Поделиться через


Настройка регистрации устройств macOS в Intune

Microsoft Intune поддерживает регистрацию на личных и корпоративных компьютерах Mac. В этой статье описаны методы и функции, которые можно использовать для регистрации личных устройств, корпоративных устройств и виртуальных машин.

Включить регистрацию в Microsoft Intune

Сначала выполните эти шаги, чтобы включить регистрацию в клиенте Microsoft Intune.

  1. Убедитесь, что устройства подходят для регистрации устройств Apple
  2. Настройте домены
  3. Настройте центр MDM
  4. Получите сертификат Apple MDM Push Certificate
  5. Назначьте лицензии пользователей в Центре администрирования Microsoft 365
  6. Создание групп
  7. Настройка приложения "Корпоративный портал"

Регистрация устройств

После включения регистрации используйте один из поддерживаемых методов, описанных в этом разделе, для регистрации пользовательских и корпоративных устройств.

Пользовательские устройства macOS (BYOD)

Intune поддерживает bring-your-own-device, или BYOD, что позволяет пользователям самостоятельно регистрировать свои личные устройства. Чтобы завершить настройку регистрации для сценариев BYOD, попросите лицензированных пользователей использовать один из следующих вариантов регистрации устройств:

  • Войдите на веб-сайт "Корпоративный портал" и следуйте инструкциям на экране, чтобы добавить устройство.
  • Установите приложение "Корпоративный портал" для Mac по адресу aka.ms/EnrollMyMac и следуйте инструкциям на экране, чтобы добавить устройство.

Корпоративные устройства с macOS

Intune поддерживает для устройств macOS, принадлежащих компании, следующие методы регистрации: Выберите метод с гиперссылкой, чтобы открыть этапы настройки.

  • Автоматическая регистрация устройств Apple: используйте этот метод для автоматической регистрации на устройствах, приобретенных посредством Apple Business Manager или Apple School Manager. Автоматическая регистрация устройств развертывает беспроводной профиль регистрации, поэтому физический доступ к устройствам не требуется.
  • Диспетчер регистрации устройств (DEM): используйте этот метод для масштабных развертываний и когда в организации есть несколько людей, готовых помочь с процессом регистрации. Пользователь с разрешениями диспетчера регистрации устройств (DEM) может зарегистрировать до 1000 устройств с одной учетной записью Microsoft Entra. Этот метод использует приложение "Корпоративный портал" или Microsoft Intune для регистрации устройств. Вы не можете использовать учетную запись DEM для регистрации устройств с помощью метода автоматической регистрации устройств.
  • Прямая регистрация: этот метод регистрирует устройства без сходства пользователя, поэтому он лучше всего подойдет для устройств, не связанных с конкретным пользователем. Этот метод требует физического доступа к зарегистрированным компьютерам Mac.

Маркеры начальной загрузки

Intune поддерживает использование маркеров начальной загрузки для зарегистрированных компьютеров Mac с macOS 10.15 или более поздней версией. Маркеры начальной загрузки предоставляют статус владельца тома локальным пользовательским и гостевым учетным записям, чтобы пользователи, не являющиеся администраторами, могли утверждать важные операции, которые в противном случае потребовали бы вмешательства администратора. К таким операциям относятся:

  • Инициированные пользователем обновления программного обеспечения

  • Установка расширения ядра на процессоре Apple silicon

Маркеры начальной загрузки можно использовать на контролируемых компьютерах Mac, а также Mac, зарегистрированных путем автоматической регистрации устройств macOS.

Получить маркер начальной загрузки

Маркер начальной загрузки автоматически создается в следующих случаях:

  • Недавно зарегистрированный Mac проходит проверку с помощью Intune и
  • Пользователь с поддержкой безопасного маркера (как правило, администратор Intune) входит в Mac с паролем cleartext

Затем маркер автоматически сохраняется в Microsoft Intune. Вы можете использовать средство командной строки, чтобы вручную просматривать, создавать и использовать маркер начальной загрузки на поддерживаемых устройствах macOS, если это необходимо. Дополнительные сведения о командах см. в разделе Использование безопасного маркера, маркера начальной загрузки и владения томом в развертываниях на сайте службы поддержки Apple.

