部署指南:在 Microsoft Intune 中管理 macOS 设备

保护对 macOS 设备上的工作电子邮件、数据和应用的访问。 本文将指导你完成特定于 macOS 的任务,帮助你为 macOS 启用 Intune 移动设备管理、配置策略和部署应用。

先决条件

完成以下先决条件以在 Intune 中启用 macOS 设备管理:

有关Microsoft Intune角色和权限的信息,请参阅 RBAC with Microsoft Intune。 Microsoft Entra全局管理员和Intune管理员角色在Microsoft Intune内拥有完全权限。 对于Microsoft Intune中的许多设备管理任务,全局管理员拥有的权限比所需的权限更多。 建议使用完成任务所需的最低特权角色。 例如,可以完成设备注册任务的最低特权角色是策略和配置文件管理器,这是一个内置Intune角色。

若要详细了解如何进行初始设置、加入或移到 Microsoft Intune,请参阅 Intune 设置部署指南

规划部署

使用 Microsoft Intune 规划指南定义设备管理目标、用例方案和要求。 此指南还可以帮助你规划推出、通信、支持、测试和验证。 例如,由于 App Store 中不提供适用于 macOS 的公司门户应用,因此建议制定一个通信计划,使最终用户能够了解如何安装公司门户并注册他们的设备。

注册设备

为公司拥有的 macOS 设备和个人 macOS 设备配置注册方法和体验。 此步骤确保设备在注册后可以接收 Intune 策略和配置。 Intune 支持自带设备办公 (BYOD) 注册、Apple 自动设备注册和适用于企业设备的直接注册。 若要了解每种注册方法以及如何选择适合组织的方法,请参阅适用于 Microsoft Intune 的 macOS 设备注册指南

任务 详情
为用户拥有的 (BYOD) 设备设置注册 完成本文中的先决条件,为用户拥有的设备启用注册。 你还将找到可以与设备用户共享的注册资源和链接,从而支持他们完成整个注册过程。 此注册方法适用于具有自带设备办公 (BYOD) 策略的组织。 BYOD 使人们能够使用他们的个人设备完成与工作相关的任务。
设置 Apple 自动设备注册 (ADE) 设置现成的注册体验,实现自动注册通过 Apple School Manager 或 Apple Business Manager 购买的公司拥有的设备。 此方法非常适合有大量设备要注册的组织,因为此方法省去了单独接触和配置每台设备这一需要。
设置适用于企业设备的直接注册 为与单个用户无关的公司拥有的设备(例如在共享空间或零售环境中使用的设备)设置注册体验。 直接注册不会擦除设备,因此,此方法适合在设备不需要访问本地用户数据时使用。 你需要将注册配置文件直接传输到 Mac,这需要与运行 Apple Configurator 的 Mac 计算机建立 USB 连接。
添加设备注册管理器 指定为设备注册管理员 (DEM) 的人员一次可以注册最多 1,000 台公司拥有的移动设备。 DEM 帐户对在将设备分发给用户之前对设备进行注册和准备的组织而言非常有用。
将设备标识为“公司自有” 可以向设备分配“公司拥有”状态,以便启用 Intune 中的更多管理和标识功能。 无法向通过 Apple Business Manager 注册的设备分配“公司拥有”状态。
更改设备所有权 注册设备后,可以在 Intune 中将其所有权标签更改为“公司拥有”或“个人拥有”。 此调整会改变管理设备的方式。
注册问题疑难解答 排查注册过程中出现的问题并找到解决方法。

创建合规性规则

创建合规性策略以定义用户和设备访问受保护资源时必须符合的规则和条件。 这样即可确保访问数据的设备符合标准。 Intune将不符合要求的设备标记为不符合要求,并 (采取措施,例如根据配置向用户发送通知、限制访问或擦除设备) 。

如果创建条件访问策略,可以将它与设备合规性结果结合使用来阻止不符合条件的设备访问资源。 若要详细了解合规性策略以及如何开始使用它们,请参阅使用合规性策略为使用 Intune 管理的设备设置规则

任务 详情
创建合规性策略 获得创建符合性策略并将其分配给用户和设备组的分步指南。
添加针对非合规性的操作 选择当设备不再满足符合性策略条件时应执行的操作。 可在配置设备符合性策略时添加针对不符合性的操作,也可稍后通过编辑策略来添加操作。
创建基于设备基于应用的条件访问策略 指定要保护的应用或服务,并定义访问条件。
阻止访问不使用新式验证的应用 创建基于应用的条件访问策略,以阻止使用 OAuth2 以外的身份验证方法的应用;例如,使用基本身份验证和基于表单的身份验证的应用。 但是,在阻止访问之前,请登录Microsoft Entra ID并查看身份验证方法活动报告,以查看用户是否正在使用基本身份验证来访问你忘记或不知道的基本内容。 例如,会议室日历网亭之类的内容使用基本身份验证。

配置设备设置

使用 Microsoft Intune 在用于工作的 macOS 设备上启用或禁用设置和功能。 若要配置和实施这些设置,请创建一个设备配置文件,然后将该配置文件分配给组织中的组。

