистрации устройств macOS в Microsoft Intune.
Задача | Сведения |
---|---|
Настройка регистрации для устройств, принадлежащих пользователю (BYOD) | Выполните предварительные действия, приведенные в этой статье, чтобы включить регистрацию для устройств, принадлежащих пользователю. Также вы найдете ресурсы и ссылки на регистрацию для предоставления доступа пользователям устройств при регистрации. Этот метод регистрации предназначен для организаций, которые применяют политики собственных устройств (BYOD). BYOD позволяет людям использовать свои персональные устройства для работы. |
Настройка автоматической регистрации устройств Apple (ADE) | Настройте готовую процедуру регистрации для ее автоматизации на корпоративных устройствах, приобретенных через Apple School Manager или Apple Business Manager. Этот метод идеально подходит для организаций с большим количеством устройств для регистрации, так как при этом не требуется сенсорной и индивидуальной настройки каждого устройства. |
Настройка регистрации без участия торгового посредника для корпоративных устройств | Настройка процесса регистрации для корпоративных устройств, не связанных с одним пользователем, например устройствами, используемыми в общем пространстве или в параметрах розничной торговли. При регистрации без участия торгового посредника устройство не очищается, поэтому его лучше использовать, когда устройствам не требуется доступ к локальным данным пользователя. Вам необходимо будет передать профиль регистрации непосредственно в Mac, при этом требуется USB-подключение к компьютеру Mac, на котором запущен Apple Configurator. |
Добавление менеджера регистрации устройств | Пользователи, выступающие в качестве менеджеров регистрации устройств (DEM), могут регистрировать до 1000 мобильных корпоративных устройств за один раз. Учетные записи DEM полезны в организациях, которые регистрируют и подготавливают устройства до передачи их пользователям. |
Определение устройства как корпоративного | Вы можете присвоить устройствам статус корпоративной собственности, чтобы активировать дополнительные возможности управления и идентификации в Intune. Корпоративный статус нельзя присвоить устройствам, зарегистрированным через Apple Business Manager. |
Смена владения устройством | После регистрации устройства можно изменить его метку владения в Intune на корпоративное или личное. Эта настройка меняет способ управления устройством. |
Устранение проблем с регистрацией | Устраняйте неполадки и находите решения проблем, возникающих во время регистрации. |
Создание правил соответствия требованиям
Создайте политики соответствия, чтобы определить правила и условия, которым должны соответствовать пользователи и устройства для доступа к защищенным ресурсам. Таким образом, вы убедитесь, что устройства, обращающиеся к данным, соответствуют вашим стандартам. Intune помечает устройства, которые не соответствуют вашим требованиям, как не соответствующие требованиям, и предпринимает действия (например, отправка пользователю уведомления, ограничение доступа или очистка устройства) в соответствии с вашими конфигурациями.
Кроме того, вы можете создать политики условного доступа, которые вместе с правилами соответствия устройств позволяют блокировать доступ к ресурсам с несоответствующих устройств. Подробное описание политик соответствия и способы их применения приведены в статье Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune.
Задача | Сведения |
---|---|
Создание политики соответствия | Ознакомьтесь с пошаговыми инструкциями о том, как создать и назначить политики соответствия группам пользователей и устройств. |
Добавление действий при несоответствии | Выберите, что произойдет, если устройства больше не соответствуют условиям политики. Вы можете добавить действия при обнаружении несоответствия при настройке или изменении политики. |
Создание политики условного доступа на основе устройств или приложений | Укажите приложение или службы, безопасность которых необходимо обеспечить, и определите условия доступа к ним. |
Блокировка приложений, не поддерживающих современные средства аутентификации | Создайте политики условного доступа на основе приложений для блокировки приложений, использующих способы проверки подлинности, отличные от OAuth2. Например, вы можете заблокировать приложения, в которых применяется обычная проверка подлинности и аутентификация на основе форм. Однако перед блокировкой доступа войдите в Microsoft Entra ID и просмотрите отчет о действиях методов проверки подлинности, чтобы узнать, используют ли пользователи обычную проверку подлинности для доступа к важным вещам, о которых вы забыли или не знали. Например, календарные киоски для комнат используют обычную проверку подлинности. |
Настройка параметров устройства
Используйте Microsoft Intune, чтобы включить или отключить параметры и компоненты на устройствах macOS. Чтобы настроить и применить эти параметры, создайте профиль конфигурации устройства, а затем назначьте профиль группам в организации.
Задача | Сведения |
---|---|
Создание профиля устройства в Microsoft Intune | Узнайте о различных типах профилей устройств, которые вы можете создать для своей организации. |
Настройка функций устройства | Настройка общих функций и функций macOS. Описание параметров в этой области см. в справочнике по функциям устройств. |
Настройка профиля Wi-Fi | Этот профиль позволяет людям находить и подключаться к Wi-Fi сети вашей организации. Описание параметров в этой области см. в справочнике по функциям устройств. |
Настройка профиля проводной сети | Этот профиль позволяет пользователям настольных компьютеров подключаться к проводной сети вашей организации. Описание параметров в этой области см. в справочнике по проводной сети. |
Настройка профиля VPN | Настройте безопасное VPN-подключение, например Microsoft Tunnel, для пользователей, подключающихся к сети организации. Описание параметров в этой области см. в справочнике по параметрам VPN. |
Ограничение возможностей устройств | Защитите пользователей от несанкционированного доступа и отвлекающих факторов, ограничив функции устройства, которые они могут использовать на работе или в школе. Описание параметров в этой области см. в справочнике по функциям устройств. |
Настройка индивидуального профиля | Добавьте и назначьте параметры и функции устройства, которые не встроены в Intune. |
Добавление расширений macOS и управление ими | Добавьте расширения ядра и системные расширения, позволяющие пользователям устанавливать расширения приложений, расширяющие собственные возможности операционной системы. Описание параметров в этой области см. в справочнике по расширениям macOS. |
Настройка фирменной символики и регистрации | Настройте Корпоративный портал Intune и приложение Microsoft Intune, используя собственный текст, фирменный стиль, настройки экрана и контактную информацию вашей организации. |
Настройка безопасности конечных точек
Задайте настройки безопасности и управляйте задачами по безопасности на устройствах с высоким риском взлома с помощью функции безопасности конечных точек в Intune.