Мониторинг состояния сохранения начальной загрузки

В Центре администрирования можно отслеживать состояние сохранения для любых зарегистрированных компьютеров Mac. Свойство оборудования Маркер начальной загрузки сохранен указывает, был ли маркер начальной загрузки сохранен в Intune. Intune выдает значение Да, если маркер был успешно сохранен, или Нет, если маркер не был сохранен.

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Перейдите в раздел Устройства>по платформе>macOS.
  3. Выберите устройство из списка устройств macOS.
  4. Выберите Оборудование.
  5. В сведениях об оборудовании прокрутите вниз до раздела Условный доступ>Маркер начальной загрузки сохранен.

Управление расширениями ядра и обновлениями программного обеспечения

Важно!

Расширения ядра больше не рекомендуются для macOS. Apple рекомендует по возможности использовать системные расширения. Дополнительные сведения см . в статье Руководство по безопасности платформы Apple — безопасное расширение ядра в macOS в службе поддержки Apple.

Маркер начальной загрузки можно использовать для утверждения установки расширений ядра и обновлений программного обеспечения на Mac с Apple silicon.

Инициированные пользователем обновления программного обеспечения можно выполнять с помощью маркера начальной загрузки на компьютерах Mac под управлением macOS версии 11.1 и регистрировать с помощью автоматической регистрации устройств. Чтобы авторизовать инициированные пользователем обновления программного обеспечения на устройстве, которое не регистрировалось методом автоматической регистрации устройств, необходимо перезапустить Mac в режиме восстановления и использовать более раннюю версию параметров безопасности. Вы также можете использовать маркер загрузки для обновлений программного обеспечения на компьютерах Mac под управлением macOS 11.2 и более поздних версий, при этом единственным требованием является то, что устройство должно контролироваться.

Управление расширением ядра автоматически доступно на компьютерах Mac с macOS 11 или более поздней версией. Регистрация осуществляется методом автоматической регистрации устройств. Чтобы разрешить удаленное управление расширениями ядра на устройстве, которое не регистрировалось методом автоматической регистрации устройств, необходимо перезапустить Mac в режиме восстановления и использовать более раннюю версию параметров безопасности. Дополнительные сведения см. в разделе Изменение параметров безопасности на диске запуска Mac с Apple silicon в Службе поддержки Apple.

Блокировка регистрации macOS

По умолчанию Intune разрешает регистрацию устройств с macOS. Сведения о том, как заблокировать регистрацию устройств macOS, см. в статье Установка ограничения платформы устройств.

Регистрация виртуальных машин macOS для тестирования

Примечание.

Intune поддерживает виртуальные компьютеры macOS только для тестирования. Не используйте виртуальные машины в качестве официальных устройств для сотрудников или учащихся.

Intune поддерживает виртуальные машины под управлением:

  • Parallels Desktop
  • VMware Fusion
  • Apple Silicon

Intune необходимо знать аппаратную модель и серийный номер виртуальной машины для ее распознавания и регистрации в качестве устройства. Если вы попытаетесь зарегистрировать виртуальную машину без предоставления этих сведений, в ходе регистрации произойдет сбой. В этом разделе содержится больше сведений о том, как выполнить это требование перед регистрацией.

Parallels Desktop

Измените параметры конфигурации виртуальной машины, чтобы добавить или изменить серийный номер виртуальной машины и идентификатор аппаратной модели. Введите любую строку из букв и цифр в качестве серийного номера. Для аппаратной модели рекомендуется использовать модель устройства с виртуальной машиной. Чтобы найти аппаратную модель Mac, выберите меню Apple и перейдите в раздел Об этом Mac>Системный отчет>Идентификатор модели.

Дополнительные сведения см. в следующих темах базы знаний Parallels:

VMware Fusion

Добавьте в VMX-файл следующие строки, чтобы задать аппаратную модель и серийный номер виртуальной машины. Значения, показанные в этом примере, являются примерами.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Введите любую строку из букв и цифр в качестве серийного номера. Для аппаратной модели рекомендуется использовать модель устройства с виртуальной машиной. Чтобы найти аппаратную модель Mac, выберите меню Apple и перейдите в раздел Об этом Mac>Системный отчет>Идентификатор модели.

VMware Fusion поддерживается только на компьютерах Intel Mac. Дополнительные сведения о редактировании VMX-файла для виртуальной машины VMware Fusion см. на веб-сайте подключения клиентов VMware.

Apple Silicon

Для виртуальных машин, работающих на оборудовании Apple Silicon, изменения не требуются. Parallels Desktop поддерживается на компьютерах Mac с Apple Silicon, поэтому если вы настроили виртуальную машину таким образом, вам не нужно изменять идентификатор или серийный номер модели оборудования.

Регистрация, утвержденная пользователем

Все регистрации Mac в Intune считаются утвержденными пользователем. Утвержденная пользователем регистрация позволяет управлять устройствами macOS, которые не являются частью Apple School Manager или Apple Business Manager. Он обеспечивает тот же уровень контроля, что и контролируемые устройства macOS, зарегистрированные с помощью автоматической регистрации устройств или Apple Configurator.

Intune автоматически включает контроль за утвержденными пользователями устройствами под управлением macOS 11 и более поздних версий. Это также делается для зарегистрированных устройств, которые позже обновляются до macOS 11 или более поздней версии.

Примечание.

Intune объявила о поддержке утвержденной пользователем регистрации в июне 2020 года. Регистрации BYOD, выполненные до этого времени, могут быть не одобрены пользователем. Дополнительные сведения о том, как устройства Apple становятся утвержденными пользователями, см. в разделе Утвержденная пользователем регистрация MDM на веб-сайте службы поддержки Apple.

Взаимодействие с пользователем

Пользователь устройства входит в приложение Корпоративного портала, чтобы инициировать регистрацию. Корпоративный портал затем открывает системные настройки устройства и предлагает пользователю установить профиль управления. Корпоративный портал предоставляет инструкции в приложении, которые помогут пользователям найти профиль. Пользователи переходят враздел Профили системныхпараметров>, чтобы утвердить установку профиля управления. Пользователи устройств, не подтвердившие свое согласие во время регистрации, могут позже вернуться к системным настройкам, чтобы предоставить утверждение.

Узнайте, утверждено ли устройство пользователем

  1. В Центре администрирования выберите Устройства>Все устройства.
  2. Выберите устройство macOS.
  3. В боковом меню выберите Оборудование.
  4. Проверьте значение рядом с Утвержденная пользователем регистрация.

Резервное копирование и восстановление с помощью Помощника по миграции Apple

Используйте Помощник по миграции Apple для резервного копирования и восстановления устройства macOS. С помощью этого средства можно создать резервную копию компьютера Mac и восстановить данные приложения на новом устройстве. Важно знать:

  • Резервная копия профиля управления на исходном компьютере Mac не создается. Устройству отправляется новый профиль управления по мере повторной регистрации нового Компьютера Mac. Это происходит на компьютерах Mac, которые проходят автоматическую регистрацию устройств Apple, и на компьютерах Mac, которые не проходят автоматическую регистрацию устройств.
  • Корпоративный портал учетные данные приложения могут быть восстановлены на новом компьютере Mac после прохождения помощника по миграции и регистрации. В этом случае мы рекомендуем вам или пользователю устройства выполнить следующие действия для очистки данных приложения:
    1. Выйдите из приложения Корпоративный портал.
    2. Войдите в приложение или веб-сайт Корпоративный портал.

Дальнейшие действия