任务 详情
在 Microsoft Intune 中创建设备配置文件 了解可为组织创建的不同设备配置文件类型。
配置设备功能 配置常见的 macOS 功能。 有关此类设置的说明,请参阅设备功能参考
配置 Wi-Fi 配置文件 用户可使用此配置文件找到并连接到组织的 Wi-Fi 网络。 有关此类设置的说明,请参阅 Wi-Fi 设置参考
配置有线网络配置文件 借助此配置文件,使用桌面计算机的人员能够连接到组织的有线网络。 有关此类设置的说明,请参阅有线网络参考
配置 VPN 配置文件 配置安全的 VPN 选项(如 Microsoft Tunnel),以便于用户连接到组织的网络。 有关此类设置的说明,请参阅 VPN 设置参考
限制设备功能 通过限制用户可以在工作场所或学校使用的设备功能,阻止用户执行未经授权的访问并避免他们受到干扰。 有关此类设置的说明,请参阅设备限制参考
配置自定义配置文件 添加并分配 Intune 不包含的设备设置和功能。
添加和管理 macOS 扩展 添加内核扩展和系统扩展,它们使用户能够安装可扩展操作系统的本机功能的应用扩展。 有关此类设置的说明,请参阅 macOS 扩展参考
自定义品牌打造和注册体验 使用组织自己的语言、品牌、屏幕偏好设置和联系人信息,自定义 Intune 公司门户和 Microsoft Intune 应用体验。

配置终结点安全性

使用 Intune 终结点安全功能来配置设备安全性,并管理对有风险的设备执行的安全任务。

任务 详情
使用终结点安全功能管理设备 使用 Intune 中的终结点安全设置有效管理设备安全性,并修正设备存在的问题。
使用条件访问限制对 Microsoft Tunnel 的访问 使用条件访问策略,以限制设备访问 Microsoft Tunnel VPN 网关。
添加 Endpoint Protection 设置 配置常见的终结点保护安全功能,包括防火墙、Gatekeeper 和 FileVault。 有关此类设置的说明,请参阅终结点保护设置参考

设置安全的身份验证方法

在 Intune 中设置身份验证方法,以确保只有经过授权的人员才能访问内部资源。 Intune 支持多重身份验证、证书和派生凭据。 证书还可用于使用 S/MIME 对电子邮件进行签名和加密。

任务 详情
需要多重身份验证 (MFA) 需要用户在注册时提供两种形式的凭据。
创建受信任的证书配置文件 必须先创建和部署受信任的证书配置文件,才能创建 SCEP、PKCS 或 PKCS 导入的证书配置文件。 受信任的证书配置文件使用 SCEP、PKCS 和 PKCS 导入的证书,将受信任的根证书部署到设备和用户。
将 SCEP 证书用于 Intune 了解将 SCEP 证书用于 Intune 的必要条件,并配置所需的基础结构。 完成此配置后,可以创建 SCEP 证书配置文件使用 SCEP 设置第三方证书颁发机构
将 PKCS 证书用于 Intune 配置本地证书连接器等所需基础结构,导出 PKCS 证书,然后将证书添加到 Intune 设备配置配置文件。
将导入的 PKCS 证书用于 Intune 设置导入的 PKCS 证书,然后就能够设置和使用 S/MIME 对电子邮件进行加密

部署应用

设置应用和应用策略时,请考虑组织的要求,例如你将支持的平台、用户执行的任务、用户完成这些任务所需的应用类型以及需要这些应用的用户。 可以使用 Intune 来管理整个设备(包括应用),也可以只使用 Intune 管理应用。

任务 详情
添加 Intune 公司门户应用 了解如何在设备上获取公司门户,或指导用户如何独立完成此操作。
添加 Microsoft Edge 在 Intune 中添加和分配 Microsoft Edge。
添加 Microsoft 365 在 Intune 中添加和分配 Microsoft 365 应用。
添加业务线应用 在 Intune 中添加和分配 macOS 业务线 (LOB) 应用。
将应用分配给组 将应用添加到 Intune 后,将其分配给用户和设备。
包括和排除应用分配 通过在分配中包括和排除选定的组,来控制对应用的访问及其可用性。
在 macOS 设备上使用 shell 脚本 使用 shell 脚本扩展 Intune 中的设备管理功能,不仅仅限于 macOS 操作系统支持的功能。

运行远程操作

设置设备后,可以在 Intune 中使用远程操作对 macOS 设备执行远程管理和故障排除。 以下文章介绍了 Intune 中的远程操作。 如果门户中缺少或禁用了某个操作,则表示 macOS 不支持该操作。

任务 详情
对设备执行远程操作 了解如何在 Intune 中向下钻取和远程管理及排查各个设备。 本文列出了 Intune 提供的所有远程操作,以及这些过程的链接。
使用 TeamViewer 远程管理 Intune 设备 在 Intune 中配置 TeamViewer,了解如何远程管理设备。
使用安全任务查看威胁和漏洞 将 Intune 与 Microsoft Defender for Endpoint 集成,以充分利用 Defender for Endpoint 威胁和漏洞管理,并使用 Intune 修正由 Defender 的漏洞管理功能发现的终结点漏洞。

后续步骤