Задача | Сведения |
---|---|
Управление устройствами с помощью функций безопасности конечных точек | Используйте параметры безопасности конечных точек в Intune, чтобы эффективно управлять безопасностью устройств и устранять проблемы. |
Условный доступ для ограничения доступа к Microsoft Tunnel | Используйте политики условного доступа для доступа к VPN-шлюзу Microsoft на устройстве шлюза. |
Добавление параметров Endpoint Protection | Настройте общие функции защиты конечных точек, включая Брандмауэр, Gatekeeper и FileVault. Описание параметров в этой области см. в справочнике по защите конечных точек. |
Использование безопасных методов проверки подлинности
Настройте методы проверки подлинности в Intune, чтобы обеспечить доступ к внутренним ресурсам только уполномоченным пользователям. Intune поддерживает многофакторную проверку подлинности, сертификаты и производные учетные данные. Сертификаты также могут использоваться для подписи и шифрования электронной почты с помощью S / MIME.
Задача | Сведения |
---|---|
Требование многофакторной проверки подлинности (MFA) | Требуйте от пользователей предоставлять два вида учетных данных во время регистрации. |
Создание профиля доверенного сертификата | Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Профиль доверенного сертификата развертывает доверенный корневой сертификат для устройств и пользователей с помощью импортированных сертификатов SCEP, PKCS и PKCS. |
Использование сертификатов SCEP в Intune | Узнайте, что необходимо для использования сертификатов SCEP в Intune и настройки необходимой инфраструктуры. После этого можно создать профиль сертификата SCEP или настроить сторонний центр сертификации с SCEP. |
Использование сертификатов SCEP в Intune | В этой статье вы узнаете, как настроить необходимую инфраструктуру (например локальные соединители сертификата), экспортировать сертификат PKCS и добавить сертификат в профиль конфигурации устройства Intune. |
Использование импортированных сертификатов PKCS в Intune | Используйте импортированные сертификаты PKCS, которые позволяют настроить и использовать S/MIME для шифрования электронной почты. |
Развертывание приложений
При настройке приложений и политик приложений подумайте о требованиях вашей организации, например о поддерживаемых платформах, задачах, выполняемых пользователями, типах приложений, необходимых для выполнения этих задач, и о том, кому они нужны. Intune можно использовать для управления целым устройством (включая приложения) или только приложениями.
Задача | Сведения |
---|---|
Добавление приложения Корпоративного портала Intune | Узнайте, как получить Корпоративный портал на устройствах, или попросите пользователей сделать это самостоятельно. |
Добавление Microsoft Edge | Добавьте и назначьте Microsoft Edge в Intune. |
Добавление Microsoft 365 | Добавьте и назначьте приложения Microsoft 365 в Intune. |
Добавление бизнес-приложений | Добавьте и назначьте бизнес-приложения (LOB) macOS в Intune. |
Назначение приложений группам | После добавления приложений в Intune назначьте их пользователям и устройствам. |
Включение и исключение назначений приложений | Управляйте доступом приложения путем включения и исключения выбранных групп из назначения. |
Использование скриптов оболочки на устройствах macOS | Используйте скрипты оболочки, чтобы получить больше возможностей управления устройствами в Intune, чем поддерживается операционной системой macOS. |
Применение удаленных действий
После настройки устройств вы можете использовать удаленное действие в Intune, чтобы управлять устройствами macOS и устранять неполадки удаленно. В следующих статьях мы поговорим об удаленных действиях в Intune. Если действие отсутствует или отключено на портале, значит, оно не поддерживается в macOS.
Задача | Сведения |
---|---|
Выполнение удаленных действий на устройствах | Узнайте, как детализировать и удаленно управлять отдельными устройствами в Intune, а также устранять их неполадки. В этой статье перечислены все удаленные действия, доступные в Intune, а также приведены ссылки на эти процедуры. |
Удаленное администрирование устройств Intune с помощью TeamViewer | В этом разделе описано, как настроить TeamViewer в Intune и удаленно управлять устройством. |
Использование задач безопасности для просмотра угроз и уязвимостей | При интеграции Intune с Microsoft Defender для конечной точки можно воспользоваться управлением угрозами и уязвимостями в Defender для конечной точки, а также использовать Intune для устранения уязвимостей конечной точки, обнаруженных с помощью возможности управления угрозами в Defender. |
Дальнейшие действия
Руководство по навигации и использованию Intune см. в статье Пошаговое руководство по Центру администрирования Intune. Учебники — это контент на уровне 100–200 для людей, которые впервые работают с Intune или конкретным сценарием.
Учебники по развертыванию приложений см. в следующих блогах Microsoft Tech Community, написанных группой поддержки Intune:
Другие версии этого руководства см. в следующих статьях: