Intune设置目录中的 Apple 设备配置列表
本文列出并介绍了可以使用 Microsoft Intune 中的设置目录策略管理的 Apple 配置。
本文适用于:
- iOS/iPadOS
- macOS
开始之前
- 至少,以策略和配置文件管理员角色的成员身份登录到 Intune 管理中心。 有关内置Intune角色的详细信息,请转到使用 Microsoft Intune (RBAC) 的基于角色的访问控制。
- 创建 设置目录策略。
如何使用本文
本文介绍 Apple 移动设备管理 (MDM) 协议中的两种类型的配置:
- Apple 声明性配置
- Apple MDM 有效负载
每个部分都可以包含指向其他文档的链接:
- Apple 平台指南:Apple 平台部署和安全指南,涵盖 Apple 技术的部署和安全功能
- Apple 开发人员:开发人员文档概述了随每个 OS 版本更新的设备管理 API
- Apple YAML:Apple GitHub 存储库,其中包含引入到设置目录的设置定义。 使用此信息查看适用的 OS 版本、注册类型以及是否需要监督等要求
- Intune文档:基于方案的配置(例如设置平台单一登录或部署声明性软件更新)的Intune指南
- 已知问题:更新了与每个配置相关的已知问题列表
设备配置模板和设置目录中提供了某些设置。 为了帮助进行手动策略迁移,本文列出了映射到设置目录中等效设置的模板设置。
重要
建议尽可能使用设置目录创建所有新策略。 某些现有设备配置模板不再更新。 在将来的Intune版本中,它们将迁移为使用设置目录策略类型,并且将弃用创建新模板的功能。 这些模板包括:
- 设备功能
- 设备限制
- 终结点保护 (已弃用)
- 扩展 (已弃用)
仍应使用模板创建的策略包括:
- 派生凭据
- 电子邮件
- PKCS 证书
- PKCS 导入的证书
- SCEP 证书
- 受信任的证书
- VPN
- Wi-Fi
- 有线网络
Apple 声明性配置
本部分特定于设置目录中“声明性设备管理 (DDM) ”类别下的配置。 有关 DDM 的详细信息,请参阅 Apple 网站上的 声明性设备管理和 Apple 设备简介 。
密码
使用密码配置要求设备具有满足组织要求的密码或密码。 此配置位于设置目录的声明性设备管理 (DDM) 类别中。 可使用以下文档详细了解密码:
| Apple 平台指南 | Apple Developer | Apple YAML | Intune文档 |
|---|---|---|---|
| 密码 | 密码 |
已知问题
- None
软件更新
使用软件更新配置强制在特定时间安装更新。 此配置位于设置目录的声明性设备管理 (DDM) 类别中。 可以使用以下文档了解有关此配置的详细信息:
| Apple 平台指南 | Apple Developer | Apple YAML | Intune文档 |
|---|---|---|---|
| 特定于软件更新的强制实施 | 特定于软件更新的强制实施 | 使用设置目录配置托管软件更新 |
已知问题
- None
Apple MDM 有效负载设置
本部分特定于使用标准 MDM 通道的 Apple 有效负载。 Apple 网站上的 “查看 Apple 设备的 MDM 有效负载 ”中提供了这些有效负载的列表。
FileVault
使用 FileVault 配置管理 macOS 设备上的磁盘加密。 这些配置位于设置目录的 “完整磁盘加密 ”类别中。 可使用以下文档了解有关 FileVault 的详细信息:
| Apple 平台指南 | Apple Developer | Apple YAML | Intune文档 |
|---|---|---|---|
| 加密 macOS 设备 (Microsoft Learn) |
已知问题
Intune设备配置模板到设置目录映射
| 终结点保护模板 | 设置目录类别 | 设置目录设置 |
|---|---|---|
| 启用 FileVault | 完整磁盘加密 > 文件保管库 | 启用 |
| 个人恢复密钥的托管位置说明 | 完整磁盘加密 > 文件保管库恢复密钥托管 | 位置 |
| 个人恢复密钥轮换 | 完整磁盘加密 > 文件保管库 | 恢复密钥轮换(以月为单位) |
| 隐藏恢复密钥 | 完整磁盘加密 > 文件保管库 | 显示恢复密钥 |
| 在注销时禁用提示 | 完整磁盘加密 > 文件保管库 | 延迟不要在用户注销时询问 |
| 允许绕过的次数 | 完整磁盘加密 > 文件保管库 | 在用户登录时延迟强制最大绕过尝试次数 |
防火墙
使用防火墙配置来管理本机 macOS 应用程序防火墙。 此配置位于设置目录的 “安全 ”类别中。 可使用以下文档了解有关防火墙的详细信息:
| Apple 平台指南 | Apple Developer | Apple YAML |
|---|---|---|
| 防火墙 | 防火墙 (YAML) |
已知问题
Intune设备配置模板到设置目录映射
| 终结点保护模板 | 设置目录类别 | 设置目录设置 |
|---|---|---|
| 启用防火墙 | >网络防火墙 | 启用防火墙 |
| 阻止所有传入连接 | >网络防火墙 | 阻止所有传入 |
| 允许的应用 | >网络防火墙 | 允许 (应用程序 = True) |
| 应用被阻止 | >网络防火墙 | 允许的应用程序 (= False) |
| 启用隐藏模式 | >网络防火墙 | 启用隐藏模式 |
系统策略控制 (守护程序)
使用系统策略控制有效负载配置 Gatekeeper 设置。 此配置位于设置目录的 “系统策略控制 ”类别中。 可以使用以下文档了解有关系统策略控制的详细信息:
| Apple 平台指南 | Apple Developer | Apple YAML |
|---|---|---|
| SystemPolicyControl | 系统策略控制 |
已知问题
- None
Intune设备配置模板到设置目录映射
| 终结点保护模板 | 设置目录类别 | 设置目录设置 |
|---|---|---|
| 不允许用户替代 Gatekeeper | 系统策略控制系统 > 策略控制 | 启用评估 |
| 允许从这些位置下载的应用 | 系统策略控制系统 > 策略控制 | 允许标识的开发人员 |
系统扩展
使用系统扩展有效负载将系统扩展配置为自动加载或阻止用户批准特定扩展。 此配置位于设置目录的 “系统配置” 类别中。 可使用以下文档了解有关系统扩展的详细信息:
| Apple 平台指南 | Apple Developer | Apple YAML |
|---|---|---|
| 系统扩展 | 系统扩展 |
已知问题
- None
Intune设备配置模板到设置目录映射
| 扩展模板 | 设置目录类别 | 设置目录设置 |
|---|---|---|
| 阻止用户替代 | 系统配置 > 系统扩展 | 允许用户重写 |
| 允许的团队标识符 | 系统配置 > 系统扩展 | 允许的团队标识符 |
| 允许的系统扩展 | 系统配置 > 系统扩展 | 允许的系统扩展 |
| 允许的系统扩展类型 | 系统配置 > 系统扩展 | 允许的系统扩展类型 |